Fonte: http://technet.microsoft.com/pt-br/library/cc754378%28v=ws.10%29

 

Proteção de Acesso à Rede no NPS

Aplica-se a: Windows Server 2008

A Proteção de Acesso à Rede (NAP) é uma tecnologia de criação, imposição e remediação de diretivas de integridade de cliente incluída no Windows Vista®, Windows Server® 2008, Windows® 7 e Windows Server® 2008 R2. Com a NAP, você pode estabelecer diretivas de integridade que definem requisitos de software, requisitos de atualização de segurança e configurações necessárias para os computadores que se conectam a sua rede.
A NAP impõe diretivas de integridade inspecionando e avaliando a integridade de computadores clientes, limitando o acesso à rede quando computadores clientes forem incompatíveis com a diretiva de integridade e atualizando esses computadores clientes, tornando-os compatíveis, antes de conceder-lhes o acesso total à rede. A NAP impõe diretivas de integridade nos computadores cliente que tentam se conectar a uma rede. A NAP também oferece imposição de conformidade de integridade contínua enquanto um computador cliente está conectado a uma rede.
A NAP é uma plataforma extensível que oferece uma infraestrutura e um conjunto de interface de programação de aplicativo (API) Utilizando o conjunto de API da NAP, você pode adicionar componentes aos clientes da NAP e aos servidores que estiverem executando o Servidor de Diretiva de Rede (NPS) que verificam a integridade do computador, reforçam a diretiva de integridade da rede e corrigem computadores que não sejam compatíveis para que sejam inseridos na diretiva de integridade.
A NAP propriamente dita não fornece componentes para verificar ou corrigir a integridade de um computador. Outros componentes, conhecidos como agentes de integridade do sistema (SHAs) e validadores da integridade do sistema (SHVs), fornecem a inspeção e relatórios do estado de integridade do computador cliente, a validação do estado de integridade do computador cliente comparado com a diretiva de integridade e as definições de configuração para ajudar o computador cliente a ficar compatível com a diretiva de integridade.
O Agente de Integridade de Segurança do Windows (WSHA) está incluído no Windows Vista e Windows 7 como parte do sistema operacional. O Validador de Integridade de Segurança do Windows (WSHV) está incluído no Windows Server 2008 e Windows Server 2008 R2 como parte do sistema operacional. Com o conjunto NAP API, outros produtos também podem implementar SHAs e SHVs para integração com a NAP. Por exemplo, um fornecedor de software antivírus pode usar o conjunto API para criar um SHA e SHV personalizados. Esses componentes podem, então, ser integrados às soluções NAP implantadas por clientes do fornecedor do software.
Se você for um administrador da rede ou do sistema e pretende implantar a NAP, poderá fazê-lo com o WSHA e WSHV que estão incluídos no sistema operacional. Além disso, poderá verificar com outros fornecedores de software se eles fornecem SHAs e SHVs com seus produtos.

Visão geral de NAP

A maioria das organizações cria diretivas de rede que controlam o tipo de hardware e de software que poderá ser implantado em sua rede. Essas diretivas geralmente incluem regras que determinam como os computadores clientes podem ser configurados antes de se conectarem à rede. Por exemplo, muitas organizações exigem que os computadores clientes executem um software antivírus com atualizações recentes instaladas e tenham um firewall de software instalado e habilitado antes da conexão com a rede da organização. Um computador cliente que estiver configurado de acordo com a diretiva de rede da organização poderá ser considerado compatível com a diretiva e, se ele não estiver assim configurado, poderá ser considerado incompatível com a diretiva.
A NAP permite usar o NPS para criar diretivas que definem a integridade do computador cliente. Além disso, ela permite impor as diretivas de integridade de cliente criadas e atualizar automaticamente ou corrigir os computadores clientes compatíveis com NAP para que fiquem em conformidade com a diretiva. A NAP fornece detecção contínua da integridade do computador cliente para proteger contra casos em que um computador cliente é compatível ao se conectar à rede da organização e torna-se incompatível durante a conexão.
A NAP oferece proteção complementar ao computador cliente e à rede da organização, assegurando que os computadores conectados à rede são compatíveis com as diretivas de integridade de cliente e de rede da organização. Isso protege a rede contra elementos prejudiciais introduzidos por computadores clientes, por exemplo, vírus de computador, e protege também os computadores clientes contra elementos prejudiciais que poderão ser introduzidos pela rede à qual estão conectados.
Além disso, a correção automática de NAP reduz o tempo que os computadores clientes incompatíveis ficam impedidos de acessar os recursos da rede da organização. Quando a correção automática estiver configurada e os clientes estiverem em um estado de incompatibilidade, os componentes do cliente NAP poderão rapidamente atualizar o computador usando os recursos que você fornece em uma rede de remediação, permitindo que o cliente, agora compatível, seja rapidamente autorizado pelo NPS a conectar-se à rede.

NPS e NAP

O NPS pode atuar como um servidor de diretivas NAP para todos os métodos de imposição NAP.
Quando você configura o NPS como um servidor de diretivas NAP, o NPS avalia as declarações de integridade (SoH) enviadas por computadores cliente habilitados para NAP que você deseja conectar à rede. Você pode configurar diretivas NAP no NPS que permitam que computadores clientes atualizem a configuração para se tornarem compatíveis com a diretiva de rede da sua organização.

Integridade do computador cliente

A Integridade é definida como informações sobre um computador cliente que a NAP utiliza para determinar se deverá permitir ou negar o acesso do cliente a uma rede. Uma avaliação do status de integridade do computador cliente representa um estado de configuração de um computador cliente em comparação com o estado exigido pela diretiva de integridade.
Um exemplo de medidas de integridade inclui:

• O status operacional do Firewall do Windows. O firewall está habilitado ou desabilitado?
• O status da atualização de assinaturas de antivírus. As assinaturas de antivírus são as mais recentes disponíveis?
• O status da instalação de atualizações de segurança. As atualizações de segurança mais recentes estão instaladas no cliente?

O status da integridade do computador cliente está encapsulado em uma declaração de integridade (SoH), que é emitida pelos componentes do cliente NAP. Os componentes do cliente NAP enviam a SoH para os componentes do servidor NAP para avaliação, a fim de determinar se o cliente é compatível e poderá ter acesso total à rede.
Na terminologia NAP, a verificação de um computador quanto ao cumprimento das exigências de integridade definidas é chamada de validação da diretiva de integridade. O NPS executa a validação da diretiva de integridade para NAP.

Como funciona a imposição de NAP

A NAP impõe diretivas de integridade utilizando componentes do cliente que inspecionam e avaliam a integridade de computadores clientes, com componentes do lado do servidor que limitam o acesso à rede quando computadores clientes são considerados incompatíveis e com componentes do cliente e do servidor que ajudam na atualização de computadores clientes incompatíveis para o acesso total à rede.

Principais processos de NAP

Para ajudar a proteger o acesso à rede, a NAP conta com três processos: validação de diretiva, imposição de NAP e restrição à rede e remediação e compatibilidade contínua.

Validação de diretiva

Com o NPS, você pode criar diretivas de integridade de cliente usando SHVs que permitem que a NAP detecte, imponha e corrija as configurações de computador cliente.
O WSHA e o WSHV oferecem a seguinte funcionalidade para computadores compatíveis com NAP:

• O computador cliente tem software de firewall instalado e habilitado.
• O computador cliente tem software antivírus instalado e em execução.
• O computador cliente tem atualizações de antivírus mais recentes instaladas.
• O computador cliente tem software antispyware instalado e em execução.
• O computador cliente tem atualizações de antispyware mais recentes instaladas.
• O Microsoft Update Services está habilitado no computador cliente.

Além disso, se os computadores clientes compatíveis com NAP estiverem executando o Windows Update Agent e estiverem registrados em um servidor WSUS (Windows Server Update Service), a NAP poderá verificar se as atualizações mais recentes de segurança do software estão instaladas com base em um dos quatro valores possíveis que correspondem às classificações de severidade de segurança da Microsoft Security Response Center (MSRC).
Quando você cria diretivas que definem o status de integridade do computador cliente, as diretivas são validadas pelo NPS. Os componentes do cliente NAP enviam uma declaração de integridade (SoH) para o servidor NPS durante o processo de conexão com a rede. O NPS examina a SoH e a compara com as diretivas de integridade.

Imposição de NAP e restrição da rede

A NAP nega o acesso à rede para computadores clientes incompatíveis ou concede-lhes acesso somente a uma rede especial restrita chamada rede de remediação. Uma rede de remediação permite que computadores clientes acessem servidores de atualização, que fornecem atualizações de software e outros serviços NAP importantes, como servidores de Autoridade de Registro de Integridade (HRA), que são necessários para a compatibilidade dos clientes NAP com a diretiva de integridade.
A configuração da imposição de NAP na diretiva de rede NPS permite usar a NAP para limitar o acesso à rede ou observar o estado de computadores clientes compatíveis com NAP que não estão em conformidade com a diretiva de integridade de rede.
Você pode optar por restringir o acesso, adiar a restrição de acesso ou permitir acesso com configurações de diretiva de rede.

Remediação

Os computadores clientes incompatíveis que são colocados em uma rede restrita podem passar por remediação. Remediação é o processo de atualizar automaticamente um computador cliente para que ele atenda às diretivas de integridade atuais. Por exemplo, uma rede restrita pode conter um servidor FTP (File Transfer Protocol) que atualiza automaticamente as assinaturas de antivírus de computadores clientes incompatíveis que apresentam assinaturas desatualizadas.

Compatibilidade contínua

A NAP pode impor a compatibilidade de integridade em computadores clientes que já estão conectados à rede. Essa funcionalidade é útil para assegurar que uma rede esteja continuamente protegida quando houver mudança nas diretivas de integridade e na integridade dos computadores clientes. Por exemplo, a NAP determinará que o computador cliente está em um estado de incompatibilidade se uma diretiva de integridade exigir que o Firewall do Windows esteja habilitado e um administrador desativar inadvertidamente o firewall em um computador cliente. Em seguida, a NAP desconectará o computador cliente da rede da organização e o conectará à rede de remediação até o Firewall do Windows ser novamente habilitado.
Você pode usar as configurações de NAP nas diretivas de rede NPS para configurar a correção automática, de forma que os componentes do cliente NAP tentem atualizar automaticamente o computador cliente quando ele não estiver compatível. Assim como as configurações da imposição de NAP, a correção automática é configurada nas definições de diretiva de rede.

Criar diretivas de NAP com um assistente

Use este procedimento para criar as diretivas de integridade, as diretivas de solicitação de conexão e as diretivas de rede necessárias para implantar a Proteção de Acesso à Rede (NAP) com Servidor de Diretivas de Rede (NPS).
Este procedimento explica como iniciar o Assistente de Novas Diretivas de Proteção de Acesso à Rede. Quando você executar o assistente, escolha primeiramente o método de conexão de rede que implantou, por exemplo, Gateway de serviços de terminal (gateway TS) ou sem fio 802.1X, em seguida, insira as informações necessárias para o assistente criar todas as diretivas NPS para esse método de conexão.

Observação
Nesse contexto, o método de conexão de rede é sinônimo de método de imposição de NAP.

Após a execução do assistente, as seguintes diretivas estarão criadas:

• Duas diretivas de integridade: compatível e incompatível.
• Uma diretiva de solicitação de conexão.
• Três diretivas de rede: compatível, incompatível e sem habilitação para NAP.

A execução do Assistente de Novas Diretivas de Proteção de Acesso à Rede não é a única etapa necessária à implantação de NAP. Cada método de conexão de rede requer a implantação de componentes de hardware e software para a implantação de NAP.
O mínimo necessário para concluir este procedimento é ser membro do grupo Admins. do Domínio ou equivalente.

Para criar diretivas de NAP com um assistente

1. Abra o console NPS. Caso ainda não esteja selecionado, clique em NPS (Local). Se você está executando o snap-in do MMC NPS e deseja criar diretivas de NAP em um servidor NPS remoto, selecione o servidor.
   
2. Em Iniciando e Configuração Padrão, selecione Servidor de diretivas NAP (proteção de acesso à rede). O texto e os links abaixo do texto mudam para refletir a sua seleção.
   
3. Clique em Configurar NAP com um assistente. Será aberto o Assistente de Novas Diretivas de Proteção de Acesso à Rede.
   

   Habilitar verificações de integridade do cliente

   Você pode usar este procedimento para habilitar verificações de integridade do cliente ao implantar a Proteção de Acesso à Rede (NAP) com os métodos de imposição IPsec e DHCP. As verificações de integridade do cliente com esses métodos de imposição ocorrem durante o processo de autorização. Entretanto, essas verificações também ocorrem quando o NPS não realizar o processo completo de autenticação e autorização. Por exemplo, quando um cliente DHCP renova seu endereço IP, uma verificação da integridade do cliente é realizada, mas o processo total de autenticação e autorização não é realizado.
   

   Importante
   A configuração Executar somente verificação de integridade da máquina é fornecida para uso com diretivas de rede que também imponham a diretiva de integridade para NAP. Não use esta configuração em diretivas que não imponham a diretiva de integridade para NAP.

   
   
   Ser membro do grupo Admins. do Domínio, ou equivalente, é o mínimo necessário para concluir esse procedimento.
   

   Para habilitar as verificações de integridade do cliente

   1. Abra o console do Servidor de Diretivas de Rede, clique duas vezes em Diretivase, em seguida, clique duas vezes em Diretivas de Rede.
      
   2. Clique duas vezes na diretiva para a qual você deseja habilitar as verificações de integridade do cliente. A caixa de diálogo de propriedades da diretiva é aberta. Clique na guia Restrições.
      
   3. Em Restrições, certifique-se de que Métodos de Autenticação esteja selecionada.
      
   4. No painel de detalhes, marque a caixa de seleção Executar somente verificação de integridade da máquina.
      

   Considerações adicionais

   Nas implantações de NAP com DHCP e IPsec, quando o NPS recebe uma solicitação de verificação de integridade do cliente que não inclua o atributo Nome de Usuário e a condição Tipo de Identidade estiver configurada na diretiva de rede do NPS com um valor Verificação de integridade do computador, a solicitação corresponde à diretiva e, se todas as outras condições e restrições configuradas na diretiva também forem correspondidas, as configurações da diretiva são aplicadas.
   

   Habilitar escopos DHCP para NAP

   Ao implantar o método de imposição de DHCP para a Proteção de Acesso à Rede (NAP), você deve escolher se deseja habilitar a NAP em escopos individuais no servidor DHCP ou habilitar a NAP em todos os escopos DHCP em um servidor DHCP.
   A habilitação de NAP em escopos individuais é recomendável se você tiver um número limitado de sub-redes e escopos que ofereçam suporte às sub-redes.
   Se você tiver um grande número de sub-redes, é recomendável que habilite a NAP em todos os escopos em um servidor DHCP.
   Para configurar os escopos DHCP para NAP, siga um destes procedimentos:
   
4. Para habilitar a NAP em todos os escopos em um servidor DHCP, obtenha as propriedades do IP versão 4 (IPv4) do servidor, clique na guia Proteção de Acesso à Rede e configure a NAP.
5. Para habilitar a NAP em escopos individuais em um servidor DHCP, obtenha as propriedades do escopo, clique na guia Proteção de Acesso à Rede e configure a NAP.

O Protocolo HCAP permite que você integre a sua solução de Proteção de Acesso à Rede da Microsoft ao Controle de Admissão à Rede da Cisco. Quando você implanta o HCAP com o NPS (Servidor de Diretivas de Rede) e a NAP, o NPS pode realizar a autorização dos clientes de acesso 802.1X da Cisco, incluindo a imposição da diretiva de integridade de NAP, enquanto os servidores de autenticação, autorização e contabilização (AAC) da Cisco realizam a autenticação.
Para implantar um servidor HCAP, você deve fazer o seguinte:

1. Implantar computadores cliente habilitados para NAP. Configure os computadores cliente para usar o EAP-FAST da Cisco como o método de autenticação para acesso à rede.
2. Usando a documentação de implantação de NAP, implante a NAP, configurando os computadores cliente com Agentes de Integridade do Sistema (SHAs) e os servidores NPS com os Validadores da Integridade do Sistema (SHVs) correspondentes.
3. Usando a documentação de implantação da Cisco, implante do Controle de Admissão à Rede da Cisco.
4. Usando o Assistente para Adicionar Funções do Gerenciador de Servidores, instale o servidor HCAP. O servidor HCAP é um serviço de função da função de servidor Serviços de Acesso e Diretiva de Rede. Quando você instala o servidor HCAP, os componentes adicionais necessários, Serviços de Informações da Internet (IIS) e NPS, são instalados no mesmo computador. Além disso, um certificado de servidor é registrado automaticamente no servidor que executa o IIS para permitir conexões SSL entre o IIS e o servidor AAC da Cisco.
5. Configure o IIS para escutar endereços IP específicos para permitir que os servidores AAC da Cisco enviem solicitações de autorização.
6. Configure o servidor AAC da Cisco com a URL do servidor que executa HCAP, NPS e IIS para que o servidor AAC da Cisco possa enviar solicitações de autorização para o NPS.
7. Configure o NPS no servidor HCAP como um proxy RADIUS para encaminhar solicitações de autorização para servidores NPS que sejam membros de um ou mais grupos do servidor RADIUS remoto. Opcionalmente, você pode configurar o NPS no servidor HCAP como um servidor RADIUS para processar solicitações de autorização localmente.
8. Configure os servidores NPS como servidores RADIUS para realizar autorização, o que inclui a implantação de NAP e a criação de diretiva de integridade no NPS. Se o servidor NPS-HCAP for um proxy RADIUS que encaminhe solicitações de conexão para servidores RADIUS do NPS em grupos do servidor RADIUS remoto, você deve configurar o proxy RADIUS como um cliente RADIUS em cada servidor RADIUS.
9. Em servidores RADIUS do NPS, configure a diretiva de rede com a diretiva de integridade de NAP. Se desejado, as condições da diretiva de rede podem incluir o Nome do Grupo HCAP e o Grupo de Local HCAP para interoperabilidade de NAP com o Controle de Admissão à Rede da Cisco. Além disso, você pode usar a condição Estado Estendido na diretiva de rede para especificar o estado estendido do computador cliente necessário para corresponder a diretiva de rede. Os estados estendidos são elementos do Controle de Admissão à Rede da Cisco e incluem Transicional, Infectado e Desconhecido. Usando essa condição de diretiva de rede, você pode configurar o NPS para autorizar ou rejeitar o acesso de acordo com esses possíveis estados do computador cliente.

Processo de autenticação e autorização

Depois de implantar o Controle de Admissão à Rede da Cisco e o NPS com NAP, o processo de autenticação e autorização funciona da seguinte maneira:

1. O computador cliente tenta acessar a rede. O cliente pode tentar se conectar através de uma chave de autenticação 802.1X ou de um ponto de acesso sem fio 802.1X configurado como um cliente RADIUS ao servidor AAC da Cisco.
2. Depois que o servidor AAC da Cisco receber a solicitação de conexão do roteador ou servidor de acesso à rede, o servidor AAC da Cisco solicita os dados da declaração de integridade do cliente enviando um EAP-TLV (Tipo-Tamanho-Valor).
3. Os SHAs no computador cliente reportam o status de integridade para o Agente NAP no cliente e o Agente NAP cria uma SoH, que ele envia ao servidor AAC da Cisco.
4. O servidor AAC da Cisco encaminha a SoH usando o HCAP para o servidor ou proxy NPS junto com a ID de usuário, a ID de computador e o local do computador cliente.
5. Se o servidor NPS-HCAP estiver configurado como um proxy RADIUS, o NPS encaminha a solicitação de autorização para o grupo apropriado do servidor RADIUS remoto. (Esta determinação é feita com a avaliação pelo NPS das diretivas configuradas de solicitação de conexão). Se o servidor NPS-HCAP estiver configurado como um servidor RADIUS, o servidor NPS-HCAP processa a solicitação de autorização.
6. O NPS avalia a SoH em relação à diretiva de rede configurada e, se uma diretiva de rede correspondente for encontrada, cria uma resposta de SoH (SoHR) para ser retornada ao cliente. Isso, junto com as informações do estado estendido e o estado de imposição de NAP, é retornado ao servidor AAC da Cisco usando HCAP.
7. O servidor AAC da Cisco avalia o estado de imposição de NAP em relação à diretiva de Controle de Admissão à Rede da Cisco e determina o perfil de acesso à rede.
8. O servidor AAC da Cisco envia o perfil de acesso à rede para o servidor de acesso à rede (a chave, o ponto de acesso ou roteador). O perfil de acesso à rede contém as informações que instruem o servidor de acesso à rede a permitir acesso total, acesso restrito ou negar acesso ao computador cliente.
9. O servidor AAC da Cisco retorna a SoHR ao computador cliente.
10. Se a configuração do cliente não estiver de acordo com a diretiva de integridade e a SoHR instruir o cliente a atualizar, ele tentará realizar as ações necessárias, como o download de atualizações de software ou a alteração de definições de configuração. Depois da atualização, o cliente tenta acessar a rede novamente, e o processo de autenticação e autorização é repetido.

Componentes de NAP

A Proteção de Acesso à Rede (NAP) consiste em vários componentes de cliente e de servidor. Existem componentes de NAP comuns que são usados em todas as implantações de NAP e existem componentes usados somente para implantações específicas, dependendo do método de imposição de NAP ou dos métodos escolhidos.
Os métodos de imposição de NAP são qualquer uma das várias tecnologias de acesso à rede que atuam junto com a Proteção de Acesso à Rede para impor diretivas de integridade. Os métodos de imposição são DHCP (Protocolo de configuração dinâmica de hosts), IPsec (Internet Protocol security), VPN (rede virtual privada), Gateway de serviços de terminal (gateway TS) e EAP (Extensible Authentication Protocol), que podem ser usados para conexões com e sem fio baseadas em 802.1X autenticadas por um servidor NPS.

Componentes de NAP comuns

Os componentes de NAP comuns consistem em componentes de cliente e de servidor e são usados por todos os métodos de imposição de NAP.

Componentes de cliente

Um cliente compatível com NAP é um computador que tem os componentes de NAP instalados e pode verificar seu estado de integridade enviando uma declaração de integridade (SoH) para o Servidor de Diretivas de Rede (NPS).
Estão apresentados, a seguir, os componentes de computador cliente compatível com NAP da infra-estrutura NAP.

• Declaração de integridade (SoH)
  
  Uma declaração de um computador cliente que informa o status de integridade. Os agentes de integridade do sistema (SHAs) criam declarações de integridade e as envia para um validador da integridade do sistema (SHV) correspondente em um servidor NPS.
• Agente de integridade do sistema (SHA)
  
  Um componente que verifica o estado do computador cliente para determinar se as configurações monitoradas por ele estão atualizadas e definidas corretamente. Por exemplo, o Agente de Integridade de Segurança do Windows (WSHA) pode monitorar o Firewall do Windows, verificar se um software antivírus está instalado, habilitado e atualizado, se um software anti-spyware está instalado, habilitado e atualizado, se o Microsoft Update Services está habilitado e se o computador tem as atualizações de segurança mais recentes do Microsoft Update Services. Também pode haver SHAs (e validadores da integridade do sistema correspondentes) disponíveis de outras empresas que oferecem uma funcionalidade diferente.
• Agente NAP
  
  Um serviço do cliente que coleta e gerencia informações sobre a integridade, processa declarações de integridade de vários agentes de integridade do sistema e informa a integridade do cliente para o servidor de administração NAP.
• Cliente de imposição
  
  Software cliente que se integra às tecnologias de acesso à rede, como DHCP, VPN e IPsec. Para usar a NAP, pelo menos um cliente de imposição de NAP deverá estar instalado e habilitado nos computadores clientes. Os clientes de imposição de NAP individuais são específicos do método de imposição e estão descritos na seção seguinte. Um cliente de imposição de NAP solicita acesso a uma rede, comunica o status da integridade de um computador cliente para o servidor NAP que estiver autorizando o acesso à rede, por exemplo, o servidor NPS, e comunica o status restrito do computador cliente para outros componentes da arquitetura do cliente NAP.

Componentes de servidor

Estão apresentados, a seguir, os componentes de servidor da infra-estrutura NAP.

• Servidor de atualizações
  
  Hospeda as atualizações que o agente NAP pode usar para tornar compatíveis os computadores clientes incompatíveis. Por exemplo, um servidor de atualizações pode hospedar assinaturas de antivírus. Se a diretiva de integridade exigir que os computadores clientes NAP tenham as definições de antivírus mais recentes instaladas, um SHA de antivírus, um SHV de antivírus, um servidor de diretivas de antivírus e o servidor de atualizações usado para hospedar as assinaturas de antivírus atuarão em conjunto para atualizar computadores incompatíveis.
• Validadores da integridade do sistema (SHVs)
  
  Software servidor correspondente aos SHAs. Cada SHA no cliente tem um SHV correspondente no NPS. O NPS utiliza SHVs para verificar a declaração de integridade criada pelo SHA correspondente no computador cliente.
  
  Os SHAs e SHVs são comparados entre si, juntamente com um servidor de diretivas correspondente (usado por um SHV para determinar as condições atuais da integridade do sistema) e, talvez, um servidor de atualizações.
  
  Um SHV pode também detectar que nenhuma declaração de integridade foi recebida (por exemplo, o SHA nunca foi instalado ou foi danificado ou removido). Se a declaração de integridade não atender à diretiva definida, o SHV enviará uma mensagem de resposta à declaração de integridade (SoHR) para o SHA.
  
  Uma rede pode ter mais de um tipo de SHV. Se esse for o caso, o servidor NPS deverá coordenar a saída de todos os SHVs e determinar se limitará o acesso de um computador incompatível. Isso requer um planejamento cuidadoso na definição das diretivas de integridade para o ambiente e na avaliação da interação dos diferentes SHVs.
  
  O Validador de Integridade de Segurança do Windows (WSHV) pode verificar uma declaração de integridade do WSHA em um computador cliente. Também pode haver SHVs (e SHAs correspondentes) disponíveis de outras empresas que oferecem uma funcionalidade diferente.
• Diretivas de integridade
  
  Regras criadas configurando SHVs individuais e adicionando-os a uma diretiva de integridade e, em seguida, configurando as condições da diretiva. As diretivas de integridade são implementadas e impostas pelo NPS quando você as adiciona às configurações de uma diretiva de rede.
• Resposta à declaração de integridade (SoHR)
  
  A validação de uma declaração de integridade. Se o computador cliente for incompatível, o SoHR conterá instruções de correção que os SHAs no cliente usarão para tornar a configuração do computador cliente compatível com a diretiva de integridade.
  
  Cada tipo de declaração de integridade armazena tipos diferentes de informações sobre o status da integridade do sistema, e as mensagens de SoHR armazenam tipos diferentes de informações sobre como tornar-se compatível com os requisitos da diretiva de integridade configurados no NPS.

Componentes específicos do método de imposição

Estão apresentados, a seguir, os componentes específicos do método de imposição da infra-estrutura NAP.

• Tecnologia de imposição
  
  Uma das cinco tecnologias de acesso à rede que pode ser configurada para impor diretivas de NAP.
• Servidor de imposição
  
  Um componente em um servidor NAP que geralmente é comparado com um cliente de imposição de NAP e que restringe o acesso de um computador cliente à rede com base na sua compatibilidade de integridade. Há vários servidores de imposição de NAP: um para configurações de endereço DHCP, um para conexões VPN, um para comunicação protegida por IPsec, um para Gateway de serviços de terminal (gateway TS) e um para EAP (Extensible Authentication Protocol), que podem ser usados para conexões baseadas em 802.1X autenticadas por um servidor NPS.
  As Diretivas de integridade consistem em um ou mais validadores da integridade do sistema (SHVs) e outras configurações que permitem definir os requisitos de configuração para os computadores cliente compatíveis com NAP que tentam conectar-se à sua rede.
  Quando os clientes compatíveis com NAP tentam conectar-se à rede, o computador cliente envia uma declaração de integridade (SoH) para o Servidor de Diretivas de Rede (NPS). A SoH é um relatório do estado de configuração do cliente, e o NPS a compara com os requisitos definidos na diretiva de integridade. Se o estado de configuração do cliente não atender aos requisitos definidos na diretiva de integridade, o NPS realizará uma das seguintes ações, dependendo de como a NAP estiver configurada:
  

  • A solicitação de conexão do cliente NAP será rejeitada.
  • O cliente NAP será colocado em uma rede restrita na qual poderá receber atualizações dos servidores de atualizações que tornam o cliente compatível com a diretiva de integridade. Depois que o cliente ficar compatível com a diretiva de integridade, terá permissão para conectar-se.
  • O cliente NAP terá permissão para conectar-se à rede, apesar de ser incompatível com a diretiva de integridade.

  Você pode definir diretivas de integridade do cliente no NPS adicionando um ou mais SHVs a elas.
  Depois que uma diretiva de integridade for configurada com um ou mais SHVs, adicione-a à condição de Diretivas de Integridade de uma diretiva de rede que deseja usar para impor a NAP quando os computadores clientes se conectarem à rede.

  Usando vários SHVs em uma diretiva de integridade

  O Validador de Integridade de Segurança do Windows (WSHV) está incluído no NPS, por padrão. Outras empresas também podem fornecer pares de SHV e SHA adicionais para seus produtos compatíveis com NAP.
  Se desejas usar um produto compatível com NAP, você pode seguir a documentação do produto para instalar o SHA nos computadores cliente compatíveis com NAP e instalar o SHV no servidor que estiver executando NPS. Depois de instalar o SHV no servidor NPS, configure o SHV e adicione-o a uma diretiva de integridade.
  Depois que a diretiva de integridade estiver configurada com os SHVs desejados, adicione-a às configurações de uma diretiva de rede.
  
  

  Criar uma diretiva de integridade

  Para criar diretivas de integridade em um Servidor de Diretivas de Rede (NPS), atribua um nome à diretiva, configure o tipo de verificação de validador de integridade de sistema (SHV), e adicione um ou mais SHVs à nova diretiva de integridade.
  Ser membro do grupo Admins. do Domínio, ou equivalente, é o mínimo necessário para concluir esse procedimento.
  

  Para criar uma diretiva de integridade

  1. Abra o console do NPS.
     
  2. Na árvore de console, clique duas vezes em Diretivas, clique com o botão direito do mouse em Diretiva de Integridade e clique em Novo. A caixa de diálogo Criar Nova Diretiva de Integridade é aberta.
     
  3. Em Criar Nova Diretiva de Integridade, na guia Configurações, em Nome da Diretiva, digite um nome para a diretiva de integridade.
     
  4. Na guia Configurações, em Verificações SHV de cliente, selecione uma das seguintes opções:
     
     • Cliente passa todas as verificações SHV. Se esta opção for selecionada, a configuração do computador cliente compatível com NAP deve corresponder a todos os SHVs configurados na diretiva.
     • Cliente falha em todas as verificações SHV. Se esta opção for selecionada, a configuração do computador cliente compatível com NAP não deve corresponder a nenhum dos SHVs configurados na diretiva.
     • Cliente passa uma ou mais verificações SHV. Se esta opção for selecionada, a configuração do computador cliente compatível com NAP deve corresponder ao menos a um dos SHVs configurados na diretiva.
     • Cliente falha em uma ou mais verificações SHV. Se esta opção for selecionada, a configuração do computador cliente compatível com NAP não deve corresponder ao menos a um dos SHVs configurados na diretiva.
  5. Em SHVs usados nesta diretiva de integridade, clique nos SHVs que deseja incluir na diretiva de integridade. Devem ser selecionados um ou mais SHVs.
     
  6. Clique em OK.
     
     Aplica-se a: Windows Server 2008
     
     
     

     Validadores de integridade do sistema (SHVs) são o equivalente em software de servidor aos agentes de integridade do sistema (SHAs). Cada SHA no cliente dispõe de um SHV correspondente no Servidor de Diretivas de Rede (NPS). SHVs permitem ao NPS verificar a declaração de integridade (SoH) feita pelo SHA correspondente no computador cliente.
     SHVs contêm informações detalhadas sobre as configurações necessárias nos computadores cliente. Por exemplo, o WSHV (Windows Security Health Validator) é equivalente ao (WSHA (Windows Security Health Agent) em computadores cliente. WSHV permite criar uma diretiva para indicar como as configurações nos computadores cliente compatíveis com NAP devem ser definidas. Se as configurações no computador cliente registradas no SoH não corresponderem às configurações em SHV no servidor NPS, o computador cliente não estará em conformidade com a diretiva de integridade.
     Ainda neste exemplo, caso configure o WSHV para usar a configuração Firewall habilitado para todas as conexões de rede, o software de firewall sendo executado no computador do cliente deve ser do Windows ou outro software compatível com a Central de Segurança do Windows. Se o computador cliente não estiver executando o Firewall do Windows nem outro software compatível com a Central de Segurança do Windows, o agente NAP no computador do cliente enviará um SoH reportando este fato ao NPS. O NPS compara o SoH à configuração do WSHV no NPS, que por sua vez determina se o computador cliente está ou não em conformidade com a diretiva de integridade.
     

     O Validador de Integridade de Segurança do Windows (WSHV) fornece configurações que você pode definir de acordo com os requisitos da implantação.

     Configurações de WSHV

     Você pode definir as seguintes configurações de WSHV para a diretiva:
     

     Firewall

     Para usar a configuração Firewall habilitado para todas as conexões de rede, o software de firewall em execução no computador cliente deverá ser o Firewall do Windows ou outro software de firewall compatível com a Central de Segurança do Windows.
     O software de firewall que não for compatível com a Central de Segurança do Windows não poderá ser gerenciado nem detectado pelo Agente de Integridade de Segurança do Windows (WSHA) no computador cliente.
     Se você selecionar a opção Firewall habilitado para todas as conexões de rede, o WSHA do computador cliente verificará se o software de firewall está em execução no computador cliente e executará as seguintes ações:
     

     • Se o computador cliente não estiver executando o software de firewall, ele ficará restrito a uma rede de remediação até o software de firewall ser instalado e executado.
     • Se o único software de firewall em execução no computador cliente não for compatível com a Central de Segurança do Windows, o WSHA informará o serviço de Proteção de Acesso à Rede (NAP) que nenhum firewall está habilitado e o computador cliente ficará restrito a uma rede de remediação.

     Importante
     Se você selecionar a opção Firewall habilitado para todas as conexões de rede e os computadores clientes não estiverem executando o Firewall do Windows ou outro software de firewall compatível com a Central de Segurança do Windows, os computadores clientes não poderão conectar-se à rede.

     
     

     Se você não selecionar Firewall habilitado para todas as conexões de rede, o WSHA no computador cliente não fará verificações e os computadores clientes que não estiverem executando o software de firewall não serão impedidos de se conectar à sua rede.
     

     Correção automática

     Se selecionar Firewall habilitado para todas as conexões de rede, você irá habilitar a correção automática NAP, e o WSHA no computador cliente informa que não há firewall habilitado, então o WSHV direciona o WSHA no computador cliente para ativar o Firewall do Windows.
     

     Importante

     Se a correção automática for habilitada e os computadores clientes executarem um software de firewall incompatível com a Central de Segurança do Windows e isso não for detectado por WSHA, o WSHA do computador cliente ativará o Firewall do Windows e esse computador passará a executar dois firewalls diferentes ao mesmo tempo. Quaisquer exceções configuradas no firewall incompatível que não estiver configurado no Firewall do Windows pode causar a perda da funcionalidade no computador cliente. Por essa razão, não é recomendável os computadores clientes executarem dois firewalls diferentes ao mesmo tempo.

     
     

     Proteção contra vírus

     Se você selecionar a opção Aplicativo antivírus ativo, o WSHA do computador cliente verificará se o software antivírus está em execução no computador cliente. Se o computador cliente não estiver executando o software antivírus, ele ficará restrito a uma rede de remediação até o software antivírus ser instalado e executado.
     O software antivírus em execução no computador cliente deverá ser compatível com a Central de Segurança do Windows. O software antivírus que não for compatível com a Central de Segurança do Windows não poderá ser gerenciado nem detectado pelo WSHA no computador cliente. Se o único software antivírus em execução no computador cliente for um aplicativo antivírus incompatível com a Central de Segurança do Windows, o WSHA informará o WSHV que nenhum antivírus está habilitado e o computador cliente ficará restrito a uma rede de remediação.
     Se você selecionar a opção Antivírus atualizado, o WSHA do computador cliente verificará se as definições de antivírus dos aplicativos antivírus são as de versões mais recentes e se estão atualizadas.
     Para verificar se o software antivírus está em execução e se as definições de antivírus são as mais recentes, selecione as opções Aplicativo antivírus ativo e Antivírus atualizado.
     Se você não selecionar Aplicativo antivírus ativo, o WSHA no computador cliente não fará verificações e os computadores clientes que não estiverem executando o software antivírus não serão impedidos de se conectarem à sua rede.
     Se você não selecionar Aplicativo antivírus ativo e Antivírus atualizado, o WSHA no computador cliente não fará verificações; os computadores cliente que não estiverem executando o software antivírus, ou que estiverem executando softwares antivírus com definições antivírus desatualizadas, não serão impedidos de se conectar à sua rede.

     Proteção contra spyware

     Se você selecionar a opção Aplicativo antispyware ativo, o WSHA do computador cliente verificará se o software antispyware está em execução no computador cliente. Se o computador cliente não estiver executando o software antispyware, ele ficará restrito a uma rede de remediação até o software antispyware ser instalado e executado.
     O software antispyware em execução no computador cliente deverá ser o Windows Defender ou outro software compatível com a Central de Segurança do Windows.
     O software antispyware que não for compatível com a Central de Segurança do Windows não poderá ser gerenciado nem detectado pelo WSHA no computador cliente. Se o único software antispyware em execução no computador cliente for um aplicativo antispyware incompatível com a Central de Segurança do Windows, o WSHA informará o WSHV que nenhum antispyware está habilitado e o computador cliente ficará restrito a uma rede de remediação.
     Se você selecionar a opção Antispyware atualizado, o WSHA do computador cliente verificará se as definições de antispyware dos aplicativos antispyware são as de versões mais recentes e se estão atualizadas.
     Para verificar se o software antispyware está em execução e se as definições de antispyware são as mais recentes, selecione as opções Aplicativo antispyware ativo e Antispyware atualizado.
     Se você não selecionar Aplicativo antispyware ativo, o WSHA no computador cliente não fará verificações e os computadores cliente que não estiverem executando o software antispyware não serão impedidos de se conectar à sua rede.
     Se você não selecionar Aplicativo antispyware ativo e Antispyware atualizado, o WSHA no computador cliente não fará verificações e os computadores cliente que não estiverem executando o software antispyware ou que estiverem executando softwares antispyware com definições antispyware desatualizadas, não serão impedidos de se conectarem à sua rede.
     

     Correção automática

     Se selecionar Aplicativo antispyware ativo, você irá habilitar a correção automática NAP, e o WSHA no computador cliente informará que não há antispyware habilitado, então o WSHV direcionará o WSHA no computador cliente para ativar o Windows Defender.
     

     Importante
     Se a correção automática for habilitada e os computadores clientes executarem um software antispyware incompatível com a Central de Segurança do Windows e esse antispyware não for detectado por WSHA, o WSHA do computador cliente ativará o Windows Defender no computador cliente e esse computador passará a executar dois aplicativos antispyware diferentes ao mesmo tempo.

     
     

     Observação
     Você pode configurar a correção automática usando o snap-in do MMC Gerenciamento de Cliente NAP.

     
     

     Atualização automática

     Se você selecionar a opção Atualização automática ativa e o Microsoft Update Services não estiver habilitado no computador cliente, o WSHA restringirá o computador cliente a uma rede de remediação até o Microsoft Update Services ser habilitado.
     O Microsoft Update Services é habilitado quando uma das seguintes configurações for selecionada no computador cliente:
     

     • Instalar atualizações automaticamente (recomendado)
     • Baixar atualizações, mas permitir que eu escolha quando instalá-las
     • Procurar atualizações, mas permitir que eu escolha quando baixá-las e instalá-las

     Correção automática

     Se você selecionar a opção Atualizações automáticas habilitadas, a correção automática de NAP será habilitada e o WSHA do computador cliente informará que o Microsoft Update Services não está habilitado, assim, o WSHV instruirá o WSHA do computador cliente a habilitar o Microsoft Update Services e configurá-lo para que faça download de atualizações e as instale automaticamente.
     

     Observação
     Você pode configurar a correção automática usando o snap-in do MMC Gerenciamento de Cliente NAP.

     
     

     Proteção de Atualização de Segurança

     Não configure a Proteção de Atualização de Segurança na diretiva WSHV, a menos que os computadores clientes da rede estejam executando o Windows Update Agent. Além disso, os computadores clientes que executam o Windows Update Agent devem estar registrados em um servidor que executa o Windows Server Update Service (WSUS).
     

     Importante
     Se essas condições não forem atendidas e você configurar a Proteção de Atualização de Segurança na sua diretiva WSHV, a diretiva não poderá ser imposta pelo WSHA no computador cliente, o WSHA restringirá computadores cliente a uma rede de remediação e os clientes não poderão se conectar à sua rede.

     
     

     Se os computadores clientes estiverem executando o Windows Update Agent e estiverem registrados em um servidor WSUS, será possível configurar a Proteção de Atualização de Segurança para a diretiva WSHV.
     Nesse caso, se você selecionar a opção Impor quarentena para atualizações de segurança ausentes e as atualizações de segurança mais recentes não estiverem instaladas, o WSHA restringirá o computador cliente a uma rede de remediação até as atualizações de segurança mais recentes do software serem instaladas.
     Você pode configurar a Proteção de Atualização de Segurança com vários valores possíveis que correspondem às classificações de severidade de segurança do Microsoft Security Response Center (MSRC). Esses valores são:
     

     • Somente Crítica. Se for selecionado, os computadores clientes deverão ter todas as atualizações de segurança com a classificação de severidade Crítica do MSRC. Se um computador cliente não tiver essas atualizações, ficará restrito a uma rede de remediação até as atualizações serem baixadas e instaladas.
     • Importante e acima. Esta é a configuração padrão. Se for selecionado, os computadores clientes deverão ter todas as atualizações de segurança com a classificação de severidade Importante ou Crítica do MSRC. Se um computador cliente não tiver essas atualizações, ficará restrito a uma rede de remediação até as atualizações serem baixadas e instaladas.
     • Moderada e acima. Se for selecionado, os computadores clientes deverão ter todas as atualizações de segurança com a classificação de severidade Moderada, Importante e Crítica do MSRC. Se um computador cliente não tiver essas atualizações, ficará restrito a uma rede de remediação até as atualizações serem baixadas e instaladas.
     • Baixa e acima. Se for selecionado, os computadores cliente deverão ter todas as atualizações de segurança com a classificação de severidade Baixa, Moderada, Importante e Crítica do MSRC. Se um computador cliente não tiver essas atualizações, ficará restrito a uma rede de remediação até as atualizações serem baixadas e instaladas.
     • Todas. Se for selecionado, os computadores clientes deverão ter todas as atualizações de segurança, independentemente de sua classificação de severidade do MSRC. Se um computador cliente não tiver essas atualizações, ficará restrito a uma rede de remediação até as atualizações serem baixadas e instaladas.

     Depois de configurar o nível de classificação de severidade da atualização de segurança, você pode especificar o número mínimo de horas permitidas desde que o cliente verificou se há novas atualizações de segurança no servidor WSUS. O valor padrão para o tempo mínimo de sincronização é 22 horas.
     Quando um computador cliente tentar pela primeira vez conectar-se a uma rede habilitada para NAP e a configuração de Proteção de Atualização de Segurança estiver definida na diretiva WSHV, o WSHA determinará se restringirá o computador cliente a uma rede de remediação com base na hora mais recente da verificação de atualizações de segurança feita pelo computador cliente no servidor WSUS. O WSHA determinará se restringirá o cliente a uma rede de remediação da seguinte forma:
     

     • Se a verificação de atualizações do cliente ocorreu em um intervalo maior que o número mínimo de horas configurado no WSHV permitido entre as verificações, o computador cliente ficará restrito a uma rede de remediação. Depois que o cliente verificar as atualizações, fizer download das atualizações recentes e instalá-las, poderá ter acesso total à rede.
     • Se a verificação de atualizações do cliente ocorreu em um intervalo igual ou menor que o número mínimo de horas configurado no WSHV permitido entre as verificações, o computador cliente ficará restrito a uma rede de remediação.

     Observação

     O WSHA do computador cliente apenas executará essa verificação no momento em que o computador cliente tentar conectar-se à rede. Se o computador cliente permanecer conectado à rede por tempo maior que o mínimo de sincronização configurado, o WSHA não acionará uma verificação de atualizações de segurança, não acionará o download de atualizações nem restringirá o computador cliente a uma rede de remediação.

     
     

     Correção automática

     Para que a correção automática funcione com a configuração de Proteção de Atualização de Segurança habilitada e definida na diretiva WSHV, as seguintes afirmações deverão ser verdadeiras:
     

     • Os computadores clientes da rede estão executando o Windows Update Agent.
     • Os computadores clientes que executam o Windows Update Agent estão registrados em um servidor WSUS.
     • A correção automática está configurada e habilitada.

     Se essas condições forem atendidas, o WSHA do computador cliente verificará no servidor WSUS se há atualizações de segurança mais recentes. Se o WSHA detectar que as atualizações de segurança mais recentes da classificação de severidade MSRC configurada não estão instaladas no computador cliente, ele fará download dessas atualizações e as instalará.

     
     
     
     

  
  

1.