A imposição NAP (Protecção de Acesso à Rede) para VPN (Rede Privada Virtual) é implementada através de um componente de servidor de imposição PVN e um componente de cliente de imposição VPN. A utilização deste método de imposição permite aos servidores VPN impor uma política de estado de funcionamento quando os computadores cliente tentarem aceder à rede utilizando uma ligação VPN. A imposição VPN fornece um acesso limitado à rede seguro para todos os computadores que acedam à rede através de uma ligação VPN.
Nota | |
A imposição VPN é diferente do Controlo de Quarentena de Acesso à Rede, uma funcionalidade do Windows Server® 2003 e do ISA (Internet Security and Acceleration) Server 2004. |
Requisitos
Para implementar o NAP com PVN, tem de configurar os seguintes itens:
-
Instalar e configurar o serviço Encaminhamento e Acesso Remoto como um servidor VPN. Configure o servidor com o NPS (Servidor de Políticas de Rede) como o servidor RADIUS (Remote Authentication Dial-In User Service) primário no Encaminhamento e Acesso Remoto.
-
No NPS, configure os servidores VPN como clientes RADIUS. Terá também de configurar a política de pedido de ligação, a política de rede e a política de estado de funcionamento de NAP. Pode configurar estas políticas individualmente através da consola NPS ou pode utilizar o assistente Nova Protecção de Acesso à Rede.
-
Active o Acesso Remoto NAP e os clientes de imposição EAP nos computadores cliente compatíveis com NAP.
-
Active o serviço NAP nos computadores clientes compatíveis com NAP.
-
Configure o WSHV (Validação do Estado de Funcionamento da Segurança do Windows) ou instale e configure outros SHAs (agentes de estado de funcionamento do Sistema) e SHVs (validações do estado de funcionamento do sistema), dependendo da implementação NAP.
-
Se estiver a utilizar o PEAP-TLS (Protected Extensible Authentication Protocol-Transport Layer Security) ou EAP-TLS com smart cards ou certificados, implemente um PKI (Infra-estrutura de Chaves Públicas) com o AD CS (Serviços de Certificados do Active Directory®).
-
Se estiver a utilizar o PEAP-MS-CHAP v2 (Protected Extensible Authentication Protocol-Microsoft Challenge Handshake Authentication Protocol version 2), emita certificados de servidor com o AD CS ou adquira certificados de servidor de uma autoridade de certificação (AC) de raiz fidedigna.
Considerações adicionais
Se implementar o método de imposição VPN NAP e tiver configurado a imposição NAP com a opção Permitir acesso total à rede durante um período de tempo limitado, os clientes VPN que estiverem ligados à rede quando o período de expiração for alcançado serão automaticamente desligados, quer estejam ou não compatíveis com a política de estado de funcionamento.
Após a data e hora de expiração, os clientes VPN que tentarem ligar à rede serão colocados numa rede restrita se não forem compatíveis com a política de estado de funcionamento, enquanto que os clientes compatíveis poderão ter acesso total à rede.