Os Serviços de Política e Acesso de Rede fornecem as seguintes soluções de conectividade de rede:

  • Protecção de Acesso à Rede (NAP). A Protecção de Acesso à Rede (NAP) é uma tecnologia de criação, imposição e remediação de políticas de estado de funcionamento para clientes que é incluída no sistema operativo cliente Windows Vista® e no sistema operativo Windows Server® 2008. Com a protecção NAP, os administradores de sistema podem estabelecer e impor automaticamente políticas de estado de funcionamento que podem incluir requisitos de software, requisitos de actualização da segurança, configurações de computador necessárias e outras definições. Os computadores cliente que não estão em conformidade com a política de estado de funcionamento podem ter o acesso à rede restringido até a respectiva configuração ser actualizada e ficar em conformidade com a política. Consoante a forma como decide implementar a protecção NAP, os clientes que não estão em conformidade podem ser actualizados automaticamente para que os utilizadores voltem a ter acesso total à rede sem ser necessário actualizar ou reconfigurar manualmente os respectivos computadores.

  • Acesso com e sem fios protegido. Quando implementa pontos de acesso sem fios 802.1X, o acesso sem fios protegido fornece um método de autenticação seguro, baseado em palavra-passe, fácil de implementar aos utilizadores sem fios. Quando implementa comutadores de autenticação 802.1X, o acesso com fios permite proteger a rede, garantindo que os utilizadores da intranet são autenticados antes de poderem ligar à rede ou obter um endereço IP utilizando DHCP.

  • Soluções de acesso remoto. Com as soluções de acesso remoto, pode fornecer aos utilizadores acesso à rede privada virtual (VPN) e acesso telefónico tradicional à rede da empresa. Também é possível ligar as sucursais à rede com soluções de VPN, implementar routers de software avançados na sua rede e partilhar ligações à Internet através da intranet.

  • Gestão centralizada de políticas de rede com servidor e proxy RADIUS. Em vez de configurar a política de acesso à rede em cada servidor de acesso à rede, como por exemplo pontos de acesso sem fios, comutadores de autenticação 802.1X, servidores VPN e servidores de acesso telefónico, é possível criar políticas numa única localização que especifiquem todos os aspectos dos pedidos de ligação à rede, incluindo quem pode ligar, quando se pode ligar e o nível de segurança que terão de utilizar para ligar à rede.

Serviços de função para Serviços de Política e Acesso de Rede

Quando instala Serviços de Política e Acesso de Rede, ficam disponíveis os seguintes serviços de função:

  • Servidor de Políticas de Rede (NPS). O NPS é a implementação Microsoft de um servidor e proxy RADIUS. Pode utilizar o NPS para gerir de forma centralizada o acesso à rede através de um conjunto de servidores de acesso à rede, incluindo pontos de acesso sem fios, servidores VPN, servidores de acesso telefónico e comutadores de autenticação 802.1X. Além disso, pode utilizar o NPS para implementar a autenticação protegida de palavras-passe com o protocolo Protected Extensible Authentication Protocol (PEAP)-MS-CHAP v2 para ligações sem fios. O NPS contém também componentes chave para implementar a protecção NAP na sua rede.

    As tecnologias seguintes podem ser implementadas após a instalação do serviço de função NPS:

    • Servidor de políticas de estado de funcionamento NAP. Quando configura o NPS como um servidor de políticas de estado de funcionamento NAP, o NPS avalia declarações de estado de funcionamento (SoH) enviadas por computadores cliente com suporte NAP que pretendem comunicar na rede. É possível configurar políticas NAP no NPS para permitir aos computadores cliente actualizar a sua configuração para que fiquem em conformidade com a política de rede da empresa.

    • IEEE 802.11 sem Fios. Utilizando o snap-in MMC do NPS, é possível configurar políticas de pedidos de ligação baseadas em 802.1X para acesso à rede de clientes sem fios IEEE 802.11. Também é possível configurar pontos de acesso sem fios como clientes RADIUS (Remote Authentication Dial-In User Service) no NPS, e utilizar o NPS como um servidor RADIUS para processar pedidos de ligação, bem como efectuar autenticação, autorização e gestão de contas para ligações sem fios 802.11. Pode integrar completamente o acesso sem fios IEEE 802.11 com o NAP quando implementa uma infra-estrutura de autenticação 802.1X sem fios, para que o estado de funcionamento dos clientes sem fios seja verificado contra as políticas de estado de funcionamento antes de ser permitido que os clientes liguem à rede.

    • IEEE 802.3 com Fios. Utilizando o snap-in MMC do NPS, é possível configurar políticas de pedidos de ligação baseadas em 802.1X para acesso à rede Ethernet de clientes com fios IEEE 802.3. Também é possível configurar comutadores compatíveis com 802.1X como clientes RADIUS no NPS, e utilizar o NPS como um servidor RADIUS para processar pedidos de ligação, bem como efectuar autenticação, autorização e gestão de contas para ligações Ethernet 802.3. Pode integrar completamente o acesso de clientes com fios IEEE 802.com o NAP quando implementa uma infra-estrutura de autenticação 802.1X com fios.

    • Servidor RADIUS. O NPS efectua a autenticação, autorização e gestão de contas centralizada de ligações para comutador de autenticação sem fios, e ligações telefónicas e VPN de acesso remoto. Quando utiliza o NPS como um servidor RADIUS configura servidores de acesso à rede, tais como pontos de acesso sem fios e servidores VPN, como clientes RADIUS no NPS. Também pode configurar políticas de rede que o NPS utiliza para autorizar pedidos de ligação, e pode ainda configurar a gestão de contas RADIUS para que o NPS registe as informações de gestão de contas em ficheiros de registo no disco rígido local ou numa base de dados do Microsoft® SQL Server™.

    • Proxy RADIUS. Quando utiliza o NPS como um proxy RADIUS, configura as políticas de pedidos de ligação que informam o servidor NPS sobre quais os pedidos de ligação a encaminhar para outros servidores RADIUS, bem como quais os servidores RADIUS para onde deseja encaminhar os pedidos de ligação. É ainda possível configurar o NPS para encaminhar os dados de gestão de contas a registar por um ou vários computadores num grupo remoto de servidores RADIUS.

  • Encaminhamento e Acesso Remoto. Com o Encaminhamento e Acesso Remoto, é possível implementar serviços de acesso remoto por VPN e acesso telefónico, bem como serviços de encaminhamento multiprotocolo LAN para LAN, LAN para WAN, VPN (Rede Privada Virtual) e NAT (Tradução de Endereços de Rede).

    As tecnologias seguintes podem ser implementadas durante a instalação do serviço de função Encaminhamento e Acesso Remoto:

    • Serviço de Acesso Remoto. Utilizando Encaminhamento e Acesso Remoto, é possível implementar os protocolos PPTP (Point-to-Point Tunneling Protocol), SSTP (Secure Socket Tunneling Protocol) ou L2TP (Layer Two Tunneling Protocol) com ligações VPN de segurança IPsec para fornecer aos utilizadores finais acesso remoto à rede da sua empresa. Pode também criar uma ligação VPN local a local entre dois servidores em localizações diferentes. Cada servidor está configurado com Encaminhamento e Acesso Remoto para enviar dados privados de forma segura. A ligação entre os dois servidores pode ser persistente (sempre ligada) ou a pedido (marcação a pedido).

      O Acesso Remoto fornece igualmente acesso telefónico remoto tradicional para suportar utilizadores móveis ou domésticos que acedam telefonicamente às intranets de uma empresa. O equipamento de acesso telefónico instalado no servidor que executa o Encaminhamento e Acesso Remoto responde aos pedidos de ligação a receber de clientes de rede de acesso telefónico. O servidor de acesso remoto atende a chamada, autentica e autoriza o chamador e transfere dados entre o cliente de rede de acesso telefónico e a intranet da empresa.

    • Encaminhamento. O encaminhamento fornece um router de software completo e uma plataforma aberta para encaminhamento e internetworking. Oferece serviços de encaminhamento para empresas em ambientes de rede local (LAN) e rede alargada (WAN).

      Ao implementar a NAT, o servidor que executa o Encaminhamento e Acesso Remoto é configurado para partilhar uma ligação à Internet com computadores na rede privada e para traduzir tráfego entre o respectivo endereço público e a rede privada. Utilizando NAT, os computadores da rede privada obtêm algum grau de protecção, uma vez que o router com a NAT configurada não reencaminha tráfego da Internet para a rede privada, a menos que um cliente da rede privada o tenha solicitado ou que o tráfego seja explicitamente permitido.

      Ao implementar VPN e NAT, o servidor que executa o Encaminhamento e Acesso Remoto é configurado para fornecer NAT à rede privada e para aceitar ligações VPN. Os computadores na Internet não conseguirão determinar os endereços IP dos computadores na rede privada. Contudo, os clientes VPN conseguirão ligar-se a computadores na rede privada como se estivessem fisicamente ligados à mesma rede.

  • Autoridade de Registo de Estado de Funcionamento (HRA). A HRA é um componente NAP que emite certificados de estado de funcionamento para clientes que passem na verificação da política de estado de funcionamento efectuada pelo NPS utilizando o cliente SoH. A HRA só é utilizada com o método de imposição de IPsec NAP.

  • Protocolo de Autorização de Credenciais de Anfitrião (HCAP). O protocolo HCAP permite integrar a sua solução Microsoft NAP com o Cisco Network Access Control Server. Ao implementar o protocolo HCAP com NPS e NAP, o NPS pode efectuar a avaliação do estado de funcionamento do cliente e a autorização de clientes de acesso Cisco 802.1X.

Gerir a função de servidor dos Serviços de Política e Acesso de Rede

As ferramentas seguintes são fornecidas para gerir a função de servidor dos Serviços de Política e Acesso de Rede:

  • Snap-in MMC do NPS. Utilize a MMC do NPS para configurar um servidor RADIUS, proxy RADIUS ou tecnologia NAP.

  • Comandos Netsh para NPS. Os comandos Netsh para NPS fornecem um conjunto de comandos equivalente a todas as definições de configuração disponíveis através do snap-in MMC do NPS. Os comandos Netsh podem ser executados manualmente na linha de comandos Netsh ou em scripts de administrador.

  • Snap-in MMC da HRA. Utilize a MMC da HRA para designar a autoridade de certificação (AC) que a HRA utiliza para obter certificados de estado de funcionamento para computadores cliente e para definir o servidor NPS para o qual a HRA envia SoHs de clientes para verificação contra a política de estado de funcionamento.

  • Comandos Netsh para HRA. Os comandos Netsh para HRA fornecem um conjunto de comandos equivalente a todas as definições de configuração disponíveis através do snap-in MMC da HRA. Os comandos Netsh podem ser executados manualmente na linha de comandos Netsh ou em scripts criados por administradores.

  • Snap-in MMC de Gestão de Clientes NAP. É possível utilizar o snap-in Gestão de Clientes NAP para configurar definições de segurança e da interface de utilizador em computadores cliente que suportem a arquitectura NAP.

  • Comandos Netsh de configuração de definições de cliente NAP. Os comandos Netsh para definições de cliente NAP fornecem um conjunto de comandos equivalente a todas as definições de configuração disponíveis através do snap-in Gestão de Clientes NAP. Os comandos Netsh podem ser executados manualmente na linha de comandos Netsh ou em scripts criados por administradores.

  • Snap-in MMC de Encaminhamento e Acesso Remoto. Utilize este snap-in MMC para configurar um servidor VPN, um servidor de acesso telefónico à rede, um router, NAT, VPN e NAT ou uma ligação VPN local a local.

  • Comandos Netsh para acesso remoto. Os comandos Netsh para acesso remoto fornecem um conjunto de comandos equivalente a todas as definições de configuração de acesso remoto disponíveis através do snap-in MMC de Encaminhamento e Acesso Remoto. Os comandos Netsh podem ser executados manualmente na linha de comandos Netsh ou em scripts de administrador.

  • Comandos Netsh para encaminhamento. Os comandos Netsh para encaminhamento fornecem um conjunto de comandos equivalente a todas as definições de configuração de encaminhamento disponíveis através do snap-in MMC de Encaminhamento e Acesso Remoto. Os comandos Netsh podem ser executados manualmente na linha de comandos Netsh ou em scripts de administrador.

  • Políticas de Rede sem Fios (IEEE 802.11) - Consola de Gestão de Políticas de Grupo (GPMC). A extensão de Políticas de Rede sem Fios (IEEE 802.11) automatiza a configuração das definições de rede sem fios em computadores com controladores de placas de rede sem fios que suportem o Serviço de Configuração Automática de Rede sem Fios (serviço WLAN Autoconfig). É possível utilizar a extensão de Políticas de Rede sem Fios (IEEE 802.11) na Consola de Gestão de Políticas de Grupo para especificar definições de configuração de clientes sem fios do Windows XP e/ou Windows Vista. As extensões da Política de Grupo de Políticas de Rede sem Fios (IEEE 802.11) incluem definições sem fios globais, a lista de redes preferidas, definições de WPA (Wi-Fi Protected Access) e definições de IEEE 802.1X.

    Quando configuradas, as definições são transferidas para clientes sem fios do Windows que sejam membros do domínio. As definições sem fios configuradas por esta política fazem parte da Política de Grupo de Configuração do Computador. Por predefinição, as Políticas de Rede sem Fios (IEEE 802.11) não são configuradas nem activadas.

  • Comandos Netsh para rede local sem fios (WLAN). Os comandos Netsh WLAN são uma alternativa à utilização da Política de Grupo para configurar as definições de conectividade e de segurança sem fios do Windows Vista. Os comandos Netsh wlan podem ser utilizados para configurar o computador local, ou para configurar vários computadores utilizando um script de início de sessão. Também pode utilizar os comandos Netsh wlan para visualizar as definições de Política de Grupo sem fios e para administrar definições de WISP (fornecedor de serviço Internet sem fios) e de utilizador sem fios.

    A interface Netsh sem fios apresenta as seguintes vantagens:

    • Suporte de modo misto: permite aos administradores configurar clientes para suportar múltiplas opções de segurança. Por exemplo, um cliente pode ser configurado para suportar ambos os padrões de autenticação WPA2 e WPA. Isto permite que o cliente utilize o padrão WPA2 para ligar a redes que suportem WPA2, e utilize o padrão WPA para ligar a redes que apenas suportem WPA.

    • Bloquear redes indesejáveis: os administradores podem bloquear e ocultar o acesso a redes sem fios não empresariais, adicionando redes ou tipos de redes à lista de redes negadas. Da mesma forma, os administradores podem permitir o acesso a redes sem fios empresariais.

  • Políticas de Rede com Fios (IEEE 802.3) - Consola de Gestão de Políticas de Grupo (GPMC). É possível utilizar as Políticas de Rede com Fios (IEEE 802.3) para especificar e modificar definições de configuração de clientes do Windows Vista equipados com controladores e placas de rede que suportem o Serviço de Configuração Automática de Rede com Fios. As extensões da Política de Grupo de Políticas de Rede sem Fios (IEEE 802.11) incluem definições com fios e de IEEE 802.1X globais. Estas definições incluem o conjunto completo de itens de configuração com fios associados aos separadores Geral e Segurança.

    Quando configuradas, as definições são transferidas para clientes sem fios do Windows que sejam membros do domínio. As definições sem fios configuradas por esta política fazem parte da Política de Grupo de Configuração do Computador. Por predefinição, as Políticas de Rede com Fios (IEEE 802.3) não são configuradas nem activadas.

  • Comandos Netsh para rede local com fios (LAN). A interface Netsh LAN é uma alternativa à utilização da Política de Grupo no Windows Server 2008 para configurar as definições de conectividade e de segurança com fios do Windows Vista. Pode utilizar a linha de comandos Netsh LAN para configurar o computador local, ou utilizar os comandos em scripts de início de sessão para configurar vários computadores. Também é possível utilizar os comandos Netsh lan para visualizar Políticas de Rede com Fios (IEEE 802.3) e para administrar definições de clientes com fios 1x.

Recursos Adicionais

Para obter mais informações sobre Serviços de Política e Acesso de Rede, abra um dos seguintes snap-ins MMC e prima F1 para visualizar a Ajuda:

  • Snap-in MMC do NPS

  • Snap-in MMC de Encaminhamento e Acesso Remoto

  • Snap-in MMC da HRA