Overview

Neste artigo veremos como configurar uma política de NAP – Network Access Protection, afim de checar se os computadores da rede estão em conformidade com as politicas de segurança antes de receberem endereço IP do DHCP Server.

Solução

Em um ambiente de rede com Active Directory e estações com Windows XP, Windows Vista e Windows 7, podemos definir algumas regras para garantir que apenas computadores saudáveis acessem a rede e seus recursos.

Primeiro, devemos habilitar a Role “NPS – Network Policy and Access Services” em um servidor Windows Server 2008 R2 disponível na rede, pode ser um controlador de domínio ou servidor membro, de preferencia com a role DHCP habilitada para facilitar a configuração, a política NAP irá trabalhar junto com o DHCP, estando ele no mesmo servidor ou não.

Habilitando a role “Network Policy and Access Services”

Depois da Role instalada, devemos ir em Administrative Tools e entrar no console “Network Policy Server”

Após entrar no console, clicamos no assistente “Configure NAP” para iniciar a configuração das políticas de segurança.

Nesta tela escolhemos o método de conexão, selecionei o DHCP, pois vamos criar politicas para que o DHCP Server entregue IP somente a computadores em conformidade.

Nesta tela adicionamos o IP do servidor DHCP que será usado, neste caso o meu servidor DHCP é o próprio servidor NAP, por isso deixarei esta tela como está.

Se você não quer aplicar a política para todos os escopos do DHCP, especifique aqui somente os escopos que irão fazer a validação de NAP, no meu cenário irei usar apenas um escopo, então especificarei os escopos aqui.

Aqui posso especificar o grupo de computadores que terá a política de NAP aplicada, como queremos aplicar a todas as estações da rede, então não fazemos nada nesta tela.

O remediation server é o servidor que irá fazer as correções nas estações quando necessário. Por exemplo, a política de conformidade do NAP obriga que o firewall da estação esteja habilitado para poder receber um IP da LAN, caso não esteja habilitado, o NAP coloca a máquina em quarentena e habilita o firewall da mesma, para depois liberar o acesso a LAN. Em quarentena a máquina que não está em conformidade consegue conectar-se apenas ao remediation server que normalmente é o servidor NAP, mas não consegue conectar-se as outras máquinas da rede.

Aqui definimos quais as ações tomadas pelo NAP em determinadas situações, perceba que a opção “Enable auto-remediation of client computers” está marcada, isso permite que o NAP tente ajustar os computadores fora de conformidade, embaixo a opção “Deny full network to NAP-ineligible client computers.” Informa que as máquinas fora de conformidade devem ter acesso restrito a rede, ou seja, conectam-se normalmente somente ao servidor NAP e não ao resto da rede, neste momento a máquina entra em quarentena.

Tela final, mostrando o resumo da configuração da política de NAP.

Conclusão

Neste tutorial vimos como habilitar a role “Network Access and Policy Service” em um servidor com Windows Server 2008 R2 e como criar um politica de NAP – Network Access Protection para a rede, nos próximos tutoriais de continuação veremos os detalhes existentes na politica criada, como ajustar as exigências de conformidade, aplicar ao DHCP Server e observar o comportamento de uma estação de trabalho Windows 7 em conformidade e em quarentena.

Comentários

Neste espaço você pode utilizar sua rede social preferida para adicionar dicas e/ou qualquer informação adicional para ajudar a comunidade relacionado a este Tutorial.