A Proteção de Acesso à Rede (NAP) é uma tecnologia de criação, imposição e remediação de diretivas de integridade de cliente incluída no Windows Vista®, Windows Server® 2008, Windows® 7 e Windows Server® 2008 R2. Com a NAP, você pode estabelecer diretivas de integridade que definem requisitos de software, requisitos de atualização de segurança e configurações necessárias para os computadores que se conectam a sua rede.

A NAP impõe diretivas de integridade inspecionando e avaliando a integridade de computadores clientes, limitando o acesso à rede quando computadores clientes forem incompatíveis com a diretiva de integridade e atualizando esses computadores clientes, tornando-os compatíveis, antes de conceder-lhes o acesso total à rede. A NAP impõe diretivas de integridade nos computadores cliente que tentam se conectar a uma rede. A NAP também oferece imposição de conformidade de integridade contínua enquanto um computador cliente está conectado a uma rede.

A NAP é uma plataforma extensível que oferece uma infraestrutura e um conjunto de interface de programação de aplicativo (API) Utilizando o conjunto de API da NAP, você pode adicionar componentes aos clientes da NAP e aos servidores que estiverem executando o Servidor de Diretiva de Rede (NPS) que verificam a integridade do computador, reforçam a diretiva de integridade da rede e corrigem computadores que não sejam compatíveis para que sejam inseridos na diretiva de integridade.

A NAP propriamente dita não fornece componentes para verificar ou corrigir a integridade de um computador. Outros componentes, conhecidos como agentes de integridade do sistema (SHAs) e validadores da integridade do sistema (SHVs), fornecem a inspeção e relatórios do estado de integridade do computador cliente, a validação do estado de integridade do computador cliente comparado com a diretiva de integridade e as definições de configuração para ajudar o computador cliente a ficar compatível com a diretiva de integridade.

O Agente de Integridade de Segurança do Windows (WSHA) está incluído no Windows Vista e Windows 7 como parte do sistema operacional. O Validador de Integridade de Segurança do Windows (WSHV) está incluído no Windows Server 2008 e Windows Server 2008 R2 como parte do sistema operacional. Com o conjunto NAP API, outros produtos também podem implementar SHAs e SHVs para integração com a NAP. Por exemplo, um fornecedor de software antivírus pode usar o conjunto API para criar um SHA e SHV personalizados. Esses componentes podem, então, ser integrados às soluções NAP implantadas por clientes do fornecedor do software.

Se você for um administrador da rede ou do sistema e pretende implantar a NAP, poderá fazê-lo com o WSHA e WSHV que estão incluídos no sistema operacional. Além disso, poderá verificar com outros fornecedores de software se eles fornecem SHAs e SHVs com seus produtos.

Visão geral de NAP

A maioria das organizações cria diretivas de rede que controlam o tipo de hardware e de software que poderá ser implantado em sua rede. Essas diretivas geralmente incluem regras que determinam como os computadores clientes podem ser configurados antes de se conectarem à rede. Por exemplo, muitas organizações exigem que os computadores clientes executem um software antivírus com atualizações recentes instaladas e tenham um firewall de software instalado e habilitado antes da conexão com a rede da organização. Um computador cliente que estiver configurado de acordo com a diretiva de rede da organização poderá ser considerado compatível com a diretiva e, se ele não estiver assim configurado, poderá ser considerado incompatível com a diretiva.

A NAP permite usar o NPS para criar diretivas que definem a integridade do computador cliente. Além disso, ela permite impor as diretivas de integridade de cliente criadas e atualizar automaticamente ou corrigir os computadores clientes compatíveis com NAP para que fiquem em conformidade com a diretiva. A NAP fornece detecção contínua da integridade do computador cliente para proteger contra casos em que um computador cliente é compatível ao se conectar à rede da organização e torna-se incompatível durante a conexão.

A NAP oferece proteção complementar ao computador cliente e à rede da organização, assegurando que os computadores conectados à rede são compatíveis com as diretivas de integridade de cliente e de rede da organização. Isso protege a rede contra elementos prejudiciais introduzidos por computadores clientes, por exemplo, vírus de computador, e protege também os computadores clientes contra elementos prejudiciais que poderão ser introduzidos pela rede à qual estão conectados.

Além disso, a correção automática de NAP reduz o tempo que os computadores clientes incompatíveis ficam impedidos de acessar os recursos da rede da organização. Quando a correção automática estiver configurada e os clientes estiverem em um estado de incompatibilidade, os componentes do cliente NAP poderão rapidamente atualizar o computador usando os recursos que você fornece em uma rede de remediação, permitindo que o cliente, agora compatível, seja rapidamente autorizado pelo NPS a conectar-se à rede.

NPS e NAP

O NPS pode atuar como um servidor de diretivas NAP para todos os métodos de imposição NAP.

Quando você configura o NPS como um servidor de diretivas NAP, o NPS avalia as declarações de integridade (SoH) enviadas por computadores cliente habilitados para NAP que você deseja conectar à rede. Você pode configurar diretivas NAP no NPS que permitam que computadores clientes atualizem a configuração para se tornarem compatíveis com a diretiva de rede da sua organização.

Integridade do computador cliente

A Integridade é definida como informações sobre um computador cliente que a NAP utiliza para determinar se deverá permitir ou negar o acesso do cliente a uma rede. Uma avaliação do status de integridade do computador cliente representa um estado de configuração de um computador cliente em comparação com o estado exigido pela diretiva de integridade.

Um exemplo de medidas de integridade inclui:

  • O status operacional do Firewall do Windows. O firewall está habilitado ou desabilitado?

  • O status da atualização de assinaturas de antivírus. As assinaturas de antivírus são as mais recentes disponíveis?

  • O status da instalação de atualizações de segurança. As atualizações de segurança mais recentes estão instaladas no cliente?

O status da integridade do computador cliente está encapsulado em uma declaração de integridade (SoH), que é emitida pelos componentes do cliente NAP. Os componentes do cliente NAP enviam a SoH para os componentes do servidor NAP para avaliação, a fim de determinar se o cliente é compatível e poderá ter acesso total à rede.

Na terminologia NAP, a verificação de um computador quanto ao cumprimento das exigências de integridade definidas é chamada de validação da diretiva de integridade. O NPS executa a validação da diretiva de integridade para NAP.

Como funciona a imposição de NAP

A NAP impõe diretivas de integridade utilizando componentes do cliente que inspecionam e avaliam a integridade de computadores clientes, com componentes do lado do servidor que limitam o acesso à rede quando computadores clientes são considerados incompatíveis e com componentes do cliente e do servidor que ajudam na atualização de computadores clientes incompatíveis para o acesso total à rede.

Principais processos de NAP

Para ajudar a proteger o acesso à rede, a NAP conta com três processos: validação de diretiva, imposição de NAP e restrição à rede e remediação e compatibilidade contínua.

Validação de diretiva

Com o NPS, você pode criar diretivas de integridade de cliente usando SHVs que permitem que a NAP detecte, imponha e corrija as configurações de computador cliente.

O WSHA e o WSHV oferecem a seguinte funcionalidade para computadores compatíveis com NAP:

  • O computador cliente tem software de firewall instalado e habilitado.

  • O computador cliente tem software antivírus instalado e em execução.

  • O computador cliente tem atualizações de antivírus mais recentes instaladas.

  • O computador cliente tem software antispyware instalado e em execução.

  • O computador cliente tem atualizações de antispyware mais recentes instaladas.

  • O Microsoft Update Services está habilitado no computador cliente.

Além disso, se os computadores clientes compatíveis com NAP estiverem executando o Windows Update Agent e estiverem registrados em um servidor WSUS (Windows Server Update Service), a NAP poderá verificar se as atualizações mais recentes de segurança do software estão instaladas com base em um dos quatro valores possíveis que correspondem às classificações de severidade de segurança da Microsoft Security Response Center (MSRC).

Quando você cria diretivas que definem o status de integridade do computador cliente, as diretivas são validadas pelo NPS. Os componentes do cliente NAP enviam uma declaração de integridade (SoH) para o servidor NPS durante o processo de conexão com a rede. O NPS examina a SoH e a compara com as diretivas de integridade.

Imposição de NAP e restrição da rede

A NAP nega o acesso à rede para computadores clientes incompatíveis ou concede-lhes acesso somente a uma rede especial restrita chamada rede de remediação. Uma rede de remediação permite que computadores clientes acessem servidores de atualização, que fornecem atualizações de software e outros serviços NAP importantes, como servidores de Autoridade de Registro de Integridade (HRA), que são necessários para a compatibilidade dos clientes NAP com a diretiva de integridade.

A configuração da imposição de NAP na diretiva de rede NPS permite usar a NAP para limitar o acesso à rede ou observar o estado de computadores clientes compatíveis com NAP que não estão em conformidade com a diretiva de integridade de rede.

Você pode optar por restringir o acesso, adiar a restrição de acesso ou permitir acesso com configurações de diretiva de rede.

Remediação

Os computadores clientes incompatíveis que são colocados em uma rede restrita podem passar por remediação. Remediação é o processo de atualizar automaticamente um computador cliente para que ele atenda às diretivas de integridade atuais. Por exemplo, uma rede restrita pode conter um servidor FTP (File Transfer Protocol) que atualiza automaticamente as assinaturas de antivírus de computadores clientes incompatíveis que apresentam assinaturas desatualizadas.

Compatibilidade contínua

A NAP pode impor a compatibilidade de integridade em computadores clientes que já estão conectados à rede. Essa funcionalidade é útil para assegurar que uma rede esteja continuamente protegida quando houver mudança nas diretivas de integridade e na integridade dos computadores clientes. Por exemplo, a NAP determinará que o computador cliente está em um estado de incompatibilidade se uma diretiva de integridade exigir que o Firewall do Windows esteja habilitado e um administrador desativar inadvertidamente o firewall em um computador cliente. Em seguida, a NAP desconectará o computador cliente da rede da organização e o conectará à rede de remediação até o Firewall do Windows ser novamente habilitado.

Você pode usar as configurações de NAP nas diretivas de rede NPS para configurar a correção automática, de forma que os componentes do cliente NAP tentem atualizar automaticamente o computador cliente quando ele não estiver compatível. Assim como as configurações da imposição de NAP, a correção automática é configurada nas definições de diretiva de rede.


Sumário