NAP sobre DHCP – Configurando o ambiente para o NAP.

Publicado em:
15/10/2011

Fonte: http://cooperati.com.br

Continuando os artigos do PortalCooperati,

Para que você possa dar início a implantação do NAP de acordo com este artigo, sugiro que você monte o seguinte ambiente:

1 – Servidor Controlador de Domínio (Windows Server 2008) com DNS integrado, configurado com o nome “SERVER1” e com o IP 192.168.0.1 ou o IP que quiser atribuir.

2 – Servidor Membro do domínio (Windows Server 2008), com a função “Serviço de Acesso e Diretivas de Rede” e o serviço de função “Servidor de Diretivas de Rede” instalados. Dê o nome de “SERVER2” e o IP 192.168.0.2.

3 – Um computador cliente compatível com NAP (Windows XP SP3, Windows Vista ou Windows 7) configurado para receber IP dinâmico.

Primeiramente, um resumo do que esperamos desse ambiente.

O objetivo é permitir que o computador cliente receba suas configurações TCP/IP do servidor DHCP somente se o seu Firewall estiver ativado. Do contrário, o NAP fará uma correção automática e ativará o Firewall do cliente, mesmo que o cliente insista em desativá-lo.

Se você reparou bem no nosso ambiente acima, ainda não temos um DHCP configurado no nosso ambiente. Vamos configurar um DHCP e um escopo no “SERVER1”.

Abra o gerenciador de servidores, clique com o botão direito do mouse no nó “Funções” e em seguida em “Adicionar funções”.

Na tela “Antes de começar” clique no botão “Próximo”.

Em “Selecionar Funções do Servidor” marque a opção “Servidor DHCP” e clique em “Próximo”.

Avance até a tela “Selecionar Ligações de Conexão de Rede”. Confirme se o endereço IP exibido está selecionado e clique em “Próximo”.

Em “Especificar Configurações de Sevidor DNS IPv4” preencha os campos “Domínio Pai” com o nome completo que você deu ao seu domínio. No campo DNS preferencial, preencha com o IP do seu servidor DNS.

Avance até a tela “Adicionar ou Editar Escopos DHCP” e clique no botão “Adicionar”.

Preencha o formulário conforme a imagem abaixo. Em seguida clique no botão “OK”.

A partir desse ponto você pode prosseguir até o final da instalação da função DHCP. Mais tarde usarei o console do DHCP para concluir a sua integração com o NAP.

Agora é a hora de configurar o “Servidor de Diretivas de Rede”. Ele está instalado no “SERVER2” e pode ser acessado a partir do menu “Ferramentas Administrativas”.

Aqui começa a nossa odisséia. Na tela inicial do “Servidor de Diretivas de Rede” certifique-se que o nó “NPS (Local)” está selecionado. No painel de conteúdo, selecione a opção “NAP (Proteção de Acesso à Rede)” e clique no link “Configurar NAP”.

Com isso se inicia o processo de configuração do NAP. No “Método de conexão de rede” selecione a opção “Protocolo DHCP”. A caixa de texto “Nome da Diretiva” será preenchida automaticamente, coforme a imagem abaixo. Clique no botão “Avançar”.

Na próxima etapa vamos especificar quais os servidores de imposição NAP estão executando o serviço DHCP. Esses servidores são conhecidos como “Clientes Radius”. Se o servidor DHCP estiver instalado no próprio servidor de Diretivas de Rede, essa etapa pode ser avançada sem maiores configurações. Como no nosso caso o DHCP está no “SERVER1”, vamos configurá-lo. Clique no borão “Adicionar”.

Preencha os campos “Nome amigável” e “Endereço” conforme abaixo. Na sessão “Segredo Compartilhado” eu até preenchi com o valor “123”. No caso do DHCP essa sessão não é relevante. Clique em “OK” e depois em “Avançar”.

Agora é a hora de escolher quais escopos do seu servidor DHCP o NAP será imposto. Para impor em todos os escopos, basta deixar em branco e avançar.

Na etapa seguinte pode-se configurar grupos de usuários e computadores que receberão a diretiva NAP que estamos configurando. Se for deixado em branco, todos os usuários e computadores serão afetados pela diretiva. Clique em “Avançar”.

Na próxima etapa, é a vez de configurar a rede de remediação. Pode ser formada um grupo de computadores que executam os serviços que irão permitir que o cliente possa atingir um estado de integridade. Em ambientes mais complexos, estariam disponíveis um WSUS ou uma conexão com a internet para que o antivírus e anti spyware possam ser atualizados. Também é possível apresentar uma página explicativa para o cliente, indicando como tornar computadores íntegros. Aqui criarei o grupo com o servidor DHCP. Clique em “Novo Grupo…”. Na janela que se abre, digite o valor “Remediacao” na caixa “Nome do grupo” e em seguida clique no botão “Adicionar”.

Preencha os campos “Nome amigável” e “Endereço”. Clique no botão “Resolver”. Clique em “OK” para encerrar as janelas abertas. Clique em “Avançar”.

Como já comentei, uma diretiva NAP é composta por “Validadores de Integridade”. Esses validadores podem exigir do sistema que ele esteja com firewall ativado, atualizações automáticas em dia, antivírus e antispyware instalados e atualizados.

A diretiva pode exigir uma, algumas ou todas essas opções para declarar o computador cliente como íntegro. Isso é configurável pelo administrador. Também é possível configurar a correção automática. Em conjunto com a restrição de acesso à rede corporativa, isso força o cliente a ter um acesso limitado. O que acontece é que o cliente recebe um IP com máscara /32 e uma rota para alcançar a rede de remediação. Se a correção automática for aplicada com sucesso, o status do computador passa a ser de integridade e seu acesso à rede corporativa é reestabelecido.

 Agora é só avançar e concluir a configuração do NAP.

Pronto uma parte do NAP já está funcional, falta explicar as diretivas que foram criadas com o uso do nosso assistente de configuração que acabamos de encerrar.

[  ]’s

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s