Mdulo 12 Configurao da Proteo de Acesso Rede

Viso geral do mdulo

Viso geral da Proteo de Acesso Rede Funcionamento da NAP Configurao da NAP Monitoramento e soluo de problemas da NAP

Lio 1: Viso geral da Proteo de Acesso Rede

O que Proteo de Acesso Rede? Cenrios de NAP Mtodos de imposio de NAP Arquitetura da plataforma NAP Interaes da arquitetura NAP Infra-estrutura do cliente NAP Infra-estrutura do servidor NAP Comunicao entre componentes da plataforma NAP

O que Proteo de Acesso Rede?

A Proteo de Acesso Rede pode: Impor diretivas de requisito de integridade nos computadores cliente Assegurar que os computadores cliente estejam compatveis com as diretivas Oferecer suporte de remediao a computadores que no atendem aos requisitos de integridade A Proteo de Acesso Rede no pode: Impedir que usurios no autorizados com computadores compatveis realizem atividades mal-intencionadas Restringir o acesso do Windows XP SP2 e anterior quando as regras de exceo estiverem configuradas para esses computadores

Pgina de anotaes - Slide excedente. No imprima o slide. Consulte o painel de anotaes.

Cenrios de NAP

A NAP beneficia a infra-estrutura da rede verificando o estado de integridade de: Computadores mveis (laptops) Computadores desktop Laptops visitantes Computadores particulares no gerenciados

Mtodos de imposio de NAP

Mtodo Pontos principais
O computador precisa estar compatvel para

Imposio IPsec para comunicaes protegidas por IPsec

comunicar-se com outros computadores compatveis

O tipo mais forte de imposio de NAP e pode ser

aplicado por endereo IP ou nmero de porta de protocolo

O computador precisa estar compatvel para

Imposio 802.1X para conexes com ou sem fio autenticadas por IEEE 802.1X Imposio VPN para conexes de acesso remoto

obter acesso ilimitado por meio de uma conexo 802.1X (opo de autenticao ou ponto de acesso)
O computador precisa estar compatvel para

obter acesso ilimitado por meio de uma conexo RAS

O computador precisa estar compatvel para

Imposio DHCP para configurao de endereo baseada em DHCP

receber de DHCP uma configurao de endereo IPv4 com acesso ilimitado

Essa a forma mais fraca de imposio de NAP

Arquitetura da plataforma NAP

Servidor VPN Active Directory Dispositivos IEEE 802.1X

Autoridade de Registro de Integridade

Internet Rede de permetro

Servidor DHCP

Intranet

Servidor de diretiva de integridade de NAP

Rede restrita
Servidores de atualizaes Cliente NAP com acesso limitado

Interaes da arquitetura NAP

Servidor de atualizaes Mensagens RADIUS HRA Servidor de requisitos de integridade Consultas de requisito de integridade do sistema

Atualizaes de integridade do sistema

Servidor DHCP

Cliente NAP

Servidor VPN

Servidor de diretiva de integridade de NAP

Dispositivos de acesso rede IEEE 802.1X

Infra-estrutura do cliente NAP

Servidor de atualizaes 1 Servidor de atualizaes 2

SHA_1

SHA_2

SHA_3 ...

API de SHA

Agente NAP

API do EC de NAP EC_A de NAP EC_B de NAP EC_C de NAP ...

Cliente NAP

Demonstrao: Uso da ferramenta de Configurao de Cliente NAP

Nesta demonstrao, voc ver como:
Examinar a ferramenta de Configurao de Cliente NAP

Infra-estrutura do servidor NAP

Servidor de requisitos de integridade 1 Servidor de requisitos de integridade 2

SHV_1

SHV_2

SHV_3

...

Servidor de diretiva de integridade de NAP

API de SHV

Servidor de Administrao de NAP

Servio NPS
Ponto de imposio de NAP baseado em Windows

RADIUS

ES_A de NAP

ES_B de NAP

ES_C de NAP

...

Comunicao entre componentes da plataforma NAP

Servidor de atualizaes 1 Servidor de requisitos de integridade 1 Servidor de requisitos de integridade 2 Servidor de diretiva de integridade de NAP

Servidor de atualizaes 2

SHA1

SHA2

SHV_1

SHV_2

SHV_2

API de SHA

API de SHV Servidor de Administrao de NAP

Agente NAP Servio NPS Cliente NAP API do EC de NAP EC_A de NAP EC_B de NAP RADIUS ES_B de NAP ES_A de NAP Ponto de imposio de NAP baseado em Windows

Pgina de anotaes - Slide excedente. No imprima o slide. Consulte o painel de anotaes.

Lio 2: Funcionamento da NAP

Processos de imposio da NAP Funcionamento da imposio IPsec Funcionamento da imposio 802.1x Funcionamento da imposio VPN Funcionamento da imposio DHCP

Processos de imposio da NAP

Para validar o acesso rede baseado na diretiva do sistema, uma infraestrutura de rede deve oferecer a seguinte funcionalidade:
Validao da diretiva de integridade: determina se os computadores esto compatveis com os requisitos de diretiva de integridade Limitao do acesso rede: limita o acesso dos computadores incompatveis Remediao automtica: fornece as atualizaes necessrias para que um computador incompatvel torne-se compatvel Conformidade contnua: Atualiza automaticamente os computadores compatveis para que eles aceitem as alteraes contnuas dos requisitos de diretiva de integridade

Funcionamento da imposio IPsec

Pontos principais da imposio de NAP para IPsec:
Consiste em um servidor de certificados de integridade e em um cliente de imposio da NAP para IPsec O servidor de certificados de integridade emite certificados X.509 para os clientes quando so confirmados como compatveis Em seguida, os certificados so usados para autenticar clientes NAP quando eles iniciam comunicaes protegidas por IPsec com outros clientes NAP na Intranet A imposio IPsec limita a comunicao em uma rede aos ns considerados compatveis Voc pode definir requisitos para comunicaes seguras com clientes compatveis, por endereo IP ou por nmero de porta de TCP/UDP

Pgina de anotaes - Slide excedente. No imprima o slide. Consulte o painel de anotaes.

Funcionamento da imposio 802.1x

Pontos principais da imposio de NAP para 802.1X com ou sem fio:
O computador precisa estar compatvel para obter acesso ilimitado rede por meio de uma conexo de rede autenticada por 802.1X Os computadores incompatveis so limitados por meio de um perfil de acesso restrito que o comutador Ethernet ou o ponto de acesso sem fio coloca na conexo Os perfis de acesso restrito podem especificar os filtros de pacote IP ou um identificador (ID) da LAN virtual (VLAN) correspondente rede restrita A imposio 802.1X monitora ativamente o status de integridade do cliente NAP conectado e aplicar o perfil de acesso restrito conexo se o cliente ficar incompatvel

A imposio 802.1X consiste no NPS no Windows Server 2008 e em um cliente de imposio EAPHost no Windows Vista, Windows XP com SP2 (com o Cliente NAP para Windows XP) e Windows Server 2008

Pgina de anotaes - Slide excedente. No imprima o slide. Consulte o painel de anotaes.

Funcionamento da imposio VPN

Pontos principais da imposio de NAP para VPN:
O computador precisa estar compatvel para obter acesso ilimitado rede por meio de uma conexo VPN de acesso remoto Os computadores incompatveis tm o acesso rede limitado por meio de um conjunto de filtros de pacote IP que so aplicados conexo VPN pelo servidor VPN A imposio VPN monitora ativamente o status de integridade do cliente NAP e aplicar os filtros de pacote IP da rede restrita conexo VPN se o cliente ficar incompatvel

A imposio VPN consiste no NPS no Windows Server 2008 e em um cliente de imposio VPN como parte do cliente de acesso remoto no Windows Vista, Windows XP com SP2 (com o Cliente NAP para Windows XP) e Windows Server 2008

Pgina de anotaes - Slide excedente. No imprima o slide. Consulte o painel de anotaes.

Funcionamento da imposio DHCP

Pontos principais da imposio de NAP para DHCP:
O computador precisa estar compatvel para obter de um servidor DHCP uma configurao de endereo IPv4 com acesso ilimitado Os computadores incompatveis tm acesso rede limitado por uma configurao de endereo IPv4 que permite acesso somente rede restrita A imposio DHCP monitora ativamente o status de integridade do cliente NAP e renovar a configurao de endereo IPv4 para acesso somente rede restrita se o cliente ficar incompatvel

A imposio DHCP consiste em um servidor de imposio DHCP, que faz parte do servio do Servidor DHCP no Windows Server 2008, e em um cliente de imposio DHCP, que faz parte do servio do Cliente DHCP no Windows Vista, Windows XP com SP2 (com Cliente NAP para Windows XP) e Windows Server 2008

Pgina de anotaes - Slide excedente. No imprima o slide. Consulte o painel de anotaes.

Lio 3: Configurao da NAP

O que so validadores da integridade do sistema? O que diretiva de integridade? O que so grupos de servidores de atualizaes? Configurao de cliente NAP

O que so validadores da integridade do sistema?

Os validadores da integridade do sistema so equivalentes de software de servidor para agentes de integridade do sistema

Cada SHA do cliente tem um SHV correspondente no NPS Os SHVs permitem que o NPS verifique a declarao de integridade feita pelo SHA correspondente do cliente Os SHVs contm as definies de configurao necessrias nos computadores cliente O SHV da Segurana do Windows corresponde ao SHA da Microsoft nos computadores cliente

O que diretiva de integridade?

Para usar o Validador da Integridade da Segurana do Windows, necessrio configurar uma diretiva de integridade e atribuir o SHV a ela
As diretivas de integridade consistem em um ou mais SHVs e em outras configuraes que permitem definir os requisitos de configurao do computador cliente para computadores compatveis com NAP que tentam conectar-se sua rede Voc pode definir diretivas de integridade do cliente no NPS adicionando um ou mais SHVs diretiva de integridade

A imposio de NAP executada pelo NPS, por diretiva de rede

Depois de criar uma diretiva de integridade, adicionando um ou mais SHVs diretiva, voc pode adicionar essa diretiva diretiva de rede e habilitar a imposio de NAP na diretiva

O que so grupos de servidores de atualizaes?

Com a imposio de NAP em vigor, voc deve especificar os grupos de servidores de atualizaes, para que os clientes tenham acesso aos recursos que fazem com que clientes NAP sejam compatveis

Um servidor de atualizaes hospeda as atualizaes que o agente NAP pode usar para tornar os computadores cliente compatveis com a diretiva de integridade definida pelo NPS Um grupo de servidores de atualizaes uma lista de servidores da rede restrita que os clientes NAP incompatveis podem acessar para obter atualizaes de software

Configurao de cliente NAP

Algumas implantaes de NAP que usam o Validador da Integridade da Segurana do Windows exigem a habilitao da Central de Segurana O servio de Proteo de Acesso Rede necessrio quando voc implanta a NAP em computadores cliente compatveis com NAP Alm disso, necessrio configurar os clientes de imposio de NAP nos computadores compatveis com NAP

Demonstrao: Uso do assistente de configurao de NAP para aplicar diretivas de acesso rede
Nesta demonstrao, voc ver como:
Criar diretivas de NAP para DHCP Configurar a imposio DHCP no servidor DHCP Usar o snap-in Gerenciamento de Clientes NAP para

habilitar o EC

Pgina de anotaes - Slide excedente. No imprima o slide. Consulte o painel de anotaes.

Lio 4: Monitoramento e soluo de problemas da NAP

O que rastreamento de NAP? Configurao do rastreamento de NAP

O que rastreamento de NAP?

O rastreamento de NAP identifica os eventos de NAP e os registra em um arquivo de log baseado em um dos seguintes nveis de rastreamento: Bsico Avanado Depurao Os logs de rastreamento podem ser usados para: Avaliar a integridade e a segurana da rede Soluo de problemas e manuteno O rastreamento de NAP fica desabilitado, por padro, ou seja, nenhum evento NAP registrado nos logs de rastreamento

Configurao do rastreamento de NAP

Voc pode configurar o rastreamento de NAP usando uma das seguintes ferramentas: O console de Gerenciamento de Clientes NAP A ferramenta de linha de comando Netsh Para habilitar a funcionalidade de registro em log, voc precisar ser membro do grupo Administradores locais Os logs de rastreamento ficam localizados no seguinte diretrio: %raizdosistema%\tracing\nap

Demonstrao: Configurao de rastreamento

Nesta demonstrao, voc ver como:
Configurar o rastreamento na GUI Configurar o rastreamento na linha de comando Exibir os arquivos de log

Laboratrio: Configurao da NAP para DHCP e VPN

Exerccio 1: Configurao da Proteo de Acesso Rede

(NAP) para clientes DHCP (Dynamic Host Configuration Protocol)

Exerccio 2: Configurao da NAP para clientes VPN

Informaes de logon

Mquina virtual Nome de usurio Senha

NYC-DC1, NYC-SVR1, NYC-CL1

Administrador Pa$$w0rd

Tempo estimado: 120 minutos

Cenrio do laboratrio
Como especialista em tecnologia do Woodgrove Bank, voc precisa estabelecer um meio de tornar compatveis os computadores cliente de forma automtica. Para isso, voc usar o Servidor de Diretiva de Rede, criando diretivas de conformidade do cliente e configurando um servidor NAP para verificar a integridade atual dos computadores.

Reviso do laboratrio
O mtodo de imposio de NAP para DHCP o mais fraco

do Microsoft Windows Server 2008. O que o torna menos preferido que os outros?
Voc poderia usar a soluo NAP de acesso remoto junto

com a soluo NAP para IPsec? Que vantagem seria obtida usando esse cenrio?
Voc poderia ter usado a imposio de NAP para DHCP para

o cliente de Roteamento e Acesso Remoto?

Reviso do mdulo e informaes

Perguntas de reviso Prticas recomendadas Ferramentas

Pgina de anotaes - Slide excedente. No imprima o slide. Consulte o painel de anotaes.