A imposição de NAP para rede virtual privada (VPN) é implantada com um componente servidor e um componente cliente de imposição de VPN. Quando este método de imposição é usado, os servidores VPN podem impor diretivas de integridade se os computadores cliente tentarem se conectar à rede usando uma conexão VPN. A imposição de VPN oferece acesso muito limitado à rede para todos os computadores acessando a rede através de uma conexão VPN.
Observação | |
A imposição de VPN é diferente do Controle de quarentena de acesso à rede, que é um recurso no Windows Server® 2003 e no ISA (Internet Security and Acceleration) Server 2004. |
Requisitos
Para implantar a NAP com VPN, é preciso fazer estas configurações:
-
Instale e configure o serviço Roteamento e Acesso Remoto como um servidor VPN. Configure o servidor executando o NPS como servidor RADIUS primário no Roteamento e Acesso Remoto.
-
No NPS, configure os servidores VPN como clientes RADIUS. Configure também a diretiva de solicitação de conexão, a diretiva de rede e a diretiva de integridade de NAP. Essas diretivas podem ser configuradas individualmente usando o console do NPS ou usando o assistente Novas Diretivas de Proteção de Acesso à Rede.
-
Habilite os clientes de acesso remoto NAP e de imposição EAP nos computadores cliente compatíveis com NAP.
-
Habilite o serviço NAP em computadores cliente compatíveis com NAP.
-
Configure o Validador de Integridade de Segurança do Windows (WSHV) ou instale e configure outros Agentes de Integridade do Sistema (SHAs) e Validadores da Integridade do Sistema (SHVs), dependendo da implantação de NAP.
-
Se você estiver usando PEAP-TLS ou EAP-TLS com cartões inteligentes ou certificados, implante uma infraestrutura de chave pública (PKI) com Serviços de Certificados do Active Directory® (AD CS).
-
Se você estiver usando PEAP-MS-CHAP v2, emita certificados do servidor com o AD CS ou adquira certificados do servidor de uma Autoridade de Certificação (CA) raiz confiável.
Considerações adicionais
Se você implantar o método de imposição de VPN NAP e tiver configurado a imposição de NAP com a opção Permitir acesso total à rede por tempo limitado, quando o tempo expirar os clientes VPN conectados à rede serão automaticamente desconectados, sejam eles compatíveis ou não com a diretiva de integridade.
Após a data e a hora de expiração, os clientes VPN que tentarem se conectar à rede serão colocados em um rede restrita se não forem compatíveis com a diretiva de integridade, enquanto que os clientes compatíveis terão acesso total à rede.