A imposição NAP (Protecção de Acesso à Rede) para políticas de IPsec (segurança IPsec) para a Firewall do Windows é implementada através de um servidor de certificados de estado de funcionamento, um servidor HRA (Autoridade de Registo de Estado de Funcionamento), um servidor com o NPS (Servidor de Políticas de Rede) e um cliente de imposição IPsec. O servidor de certificados de estado de funcionamento emite certificados X.509 para clientes NAP quando a conformidade é determinada. Estes certificados são então utilizados na autenticação de clientes NAP quando iniciam comunicações IPsec com outros clientes NAP numa intranet.

A imposição IPsec restringe a comunicação na rede aos clientes em conformidade e fornece a implementação mais segura do NAP. Como este método de imposição utiliza IPsec, pode definir os requisitos de comunicações seguras numa base por endereço IP ou por número de porta TCP/UDP.

Requisitos

Para implementar o NAP com IPsec e HRA, tem de configurar os seguintes itens:

  • No NPS, configure a política de pedido de ligação, a política de rede e a política de estado de funcionamento de NAP. Pode configurar estas políticas individualmente através da consola NPS ou pode utilizar o assistente Nova Protecção de Acesso à Rede.

  • Active o cliente de imposição de NAP IPsec e o serviço NAP nos computadores cliente com suporte para NAP.

  • Instale o HRA no computador local ou num computador remoto.

  • Instale e configure o AD CS (Active Directory® Certificate Services) e os Modelos de Certificado.

  • Configure a Política de Grupo e quaisquer outras definições necessárias à implementação.

  • Configure o WSHV (Validação do Estado de Funcionamento da Segurança do Windows) ou instale e configure outros agentes de estado de funcionamento do sistema (SHAs) e validações de estado de funcionamento do sistema (SHVs), dependendo da implementação do NAP.

Se o HRA não estiver instalado no computador local, tem também de configurar o seguinte:

  • Instale o NPS no computador que está a executar HRA.

  • Configure o NPS no servidor NPS de HRA remoto como um proxy RADIUS (Remote Authentication Dial-In User Service) para reencaminhar os pedidos de ligação para o servidor NPS local.

Para mais informações sobre HRA, abra a consola HRA e, em seguida, prima F1 para aceder ao conteúdo da Ajuda do HRA.


Sumário