Clique aqui para instalar o Silverlight*
BrasilAlterar|Todos os sites da Microsoft
Microsoft
Kit Core IO
Seu novo Servidor
Homepage Windows Server 2008 R2

Network Access Protection (NAP) for Windows Server 2008

Publicado em: 06 de setembro de 2006 | Atualizado em: 25 de abril de 2007

A Proteção contra Acesso à Rede (NAP – Network Access Protection) é uma plataforma de reforço à diretiva integrada ao Windows Vista, Microsoft Windows XP e ao Windows Server, também chamado de 2008, que permite a você proteger melhor o que se refere à rede, reforçando a conformidade com os requisitos para integridade do sistema. Com a Proteção contra Acesso à Rede, você pode criar diretivas personalizadas de integridade para validar o computador, antes de permitir o acesso ou a comunicação, para atualizar, automaticamente, os computadores, a fim de garantir sua conformidade contínua e, opcionalmente, para associar os computadores sem conformidade a uma rede restrita, até que eles estejam em ordem.

A Proteção contra Acesso à Rede inclui uma interface de programação da aplicação (API) definida para desenvolvedores e fornecedores, para que eles criem soluções completas para a validação da política de integridade, limitação do acesso à rede e conformidade contínua.

Para validar o acesso a uma rede baseada na integridade do sistema, uma infra-estrutura de rede deve fornecer as seguintes áreas de funcionalidade:

Validação da política da integridade: Determina se os computadores estão em conformidade com os requisitos de integridade.

Limitação do acesso à rede: Limita o acesso a computadores em não-conformidade.

Remediação automática: Fornece atualizações necessárias para permitir que um computador em não-conformidade torne-se concordante.

Conformidade contínua: Atualiza automaticamente os computadores em conformidade para que eles se adaptem às contínuas mudanças nos requisitos da política de integridade.

*
Nesta página
Cenários da Proteção contra Acesso à RedeCenários da Proteção contra Acesso à Rede
Recursos AdicionaisRecursos Adicionais

Cenários da Proteção contra Acesso à Rede

Elaborado para fornecer aos clientes uma solução mais flexível, o NAP pode interoperar com qualquer software que ofereça um agente de integridade do sistema (SHA) e validadores da saúde do sistema (SHV), ou que reconheça seu conjunto de API publicado. Exemplos de soluções de terceiros que trabalham com a Proteção contra Acesso à Rede poderiam ser o antivírus, gerenciamento de patches, VPN e equipamentos de rede. A Proteção contra Acesso à Rede ajuda a fornecer uma solução para os seguintes cenários comuns:

Verificar o status e a integridade de laptops em roaming
Com a Proteção contra Acesso à Rede, os administradores de rede podem verificar a integridade de qualquer laptop quando ele se reconecta à rede da empresa—sem sacrificar a portabilidade e flexibilidade dos laptops.

Garantir a integridade contínua de desktops
Com a adição do software de gerenciamento, você pode gerar relatórios automáticos, as atualizações podem ser feitas automaticamente aos computadores sem conformidade e, quando os administradores alteram as políticas de integridade, os computadores podem ser automaticamente fornecidos com as atualizações mais recentes, prevenindo ameaças dos recursos acessíveis publicamente.

Determinar a integridade de laptops visitantes
Com a Proteção contra Acesso à Rede, os administradores podem determinar se os laptops visitantes estão autorizados a acessar a rede e, se não, podem limitar seu acesso a uma rede restrita, sem solicitar quaisquer atualizações ou alterações na configuração.

Verificar a conformidade e a integridade de computadores domésticos não gerenciados
Usando a Proteção contra Acesso à Rede, os administradores de rede podem verificar os programas solicitados, as configurações do registro, os arquivos ou combinação de todos eles, toda vez que um computador doméstico faz uma conexão VPN à rede, podendo limitar a conexão a uma rede restrita até que os requisitos de integridade do sistema sejam supridos.

Componentes da Proteção contra Acesso à Rede


Network Access Protection Components

NPS/RADIUS

O componente do Remote Authentication Dial-In User Service (RADIUS) do Windows Server 2008 Network Policy Server (NPS) não possui um componente Enforcement Server (ES) ou Enforcement Client (EC) para NAP. Em vez disso, ele trabalha com um servidor de políticas, juntamente com os componentes do NAP ES e NAP EC. Os administradores devem definir os requisitos de integridade do sistema na forma de políticas do NPS server. Os servidores NPS fornecem verificações de política de integridade e se coordenam com o serviço de diretório do Active Directory sempre que um computador tenta obter um certificado ou se conectar com um ponto de acesso de 802,1X, um servidor de rede virtual privada (VPN), ou um serviço de servidor DHCP.

Componentes de Integridade

Agentes de Integridade do Sistema (SHA): Declaram a integridade (estado do patch, assinatura de vírus, configuração do sistema etc.).

Validadores de Integridade do Sistema (SHV): Certificam declarações feitas pelos agentes.

Servidores de Integridade do Sistema: Definem os requisitos de integridade dos componentes de sistema no cliente.

Servidores de Remediação: Instalam os patches necessários, configurações e aplicações, trazendo os clientes a um estado de integridade.

Componentes de Reforço

Cliente de Reforço (EC): Negocia o acesso com os dispositivos de acesso à rede.

Dispositivo de Acesso à Rede: Fornece acesso de rede aos pontos finais para integridade (pode ser um ponto de alternância ou de acesso).

Autoridade de Registro de Integridade: Emite certificados aos clientes que passam verificações de integridade.

Componentes da Plataforma

Agente de Quarentena (QA): Reporta o status de integridade do cliente e se coordena entre o SHA e o EC.

Servidor de Quarentena (QS): Restringe o acesso de rede do cliente baseado no que o SHV certifica.

Mecanismos de Reforço da Proteção contra Acesso à Rede

A Proteção contra Acesso à Rede fornece uma plataforma flexível que suporta os múltiplos mecanismos de reforço ao acesso, incluindo, mas não se limitando a:

Internet Protocol security (IPsec) para autenticação baseada em host

Conexões de rede autenticadas pelo IEEE 802,1X

Redes virtuais privadas (VPNs) para acesso remoto

Protocolo de configuração dinâmica de host (Dynamic Host Configuration Protocol - DHCP)

Os administradores podem usar essa tecnologia, junto ou separadamente, para limitar os computadores em não-conformidade. O Network Policy Server, o substituto do Internet Authentication Service (IAS) do Windows Server 2003 no Windows Server 2008, age como um servidor para todas essas tecnologias.

A Proteção contra Acesso à Rede requer que os servidores executem o Windows Server 2008 e que os clientes executem o Windows Vista, Windows XP com Service Pack 2 (SP2), ou o Windows Server 2008.

Reforço do IPsec

O Reforço do IPsec refere-se ao certificado do servidor de integridade e a um IPsec NAP EC. Esse certificado emite certificados X.509 para colocar os clientes em quarentena quando se determina que eles estejam em conformidade. Esses certificados são então usados para autenticar clientes NAP quando eles iniciam comunicações protegidas pelo IPsec com outros clientes NAP em uma intranet.

O Reforço do IPsec confina a comunicação da sua rede aos nós que são considerados em conformidade e, como ele intensifica o IPsec, você pode definir requisitos para comunicações seguras com clientes por um endereço IP ou base de número da porta TCP/UDP. O Reforço do IPsec confina a comunicação a computadores em conformidade depois de eles terem se conectado com sucesso e obtido uma configuração válida de endereço IP. O Reforço do IPsec é a forma mais potente de acesso limitado de rede na Proteção contra Acesso à Rede.

Reforço 802.1X

O Reforço 802.1X abrange um servidor NPS e um componente EAPHost NAP EC. Usando o Reforço 802.1X, um servidor NPS instrui um ponto de acesso do 802.1X (na Ethernet ou um ponto de acesso sem fio) para colocar um perfil de acesso restrito no cliente 802.1X até que ele realize uma série de funções de remediação. Um perfil de acesso restrito pode consistir de uma série de filtros de pacote IP ou um identificador de LAN virtual (VLAN) para confinar o tráfego de um cliente 802.1X. O Reforço 802.1X fornece forte acesso limitado à rede para todos os computadores que acessam a rede por uma conexão 802.1X.

Reforço da VPN

O Reforço da VPN consiste de um componente VPN NAP ES e um VPN NAP EC. Usando o Reforço da VPN, os servidores VPN podem reforçar os requisitos de política de integridade sempre que um computador tentar fazer uma conexão VPN à rede. O Reforço da VPN fornece forte acesso limitado à rede para todos os computadores que acessam uma rede por conexão VPN.

Reforço do DHCP

O Reforço do DHCP consiste de um componente DHCP NAP ES e um DHCP NAP EC. Usando o Reforço do DHCP, os servidores DHCP podem reforçar os requisitos da política de integridade sempre que um computador tentar emprestar ou renovar uma configuração de endereço IP na rede. O Reforço do DHCP é o mais simples de se implantar, pois todos os computadores clientes DHCP devem emprestar endereços IP. Como o Reforço do DHCP conta com entradas na tabela de roteamento do IP, ele é a forma mais fraca de acesso limitado à rede na Proteção contra Acesso à Rede.

Componentes e Recursos Adicionais na Proteção contra Acesso à Rede

A Proteção contra Acesso à Rede consiste de componentes adicionais de servidores, componentes adicionais de clientes, servidores de remediação e servidores de políticas. Os administradores podem configurar alguns ou todos os componentes quando implementam a Proteção contra Acesso à Rede.

NAP Administration Server
O NAP Administration Server (Servidor de Administração) é componente de um servidor NPS que coordena a saída de todos os validadores do sistema (SHVs) e determina se os componentes do NAP Enforcement Server (NAP ES) devem limitar o acesso de um cliente baseado nos requisitos de política de integridade.

Validador de Integridade do Sistema (SHV)
Um validador de integridade do sistema (SHV) é um software de servidor que valida se o Statement of Health (SoH) enviado por um SHA está de acordo com o bom estado do sistema. Os SHVs são executados no servidor NPS, que deve coordenar a saída de todos os SHVs. Um SHV usa um Statement of Health Response (SoHR) para tanto indicar a conformidade com o estado requerido como para fornecer instruções de remediação.

Política de Integridade
Uma política de integridade especifica condições requeridas para um acesso ilimitado. Essas políticas são configuradas no servidor NPS. Uma rede deve ter mais que uma política de integridade. Por exemplo, os Reforços da VPN e do DHCP devem usar políticas diferentes.

Banco de Dados de Contas
Um banco de dados de contas armazena as contas de usuário e computador e suas propriedades de acesso à rede. Para os domínios do Windows Server 2008, o Active Directory funciona como um banco de dados de contas.

Servidor de Certificado de Integridade
Um servidor de certificado de integridade é a combinação de uma Autoridade de Registro de Integridade (HRA - Health Registration Authority)— um computador que executa o Windows Server 2008 e o Internet Information Services (IIS) — e uma autoridade de certificação (CA). O CA pode ser instalado no computador que executa o Windows Server 2008 ou em um computador separado. O servidor de certificado de integridade certifica os computadores em conformidade. Um certificado de integridade pode ser usado no lugar do Statements of Health (SoHs) para provar que um cliente está em conformidade com os requisitos de sistema.

Servidor de Remediação
Um servidor de remediação consiste de servidores, serviços ou outros recursos que um computador em não-conformidade pode acessar na rede restrita. Esses recursos podem desempenhar a resolução de nome ou armazenar as atualizações de software mais recentes, necessárias para tornar o computador em conformidade com os requisitos de integridade. Por exemplo, um servidor DNS secundário, um servidor de arquivo de assinatura antivírus e um servidor de atualização de software podem ser servidores de remediação. Um SHA pode se comunicar com um servidor de remediação diretamente, ou usar as facilidades do software cliente instalado.

Servidor de Políticas
Os SHVs comunicam-se como servidores de políticas para validar o SoH a partir de um SHA correspondente.

Recursos Adicionais

Visite o site do TechNet – Proteção contra Acesso à Rede  para fazer o download de white papers e manuais passo a passo, além de ver os webcasts.

Proteção contra Acesso à Rede: Perguntas Freqüentes 

Introdução à Proteção contra Acesso à Rede 
Leia este white paper para ter uma visão geral dos cenários NAP e componentes NAP, além de uma breve descrição de como o NAP trabalha em uma comunicação baseada em Internet Protocol security (IPsec), conexões autenticadas em 802,1X, conexões de rede virtual privada (VPN) e protocolo de configuração dinâmica de host (DHCP). Veja uma versão webcast sobre este white paper

Parceiros de Proteção contra Acesso à Rede 
Saiba mais sobre os líderes da indústria que anunciam suporte para Proteção contra Acesso à Rede.



©2015 Microsoft Corporation. Todos os direitos reservados. Entre em contato |Nota Legal |Marcas comerciais |Política de Privacidade