O NAP (Protecção de Acesso à Rede) é uma tecnologia de criação, imposição e remediação de políticas de estado de funcionamento para clientes incluída no Windows Vista®, Windows Server® 2008, Windows® 7 e Windows Server® 2008 R2. A utilização do NAP permite estabelecer políticas de estado de funcionamento que definem aspectos tais como requisitos de software, requisitos de actualização de segurança e definições de configuração necessárias para computadores que estabeleçam ligação com a sua rede.
O NAP impõe as políticas de estado de funcionamento inspeccionando e avaliando o estado de funcionamento dos computadores cliente, restringindo o acesso à rede quando os computadores cliente forem considerados incompatíveis com a política de estado de funcionamento e corrigindo os computadores cliente não compatíveis, de modo a torná-los compatíveis com a política de estado de funcionamento antes de lhes ser concedido acesso total à rede. O NAP impõe políticas de estado de funcionamento nos computadores cliente que estiverem a tentar ligar a uma rede. O NAP também proporciona a imposição contínua de conformidade do estado de funcionamento enquanto um computador cliente estiver ligado a uma rede.
O NAP é uma plataforma extensível que fornece uma infra-estrutura e um conjunto de APIs (Interface de Programação de Aplicações). A utilização do conjunto de APIs de NAP permite adicionar componentes a clientes e servidores NAP com o NPS (Servidor de Políticas de Rede) que verificam o estado de funcionamento do computador, impõem a política de estado de funcionamento da rede e remedeiam computadores não conformes de modo a colocá-los em conformidade com a política de estado de funcionamento.
Por si só, o NAP não fornece componentes para verificar ou remediar o estado de funcionamento do computador. Outros componentes, conhecidos como SHAs (Agentes de Estado de Funcionamento do Sistema) e SHVs (Validação do Estado de Funcionamento do Sistema), fornecem inspecção e criação de relatórios sobre o estado de funcionamento do computador cliente, validação do estado de funcionamento do computador cliente comparativamente à política de estado de funcionamento e definições de configuração destinadas a ajudar a colocar o computador cliente em conformidade com a política de estado de funcionamento.
O WSHA (Agente de Estado de Funcionamento da Segurança do Windows) está incluído no Windows Vista e Windows 7 como parte do sistema operativo. O WSHV (Validação do Estado de Funcionamento da Segurança do Windows) correspondente está incluído no Windows Server 2008 e Windows Server 2008 R2 como parte do sistema operativo. Utilizando o conjunto de APIs do NAP, outros produtos também podem implementar SHAs e SHVs para integração com o NAP. Por exemplo, um fabricante de software antivírus pode utiliza o conjunto de APIs para criar um SHA e SHV personalizados. Em seguida, estes componentes podem ser integrados nas soluções NAP implementadas pelos clientes do fabricante de software.
Se for um administrador de rede ou sistema e tencionar implementar o NAP, poderá fazê-lo com o WSHA e o WSHV incluídos com o sistema operativo. Também poderá contactar outros fornecedores de software para descobrir se estes fornecem SHAs e SHVs para os respectivos produtos.
Descrição geral do NAP
A maior parte das organizações criam políticas de rede que ditam o tipo de hardware e software que pode ser implementado na rede da organização. Estas políticas incluem frequentemente regras para o modo como os computadores cliente podem estar configurados antes de estabelecerem ligação à rede. Por exemplo, muitas organizações requerem que os computadores cliente executem software antivírus com actualizações recentes instaladas, bem como software de firewall instalado e activado antes de estabelecerem ligação à rede da organização. Um computador cliente que esteja configurado de acordo com a política de rede da organização pode visto como estando em conformidade com a política, enquanto que um computador que não esteja configurado de acordo com a política de rede da organização pode ser visto como não estando compatível com a política.
O NAP permite-lhe utilizar o NPS para criar políticas que definem o estado de funcionamento dos computadores clientes. O NAP também lhe permite impor as políticas de estado de funcionamento de clientes criadas por si, bem como actualizar (ou corrigir) automaticamente os clientes compatíveis com o NAP para os tornar compatíveis com a política de estado de funcionamento de clientes. O NAP proporciona a detecção contínua do estado de funcionamento dos computadores cliente, como protecção contra os casos em que um computador cliente é compatível quando estabelece ligação à rede da empresa para torna-se não compatível enquanto está ligado.
O NAP fornece a protecção complementar dos computadores cliente e da rede da organização, garantindo que os computadores que estabelecerem ligação à rede são compatíveis com as políticas de estado de funcionamento da rede da organização e dos clientes. Isto protege a rede contra os elementos prejudiciais introduzidos pelos computadores cliente (tais como vírus informáticos), protegendo simultaneamente os computadores clientes contra os elementos prejudiciais que poderão ser introduzidos pela rede à qual estão a estabelecer ligação.
Para além disso, a remediação automática do NAP reduz a quantidade de tempo que os computadores cliente não compatíveis são impedidos de aceder aos recursos de rede da organização. Quando a remediação automática está configurada e os clientes estão num estado de não conformidade, os componentes de cliente do NAP podem actualizar rapidamente o computador utilizando os recursos fornecidos numa rede de remediação, permitindo que o cliente agora em conformidade seja autorizado pelo NPS a ligar à rede de forma mais rápida.
NPS e NAP
O NPS pode funcionar como um servidor de políticas NAP para todos os métodos de imposição de NAP.
Quando configura o NPS como um servidor de políticas NAP, o NPS avalia as declarações de estado de funcionamento (SoH) enviadas pelos computadores clientes compatíveis com NAP que pretendem estabelecer ligação à rede rede. É possível configurar políticas NAP no NPS que permitem aos computadores cliente actualizar a configuração dos mesmos, de modo a ficarem compatíveis com a política de rede da sua organização.
Estado de funcionamento dos computadores cliente
O estado de funcionamento é definido como as informações sobre um computador cliente que o NAP utiliza para determinar se permite ou nega o acesso do cliente à rede. Uma avaliação do estado de funcionamento do computador cliente representa o estado da configuração de um computador cliente em comparação com o estado exigido pela política de estado de funcionamento.
Os exemplos de avaliações do estado de funcionamento incluem:
-
O estado operacional da Firewall do Windows. A firewall está activada ou desactivada?
-
O estado de actualização das assinaturas do antivírus. As assinaturas do antivírus são as mais recentes disponíveis?
-
O estado de instalação das actualizações de segurança. As actualizações de segurança mais recentes estão instaladas no cliente?
O estado de funcionamento do computador cliente é encapsulado num SoH, emitido pelos componentes de cliente do NAP. Os componentes de cliente do NAP enviam o SoH para os componentes de servidor do NAP para avaliação, determinando se o cliente é compatível e se pode ser-lhe concedido acesso total à rede.
Na terminologia do NAP, dá-se o nome de validação de política de estado de funcionamento ao procedimento que consiste em verificar se um computador satisfaz os requisitos de estado de funcionamento definidos pelo utilizador. O NPS efectua a validação da política de estado de funcionamento para o NAP.
Funcionamento da imposição NAP
O NAP impõe políticas de estado de funcionamento utilizando componentes do lado do cliente que inspeccionam e avaliam o estado de funcionamento dos computadores cliente, componentes do lado do servidor que restringem o acesso à rede quando os computadores cliente são considerados não conformes e componentes do lado do cliente e do lado do servidor que ajudam a remediar os computadores cliente não conformes tendo em vista o acesso total à rede.
Processos-chave do NAP
Para ajudar a proteger o acesso à rede, o NAP depende de três processos: validação de políticas, imposição NAP e restrição da rede e remediação e conformidade constante.
Validação de políticas
A utilização do NPS permite criar políticas de estado de funcionamento para clientes utilizando SHVs que permitem ao NAP detectar, impor e remediar configurações de computadores cliente.
O WSHA e o WSHV fornecem a seguinte funcionalidade para computadores compatíveis com o NAP:
-
O computador cliente tem software de firewall instalado e activado.
-
O computador cliente tem software antivírus instalado e em execução.
-
O computador cliente tem actualizações recentes do antivírus instaladas.
-
O computador cliente tem software anti-spyware instalado e em execução.
-
O computador cliente tem actualizações recentes do anti-spyware instaladas.
-
O Microsoft Update Services está activado no computador cliente.
Para além disso, se os computadores cliente compatíveis com o NAP estiverem a executar o Windows Update Agent e estiverem registados num servidor WSUS (Windows Server Update Service), o NAP pode verificar se as actualizações de segurança de software mais recentes estão instaladas, com base num de quatro valores possíveis que correspondem às classificações de gravidade de segurança do MSRC (Microsoft Security Response Center).
Quando cria políticas que definem o estado de funcionamento dos computadores cliente, as políticas são validadas pelo NPS. Os componentes NAP do lado do cliente enviam um SoH ao servidor NPS durante o processo de ligação à rede. O NPS examina o SoH e compara-o com as políticas de estado de funcionamento.
Imposição NAP e restrição de rede
O NAP nega o acesso à rede a computadores cliente não conformes ou permite-lhes o acesso a apenas uma rede restrita especial denominada rede de remediação. Uma rede de remediação fornece aos computadores cliente o acesso a servidores de remediação, que fornecem actualizações de software, e a quaisquer outros serviços-chave do NAP, tal como os servidores HRA (Autoridade de Registo de Estado de Funcionamento), necessários para colocar os clientes NAP não conformes em conformidade com a política de estado de funcionamento.
A definição de imposição NAP da política de rede do NPS permite-lhe utilizar o NAP para limitar o acesso à rede ou observar o estado dos computadores cliente compatíveis com o NAP que não sejam compatíveis com a política de estado de funcionamento da rede.
Pode optar por restringir o acesso, adiar a restrição de acesso ou permitir o acesso com definições de política de rede.
Remediação
Os computadores cliente não compatíveis que são colocados numa rede restrita podem ser submetidos a remediação. A remediação é o processo de actualização automática de um computador cliente para que este satisfaça as políticas de estado de funcionamento actuais. Por exemplo, uma rede restrita poderá conter um servidor de FTP (File Transfer Protocol) que actualize automaticamente as assinaturas do antivírus dos computadores cliente não compatíveis que tenham assinaturas desactualizadas.
Conformidade constante
O NAP pode impor a compatibilidade do estado de funcionamento dos computadores cliente que já estiverem ligados à rede. Esta funcionalidade é útil para assegurar que uma rede está protegida constantemente, à medida que as políticas de estado de funcionamento são alteradas e o estado de funcionamento dos computadores cliente é alterado. Por exemplo, o NAP determina que o computador cliente está num estado não compatível se uma política de estado de funcionamento requerer que a Firewall do Windows esteja activada e o administrador desactivar acidentalmente a firewall num computador cliente. Nesse caso, o NAP desligará o computador cliente da rede da organização e ligá-lo-á à rede de remediação até que a Firewall do Windows seja novamente ligada.
Pode utilizar as definições NAP nas políticas de rede do NPS para configurar a remediação automática, de modo a que os componentes de cliente do NAP tentem actualizar automaticamente o computador cliente quando este não for compatível. Tal acontece com as definições de imposição NAP, a remediação automática é configurada nas definições de política de rede.