Diretivas de Segurança

Transcrição

1 Diretivas de Segurança

2 Sobre o documento ESTE DOCUMENTO NÃO É UMA ESPECIFICAÇÃO DE PRODUTO. Este documento suporta a versão Beta 3 do Windows Server Longhorn. As informações contidas no mesmo representam a visão atual da Microsoft Corporation sobre os assuntos discutidos até a data da publicação. A Microsoft deve reagir às constantes alterações nas condições do mercado, e sendo assim este documento não deve ser interpretado como um compromisso por parte Microsoft, e a Microsoft não pode garantir a precisão de qualquer informação aqui. Este documento tem propósito exclusivamente informativo. A MICROSOFT NÃO OFERECE GARANTIAS, EXPRESSAS, IMPLÍCITAS OU REGULAMENTARES ACERCA DAS INFORMAÇÕES CONTIDAS NESTE DOCUMENTO. As informações contidas neste documento, incluindo URL e outras referências a sites da Internet, estão sujeitas a alterações a qualquer momento. Salvo disposição em contrário, os exemplos de empresas, organizações, produtos, nomes de domínio, endereços de , logotipos, pessoas, lugares e eventos aqui descritos são fictícios e não têm relação alguma com qualquer empresa, organização, produto, nome de domínio, endereço de , logotipo, pessoa, lugar ou evento real. É de responsabilidade do usuário o respeito a toda a legislação de copyright aplicável. A Microsoft concede o direito de reprodução deste guia, no todo ou em parte. A Microsoft pode deter as patentes, as solicitações de patentes, as marcas comerciais, os direitos autorais ou outras propriedades intelectuais pertinentes ao objeto deste documento. Salvo expressamente disposto em qualquer contrato de licença escrito da Microsoft, o fornecimento deste documento não confere a você qualquer licença em relação a essas patentes, marcas comerciais, direitos autorais ou outras propriedades intelectuais Microsoft Corp. Todos os direitos reservados. Microsoft, Windows Server, o logo do Windows, Windows, Active Directory, Windows Vista, BitLocker, Internet Explorer, Windows Server System, Windows NT, Windows Mobile, Windows Media, Aero, ClearType, RemoteApp, SharePoint, ActiveX, Outlook, Authenticode, Visual Basic, Win32, WinFX, Windows PowerShell e MSDN são marcas comerciais da Microsoft. Os nomes das empresas e dos produtos mencionados aqui podem ser marcas comerciais de seus respectivos proprietários.

3 Introdução à Aplicação de Diretivas e Segurança O foco deste cenário é a conformidade aprimorada de segurança e gerenciamento que se torna possível por meio dos recursos de acesso voltados às diretivas para as organizações que implantaram o Windows Server Longhorn com Windows Vista, Windows XP SP2 e o Windows Server 2003 R2. Esse cenário também inclui o conjunto completo de serviços de identidade e acesso de que os clientes precisam para fornecer o gerenciamento d de usuários, a consolidação de diretórios, o logon único, a autenticação forte e a proteção e federação de informações. Proposta de Valor para os Cenários O reforço de diretivas e de segurança permite: Determinar a integridade e o status de laptops e computadores domésticos nãogerenciados (desktop e laptop), verificar a conformidade e reforçar a remediação de dispositivos não-conformes. Simplificar tarefas administrativas, como atualizações de sistema e instalações de aplicativos. Determinar a integridade de laptops visitantes e reforçar a inspeção de dados de camada de aplicativos, verificando a existência de malware. Simplificar tarefas administrativas, como atualizações de sistema e instalações de aplicativos. Utilizar a qualidade de serviço baseada em diretivas para priorizar e gerenciar a taxa de envio do tráfego de rede contínuo e a filtragem do tráfego de entrada e saída. Aprimorar o acesso sem fio à rede, dando suporte a redes que utilizam switches de autenticação, mecanismos aprimorados de criptografia e a integração com o NAP (Network Access Protection) para diretivas específicas sem fio que dão suporte à autenticação 802.1x. Ajudar a estender, de forma segura, as informações e os aplicativos aos parceiros de negócios, como também dar proteção a eles. Reduzir o risco de acesso não-autorizado por meio da autenticação forte. Reduzir o número de contas de usuário e repositórios que precisam de gerenciamento. Ajudar no gerenciamento seguro das contas e informações de usuário fora do datacenter. Ativar a troca flexível de informações dentro e fora da organização, enquanto o controle de acesso granular é mantido. Requisitos Especiais de Hardware Os requisitos de hardware adicionais são estes: Os smart cards são exigidos para clientes que desejam implantar uma solução de autenticação forte e, dessa forma, reduzir o risco de acesso sem autorização. Placas de acesso sem fio e pontos de acesso são exigidos para o acesso seguro sem fio.

4 89

5 Serviços de Acesso e Diretiva de Rede Os Serviços de Acesso e Diretiva de Rede (Network Policy and Access Services) fornecem uma variedade de métodos para oferecer conectividade de rede remota e local aos usuários, para conectar segmentos de rede e permitir que os administradores de rede gerenciem, de forma centralizada, o acesso à rede e as diretivas de integridade do cliente. Com os Serviços de Acesso à Rede (Network Access Services), é possível implantar servidores VPN e de discagem, roteadores e o acesso sem fio protegido pela autenticação Você também pode implantar servidores e proxies RADIUS e utilizar o Connection Manager Administration Kit para criar perfis de acesso remoto os quais permitam que os computadores cliente conectem-se a sua rede. Os Serviços de Acesso e Diretiva de Rede fornecem as seguintes soluções de conectividade de rede: Proteção Contra Acesso à Rede. A Proteção Contra Acesso à Rede, ou NAP (Network Access Protection), é uma criação de diretiva de integridade de cliente, uma tecnologia de reforço e remediação incluída nos sistemas operacionais Windows Vista Business, Enterprise e Ultimate, como também no Windows Server Longhorn. Com o NAP, os administradores de sistema podem estabelecer e, automaticamente, forçar diretivas de integridade, as quais podem incluir requisitos de software, de atualização de rede, configurações exigidas de computador, além de outras configurações. Computadores cliente que não estiverem de acordo com a diretiva de integridade podem ter o acesso de rede restringido até que suas configurações sejam atualizadas, fazendo com que estejam de acordo com a diretiva. Dependendo da forma com que implantar o NAP, os clientes não-conformes serão automaticamente atualizados, de forma que os usuários possam rapidamente obter novamente o acesso completo à rede, sem a necessidade de atualizar ou reconfigurar manualmente seus computadores. Proteção contra Acesso com e sem fio. Ao implantar pontos de acesso sem fio 802.1X, o acesso seguro sem fio fornece aos usuários um método de autenticação baseado em senhas e com segurança aprimorada fácil de ser implantado. Ao implantar switches de autenticação 802.1X, o acesso com fio permite que você assegure sua rede, garantindo que os usuários da intranet sejam autenticados antes que possam conectar-se à rede ou obter um endereço IP utilizando o DHCP. Soluções de acesso remoto. Com as soluções de acesso remoto, você pode fornecer aos usuários o acesso discado e VPN à rede da organização. Além disso, é possível conectar os escritórios de filiais a sua rede por meio de soluções VPN, implantar roteadores de software com diversos recursos em sua rede, como também compartilhar conexões da Internet pela intranet. Gerenciamento central de diretivas de rede com o servidor e o proxy RADIUS. Em vez de configurar diretivas de acesso à rede em cada servidor de acesso à rede, como pontos de acesso sem fio, switches de autenticação, servidores VPN e servidores de discagem, você poderá criar diretivas em um único local que especifique todos os aspectos das solicitações de conexão à rede, incluindo quem tem permissão para conectar-se, quando a conexão poderá ser feita e o nível de segurança que deve ser utilizado para conectar-se a sua rede. Serviços de Função para Serviços de Acesso e Diretiva de Rede

6 91 Ao instalar os Serviços de Acesso e Diretiva de Rede, os seguintes serviços de função estarão disponíveis: Network Policy Server. O NPS é a implementação da Microsoft de um servidor e proxy RADIUS. Ele pode ser utilizado para gerenciar, de forma centralizada, o acesso à rede por meio de uma variedade de servidores de acesso à rede, incluindo pontos de acesso sem fio, servidores VPN (virtual private networking) servidores de discagem e switches de autenticação 802.1X. Além disso, você pode utilizar o NPS para implantar a autenticação segura de senhas com o protocolo PEAP (Protected Extensible Authentication Protocol)-MS-CHAP v2 para conexões sem fio. O NPS também contém componentes principais para a implantação do NAP na rede. As seguintes tecnologias podem ser implantadas após a instalação do serviço de função NPS: o o o o Servidor de diretiva NAP. Quando você configura o NPS como um servidor de diretiva NAP, o NPS avalia o SoH (statements of health) enviado pelos computadores clientes ativados para o NAP que desejam conectar-se à rede. Você pode configurar diretivas NAP no NPS que permitam que os computadores cliente atualizem suas configurações de forma que estejam de acordo com a diretiva de rede de sua organização. IEEE Sem fio. Com a utilização do snap-in do MMC (Microsoft Management Console) NPS, você pode configurar diretivas de solicitação de conexão baseadas na autenticação 802.1X para o acesso à rede cliente sem fio IEEE Além disso, você pode configurar pontos de acesso sem fio como clientes RADIUS (Remote Authentication Dial-In User Service) no NPS e utilizar o NPS como um servidor RADIUS para processar solicitações de conexão, bem como realizar a autenticação, autorização e registro de conexões sem fio É possível integrar totalmente o acesso sem fio IEEE com o NAP durante a implantação de uma infra-estrutura de autenticação sem fio 802.1X para que o status de integridade dos clientes sem fio seja verificado diante da diretiva de integridade antes que os clientes tenham permissão para conectar-se à rede. IEEE Com fio. Com a utilização do snap-in do MMC NPS, você pode configurar diretivas de solicitação de conexão baseadas na autenticação 802,1X para o acesso à rede Ethernet com fio IEEE Você pode configurar switches em conformidade com o 802.1X como clientes RADIUS no NPS e utilizar o NPS como um servidor RADIUS para processar solicitações de conexão, bem como realizar autenticação, autorização e registro de conexões Ethernet É possível integrar totalmente o acesso cliente com fio IEEE com o NAP durante a implantação de uma infra-estrutura de autenticação com fio 802.1X. Servidor RADIUS. O NPS realiza a autenticação de conexão centralizada, a autorização e o registro de conexões VPN, discadas de acesso remoto e de switch de autenticação. - Dúvida Ao utilizar o NPS como um servidor RADIUS, você configura servidores de acesso à rede, tais como pontos de acesso sem fio e servidores VPN, como clientes RADIUS no NPS. Você também pode configurar diretivas de rede utilizadas pelo NPS para autorizar solicitações de conexão, além de poder configurar o registro RADIUS para que os logs do NPS registrem informações nos arquivos de

7 92 o log no disco rígido local ou em um banco de dados do Microsoft SQL Server. Proxy RADIUS. Ao utilizar o NPS como um proxy RADIUS, você poderá configurar diretivas de solicitação de conexão que informem o servidor NPS quais solicitações de conexão devem ser encaminhadas a outros servidores RADIUS e para quais servidores RADIUS você deseja encaminhar solicitações de conexão. O NPS também pode ser configurado para encaminhar dados de registro a serem gravados por um ou mais computadores em um grupo de servidores RADIUS remotos. Roteamento e Acesso Remoto. Com o Roteamento e Acesso Remoto, você pode implantar serviços de acesso remoto, serviços de roteamento NAT de rede e multiprotocolos LAN-to-LAN e LAN-to-WAN. (Dúvida) As seguintes tecnologias podem ser implantadas durante a instalação do serviço de função de Roteamento e Acesso Remoto: o o Serviço de Acesso Remoto. Com o Roteamento e Acesso Remoto, você pode implantar o PPTP (Point-to-Point Tunneling Protocol) ou o L2TP (Layer Two Tunneling Protocol) com conexões VPN IPsec (Internet Protocol security) a fim de fornecer aos usuários finais o acesso remoto à rede de sua organização. Você também pode criar uma conexão VPN de site para site entre dois servidores em diferentes locais. Cada servidor é configurado com o Roteamento e Acesso Remoto para enviar dados particulares de forma segura. A conexão entre os dois servidores pode ser persistente (sempre ativada) ou sob demanda (discagem sob demanda). O Acesso Remoto também fornece acesso remoto tradicional para dar suporte a usuários móveis ou domésticos que se conectam a intranets de uma organização. O equipamento dial-up instalado no servidor que executa o Roteamento e Acesso Remoto responde solicitações de conexões de entrada a partir de clientes de rede dial-up. O servidor de acesso remoto responde à chamada, autentica e autoriza o chamador e transfere os dados entre o cliente de rede dial-up e a intranet da organização. Roteamento. O roteamento fornece um roteador de software com diversos recursos e uma plataforma aberta para o roteamento e o uso da Internet. Além disso, ele oferece serviços de roteamento aos negócios em ambientes LAN (local area network) e WAN (wide area network). Ao implantar o NAT, o servidor que executa o Roteamento e Acesso Remoto é configurado para compartilhar uma conexão da Internet com os computadores de uma rede privada e traduzir o tráfego entre seu endereço público e a rede privada. Utilizando o NAT, os computadores na rede privada obtêm alguma medida de proteção, pois o roteador com o NAT configurado não encaminha o tráfego a partir da Internet para a rede privada, a menos que um cliente de rede privada tenha solicitado ou que o tráfego esteja explicitamente permitido. Ao implantar a VPN e o NAT, o servidor que executa o Roteamento e Acesso Remoto é configurado para fornecer o NAT para a rede privada e para aceitar conexões VPN. Os computadores na Internet não poderão determinar os endereços IP dos computadores na rede privada.

8 93 Entretanto, os clientes VPN poderão conectar-se aos computadores na rede privada, como se estivessem fisicamente ligados à mesma rede. Health Registration Authority (HRA). O HRA é um componente NAP que emite certificados de integridade a clientes que passam pela verificação de diretiva de integridade realizada pelo NPS utilizando o SoH cliente. O HRA é utilizado somente quando o método de reforço NAP é um reforço do IPsec. Host Credential Authorization Protocol (HCAP). O HCAP permite que você integre sua solução Microsoft NAP ao Cisco Network Access Control Server. Ao implantar o HCAP com o NPS e o NAP, o NPS pode realizar a avaliação de integridade do cliente e a autorização dos clientes de aceso Cisco 802.1X. Gerenciando a Função de Network Policy Server and Access Services As seguintes ferramentas são fornecidas para gerenciar a função de Network Policy Server and Access Services: Snap-in MMC NPS Utilize o MMC NPS MMC para configurar um servidor RADIUS, um proxy RADIUS ou uma tecnologia NAP. Comandos Netsh para o NPS. Os comandos Netsh para o NPS fornecem um conjunto de comandos equivalentes a todas as configurações disponíveis por meio do snap-in MMC NPS. Os comandos Netsh podem ser executados manualmente no prompt Netsh ou em scripts do administrador. Snap-in MMC HRA Utilize o MMC HRA para designar a CA (certification authority - autoridade de certificação) utilizada pelo HRA para obter certificados de integridade para computadores cliente e para definir o servidor NPS ao qual o HRA enviará SoHs cliente para verificação mediante a diretiva de integridade. Comandos Netsh para o HRA. Os comandos Netsh para o HRA fornecem um conjunto de comandos equivalentes a todas as configurações disponíveis por meio do snap-in MMC HRA. Os comandos Netsh podem ser executados manualmente no prompt Netsh ou em scripts autorizados pelo administrador. Snap-in MMC NAP Client Management. Você pode utilizar o snap-in NAP Client Management para definir configurações de segurança e de interface de usuário em computadores cliente com suporte para a arquitetura NAP. Comandos Netsh para definir configurações de cliente NAP. Os comandos Netsh para as configurações de cliente NAP fornecem um conjunto de comandos equivalentes a todas as configurações disponíveis por meio do snap-in MMC NAP. Os comandos Netsh podem ser executados manualmente no prompt Netsh ou em scripts autorizados pelo administrador. Snap-in MMC Routing and Remote Access. Utilize este snap-in MMC para configurar um servidor VPN, um servidor de rede dial-up, um roteador, um conexão site-site VPN, VPN e NAT ou NAT. Comandos Netsh para acesso remoto (RAS). Os comandos Netsh para o acesso remoto fornecem um conjunto de comandos equivalentes a todas as configurações de acesso remoto disponíveis por meio do snap-in Roteamento e Acesso Remoto. Os comandos Netsh podem ser executados manualmente no prompt Netsh ou em scripts do administrador.

9 94 Comandos Netsh para roteamento. Os comandos Netsh para o roteamento fornecem um conjunto de comandos equivalentes a todas as configurações de acesso remoto disponíveis por meio do snap-in de Roteamento e Acesso Remoto. Os comandos Netsh podem ser executados manualmente no prompt Netsh ou em scripts do administrador. Wireless Network (IEEE ) Policies snap-in (MMC) Group Policy Object Editor. A extensão Wireless Network (IEEE ) Policies automatiza a definição das configurações de rede sem fio em computadores com unidades de adaptador de rede sem fio com suporte ao WLAN Autoconfig Service (Wireless LAN Autoconfiguration Service - serviço de configuração automática de LAN sem fio). Você pode utilizar a extensão Wireless Network (IEEE ) Policies no Group Policy Object Editor para especificar as configurações para clientes sem fio Windows XP e Windows Vista. As extensões Wireless Network (IEEE ) Policies Group Policy incluem configurações globais sem fio, a lista de redes preferidas, as configurações WPA (Wi-Fi Protected Access), além das configurações IEEE 802.1X. Quando essas configurações são definidas, o download delas é feito para os clientes sem fio do Windows que são membros do domínio. As configurações sem fio definidas por essa diretiva fazem parte da Computer Configuration Group Policy (Diretiva de Grupo de Configuração de Computador. Por padrão, a extensão Wireless Network (IEEE 802,11) Policies não é configurada ou ativada. Comandos Netsh para WLAN (LAN Sem Fio). O Netsh WLAN é uma alternativa para utilizar a Diretiva de Grupo para configurar a conectividade sem fio e as configurações de segurança do Windows Vista. Você pode utilizar os comandos Netsh wlan para configurar o computador local ou para configurar múltiplos computadores que utilizem um script de logon. Além disso, é possível utilizar os comandos Netsh wlan para visualizar as configurações de Diretiva de Grupo e administrar as configurações do WISP (Wireless Internet Service Provider) e as configurações sem fio de usuário. A interface Netsh sem fio fornece os seguintes benefícios: o o Suporte para o modo misto. Isso permite que os administradores configurem clientes para dar suporte às múltiplas opções de segurança. Por exemplo, um cliente pode ser configurado para os padrões de autenticação WPA2 e WPA. Isso permite que o cliente utilize o WPA2 para conectar-se às redes com suporte ao WPA2 e utilize o WPA para conectar-se às redes com suporte apenas ao WPA. Bloqueio de redes não desejadas. Os administradores podem bloquear e ocultar o acesso às redes sem fio não-corporativas, adicionando redes ou tipos de redes à lista de redes negadas. De forma semelhante, é possível permitir o acesso às redes sem fio corporativas. Wireless Network (IEEE 802.3) Policies snap-in (MMC) Group Policy Object Editor. Você pode utilizar o Wired Network (IEEE 802.3) Policies para especificar e modificar as configurações para os clientes do Windows Vista que possuem adaptadores e unidades de rede com suporte ao Wired AutoConfig Service. As extensões Wireless Network (IEEE ) Policies Group Policy incluem configurações globais com fio e IEEE 802.1X. Essas configurações incluem o conjunto completo de itens de configuração com fio associados às guias Geral e Segurança.

10 95 Quando essas configurações são definidas, o download delas é feito para os clientes sem fio do Windows que são membros do domínio. As configurações sem fio definidas por essa diretiva fazem parte da Computer Configuration Group Policy. Por padrão, a extensão Wired Network (IEEE 802.3) Policies não é configurada ou ativada. Comandos Netsh para a LAN. A interface Netsh LAN é uma alternativa para utilizar a Diretiva de Grupo no Windows Server Longhorn a fim de configurar as configurações de segurança e a conectividade com fio do Windows Vista. Você pode utilizar a linha de comando Netsh LAN para configurar o computador local ou utilizar os comandos em scripts de logon para configurar múltiplos computadores. Além disso, é possível utilizar os comandos Netsh LAN para visualizar a Wired Network (IEEE 802.3) Policies e administrar as configurações 1x com fio do cliente. Recursos Adicionais Para saber mais sobre os Serviços de Acesso e Diretiva de Rede, abra um dos seguintes snap-ins MMC e depois pressione F1 a fim de exibir a Ajuda: Snap-in MMC NPS Snap-in MMC Routing and Remote Access. Snap-in MMC HRA Snap-in MMC Group Policy Object Editor 5.03 Proteção contra Acesso à Rede Um dos maiores desafios encontrados nos negócios dos dias de hoje é a exposição crescente dos dispositivos de clientes a softwares maliciosos, como vírus e worms. Esses programas podem obter a entrada a sistemas de host configurados de forma incorreta ou sistemas desprotegidos e podem utilizar esses sistemas como um ponto inicial para se propagarem em outros dispositivos na rede corporativa. Os administradores de rede podem utilizar a plataforma NAP para melhor proteger suas redes, ajudando a garantir que os sistemas cliente mantenham as atualizações de software e as configurações de sistema apropriadas para protegê-los contra softwares maliciosos. O NAP (Network Access Protection) é um novo conjunto de componentes de sistema operacional incluído no Windows Server Longhorn e no Windows Vista que fornece uma plataforma que ajuda a garantir que os computadores clientes em uma rede corporativa atendam aos requisitos quanto à integridade do sistema definidos pelo administrador. As diretivas NAP definem a configuração e o status de atualização exigidos para o sistema operacional e o software principal do computador de um cliente. Por exemplo, pode ser exigido que os computadores possuam um software antivírus com as mais recentes assinaturas instaladas, com as atualizações instaladas no sistema operacional atual e com um firewall baseado em host ativado. Reforçando o cumprimento desses requisitos de integridade, o NAP pode ajudar os administradores de rede na diminuição de alguns riscos causados por computadores cliente configurados de forma imprópria que podem ser expostos a vírus e a outros softwares maliciosos.

11 96 O NAP reforça os requisitos de integridade, monitorando e avaliando o funcionamento dos computadores cliente quando estes tentam conectar-se à rede ou comunicar-se com ela. Caso seja determinado que os computadores cliente não estejam em conformidade com os requisitos de integridade, eles poderão ser colocados em uma rede restrita que contenha os recursos para dar assistência na remediação de sistemas de clientes de forma que eles possam estar em conformidade com as diretivas de integridade. Os administradores de sistemas e de rede que desejam reforçar os requisitos de integridade do sistema para computadores cliente que se conectam às redes suportadas por eles terão interesse em utilizar o NAP. Com o NAP, os administradores de rede poderão: Garantir a integridade dos computadores desktop na LAN, ou que estão configurados para o DHCP, ou que se conectam por meio de dispositivos de autenticação 802.1X, ou ainda que possuam diretivas IPsec NAP aplicadas em suas comunicações. Reforçar os requisitos de integridade para laptops móveis quando estes forem conectados novamente na rede da empresa. Verificar a integridade e a conformidade de diretivas dos computadores domésticos não-gerenciados que se conectam à rede da empresa por meio de um servidor VPN que executa o Roteamento e Acesso Remoto. Determinar a integridade e restringir o acesso dos laptops trazidos para uma organização pelos visitantes e parceiros. Dependendo de suas necessidades, os administradores podem configurar uma solução para lidar com qualquer um desses cenários. O NAP também inclui um conjunto API para desenvolvedores e fornecedores para que estes possam criar seus próprios componentes para validação de diretivas de rede, para a conformidade contínua e o isolamento de rede. As implantações do NAP exigem servidores que executem o Windows Server Longhorn. Além disso, são exigidos computadores cliente que executem o Windows Vista, o Windows Server Longhorn ou o Windows XP com SP2 e o Network Access Protection Client para Windows XP. O servidor central que realiza a análise de determinação da integridade para o NAP é um computador que executa o Windows Server Longhorn e o NPS. O NPS é a implementação do Windows de um servidor e proxy RADIUS. O NPS é o substituto do IAS (Internet Authentication Service) no Windows Server Os dispositivos de acesso e os servidores NAP atuam como clientes RADIUS para um servidor RADIUS baseado no NPS. O NPS efetua a autenticação e a autorização de uma tentativa de conexão à rede e, com base nas diretivas de integridade do sistema, determina a conformidade da integridade do computador e também como limitar o acesso à rede de um computador que não está em conformidade com as diretivas. A plataforma NAP é uma nova tecnologia de reforço e validação de integridade do cliente incluída nos sistemas operacionais Windows Server Longhorn e Windows Vista. Nota O framework do NAP não é o mesmo do Network Access Quarantine Control, o qual é um recurso fornecido com o Windows Server 2003 e o ISA Server O Network Access Quarantine Control pode fornecer proteção adicional para conexões de acesso remoto (dialup e VPN). Para mais informações sobre o Network Access Quarantine Control no Windows Server 2003, veja Network Access Quarantine Control no Windows Server 2003 ( Para mais informações sobre esse recurso no

12 97 ISA Server 2004, veja Clientes Móveis VPN e Quarantine Control no ISA Server 2004 Enterprise Edition ( Principais Processos do NAP Diversos processos importantes são exigidos para que o NAP funcione de forma apropriada: a validação de diretivas, o reforço NAP e a restrição de rede, a remediação e o monitoramento contínuo para garantir a conformidade. Validação de Diretivas Os SHVs (System health validators validadores de integridade do sistema) são utilizados pelo NPS para analisar o status de integridade dos computadores cliente. OS SHVs são incorporados às diretivas de rede que determinam as ações a serem realizadas com base no status da integridade do cliente, como conceder acesso total à rede ou restringir o acesso à rede. O status da integridade é monitorado pelos componentes NAP do lado do cliente, chamados de SHAs (system health agents agentes de integridade do sistema). O NAP utiliza os SHAs e os SHVs para monitorar, reforçar e remediar configurações de computadores cliente. O Windows Security Health Agent e o Windows Security Health Validator estão incluídos nos sistemas operacionais Windows Server Longhorn e Windows Vista e reforçam as seguintes configurações para computadores ativados para o NAP: O computador cliente deve possuir software de firewall instalado e ativado. O computador cliente deve possuir software antivírus instalado e em execução. O computador cliente deve possuir atualizações de antivírus atuais instaladas. O computador cliente deve possuir software anti-spyware instalado e em execução. O computador cliente deve possuir atualizações de anti-spywares atuais instaladas. O Microsoft Update Services deve estar ativado no computador cliente. Além disso, se computadores clientes ativados para o NAP estiverem executando o Windows Update Agent e estiverem registrados com um servidor WSUS (Windows Server Update Service), o NAP poderá verificar se a maioria das atualizações de segurança de software está instalada, com base em um dos quatro valores possíveis que correspondem à classificação de severidade de segurança do MSRC(Microsoft Security Response Center). Reforço do NAP e Restrição de Rede O NAP pode ser configurado para negar o acesso à rede para computadores cliente em não-conformidade e permitir que esses computadores acessem somente uma rede restrita. Uma rede restrita deve conter os serviços NAP principais, como os servidores HRA e os servidores de remediação, para que clientes NAP em não-conformidade possam atualizar suas configurações e estar em conformidade com os requisitos de integridade. As configurações de reforço NAP permitem que você limite o acesso à rede de clientes em não-conformidade ou apenas observe e registre o status de integridade de computadores cliente ativados para o NAP.

13 98 Você pode optar por restringir o acesso, adiar a restrição de acesso ou ainda permitir o acesso por meio da utilização das seguintes configurações: Do not enforce (Não aplicar). Esta é a configuração padrão. Os clientes que atendem às condições de diretiva são considerados como estando em conformidade com os requisitos de integridade de rede e a eles é concedido acesso irrestrito à rede caso a solicitação de conexão seja autenticada e autorizada. O status de conformidade de integridade dos computadores cliente ativados para o NAP é registrado. Enforce (Aplicar). Os computadores cliente que atendem às condições de diretivas são considerados como não estando em conformidade com os requisitos de integridade de rede. Esses computadores são colocados na rede restrita. Defer enforcement (Adiar aplicação). Os clientes que atendem às condições de diretivas recebem, temporariamente, acesso irrestrito. O NAP é adiado até a data e o horário especificados. Remediação Os computadores cliente não-conformes que são colocados em uma rede restrita podem ser submetidos à remediação. Remediação é o processo de atualizar um computador cliente de forma que ele passe a atender aos requisitos atuais de integridade. Por exemplo, uma rede restrita pode conter um servidor FTP (File Transfer Protocol) que fornece assinaturas atuais de vírus de forma que os computadores cliente em não-conformidade possam atualizar suas assinaturas. É possível utilizar as configurações do NAP nas diretivas de integridade NPS para configurar a remediação automática, de forma que os componentes do cliente NAP tentem, automaticamente, atualizar o computador cliente quando este estiver em não-conformidade com os requisitos de integridade de rede. Você pode utilizar a seguinte configuração de diretiva para configurar a remediação automática: Atualizações de computador. Se a opção Update noncompliant computers automatically estiver selecionada, a remediação automática estará ativada, e os computadores ativados para o que não estiverem em conformidade com os requisitos de integridade tentarão, automaticamente, fazer a atualização. Monitoramento Contínuo para Garantir a Conformidade O NAP pode reforçar a conformidade da integridade em computadores cliente em conformidade que já estejam conectados à rede. Esta funcionalidade é muito útil para garantir que uma rede esteja protegida em uma base continua conforme vão ocorrendo mudanças nas diretivas de integridade e nos computadores cliente. Por exemplo, se a diretiva de integridade exigir que o Windows Firewall esteja ativado, e um usuário, inadvertidamente, desabilitá-lo, o NAP poderá determinar se o computador cliente está em um estado de não-conformidade. O NAP irá então colocar o computador cliente na rede restrita até que o Windows Firewall seja ativado novamente. Se a remediação automática estiver ativada, os componentes do cliente NAP poderão ativar automaticamente o Firewall do Windows sem a intervenção do usuário. Métodos de Reforço NAP Baseado no estado de funcionamento de um computador cliente, o NAP pode permitir o acesso total à rede, limitar o acesso a uma rede restrita ou negar o acesso à rede. Os

14 99 computadores cliente que são determinados como estando em não-conformidade com as diretivas de integridade também podem ser automaticamente atualizados a fim de atender a esses requisitos. A forma com que o NAP é reforçado depende no método de reforço escolhido. O NAP reforça as diretivas de integridade para: O tráfego protegido pelo IPsec O controle de acesso à rede com e sem fio baseado na porta 802.1X A VPN com o Routing and Remote Access O lease e a renovação de endereços IPv4 DHCP As seções a seguir descrevem esses métodos de reforço. Reforço NAP para Comunicações IPsec O reforço NAP para o tráfego protegido pelo IPsec é implantado com um servidor de certificado de integridade, um servidor HRA, um servidor NPS e um cliente de reforço IPsec. O servidor de certificado de integridade emite certificados X.509 aos clientes NAP quando é determinado que esses clientes estão em conformidade com os requisitos de integridade de rede. Então, esses certificados são utilizados para autenticar clientes NAP quando estes iniciam comunicações protegidas pelo IPsec com outros clientes NAP em uma intranet. O reforço IPsec limita a comunicação em sua rede aos clientes em conformidade e fornece a forma mais forte do reforço NAP. Como esse método de reforço utiliza o IPsec, é possível definir requisitos para comunicações protegidas em uma base por endereço IP ou por número de porta TCP/UDP. Reforço NAP para 802.1X O reforço NAP para o controle de acesso à rede baseado na porta 802.1X é implantado com um servidor NPS e um componente cliente de reforço EAPHost. Com o reforço baseado na porta 802.1X, um servidor NPS ordena que um switch de autenticação 802.1X ou um ponto de acesso sem fio em conformidade com o 802.1X coloque clientes 802.1X em nãoconformidade em uma rede restrita. O servidor NPS limita o acesso à rede do cliente à rede restrita, ordenando que o ponto de acesso aplique filtros IP ou um identificador de LAN à conexão. O reforço 802.1X fornece forte restrição de rede para todos os computadores que acessam a rede por meio de dispositivos de acesso à rede ativados para 802.1X. Reforço NAP para VPN O reforço NAP para VPN é implantado com um componente de servidor de reforço VPN e um componente cliente de reforço VPN. Com o reforço NAP para VPN, os servidores VPN poderão reforçar a diretiva de integridade quando computadores clientes tentarem conectar-se à rede utilizando uma conexão VPN de acesso remoto. O reforço VPN fornece forte acesso limitado à rede para todos os computadores que acessam a rede por meio de uma conexão VPN de acesso remoto. Reforço NAP para DHCP O reforço DHCP é implantado com um componente de servidor de reforço NAP DHCP, um componente cliente de reforço DHCP e o NPS. Utilizando o reforço DHCP, os servidores DHCP e o NPS poderão reforçar a diretiva de integridade quando um computador tentar obter ou renovar um endereço IPv4. O servidor NPS limita o acesso à rede do cliente à rede restrita, ordenando que o servidor DHCP atribua uma configuração limitada de endereço IP.

15 100 Entretanto, se os computadores cliente estiverem configurados para tirar vantagem (circumvent) da configuração de endereço IP, o DHCP não será eficiente. Abordagens Combinadas Cada um desses métodos de reforço NAP possui diferentes vantagens. Combinando os métodos de reforço, será possível combinar as vantagens desses métodos. Entretanto, ao implantar múltiplos métodos de reforço NAP, você poderá fazer com que sua implementação NAP seja mais complexa de ser gerenciada. O framework do NAP também fornece um conjunto de APIs que permite que outras empresas que não sejam a Microsoft integrem seus softwares com a NAP. Utilizando as APIs do NAP, fornecedores e desenvolvedores de software poderão fornecer soluções de fim a fim que validem o funcionamento e façam a remediação de clientes em não-conformidade. Implantação Os preparativos necessários para a implantação do NAP dependem do método (ou métodos) de reforço escolhido e dos requisitos de integridade que se pretende reforçar quando os computadores cliente tentam conectar-se à rede ou comunicar-se com ela. Se você for um administrador de sistemas ou de rede, será possível implantar o NAP com o Windows Security Health Agent e o Windows Security Health Validator. Você também poderá verificar com outros fornecedores de software se eles possuem SHAs e SHVs para seus produtos. Por exemplo, se um fornecedor de software antivírus desejar criar uma solução NAP que inclua um SHA e um SHV personalizado, ele poderá utilizar um conjunto de APIs para criar esses componentes, os quais poderão ser integrados com as soluções NAP implantadas pelos clientes desse fornecedor. Além dos SHAs e SHVs, a plataforma NAP utilize múltiplos componentes de servidor e cliente para detectar e monitorar o status da integridade do sistema dos computadores cliente quando estes tentam conectar-se à rede ou comunicar-se com ela. Na figura abaixo, são ilustrados alguns componentes comuns utilizados na implantação do NAP:

16 101

17 102 Componentes do Cliente NAP Um cliente ativado para o NAP é um computador que possui os componentes NAP instalados e que pode verificar seu estado de funcionamento, enviando uma lista de SoH (statements of health) ao NPS. A seguir, estão os componentes do cliente NAP comuns: Agente de integridade do sistema. Um SHA monitora e relata o estado de funcionamento do computador cliente de forma que o NPS possa determinar se as configurações monitoradas pelo SHA estão atualizadas e configuradas corretamente. Por exemplo, o Microsoft SHA pode monitorar o Firewall do Windows; se um software antivírus estiver instalado, ativado e atualizado; se há softwares anti-spyware instalado, ativado e atualizado e se o Microsoft Update Services está ativado e o computador possui suas mais recentes atualizações. Também pode haver SHAs disponíveis em outras empresas que fornecem funcionalidades adicionais. NAP Agent (Agente NAP). O agente NAP coleta e gerencia informações de funcionamento. O agente NAP também processa o SoH a partir dos SHAs e relata o funcionamento do cliente aos clientes de reforço instalados. Para indicar o estado completo de um cliente NAP, o agente NAP utiliza uma lista de SoH. NAP EC (NAP enforcement client). Para utilizar o NAP, pelo menos um NAP EC (NAP enforcement client) deve estar instalado e ativado nos computadores cliente. NAP EC individuais são específicos ao método, conforme descrito anteriormente. Os clientes de reforço NAP integram-se com tecnologias de acesso à rede, como IPsec, o controle de acesso à rede com e sem fio baseado em porta 802.1X, VPN com o Roteamento e Acesso Remoto e o DHCP. O cliente de reforço NAP solicita acesso à rede, informa o status do funcionamento de um computador cliente ao servidor NPS e informa o status restrito do computador cliente aos outros componentes da arquitetura NAP. SoH (Statement of health). Um SoH é uma declaração de um SHA que afirma seu status de funcionamento. Os SHAs criam SoHs, os quais são enviados ao agente NAP. Componentes de Servidor NAP A seguir, estão os componentes de servidor NAP comuns: Diretivas de funcionamento. As diretivas NPS definem os requisitos de integridade e as configurações de reforço para os computadores cliente que solicitam acesso à rede. O NPS processa as mensagens de Solicitação de Acesso RADIUS (RADIUS Access-Request) que contêm a lista de SoH enviada pelo NAP EC e passa essas mensagens para o servidor de administração NAP. Servidor de administração NAP. O componente de servidor de administração NAP fornece uma função de processamento parecida com o agente NAP no lado do cliente. Ele recebe a lista de SoH do servidor de reforço NAP por meio do NPS e distribui cada SoH para o SHV apropriado. Depois, ele coleta as Respostas SoH resultantes dos SHVs e envia essas respostas ao NPS para que este faça uma avaliação. SHVs (System health validators - validadores de integridade do sistema). Os SHVs são cópias de software de servidor para os SHAs. Cada SHA no cliente possui um SHV correspondente no NPS. Os SHVs verificam o SoH feito por seu SHA correspondente no computador cliente. Os SHAs e os SHVs são associados um ao outro, juntamente com um servidor de diretivas correspondente (se exigido) e, talvez, a um servidor de remediação.

18 103 Um SHV também pode detectar que nenhum SoH foi recebido (por exemplo, se o SHA nunca tiver sido instalado, se tiver sido danificado ou removido). Se o SoH atender ou não à diretiva definida, o SHV enviará uma mensagem SoHR (statement of health response - declaração de resposta de integridade) para o servidor de administração NAP. Uma rede pode possuir mais de um tipo de SHV. Se isso ocorrer, o servidor NPS deverá coordenar a saída de todos os SHVs e determinar se deve ser limitado o acesso de um computador em não-conformidade. Isso exige um planejamento cuidadoso ao definir diretivas de integridade para o seu ambiente e avaliar na diferente forma com que os SHVs interagem. NAP enforcement server (servidor de reforço NAP). O NAP ES é associado a um NAP EC correspondente para o método de reforço NAP que estiver sendo utilizado. Ele recebe a lista de SoHs do NAP EC, passando-os para que o NPS faça uma avaliação. Com base na resposta, é fornecido acesso limitado ou ilimitado à rede para o cliente ativado para o NAP. Dependendo do tipo de reforço NAP, o NAP ES pode ser uma autoridade de certificação (reforço IPsec), um switch de autenticação ou um ponto de acesso sem fio (reforço 802.1x), um servidor Roteamento e Acesso Remoto(reforço VPN) ou um servidor DHCP (reforço DHCP). Servidor de diretivas. Um servidor de diretivas é um componente de software que se comunica com um SHV a fim de fornecer as informações utilizadas na avaliação dos requisitos para a integridade do sistema. Por exemplo, um servidor de diretivas, como um servidor de assinaturas antivírus, pode fornecer a versão do arquivo atual de assinaturas para a validação de um SoH antivírus cliente. Os servidores de diretivas são associados aos SHVs, mas nem todos os SHVs exigem um servidor de diretivas. Por exemplo, um SHV pode simplesmente ordenar que clientes ativados para o NAP verifiquem as configurações locais de sistema a fim de assegurar que um firewall baseado em host esteja ativado. Servidor de remediação. Um servidor de remediação hospeda as atualizações que podem ser utilizadas pelos SHAs para fazer com que computadores cliente em não-conformidade passem a estar em conformidade. Por exemplo, um servidor de remediação pode hospedar atualizações de software. Se a diretiva de integridade exigir que os computadores cliente NAP possuam as mais recentes atualizações de software instaladas, o NAP EC irá restringir o acesso à rede dos clientes que não possuírem essas atualizações. Os servidores de remediação devem estar acessíveis aos clientes com acesso restrito à rede para que os clientes obtenham as atualizações exigidas para que estejam em conformidade com as diretivas de integridade. SoHR (Statement of health response). Depois que o SoH cliente for avaliado mediante a diretiva de integridade pelo SHV apropriado, um SoHR será gerado, contendo os resultados da avaliação. O SoHR inverte o caminho do SoH e é enviado de volta ao SHA do computador cliente. Se o computador cliente for considerado como estando em nãoconformidade, o SoHR irá conter as instruções de remediação utilizadas pelo SHA para fazer com que a configuração do computador cliente esteja em conformidade com os requisitos de integridade. Assim como cada tipo de SoH contém diferentes tipos de informações sobre o status do funcionamento do sistema, cada mensagem SoHR contém as informações sobre como estar em conformidade com os requisitos de integridade. Informações Adicionais

19 104 Para mais informações sobre o NAP, acesse o site sobre Network Access Protection em (

20 Protocolos TCP/IP e Componentes de Rede de Última Geração A rede e as comunicações são muito importantes para que as organizações consigam superar o desafio da grande competição no mercado global. Os funcionários precisam conectar-se à rede onde quer que eles estejam e a partir de qualquer dispositivo. Parceiros, fornecedores e outras pessoas fora da rede precisam interagir, de forma eficiente, com os recursos principais. Além disso, segurança é um fator mais importante do que nunca. A seguir, teremos uma visão geral técnica sobre as melhorias de comunicação e rede TCP/IP encontradas no Microsoft Windows Server Longhorn e Windows Vista para lidar com questões de conectividade, facilidade de uso, gerenciamento, confiabilidade e segurança. Com o Windows Server Longhorn e o Windows Vista, os administradores de TI possuem mais opções flexíveis para gerenciar a infra-estrutura de rede, rotear o tráfego de rede de forma eficiente e implantar cenários de tráfego protegido. O Windows Server Longhorn e o Windows Vista incluem muitas alterações e melhorias para os seguintes protocolos e componentes centrais de rede: Pilha TCP/IP de última geração Melhorias no IPv6 QoS (Quality of Service) baseada em diretivas para redes corporativas. Pilha TCP/IP de Última Geração O Windows Server Longhorn e o Windows Vista incluem uma nova implementação da pilha do protocolo TCP/IP, conhecida como a Pilha TCP/IP de última geração. A Pilha TCP/IP de última geração é um design completamente reformulado da funcionalidade do TCP/IP tanto para o IPv4 (Internet Protocol version 4) quanto para o IPv6 (Internet Protocol version 6) que atende às necessidades de desempenho e conectividade dos diversos ambientes e tecnologias de rede dos dias de hoje. Os seguintes recursos são novos ou aprimorados: Receive Window Auto-Tuning Compound TCP Melhorias para ambientes de alto índice de perda Neighbor Un-reach-ability Detection for IPv4 Alterações na detecção de gateways inativos Alterações na detecção de roteadores de buraco negro PMTU Compartimentos de Roteamento Suporte ao Network Diagnostics Framework Windows Filtering Platform Explicit Congestion Notification Receive Window Auto-Tuning