A HRA (Autoridade de Registro de Integridade) oferece um serviço para a plataforma NAP (Proteção de Acesso à Rede) que normalmente é chamado de autoridade de registro em uma PKI (infra-estrutura de chave pública) X.509. Como uma autoridade de registro, a HRA é responsável pela validação de credenciais e pelo encaminhamento de uma solicitação de certificado para uma CA (autoridade de certificação) em nome do cliente. O HRA valida solicitações de certificados ao fazer uma verificação no NPS (Servidor de Diretivas de Rede) para determinar se o cliente NAP é compatível com os requisitos de integridade da rede. Se o cliente for compatível, a HRA solicita um tipo especial de certificado da autoridade de certificação, o certificado de integridade. O certificado de integridade é usado pelos computadores cliente NAP para a comunicação em uma rede protegida por IPsec. Assim, a HRA funciona como um servidor de imposição de NAP para o método de imposição de IPsec da NAP.
Conceitos importantes
Para compreender a função da HRA em uma implantação da NAP, revise os conceitos a seguir.
-
Certificados de integridade
Certificados X.509 emitidos para computadores cliente NAP que são usados para oferecer provas de que eles atendem os requisitos de integridade da rede. O computador cliente NAP obtém um certificado de integridade ao fornecer uma declaração do status de sua integridade, chamada de SoH (declaração de integridade), à HRA. O cliente NAP irá monitorar continuamente o status de sua integridade e excluir o certificado de integridade ao se tornar não compatível. Os certificados de integridade podem ser usados na autenticação de clientes NAP quando iniciam comunicações protegidas por IPsec com outros clientes NAP em uma intranet. A imposição de IPsec da NAP limita a comunicação com clientes NAP baseados em IPsec ao impedir tentativas de comunicação de entrada enviadas de computadores que não possuem certificados de integridade.
-
Autoridades de certificação da NAP
Os servidores que executam o AD CS (Serviços de Certificados do Active Directory®) que hospedam os certificados X.509 e os emitem para clientes NAP quando determinam que os clientes atendem os requisitos de integridade da rede. Você deve especificar uma ou mais autoridades de certificação que irão emitir certificados de integridade NAP. Para obter mais informações, consulte Configurar a autoridade de certificação NAP e Verificar a configuração da autoridade de certificação.
-
Diretiva de solicitação da HRA
As configurações que determinam como clientes podem se comunicar com a HRA ao solicitarem certificados de integridade. Você pode personalizar a diretiva de solicitação personalizando as configurações da diretiva criptográfica e da diretiva de transporte. Você não precisa modificar as configurações da diretiva de solicitação HRA padrão. Recomendamos a utilização das configurações padrão. Se você optar por alterá-las, é importante definir configurações idênticas nos servidores HRA e nos computadores cliente NAP. Para obter mais informações, consulte Noções básicas sobre a diretiva de solicitação da HRA, Configurar a diretiva criptográfica da HRA e Configurar a diretiva de transporte da HRA.
-
IIS (Serviços de Informações da Internet)
Um conjunto de serviços baseados na Internet que é instalado automaticamente quando você instala a HRA. O serviço IIS oferece uma interface HTTP/HTTPS para clientes NAP entrarem em contato com o servidor HRA e solicitarem certificados de integridade. Ele processa essas solicitações usando uma extensão da interface ISAPI que pode ser fornecida para usuários anônimos ou restrita a usuários autenticados no domínio. Para obter mais informações, consulte Noções básicas sobre os requisitos de autenticação da HRA e Verificar a configuração do IIS.
-
NPS (Servidor de Diretivas de Rede)
A implementação feita pela Microsoft de um servidor e proxy RADIUS (Remote Authentication Dial-In User Service). Se o seu servidor ainda não estiver executando o NPS, ele será automaticamente instalado junto com a HRA. O NPS deve ser configurado em seu servidor HRA como um proxy NPS ou como um servidor de diretivas de integridade NAP. Quando configurar o NPS como um servidor de diretivas de integridade NAP, você também deverá definir as diretivas e configurações NAP, incluindo:
-
Diretivas de solicitação de conexão: conjuntos de condições e de configurações que validam solicitações para acesso à rede e especificam onde essa validação será executada.
-
Diretivas de rede: conjuntos de condições, restrições e configurações que permitem a você designar quem poderá se conectar à rede.
-
Diretivas de integridade: requisitos de integridade do sistema que definem os SHVs que serão usados na validação da configuração de computadores que tentarem se conectar à sua rede.
-
SHVs (validadores de integridade do sistema): uma contraparte do software de servidor de diretiva de integridade NAP de um SHA (agente de integridade do sistema). Os SHVs definem requisitos de configuração para computadores que tentam se conectar à sua rede.
-
Diretivas de solicitação de conexão: conjuntos de condições e de configurações que validam solicitações para acesso à rede e especificam onde essa validação será executada.
Quando você configurar o NPS como um proxy RADIUS, deverá verificar a conectividade da rede com os grupos de servidores RADIUS remotos e validar sua configuração como servidores de diretivas de integridade NAP. Para obter mais informações, consulte Verificar a configuração do NPS.