Servidor FTP

FONTE: http://www.hardware.com.br/comunidade/tutorial-ftp/953092/ 
Antes de iniciar a instalação, crie uma pasta chamada FTP no C:\...

Não é necessário alterar nenhum parâmetro...

Ao final da instalação, será exibida a tela abaixo:



Clique em OK...
Após clicar em OK, será aberta a tela de configuração do servidor... Essa tela também pode ser acessada pelo ícone FileZilla Server Interface...



Configurar uma conta de usuário para a conexão...
Clique no menu Edit > Users...



Clique em Add e informe o nome do usuário... Caso deseja, selecione um grupo para o usuário... Vale lembrar que, para criar um grupo, vc deve entrar no menu Edit > Groups...



Após informar o nome do usuário, clique em OK.

Para definir uma senha para esse usuário, marque a opção Password e informe a senha...

Agora vamos definir quais pastas esse usuário poderá acessar...

Lembra da pasta FTP que criamos no início deste tutorial? Então, vamos usá-la agora... Dentro dessa pasta, crie uma outra pasta com o nome do usuário criado... Será nessa pasta que esse usuário guardará seus arquivos...

Nessa mesma janela, no lado esquerdo, clique em Shared folders e, então, no botão Add... Selecione a pasta criada acima...



Após selecioná-la, em Files, marque o que o usuário poderá fazer com os arquivos dentro da mesma... Há também as opção relacionadas a diretórios, em Directories... Além disso, clique também no botão Set as home dir, pra definir essa pasta como a inicial para o usuário...

Vc ainda pode configurar um limite de velocidade por usuário, tanto para download quanto para upload... Caso alguém se interesse por isso, explicarei mais pra frente...

Após ter finalizado a criação do usuário, clique em OK... Depois, reinicie o PC...

.

NETSH

O netsh ou network shell é um utilitário incluido na linha de sistemas operacionais Windows NT, encontrado a partir do Windows 2000. Este permite a configuração local ou remota dos parâmetros de rede.
Um uso comum do netsh é a reinicialização do TCP/IP stack para o padrão, tarefa que no Windows 98 requeria a reinstalação do adaptador TCP/IP. Com o netsh, deve-se prover um arquivo de log, que será preenchido com os valores alterados.
O Netsh também permite a alteração do IP local, entre outras coisas.
Comandos Básicos do netsh:
Exibir Configuração atual de IP - netsh interface ip show config
Exibir estado dos adaptadores de rede - netsh interface show interface
Exibir estado do adaptador sem fio - netsh wlan show interface
Exibir endereço com o protocolo ipv6 - netsh interface ipv6 show address
Atribuir IP, Máscara e Gateway a um adaptador de rede - netsh int ip add address "Adaptador de rede" static "endereço ip" "máscara" "gateway" ex: netsh int ip add address "REDE_LOCAL" static "192.168.1.10" "255.255.255.0" "192.168.1.254"
Atribuir DNS Primário a um adaptador de rede - netsh int ip add dns "Adaptador de rede" static "endereço do servidor de dns" primary ex: netsh int ip add dns "REDE_LOCAL" static 192.168.1.1 primary
Atribuir DNS Secundário a um adaptador de rede - netsh int ip add dns "Adaptador de rede" addr="endereço do servidor de dns" index=2 ex: netsh int ip add dns "REDE_LOCAL" addr=192.168.1.248 index=2
Ativar firewall do Windows - netsh advdfirewall set currentprofile state on
Desativar firewall do Windows - netsh advfirewall set currentprofile state off

NsLookUp

NsLookUp: envia consultas DNS para um servidor DNS de sua escolha

nslookup [domínio] [servidor dns]

O comando NsLookUp envia as consultas DNS a um servidor. Por padrão, se você não puser o servidor DNS, o comando usará aquele que foi configurado para sua interface de rede (aquele que você utiliza para navegar na internet, por exemplo) porém, você pode forçar a utilização de um outro servidor.

Por exemplo, para pedir ao servidor DNS 10.0.0.3 o endereço IP correspondente ao endereço www.kioskea.net:

nslookup www.kioskea.net 10.0.0.3

• Se você não especificar nenhuma configuração para nslookup, uma concha aparecerá, esperando consultas de sua parte.

Comando Nbstat

FONTE: http://urs.bira.nom.br/informatica/comandos_shell_msdos/nbtstat.htm

NBTSTAT : Atualização do cache do arquivo Lmhosts. Exibe as estatísticas do protocolo e as conexões TCP/IP atuais utilizando NBT (NetBIOS no TCP/IP).

 NBTSTAT [-a Nome Remoto] [-A endreço IP] [-c] [-n] [-r] [-R] [-s] [S] [intervalo]

• -a (estado placa) Lista a tabela de nomes da máquina remota (desconhecido).
• -A (estado placa) Lista a tabela de nomes da máquina remota (endereço IP).
• -c (cache) Lista o cache remoto de nomes, inclusive os endereços IP.
• -n (noms) Lista os nomes NetBIOS locais.
• -r (résolus) Lista os nomes resolvidos por difusão e através do WINS.
• -R (Recharge) Purga e recarrega a tabela do cache remoto de nomes.
• -S (Sessões) Lista a tabela de sessões com os endereços de destino IP.
• -s (Sessões) Lista a tabela de sessões convertendo os endereços de destino IP em nomes de alojadores, através do arquivo hosts.

Exemplo :

 nbtstat -A @IP

Este comando retorna o nome NetBIOS, o nome do sistema, usuários conectados...da máquina remota.
Exibe as estatísticas de protocolo NetBIOS sobre TCP/IP (NetBT), as tabelas de nomes NetBIOS dos computadores local e remoto e o cache de nomes NetBIOS. Nbtstat permite uma atualização do cache de nomes NetBIOS e dos nomes registrados com o serviço de cadastramento na Internet do Windows (WINS). Quando usado sem parâmetros, nbtstat exibe a ajuda.

Sintaxe
nbtstat [-a nome_remoto] [-A endereço_IP] [-c] [-n] [-r] [-R] [-RR] [-s] [-S] [intervalo]

Parâmetros
-a nome_remoto
Exibe a tabela de nomes NetBIOS de um computador remoto, onde nome_remoto é o nome de computador NetBIOS do computador remoto. A tabela de nomes NetBIOS é a lista de nomes NetBIOS que correspondem aos aplicativos em execução no computador.
-A endereço_IP
Exibe a tabela de nomes NetBIOS de um computador remoto, especificado pelo seu endereço IP (com notação de ponto decimal).
-c
Exibe o conteúdo do cache de nomes NetBIOS, a tabela de nomes NetBIOS e seus endereços IP resolvidos.
-n
Exibe a tabela de nomes NetBIOS do computador local. O status Registrado indica que o nome foi registrado por difusão ou em um servidor WINS.
-r
Exibe as estatísticas de resolução de nomes NetBIOS. Em um computador com o Windows XP configurado para usar WINS, esse parâmetro retorna o número de nomes resolvidos e registrados via difusão ou via WINS.
-R
Limpa o conteúdo do cache de nomes NetBIOS e recarrega as entradas marcadas com #PRE do arquivo Lmhosts.
-RR
Libera e atualiza nomes NetBIOS para o computador local registrado em servidores WINS.
-s
Exibe sessões de cliente e servidor NetBIOS, tentando converter o endereço IP de destino em um nome.
-S
Exibe as sessões de cliente e de servidor NetBIOS, listando os computadores remotos somente por endereço IP de destino.
intervalo
Exibe novamente estatísticas selecionadas, pausando o número de segundos especificado em intervalo entre cada exibição. Pressione CTRL+C para interromper as estatísticas de reexibição. Se este parâmetro for omitido, o nbstat imprimirá as informações de configuração atuais apenas uma vez.
/?
Exibe ajuda no prompt de comando.
Comentários
Os parâmetros de linha de comando de nbtstat diferenciam maiúsculas de minúsculas.
A tabela a seguir descreve os cabeçalhos de coluna gerados por nbtstat. Cabeçalho Descrição
Entrada O número de bytes recebidos.
Saída O número de bytes enviados.
Ent/Sai Se a conexão é do computador (saída) ou de outro computador para o computador local (entrada).
Duração O tempo restante de duração de uma entrada de cache da tabela de nomes antes de ser apagada.
Nome local O nome NetBIOS local associado à conexão.
Host remoto O nome ou endereço IP associado ao computador remoto.
<03> O último byte de um nome NetBIOS convertido no valor hexadecimal. Cada nome NetBIOS possui 16 caracteres. Este último byte freqüentemente tem significado especial já que o mesmo nome pode estar presente várias vezes em um computador, com diferença apenas no último byte. Por exemplo, <20> é um espaço em texto ASCII.
Tipo O tipo de nome. Um nome pode ser um nome exclusivo ou um nome de grupo.
Status Se o serviço NetBIOS no computador remoto está em execução (Registrado) ou um nome de computador duplicado registrou o mesmo serviço (Conflito).
Estado O estado das conexões do NetBIOS.

A tabela a seguir descreve os estados possíveis de conexão NetBIOS. Estado Descrição
Conectado Foi estabelecida uma sessão.
Associado Um ponto de extremidade de conexão foi criado e associado a um endereço IP.
Ouvindo Este ponto de extremidade está disponível para uma conexão de entrada
Ocioso Este ponto de extremidade foi aberto mas não pode receber conexões.
Conectando-se Uma sessão está na fase de conexão, e o mapeamento do nome para o endereço IP do destino está sendo resolvido.
Aceitando Uma sessão de entrada está atualmente sendo aceita e logo será conectada.
Reconectando-se Uma sessão que falhou na primeira tentativa de conexão está tentando reconectar-se.
Saída Uma sessão está na fase de conexão, e a conexão TCP está sendo criada no momento.
Entrada Uma sessão de entrada está na fase de conexão.
Desconectando-se Uma sessão está em processo de desconexão.
Desconectado O computador local emitiu um sinal de desconexão e está aguardando confirmação do sistema remoto.

Este comando estará disponível apenas se o protocolo Internet (TCP/IP) estiver instalado como um componente nas propriedades de um adaptador de rede em Conexões de rede.
Exemplos
Para exibir a tabela de nomes NetBIOS do computador remoto com o nome de computador NetBIOS CORP07, digite:

nbtstat -a CORP07

Para exibir a tabela de nomes NetBIOS do computador remoto cujo endereço IP atribuído é 10.0.0.99, digite:

nbtstat -A 10.0.0.99

Para exibir a tabela de nomes NetBIOS do computador local, digite:

nbtstat -n

Para exibir o conteúdo do cache de nomes NetBIOS, digite:

nbtstat -c

Para limpar o cache de nomes NetBIOS e recarregar as entradas marcadas com #PRE no arquivo Lmhosts, digite:

nbtstat -R

Para liberar os nomes NetBIOS registrados no servidor WINS e registrá-los novamente, digite:

nbtstat -RR

Para exibir as estatísticas de sessão NetBIOS pelo endereço IP a cada cinco segundos, digite:

nbtstat -S 5

Whey Protein

Whey Protein – O guia definitivo do melhor suplemento

O whey protein é com certeza o suplemento mais popular e consumido nas academias. Ele subiu rapidamente para o topo da lista dos suplementos preferidos de todos e por um bom motivo. É uma proteína de altíssima qualidade, rapidamente absorvida pelo corpo e extremamente prática de usar no cotidiano.
Em uma dieta para ganho de massa muscular, é necessário ingerir uma grande quantidade de proteína por dia. O whey protein facilita a vida de quem tem dificuldade em conseguir incluir toda a proteína da dieta.
A maioria das pessoas não sabe, mas o whey protein é relativamente novo no mercado dos suplementos. Faz pouco tempo que a tecnologia surgiu para filtrar com eficiência a proteína do soro de leite e produzir esse produto em larga escala.

O que é o whey protein, a proteína do soro do leite?

O whey protein é um dos dois principais tipos de proteína encontrados no leite (a caseína é o outro). Quando o leite é transformado em queijo, o soro desse leite é filtrado e separado. O resultado é o whey, uma proteína de altíssima qualidade.

Vantagens do whey protein

Já há um bom tempo o whey protein é a base da suplementação de atletas profissionais e amadores, ou mesmo de pessoas que somente desejam mudar seu corpo. Há diversos estudos científicos que reforçam nossa recomendação do whey protein para toda pessoa que deseja melhorar seu desempenho atlético ou alterar a composição corporal. Veja abaixo algumas de suas vantagens:
Proteína completa – A proteína do soro de leite é uma proteína completa. Isso significa que ela contém todos os aminoácidos que seu corpo necessita diariamente.
Rico em BCAA - O whey é a melhor fonte natural de BCAAs, os aminoácidos de cadeia ramificada (na verdade, ele contém mais BCAAs que qualquer outra fonte de proteína). Esses aminoácidos específicos são os mais  importantes para os atletas e interessados em ganhar massa muscular. O whey fornece grande quantidade de BCAAs para restaurar seus níveis no corpo e reparar e reconstruir os tecidos musculares rapidamente.
Digerido rapidamente - A proteína do soro de leite é de longe a proteína mais facilmente digerida e absorvida pelo corpo humano. É conhecida como uma proteína “rápida”, por sua capacidade de chegar rapidamente aos músculos. Ela supera a proteína de outros alimentos, como carne e ovos.
Reforça o sistema imunológico -  O whey protein contribui com seu sistema imunológico ao elevar os níveis de glutationa no seu corpo. A glutationa é uma molécula pequena que se encontra em cada célula e é o principal antioxidante produzido pela célula. Sua importância para o sistema imunológico é fundamental.

Como tomar o whey protein

Qual a dose diária ideal?

A dose ideal de whey protein varia de pessoa para pessoa, de objetivo para objetivo. Sua intenção ao suplementar com whey protein deve ser atingir a ingestão diária de proteína. Pessoas interessadas em ganhar massa muscular procuram ingerir de 2-3g por quilo de peso corporal. Pessoas interessadas em definição muscular ou melhor desempenho em esportes ingerem de 1,5 a 2g de proteína por quilo de peso corporal.
Normalmente uma ou duas doses (cerca de 30-60g) são mais do que suficientes. O whey é um complemento, e  não a base da sua alimentação. O grosso das proteínas de sua dieta deve vir de comida de verdade (carne, ovos, peixe, laticínios etc.) e nunca de suplementos.

Quando tomar o whey protein?

O melhor momento para tomar seu whey protein é pré-treino e/ou pós treino. Tome cerca de uma hora antes do treino e/ou uma hora depois do treino e você irá colher os melhores resultados da suplementação.
Algumas pessoas também gostam de tomar o whey logo ao acordar. Essa também é uma boa hora para tomar seu suplemento.

Misturar com água ou leite?

A decisão é sua, é uma questão de gosto ou praticidade. Com leite o whey realmente fica melhor, mas você não toma seu suplemento pelo sabor, não é? Uma boa ideia é levar o pó no seu shaker e simplesmente adicionar água após o treino, na academia.
Se decidir tomar o whey com leite, lembre-se que a absorção será mais lenta. Então uma boa sugestão é tomar o whey pós-treino com água e o whey pré-treino com leite.

Como escolher o seu whey protein

Escolher um uma marca de whey pode ser um negócio meio complicado hoje em dia. Muitas opções, muitos produtos e propagandas e promessas por todo lugar.
A verdade é que não há tanta diferença entre as marcas como elas gostariam que você acreditasse. Há quatro perguntas que você deve se fazer para comprar um bom produto:

1. isolado ou concentrado?
2. a marca é respeitável e de qualidade?
3. o preço é razoável?
4. qual a quantidade de proteína por dose?

A grande questão: Isolado ou concentrado?

Essa é a primeira decisão que você deve tomar: comprar whey protein isolado ou concentrado? Muitos dos produtos são na verdade uma mistura de isolado com concentrado, alguns poucos são 100% um ou outro. Mas é importante você conhecer as características de cada tipo.
Whey Protein Isolado - Essa é a proteína de soro de leite com maior valor biológico. Os isolados representam o auge da eficiência do whey: são digeridos pelo organismo de forma extremamente rápida e chegam aos músculos mais rápido que qualquer outra proteína. Eles são bons para ser usados na parte da manhã, quando seus níveis de proteína estão baixos após o sono, bem como na nutrição pré e pós-treino. A desvantagem: eles custam bem mais que o concentrado.
Whey Protein Concentrado - Esse é o whey que oferece o melhor custo-benefício. São uma proteína de altíssima qualidade e absorvida rapidamente, embora não tão rápidamente quanto os isolados. Em compensação, custam muito menos. O grama de whey isolado sai mais ou menos pelo dobro do preço do grama do whey concentrado.
E os hidrolisados? O whey protein hidrolisado é aquele que passa por um processo em que as moléculas de proteína do soro do leite são quebradas em partículas menores na presença de água. Assim, a digestão e absorção se tornam ainda mais rápidas. O whey hidrolisado pode ser feito com a proteína concentrada ou isolada. De qualquer maneira, é preciso antes se decidir entre um concentrado ou um isolado.
Acredite, seus músculos não vão crescer mais da noite para o dia se você usar um isolado em vez de um concentrado. Seu objetivo ao suplementar com whey protein deve ser simplesmente satisfazer suas necessidades diárias de proteína. Por isso recomendamos que vá sempre de whey protein concentrado. Caso dinheiro não seja um problema, você pode comprar um isolado, mas lembre-se que o custo-benefício não é o mais favorável.

A marca é confiável?

Essa pergunta é mais importante do que você imagina. Não compre whey de qualquer marca. Há dezenas de fabricantes de suplementos, e muitos deles não são confiáveis. Muitos vendem produtos com informações falsas no rótulo. Você acha que está comprando um whey com 80% de proteína, mas na verdade ele vem com apenas 30%. Isso acontece com mais frequência do que você imagina.
Além disso, prefira marcas que usem matéria-prima importada. A matéria-prima nacional não é tão confiável quanto a importada, infelizmente.

O preço oferece um bom custo-benefício?

A terceira pergunta também é importante para a maioria das pessoas. Há marcas de whey muito boas, mas com um preço bem salgado. A questão é você achar equilíbrio entre qualidade e preço. É possível conseguir um bom whey a um preço razoável, resta a você saber procurar.
Mas como saber se o whey é de qualidade? A pergunta abaixo irá lhe ajudar…

Qual a quantidade mínima de proteína por dose?

A melhor forma de saber se o whey é de qualidade ou não é ver a quantidade de proteína por dose. Normalmente, uma dose tem cerca de 30g. Um bom whey deve ter mais de 20g de proteína por dose, ou seja: pelo menos 70% da dose deve ser de proteína. 
Fuja dos produtos com muitos carboidratos por dose. Você estará pagando caro para ingerir açúcar. E isso é importante: os 70% devem ser de proteína de soro de leite, não albumina ou proteína de soja. Muitas marcas “inflam” a quantidade de proteína do seu whey com essas proteínas inferiores, então fique atento.
Outro ponto a ser analisado é o perfil de aminoácidos e a quantidade de BCAA. Um bom whey deve trazer pelo menos 4-5g de BCAA por dose. As boas marcas atingem ou superam esse padrão mínimo de qualidade.

O melhor whey protein do mercado

Dizer em definitivo qual é o melhor whey protein do mercado hoje é uma questão difícil. O melhor custo-benefício fica com o whey protein Optimum.
A Optimum Nutrition oferece hoje dois produtos excelentes em sua linha de whey protein: o 100% Whey Gold Standard e o Performance Whey Ultra-Filtered.
Veja aqui nossa avaliação completa sobre o whey Gold Standard da Optimum Nutrition e também sobre o Performance Whey Ultra-Filtered.
Cada dose do whey da Optimum tem 24g de proteína. Além disso, ele possui um ótimo perfil de aminoácidos e fornece uma grande quantidade de BCAA: 5,5g por dose. É provavelmente o whey concentrado que fornece a maior quantidade de BCAAs por dose.
Você não vai se arrepender se decidir por esse whey e tenha a certeza de estar fazendo uma boa compra!

Centenas de escravos cristãos morrem de exaustão e tuberculose no Paquistão

Fonte: http://cristotube.net/2012/07/centenas-de-escravos-cristaos-morrem-de-exaustao-e-tuberculose-no-paquistao/

julho 22, 2012

Escravos cristãos morrem de exaustão e tuberculose no Paquistão Na região de Punjab, milhares de cristãos que trabalham em fábricas de tijolos em regime  de escravidão, centenas deles morrem de tuberculose e outras doenças. Tentativas de fuga são punidas com uma multa de 50.000 rúpias.

Segundo  a Worthy News,  no Paquistão, país onde o cristão Ásia Bibi está esperando a morte por ter cometido um crime de “blasfêmia”, milhares de escravos cristãos trabalham em fábricas de tijolos de propriedade de muçulmanos.
Os escravos, cujo dia começa às quatro da manhã, recebem um salário de 200 rúpias, como o salário legalmente estabelecido é de 500, eles são forçados a ocupar barracas localizadas em vilas empresas estatais, e em caso de sua tentativa de fuga, os mestres muçulmanos aplicam uma uma multa de 50.000 rúpias. Cristãos, os escravos também devem pagar aos seus mestres o  aluguel e outros “serviços” oferecidos, como forma de  colocá-los em uma condição permanente de devedores. E essas dívidas, que são difíceis de resolver, passam ​​de geração em geração, fazendo com que milhares de famílias cristãs membros de uma raça semelhante aos párias.
As condições de vida dos cristãos nestes “Laogai” são falta de  cuidados de saúde e tuberculose. Os cristãos  sofrem todos os tipos de abuso e como último recurso para serem livres muitos acabam vendendo  um de seus rins aos seus amos muçulmanos. Além  dos cristãos na província de Sindh os  hindus  também têm o mesmo sistema de exploração, violência e desamparo instituição islâmica, o que revela que tipo de democracia prevalece na antiga colônia da Grã-Bretanha.
publicado por  iglesia.net

Mais megapixels significa maior qualidade de imagem?

FONTE: http://www.tecmundo.com.br/imagem/3529-mais-megapixels-significa-maior-qualidade-de-imagem-.htm

Câmeras de 10, 12, 13 MP? Qual delas é melhor? O Baixaki vai desvendar o mito do megapixel, por que às vezes mais pode significar menos. 

 Por Daniele Starck em 27 de Janeiro de 2010

Escolher qual será sua nova câmera digital pode parecer uma tarefa muito simples. Quanto mais megapixels ela oferece, melhor é a câmera, certo? Errado. Esse é o famoso “mito do megapixel”, que vem sendo discutido e desmontado cada vez mais.

O Baixaki traz a discussão para os usuários, mostrando sua relevância até mesmo para os fotógrafos amadores, e dá dicas sobre como você pode economizar na escolha da sua nova câmera, sem perder em qualidade.

Pixels, megapixels e resolução
Antes de entender qual é a importância da quantidade de pixels para uma imagem, precisamos entender o que são eles. Ao ampliar uma imagem no computador, observamos que ela é formada por milhares de quadrados. Esses pequenos quadrados somados resultam em uma imagem digital nítida, como você observa no exemplo abaixo:
Cada megapixel possui uma resolução, que é a quantidade de quadrados que temos na imagem – horizontal x vertical – e é através dela que podemos saber em quantos megapixels a foto foi tirada. Por exemplo, se uma foto tem resolução de 1772 x 1181 pixels, isso significa que ela foi tirada em 2.1 megapixels.

E por que mais megapixels não significa maior qualidade de imagem?
A realidade é que a resolução de uma imagem não está diretamente ligada à sua qualidade. A imagem de uma câmera digital é feita através de um sensor, que faz a captação de luz do objeto fotografado e vai transformar essa informação em pixels, gerando a imagem digital.

Câmeras profissionais ou semiprofissionais têm sensores melhores e mais complexos (até porque têm maior espaço físico para abrigar os sensores), e por isso produzem imagens melhores, mais nítidas e com cores mais vibrantes.

Por outro lado, câmeras compactas e de celulares têm sensores de qualidade inferior. Quanto mais megapixels o sensor é forçado a captar, mais calor ele produz, o que acaba gerando ruído na foto.

Por mais que a resolução seja maior, com maior número de pixels, a qualidade da imagem é prejudicada, o que os fotógrafos chamam de “granulação”. Isso acontece pois o sensor não tem capacidade suficiente para captar tantos pixels com a mesma qualidade.

Abaixo temos um exemplo de como o megapixel não indica qualidade de imagem. Todas as fotos foram feitas em 5 megapixels. A primeira foi tirada com uma câmera semiprofissional, a Sony H50. A segunda, com uma câmera compacta, também da Sony, a W120. E a terceira foto foi tirada com a câmera do aparelho celular DEXT, da Motorola:

As imagens têm o mesmo tamanho, aqui reduzidas para visualização completa, mas recortamos uma parte igual de cada e colocamos ao lado da foto. Nesta parte elas estão com 100% do tamanho original, e é clara a diferença de qualidade, principalmente em questão de cor e definição.

Ainda que todas as imagens tenham a mesma resolução, a diferença de qualidade entre elas é óbvia por conta da diferença entre sensores e lentes. Além disso, outras características como capacidade de definição de cor, tonalidade e contraste devem ser levadas em consideração.

Essas características são muito mais importantes do que a quantidade de megapixels que sua câmera oferece. A prova é que há muitas câmeras profissionais no mercado que não passam de 10 megapixels.

Quando o megapixel faz a diferença
A grande questão é que a quantidade de pixels de uma imagem não tem influência sobre a qualidade da imagem, mas sim sobre a ampliação que será possível realizar com ela. Ao fotografar em qualidade VGA (640 x 480 pixels) você tem a mesma qualidade visual de uma fotografia tirada com 3MP (2592 x 1944), se reduzidas ao mesmo tamanho. Observe as imagens abaixo:

Só é possível notar a diferença entre as imagens caso você amplie uma determinada parte. No exemplo abaixo podemos ver que só a partir da ampliação notamos que a primeira imagem foi tirada em maior resolução do que a segunda:

Mesmo assim, as câmeras digitais compactas e as câmeras disponíveis em aparelhos de celular têm captação de imagem bem menos poderosa do que uma DSLR, que é uma câmera digital profissional.

Outro fator importante é saber que uma ampliação de foto simples - 15x10 cm - precisa de apenas um megapixel para ser impressa com qualidade. Ou seja, a não ser que você trabalhe profissionalmente com fotografias, não precisará de milhares de megapixels para produzir e imprimir boas imagens.

O marketing em cima dos números
As empresas fabricantes de câmeras digitais vendem seus produtos passando para o consumidor a ilusão de que quanto maior o número de megapixels, maior a qualidade do aparelho e isso justifica, assim, um preço maior. Isso acaba gerando um padrão de que maior número em tecnologia significa um produto mais eficiente, o que nem sempre é verdade.

Além disso, não se deve diferenciar as câmeras digitais pela quantidade de megapixel, uma vez que um megapixel a mais ou a menos tem um resultado final insignificante. Para realmente fazer a diferença, é necessário ter uma diferença de no mínimo 4 MP entre uma câmera e outra.

Enquanto aparelhos profissionais têm capacidade de sensor, lentes e captação de cores cada vez melhor, a fabricação de câmeras compactas está preocupada em melhorar a maquiagem digital da foto.

O arquivo original de uma fotografia digital é reconhecido pela extensão RAW. No entanto, as câmeras têm dispositivos que auxiliam na melhoria da imagem antes mesmo de você colocá-la no computador, gerando o conhecido formato JPEG. Para entender um pouco mais sobre esta questão, clique aqui.

E afinal, que câmera comprar?
Ao buscar uma nova câmera, tire a quantidade de megapixels que ela suporta do primeiro item da sua lista. Analise antes a qualidade do sensor de captação de imagem, a nitidez e definição de cores da foto que ela produz, a variação do ISO, a lente que ela possui e sua distância focal – bem importante para quem gosta de fotografar objetos pequenos e detalhes.

E mais do que isso: pesquise bastante. Busque resenhas na internet, opiniões de compradores e junte o máximo de informação que puder. Lembre-se de que quem faz a foto é você, mas quanto melhor o equipamento em mãos, melhores serão suas imagens.

Leia mais em: http://www.tecmundo.com.br/imagem/3529-mais-megapixels-significa-maior-qualidade-de-imagem-.htm#ixzz238NEly2H

Protocolo 802.1x

FONTE: http://www.rhyshaden.com/8021x.htm

Introduction

802.1X, ratified in December 2001 is a supplement to the 802.1D standard and provides port-based control of network access. This is achieved by modifying the operation of a layer 2 (MAC) bridge such as MAC filtering, it is a link-layer protocol for authentication. You can gain access here to the IEEE 802.1X-2004 standard.

802.1X uses an existing framework called Extensible Authentication Protocol (EAP) which is defined in RFC 3748. RFC 3748 obsoletes RFC 2284 which concerned itself with EAP within PPP. Now, RFC 3748 also includes EAP within IEEE 802 i.e. LAN and Wi-Fi. There is no requirement for a layer 3 protocol such as IP until the Authenticator needs to send the EAP information to the RADIUS server, at which point the layer 3 protocol RADIUS is used to encapsulate EAP. EAP packets can be understood by a RADIUS server, which provides user Authentication, Authorisation and Accounting (AAA), so the EAP packets are encapsulated in RADIUS format between the Authenticator and the RADIUS Authentication server.

With 802.1X the client and the server need to be authenticated with each other, keys can be dynamically derived and refreshed plus the users and keys can be managed centrally. In addition, 802.1X supports user authentication that can be based on existing authentication databases such as Active Directory or LDAP, and these may then link to certificate servers.

The 802.1X standard has three types of EAP defined within it:

• EAP-MD5 - see later
• EAP-TLS - see later
• EAP-OTP - see later

For 802.1X to operate there are three main components required:

• Supplicant – sits on a client device such as a laptop or PDA, the Supplicant is software that handles authentication from the client's point of view, it is also known as the Port Access Entity (PAE)
• Authenticator – edge network device such as an access switch, router or Wi-Fi access point. The Authenticator encapsulates the EAP frames within RADIUS.
• Authentication server – a RADIUS server with EAP capability

EAPOL Frame Format

The EAPOL frame sits within an Ethernet frame after the LLC field and has the following structure:

• Code - this has 8 bits, it identifies the type of EAP packet and can have the following EAP code numbers:
  • 1 - Request
  • 2 - Response
  • 3 - Success
  • 4 - Failure
• Identifier - this has 8 bits and matches Responses with Requests, it can have the following values:
  • 0 - EAP Packet, Both the supplicant and the authenticator send this packet, It is used during authentication and contains MD5 or TLS information required to complete the authentication process
  • 1 - EAPOL Start, Send by supplicant when it starts authentication process
  • 2 - EAPOL Logoff, Send by supplicant when it wants to terminate the 802.1x session
  • 3 - EAPOL Key, Send by switch to the supplicant and contains a key used during TLS authentication
• Length - The Length field is 16 bits and indicates the length, in octets, of the EAP packet including the Code, Identifier, Length, and Data fields.

RADIUS Packet Format

Remote Authentication Dial In User Service (RADIUS) is defined in RFC 2865 (which obsoletes RFC 2138) and RADIUS Accounting is defined in RFC 2866 (which obsoletes RFC 2139).

RADIUS concerns itself with AAA management of network access and is the transport for EAP between the Authenticator and the Authentication server. In addition, RADIUS is also used to carry policy instructions back to the Authenticator in the form of AV pairs.

• Authentication - A client sends a access request to the network at link layer. This request contains user credentials or a user certificate. The authenticator packages this in RADIUS format as an Access Request message and forwards it on to a RADIUS server. The RADIUS server checks its user database for a match and then consequently decides whether or not to authenticate the user. The messages used are either Access Reject, Access Challenge (ask more information) or Access Accept.
• Authorisation - The RADIUS server stipulates the terms of access for the user i.e. what the user is permitted to do on the network.
• Accounting - If user access statistics and information are required then RADIUS accounting is enabled by the Authenticator issuing an Accounting Start Request to the RADIUS server. Subsequent Interim Accounting Records may also be sent to indicate information such as the duration of the user session. Accounting is halted when an Accounting Stop Record is sent to the server.

The RADIUS protocol uses UDP ports 1812 for Authorisation and 1813 for Accounting as standard. Originally these ports were 1645 for Authorisation and 1646 for Accounting and are still used today, therefore RADIUS servers look out for both sets of ports.

The RADIUS Datagram has the following structure:

• Code - indicates the type of RADIUS packet
  • 1 - Access-Request
  • 2 - Access-Accept
  • 3 - Access-Reject
  • 4 - Accounting-Request
  • 5 - Accounting-Response
  • 11 - Access-Challenge
  • 12 - Status-Server (experimental)
  • 13 - Status-Client (experimental)
  • 255 - Reserved
• Identifier - matches request with response
• Length - indicates the length of the whole packet which may vary between 20 and 4096 bytes
• Authenticator - contains the information that the client and server use to authenticate each other
• Attributes - this field contains specific authentication, authorisation, information, plus configuration details for RADIUS packets
  • Type - this is the type of attribute and take one of the following numbers (192 to 255 are reserved):
    • 1 - User-Name
    • 2 - User-Password
    • 3 - CHAP-Password
    • 4 - NAS-IP-Address
    • 5 - NAS-Port
    • 6 - Service-Type
    • 7 - Framed-Protocol
    • 8 - Framed-IP-Address
    • 9 - Framed-IP-Netmask
    • 10 - Framed-Routing
    • 11 - Filter-ID
    • 12 - Framed-MTU
    • 13 - Framed-Compression
    • 19 - Reply-Message
    • 24 - State
    • 25 - Class
    • 26 - Vendor-Specific
    • 27 - Session-Timeout
    • 28 - Idle-Timeout
    • 29 - Termination-Action
    • 32 - NAS-Identifier
    • 61 - NAS-Port-Type
    • 62 - Port-Limit
  • Length - the length of the attribute
  • Value - the size of this field varies and contains specific information on the attribute. The structure of a Vendor Specific Attribute (VSA) is as follows:
    • Type - this is set as 0x1A
    • Length - length of the VSA in bytes
    • Vendor-ID - constructed as 0x00SSSSSS where the 'S' numbers represent the Structure and Identification of Management Information (SMI) Network Management Private Enterprise Code of the vendor
    • String - this contains a 1 byte Vendor Type field, a 1 byte Vendor Length field and a variable Attribute-Specific field contains the data for the specific vendor attribute.
  The list of RADIUS attributes is by no means exhaustive, more information can be found from RFC 2865 and RFC 2866
  
  

  Extensible Authentication Protocol (EAP) and 802.1X

  
  
  The 802.1X standard is used to control port access, and there is a RADIUS extension for Extensible Authentication Protocol (EAP) which is a server plug-in used to give clients access to the RADIUS server. These allow interoperability between manufacturers when it comes to security. For each user device within the network, a username and password is stored in the RADIUS server, these are called the client Credentials. The user uses EAP over LAN (or Wi-Fi), and EAP over RADIUS with the RADIUS server and authenticates. The user and the RADIUS server such as Cisco ACS, FreeRADIUS or Steel Belted RADIUS (Juniper Networks), then negotiate a single-session, single-user encryption key. In a Wi-Fi environment this key is stored on the AP and this allows continuation of the session.
  
  

  Operation of 802.1X

  
  
  See below for the steps used to authenticate a client using 802.1X over a LAN, the colour orange represents that EAP is encapsulated within 802.1X whereas green represents EAP encapsulated within RADIUS. The EAP method can vary, however throughout the whole process the Authenticator is performing the relevant encapsulations:
  
  
  
  Below are the steps used to authenticate a client using 802.1X over Wi-Fi:
  
  
  
  So in general, the login credentials are sent by the supplicant to the Authenticator (e.g. access switch or Wi-Fi access point) which allows the user open authentication access only for 802.1X traffic. No other traffic is permitted. It is as if there are two virtual ports, one that allows 802.1X traffic only, and the other that is blocked for all other traffic until authentication is successful. The authenticator forwards the credentials (depending on the EAP method) on to the RADIUS server in RADIUS format which checks them against its database. In this manner the supplicant also checks the validity of the server too, thereby providing mutual authentication.
  
  
  
  

  Types of Extensible Authentication Protocol (EAP)

  
  
  There are a number of EAP methods, common ones are listed below and described in some detail:
  
  

  EAP-Transport Layer Security (EAP-TLS)

  
  
  TLS is Cryptographic-based and is devised as an alternative to SSL and can tie in to the NT/2000 and LDAP databases with a single login. TLS is an IETF open standard defined in RFC 2716. It is required that clients and servers have separate private certificates issued by a CA as part of a PKI. Refer to Encryption for information on PKI and CA servers. As well as the private certificates which are never shared with anyone except the CA, there is a public key which is shared. The CA has to be trusted by both parties (server and client). You can tie the Microsoft credentials for a user to the certificate of that user. This then permits a single log in to be implemented.
  
  
  You can set up both user and machine authentication. In this instance, multiple EAP transactions take place.
  
  
  TLS operates as follows:
  
  
  1. Either the supplicant sends a EAP Over LAN (EAPOL) start message or the authenticator sends an identity request message.
  2. The supplicant sends the Network Access Identifier (NAI) (not necessarily the username) to the authenticator along with the EAP type being used
  3. The NAI is encapsulated in a RADIUS access request message and sent on to the RADIUS server.
  4. An encrypted tunnel is required so the server sends its CA-issued certificate to the supplicant
  5. If the client trusts the certificate it uses it to encrypt the authentication messages
  6. The supplicant sends its user or/both machine certificate to the server
  7. The server authenticates the client and it sends encrypted data to the authenticator which now unblocks the port for the client.
  8. The client now receives the data to enable it to derive the session key.
  
  

  Protected EAP (PEAP)

  
  
  Tunnel-based Protected EAP (PEAP) is IETF draft so is standards-based and there are two versions. PEAP is limited to Windows NT/2000/XP/CE clients and its strength is that it protects the authentication mechanism by way of a certificate on the server side that is used to encrypt the exchange between the server and the client.
  
  
  • PEAP-MSCHAPv2 (Microsoft PEAP) can interact with NT/2000 and Active Directory (AD), also known as PEAP version 0. This can be used when there are multi-vendor devices on the network.
  • PEAP - Generic Token Card (PEAP-GTC) can interact with LDAP, One Time Password (OTP) and NDS authentication servers. Also known as PEAP version 1 it was developed by RSA and Cisco. PEAP v1 is not supported by Microsoft, only by Cisco Compatible Extensions (CCX).
  
  
  With a Generic token Card you have a OTP when you click, the password is generated on both the client and the token server, they are synchronized and never have to be typed in or sent across a non-secure link. Typically this password lasts for a couple of minutes (this time is configurable). The interface typically asks you to pick out certain characters of this password. OTP systems are developed by Secure computing SafeWord and RSA Security SecureID.
  
  
  PEAP operates as follows:
  
  
  1. Either the supplicant sends a EAP Over LAN (EAPOL) start message or the authenticator sends an identity request message.
  2. The supplicant sends the Network Access Identifier (NAI) (not necessarily the username) to the authenticator along with the EAP type being used
  3. The NAI is encapsulated in a RADIUS access request message and sent on to the RADIUS server.
  4. An encrypted tunnel is required so the server sends its TLS certificate to the supplicant
  5. If the client trusts the certificate it uses it to encrypt the authentication messages, the server is authenticated to the client
  6. The supplicant sends its TLS encrypted credentials (username and password) to the server, the client does not need a CA certificate
  7. The server authenticates the client and it sends encrypted data to the authenticator which now unblocks the port for the client.
  8. The client now receives the data to enable it to derive the session encryption key.
  
  

  Lightweight EAP (LEAP)

  
  
  Released late in 2000, LEAP was developed by Cisco to use Windows NT/2000 login format for the NT or Active Directory databases (user ID and password). LEAP is Challenge-Response-based. LEAP is also supported on the MAC and Linux and is implemented on many vendor Network Interface Cards so it has wide support. Supplicant support includes Cisco Secure Client (formerly Meetinghouse Aegis) and Funk Odyssey by Juniper Networks. LEAP supports fast roaming between APs i.e. the authentication takes less than 150ms.
  
  
  LEAP operates as follows:
  
  
  1. Either the supplicant sends a EAP Over LAN (EAPOL) start message or the authenticator sends an identity request message.
  2. The supplicant sends the username to the authenticator
  3. The username is encapsulated in a RADIUS access request message and sent on to the RADIUS server.
  4. The RADIUS server sends a clear text challenge to the supplicant via the authenticator
  5. The supplicant responds with the challenge but now the message is encrypted
  6. The RADIUS server sends a success or failure message back to the supplicant via the authenticator
  7. The supplicant sends a challenge to the RADIUS server via the authenticator
  8. The RADIUS server responds and also sends a dynamic key that is placed in the authenticator. This key is specific to the supplicant.
  9. The broadcast key is encrypted with the client encryption key and the decision is made to use 40-bit or 128-bit WEP keys. The broadcast key is sent to the client as a session key.
  
  
  The main issue is that the initial challenge is sent by the RADIUS server in clear text. Because the response is encrypted a dictionary attack could be performed using a tool such as ASLEEP. It is advisable to use 11 or more characters with alphanumeric and uppercase letters in order to mitigate against such an attack.
  
  

  EAP Flexible Authentication via Secure Tunnelling (EAP-FAST)

  
  
  EAP-FAST is Tunnel-based and was developed by Cisco in 2003 and is now defined in RFC 4851 so it is standards-based, although only supported on Windows operating systems. The need was to find a way around sending an initial clear text challenge. This is achieved by placing a Protected Access Credentials (PAC) on the client device. This PAC is used to authenticate the server and acts like a certificate. In addition, EAP-FAST can integrate with LDAP authentication, also permits Windows-initiated password changes using MSCHAPv2 as well as Cisco local authentication. EAP-FAST supports Fast Secure Roaming.
  
  
  1. The supplicant sends a start message to the authenticator
  2. The authenticator requests the identity i.e. the username and password
  3. The supplicant sends through its identity and this is forwarded on to the RADIUS server.
  
  
  Next there are three phases:
  
  
  Phase Zero (optional):
  1. An anonymous Diffe-Hellman key exchange (A-ID) occurs using EAP-MSCHAPv2, this results in the creation of a tunnel.
  2. On success, the RADIUS server provides the supplicant a PAC based on a master key. The key has a lifetime, so the PAC must be renewed regularly.
  
  
  The PAC could be manually placed on the client instead!
  
  
  Phase One:
  1. The supplicant sends the PAC to the server and a TLS tunnel is established based on this PAC, provided that it was based on an unexpired master key.
  
  
  Phase Two:
  1. Within the TLS tunnel the server authenticates the client credentials with EAP-Generic Token Card (EAP-GTC)
  2. The user is logged in the Passed Authentication Log
  3. When the client’s PAC is renewed then an additional entry appears in the Passed Authentication Log
  
  

  Other EAPs

  
  
  Other EAP types include the following:
  • EAP-MD5 - This is described within RFC 3748. EAP-MD5 is Challenge-Response-based. Points to make about EAP-MD5 is that the MD5 hash function is vulnerable to dictionary attacks, it doesn't support dynamic key generation and there is no mutual authentication so EAP-MD5 is vulnerable to 'man-in-the-middle' attacks.
  • EAP-OTP - The OTP mechanism is used extensively in VPN and PPP scenarios but not in the wireless world. EAP One Time Password is similar to EAP-MD5, except it uses the One-Time Password (OTP) as the response. The request contains a displayable message. The OTP method is defined in RFC 2289
  • EAP Pre-shared Key (EAP-PSK) - this is described in RFC 4764. EAP-PSK supports session key generation and mutual authentication so it is ideal for non-secure environments such as Wi-Fi when access to a CA is not practical.
  • EAP-Tunneled Transport Layer Security (EAP-TTLS) - this is Tunnel-based and is an enhancement to EAP-TLS where only the server needs to be authenticated to the client using a PKI CA-based certificate. Once the server is authenticated to the client, then the client can be authenticated to the server over a secure encrypted tunnel. Any EAP method may be used within this tunnel so you are able to implement EAP within EAP. EAP-TTLS is currently in draft form.
  • EAP-IKEv2 - this is based on the draft IKEv2 and may use asymmetric key pairs, symmetric key pairs and passwords.
  • EAP-SIM - this is EAP for Global System for Mobile Communications (GSM) Subscriber Identity Module (SIM) and is defined in RFC 4186
  • EAP-AKA - EAP for UMTS Authentication and Key Agreement is used for authentication and session key distribution using the Universal Mobile Telecommunications System (UMTS) Universal Subscriber Identity Module (USIM). EAP-AKA is defined in RFC 4187

Fonte: http://technet.microsoft.com/pt-br/library/cc754378%28v=ws.10%29

 

Proteção de Acesso à Rede no NPS

Aplica-se a: Windows Server 2008

A Proteção de Acesso à Rede (NAP) é uma tecnologia de criação, imposição e remediação de diretivas de integridade de cliente incluída no Windows Vista®, Windows Server® 2008, Windows® 7 e Windows Server® 2008 R2. Com a NAP, você pode estabelecer diretivas de integridade que definem requisitos de software, requisitos de atualização de segurança e configurações necessárias para os computadores que se conectam a sua rede.
A NAP impõe diretivas de integridade inspecionando e avaliando a integridade de computadores clientes, limitando o acesso à rede quando computadores clientes forem incompatíveis com a diretiva de integridade e atualizando esses computadores clientes, tornando-os compatíveis, antes de conceder-lhes o acesso total à rede. A NAP impõe diretivas de integridade nos computadores cliente que tentam se conectar a uma rede. A NAP também oferece imposição de conformidade de integridade contínua enquanto um computador cliente está conectado a uma rede.
A NAP é uma plataforma extensível que oferece uma infraestrutura e um conjunto de interface de programação de aplicativo (API) Utilizando o conjunto de API da NAP, você pode adicionar componentes aos clientes da NAP e aos servidores que estiverem executando o Servidor de Diretiva de Rede (NPS) que verificam a integridade do computador, reforçam a diretiva de integridade da rede e corrigem computadores que não sejam compatíveis para que sejam inseridos na diretiva de integridade.
A NAP propriamente dita não fornece componentes para verificar ou corrigir a integridade de um computador. Outros componentes, conhecidos como agentes de integridade do sistema (SHAs) e validadores da integridade do sistema (SHVs), fornecem a inspeção e relatórios do estado de integridade do computador cliente, a validação do estado de integridade do computador cliente comparado com a diretiva de integridade e as definições de configuração para ajudar o computador cliente a ficar compatível com a diretiva de integridade.
O Agente de Integridade de Segurança do Windows (WSHA) está incluído no Windows Vista e Windows 7 como parte do sistema operacional. O Validador de Integridade de Segurança do Windows (WSHV) está incluído no Windows Server 2008 e Windows Server 2008 R2 como parte do sistema operacional. Com o conjunto NAP API, outros produtos também podem implementar SHAs e SHVs para integração com a NAP. Por exemplo, um fornecedor de software antivírus pode usar o conjunto API para criar um SHA e SHV personalizados. Esses componentes podem, então, ser integrados às soluções NAP implantadas por clientes do fornecedor do software.
Se você for um administrador da rede ou do sistema e pretende implantar a NAP, poderá fazê-lo com o WSHA e WSHV que estão incluídos no sistema operacional. Além disso, poderá verificar com outros fornecedores de software se eles fornecem SHAs e SHVs com seus produtos.

Visão geral de NAP

A maioria das organizações cria diretivas de rede que controlam o tipo de hardware e de software que poderá ser implantado em sua rede. Essas diretivas geralmente incluem regras que determinam como os computadores clientes podem ser configurados antes de se conectarem à rede. Por exemplo, muitas organizações exigem que os computadores clientes executem um software antivírus com atualizações recentes instaladas e tenham um firewall de software instalado e habilitado antes da conexão com a rede da organização. Um computador cliente que estiver configurado de acordo com a diretiva de rede da organização poderá ser considerado compatível com a diretiva e, se ele não estiver assim configurado, poderá ser considerado incompatível com a diretiva.
A NAP permite usar o NPS para criar diretivas que definem a integridade do computador cliente. Além disso, ela permite impor as diretivas de integridade de cliente criadas e atualizar automaticamente ou corrigir os computadores clientes compatíveis com NAP para que fiquem em conformidade com a diretiva. A NAP fornece detecção contínua da integridade do computador cliente para proteger contra casos em que um computador cliente é compatível ao se conectar à rede da organização e torna-se incompatível durante a conexão.
A NAP oferece proteção complementar ao computador cliente e à rede da organização, assegurando que os computadores conectados à rede são compatíveis com as diretivas de integridade de cliente e de rede da organização. Isso protege a rede contra elementos prejudiciais introduzidos por computadores clientes, por exemplo, vírus de computador, e protege também os computadores clientes contra elementos prejudiciais que poderão ser introduzidos pela rede à qual estão conectados.
Além disso, a correção automática de NAP reduz o tempo que os computadores clientes incompatíveis ficam impedidos de acessar os recursos da rede da organização. Quando a correção automática estiver configurada e os clientes estiverem em um estado de incompatibilidade, os componentes do cliente NAP poderão rapidamente atualizar o computador usando os recursos que você fornece em uma rede de remediação, permitindo que o cliente, agora compatível, seja rapidamente autorizado pelo NPS a conectar-se à rede.

NPS e NAP

O NPS pode atuar como um servidor de diretivas NAP para todos os métodos de imposição NAP.
Quando você configura o NPS como um servidor de diretivas NAP, o NPS avalia as declarações de integridade (SoH) enviadas por computadores cliente habilitados para NAP que você deseja conectar à rede. Você pode configurar diretivas NAP no NPS que permitam que computadores clientes atualizem a configuração para se tornarem compatíveis com a diretiva de rede da sua organização.

Integridade do computador cliente

A Integridade é definida como informações sobre um computador cliente que a NAP utiliza para determinar se deverá permitir ou negar o acesso do cliente a uma rede. Uma avaliação do status de integridade do computador cliente representa um estado de configuração de um computador cliente em comparação com o estado exigido pela diretiva de integridade.
Um exemplo de medidas de integridade inclui:

• O status operacional do Firewall do Windows. O firewall está habilitado ou desabilitado?
• O status da atualização de assinaturas de antivírus. As assinaturas de antivírus são as mais recentes disponíveis?
• O status da instalação de atualizações de segurança. As atualizações de segurança mais recentes estão instaladas no cliente?

O status da integridade do computador cliente está encapsulado em uma declaração de integridade (SoH), que é emitida pelos componentes do cliente NAP. Os componentes do cliente NAP enviam a SoH para os componentes do servidor NAP para avaliação, a fim de determinar se o cliente é compatível e poderá ter acesso total à rede.
Na terminologia NAP, a verificação de um computador quanto ao cumprimento das exigências de integridade definidas é chamada de validação da diretiva de integridade. O NPS executa a validação da diretiva de integridade para NAP.

Como funciona a imposição de NAP

A NAP impõe diretivas de integridade utilizando componentes do cliente que inspecionam e avaliam a integridade de computadores clientes, com componentes do lado do servidor que limitam o acesso à rede quando computadores clientes são considerados incompatíveis e com componentes do cliente e do servidor que ajudam na atualização de computadores clientes incompatíveis para o acesso total à rede.

Principais processos de NAP

Para ajudar a proteger o acesso à rede, a NAP conta com três processos: validação de diretiva, imposição de NAP e restrição à rede e remediação e compatibilidade contínua.

Validação de diretiva

Com o NPS, você pode criar diretivas de integridade de cliente usando SHVs que permitem que a NAP detecte, imponha e corrija as configurações de computador cliente.
O WSHA e o WSHV oferecem a seguinte funcionalidade para computadores compatíveis com NAP:

• O computador cliente tem software de firewall instalado e habilitado.
• O computador cliente tem software antivírus instalado e em execução.
• O computador cliente tem atualizações de antivírus mais recentes instaladas.
• O computador cliente tem software antispyware instalado e em execução.
• O computador cliente tem atualizações de antispyware mais recentes instaladas.
• O Microsoft Update Services está habilitado no computador cliente.

Além disso, se os computadores clientes compatíveis com NAP estiverem executando o Windows Update Agent e estiverem registrados em um servidor WSUS (Windows Server Update Service), a NAP poderá verificar se as atualizações mais recentes de segurança do software estão instaladas com base em um dos quatro valores possíveis que correspondem às classificações de severidade de segurança da Microsoft Security Response Center (MSRC).
Quando você cria diretivas que definem o status de integridade do computador cliente, as diretivas são validadas pelo NPS. Os componentes do cliente NAP enviam uma declaração de integridade (SoH) para o servidor NPS durante o processo de conexão com a rede. O NPS examina a SoH e a compara com as diretivas de integridade.

Imposição de NAP e restrição da rede

A NAP nega o acesso à rede para computadores clientes incompatíveis ou concede-lhes acesso somente a uma rede especial restrita chamada rede de remediação. Uma rede de remediação permite que computadores clientes acessem servidores de atualização, que fornecem atualizações de software e outros serviços NAP importantes, como servidores de Autoridade de Registro de Integridade (HRA), que são necessários para a compatibilidade dos clientes NAP com a diretiva de integridade.
A configuração da imposição de NAP na diretiva de rede NPS permite usar a NAP para limitar o acesso à rede ou observar o estado de computadores clientes compatíveis com NAP que não estão em conformidade com a diretiva de integridade de rede.
Você pode optar por restringir o acesso, adiar a restrição de acesso ou permitir acesso com configurações de diretiva de rede.

Remediação

Os computadores clientes incompatíveis que são colocados em uma rede restrita podem passar por remediação. Remediação é o processo de atualizar automaticamente um computador cliente para que ele atenda às diretivas de integridade atuais. Por exemplo, uma rede restrita pode conter um servidor FTP (File Transfer Protocol) que atualiza automaticamente as assinaturas de antivírus de computadores clientes incompatíveis que apresentam assinaturas desatualizadas.

Compatibilidade contínua

A NAP pode impor a compatibilidade de integridade em computadores clientes que já estão conectados à rede. Essa funcionalidade é útil para assegurar que uma rede esteja continuamente protegida quando houver mudança nas diretivas de integridade e na integridade dos computadores clientes. Por exemplo, a NAP determinará que o computador cliente está em um estado de incompatibilidade se uma diretiva de integridade exigir que o Firewall do Windows esteja habilitado e um administrador desativar inadvertidamente o firewall em um computador cliente. Em seguida, a NAP desconectará o computador cliente da rede da organização e o conectará à rede de remediação até o Firewall do Windows ser novamente habilitado.
Você pode usar as configurações de NAP nas diretivas de rede NPS para configurar a correção automática, de forma que os componentes do cliente NAP tentem atualizar automaticamente o computador cliente quando ele não estiver compatível. Assim como as configurações da imposição de NAP, a correção automática é configurada nas definições de diretiva de rede.

Criar diretivas de NAP com um assistente

Use este procedimento para criar as diretivas de integridade, as diretivas de solicitação de conexão e as diretivas de rede necessárias para implantar a Proteção de Acesso à Rede (NAP) com Servidor de Diretivas de Rede (NPS).
Este procedimento explica como iniciar o Assistente de Novas Diretivas de Proteção de Acesso à Rede. Quando você executar o assistente, escolha primeiramente o método de conexão de rede que implantou, por exemplo, Gateway de serviços de terminal (gateway TS) ou sem fio 802.1X, em seguida, insira as informações necessárias para o assistente criar todas as diretivas NPS para esse método de conexão.

Observação
Nesse contexto, o método de conexão de rede é sinônimo de método de imposição de NAP.

Após a execução do assistente, as seguintes diretivas estarão criadas:

• Duas diretivas de integridade: compatível e incompatível.
• Uma diretiva de solicitação de conexão.
• Três diretivas de rede: compatível, incompatível e sem habilitação para NAP.

A execução do Assistente de Novas Diretivas de Proteção de Acesso à Rede não é a única etapa necessária à implantação de NAP. Cada método de conexão de rede requer a implantação de componentes de hardware e software para a implantação de NAP.
O mínimo necessário para concluir este procedimento é ser membro do grupo Admins. do Domínio ou equivalente.

Para criar diretivas de NAP com um assistente

1. Abra o console NPS. Caso ainda não esteja selecionado, clique em NPS (Local). Se você está executando o snap-in do MMC NPS e deseja criar diretivas de NAP em um servidor NPS remoto, selecione o servidor.
   
2. Em Iniciando e Configuração Padrão, selecione Servidor de diretivas NAP (proteção de acesso à rede). O texto e os links abaixo do texto mudam para refletir a sua seleção.
   
3. Clique em Configurar NAP com um assistente. Será aberto o Assistente de Novas Diretivas de Proteção de Acesso à Rede.
   

   Habilitar verificações de integridade do cliente

   Você pode usar este procedimento para habilitar verificações de integridade do cliente ao implantar a Proteção de Acesso à Rede (NAP) com os métodos de imposição IPsec e DHCP. As verificações de integridade do cliente com esses métodos de imposição ocorrem durante o processo de autorização. Entretanto, essas verificações também ocorrem quando o NPS não realizar o processo completo de autenticação e autorização. Por exemplo, quando um cliente DHCP renova seu endereço IP, uma verificação da integridade do cliente é realizada, mas o processo total de autenticação e autorização não é realizado.
   

   Importante
   A configuração Executar somente verificação de integridade da máquina é fornecida para uso com diretivas de rede que também imponham a diretiva de integridade para NAP. Não use esta configuração em diretivas que não imponham a diretiva de integridade para NAP.

   
   
   Ser membro do grupo Admins. do Domínio, ou equivalente, é o mínimo necessário para concluir esse procedimento.
   

   Para habilitar as verificações de integridade do cliente

   1. Abra o console do Servidor de Diretivas de Rede, clique duas vezes em Diretivase, em seguida, clique duas vezes em Diretivas de Rede.
      
   2. Clique duas vezes na diretiva para a qual você deseja habilitar as verificações de integridade do cliente. A caixa de diálogo de propriedades da diretiva é aberta. Clique na guia Restrições.
      
   3. Em Restrições, certifique-se de que Métodos de Autenticação esteja selecionada.
      
   4. No painel de detalhes, marque a caixa de seleção Executar somente verificação de integridade da máquina.
      

   Considerações adicionais

   Nas implantações de NAP com DHCP e IPsec, quando o NPS recebe uma solicitação de verificação de integridade do cliente que não inclua o atributo Nome de Usuário e a condição Tipo de Identidade estiver configurada na diretiva de rede do NPS com um valor Verificação de integridade do computador, a solicitação corresponde à diretiva e, se todas as outras condições e restrições configuradas na diretiva também forem correspondidas, as configurações da diretiva são aplicadas.
   

   Habilitar escopos DHCP para NAP

   Ao implantar o método de imposição de DHCP para a Proteção de Acesso à Rede (NAP), você deve escolher se deseja habilitar a NAP em escopos individuais no servidor DHCP ou habilitar a NAP em todos os escopos DHCP em um servidor DHCP.
   A habilitação de NAP em escopos individuais é recomendável se você tiver um número limitado de sub-redes e escopos que ofereçam suporte às sub-redes.
   Se você tiver um grande número de sub-redes, é recomendável que habilite a NAP em todos os escopos em um servidor DHCP.
   Para configurar os escopos DHCP para NAP, siga um destes procedimentos:
   
4. Para habilitar a NAP em todos os escopos em um servidor DHCP, obtenha as propriedades do IP versão 4 (IPv4) do servidor, clique na guia Proteção de Acesso à Rede e configure a NAP.
5. Para habilitar a NAP em escopos individuais em um servidor DHCP, obtenha as propriedades do escopo, clique na guia Proteção de Acesso à Rede e configure a NAP.

O Protocolo HCAP permite que você integre a sua solução de Proteção de Acesso à Rede da Microsoft ao Controle de Admissão à Rede da Cisco. Quando você implanta o HCAP com o NPS (Servidor de Diretivas de Rede) e a NAP, o NPS pode realizar a autorização dos clientes de acesso 802.1X da Cisco, incluindo a imposição da diretiva de integridade de NAP, enquanto os servidores de autenticação, autorização e contabilização (AAC) da Cisco realizam a autenticação.
Para implantar um servidor HCAP, você deve fazer o seguinte:

1. Implantar computadores cliente habilitados para NAP. Configure os computadores cliente para usar o EAP-FAST da Cisco como o método de autenticação para acesso à rede.
2. Usando a documentação de implantação de NAP, implante a NAP, configurando os computadores cliente com Agentes de Integridade do Sistema (SHAs) e os servidores NPS com os Validadores da Integridade do Sistema (SHVs) correspondentes.
3. Usando a documentação de implantação da Cisco, implante do Controle de Admissão à Rede da Cisco.
4. Usando o Assistente para Adicionar Funções do Gerenciador de Servidores, instale o servidor HCAP. O servidor HCAP é um serviço de função da função de servidor Serviços de Acesso e Diretiva de Rede. Quando você instala o servidor HCAP, os componentes adicionais necessários, Serviços de Informações da Internet (IIS) e NPS, são instalados no mesmo computador. Além disso, um certificado de servidor é registrado automaticamente no servidor que executa o IIS para permitir conexões SSL entre o IIS e o servidor AAC da Cisco.
5. Configure o IIS para escutar endereços IP específicos para permitir que os servidores AAC da Cisco enviem solicitações de autorização.
6. Configure o servidor AAC da Cisco com a URL do servidor que executa HCAP, NPS e IIS para que o servidor AAC da Cisco possa enviar solicitações de autorização para o NPS.
7. Configure o NPS no servidor HCAP como um proxy RADIUS para encaminhar solicitações de autorização para servidores NPS que sejam membros de um ou mais grupos do servidor RADIUS remoto. Opcionalmente, você pode configurar o NPS no servidor HCAP como um servidor RADIUS para processar solicitações de autorização localmente.
8. Configure os servidores NPS como servidores RADIUS para realizar autorização, o que inclui a implantação de NAP e a criação de diretiva de integridade no NPS. Se o servidor NPS-HCAP for um proxy RADIUS que encaminhe solicitações de conexão para servidores RADIUS do NPS em grupos do servidor RADIUS remoto, você deve configurar o proxy RADIUS como um cliente RADIUS em cada servidor RADIUS.
9. Em servidores RADIUS do NPS, configure a diretiva de rede com a diretiva de integridade de NAP. Se desejado, as condições da diretiva de rede podem incluir o Nome do Grupo HCAP e o Grupo de Local HCAP para interoperabilidade de NAP com o Controle de Admissão à Rede da Cisco. Além disso, você pode usar a condição Estado Estendido na diretiva de rede para especificar o estado estendido do computador cliente necessário para corresponder a diretiva de rede. Os estados estendidos são elementos do Controle de Admissão à Rede da Cisco e incluem Transicional, Infectado e Desconhecido. Usando essa condição de diretiva de rede, você pode configurar o NPS para autorizar ou rejeitar o acesso de acordo com esses possíveis estados do computador cliente.

Processo de autenticação e autorização

Depois de implantar o Controle de Admissão à Rede da Cisco e o NPS com NAP, o processo de autenticação e autorização funciona da seguinte maneira:

1. O computador cliente tenta acessar a rede. O cliente pode tentar se conectar através de uma chave de autenticação 802.1X ou de um ponto de acesso sem fio 802.1X configurado como um cliente RADIUS ao servidor AAC da Cisco.
2. Depois que o servidor AAC da Cisco receber a solicitação de conexão do roteador ou servidor de acesso à rede, o servidor AAC da Cisco solicita os dados da declaração de integridade do cliente enviando um EAP-TLV (Tipo-Tamanho-Valor).
3. Os SHAs no computador cliente reportam o status de integridade para o Agente NAP no cliente e o Agente NAP cria uma SoH, que ele envia ao servidor AAC da Cisco.
4. O servidor AAC da Cisco encaminha a SoH usando o HCAP para o servidor ou proxy NPS junto com a ID de usuário, a ID de computador e o local do computador cliente.
5. Se o servidor NPS-HCAP estiver configurado como um proxy RADIUS, o NPS encaminha a solicitação de autorização para o grupo apropriado do servidor RADIUS remoto. (Esta determinação é feita com a avaliação pelo NPS das diretivas configuradas de solicitação de conexão). Se o servidor NPS-HCAP estiver configurado como um servidor RADIUS, o servidor NPS-HCAP processa a solicitação de autorização.
6. O NPS avalia a SoH em relação à diretiva de rede configurada e, se uma diretiva de rede correspondente for encontrada, cria uma resposta de SoH (SoHR) para ser retornada ao cliente. Isso, junto com as informações do estado estendido e o estado de imposição de NAP, é retornado ao servidor AAC da Cisco usando HCAP.
7. O servidor AAC da Cisco avalia o estado de imposição de NAP em relação à diretiva de Controle de Admissão à Rede da Cisco e determina o perfil de acesso à rede.
8. O servidor AAC da Cisco envia o perfil de acesso à rede para o servidor de acesso à rede (a chave, o ponto de acesso ou roteador). O perfil de acesso à rede contém as informações que instruem o servidor de acesso à rede a permitir acesso total, acesso restrito ou negar acesso ao computador cliente.
9. O servidor AAC da Cisco retorna a SoHR ao computador cliente.
10. Se a configuração do cliente não estiver de acordo com a diretiva de integridade e a SoHR instruir o cliente a atualizar, ele tentará realizar as ações necessárias, como o download de atualizações de software ou a alteração de definições de configuração. Depois da atualização, o cliente tenta acessar a rede novamente, e o processo de autenticação e autorização é repetido.

Componentes de NAP

A Proteção de Acesso à Rede (NAP) consiste em vários componentes de cliente e de servidor. Existem componentes de NAP comuns que são usados em todas as implantações de NAP e existem componentes usados somente para implantações específicas, dependendo do método de imposição de NAP ou dos métodos escolhidos.
Os métodos de imposição de NAP são qualquer uma das várias tecnologias de acesso à rede que atuam junto com a Proteção de Acesso à Rede para impor diretivas de integridade. Os métodos de imposição são DHCP (Protocolo de configuração dinâmica de hosts), IPsec (Internet Protocol security), VPN (rede virtual privada), Gateway de serviços de terminal (gateway TS) e EAP (Extensible Authentication Protocol), que podem ser usados para conexões com e sem fio baseadas em 802.1X autenticadas por um servidor NPS.

Componentes de NAP comuns

Os componentes de NAP comuns consistem em componentes de cliente e de servidor e são usados por todos os métodos de imposição de NAP.

Componentes de cliente

Um cliente compatível com NAP é um computador que tem os componentes de NAP instalados e pode verificar seu estado de integridade enviando uma declaração de integridade (SoH) para o Servidor de Diretivas de Rede (NPS).
Estão apresentados, a seguir, os componentes de computador cliente compatível com NAP da infra-estrutura NAP.

• Declaração de integridade (SoH)
  
  Uma declaração de um computador cliente que informa o status de integridade. Os agentes de integridade do sistema (SHAs) criam declarações de integridade e as envia para um validador da integridade do sistema (SHV) correspondente em um servidor NPS.
• Agente de integridade do sistema (SHA)
  
  Um componente que verifica o estado do computador cliente para determinar se as configurações monitoradas por ele estão atualizadas e definidas corretamente. Por exemplo, o Agente de Integridade de Segurança do Windows (WSHA) pode monitorar o Firewall do Windows, verificar se um software antivírus está instalado, habilitado e atualizado, se um software anti-spyware está instalado, habilitado e atualizado, se o Microsoft Update Services está habilitado e se o computador tem as atualizações de segurança mais recentes do Microsoft Update Services. Também pode haver SHAs (e validadores da integridade do sistema correspondentes) disponíveis de outras empresas que oferecem uma funcionalidade diferente.
• Agente NAP
  
  Um serviço do cliente que coleta e gerencia informações sobre a integridade, processa declarações de integridade de vários agentes de integridade do sistema e informa a integridade do cliente para o servidor de administração NAP.
• Cliente de imposição
  
  Software cliente que se integra às tecnologias de acesso à rede, como DHCP, VPN e IPsec. Para usar a NAP, pelo menos um cliente de imposição de NAP deverá estar instalado e habilitado nos computadores clientes. Os clientes de imposição de NAP individuais são específicos do método de imposição e estão descritos na seção seguinte. Um cliente de imposição de NAP solicita acesso a uma rede, comunica o status da integridade de um computador cliente para o servidor NAP que estiver autorizando o acesso à rede, por exemplo, o servidor NPS, e comunica o status restrito do computador cliente para outros componentes da arquitetura do cliente NAP.

Componentes de servidor

Estão apresentados, a seguir, os componentes de servidor da infra-estrutura NAP.

• Servidor de atualizações
  
  Hospeda as atualizações que o agente NAP pode usar para tornar compatíveis os computadores clientes incompatíveis. Por exemplo, um servidor de atualizações pode hospedar assinaturas de antivírus. Se a diretiva de integridade exigir que os computadores clientes NAP tenham as definições de antivírus mais recentes instaladas, um SHA de antivírus, um SHV de antivírus, um servidor de diretivas de antivírus e o servidor de atualizações usado para hospedar as assinaturas de antivírus atuarão em conjunto para atualizar computadores incompatíveis.
• Validadores da integridade do sistema (SHVs)
  
  Software servidor correspondente aos SHAs. Cada SHA no cliente tem um SHV correspondente no NPS. O NPS utiliza SHVs para verificar a declaração de integridade criada pelo SHA correspondente no computador cliente.
  
  Os SHAs e SHVs são comparados entre si, juntamente com um servidor de diretivas correspondente (usado por um SHV para determinar as condições atuais da integridade do sistema) e, talvez, um servidor de atualizações.
  
  Um SHV pode também detectar que nenhuma declaração de integridade foi recebida (por exemplo, o SHA nunca foi instalado ou foi danificado ou removido). Se a declaração de integridade não atender à diretiva definida, o SHV enviará uma mensagem de resposta à declaração de integridade (SoHR) para o SHA.
  
  Uma rede pode ter mais de um tipo de SHV. Se esse for o caso, o servidor NPS deverá coordenar a saída de todos os SHVs e determinar se limitará o acesso de um computador incompatível. Isso requer um planejamento cuidadoso na definição das diretivas de integridade para o ambiente e na avaliação da interação dos diferentes SHVs.
  
  O Validador de Integridade de Segurança do Windows (WSHV) pode verificar uma declaração de integridade do WSHA em um computador cliente. Também pode haver SHVs (e SHAs correspondentes) disponíveis de outras empresas que oferecem uma funcionalidade diferente.
• Diretivas de integridade
  
  Regras criadas configurando SHVs individuais e adicionando-os a uma diretiva de integridade e, em seguida, configurando as condições da diretiva. As diretivas de integridade são implementadas e impostas pelo NPS quando você as adiciona às configurações de uma diretiva de rede.
• Resposta à declaração de integridade (SoHR)
  
  A validação de uma declaração de integridade. Se o computador cliente for incompatível, o SoHR conterá instruções de correção que os SHAs no cliente usarão para tornar a configuração do computador cliente compatível com a diretiva de integridade.
  
  Cada tipo de declaração de integridade armazena tipos diferentes de informações sobre o status da integridade do sistema, e as mensagens de SoHR armazenam tipos diferentes de informações sobre como tornar-se compatível com os requisitos da diretiva de integridade configurados no NPS.

Componentes específicos do método de imposição

Estão apresentados, a seguir, os componentes específicos do método de imposição da infra-estrutura NAP.

• Tecnologia de imposição
  
  Uma das cinco tecnologias de acesso à rede que pode ser configurada para impor diretivas de NAP.
• Servidor de imposição
  
  Um componente em um servidor NAP que geralmente é comparado com um cliente de imposição de NAP e que restringe o acesso de um computador cliente à rede com base na sua compatibilidade de integridade. Há vários servidores de imposição de NAP: um para configurações de endereço DHCP, um para conexões VPN, um para comunicação protegida por IPsec, um para Gateway de serviços de terminal (gateway TS) e um para EAP (Extensible Authentication Protocol), que podem ser usados para conexões baseadas em 802.1X autenticadas por um servidor NPS.
  As Diretivas de integridade consistem em um ou mais validadores da integridade do sistema (SHVs) e outras configurações que permitem definir os requisitos de configuração para os computadores cliente compatíveis com NAP que tentam conectar-se à sua rede.
  Quando os clientes compatíveis com NAP tentam conectar-se à rede, o computador cliente envia uma declaração de integridade (SoH) para o Servidor de Diretivas de Rede (NPS). A SoH é um relatório do estado de configuração do cliente, e o NPS a compara com os requisitos definidos na diretiva de integridade. Se o estado de configuração do cliente não atender aos requisitos definidos na diretiva de integridade, o NPS realizará uma das seguintes ações, dependendo de como a NAP estiver configurada:
  

  • A solicitação de conexão do cliente NAP será rejeitada.
  • O cliente NAP será colocado em uma rede restrita na qual poderá receber atualizações dos servidores de atualizações que tornam o cliente compatível com a diretiva de integridade. Depois que o cliente ficar compatível com a diretiva de integridade, terá permissão para conectar-se.
  • O cliente NAP terá permissão para conectar-se à rede, apesar de ser incompatível com a diretiva de integridade.

  Você pode definir diretivas de integridade do cliente no NPS adicionando um ou mais SHVs a elas.
  Depois que uma diretiva de integridade for configurada com um ou mais SHVs, adicione-a à condição de Diretivas de Integridade de uma diretiva de rede que deseja usar para impor a NAP quando os computadores clientes se conectarem à rede.

  Usando vários SHVs em uma diretiva de integridade

  O Validador de Integridade de Segurança do Windows (WSHV) está incluído no NPS, por padrão. Outras empresas também podem fornecer pares de SHV e SHA adicionais para seus produtos compatíveis com NAP.
  Se desejas usar um produto compatível com NAP, você pode seguir a documentação do produto para instalar o SHA nos computadores cliente compatíveis com NAP e instalar o SHV no servidor que estiver executando NPS. Depois de instalar o SHV no servidor NPS, configure o SHV e adicione-o a uma diretiva de integridade.
  Depois que a diretiva de integridade estiver configurada com os SHVs desejados, adicione-a às configurações de uma diretiva de rede.
  
  

  Criar uma diretiva de integridade

  Para criar diretivas de integridade em um Servidor de Diretivas de Rede (NPS), atribua um nome à diretiva, configure o tipo de verificação de validador de integridade de sistema (SHV), e adicione um ou mais SHVs à nova diretiva de integridade.
  Ser membro do grupo Admins. do Domínio, ou equivalente, é o mínimo necessário para concluir esse procedimento.
  

  Para criar uma diretiva de integridade

  1. Abra o console do NPS.
     
  2. Na árvore de console, clique duas vezes em Diretivas, clique com o botão direito do mouse em Diretiva de Integridade e clique em Novo. A caixa de diálogo Criar Nova Diretiva de Integridade é aberta.
     
  3. Em Criar Nova Diretiva de Integridade, na guia Configurações, em Nome da Diretiva, digite um nome para a diretiva de integridade.
     
  4. Na guia Configurações, em Verificações SHV de cliente, selecione uma das seguintes opções:
     
     • Cliente passa todas as verificações SHV. Se esta opção for selecionada, a configuração do computador cliente compatível com NAP deve corresponder a todos os SHVs configurados na diretiva.
     • Cliente falha em todas as verificações SHV. Se esta opção for selecionada, a configuração do computador cliente compatível com NAP não deve corresponder a nenhum dos SHVs configurados na diretiva.
     • Cliente passa uma ou mais verificações SHV. Se esta opção for selecionada, a configuração do computador cliente compatível com NAP deve corresponder ao menos a um dos SHVs configurados na diretiva.
     • Cliente falha em uma ou mais verificações SHV. Se esta opção for selecionada, a configuração do computador cliente compatível com NAP não deve corresponder ao menos a um dos SHVs configurados na diretiva.
  5. Em SHVs usados nesta diretiva de integridade, clique nos SHVs que deseja incluir na diretiva de integridade. Devem ser selecionados um ou mais SHVs.
     
  6. Clique em OK.
     
     Aplica-se a: Windows Server 2008
     
     
     

     Validadores de integridade do sistema (SHVs) são o equivalente em software de servidor aos agentes de integridade do sistema (SHAs). Cada SHA no cliente dispõe de um SHV correspondente no Servidor de Diretivas de Rede (NPS). SHVs permitem ao NPS verificar a declaração de integridade (SoH) feita pelo SHA correspondente no computador cliente.
     SHVs contêm informações detalhadas sobre as configurações necessárias nos computadores cliente. Por exemplo, o WSHV (Windows Security Health Validator) é equivalente ao (WSHA (Windows Security Health Agent) em computadores cliente. WSHV permite criar uma diretiva para indicar como as configurações nos computadores cliente compatíveis com NAP devem ser definidas. Se as configurações no computador cliente registradas no SoH não corresponderem às configurações em SHV no servidor NPS, o computador cliente não estará em conformidade com a diretiva de integridade.
     Ainda neste exemplo, caso configure o WSHV para usar a configuração Firewall habilitado para todas as conexões de rede, o software de firewall sendo executado no computador do cliente deve ser do Windows ou outro software compatível com a Central de Segurança do Windows. Se o computador cliente não estiver executando o Firewall do Windows nem outro software compatível com a Central de Segurança do Windows, o agente NAP no computador do cliente enviará um SoH reportando este fato ao NPS. O NPS compara o SoH à configuração do WSHV no NPS, que por sua vez determina se o computador cliente está ou não em conformidade com a diretiva de integridade.
     

     O Validador de Integridade de Segurança do Windows (WSHV) fornece configurações que você pode definir de acordo com os requisitos da implantação.

     Configurações de WSHV

     Você pode definir as seguintes configurações de WSHV para a diretiva:
     

     Firewall

     Para usar a configuração Firewall habilitado para todas as conexões de rede, o software de firewall em execução no computador cliente deverá ser o Firewall do Windows ou outro software de firewall compatível com a Central de Segurança do Windows.
     O software de firewall que não for compatível com a Central de Segurança do Windows não poderá ser gerenciado nem detectado pelo Agente de Integridade de Segurança do Windows (WSHA) no computador cliente.
     Se você selecionar a opção Firewall habilitado para todas as conexões de rede, o WSHA do computador cliente verificará se o software de firewall está em execução no computador cliente e executará as seguintes ações:
     

     • Se o computador cliente não estiver executando o software de firewall, ele ficará restrito a uma rede de remediação até o software de firewall ser instalado e executado.
     • Se o único software de firewall em execução no computador cliente não for compatível com a Central de Segurança do Windows, o WSHA informará o serviço de Proteção de Acesso à Rede (NAP) que nenhum firewall está habilitado e o computador cliente ficará restrito a uma rede de remediação.

     Importante
     Se você selecionar a opção Firewall habilitado para todas as conexões de rede e os computadores clientes não estiverem executando o Firewall do Windows ou outro software de firewall compatível com a Central de Segurança do Windows, os computadores clientes não poderão conectar-se à rede.

     
     

     Se você não selecionar Firewall habilitado para todas as conexões de rede, o WSHA no computador cliente não fará verificações e os computadores clientes que não estiverem executando o software de firewall não serão impedidos de se conectar à sua rede.
     

     Correção automática

     Se selecionar Firewall habilitado para todas as conexões de rede, você irá habilitar a correção automática NAP, e o WSHA no computador cliente informa que não há firewall habilitado, então o WSHV direciona o WSHA no computador cliente para ativar o Firewall do Windows.
     

     Importante

     Se a correção automática for habilitada e os computadores clientes executarem um software de firewall incompatível com a Central de Segurança do Windows e isso não for detectado por WSHA, o WSHA do computador cliente ativará o Firewall do Windows e esse computador passará a executar dois firewalls diferentes ao mesmo tempo. Quaisquer exceções configuradas no firewall incompatível que não estiver configurado no Firewall do Windows pode causar a perda da funcionalidade no computador cliente. Por essa razão, não é recomendável os computadores clientes executarem dois firewalls diferentes ao mesmo tempo.

     
     

     Proteção contra vírus

     Se você selecionar a opção Aplicativo antivírus ativo, o WSHA do computador cliente verificará se o software antivírus está em execução no computador cliente. Se o computador cliente não estiver executando o software antivírus, ele ficará restrito a uma rede de remediação até o software antivírus ser instalado e executado.
     O software antivírus em execução no computador cliente deverá ser compatível com a Central de Segurança do Windows. O software antivírus que não for compatível com a Central de Segurança do Windows não poderá ser gerenciado nem detectado pelo WSHA no computador cliente. Se o único software antivírus em execução no computador cliente for um aplicativo antivírus incompatível com a Central de Segurança do Windows, o WSHA informará o WSHV que nenhum antivírus está habilitado e o computador cliente ficará restrito a uma rede de remediação.
     Se você selecionar a opção Antivírus atualizado, o WSHA do computador cliente verificará se as definições de antivírus dos aplicativos antivírus são as de versões mais recentes e se estão atualizadas.
     Para verificar se o software antivírus está em execução e se as definições de antivírus são as mais recentes, selecione as opções Aplicativo antivírus ativo e Antivírus atualizado.
     Se você não selecionar Aplicativo antivírus ativo, o WSHA no computador cliente não fará verificações e os computadores clientes que não estiverem executando o software antivírus não serão impedidos de se conectarem à sua rede.
     Se você não selecionar Aplicativo antivírus ativo e Antivírus atualizado, o WSHA no computador cliente não fará verificações; os computadores cliente que não estiverem executando o software antivírus, ou que estiverem executando softwares antivírus com definições antivírus desatualizadas, não serão impedidos de se conectar à sua rede.

     Proteção contra spyware

     Se você selecionar a opção Aplicativo antispyware ativo, o WSHA do computador cliente verificará se o software antispyware está em execução no computador cliente. Se o computador cliente não estiver executando o software antispyware, ele ficará restrito a uma rede de remediação até o software antispyware ser instalado e executado.
     O software antispyware em execução no computador cliente deverá ser o Windows Defender ou outro software compatível com a Central de Segurança do Windows.
     O software antispyware que não for compatível com a Central de Segurança do Windows não poderá ser gerenciado nem detectado pelo WSHA no computador cliente. Se o único software antispyware em execução no computador cliente for um aplicativo antispyware incompatível com a Central de Segurança do Windows, o WSHA informará o WSHV que nenhum antispyware está habilitado e o computador cliente ficará restrito a uma rede de remediação.
     Se você selecionar a opção Antispyware atualizado, o WSHA do computador cliente verificará se as definições de antispyware dos aplicativos antispyware são as de versões mais recentes e se estão atualizadas.
     Para verificar se o software antispyware está em execução e se as definições de antispyware são as mais recentes, selecione as opções Aplicativo antispyware ativo e Antispyware atualizado.
     Se você não selecionar Aplicativo antispyware ativo, o WSHA no computador cliente não fará verificações e os computadores cliente que não estiverem executando o software antispyware não serão impedidos de se conectar à sua rede.
     Se você não selecionar Aplicativo antispyware ativo e Antispyware atualizado, o WSHA no computador cliente não fará verificações e os computadores cliente que não estiverem executando o software antispyware ou que estiverem executando softwares antispyware com definições antispyware desatualizadas, não serão impedidos de se conectarem à sua rede.
     

     Correção automática

     Se selecionar Aplicativo antispyware ativo, você irá habilitar a correção automática NAP, e o WSHA no computador cliente informará que não há antispyware habilitado, então o WSHV direcionará o WSHA no computador cliente para ativar o Windows Defender.
     

     Importante
     Se a correção automática for habilitada e os computadores clientes executarem um software antispyware incompatível com a Central de Segurança do Windows e esse antispyware não for detectado por WSHA, o WSHA do computador cliente ativará o Windows Defender no computador cliente e esse computador passará a executar dois aplicativos antispyware diferentes ao mesmo tempo.

     
     

     Observação
     Você pode configurar a correção automática usando o snap-in do MMC Gerenciamento de Cliente NAP.

     
     

     Atualização automática

     Se você selecionar a opção Atualização automática ativa e o Microsoft Update Services não estiver habilitado no computador cliente, o WSHA restringirá o computador cliente a uma rede de remediação até o Microsoft Update Services ser habilitado.
     O Microsoft Update Services é habilitado quando uma das seguintes configurações for selecionada no computador cliente:
     

     • Instalar atualizações automaticamente (recomendado)
     • Baixar atualizações, mas permitir que eu escolha quando instalá-las
     • Procurar atualizações, mas permitir que eu escolha quando baixá-las e instalá-las

     Correção automática

     Se você selecionar a opção Atualizações automáticas habilitadas, a correção automática de NAP será habilitada e o WSHA do computador cliente informará que o Microsoft Update Services não está habilitado, assim, o WSHV instruirá o WSHA do computador cliente a habilitar o Microsoft Update Services e configurá-lo para que faça download de atualizações e as instale automaticamente.
     

     Observação
     Você pode configurar a correção automática usando o snap-in do MMC Gerenciamento de Cliente NAP.

     
     

     Proteção de Atualização de Segurança

     Não configure a Proteção de Atualização de Segurança na diretiva WSHV, a menos que os computadores clientes da rede estejam executando o Windows Update Agent. Além disso, os computadores clientes que executam o Windows Update Agent devem estar registrados em um servidor que executa o Windows Server Update Service (WSUS).
     

     Importante
     Se essas condições não forem atendidas e você configurar a Proteção de Atualização de Segurança na sua diretiva WSHV, a diretiva não poderá ser imposta pelo WSHA no computador cliente, o WSHA restringirá computadores cliente a uma rede de remediação e os clientes não poderão se conectar à sua rede.

     
     

     Se os computadores clientes estiverem executando o Windows Update Agent e estiverem registrados em um servidor WSUS, será possível configurar a Proteção de Atualização de Segurança para a diretiva WSHV.
     Nesse caso, se você selecionar a opção Impor quarentena para atualizações de segurança ausentes e as atualizações de segurança mais recentes não estiverem instaladas, o WSHA restringirá o computador cliente a uma rede de remediação até as atualizações de segurança mais recentes do software serem instaladas.
     Você pode configurar a Proteção de Atualização de Segurança com vários valores possíveis que correspondem às classificações de severidade de segurança do Microsoft Security Response Center (MSRC). Esses valores são:
     

     • Somente Crítica. Se for selecionado, os computadores clientes deverão ter todas as atualizações de segurança com a classificação de severidade Crítica do MSRC. Se um computador cliente não tiver essas atualizações, ficará restrito a uma rede de remediação até as atualizações serem baixadas e instaladas.
     • Importante e acima. Esta é a configuração padrão. Se for selecionado, os computadores clientes deverão ter todas as atualizações de segurança com a classificação de severidade Importante ou Crítica do MSRC. Se um computador cliente não tiver essas atualizações, ficará restrito a uma rede de remediação até as atualizações serem baixadas e instaladas.
     • Moderada e acima. Se for selecionado, os computadores clientes deverão ter todas as atualizações de segurança com a classificação de severidade Moderada, Importante e Crítica do MSRC. Se um computador cliente não tiver essas atualizações, ficará restrito a uma rede de remediação até as atualizações serem baixadas e instaladas.
     • Baixa e acima. Se for selecionado, os computadores cliente deverão ter todas as atualizações de segurança com a classificação de severidade Baixa, Moderada, Importante e Crítica do MSRC. Se um computador cliente não tiver essas atualizações, ficará restrito a uma rede de remediação até as atualizações serem baixadas e instaladas.
     • Todas. Se for selecionado, os computadores clientes deverão ter todas as atualizações de segurança, independentemente de sua classificação de severidade do MSRC. Se um computador cliente não tiver essas atualizações, ficará restrito a uma rede de remediação até as atualizações serem baixadas e instaladas.

     Depois de configurar o nível de classificação de severidade da atualização de segurança, você pode especificar o número mínimo de horas permitidas desde que o cliente verificou se há novas atualizações de segurança no servidor WSUS. O valor padrão para o tempo mínimo de sincronização é 22 horas.
     Quando um computador cliente tentar pela primeira vez conectar-se a uma rede habilitada para NAP e a configuração de Proteção de Atualização de Segurança estiver definida na diretiva WSHV, o WSHA determinará se restringirá o computador cliente a uma rede de remediação com base na hora mais recente da verificação de atualizações de segurança feita pelo computador cliente no servidor WSUS. O WSHA determinará se restringirá o cliente a uma rede de remediação da seguinte forma:
     

     • Se a verificação de atualizações do cliente ocorreu em um intervalo maior que o número mínimo de horas configurado no WSHV permitido entre as verificações, o computador cliente ficará restrito a uma rede de remediação. Depois que o cliente verificar as atualizações, fizer download das atualizações recentes e instalá-las, poderá ter acesso total à rede.
     • Se a verificação de atualizações do cliente ocorreu em um intervalo igual ou menor que o número mínimo de horas configurado no WSHV permitido entre as verificações, o computador cliente ficará restrito a uma rede de remediação.

     Observação

     O WSHA do computador cliente apenas executará essa verificação no momento em que o computador cliente tentar conectar-se à rede. Se o computador cliente permanecer conectado à rede por tempo maior que o mínimo de sincronização configurado, o WSHA não acionará uma verificação de atualizações de segurança, não acionará o download de atualizações nem restringirá o computador cliente a uma rede de remediação.

     
     

     Correção automática

     Para que a correção automática funcione com a configuração de Proteção de Atualização de Segurança habilitada e definida na diretiva WSHV, as seguintes afirmações deverão ser verdadeiras:
     

     • Os computadores clientes da rede estão executando o Windows Update Agent.
     • Os computadores clientes que executam o Windows Update Agent estão registrados em um servidor WSUS.
     • A correção automática está configurada e habilitada.

     Se essas condições forem atendidas, o WSHA do computador cliente verificará no servidor WSUS se há atualizações de segurança mais recentes. Se o WSHA detectar que as atualizações de segurança mais recentes da classificação de severidade MSRC configurada não estão instaladas no computador cliente, ele fará download dessas atualizações e as instalará.

     
     
     
     

  
  

1.