Utilize este procedimento para verificar se os computadores cliente compatíveis com NAP (Proteção de Acesso à Rede) estão configurados para o método de imposição do protocolo IPsec da NAP. Um computador compatível com NAP é aquele que possui componentes NAP instalados e pode verificar seu estado de integridade ao enviar SoHs (declarações de integridade) para o NPS (Servidor de Diretivas de Rede) para avaliação. Para obter mais informações sobre a NAP, consulte
Observação | |
Estes procedimentos só se aplicarão a computadores cliente NAP executando o Windows Vista®. Outros computadores cliente compatíveis com NAP, como os executam o Windows® XP com Service Pack 3, exigem que a configuração do cliente NAP seja verificado por meio de linha de comando |
Ser membro do grupo Admins. do Domínio, ou equivalente, é o mínimo necessário para concluir esse procedimento. Veja detalhes sobre como usar as contas e as associações de grupos apropriadas em
Verificar os componentes do cliente NAP
Os componentes NAP incluem o serviço agente NAP, um ou mais clientes de imposição de NAP e pelo menos um SHA (agente de integridade do sistema). Outros serviços também podem ser adquiridos caso ofereçam suporte a um SHA instalado. Todos esses componentes funcionam juntos para monitorar continuamente o status de integridade de um computador cliente NAP e oferecer esse status a servidores NAP para avaliação.
Agente NAP
O serviço agente NAP coleta e gerencia informações de integridade no computador cliente. O agente NAP também processa SoHs de todos os SHAs instalados e informa a integridade do cliente para clientes de imposição. O agente NAP deve se manter operacional para permitir que os computadores cliente solicitem ou recebam certificados de integridade.
Para verificar o agente NAP |
-
Clique em Iniciar, em Painel de Controle, em Sistema e Manutenção, em Ferramentas Administrativas e clique duas vezes em Serviços.
-
Na lista de serviços, em Nome, clique duas vezes em Network Access Protection Agent (Agente de Proteção de Acesso à Rede).
-
Verifique se o status do Serviço for Iniciado e se Tipo de inicialização foi definido como Automático.
-
Se o serviço não estiver iniciado, escolha Automático, ao lado de Tipo de inicialização e clique em Iniciar, abaixo de Status do serviço.
-
Clique em OK para fechar a caixa de diálogo Propriedades da Proteção de Acesso à Rede.
-
Feche o console de Serviços.
Observação | |
A reinicialização do serviço agente NAP reinicializará automaticamente os SHAs e tentará adquirir um novo certificado de integridade. Isso pode ser útil na solução de problemas de NAP. |
Cliente de imposição de IPsec da NAP
O cliente de imposição de IPsec da NAP dever ser instalado e habilitado em computadores cliente. O cliente de imposição de NAP solicita acesso a uma rede e comunica o status de integridade de um computador cliente para outros componentes da arquitetura de cliente NAP. O cliente de imposição de IPsec da NAP restringe o acesso a redes protegidas por IPsec ao interagir com o armazenamento de certificados de um computador cliente.
Para verificar o cliente de imposição de IPsec da NAP |
-
Clique em Iniciar, aponte para Todos os Programas, clique em Acessórios e em Executar.
-
Digite napclcfg.msc e pressione ENTER.
-
Na árvore de console, clique em Clientes de Imposição e verifique se o status de IPSec Relying Party (Parte Confiável de IPsec) é Habilitado.
-
Se o status for Desabilitado clique com o botão direito do mouse em IPSec Relying Party no painel de detalhes e clique em Habilitar.
-
Feche o console de configuração do cliente NAP.
Outros serviços
Os SHAs instalados podem depender de outros serviços para fornecerem o status de integridade do cliente. Por exemplo, o WSHA (Agente de Integridade do Sistema do Windows) incluído no Windows Vista e no Windows XP com Service Pack 3 requer que a Central de Segurança esteja habilitada e em execução para o monitoramento e informação do status de integridade do cliente. A Central de Segurança está desabilitada por padrão em um ambiente de domínio. Utilize o procedimento a seguir para habilitar automaticamente a Central de Segurança em um ambiente de domínio.
Para habilitar automaticamente a Central de Segurança em um ambiente de domínio |
-
Clique em Iniciar, aponte para Todos os Programas, clique em Acessórios e em Executar.
-
Digite gpedit.msc e pressione ENTER.
-
Na árvore de console do Editor de Objeto de Diretiva de Grupo Local, abra Diretiva do Computador Local/Configuração do Computador/Modelos Administrativos/Componentes do Windows/Central de Segurança.
-
No painel de detalhes, clique duas vezes em Ativar a Central de Segurança (PCs em domínios somente), clique em Habilitado em OK.
-
Feche o console do Editor de Objeto de Diretiva de Grupo Local.
Verificar a configuração de cliente IPsec
Os clientes NAP devem ser configurados de forma que possam se comunicar com componentes do servidor NAP. Você pode definir essas configurações usando a Diretiva de Grupo, o console da Configuração de Cliente NAP ou a linha de comando. Para o método de imposição de IPsec, as configurações do cliente NAP incluem a Diretiva de Solicitação e os Grupos de Servidores Confiáveis.
Diretiva de solicitação
Não é preciso modificar as configurações padrão da diretiva de solicitação em computadores cliente NAP. Se essas configurações forem alteradas, será importante verificar se configurações semelhantes estão habilitadas em seus servidores NAP. Por padrão, um computador cliente compatível com NAP inicia um processo de negociação com um servidor HRA usando um mecanismo de segurança mutuamente aceitável para criptografar a comunicação. Recomendamos o uso das configurações de diretiva de solicitação padrão.
Para verificar as configurações da diretiva de solicitação |
-
Clique em Iniciar, aponte para Todos os Programas, clique em Acessórios e em Executar.
-
Digite napclcfg.msc e pressione ENTER.
-
Na árvore do console, clique duas vezes em Configurações do Registro de Integridade e clique em Diretiva de Solicitação.
-
No painel de detalhes, clique em Algoritmo de Hash.
-
Verifique se Configuração Escolhida corresponde à configuração padrão de sha1RSA ou se a configuração definida é igual ao algoritmo de hash usado em seus servidores HRA (Autoridade de Registro de Integridade).
-
No painel de detalhes, clique em Provedor de Serviços de Criptografia.
-
Verifique se a Configuração Escolhida corresponde à configuração padrão de Microsoft RSA SChannel Cryptographic Provider (Provedor de Criptografia SChannel RSA da Microsoft) com um Comprimento da Chave 2048. Verifique se essas configurações são iguais às definidas em seus servidores HRA.
-
Feche o console de configuração do cliente NAP.
Grupos de servidores confiáveis
Os grupos de servidores confiáveis são definidos nas configurações de registro de integridade do cliente para que os computadores cliente NAP possam entrar em contato com sites usados pela HRA para o processamento de solicitações de certificados de integridade. Se os grupos de servidores confiáveis não forem configurados ou se forem configurados incorretamente, os computadores cliente NAP não conseguirão adquirir certificados de integridade.
Para verificar os grupos de servidores confiáveis |
-
Clique em Iniciar, Todos os Programas, Acessórios e em Executar.
-
Digite napclcfg.msc e pressione ENTER.
-
Na árvore do console, clique duas vezes em Configurações do Registro de Integridade e clique em Grupos de Servidores Confiáveis.
-
No painel de detalhes, clique no nome de cada grupo de servidores confiáveis da lista para exibir os URLs em URLs Disponíveis. Confirme se esses URLs correspondem a sites em seus servidores HRA usados no processamento de solicitações de certificados de integridade.
-
Clique duas vezes no nome de um grupo de servidores confiáveis para modificar as propriedades ou para alterar a ordem dos URLs.
Observação | |
Um computador cliente NAP tentará obter um certificado de integridade a partir do primeiro URL em todos os grupos de servidores confiáveis configurados, a não ser que aquele servidor tenha sido marcado como indisponível. Para obter mais informações, consulte Verificar a configuração do IIS e Noções básicas sobre os requisitos de autenticação da HRA. |
Rever eventos de cliente NAP
A revisão das informações contidas em eventos de cliente NAP pode ajudá-lo na solução de problemas. Ela também pode ajudá-lo a entender a funcionalidade do cliente NAP.
Para revisar eventos de cliente NAP no Visualizar Eventos |
-
Clique em Iniciar, aponte para Todos os Programas, clique em Acessórios e em Executar.
-
Digite eventvwr.msc e pressione ENTER.
-
Na árvore esquerda, navegue até Visualizar Eventos (Local)\Logs de Aplicativos e Serviços\Microsoft\Windows\Proteção de Acesso à Rede\Operacional.
-
Clique em um evento no painel intermediário.
-
Por padrão, a guia Geral será exibida. Clique na guia Detalhes para exibir informações adicionais.
-
Também é possível clicar com o botão direito do mouse em um evento e clicar em Propriedades do Evento para abrir uma nova janela para a revisão de eventos.