The Cable Guy: DirectAccess com NAP (Proteção de Acesso à Rede)

O DirectAccess é bom. Equipe-o com Proteção de Acesso à Rede e os dois ficam ainda melhor.

Por The Cable Guy

Agora os usuários remotos podem ter acesso mais seguro às redes da empresa. O DirectAccess é um novo recurso no Windows 7 e Windows Server 2008 R2 que oferece aos usuários remotos acesso seguro às fontes de Intranet sem conexão com uma rede virtual privada (VPN).

A Proteção de Acesso à Rede (NAP) é também criada no Windows Server 2008 R2 e Windows 7. Ela monitora e avalia a integridade dos computadores clientes quando tentam se conectar ou comunicar em uma rede.

Os dois juntos são uma combinação formidável. O DirectAccess com NAP permite que você especifique somente os clientes do DirectAccess, que atendem os requisitos de integridade do sistema, possam alcançar os recursos de intranet através da Internet.

Túneis do DirectAccess

Os clientes do DirectAccess que utilizam modelos de acesso completo de intranet ou acesso selecionado de servidor criam os seguintes túneis de IPsec (Segurança de Protocolo de Internet) para um servidor DirectAccess:

• Infra-estrutura do túnel: alcança servidores de intranet DNS (Sistema de Nomes de Domínio) e controladores de domínio AD DS (Serviços de Domínio Active Directory). Por padrão, esse túnel exige um certificado do computador e credenciais de conta do computador do NTLM v2 (NT/LAN Manager versão 2) para autenticação. O cliente DirectAccess cria esse túnel antes que o usuário faça logon.
• Túnel de gerenciamento:. alcança locais de intranet adicionais antes que o usuário faça logon. Os servidores de gerenciamento de intranet podem também criar esse túnel para gerenciar remotamente os clientes DirectAccess. Como o túnel de infraestrutura, por padrão, esse túnel exige um certificado do computador e credenciais de conta do computador do NTLM v2 (NT/LAN Manager versão 2) para autenticação.
• Túnel de intranet: alcança locais de intranet que não estão na lista de endereços de destino nas regras de infraestrutura e gerenciamento de túnel após o usuário ter feito logon. Por padrão, esse túnel exige um certificado do computador e credenciais de conta de usuário Kerberos para autenticação.

Imposição de IPsec e NAP

há uma variedade de métodos de imposição nos quais você pode implantar a NAP e impor requisitos de integridade do sistema para conexão ou comunicação. O método de imposição de IPsec utiliza certificados de integridade — certificados digitais com o identificador de objeto Autenticação de Integridade do Sistema (OID) no campo EKU (Uso Avançado de Chave) e regras de segurança de conexão IPsec que exigem proteção IPsec do tráfego de intranet e autenticação IPsec de mesmo nível com certificados de integridade.

Essa combinação pode impor requisitos de integridade do sistema para comunicação entre computadores em uma intranet. Os computadores que não estão em conformidade com os requisitos de integridade do sistema e não tiverem certificado de integridade não poderão iniciar comunicação na intranet.

A implantação de imposição IPsec requer o seguinte:

• Autoridade de registro de integridade (HRA): um servidor Web que recebe e responde aos clientes NAP e aos seus requisitos para validar a integridade do sistema e obter um certificado de integridade.
• Autoridade de Certificação (CA) da NAP: a CA em sua PKI (Infraestrutura de Chave Pública), tipicamente dedicada, que emite certificados de integridade para clientes NAP compatíveis.
• Servidor de diretiva de integridade de NAP: um NPS (Servidor de Diretivas de Rede) que valida requisitos de integridade do sistema.
• Servidores de atualizações: servidores que contêm clientes com recursos NAP precisam corrigir sua integridade do sistema não compatível.

Os certificados de integridade obtidos através do HRA têm ciclos de vida curtos, tipicamente medidos em horas. Você também poderá emitir isenção de certificados de integridade com tempo de vida para servidores que precisam de certificados de integridade para autenticação de IPsec de mesmo nível mas não precisam realizar validação de integridade do sistema.

DirectAccess com NAP

O DirectAccess com NAP integra a conformidade com integridade do sistema com o processo de conexão do DirectAccess. Quando você combina o DirectAccess com NAP para impor requisitos de integridade do sistema antes de permitir o acesso aos recursos de intranet, você aproveita a infraestrutura NAP para emitir certificados de integridade (servidores de diretivas de integridade NAP, NA CAs, HRAs) e integridade correta do sistema (servidores de atualização). Você também tira vantagem das regras de segurança de conexão do DirectAccess para os túneis de intranet, gerenciamento e infraestrutura.

Por padrão, as regras de segurança de conexão configuradas no cliente DirectAccess e servidor para os túneis de intranet, gerenciamento e infraestrutura não exigem certificados de integridade para autenticação. O conjunto de regras que você precisa modificar para exigir certificados de integridade depende do seguinte:

• Modo de implantação NAP (modo de relatório ou imposição total)

O modo de relatório não exige conformidade com a integridade do sistema. Clientes DirectAccess que não estão em conformidade podem acessar a intranet. Portanto, nenhuma alteração é necessária para as regras de segurança de conexão do DirectAccess.

O modo de imposição total exige conformidade com a integridade do sistema. Nesse modo, você precisa configurar regras de segurança de conexão para exigir certificados de integridade em vez de certificados normais do computador.

• Local de HRAs e servidores de atualização

Você pode localizar HRAs e servidores de atualização na intranet ou Internet.

As seguintes seções descrevem esses locais possíveis de HRAs e servidores de atualização e as alterações resultantes que você precisará fazer, assim as regras de segurança de conexão exigirão certificados de integridade.

Servidores de atualização e HRAs baseados em intranet

Quando os HRAs e os servidores de atualização estão localizados na intranet, eles devem ser acessíveis aos clientes DirectAccess com certificados do computador, mas não certificados de integridade. A validação da integridade ocorre após a criação dos túneis de gerenciamento e infraestrutura. O cliente DirectAccess precisa do túnel de infraestrutura para acessar um servidor de intranet DNS que resolva os nomes de intranet e do túnel de gerenciamento para acessar os HRAs e os servidores de atualização.

Figura 1  DirectAccess com NAP quando os HRAs e os servidores de atualização estão na intranet.

Entretanto, para o modo de imposição total, o cliente DirectAccess precisa de um certificado de integridade antes que possa alcançar outros recursos da intranet. Portanto, o requisito de certificado de integridade somente se aplica às regras de segurança de conexão para o túnel de infraestrutura.

Etapas de configuração

Para configurar o DirectAccess com NAP quando os HRAs e os servidores de atualização estão na intranet, você precisa:

• Adicionar endereços IPv6 dos HRAs e servidores de atualização para a lista de servidores de gerenciamento. É possível fazer isso com a etapa três do Assistente de Configuração do DirectAccess ou com os comandos Netsh.exe.
• Configure a regra de túnel de intranet no GPO (Objeto de Diretiva de Grupo) do servidor do DirectAccess para exigir certificados de integridade com o comando Netsh.exe.

Para obter as etapas com detalhes, consulte Configurar regras de segurança de conexão do DirectAccess para NAP.

Quando você utilizar Netsh.exe para personalizar as regras de segurança de conexão do DirectAccess, as alterações serão sobrescritas na próxima vez em que você aplicar as configurações do Assistente de Configuração do DirectAccess. Para garantir que as configurações personalizadas sejam mantidas, você não deverá mais utilizar o Assistente de Configuração do DirectAccess para alterações de configuração ou compilar uma lista de alterações personalizadas em um script e executá-lo toda vez que aplicar as configurações do Assistente.

Como funciona

O processo seguinte descreve como o DirectAccess com NAP funciona para o cliente DirectAccess quando o HRA e os servidores de atualização estão somente na intranet:

1. Quando o cliente DirectAccess inicia e tenta fazer logon no domínio AD DS com sua conta de computador, ele cria o túnel de infraestrutura utilizando seu certificado de computador. [túnel de infraestrutura]
2. Quando o Agente NAP inicia, o cliente DirectAccess resolve o FQDN (Nome de Domínio Totalmente Qualificado) de uma URL do HRA configurado, cria o túnel de gerenciamento utilizando o certificado do computador e, em seguida envia as informações do estado de integridade atual para o HRA. [túnel de gerenciamento]
3. O HRA envia as informações do estado de integridade do cliente DirectAccess para o servidor de diretiva de integridade de NAP. [tráfego de intranet]
4. O servidor de diretiva de integridade de NAP avalia as informações do estado de integridade do cliente DirectAccess, determina se está em conformidade e envia os resultados para o HRA. [tráfego de intranet]
5. O HRA envia ao cliente DirectAccess os resultados da avaliação de integridade. [túnel de gerenciamento]
6. Supondo-se o estado de integridade em conformidade, o HRA obtém um certificado de integridade de um CA da NAP e o envia ao cliente DirectAccess. [túnel de gerenciamento]
7. Quando o cliente DirectAccess tenta acessar um recurso na intranet, ele primeiro cria o túnel de intranet utilizando o certificado de integridade. [túnel de intranet]

Se cliente DirectAccess não estiver em conformidade:

1. O HRA envia ao cliente DirectAccess os resultados da avaliação de integridade, os quais incluem instruções de atualização de integridade e não obtém um certificado de integridade. [túnel de gerenciamento]
2. Dependendo dos componentes de avaliação da integridade instalados, o cliente DirectAccess poderá precisar do acesso aos servidores de atualização para corrigir seu estado de integridade. Nesse caso, o cliente DirectAccess envia solicitações de atualização para os servidores de atualização apropriados. [túnel de gerenciamento]
3. Os servidores de atualização fornece ao cliente DirectAccess as configurações exigidas ou as atualizações para estar em conformidade com os requisitos de integridade do sistema. [túnel de gerenciamento]
4. O cliente DirectAccess envia suas informações atualizadas do estado de integridade para o HRA. [túnel de gerenciamento]
5. O HRA envia as informações atualizadas do estado de integridade para o servidor de diretivas de integridade da NAP. Supondo-se que todas as atualizações necessárias tenham sido feitas, o servidor de diretivas de integridade da NAP determina que o cliente DirectAccess está em conformidade e envia o resultado para o HRA. [tráfego de intranet]
6. O HRA obtém um certificado de integridade do CA da NAP [tráfego de intranet]
7. O HRA envia o certificado de integridade para o cliente DirectAccess. [túnel de gerenciamento]
8. Quando o cliente DirectAccess tenta acessar um recurso na intranet, ele cria o túnel de intranet utilizando o certificado de integridade. [túnel de intranet]

Servidores de atualização e HRAs baseados em Internet

Quando os servidores de atualização e os HRAs estão localizados somente na Internet, serão sempre acessíveis para os clientes DirectAccess e a validação de integridade do sistema ocorrerá independentemente dos túneis DirectAccess.

Figura 2 mostra a configuração quando os servidores de atualização e os HRAs estão somente na Internet. Para obter mais informações sobre essa configuração, consulte “NAP na Internet”, artigo do The Cable Guy de junho de 2009.

Figura 2  DirectAccess com NAP quando os HRAs e os servidores de atualização estão na Internet.

Para o modo de imposição total, o cliente DirectAccess precisa de um certificado de integridade antes que alcance qualquer recurso da intranet com exceção dos servidores de gerenciamento, os quais serão necessários par gerenciar remotamente ou suportar clientes DirectAccess, que não estejam em conformidade, da intranet. Portanto, o requisito de certificado de integridade se aplica às regras de segurança de conexão para os túneis de infraestrutura, intranet e gerenciamento (opcional).

Etapas de configuração

Para configurar o DirectAccess com NAP quando os HRAs e os servidores de atualização estão na Internet, você precisará alterar as regras dos túneis de infraestrutura, intranet e gerenciamento no GPO do servidor do DirectAccess server GPO para exigir certificados de integridade com os comandos Netsh.exe.

Os seguintes comandos utilizam os nomes padrão dos GPOs e as regras de segurança de conexão quando configurados pelo Assistente de Configuração do DirectAccess no Windows Server 2008 R2:

1. Em um prompt de comando no nível de administrador, execute o comando netsh –c advfirewall.
2. No prompt netsh advfirewall, execute os seguintes comandos:

set store gpo="DomainName\DirectAccess Policy-{ab991ef0-6fa9-4bd9-bc42-3c397e8ad300}"

consec set rule "DirectAccess Policy-DaServerToDnsDC" new auth1=computercert auth1ca=CANameString auth1healthcert=yes applyauthz=yes

consec set rule "DirectAccess Policy-DaServerToCorp" new auth1=computercert auth1ca=CANameString auth1healthcert=yes applyauthz=yes

consec set rule "DirectAccess Policy-DaServerToMgmt" new auth1=computercert auth1ca=CANameString auth1healthcert=yes applyauthz=yes

Observações: DomainName é o FQDN do seu domínio AD DS. CANameString é o valor do campo Auth1CAName na exibição do comando consec show rule name=“DirectAccess Policy-DaServerToCorp”.

Execute o último comando somente se você tiver servidores de gerenciamento definidos e quiser evitar que os clientes DirectAccess que não estão em conformidade tenham acesso.

Como funciona

O processo seguinte descreve como o DirectAccess com NAP funciona para o cliente DirectAccess quando os HRAs e os servidores de atualização estão somente na Internet:

1. Quando o cliente DirectAccess inicia, ele tenta fazer logon no domínio AD DS com sua conta de computador e cria o túnel de infraestrutura. Devido ao cliente DirectAccess não possuir certificado de integridade, essa tentativa é sem êxito. [tráfego de Internet]
2. Quando o Agente NAP inicia, o cliente DirectAccess resolve o FQDN ode uma URL do HRA e, em seguida, envia sua informações atuais do estado de integridade para o HRA na Internet. [tráfego de Internet]
3. O HRA envia as informações do estado de integridade do cliente DirectAccess para um servidor de diretiva de integridade de NAP. [tráfego de intranet]
4. O servidor de diretiva de integridade de NAP avalia as informações do estado de integridade do cliente DirectAccess, determina se está em conformidade e envia os resultados para o HRA. [tráfego de intranet]
5. O HRA envia ao cliente DirectAccess os resultados da avaliação de integridade. [tráfego de Internet]
6. Supondo-se o estado de integridade em conformidade, o HRA obtém um certificado de integridade de um CA da NAP e o envia ao cliente DirectAccess. [tráfego de Internet]
7. Na próxima vez em que o computador do cliente DirectAccess fizer logon no domínio AD DS com sua conta de computador ou resolver um FQDN de intranet, ele primeiro criará o túnel de infraestrutura utilizando o certificado de integridade. [túnel de infraestrutura]
8. Quando o cliente DirectAccess precisa acessar um recurso na intranet, ele primeiro cria o túnel de intranet utilizando o certificado de integridade. [túnel de intranet]

Se cliente DirectAccess não estiver em conformidade:

1. O HRA envia ao cliente DirectAccess os resultados da avaliação de integridade, os quais incluem instruções de atualização de integridade e não obtém um certificado de integridade. [tráfego de Internet]
2. Dependendo dos componentes de avaliação da integridade instalados, o cliente DirectAccess poderá precisar do acesso aos servidores de atualização para corrigir seu estado de integridade. Nesse caso, o cliente DirectAccess envia solicitações de atualização para os servidores de atualização apropriados. [tráfego de Internet]
3. Os servidores de atualização fornece ao cliente DirectAccess as configurações exigidas ou as atualizações para estar em conformidade com os requisitos de integridade do sistema. [tráfego de Internet]
4. O cliente DirectAccess envia suas informações atualizadas do estado de integridade para o HRA. [tráfego de Internet]
5. O HRA envia as informações atualizadas do estado de integridade para o servidor de diretivas de integridade da NAP. Supondo-se que todas as atualizações necessárias tenham sido feitas, o servidor de diretivas de integridade da NAP determina que o cliente DirectAccess está em conformidade e envia o resultado para o HRA. [tráfego de intranet]
6. O HRA obtém um certificado de integridade do CA da NAP [tráfego de intranet]
7. O HRA envia o certificado de integridade para o cliente DirectAccess. [tráfego de Internet]
8. Na próxima vez em que o computador do cliente DirectAccess fizer logon no domínio AD DS com sua conta de computador ou resolver um FQDN de intranet, ele primeiro criará o túnel de infraestrutura utilizando o certificado de integridade. [túnel de infraestrutura]
9. Quando o cliente DirectAccess precisa acessar um recurso na intranet, ele cria o túnel de intranet utilizando o certificado de integridade. [túnel de intranet]

Joseph Davies* é o autor técnico principal da equipe de escritores sobre rede Windows na Microsoft. Ele é autor e coautor de diversos livros publicados pela editora da Microsoft, incluindo “Windows Server 2008 Networking and Network Access Protection (NAP),” “Understanding IPv6, Second Edition” e “Windows Server 2008 TCP/IP Protocols and Services.*

Conteúdo relacionado:

• DirectAccess com solução NAP
• Página da Web de introdução ao DirectAccess
• Página da Web sobre informações do produto NAP