Os grupos de servidores de remediação são utilizados para especificar servidores que estão disponíveis para clientes de Protecção de Acesso à Rede (NAP) não conformes para fins de remediação do seu estado de funcionamento, de modo a estarem em conformidade com os requisitos de estado de funcionamento. O tipo de servidores de remediação necessários depende dos requisitos de estado de funcionamento e dos métodos de acesso à rede.
Os servidores de remediação não se limitam a fornecer actualizações a computadores não conformes. Também podem fornecer serviços de rede que os computadores não conformes necessitam para actualizar o seu estado de funcionamento ou para efectuar um conjunto limitado de tarefas enquanto se encontram num estado restrito. Por exemplo, um servidor de remediação pode fornecer serviços DHCP a computadores que foram colocados numa VLAN não conforme. Os servidores de remediação também podem alojar Web sites que fornecem instruções que os utilizadores podem seguir para tornar os seus computadores conforme.
Os servidores de remediação podem estar acessíveis a computadores conformes e não conformes ou apenas a computadores não conformes. Os métodos para fornecer acesso a servidores de remediação dependem do método de imposição NAP.
Imposição IPsec
Numa estrutura de imposição de segurança IPsec (Internet Protocol security), os servidores de remediação devem ser colocados na rede de limite lógico de IPsec. Tem de emitir certificados de isenção NAP para servidores de remediação e configurar a política IPsec de modo a que estes possam comunicar livremente com computadores não conformes. Colocar servidores de remediação num grupo de servidores de remediação na consola NPS não tem qualquer efeito sobre o acesso a estes servidores quando utiliza a NAP com a imposição IPsec.
Imposição 802.1X
Numa estrutura de imposição 802.1X, o posicionamento de servidores de remediação depende de se são utilizadas as VLANs (Virtual LANs) ou as listas de controlo de acesso (ACLs) para restringir o acesso à rede a clientes não conformes. Os pontos de imposição NAP podem suportar ambos ou apenas um destes métodos.
-
Imposição 802.1X com VLANs. Os servidores de remediação devem ser colocados numa VLAN não conforme ou deve ser fornecido o acesso através de métodos de encaminhamento entre VLANs. Se for necessário os servidores de remediação estarem acessíveis a computadores cliente NAP conformes, é colocado um servidor de remediação numa porta de ramal ou de duplo anfitrião para fornecer acesso a várias VLANs.
-
Imposição 802.1X com ACLs. O acesso a computadores não conforme está restringido apenas aos endereços IP e números de porta de serviço de servidores de remediação.
Colocar servidores de remediação num grupo de servidores de remediação na consola NPS não tem qualquer efeito sobre o acesso a estes servidores, se utilizar NAP com a imposição 802.1X.
Imposição VPN
Numa estrutura de imposição VPN, estão disponíveis dois métodos para fornecer acesso a servidores de remediação: grupos de servidores de remediação e filtros IP. Ambos estes métodos podem ser utilizados para fornecer clientes NAP não conformes com acesso a servidores de remediação. Quando configura um grupo de servidores de remediação, é automaticamente concedido acesso aos computadores cliente NAP não conformes para o endereço IP de cada servidor na lista. Os filtros IP têm a vantagem adicional de permitirem que especifique que o acesso seja concedido apenas a um número de porta de serviço especificado.
Importante | |
Se não estiverem configurados grupos de servidores de remediação ou filtros IP numa política de rede não conforme para imposição VPN, é concedido o acesso de rede completo a computadores cliente NAP não conformes. |
Imposição DHCP
Numa estrutura de imposição DHCP, é automaticamente concedido acesso aos computadores cliente NAP não conformes com rotas de anfitrião estáticas sem classe a cada membro de dispositivo configurado num grupo de servidores de remediação utilizando a consola NPS. Se os servidores de remediação estiverem localizados numa sub-rede diferente da sub-rede na qual os clientes NAP aparecem, o servidor DHCP utiliza a opção Router 003 da classe NAP predefinida para fornecer rotas de anfitrião estáticas para servidores de remediação a computadores não conformes. O dispositivo de encaminhamento configurado nesta opção de âmbito tem de ser capaz de encaminhar pedidos de clientes NAP não conformes para o servidor de remediação. Também pode configurar rotas de anfitrão estáticas sem classe para servidores de remediação, utilizando a opção de âmbito 121 na classe NAP predefinida.
Imposição de Gateway de RD
A NAP com imposição de Gateway de Ambiente de Trabalho Remoto (RD Gateway) não suporta a utilização de grupos de servidores de remediação. Se forem necessários servidores de remediação, têm de ser disponibilizados a computadores cliente antes de se ligarem ao servidor de imposição RD Gateway.