Olá, pessoal!
No meu último post “Tudo que você sempre quis saber sobre NAP e não tinha pra quem perguntar” comecei a falar sobre a função do NAP dentro do ambiente de rede. Para hoje eu tinha programado fazer um vídeo mostrando passo a passo todo o processo de implantação do NAP no modo mais simples: o NAP sobre DHCP. Porém, senhores, a vida é uma caixinha de surpresas. Minha voz resolveu ficar offline e eu não consegui contratar um narrador com uma voz tão melíflua quanto a minha. Então, vamos de capturas de tela mesmo!
Para que você possa dar início a implantação do NAP de acordo com este artigo, sugiro que você monte o seguinte ambiente:
1 – Servidor Controlador de Domínio (Windows Server 2008) com DNS integrado, configurado com o nome “SERVER1” e com o IP 192.168.0.1.
2 – Servidor Membro do domínio (Windows Server 2008), com a função “Serviço de Acesso e Diretivas de Rede” e o serviço de função “Servidor de Diretivas de Rede” instalados. Dê o nome de “SERVER2” e o IP 192.168.0.2.
3 – Um computador cliente compatível com NAP (Windows XP SP3, Windows Vista ou Windows 7) configurado para receber IP dinâmico.
Primeiramente, um resumo do que esperamos desse ambiente.
O objetivo é permitir que o computador cliente receba suas configurações TCP/IP do servidor DHCP somente se o seu Firewall estiver ativado. Do contrário, o NAP fará uma correção automática e ativará o Firewall do cliente, mesmo que o cliente insista em desativá-lo.
Se você reparou bem no nosso ambiente acima, ainda não temos um DHCP configurado no nosso ambiente. Vamos configurar um DHCP e um escopo no “SERVER1”.
Abra o gerenciador de servidores, clique com o botão direito do mouse no nó “Funções” e em seguida em “Adicionar funções”.
Na tela “Antes de começar” clique no botão “Próximo”.
Em “Selecionar Funções do Servidor” marque a opção “Servidor DHCP” e clique em “Próximo”.
Avance até a tela “Selecionar Ligações de Conexão de Rede”. Confirme se o endereço IP exibido está selecionado e clique em “Próximo”.
Em “Especificar Configurações de Sevidor DNS IPv4” preencha os campos “Domínio Pai” com o nome completo que você deu ao seu domínio. No campo DNS preferencial, preencha com o IP do seu servidor DNS.
Avance até a tela “Adicionar ou Editar Escopos DHCP” e clique no botão “Adicionar”.
Preencha o formulário conforme a imagem abaixo. Em seguida clique no botão “OK”.
A partir desse ponto você pode prosseguir até o final da instalação da função DHCP. Mais tarde usarei o console do DHCP para concluir a sua integração com o NAP.
Agora é a hora de configurar o “Servidor de Diretivas de Rede”. Ele está instalado no “SERVER2” e pode ser acessado a partir do menu “Ferramentas Administrativas”.
Aqui começa a nossa odisséia. Na tela inicial do “Servidor de Diretivas de Rede” certifique-se que o nó “NPS (Local)” está selecionado. No painel de conteúdo, selecione a opção “NAP (Proteção de Acesso à Rede)” e clique no link “Configurar NAP”.
Com isso se inicia o processo de configuração do NAP. No “Método de conexão de rede” selecione a opção “Protocolo DHCP”. A caixa de texto “Nome da Diretiva” será preenchida automaticamente, coforme a imagem abaixo. Clique no botão “Avançar”.
Na próxima etapa vamos especificar quais os servidores de imposição NAP estão executando o serviço DHCP. Esses servidores são conhecidos como “Clientes Radius”. Se o servidor DHCP estiver instalado no próprio servidor de Diretivas de Rede, essa etapa pode ser avançada sem maiores configurações. Como no nosso caso o DHCP está no “SERVER1”, vamos configurá-lo. Clique no borão “Adicionar”.
Preencha os campos “Nome amigável” e “Endereço” conforme abaixo. Na sessão “Segredo Compartilhado” eu até preenchi com o valor “123”. No caso do DHCP essa sessão não é relevante. Clique em “OK” e depois em “Avançar”.
Agora é a hora de escolher quais escopos do seu servidor DHCP o NAP será imposto. Para impor em todos os escopos, basta deixar em branco e avançar.
Na etapa seguinte pode-se configurar grupos de usuários e computadores que receberão a diretiva NAP que estamos configurando. Se for deixado em branco, todos os usuários e computadores serão afetados pela diretiva. Clique em “Avançar”.
Na próxima etapa, é a vez de configurar a rede de remediação. Pode ser formada um grupo de computadores que executam os serviços que irão permitir que o cliente possa atingir um estado de integridade. Em ambientes mais complexos, estariam disponíveis um WSUS ou uma conexão com a internet para que o antivírus e anti spyware possam ser atualizados. Também é possível apresentar uma página explicativa para o cliente, indicando como tornar computadores íntegros. Aqui criarei o grupo com o servidor DHCP. Clique em “Novo Grupo…”. Na janela que se abre, digite o valor “Remediacao” na caixa “Nome do grupo” e em seguida clique no botão “Adicionar”.
Preencha os campos “Nome amigável” e “Endereço”. Clique no botão “Resolver”. Clique em “OK” para encerrar as janelas abertas. Clique em “Avançar”.
Como já comentei, uma diretiva NAP é composta por “Validadores de Integridade”. Esses validadores podem exigir do sistema que ele esteja com firewall ativado, atualizações automáticas em dia, antivírus e antispyware instalados e atualizados. A diretiva pode exigir uma, algumas ou todas essas opções para declarar o computador cliente como íntegro. Isso é configurável pelo administrador. Também é possível configurar a correção automática. Em conjunto com a restrição de acesso à rede corporativa, isso força o cliente a ter um acesso limitado. O que acontece é que o cliente recebe um IP com máscara /32 e uma rota para alcançar a rede de remediação. Se a correção automática for aplicada com sucesso, o status do computador passa a ser de integridade e seu acesso à rede corporativa é reestabelecido.
Agora é só avançar e concluir a configuração do NAP.
Ainda falta um pouco para concluir a nossa configuração. Hoje procurei focar mais na configuração do NAP. Na próxima semana (espero que minha voz dê o ar da graça) pretendo explicar as diretivas que foram criadas com o uso do nosso assistente de configuração que acabamos de encerrar.
Sei que é maldade fazê-los esperar até o próximo artigo… Mas quem disse que a vida é justa? rs… Aproveitem para estudar a configuração do NAP. Mandem seus comentários com dúvidas e sugestões.
Um grande abraço a todos os amigos leitores. E se você ainda não o fez, vai lá e assina o portal. Também estamos no Twitter @portalCooperati. Meu Twitter pessoal é @CalLauff.
Até a próxima!
Olá…
Estou estudando para 70-642 e esse post vai me ajudar bastante!
Espero ver mais da série NAP antes da prova…xD
Abraço
No servidor de “remediação”, quais servidores são mais usuais (wsus, antivírus,…)???
E por boas praticas, é melhor colocar uma rede só para “remediação” ou ha outra maneira de fazer com que seus servidores internos possam ser usados para esse fim sem correrem risco de serem infectados?
Lauff desculpe dar uma de adv do diabo… mas as duvidas dominam minha mente rsrsrs sobre esse assunto.
Parabéns pelo posts… como o amigo assim tb estou estudando para esse exame…
[]‘s
Olá, Rodrigo.
A remediação vai ser composta por serviços que possam corrigir as não conformidades exigidas pela sua validação de integridade. Por exemplo, se você exigiu atualizações em dia, você deve prover um servidor WSUS. Se exigiu antivírus, deve prover um meio de o cliente se conectar a Internet para se manter atualizado.
Se possível, crie uma rede de remediação. No nosso caso, como estou aplicando o NAP por DHCP, coloquei o endereço do servidor DHCP para remediação.
O cliente em não conformidade recebe um endereço IP com máscara /32 (255.255.255.255). Dessa forma ele fica naturalmente isolado. Para alcançar a rede de remediação é acrescentada uma rota no adaptador de rede local do cliente.
Você pode constatar isso com o comando ROUTE PRINT no cliente.
No próximo artigo falarei sobre os validadores de integridade e tudo vai ficar muito mais claro.
Grande abraço.
Opa… entao vai ficar perfeito… aguardo o proximo post…. Parabens!!!
Grande Carlos Muito Obrigado!!!!
Carlos, com o NAP eu tambem consigo determinar um mac ou ip que eu não queira que se conecte a minha rede?
Abs
Prezado Carlos,
A tempo estou procurando um material sobre o seguinte, tenho um AP com suporte a 802.1x para se autenticar com Radius, já instalei e configurei o Radius porém todas vez que vou autenticar no AP com um Notebook, ele fica repetindo a solicitação de usuário e senha ? Lembrando que o Notebook não está no AD, o que mais precisa certificado ?
Pingback: NAP sobre DHCP–Entendendo as diretivas de rede: Diretivas de Solicitação de Conexão « CooperaTI
Para fazer o cenário do Radius com NAP na Wireless um pre-requisito que o dispositivo faça parte do dominio? ou pode ser exemplo um notebook de visitante sem fazer parte do domínio, ele consegue autenticar assim mesmo?
Posso integrar o NAP com um WS2008 R2 e com um WS2003 fazendo o papel de DHCP?
Ricardo,
O Windows Server 2003 não possui nas propriedades do escopo do DHCP a proteção de acesso à rede.
Sendo assim não há como habilitar.
Abraço.
Carlos,
Em Maquinas que nao estao no dominio, como existe a questão de Restrições!
Como o nap consegue ativar um FIREWAL desabilitado, com que acesso ele consegue fazer isso? que usuario ele utiliza para modificar essas opções, e conseguir entrar em conformidade com a rede?
Luan,
As restrições são reportadas pela Central de Segurança. Configuramos esse serviço por diretiva e para isso o computador tem que estar no domínio.
O usuário que procede essas modificações é o próprio serviço de rede, uma vez que isso ocorre antes do processo de logon.
Achei totalmente excelente… tanto que já fiz até uma Postagem.
Espero ter colocado os devidos créditos, etc…
Pode conferir no link abaixo:
http://idmcp.blogspot.com.br/2012/08/guia-nap-network-access-protection-ou.html
Desde já agradeço.
Opa Alexandre,
Obrigado pela visita. Nós é que agradecemos pela referência ao artigo.
Abraços.