A imposição NAP (Protecção de Acesso à Rede) para políticas de IPsec (segurança IPsec) para a Firewall do Windows é implementada através de um servidor de certificados de estado de funcionamento, um servidor HRA (Autoridade de Registo de Estado de Funcionamento), um servidor com o NPS (Servidor de Políticas de Rede) e um cliente de imposição IPsec. O servidor de certificados de estado de funcionamento emite certificados X.509 para clientes NAP quando a conformidade é determinada. Estes certificados são então utilizados na autenticação de clientes NAP quando iniciam comunicações IPsec com outros clientes NAP numa intranet.
A imposição IPsec restringe a comunicação na rede aos clientes em conformidade e fornece a implementação mais segura do NAP. Como este método de imposição utiliza IPsec, pode definir os requisitos de comunicações seguras numa base por endereço IP ou por número de porta TCP/UDP.
Requisitos
Para implementar o NAP com IPsec e HRA, tem de configurar os seguintes itens:
-
No NPS, configure a política de pedido de ligação, a política de rede e a política de estado de funcionamento de NAP. Pode configurar estas políticas individualmente através da consola NPS ou pode utilizar o assistente Nova Protecção de Acesso à Rede.
-
Active o cliente de imposição de NAP IPsec e o serviço NAP nos computadores cliente com suporte para NAP.
-
Instale o HRA no computador local ou num computador remoto.
-
Instale e configure o AD CS (Active Directory® Certificate Services) e os Modelos de Certificado.
-
Configure a Política de Grupo e quaisquer outras definições necessárias à implementação.
-
Configure o WSHV (Validação do Estado de Funcionamento da Segurança do Windows) ou instale e configure outros agentes de estado de funcionamento do sistema (SHAs) e validações de estado de funcionamento do sistema (SHVs), dependendo da implementação do NAP.
Se o HRA não estiver instalado no computador local, tem também de configurar o seguinte:
-
Instale o NPS no computador que está a executar HRA.
-
Configure o NPS no servidor NPS de HRA remoto como um proxy RADIUS (Remote Authentication Dial-In User Service) para reencaminhar os pedidos de ligação para o servidor NPS local.
Para mais informações sobre HRA, abra a consola HRA e, em seguida, prima F1 para aceder ao conteúdo da Ajuda do HRA.