O recurso Serviços de Acesso e Diretiva de Rede fornece as seguintes soluções de conectividade de rede:

  • NAP (Proteção de Acesso à Rede). NAP é uma tecnologia de criação, imposição e remediação de diretivas de integridade de cliente incluída no sistema operacional do cliente Windows Vista® e no sistema operacional do Windows Server® 2008. Com o NAP, os administradores do sistema podem estabelecer e impor diretivas de integridade, que podem incluir requisitos de software, requisitos de atualização de segurança, requisitos de configuração de computador e outras configurações. Os computadores cliente que não estejam em conformidade com a diretiva de integridade podem ter acesso de rede restrito até que sua configuração esteja atualizada e em conformidade com a diretiva. Caso escolha implementar NAP, clientes que não estejam em conformidade poderão ser atualizados automaticamente para que os usuários possam reobter logo o acesso total à rede sem precisar atualizar ou reconfigurar manualmente seus computadores.

  • Acesso seguro com e sem fio. Quando você implanta 802.1X pontos de acesso sem fio, o acesso seguro sem fio oferece aos usuários sem fio um método de fácil implantação para autenticação segura baseada em senha. Quando você implanta chaves de autenticação 802.1X, o acesso com fio permite proteger sua rede assegurando a autenticação dos usuários da intranet antes que possam se conectar à rede ou obter um endereço IP usando DHCP.

  • Soluções de acesso remoto. Com soluções de acesso remoto você pode oferecer aos usuários VPN (rede virtual privada) e acesso discado tradicional à rede da sua organização. Também é possível conectar filiais à sua rede com soluções VPN, implantar em sua rede roteadores de software com recursos integrais e compartilhar conexões de Internet na intranet.

  • Gerenciamento centralizado de diretivas de rede com servidor e proxy RADIUS. Em vez de configurar a diretiva de acesso à rede em cada servidor de acesso, como pontos de acesso sem fio, chaves de autenticação 802.1X, servidores VPN e servidores dial-up, você pode criar em um único local diretivas que especifiquem todos os aspectos das solicitações de acesso à rede, inclusive quem tem permissão para se conectar, quando pode fazê-lo e o nível de segurança a ser usado para conectar-se à sua rede.

Serviços de função para serviços de acesso e diretiva de rede

Quando você instala os serviços de acesso e diretiva de rede, os seguintes serviços de função estão disponíveis:

  • NPS (Servidor de Diretivas de Rede). O NPS é a implementação pela Microsoft de um servidor e proxy RADIUS. Você pode usar o NPS para gerenciar de modo centralizado o acesso à rede através de diversos servidores de acesso à rede, incluindo pontos de acesso sem fio, servidores VPN, servidores dial-up e chaves de autenticação 802.1X. Além disso, você pode usar o NPS para implantar autenticação de senha segura com EAP protegido (PEAP)-MS-CHAP v2 para conexões sem fio. O NPS também contém componentes-chave para a implantação do NAP na sua rede.

    As tecnologias a seguir podem ser implantadas após a instalação do serviço de função NPS:

    • Servidor de diretivas de integridade de NAP. Quando você configura o NPS como servidor de diretivas de integridade de NAP, o NPS avalia instruções sobre integridade (SoH) enviadas por computadores cliente que oferecem suporte a NAP e que desejam se comunicar na rede. Você pode configurar diretivas de NAP no NPS que permitam que os computadores cliente atualizem sua configuração para que sejam compatíveis com a diretiva de rede da sua organização.

    • IEEE 802.11 sem fio. Usando o snap-in NPS MMC, você pode configurar diretivas de solicitação de conexão baseadas em 802.1X para acesso à rede de cliente sem fio IEEE 802.11. Pode também configurar pontos de acesso sem fio como clientes RADIUS (Remote Authentication Dial-In User Service) no NPS e usar o NPS como servidor RADIUS para processar solicitações de conexão, além de executar autenticação, autorização e estatísticas para conexões sem fio 802.11. Você pode integrar totalmente o acesso sem fio IEEE 802.11 com o NAP ao implantar uma infraestrutura de autenticação 802.1X sem fio, de modo que o status de integridade de clientes sem fio seja verificado quanto à diretiva de integridade antes que os clientes sejam autorizados a se conectar à rede.

    • IEEE 802.3 com fio. Usando o snap-in NPS MMC, você pode configurar diretivas de solicitação de conexão baseadas em 802.1X para acesso à rede de cliente sem fio IEEE 802.3. Pode também configurar chaves compatíveis com 802.1X como clientes RADIUS no NPS e usar o NPS como servidor RADIUS para processar solicitações de conexão, além de executar autenticação, autorização e estatísticas para conexões Ethernet 802.3. É possível integrar o acesso de cliente com fio IEEE 802.3 com NAP ao implantar uma infraestrutura de autenticação 802.1X com fio.

    • Servidor RADIUS. O NPS executa de modo centralizado autenticação, autorização e contabilização para conexões sem fio, com chave de autenticação, discadas de acesso remoto e VPN. Quando você usa o NPS como servidor RADIUS, configura servidores de acesso à rede, como pontos de acesso sem fio e servidores VPN, como clientes RADIUS no NPS. Configura também diretivas de rede que o NPS usa para autorizar solicitações de conexão; também é possível configurar estatísticas RADIUS de modo que o NPS registre informações sobre estatísticas em arquivos de registro no disco rígido ou em um banco de dados Microsoft® SQL Server™.

    • Proxy RADIUS. Quando você usa o NPS como proxy RADIUS, configura diretivas de solicitação de conexão que informam ao servidor NPS que solicitações de conexão devem ser encaminhadas a outros servidores RADIUS e a que servidores RADIUS você deseja encaminhar solicitações de conexão. Também é possível configurar o NPS para que encaminhe dados de estatística a serem registrados por um ou mais computadores de um grupo de servidores RADIUS remotos.

  • Roteamento e acesso remoto. Com o recurso de roteamento e acesso remoto, você pode implantar serviços de acesso remoto discado e de protocolos múltiplos LAN a LAN, LAN a WAN, VPN e conversão de endereço de rede (NAT)

    As tecnologias a seguir podem ser implantadas durante a instalação do serviço de função Roteamento e Acesso Remoto:

    • Serviço de Acesso Remoto. Usando o Serviço de Acesso Remoto, você pode implantar o protocolo PPTP, SSTP ou L2TP com conexões VPN do protocolo IPsec para fornecer aos usuários finais acesso remoto à rede da sua organização. Pode também criar uma conexão VPN site a site entre dois servidores situados em diferentes locais. Cada servidor é configurado com Roteamento e Acesso Remoto para enviar dados privados com segurança. A conexão entre dois servidores pode ser persistente (sempre ativada) ou por demanda (discagem por demanda).

      O Acesso Remoto também fornece acesso remoto discado para oferecer suporte a usuários móveis que estejam discando para intranets de uma organização. O equipamento dial-up instalado no servidor que executa Roteamento e Acesso Remoto responde às solicitações de conexão recebidas de clientes da rede dial-up. O servidor de acesso remoto atende à chamada, autentica e autoriza o chamador e transfere os dados entre o cliente da rede dial-up e a intranet da organização.

    • Roteamento. O Roteamento é formado por um software completo e uma plataforma aberta para roteamento e serviço de rede de Internet. Ele oferece serviços de roteamento para empresas em ambientes de rede local (LAN) e de rede de longa distância (WAN).

      Quando você implanta o recurso NAT, o servidor que executa o Roteamento e Acesso Remoto é configurado para compartilhar uma conexão de Internet com computadores na rede privada e fazer a conversão do tráfego entre a rede pública e a rede privada. Usando NAT, os computadores da rede privada ganham uma certa proteção, pois o roteador com NAT configurado não encaminha o tráfego proveniente da Internet à rede privada, a menos que um cliente de rede privada tenha solicitado essa ação ou que o tráfego seja explicitamente permitido.

      Quando você implanta VPN e NAT, o servidor que executa o Roteamento e Acesso Remoto é configurado para fornecer NAT à rede privada e aceitar conexões VPN. Os computadores na Internet não poderão determinar os endereços IP dos computadores na rede privada. No entanto, os clientes VPN poderão conectar-se à rede privada como se estivessem conectados fisicamente à mesma rede.

  • Autoridade de Registro de Integridade (HRA). HRA é um componente do recurso NAP que emite certificados de integridade para clientes aprovados na verificação da diretiva de integridade executada pelo NPS com o uso do SoH cliente. O recurso HRA é usado somente com o método de imposição NAP IPsec.

  • Protocolo HCAP. O HCAP permite integrar sua solução Microsoft NAP com o Cisco Network Access Control Server. Quando você implanta o HCAP com NPS e NAP, o NPS pode executar avaliação de integridade do cliente de clientes de acesso Cisco 802.1X.

Gerenciando a diretiva de rede e a função do servidor de Serviços de Acesso

As ferramentas a seguir são fornecidas para gerenciar a função do servidor de Serviços de Acesso:

  • Snap-in NPS MMC. Use o NPS MMC para configurar um servidor RADIUS, proxy RADIUS ou tecnologia NAP.

  • Comandos Netsh para NPS. Os comandos Netsh para NPS fornecem um conjunto de comandos totalmente equivalente a todas as configurações disponíveis através do snap-in NPS MMC. Os comandos Netsh podem ser executados manualmente no prompt Netsh ou em scripts de administrador.

  • Snap-in HRA MMC. Use o HRA MMC para designar a autoridade de certificação (CA) usada pelo HRA para obter certificados de integridade para computadores cliente e para definir o servidor NPS para o qual o HRA envia SoHs para verificação com base na política de integridade.

  • Comandos Netsh para HRA. Os comandos Netsh para HRA fornecem um conjunto de comandos totalmente equivalente a todas as configurações disponíveis através do snap-in HRA MMC. Os comandos Netsh podem ser executados manualmente no prompt Netsh ou em scripts de autoria do administrador.

  • Snap-in MMC do Gerenciamento de Cliente NAP. Você pode usar o snap-in do Gerenciamento de Cliente NAP para fazer configurações de segurança e de interface de usuário em computadores cliente que ofereçam suporte à arquitetura NAP.

  • Comandos Netsh para configuração de clientes NAP. Os comandos Netsh para NAP fornecem um conjunto de comandos totalmente equivalente a todas as configurações disponíveis através do snap-in do Gerenciamento de Cliente NAP. Os comandos Netsh podem ser executados manualmente no prompt Netsh ou em scripts de autoria do administrador.

  • Snap-in MMC de roteamento e acesso remoto. Use esse snap-in MMC para configurar um servidor VPN, um servidor de rede dial-up, um roteador, NAT, VPN eNAT, ou una conexão VPN site a site.

  • Comandos Netsh para acesso remoto. Os comandos Netsh para acesso remoto fornecem um conjunto de comandos totalmente equivalente a todas as configurações de acesso remoto disponíveis através do snap-in MMC de roteamento e acesso remoto. Os comandos Netsh podem ser executados manualmente no prompt Netsh ou em scripts de administrador.

  • Comandos Netsh para roteamento. Os comandos Netsh para roteamento fornecem um conjunto de comandos totalmente equivalente a todas as configurações de roteamento disponíveis através do snap-in MMC de roteamento e acesso remoto. Os comandos Netsh podem ser executados manualmente no prompt Netsh ou em scripts de administrador.

  • Diretivas de Rede sem Fio (IEEE 802.11) - Console de Gerenciamento de Diretiva de Grupo (GPMC). A extensão de Diretivas de Rede sem Fio (IEEE 802.11) Policies automatiza a configuração de redes sem fio em computadores com drivers de adaptador de rede sem fio que ofereçam suporte ao Serviço de Configuração Automática de LAN Sem Fio (Serviço de Configuração Automática de WLAN). Você pode usar a extensão de Diretivas de Rede sem Fio (IEEE 802.11) no Console de Gerenciamento de Diretiva de Grupo para especificar configurações para clientes sem fio do Windows XP e do Windows Vista. As extensões de Diretiva de Grupo das Diretivas de Rede sem Fio (IEEE 802.11) incluem configurações sem fio globais, a lista de redes preferenciais, configurações WPA (Wi-Fi Protected Access) e IEEE 802.1X.

    Quando estão definidas, as configurações são baixadas para clientes sem fio do Windows que sejam membros do domínio. As configurações sem fio feitas por essa diretiva são parte da Diretiva de Grupo para Configuração de Computador. Por padrão, as Diretivas de Rede sem Fio (IEEE 802.11) não são configuradas nem habilitadas.

  • Comandos Netsh para rede de área local sem fio (WLAN). Netsh WLAN é uma alternativa ao uso da Diretiva de Grupo para configurar a conectividade sem fio e a segurança do Windows Vista. Você pode usar os comandos Netsh wlan para configurar o computador local ou vários computadores com o uso de um script de logon. Você também pode usar os comandos Netsh wlan para exibir configurações da Diretiva de Grupo e administrar configurações sem fio de WISP (Wireless Internet Service Provider) e do usuário.

    A interface Netsh sem fio tem os seguintes benefícios:

    • Suporte em modo misto: Permite que os administradores configurem clientes para oferecerem suporte a diversas opções de segurança. Por exemplo, um cliente pode ser configurado para oferecer suporte aos padrões de autenticação WPA2 e WPA. Isso permite que o cliente use WPA2 para se conectar a redes que ofereçam suporte a WPA2 e usar WPA para se conectar a redes que ofereçam suporte somente a WPA.

    • Bloqueio de redes indesejáveis: Os administradores podem bloquear e ocultar o acesso a redes sem fio não corporativas adicionando redes ou tipos de redes à lista de redes impedidas. Do mesmo modo, os administradores podem permitir o acesso a redes sem fio corporativas.

  • Diretivas de Rede com Fio (IEEE 802.3) - Console de Gerenciamento de Diretiva de Grupo (GPMC). Você pode usar as Diretivas de Rede com Fio (IEEE 802.3) para especificar e modificar configurações para clientes Windows Vista equipados com adaptadores de rede e drivers que ofereçam suporte ao Serviço de Configuração Automática de Rede com Fio. As extensões da Diretiva de Grupo de Diretivas de Rede sem Fio (IEEE 802.11) incluem configurações globais com fio e IEEE 802.1X. Essas configurações incluem todo o conjunto de itens de configuração de rede com fio com as guias Geral e Segurança.

    Quando estão definidas, as configurações são baixadas para clientes sem fio do Windows que sejam membros do domínio. As configurações sem fio feitas por essa diretiva são parte da Diretiva de Grupo para Configuração de Computador. Por padrão, as Diretivas de Rede com Fio (IEEE 802.3) não são configuradas nem habilitadas.

  • Comandos Netsh para rede de área local com fio (LAN). A interface Netsh LAN é uma alternativa ao uso da Diretiva de Grupo no Windows Server 2008 para configurar a conectividade com fio e a segurança do Windows Vista. Você pode usar os comandos Netsh LAN para configurar o computador local, ou usar os comandos de scripts de logon para configurar vários computadores. Pode também usar os comandos Netsh lan para exibir Diretivas de Rede com Fio (IEEE 802.3) e administrar configurações de rede com fio de clientes 1x.

Recursos adicionais

Para saber mais sobre Serviços de Acesso e Diretiva de Rede, abra um dos seguintes snap-ins MMC e pressione F1 para exibir a Ajuda:

  • Snap-in NPS MMC

  • Snap-in MMC de roteamento e acesso remoto.

  • Snap-in HRA MMC

Sumário