10140a_12 [modo de compatibilidade]
TRANSCRIPT
-
7/31/2019 10140A_12 [Modo de Compatibilidade]
1/40
Mdulo 12Configurao da Proteo
de Acesso Rede
-
7/31/2019 10140A_12 [Modo de Compatibilidade]
2/40
Viso geral do mdulo
Viso geral da Proteo de Acesso Rede
Funcionamento da NAP
Configurao da NAP
Monitoramento e soluo de problemas da NAP
-
7/31/2019 10140A_12 [Modo de Compatibilidade]
3/40
Lio 1: Viso geral da Proteo de Acesso Rede
O que Proteo de Acesso Rede?
Cenrios de NAP
Mtodos de imposio de NAP
Arquitetura da plataforma NAP
Interaes da arquitetura NAP
Infra-estrutura do cliente NAP Infra-estrutura do servidor NAP
Comunicao entre componentes da plataforma NAP
-
7/31/2019 10140A_12 [Modo de Compatibilidade]
4/40
A Proteo de Acesso Rede pode:
O que Proteo de Acesso Rede?
Impor diretivas de requisito de integridade nos computadorescliente
Assegurar que os computadores cliente estejam compatveiscom as diretivas
Oferecer suporte de remediao a computadores que no
atendem aos requisitos de integridade
A Proteo de Acesso Rede no pode:
Impedir que usurios no autorizados com computadores
compatveis realizem atividades mal-intencionadas
Restringir o acesso do Windows XP SP2 e anterior quando asregras de exceo estiverem configuradas para essescomputadores
-
7/31/2019 10140A_12 [Modo de Compatibilidade]
5/40
Pgina de anotaes - Slide excedente. Noimprima o slide. Consulte o painel de anotaes.
-
7/31/2019 10140A_12 [Modo de Compatibilidade]
6/40
Cenrios de NAP
A NAP beneficia a infra-estrutura da rede verificando o estado deintegridade de:
Computadores mveis (laptops)
Computadores desktop
Laptops visitantes
Computadores particulares no gerenciados
-
7/31/2019 10140A_12 [Modo de Compatibilidade]
7/40
Mtodo Pontos principais
Imposio IPsec paracomunicaes protegidas porIPsec
O computador precisa estar compatvel paracomunicar-se com outros computadores
compatveis O tipo mais forte de imposio de NAP e pode ser
aplicado por endereo IP ou nmero de porta deprotocolo
Mtodos de imposio de NAP
Imposio 802.1X paraconexes com ou sem fioautenticadas por IEEE 802.1X
compu a or prec sa es ar compa ve paraobter acesso ilimitado por meio de uma conexo802.1X (opo de autenticao ou ponto deacesso)
Imposio VPN para conexesde acesso remoto
O computador precisa estar compatvel paraobter acesso ilimitado por meio de uma conexoRAS
Imposio DHCP paraconfigurao de endereobaseada em DHCP
O computador precisa estar compatvel parareceber de DHCP uma configurao de endereoIPv4 com acesso ilimitado
Essa a forma mais fraca de imposio de NAP
-
7/31/2019 10140A_12 [Modo de Compatibilidade]
8/40
Autoridade deRegistro de
DispositivosIEEE 802.1X
ActiveDirectory
Servidor VPN
Arquitetura da plataforma NAP
Intranet
Servidores deatualizaes
Internet Servidor dediretiva de
integridade deNAP
Servidor DHCP
Rede restrita
Cliente NAP comacesso limitado
Rede depermetro
-
7/31/2019 10140A_12 [Modo de Compatibilidade]
9/40
Interaes da arquitetura NAP
HRA
Servidor de requisitos deintegridade
Servidor deatualizaes
Mensagens RADIUS
Atualizaesde integridadedo sistema
Consultas
de requisitode integridadedo sistema
Servidor VPN
erv or
Dispositivos de acesso redeIEEE 802.1X
Cliente NAP Servidor dediretiva de
integridade deNAP
-
7/31/2019 10140A_12 [Modo de Compatibilidade]
10/40
Infra-estrutura do cliente NAP
Servidor deatualizaes 2
Servidor deatualizaes 1
SHA_1 SHA_2 SHA_3. . .
Cliente NAP
Agente NAP
API do EC de NAP
EC_A de NAP EC_B de NAP EC_C de NAP
API de SHA
. . .
-
7/31/2019 10140A_12 [Modo de Compatibilidade]
11/40
Demonstrao: Uso da ferramenta de Configuraode Cliente NAP
Nesta demonstrao, voc ver como:
Examinar a ferramenta de Configurao de Cliente NAP
-
7/31/2019 10140A_12 [Modo de Compatibilidade]
12/40
Infra-estrutura do servidor NAP
Servidor de requisitos deintegridade 2
Servidor de requisitos deintegridade 1
API de SHV
SHV_1 SHV_2 SHV_3. . .
Servidor de diretiva deintegridade de NAP
Servidor de Administrao de NAP
Servio NPS
ES_A de NAP ES_B de NAP ES_C de NAP
. . .
Ponto de imposio deNAP baseado em
WindowsRADIUS
-
7/31/2019 10140A_12 [Modo de Compatibilidade]
13/40
Comunicao entre componentes da plataforma NAP
Servidor dediretiva de
integridade deNAP
SHV_1 SHV_2 SHV_2
Servidor derequisitos deintegridade 1
Servidor derequisitos deintegridade 2
SHA1 SHA2
Servidor deatualizaes 1
Servidor deatualizaes 2
Ponto deimposio de
NAP
baseado emWindows
Servidor de Administraode NAP
API de SHV
Servio NPS
RADIUS
Agente NAP
API do EC de NAP
EC_Ade NAP
EC_Bde NAP
API de SHA
ClienteNAP
ES_Bde NAP
ES_Ade NAP
-
7/31/2019 10140A_12 [Modo de Compatibilidade]
14/40
Pgina de anotaes - Slide excedente. Noimprima o slide. Consulte o painel de anotaes.
-
7/31/2019 10140A_12 [Modo de Compatibilidade]
15/40
Lio 2: Funcionamento da NAP
Processos de imposio da NAP
Funcionamento da imposio IPsec
Funcionamento da imposio 802.1x
Funcionamento da imposio VPN
Funcionamento da imposio DHCP
-
7/31/2019 10140A_12 [Modo de Compatibilidade]
16/40
Processos de imposio da NAP
Para validar o acesso rede baseado na diretiva do sistema, uma infra-estrutura de rede deve oferecer a seguinte funcionalidade:
Validao da diretiva de integridade: determina se oscomputadores esto compatveis com os requisitos de diretivade integridade
Limitao do acesso rede: limita o acesso doscompu a ores ncompa ve s
Remediao automtica: fornece as atualizaes necessriaspara que um computador incompatvel torne-se compatvel
Conformidade contnua: Atualiza automaticamente oscomputadores compatveis para que eles aceitem as alteraescontnuas dos requisitos de diretiva de integridade
-
7/31/2019 10140A_12 [Modo de Compatibilidade]
17/40
Funcionamento da imposio IPsec
Pontos principais da imposio de NAP para IPsec:
Consiste em um servidor de certificados de integridade e em umcliente de imposio da NAP para IPsec
O servidor de certificados de integridade emite certificadosX.509 para os clientes quando so confirmados comocompatveis
Em seguida, os certificados so usados para autenticar clientesNAP quando eles iniciam comunicaes protegidas por IPseccom outros clientes NAP na Intranet
A imposio IPsec limita a comunicao em uma redeaos ns considerados compatveis
Voc pode definir requisitos para comunicaes seguras comclientes compatveis, por endereo IP ou por nmerode porta de TCP/UDP
-
7/31/2019 10140A_12 [Modo de Compatibilidade]
18/40
Pgina de anotaes - Slide excedente. Noimprima o slide. Consulte o painel de anotaes.
-
7/31/2019 10140A_12 [Modo de Compatibilidade]
19/40
Funcionamento da imposio 802.1x
Pontos principais da imposio de NAP para 802.1X com ou sem fio:
O computador precisa estar compatvel para obter acessoilimitado rede por meio de uma conexo de rede autenticadapor 802.1X
Os computadores incompatveis so limitados por meio de umperfil de acesso restrito que o comutador Ethernet ouo ponto de acesso sem fio coloca na conexo
pacote IP ou um identificador (ID) da LAN virtual (VLAN)correspondente rede restrita
A imposio 802.1X monitora ativamente o status deintegridade do cliente NAP conectado e aplicar o perfil deacesso restrito conexo se o cliente ficar incompatvel
A imposio 802.1X consiste no NPS no Windows Server 2008 e em um cliente deimposio EAPHost no Windows Vista, Windows XP com SP2 (com o Cliente NAPpara Windows XP) e Windows Server 2008
-
7/31/2019 10140A_12 [Modo de Compatibilidade]
20/40
Pgina de anotaes - Slide excedente. Noimprima o slide. Consulte o painel de anotaes.
-
7/31/2019 10140A_12 [Modo de Compatibilidade]
21/40
Funcionamento da imposio VPN
Pontos principais da imposio de NAP para VPN:
O computador precisa estar compatvel para obter acessoilimitado rede por meio de uma conexo VPN de acesso remoto
Os computadores incompatveis tm o acesso rede limitadopor meio de um conjunto de filtros de pacote IP que soaplicados conexo VPN pelo servidor VPN
A imposio VPN monitora ativamente o status de integridadedo cliente NAP e aplicar os filtros de pacote IP da rede restrita conexo VPN se o cliente ficar incompatvel
A imposio VPN consiste no NPS no Windows Server 2008 e em um cliente deimposio VPN como parte do cliente de acesso remoto no Windows Vista,Windows XP com SP2 (com o Cliente NAP para Windows XP) e Windows Server2008
-
7/31/2019 10140A_12 [Modo de Compatibilidade]
22/40
Pgina de anotaes - Slide excedente. Noimprima o slide. Consulte o painel de anotaes.
-
7/31/2019 10140A_12 [Modo de Compatibilidade]
23/40
Funcionamento da imposio DHCP
Pontos principais da imposio de NAP para DHCP:
O computador precisa estar compatvel para obter de um servidorDHCP uma configurao de endereo IPv4 com acesso ilimitado
Os computadores incompatveis tm acesso rede limitado poruma configurao de endereo IPv4 que permite acesso somente rede restrita
A imposio DHCP monitora ativamente o status de integridadedo cliente NAP e renovar a configurao de endereo IPv4 paraacesso somente rede restrita se o cliente ficar incompatvel
A imposio DHCP consiste em um servidor de imposio DHCP, que faz parte doservio do Servidor DHCP no Windows Server 2008, e em um cliente de imposioDHCP, que faz parte do servio do Cliente DHCP no Windows Vista, Windows XPcom SP2 (com Cliente NAP para Windows XP) e Windows Server 2008
-
7/31/2019 10140A_12 [Modo de Compatibilidade]
24/40
Pgina de anotaes - Slide excedente. Noimprima o slide. Consulte o painel de anotaes.
-
7/31/2019 10140A_12 [Modo de Compatibilidade]
25/40
Lio 3: Configurao da NAP
O que so validadores da integridade do sistema?
O que diretiva de integridade?
O que so grupos de servidores de atualizaes?
Configurao de cliente NAP
-
7/31/2019 10140A_12 [Modo de Compatibilidade]
26/40
O que so validadores da integridade do sistema?
Os validadores da integridade do sistema so equivalentes desoftware de servidor para agentes de integridade do sistema
Cada SHA do cliente tem umSHV correspondente no NPS
verifique a declarao de integridadefeita pelo SHA correspondente docliente
Os SHVs contm as definiesde configurao necessrias
nos computadores cliente
O SHV da Segurana do Windowscorresponde ao SHA da Microsoftnos computadores cliente
-
7/31/2019 10140A_12 [Modo de Compatibilidade]
27/40
O que diretiva de integridade?
Para usar o Validador da Integridade da Segurana do Windows, necessrio configurar uma diretiva de integridade e atribuir o SHV a ela
As diretivas de integridade consistem em um ou mais SHVs e em outrasconfiguraes que permitem definir os requisitos de configurao docomputador cliente para computadores compatveis com NAP que tentamconectar-se sua rede
Voc pode definir diretivas de integridade do cliente no NPS adicionando umou mais SHVs diretiva de integridade
A imposio de NAP executada pelo NPS, por diretiva de rede
Depois de criar uma diretiva de integridade, adicionando um ou mais SHVs diretiva, voc pode adicionar essa diretiva diretiva de rede e habilitar aimposio de NAP na diretiva
-
7/31/2019 10140A_12 [Modo de Compatibilidade]
28/40
O que so grupos de servidores de atualizaes?
Com a imposio de NAP em vigor, voc deve especificar os grupos deservidores de atualizaes, para que os clientes tenham acesso aosrecursos que fazem com que clientes NAP sejam compatveis
Um servidor de atualizaes hospeda as atualizaes que o agente NAP podeusar para tornar os computadores cliente compatveis com a diretiva deinte ridade definida elo NPS
Um grupo de servidores de atualizaes uma lista de servidores da rederestrita que os clientes NAP incompatveis podem acessar para obteratualizaes de software
-
7/31/2019 10140A_12 [Modo de Compatibilidade]
29/40
Configurao de cliente NAP
Algumas implantaes de NAP que usam o Validador da Integridade daSegurana do Windows exigem a habilitao da Central de Segurana
O servio de Proteo de Acesso Rede necessrio quando voc implanta aNAP em computadores cliente compatveis com NAP
Alm disso, necessrio configurar os clientes de imposio de NAP noscomputadores compatveis com NAP
D t U d i t t d fig d
-
7/31/2019 10140A_12 [Modo de Compatibilidade]
30/40
Demonstrao: Uso do assistente de configurao deNAP para aplicar diretivas de acesso rede
Nesta demonstrao, voc ver como: Criar diretivas de NAP para DHCP
Configurar a imposio DHCP no servidor DHCP
Usar o snap-in Gerenciamento de Clientes NAP parahabilitar o EC
Pgina de anotaes Slide excedente No
-
7/31/2019 10140A_12 [Modo de Compatibilidade]
31/40
Pgina de anotaes - Slide excedente. Noimprima o slide. Consulte o painel de anotaes.
Lio 4: Monitoramento e soluo de problemas
-
7/31/2019 10140A_12 [Modo de Compatibilidade]
32/40
Lio 4: Monitoramento e soluo de problemasda NAP
O que rastreamento de NAP? Configurao do rastreamento de NAP
-
7/31/2019 10140A_12 [Modo de Compatibilidade]
33/40
O que rastreamento de NAP?
O rastreamento de NAP identifica os eventos de NAP eos registra em um arquivo de log baseado em um dosseguintes nveis de rastreamento:
Bsico Avanado Depurao
s ogs e ras reamen o po em ser usa os para: Avaliar a integridade e a segurana da rede Soluo de problemas e manuteno
O rastreamento de NAP fica desabilitado, por padro,ou seja, nenhum evento NAP registrado nos logs derastreamento
-
7/31/2019 10140A_12 [Modo de Compatibilidade]
34/40
Configurao do rastreamento de NAP
Voc pode configurar o rastreamento de NAP usandouma das seguintes ferramentas:
O console de Gerenciamento de Clientes NAP A ferramenta de linha de comando Netsh
Para habilitar a funcionalidade de registro em log,voc prec sar ser mem ro o grupo m n s ra oreslocais
Os logs de rastreamento ficam localizados no seguintediretrio: % raizdosistema %\tracing\nap
-
7/31/2019 10140A_12 [Modo de Compatibilidade]
35/40
Demonstrao: Configurao de rastreamento
Nesta demonstrao, voc ver como: Configurar o rastreamento na GUI
Configurar o rastreamento na linha de comando
Exibir os arquivos de log
-
7/31/2019 10140A_12 [Modo de Compatibilidade]
36/40
Laboratrio: Configurao da NAP para DHCP e VPN
Exerccio 1: Configurao da Proteo de Acesso Rede(NAP) para clientes DHCP (Dynamic Host ConfigurationProtocol)
Exerccio 2: Configurao da NAP para clientes VPN
Informaes de logon
Mquina virtual NYC-DC1, NYC-SVR1,NYC-CL1
Nome de usurio AdministradorSenha Pa$$w0rd
Tempo estimado: 120 minutos
-
7/31/2019 10140A_12 [Modo de Compatibilidade]
37/40
Cenrio do laboratrio
Como especialista em tecnologia do Woodgrove Bank, vocprecisa estabelecer um meio de tornar compatveis oscomputadores cliente de forma automtica. Para isso, vocusar o Servidor de Diretiva de Rede, criando diretivas deconformidade do cliente e configurando um servidor NAPpara verificar a integridade atual dos computadores.
-
7/31/2019 10140A_12 [Modo de Compatibilidade]
38/40
Reviso do laboratrio
O mtodo de imposio de NAP para DHCP o mais fracodo Microsoft Windows Server 2008. O que o torna menospreferido que os outros?
Voc poderia usar a soluo NAP de acesso remoto juntocom a soluo NAP para IPsec? Que vantagem seria obtidausando esse cenrio?
Voc poderia ter usado a imposio de NAP para DHCP para
-
7/31/2019 10140A_12 [Modo de Compatibilidade]
39/40
Reviso do mdulo e informaes
Perguntas de reviso Prticas recomendadas
Ferramentas
Pgina de anotaes - Slide excedente. No
-
7/31/2019 10140A_12 [Modo de Compatibilidade]
40/40
g imprima o slide. Consulte o painel de anotaes.