NAP sobre DHCP – Configurando o servidor DHCP

Publicado em:
15/10/2011

Fonte: http://cooperati.com.br

 

Olá, pessoal!

Enfim, hoje concluímos a nossa missão de imposição do NAP sobre o DHCP. Neste artigo do PortalCooperati, será mostrado como configurar o seu servidor DHCP para aplicar a Proteção de Acesso à Rede e definir qual o nível de acesso à rede para o cliente caso o DHCP esteja indisponível.

 

A configuração nessa parte é bem simples e requer alguns poucos passos.

Inicialmente, no console do seu Servidor DHCP, expanda o nó IPV4. A Proteção de Acesso à Rede pode ser habilitada para todos os escopos de uma só vez ou para cada escopo individualmente. Para isso basta que sejam exibidas as propriedades do nó IPV4 (para impor o NAP a todos os escopos) ou as propriedades do escopo desejado.

No nosso exemplo, o NAP será aplicado a todos os escopos.

Originalmente, as propriedades do DHCP na guia “Proteção de Acesso à Rede” são apresentadas como a seguir:

Para a configuração do NAP, na seção “Configurações de Proteção de Acesso à Rede” clique no botão “Habilitar em todos os escopos”.

Em seguida, defina o comportamento para “Acesso Restrito” quando o servidor DHCP estiver indisponível e aplique as configurações.

As propriedades ficarão como na imagem abaixo:

Esses simples passos finalizam o processo de imposição de NAP sobre DHCP.

Com isso, cada cliente DHCP, antes de receber suas configurações TCP, deverá estar em concordância com as diretivas de rede e os validadores de integridade do sistema (que definimos para exigir somente o firewall do Windows ativado).

O próximo post será um vídeo demonstrando o NAP em ação.

[  ]’s

Anúncios

NAP sobre DHCP – Configurando as diretivas de grupo.

Publicado em:
15/10/2011

Fonte: http://cooperati.com.br

Olá pessoal!

Continuando a nossa saga pelo mundo do NAP, no artigo de hoje mostro como configurar corretamente as diretivas de imposição NAP aos clientes.

 

Para preparar o cenário, no console do Active Directory criei uma unidade organizacional chamama “Clientes NAP”, movi a conta de computador “CLIENT1″ para essa OU e criei um grupo global de segurança chamado “g_ClientesNAP”. Logicamente, associei a conta “CLIENT1″ ao grupo “g_ClientesNAP”.

O conjunto de diretivas que vamos criar será aplicado exatamente nessa unidade organizacional.

Usando o console GPMC.MSC crie e vincule à OU “Clientes NAP” uma diretiva chamada “Imposição NAP”.

Essa diretiva deve aplicar as seguintes configurações:

Ativar a Central de Segurança nos computadores clientes. A Central de Segurança é o componente responsável por alertar quando, por exemplo, o firewall estiver desabilitado ou o antivírus estiver desatualizado. Representa um dos meios que o NAP utiliza para declarar se o computador cliente está íntegro.

Configurações do computador > Diretivas > Modelos Administrativos > Componentes do Windows > Central de Segurança > Ativar a Central de Segurança (PCs em domínios somente)

O próximo passo é habilitar o serviço de “Agente de Proteção de Acesso à Rede” para que seja iniciado automaticamente.

Configuração do Computador > Diretivas > Configurações do Windows > Configurações de Segurança > Serviços do Sistema > Agente de Proteção de Acesso à Rede.

Por fim, habilitamos o Cliente de Imposição de Quarentena DHCP.

Configurações do Computador > Diretivas > Configurações do Windows > Proteção de Acesso à Rede > Configuração de Cliente NAP > Clientes de Imposição > Cliente de Imposição de Quarentena DHCP

Pronto. Ao receber essas diretivas, os clientes do domínio já serão avaliados pelas diretivas NPS para receber ou não as configurações TCP/IP fornecidas pelo DHCP.

Agora só falta configurar o DHCP para que seu escopo seja vinculado ao NAP e esse é o assunto do próximo artigo.

[ ]’s

Vídeo – NAP sobre DHCP: Entendendo as Diretivas de Integridade.

Publicado em:
15/10/2011

Fonte: http://cooperati.com.br

Olá, pessoal!

Achei muito interessante este Vídeo, dá para termos uma boa visão sobre a diretiva de integridade.

Dando sequencia aos artigos do PortalCooperati,sobre o assunto que tratam de NAP sobre DHCP, neste vídeo será demonstrado as Diretivas de Integridade e como elas se correlacionam com os SHVs (System Health Validator ou Validador de Integridade do Sistema) que é quem realmente dita as exigências para um cliente acessar a rede.

Narrativa de CarlosLauff

No próximo artigo será mostrado como configurar o ambiente para impor as Diretivas de Integridade aos clientes.

[  ]’s

NAP sobre DHCP–Entendendo as diretivas: Diretivas de Rede

Publicado em:
15/10/2011

Fonte: http://cooperati.com.br

 

Olá, pessoal!

Dando continuidade aos nossos estudos sobre NAP, neste artigo vou focar nas configurações das Diretivas de Rede. 

Hoje, vou detalhar as Diretivas de Rede, que basicamente definem quem pode se conectar à rede e as circunstâncias onde a conexão é ou não possível.

Basicamente temos três configurações a tratar:

NAP DHCP Compatível

Representa o conjunto de configurações que serão aplicadas ao cliente se a declaração de integridade estiver em conformidade com as as Diretivas de Integridade. Normalmente essas configurações permitem o acesso total à rede.

Na guia “Visão Geral” vemos que a diretiva está habilitada e configurada para conceder acesso. Nessa configuração também está definio que as propriedades da guia “Discagem” das propriedades do usuário no Active Directory serão ignoradas.

 

Na guia “Condições” são avaliadas as Diretivas de Integridade (ainda veremos essas diretivas de forma detalhada) as quais o computador cliente deve estar em conformidade para que seu acesso à rede seja permitido.

 

Na guia “Restrições” tratamos os métodos de autenticação de usuário para acesso à rede. Como no nosso cenário não necessitamos de autenticação (lembrem-se que estamos somente aplicando as configurações TCP/IP através de um DHCP e isso ocorre antes de qualquer solicitação de autenticação de usuário) a única opção marcada é a “Executar somente verificação de integridade da máquina”.

 

E por fim, a guia “Configurações”, que contém a ação da imposição do NAP caso todas as condições dessa diretiva sejam respeitadas. Reparem que o acesso a rede é total.

 

Essas configurações garantem que o computador cliente será capaz de receber suas configurações do Servidor DHCP e acessar a rede sem problemas.

 

NAP DHCP Incompatível

Quando o NAP recebe do computador cliente a declaração de integridade e elas não correspondem às exigências da Diretiva de Integridade, o computador cliente é considerado incompatível (o melhor aqui seria usar o tempo em “não conformidade”).

Nesse caso, devemos definir qual será o acesso concedido à rede para o computador cliente, se há um grupo de computadores de remediação e se vamos aplicar a correção automática. A guia “Configurações” apresentará as opções definidas conforme a figura abaixo.

 

 

NAP DHCP Incompatível com NAP

O nome dessa diretiva pode confundir um pouco com a diretiva “NAP DHCP Incompatível” (aquela, que eu disse que seria melhor se fosse chamada de “não conformidade”). Na verdade, essa diretiva se refere aos clientes cujos sitemas operacionais não suportam a imposição NAP, ou seja, qualquer versão do Windows anterior ao XP com Service Pack 3. Aqui podemos avaliar duas opções: negar o acesso (usando a guia “Visão Geral”) ou permitir acesso limitado, conforme vimos na guia “Configurações” da figura anterior

Com isso acredito que as configurações das diretivas de solicitação de acesso e de rede não sejam mais tão misteriosas assim. Para fechar o assunto diretivas, só falta entender como funcionam as Diretivas de Integridade.

[  ]’s

 

NAP sobre DHCP–Entendendo as diretivas de rede: Diretivas de Solicitação de Conexão

Publicado em:
15/10/2011

Fonte: http://cooperati.com.br

Dando continuidade aos artigos do PortalCooperati relativos ao NAP sobre DHCP, vou mostrar hoje como as diretivas de rede influenciam no ambiente proposto.  Clicando em Ferramentas Adiministrativas, Servidor de Diretivas de Rede, você já será capaz de visualizar as diretivas criadas pelo assistente de configuração NAP.

O relevante aqui é compreender como as diretivas de rede são configuradas em cada uma das suas particularidades.

As diretivas são divididas em:

  • Diretivas de Solicitação de Conexão: designam se as solicitações de conexão serão encaminhadas para um servidor RADIUS remoto ou processadas localmente. As diretivas definidas aqui são processadas por ordem de processamento. Quando uma diretiva encontra uma condição adequada, aplica a permissão ou negação à solicitação de conexão. Essa condição poder ser, por exemplo, um intervalo de dia e horário onde a solicitação pode ser feita.
  • Diretivas de Rede: determinam quem pode se conectar à rede e as circunstâncias as quais a conexão é ou não possível. Também obedecem uma ordem sequencial de processamento até que uma condição adequada seja atendida. Em conjunto com as Diretivas de Integridade, essa condição pode por exemplo verificar se um determinado usuário pertence a um grupo, se o intervalo de dia e horário está sendo respeitado, entre outras características. No nosso cenário, nenhuma solicitação de autenticação será feita. O que queremos é que somente as Diretivas de Integridade sejam verificadas.
  • Diretivas de Integridade: aqui é onde definimos quais as condições necessárias devem ser atendidas para que o computador cliente seja considerado apto a receber as configurações por DHCP. Essas condições podem ser a exigência do Firewall ativado, antivírus e antispyware ativos, atualizações aplicadas.

A seguir, uma seqüência de imagens apresentando a Diretiva de Solicitação de Conexão criada automaticamente pelo assistente NAP.

As propriedades da direitiva “NAP DHCP” são mostradas em seguida, exibindo o conteúdo das guias “Visão Geral”, “Condições” e “Configurações”.

Em “Visão Geral” é definido o nome da diretiva, o estado da diretiva e o método de conexão de rede.

Na guia “Condições” podemos facilmente perceber que essa diretiva será aplicada em todos os dias e em todos os horários. Por exemplo, se você definir os dias de segunda a sexta, das 08:00 h até as 20:00 h, qualquer solicitação de conexão fora desse horário fará com que esta diretiva seja ignorada. Se houver mais diretivas na seqüência, a próxima será processada.

Em “Configurações” podemos definir os métodos de autenticação que serão usados. Como já disse anteriormente, nosso cenário não trata de conexões de usuário e, portanto, não há metodo de autenticação.

Essas são as informações básicas sobre solicitação de conexão. um pouco de curiosidade e uma boa interpretação vai ajudar a entender o que cada uma das opções representa como condição adicional, métodos de autenticação e onde a autenticação ocorrerá (ou se ela é desnecessária, como no caso do NAP sobre DHCP).

A configuração do NAP é relativamente fácil, mas como o objetivo aqui é dissecar os detalhes, estou subdividindo os artigos para que não fiquem longos e massantes.

No próximo artigo vou detalhar as Diretivas de Rede e suas configurações.

[  ]’s