10140A_12 [Modo de Compatibilidade]

7/31/2019 10140A_12 [Modo de Compatibilidade]

1/40

Mdulo 12Configurao da Proteo

de Acesso Rede


2/40

Viso geral do mdulo

Viso geral da Proteo de Acesso Rede

Funcionamento da NAP

Configurao da NAP

Monitoramento e soluo de problemas da NAP


3/40

Lio 1: Viso geral da Proteo de Acesso Rede

O que Proteo de Acesso Rede?

Cenrios de NAP

Mtodos de imposio de NAP

Arquitetura da plataforma NAP

Interaes da arquitetura NAP

Infra-estrutura do cliente NAP Infra-estrutura do servidor NAP

Comunicao entre componentes da plataforma NAP


4/40

A Proteo de Acesso Rede pode:

O que Proteo de Acesso Rede?

Impor diretivas de requisito de integridade nos computadorescliente

Assegurar que os computadores cliente estejam compatveiscom as diretivas

Oferecer suporte de remediao a computadores que no

atendem aos requisitos de integridade

A Proteo de Acesso Rede no pode:

Impedir que usurios no autorizados com computadores

compatveis realizem atividades mal-intencionadas

Restringir o acesso do Windows XP SP2 e anterior quando asregras de exceo estiverem configuradas para essescomputadores


5/40

Pgina de anotaes - Slide excedente. Noimprima o slide. Consulte o painel de anotaes.


6/40

Cenrios de NAP

A NAP beneficia a infra-estrutura da rede verificando o estado deintegridade de:

Computadores mveis (laptops)

Computadores desktop

Laptops visitantes

Computadores particulares no gerenciados


7/40

Mtodo Pontos principais

Imposio IPsec paracomunicaes protegidas porIPsec

O computador precisa estar compatvel paracomunicar-se com outros computadores

compatveis O tipo mais forte de imposio de NAP e pode ser

aplicado por endereo IP ou nmero de porta deprotocolo

Mtodos de imposio de NAP

Imposio 802.1X paraconexes com ou sem fioautenticadas por IEEE 802.1X

compu a or prec sa es ar compa ve paraobter acesso ilimitado por meio de uma conexo802.1X (opo de autenticao ou ponto deacesso)

Imposio VPN para conexesde acesso remoto

O computador precisa estar compatvel paraobter acesso ilimitado por meio de uma conexoRAS

Imposio DHCP paraconfigurao de endereobaseada em DHCP

O computador precisa estar compatvel parareceber de DHCP uma configurao de endereoIPv4 com acesso ilimitado

Essa a forma mais fraca de imposio de NAP


8/40

Autoridade deRegistro de

DispositivosIEEE 802.1X

ActiveDirectory

Servidor VPN

Arquitetura da plataforma NAP

Intranet

Servidores deatualizaes

Internet Servidor dediretiva de

integridade deNAP

Servidor DHCP

Rede restrita

Cliente NAP comacesso limitado

Rede depermetro


9/40

Interaes da arquitetura NAP

HRA

Servidor de requisitos deintegridade

Servidor deatualizaes

Mensagens RADIUS

Atualizaesde integridadedo sistema

Consultas

de requisitode integridadedo sistema

Servidor VPN

erv or

Dispositivos de acesso redeIEEE 802.1X

Cliente NAP Servidor dediretiva de

integridade deNAP


10/40

Infra-estrutura do cliente NAP

Servidor deatualizaes 2


SHA_1 SHA_2 SHA_3. . .

Cliente NAP

Agente NAP

API do EC de NAP

EC_A de NAP EC_B de NAP EC_C de NAP

API de SHA

. . .


11/40

Demonstrao: Uso da ferramenta de Configuraode Cliente NAP

Nesta demonstrao, voc ver como:

Examinar a ferramenta de Configurao de Cliente NAP


12/40

Infra-estrutura do servidor NAP

Servidor de requisitos deintegridade 2

Servidor de requisitos deintegridade 1

API de SHV

SHV_1 SHV_2 SHV_3. . .

Servidor de diretiva deintegridade de NAP

Servidor de Administrao de NAP

Servio NPS

ES_A de NAP ES_B de NAP ES_C de NAP

. . .

Ponto de imposio deNAP baseado em

WindowsRADIUS


13/40

Comunicao entre componentes da plataforma NAP

Servidor dediretiva de

integridade deNAP

SHV_1 SHV_2 SHV_2

Servidor derequisitos deintegridade 1

Servidor derequisitos deintegridade 2

SHA1 SHA2



Ponto deimposio de

NAP

baseado emWindows

Servidor de Administraode NAP

API de SHV

Servio NPS

RADIUS

Agente NAP

API do EC de NAP

EC_Ade NAP

EC_Bde NAP

API de SHA

ClienteNAP

ES_Bde NAP

ES_Ade NAP


14/40



15/40

Lio 2: Funcionamento da NAP

Processos de imposio da NAP

Funcionamento da imposio IPsec

Funcionamento da imposio 802.1x

Funcionamento da imposio VPN

Funcionamento da imposio DHCP


16/40

Processos de imposio da NAP

Para validar o acesso rede baseado na diretiva do sistema, uma infra-estrutura de rede deve oferecer a seguinte funcionalidade:

Validao da diretiva de integridade: determina se oscomputadores esto compatveis com os requisitos de diretivade integridade

Limitao do acesso rede: limita o acesso doscompu a ores ncompa ve s

Remediao automtica: fornece as atualizaes necessriaspara que um computador incompatvel torne-se compatvel

Conformidade contnua: Atualiza automaticamente oscomputadores compatveis para que eles aceitem as alteraescontnuas dos requisitos de diretiva de integridade


17/40

Funcionamento da imposio IPsec

Pontos principais da imposio de NAP para IPsec:

Consiste em um servidor de certificados de integridade e em umcliente de imposio da NAP para IPsec

O servidor de certificados de integridade emite certificadosX.509 para os clientes quando so confirmados comocompatveis

Em seguida, os certificados so usados para autenticar clientesNAP quando eles iniciam comunicaes protegidas por IPseccom outros clientes NAP na Intranet

A imposio IPsec limita a comunicao em uma redeaos ns considerados compatveis

Voc pode definir requisitos para comunicaes seguras comclientes compatveis, por endereo IP ou por nmerode porta de TCP/UDP


18/40



19/40

Funcionamento da imposio 802.1x

Pontos principais da imposio de NAP para 802.1X com ou sem fio:

O computador precisa estar compatvel para obter acessoilimitado rede por meio de uma conexo de rede autenticadapor 802.1X

Os computadores incompatveis so limitados por meio de umperfil de acesso restrito que o comutador Ethernet ouo ponto de acesso sem fio coloca na conexo

pacote IP ou um identificador (ID) da LAN virtual (VLAN)correspondente rede restrita

A imposio 802.1X monitora ativamente o status deintegridade do cliente NAP conectado e aplicar o perfil deacesso restrito conexo se o cliente ficar incompatvel

A imposio 802.1X consiste no NPS no Windows Server 2008 e em um cliente deimposio EAPHost no Windows Vista, Windows XP com SP2 (com o Cliente NAPpara Windows XP) e Windows Server 2008


20/40



21/40

Funcionamento da imposio VPN

Pontos principais da imposio de NAP para VPN:

O computador precisa estar compatvel para obter acessoilimitado rede por meio de uma conexo VPN de acesso remoto

Os computadores incompatveis tm o acesso rede limitadopor meio de um conjunto de filtros de pacote IP que soaplicados conexo VPN pelo servidor VPN

A imposio VPN monitora ativamente o status de integridadedo cliente NAP e aplicar os filtros de pacote IP da rede restrita conexo VPN se o cliente ficar incompatvel

A imposio VPN consiste no NPS no Windows Server 2008 e em um cliente deimposio VPN como parte do cliente de acesso remoto no Windows Vista,Windows XP com SP2 (com o Cliente NAP para Windows XP) e Windows Server2008


22/40



23/40

Funcionamento da imposio DHCP

Pontos principais da imposio de NAP para DHCP:

O computador precisa estar compatvel para obter de um servidorDHCP uma configurao de endereo IPv4 com acesso ilimitado

Os computadores incompatveis tm acesso rede limitado poruma configurao de endereo IPv4 que permite acesso somente rede restrita

A imposio DHCP monitora ativamente o status de integridadedo cliente NAP e renovar a configurao de endereo IPv4 paraacesso somente rede restrita se o cliente ficar incompatvel

A imposio DHCP consiste em um servidor de imposio DHCP, que faz parte doservio do Servidor DHCP no Windows Server 2008, e em um cliente de imposioDHCP, que faz parte do servio do Cliente DHCP no Windows Vista, Windows XPcom SP2 (com Cliente NAP para Windows XP) e Windows Server 2008


24/40



25/40

Lio 3: Configurao da NAP

O que so validadores da integridade do sistema?

O que diretiva de integridade?

O que so grupos de servidores de atualizaes?

Configurao de cliente NAP


26/40

O que so validadores da integridade do sistema?

Os validadores da integridade do sistema so equivalentes desoftware de servidor para agentes de integridade do sistema

Cada SHA do cliente tem umSHV correspondente no NPS

verifique a declarao de integridadefeita pelo SHA correspondente docliente

Os SHVs contm as definiesde configurao necessrias

nos computadores cliente

O SHV da Segurana do Windowscorresponde ao SHA da Microsoftnos computadores cliente


27/40

O que diretiva de integridade?

Para usar o Validador da Integridade da Segurana do Windows, necessrio configurar uma diretiva de integridade e atribuir o SHV a ela

As diretivas de integridade consistem em um ou mais SHVs e em outrasconfiguraes que permitem definir os requisitos de configurao docomputador cliente para computadores compatveis com NAP que tentamconectar-se sua rede

Voc pode definir diretivas de integridade do cliente no NPS adicionando umou mais SHVs diretiva de integridade

A imposio de NAP executada pelo NPS, por diretiva de rede

Depois de criar uma diretiva de integridade, adicionando um ou mais SHVs diretiva, voc pode adicionar essa diretiva diretiva de rede e habilitar aimposio de NAP na diretiva


28/40

O que so grupos de servidores de atualizaes?

Com a imposio de NAP em vigor, voc deve especificar os grupos deservidores de atualizaes, para que os clientes tenham acesso aosrecursos que fazem com que clientes NAP sejam compatveis

Um servidor de atualizaes hospeda as atualizaes que o agente NAP podeusar para tornar os computadores cliente compatveis com a diretiva deinte ridade definida elo NPS

Um grupo de servidores de atualizaes uma lista de servidores da rederestrita que os clientes NAP incompatveis podem acessar para obteratualizaes de software


29/40

Configurao de cliente NAP

Algumas implantaes de NAP que usam o Validador da Integridade daSegurana do Windows exigem a habilitao da Central de Segurana

O servio de Proteo de Acesso Rede necessrio quando voc implanta aNAP em computadores cliente compatveis com NAP

Alm disso, necessrio configurar os clientes de imposio de NAP noscomputadores compatveis com NAP

D t U d i t t d fig d


30/40

Demonstrao: Uso do assistente de configurao deNAP para aplicar diretivas de acesso rede

Nesta demonstrao, voc ver como: Criar diretivas de NAP para DHCP

Configurar a imposio DHCP no servidor DHCP

Usar o snap-in Gerenciamento de Clientes NAP parahabilitar o EC

Pgina de anotaes Slide excedente No


31/40


Lio 4: Monitoramento e soluo de problemas


32/40

Lio 4: Monitoramento e soluo de problemasda NAP

O que rastreamento de NAP? Configurao do rastreamento de NAP


33/40

O que rastreamento de NAP?

O rastreamento de NAP identifica os eventos de NAP eos registra em um arquivo de log baseado em um dosseguintes nveis de rastreamento:

Bsico Avanado Depurao

s ogs e ras reamen o po em ser usa os para: Avaliar a integridade e a segurana da rede Soluo de problemas e manuteno

O rastreamento de NAP fica desabilitado, por padro,ou seja, nenhum evento NAP registrado nos logs derastreamento


34/40

Configurao do rastreamento de NAP

Voc pode configurar o rastreamento de NAP usandouma das seguintes ferramentas:

O console de Gerenciamento de Clientes NAP A ferramenta de linha de comando Netsh

Para habilitar a funcionalidade de registro em log,voc prec sar ser mem ro o grupo m n s ra oreslocais

Os logs de rastreamento ficam localizados no seguintediretrio: % raizdosistema %\tracing\nap


35/40

Demonstrao: Configurao de rastreamento

Nesta demonstrao, voc ver como: Configurar o rastreamento na GUI

Configurar o rastreamento na linha de comando

Exibir os arquivos de log


36/40

Laboratrio: Configurao da NAP para DHCP e VPN

Exerccio 1: Configurao da Proteo de Acesso Rede(NAP) para clientes DHCP (Dynamic Host ConfigurationProtocol)

Exerccio 2: Configurao da NAP para clientes VPN

Informaes de logon

Mquina virtual NYC-DC1, NYC-SVR1,NYC-CL1

Nome de usurio AdministradorSenha Pa$$w0rd

Tempo estimado: 120 minutos


37/40

Cenrio do laboratrio

Como especialista em tecnologia do Woodgrove Bank, vocprecisa estabelecer um meio de tornar compatveis oscomputadores cliente de forma automtica. Para isso, vocusar o Servidor de Diretiva de Rede, criando diretivas deconformidade do cliente e configurando um servidor NAPpara verificar a integridade atual dos computadores.


38/40

Reviso do laboratrio

O mtodo de imposio de NAP para DHCP o mais fracodo Microsoft Windows Server 2008. O que o torna menospreferido que os outros?

Voc poderia usar a soluo NAP de acesso remoto juntocom a soluo NAP para IPsec? Que vantagem seria obtidausando esse cenrio?

Voc poderia ter usado a imposio de NAP para DHCP para


39/40

Reviso do mdulo e informaes

Perguntas de reviso Prticas recomendadas

Ferramentas

Pgina de anotaes - Slide excedente. No


40/40

g imprima o slide. Consulte o painel de anotaes.

10140A_12 [Modo de Compatibilidade]

Documents

Transcript of 10140A_12 [Modo de Compatibilidade]