Pode utilizar a consola Configuração do Cliente NAP para especificar os mecanismos de segurança que um computador cliente utiliza para comunicar com servidores HRA (Autoridade de Registo de Estado de Funcionamento). Além disso, pode utilizar a consola Configuração do Cliente NAP para especificar os servidores HRA com os quais um computador cliente pode comunicar. Um computador cliente tem de comunicar com um servidor HRA para obter um certificado de estado de funcionamento. A NAP com imposição baseada em IPsec (Internet Protocol security) requer um certificado de estado de funcionamento.

Para especificar que mecanismo de segurança é utilizado por um cliente para comunicar com um servidor HRA, tem de configurar a política de pedido. A política de pedido especifica o algoritmo de chave assimétrica, algoritmo hash e fornecedor de serviços de criptografia utilizados pelo computador quando inicia comunicações com um servidor HRA. Pode especificar apenas um algoritmo de chave assimétrica, algoritmo hash e fornecedor de serviços de criptografia num computador cliente.

Quando configura um algoritmo de chave assimétrica, algoritmo hash ou fornecedor de serviços de criptografia, tem de configurar exactamente o mesmo pedido de política no servidor HRA. Por exemplo, se configurar clientes para encriptar comunicações utilizando apenas o algoritmo de chave assimétrica RSA (Rivest-Shamir-Adelman) com um comprimento mínimo de chave de 128, nesse caso terá de configurar os servidores HRA para aceitar comunicações que estejam encriptadas com exactamente o mesmo algoritmo de chave assimétrica e exactamente o mesmo comprimento mínimo da chave. Se os computadores servidor e cliente HRA não estiverem configurados para utilizarem a mesma política de pedido, os servidores HRA não conseguirão comunicar com os computadores cliente e estes poderão ser considerados como não compatíveis, podendo ter a conectividade de rede limitada. Se não configurar as definições de política de pedido num computador cliente, este iniciará o processo de negociação com o servidor HRA utilizando o mecanismo de segurança predefinido para encriptação de comunicações.

Importante

Não deve modificar as definições de política de pedido a menos que tenha testado rigorosamente as definições de política de pedido num ambiente de teste seguro. A alteração de definições de política de pedido pode causar a perda de conectividade de rede dos computadores cliente.

Para especificar com que servidores HRA pretende que um computador cliente comunique, tem de configurar um grupo de servidores fidedignos. Um grupo de servidores fidedignos consiste num ou mais servidores HRA. Se tiver mais do que um servidor HRA num grupo de servidores fidedignos, pode especificar a ordem pela qual os computadores cliente tentarão contactar os servidores. Esta funcionalidade é útil se tiver vários servidores HRA em diferentes domínios ou segmentos de rede e pretender atribuir prioridades aos servidores que um cliente tentará aceder primeiro. Tem de configurar pelo menos um grupo de servidores fidedignos; de outro modo, um computador cliente não saberá como contactar um servidor HRA para obter um certificado de estado de funcionamento.

Configurar Política de Pedido de Cliente NAP

Configurar Grupos de Servidores Fidedignos para Clientes NAP

Referências adicionais


Sumário