The Cable GuySolucionando problemas de imposição de NAP

Joseph Davies

A nova plataforma NAP (Proteção de Acesso à Rede) interna do Windows Vista, do Windows Server 2008 e do Windows XP SP3 ajuda a proteger a intranet privada impondo a conformidade com os requisitos de integridade do computador. Os principais componentes da NAP são clientes, pontos de imposição e servidores de diretiva de integridade.

Um cliente NAP é um computador capaz de fornecer informações sobre o status da integridade para a avaliação da integridade do sistema. Um ponto de imposição de NAP é um dispositivo de acesso à rede ou ao computador que usa a NAP ou que pode ser usado com ela para exigir a avaliação do estado de integridade do cliente NAP e conceder acesso à rede restrita ou à comunicação. Um servidor de diretiva de integridade de NAP é um computador com o Windows Server® 2008 e o serviço NPS (Servidor de Diretivas de Rede) em execução que armazena as diretivas de requisito de integridade e realiza avaliações da integridade dos clientes de NAP. O servidor de integridade de NAP e os pontos de imposição NAP trocam informações sobre a integridade do sistema e as instruções de acesso restrito com o servidor RADIUS (Remote Authentication Dial-In User service) e as mensagens proxy.

Nesta coluna, descrevo os componentes de uma diretiva de requisito de integridade, como o serviço NPS processa solicitações de entrada para avaliação de NAP e de que forma solucionar os problemas mais comuns com a imposição de NAP.

Diretivas de requisito de integridade

Como funciona a avaliação de integridade de NAP

O serviço NAP do servidor de diretiva de integridade de NAP usa o seguinte processo para realizar uma avaliação de integridade:

1. O serviço NPS compara a mensagem de solicitação de entrada com o conjunto configurado de diretivas de solicitação de conexão. Na NAP, a mensagem de solicitação deve corresponder a uma diretiva de solicitação de conexão que especifica que o serviço NPS realiza a autenticação e a autorização localmente.
2. O serviço NPS avalia as informações de integridade na mensagem de solicitação, que consiste em uma SSoH (declaração de integridade do sistema) contendo as informações de status de integridade. O serviço NPS passa as informações de status da integridade para os SHVs instalados, os quais retornam informações de avaliação da integridade para o serviço NPS.
3. O serviço NPS compara a mensagem de solicitação e as informações de avaliação da integridade dos SHVs com o conjunto apropriado de diretivas de rede. As informações de avaliação da integridade são comparadas com a condição da diretiva de integridade das diretivas de rede baseadas em NAP. A condição da diretiva de integridade especifica as condições de conformidade ou de não-conformidade da integridade. O serviço NPS aplica a primeira diretiva de rede correspondente à mensagem solicitada.
4. Com base na diretiva de rede baseada em NAP correspondente e nas configurações da NAP associada, o serviço NPS cria uma SSoHR (resposta de declaração de integridade do sistema). Essa resposta inclui as informações de avaliação de integridade dos SHVs e indica se o cliente NAP tem acesso ilimitado ou restrito e se esse ele deve tentar corrigir automaticamente o estado de integridade.
5. O serviço NPS envia uma mensagem de resposta RADIUS com a SSoHR para o ponto de imposição de NAP. Caso tenha sido concedido ao cliente o acesso restrito, a mensagem de resposta também pode conter instruções que especificam a forma de restrição de acesso do cliente NAP.
6. O ponto de imposição de NAP envia a SSoHR para o cliente NAP.

Uma diretiva de integridade é uma combinação de uma diretiva de solicitação de conexão, uma ou mais diretivas de rede, uma ou mais diretivas de integridade e configurações NAP de um método de imposição de NAP. Para criar uma diretiva de requisito de integridade, use o assistente de configuração da NAP no snap-in do Servidor de Diretivas de Rede. (Para obter mais informações sobre o processo de avaliação, consulte a barra lateral "Como funciona a avaliação de integridade de NAP".)

Diretivas de solicitação de conexão Trata-se de conjuntos ordenados de regras que permitem ao serviço NPS determinar se uma solicitação de conexão de entrada deve ser processada localmente ou encaminhada para outro servidor RADIUS. Um servidor de diretiva de integridade de NAP processa as solicitações de conexão localmente.

As solicitações RADIUS de entrada dos pontos de imposição de NAP baseados no Windows® podem conter uma marca de origem especificando o tipo de ponto de imposição de NAP como, por exemplo, um servidor de protocolo DHCP ou um servidor VPN (rede virtual privada).

Caso a mensagem de solicitação de entrada contenha uma marca de origem, o serviço NPS do servidor de diretiva de integridade de NAP tenta comparar a solicitação apenas com as diretivas de solicitação de conexão com uma origem correspondente (todas as demais diretivas de solicitação de conexão são ignoradas). Caso a mensagem de solicitação de entrada não contenha uma marca de origem, o serviço NPS tenta comparar a solicitação com as diretivas de solicitação de conexão com uma origem não especificada (todas as demais diretivas de solicitação de conexão que especificam as origens são ignoradas).

Por exemplo, as solicitações de entrada de um servidor DHCP com NAP habilitada especificam uma marca de origem de DHCP. O serviço NPS tenta comparar as solicitações do servidor DHCP com as diretivas de solicitação de conexão com a origem de DHCP. As solicitações de entrada dos comutadores com 802.1X habilitado e dos pontos de acesso sem fio não especificam uma marca de origem. O serviço NPS tenta comparar essas solicitações com as diretivas de solicitação de conexão sem uma origem especificada.

A diretiva de solicitação de conexão usada na avaliação do processamento local ou remoto é a primeira correspondente na lista ordenada do subconjunto das diretivas que se aplicam à solicitação de entrada. Caso não corresponda a nenhuma diretiva de solicitação de conexão, a solicitação é rejeitada.

Diretivas de rede Elas são conjuntos ordenados de regras que especificam as circunstâncias nas quais as tentativas de conexão correspondentes a mensagens de solicitação de entrada são autorizadas ou rejeitadas. Para cada regra há uma permissão de acesso que concede ou nega acesso, além de um conjunto de condições, um conjunto de restrições e configurações de diretivas de rede. Caso uma conexão seja autorizada, as restrições da diretiva de rede e as configurações podem especificar um conjunto de restrições de conexão. Na NAP, as diretivas de rede podem especificar uma condição de diretiva de integridade para a verificação dos requisitos de integridade e das configurações de comportamento da imposição.

Assim como as diretivas de solicitação de conexão, as diretivas de rede usam uma marca de origem para determinar quais diretivas de rede devem ser testadas tendo em vista a correspondência com a solicitação de entrada. Caso a mensagem de solicitação de entrada contenha uma marca de origem, o serviço NPS tenta comparar a solicitação apenas com as diretivas de rede de conexão com uma origem correspondente (todas as demais diretivas de rede são ignoradas). Caso a mensagem de solicitação de entrada não contenha uma marca de origem, o serviço NPS tenta comparar a solicitação com as diretivas de rede com uma origem não-especificada (todas as demais diretivas de rede que especificam as origens são ignoradas).

A diretiva de rede usada na autorização ou na avaliação de integridade é a primeira diretiva de rede correspondente na lista ordenada do subconjunto de diretivas que se aplicam à tentativa de conexão. Caso a tentativa não corresponda a nenhuma diretiva de rede, a solicitação é rejeitada.

Diretivas de integridade Elas lhe permitem especificar requisitos de integridade em relação aos SHVs (validadores da integridade do sistema) instalados, usados na avaliação de integridade e se os clientes NAP devem ser aprovados ou reprovados em algum ou em todos os SHVs selecionados. Por exemplo, uma diretiva de integridade para clientes NAP compatíveis pode especificar se o cliente deve passar por todas as verificações de integridade. Uma diretiva de integridade para clientes NAP não-compatíveis pode especificar se o cliente deve ser reprovado em pelo menos uma verificação ou em todas as verificações de integridade.

Configurações da Proteção de Acesso à Rede Elas consistem na configuração dos SHVs instalados no servidor de diretiva de integridade de NAP tendo em vista os requisitos de integridade e as condições de erro, além dos grupos de servidores de atualizações, que especificam os conjuntos de servidores acessíveis a clientes NAP não-compatíveis com acesso restrito à rede para os métodos de imposição DHCP e VPN.

Estabelecendo o escopo em problemas de imposição de NAP

Durante a solução de problemas, é útil uma abordagem lógica. Entre algumas perguntas comuns a serem feitas durante a solução de problemas estão: O que funciona? O que não funciona? Como estão relacionados o que funciona e o que não funciona? O que não funciona alguma vez já funcionou? Em caso positivo, o que mudou desde a última vez que funcionou?

É claro que essas perguntas são mais específicas quando você lida com problemas de imposição de NAP. A conexão ou a conectividade estava funcionando antes da implantação do método de imposição de NAP? Por exemplo, o servidor do protocolo IPSec ou o isolamento do domínio estava funcionando antes da imposição do protocolo IPSec? A autenticação 802.1X estava funcionando antes da implantação da imposição do 802.1X? O acesso remoto VPN estava funcionando antes da implantação da imposição de VPN? O DHCP estava funcionando antes da implantação da imposição do DHCP?

Além disso, um método de imposição de NAP específico estava funcionando antes? Em caso positivo, o que mudou no cliente NAP, no ponto de imposição de NAP ou no servidor de diretiva de integridade de NAP? As respostas a essas perguntas podem indicar por onde iniciar a solução de problemas, permitindo, possivelmente, isolar o componente, a camada ou o problema de configuração que está causando o problema.

Para a solução de problemas gerais de imposição de NAP, você precisa determinar o escopo do problema. A primeira etapa é saber se o problema é efetivamente a imposição de NAP. Para a imposição de IPSec, determine se o cliente NAP tem o conjunto correto de diretivas IPSec para a negociação de mesmo nível IPSec e a proteção dos dados. Para a imposição do DHCP, descubra se o cliente NAP pode trocar mensagens DHCP com um servidor DHCP. Para a imposição de 802.1X e de VPN, determine se o cliente NAP consegue se autenticar com êxito. Por exemplo, caso os clientes VPN não consigam se autenticar para a conexão VPN, verifique as configurações da autenticação e as credenciais dos clientes VPN.

Caso você tenha identificado o problema como sendo da imposição de NAP, determine sua extensão em seguida. Todos os clientes NAP de todos os métodos de imposição de NAP são afetados? Todos os clientes NAP de um determinado método de imposição são afetados? Todos os clientes NAP de um determinado método de imposição e do ponto de imposição de NAP são afetados? Todos os clientes NAP membros de um determinado grupo são afetados? O problema afeta apenas um cliente NAP específico?

Por exemplo, caso todos os clientes NAP estejam enfrentando problemas com todos os tipos de imposição de NAP, talvez haja problemas de configuração nos servidores de diretiva de integridade de NAP. Caso todos os clientes NAP estejam enfrentando problemas com um método de imposição de NAP específico, talvez haja problemas de configuração nas definições da Diretiva de Grupo dos clientes NAP ou nas diretivas de requisito de integridade do método de imposição de NAP específico nos servidores de diretiva de integridade. Caso apenas clientes NAP específicos estejam enfrentando problemas na imposição de NAP, talvez haja problemas de configuração na imposição de NAP desses clientes NAP.

Problemas de imposição de NAP comuns

Recursos NAP

• Introdução à Proteção de Acesso à Rede
• Arquitetura de plataforma da Proteção de Acesso à Rede
• Diretivas da Proteção de Acesso à Rede no Windows Server 2008
• Proteção de Acesso à Rede NPS

Acesso ilimitado Quando um cliente NAP tem acesso ilimitado (não restrito), isso pode acontecer porque ele foi avaliado como sendo compatível pelo servidor de diretiva de integridade de NAP. É exatamente isso o que você quer. No entanto, o acesso ilimitado também poderia ser concedido porque o cliente NAP não recebeu uma SSoHR, que é o que normalmente ocorre quando uma avaliação de integridade não é realizada para o cliente NAP. Caso não haja nenhuma avaliação de integridade de NAP, não há SSoHR enviada novamente para o cliente NAP, e este obtém acesso ilimitado.

Por exemplo, um cliente NAP configurado para a imposição de DHCP enviará a SSoHR para o servidor DHCP. Se o servidor DHCP com o Windows Server 2008 em execução não estiver configurado para a NAP, ele não enviará mensagens de solicitação de avaliação de integridade para um servidor de diretiva de integridade de NAP. Além disso, um servidor DHCP com o Windows Server 2008 em execução configurado para NAP que não consiga atingir um servidor de diretiva de integridade de NAP atribui, por padrão, uma configuração de endereço para acesso ilimitado.

O acesso ilimitado também pode acontecer quando o servidor de diretiva de integridade de NAP não realiza uma avaliação de integridade porque a solicitação de entrada encontrou uma diretiva de rede que não exige avaliação de integridade de NAP. Para obter informações sobre como determinar se a diretiva de rede corresponde à solicitação de um cliente NAP, consulte a seção "Solucionando problemas de imposição de NAP passo a passo" desta coluna.

Acesso restrito Um cliente NAP que tem acesso restrito foi avaliado como sendo não-compatível pelo servidor de diretiva de integridade de NAP. Caso o cliente NAP tenha acesso restrito, embora devesse ter acesso ilimitado, verifique o estado de integridade do cliente NAP em relação às configurações de diretiva de integridade correspondentes à diretiva de rede referente à solicitação do cliente NAP.

Sem correções automáticas Quando configurados apropriadamente, os clientes NAP podem corrigir automaticamente o estado de integridade. Caso os clientes NAP não consigam se corrigir, verifique se a caixa de seleção Habilitar correção automática de computadores cliente está marcada nas configurações da imposição de NAP da diretiva de rede correspondente à solicitação do cliente NAP.

Outro problema que pode afetar a correção automática é quando o cliente NAP restrito não consegue atingir os servidores de atualizações para baixá-las. Para a imposição de IPSec, verifique se os servidores de atualizações têm a diretiva de IPSec correta aplicada. Para a imposição de 802.1X, verifique as configurações na diretiva de rede correspondente que atribuem a ACL (lista de controle de acesso) ou o VLAN ID (identificador da rede local virtual) e verifique a configuração da ACL ou a VLAN dos comutadores ou dos APs (pontos de acesso) sem fio. Para a imposição de VPN ou de DHCP, verifique as configurações na diretiva de rede correspondente ao grupo de servidores de atualizações e se todos os servidores de atualizações estão configurados como membros do grupo. Para a imposição de DHCP, verifique se as opções de escopo do DHCP dos clientes NAP estão configuradas corretamente como, por exemplo, o valor da opção Gateway Padrão da classe do usuário NAP.

Avaliação de incapacidade para NAP Em qualquer método de imposição de NAP, verifique se o cliente de imposição correspondente está habilitado no cliente NAP. Para a imposição de 802.1X e VPN, verifique se o cliente NAP apresenta a verificação de integridade de sistema para o método de autenticação do PEAP habilitada tanto na diretiva de solicitação da conexão quanto no cliente NAP (a caixa de seleção Ativar verificações de Quarentena na caixa de diálogo Propriedades EAP protegidas está marcada).

Cliente NAP não está restrito, mas não consegue chegar à intranet Para a imposição de IPSec, verifique se a diretiva de IPSec dos clientes NAP compatíveis e a diretiva IPSec dos computadores da intranet têm um mesmo conjunto de configurações de negociação e de proteção. Para a imposição de 802.1X, confirme se a diretiva de rede dos clientes NAP compatíveis especifica a ACL ou o VLAN ID da intranet, e não de toda a rede. Verifique a configuração da ACL ou do VLAN ID da intranet nos comutadores ou nos APs sem fio. Para a imposição de VPN, verifique se não há filtros de pacote IP configurados na diretiva de rede para clientes NAP compatíveis restringindo o tráfego dos clientes de VPN.

Solucionando problemas de imposição de NAP passo a passo

Uma forma de iniciar a solução de um problema com a imposição de NAP de um cliente NAP específico é começar pela configuração do cliente NAP, verificar o log de eventos do cliente e, em seguida, acessar o servidor de integridade de NAP para determinar como o serviço NPS processou a solicitação do cliente NAP.

Etapa 1: verificar a configuração do cliente NAP A configuração do cliente NAP consiste em serviços do Windows, clientes de imposição e configurações específicas da imposição de NAP. Para exibir o status do cliente NAP e as informações de configuração, use os comandos netsh nap client show state e netsh nap client show configuration.

Observe que, caso as configurações do cliente NAP estejam sendo fornecidas pela Diretiva de Grupo, todas as configurações do cliente NAP são especificadas por ela e todas as configurações do cliente são ignoradas. Nesse caso, use o comando netsh nap client show grouppolicy para exibir a configuração do cliente NAP baseado na Diretiva de Grupo e fazer as alterações por meio dela.

Para a imposição de IPSec em um computador com o Windows Vista® em execução, use o comando net start para verificar se os serviços Agente de Proteção de Acesso à Rede, IKE e Módulo de Chaveamento IPSec AuthIP, além do Agente de Diretiva IPsec foram iniciados. Use o comando netsh nap client show configuration para verificar se o cliente de imposição da Terceira Parte Confiável IPSec está habilitado. Se necessário, use o snap-in Configuração de Cliente NAP para habilitar o cliente de imposição Terceira Parte Confiável IPSec ou use o comando netsh nap client set enforcement 79619 enabled. Os comandos de imposição netsh nap client set devem ser executados em um prompt de comando com privilégios elevados.

Para a imposição de 802.1X em um computador com o Windows Vista em execução, use o comando net start para verificar se os serviços de protocolo EAP, Agente de Proteção de Acesso à Rede, Serviço de Configuração Automática de Rede com Fio (para imposição de 802.1X em conexões com fio) e Configuração Automática de WLAN (para imposição de 802.1X em conexões sem fio) foram iniciados.

Use novamente o comando netsh nap client show configuration para verificar se o cliente de imposição da Quarentena EAP está habilitado. Se necessário, use o snap-in Configuração de Cliente NAP para habilitar o cliente de imposição da Quarentena EAP ou use o comando netsh nap client set enforcement 79623 enabled. Verifique se a caixa de seleção Ativar verificações de Quarentena está marcada para as propriedades do método de autenticação EAP Protegido da conexão com ou sem fio.

Para a imposição de VPN em um computador com o Windows Vista em execução, use o comando net start para verificar se os serviços de protocolo EAP, Agente de Proteção de Acesso à Rede e Gerenciador de Conexão de Acesso Remoto foram iniciados.

Use a exibição do comando netsh nap client show configuration para verificar se o cliente de imposição da Quarentena de Acesso Remoto está habilitado. Se necessário, use o snap-in Configuração de Cliente NAP para habilitar o cliente de imposição da Quarentena de Acesso Remoto ou o comando netsh nap client set enforcement 79618 enabled. Verifique se a caixa de seleção Ativar verificações de Quarentena está marcada para as propriedades do método de autenticação EAP Protegido da conexão VPN.

Para a imposição de DHCP em um computador com o Windows Vista em execução, use o comando net start para verificar se os serviços Agente de Proteção de Acesso à Rede e Cliente DHCP foram iniciados. Se necessário, use o snap-in Serviços ou a ferramenta Sc.exe para iniciar esses serviços e configurá-los para inicialização automática.

Use a exibição do comando netsh nap client show configuration para verificar se o cliente de imposição da Quarentena DHCP está habilitado. Se necessário, use o snap-in Configuração de Cliente NAP para habilitar o cliente de imposição da Quarentena DHCP ou use o comando netsh nap client set enforcement 79617 enabled.

Etapa 2: verificar o log de eventos do cliente NAP Use o snap-in Visualizar Eventos para verificar os eventos no log criado pelo serviço Agente de Proteção de Acesso à Rede. Nos computadores com o Windows Vista em execução, use o snap-in Visualizar Eventos em Logs de Aplicativos e Serviços\Microsoft\Windows\Proteção de Acesso à Rede\Operacional. Nos computadores com o Windows XP com SP3 em execução, use o snap-in Visualizar Eventos para exibir os eventos NAP no log de eventos do sistema.

Nos eventos de cliente NAP, obtenha a identificação de correlação da avaliação de integridade de cliente NAP. É possível usar a identificação de correlação ou o nome do computador do cliente NAP para localizar o evento de avaliação de integridade no servidor de diretiva de integridade de NAP. A Figura 1 mostra um exemplo de um evento de um cliente NAP incompatível com a identificação de correlação.

Figure 1** Exemplo de um evento de cliente NAP do Windows Vista **(Clique na imagem para aumentar a exibição)

Etapa 3: verificar o log de eventos do NPS No servidor de diretiva de integridade de NAP, use o snap-in Visualizar Eventos para exibir os eventos no log Logs do Windows\Segurança criado pelo serviço NPS. Para exibir os eventos de NPS, no Visualizar Eventos, abra Modos de Exibição Personalizados, Funções do Servidor e clique em Serviços de Acesso e Diretiva de Rede. Para exibir um tópico da ajuda online associado ao evento, clique no link "Ajuda Online do Log de Eventos" da guia Geral do evento.

Eventos de avaliação de integridade de NAP típicos apresentam as identificações 6278 (de acesso ilimitado) ou 6276 (de acesso restrito). Localize o evento de servidor de diretiva de integridade de NAP com base no nome do computador do cliente NAP (o campo Nome da Conta na seção Cliente da descrição do evento) ou a identificação de correlação (o campo Identificador de Sessão na seção Informações de Quarentena da descrição do evento).

Os eventos do log NPS 6278 e 6276 contêm informações sobre a avaliação de integridade NAP como, por exemplo, o nome da diretiva de solicitação de conexão correspondente (o campo Nome da Diretiva de Proxy na seção Detalhes da Autenticação na descrição do evento) e a diretiva de rede correspondente (o campo Nome da Diretiva de Rede na seção Detalhes da Autenticação da descrição do evento). A Figura 2 é um exemplo da guia Detalhes de uma identificação de evento 6276 com o Nome da Diretiva de Proxy, o Nome da Diretiva de Rede e a identificação de correlação (chamada QuarantineSessionID). Trata-se do evento de diretiva de integridade de NAP correspondente ao evento de cliente NAP do Windows Vista na Figura 1.

Figure 2** Exemplo de um evento de servidor de diretiva de integridade de NAP **(Clique na imagem para aumentar a exibição)

Caso não haja nenhum evento correspondente ao evento de cliente NAP, verifique se o serviço Servidor de Diretivas de Rede foi iniciado e se o ponto de imposição de NAP foi configurado corretamente para a NAP e para o uso do servidor de diretiva de integridade NAP como servidor RADIUS. Verifique se as mensagens RADIUS podem ser enviadas entre o ponto de imposição de NAP e o servidor de diretiva de integridade de NAP.

Seguindo essas três etapas, você já deve estar bem encaminhado para saber por que a imposição de NAP não está funcionando como esperado. Para obter mais informações sobre a NAP, consulte a barra lateral "Recursos NAP".

Joseph Davies é redator técnico da Microsoft, além de ensinar e escrever tópicos sobre o sistema de rede do Windows desde 1992. Ele já escreveu oito livros para a Microsoft Press e é autor da coluna online mensal Cable Guy, da TechNet.

© 2008 Microsoft Corporation e CMP Media, LLC. Todos os direitos reservados. A reprodução parcial ou completa sem autorização é proibida..