O seu portal de estudos

NAP sobre DHCP – Configurando o ambiente para o NAP.

Posted by Carlos Lauff em 6 de julho de 2011

Olá, pessoal!

No meu último post “Tudo que você sempre quis saber sobre NAP e não tinha pra quem perguntar” comecei a falar sobre a função do NAP dentro do ambiente de rede. Para hoje eu tinha programado fazer um vídeo mostrando passo a passo todo o processo de implantação do NAP no modo mais simples: o NAP sobre DHCP. Porém, senhores, a vida é uma caixinha de surpresas. Minha voz resolveu ficar offline e eu não consegui contratar um narrador com uma voz tão melíflua quanto a minha. Então, vamos de capturas de tela mesmo!

Para que você possa dar início a implantação do NAP de acordo com este artigo, sugiro que você monte o seguinte ambiente:

1 – Servidor Controlador de Domínio (Windows Server 2008) com DNS integrado, configurado com o nome “SERVER1” e com o IP 192.168.0.1.

2 – Servidor Membro do domínio (Windows Server 2008), com a função “Serviço de Acesso e Diretivas de Rede” e o serviço de função “Servidor de Diretivas de Rede” instalados. Dê o nome de “SERVER2” e o IP 192.168.0.2.

3 – Um computador cliente compatível com NAP (Windows XP SP3, Windows Vista ou Windows 7) configurado para receber IP dinâmico.

Primeiramente, um resumo do que esperamos desse ambiente.

O objetivo é permitir que o computador cliente receba suas configurações TCP/IP do servidor DHCP somente se o seu Firewall estiver ativado. Do contrário, o NAP fará uma correção automática e ativará o Firewall do cliente, mesmo que o cliente insista em desativá-lo.

Se você reparou bem no nosso ambiente acima, ainda não temos um DHCP configurado no nosso ambiente. Vamos configurar um DHCP e um escopo no “SERVER1”.

Abra o gerenciador de servidores, clique com o botão direito do mouse no nó “Funções” e em seguida em “Adicionar funções”.

Na tela “Antes de começar” clique no botão “Próximo”.

Em “Selecionar Funções do Servidor” marque a opção “Servidor DHCP” e clique em “Próximo”.

 

Avance até a tela “Selecionar Ligações de Conexão de Rede”. Confirme se o endereço IP exibido está selecionado e clique em “Próximo”.

 

Em “Especificar Configurações de Sevidor DNS IPv4” preencha os campos “Domínio Pai” com o nome completo que você deu ao seu domínio. No campo DNS preferencial, preencha com o IP do seu servidor DNS.

 

Avance até a tela “Adicionar ou Editar Escopos DHCP” e clique no botão “Adicionar”.

 

Preencha o formulário conforme a imagem abaixo. Em seguida clique no botão “OK”.

 

A partir desse ponto você pode prosseguir até o final da instalação da função DHCP. Mais tarde usarei o console do DHCP para concluir a sua integração com o NAP.

Agora é a hora de configurar o “Servidor de Diretivas de Rede”. Ele está instalado no “SERVER2” e pode ser acessado a partir do menu “Ferramentas Administrativas”.

Aqui começa a nossa odisséia. Na tela inicial do “Servidor de Diretivas de Rede” certifique-se que o nó “NPS (Local)” está selecionado. No painel de conteúdo, selecione a opção “NAP (Proteção de Acesso à Rede)” e clique no link “Configurar NAP”.

 

Com isso se inicia o processo de configuração do NAP. No “Método de conexão de rede” selecione a opção “Protocolo DHCP”. A caixa de texto “Nome da Diretiva” será preenchida automaticamente, coforme a imagem abaixo. Clique no botão “Avançar”.

 

Na próxima etapa vamos especificar quais os servidores de imposição NAP estão executando o serviço DHCP. Esses servidores são conhecidos como “Clientes Radius”. Se o servidor DHCP estiver instalado no próprio servidor de Diretivas de Rede, essa etapa pode ser avançada sem maiores configurações. Como no nosso caso o DHCP está no “SERVER1”, vamos configurá-lo. Clique no borão “Adicionar”.

 

Preencha os campos “Nome amigável” e “Endereço” conforme abaixo. Na sessão “Segredo Compartilhado” eu até preenchi com o valor “123”. No caso do DHCP essa sessão não é relevante. Clique em “OK” e depois em “Avançar”.

 

Agora é a hora de escolher quais escopos do seu servidor DHCP o NAP será imposto. Para impor em todos os escopos, basta deixar em branco e avançar.

 

Na etapa seguinte pode-se configurar grupos de usuários e computadores que receberão a diretiva NAP que estamos configurando. Se for deixado em branco, todos os usuários e computadores serão afetados pela diretiva. Clique em “Avançar”.

 

Na próxima etapa, é a vez de configurar a rede de remediação. Pode ser formada um grupo de computadores que executam os serviços que irão permitir que o cliente possa atingir um estado de integridade. Em ambientes mais complexos, estariam disponíveis um WSUS ou uma conexão com a internet para que o antivírus e anti spyware possam ser atualizados. Também é possível apresentar uma página explicativa para o cliente, indicando como tornar computadores íntegros. Aqui criarei o grupo com o servidor DHCP. Clique em “Novo Grupo…”. Na janela que se abre, digite o valor “Remediacao” na caixa “Nome do grupo” e em seguida clique no botão “Adicionar”.

 

Preencha os campos “Nome amigável” e “Endereço”. Clique no botão “Resolver”. Clique em “OK” para encerrar as janelas abertas. Clique em “Avançar”.

 

Como já comentei, uma diretiva NAP é composta por “Validadores de Integridade”. Esses validadores podem exigir do sistema que ele esteja com firewall ativado, atualizações automáticas em dia, antivírus e antispyware instalados e atualizados. A diretiva pode exigir uma, algumas ou todas essas opções para declarar o computador cliente como íntegro. Isso é configurável pelo administrador. Também é possível configurar a correção automática. Em conjunto com a restrição de acesso à rede corporativa, isso força o cliente a ter um acesso limitado. O que acontece é que o cliente recebe um IP com máscara /32 e uma rota para alcançar a rede de remediação. Se a correção automática for aplicada com sucesso, o status do computador passa a ser de integridade e seu acesso à rede corporativa é reestabelecido.

 

Agora é só avançar e concluir a configuração do NAP.

Ainda falta um pouco para concluir a nossa configuração. Hoje procurei focar mais na configuração do NAP. Na próxima semana (espero que minha voz dê o ar da graça) pretendo explicar as diretivas que foram criadas com o uso do nosso assistente de configuração que acabamos de encerrar.

Sei que é maldade fazê-los esperar até o próximo artigo… Mas quem disse que a vida é justa? rs… Aproveitem para estudar a configuração do NAP. Mandem seus comentários com dúvidas e sugestões.

Um grande abraço a todos os amigos leitores. E se você ainda não o fez, vai lá e assina o portal. Também estamos no Twitter @portalCooperati. Meu Twitter pessoal é @CalLauff.

Até a próxima!

Anúncios

11 Respostas to “NAP sobre DHCP – Configurando o ambiente para o NAP.”

  1. Nathan said

    Olá…

    Estou estudando para 70-642 e esse post vai me ajudar bastante!

    Espero ver mais da série NAP antes da prova…xD

    Abraço

  2. No servidor de “remediação”, quais servidores são mais usuais (wsus, antivírus,…)???

    E por boas praticas, é melhor colocar uma rede só para “remediação” ou ha outra maneira de fazer com que seus servidores internos possam ser usados para esse fim sem correrem risco de serem infectados?

    Lauff desculpe dar uma de adv do diabo… mas as duvidas dominam minha mente rsrsrs sobre esse assunto.

    Parabéns pelo posts… como o amigo assim tb estou estudando para esse exame…
    []’s

    • Olá, Rodrigo.

      A remediação vai ser composta por serviços que possam corrigir as não conformidades exigidas pela sua validação de integridade. Por exemplo, se você exigiu atualizações em dia, você deve prover um servidor WSUS. Se exigiu antivírus, deve prover um meio de o cliente se conectar a Internet para se manter atualizado.

      Se possível, crie uma rede de remediação. No nosso caso, como estou aplicando o NAP por DHCP, coloquei o endereço do servidor DHCP para remediação.

      O cliente em não conformidade recebe um endereço IP com máscara /32 (255.255.255.255). Dessa forma ele fica naturalmente isolado. Para alcançar a rede de remediação é acrescentada uma rota no adaptador de rede local do cliente.

      Você pode constatar isso com o comando ROUTE PRINT no cliente.

      No próximo artigo falarei sobre os validadores de integridade e tudo vai ficar muito mais claro.

      Grande abraço.

  3. George Rocha said

    Grande Carlos Muito Obrigado!!!!

  4. Renato said

    Carlos, com o NAP eu tambem consigo determinar um mac ou ip que eu não queira que se conecte a minha rede?

    Abs

  5. Claudio said

    Prezado Carlos,

    A tempo estou procurando um material sobre o seguinte, tenho um AP com suporte a 802.1x para se autenticar com Radius, já instalei e configurei o Radius porém todas vez que vou autenticar no AP com um Notebook, ele fica repetindo a solicitação de usuário e senha ? Lembrando que o Notebook não está no AD, o que mais precisa certificado ?

  6. […] diretivas de rede influenciam no ambiente proposto. Se você seguiu os passos descritos no artigo NAP sobre DHCP – Configurando o ambiente para o NAP o seu Servidor de Diretivas de Rede está devidamente configurado. Clicando em Ferramentas […]

  7. Claudio said

    Para fazer o cenário do Radius com NAP na Wireless um pre-requisito que o dispositivo faça parte do dominio? ou pode ser exemplo um notebook de visitante sem fazer parte do domínio, ele consegue autenticar assim mesmo?

  8. […] diretivas de rede influenciam no ambiente proposto. Se você seguiu os passos descritos no artigo NAP sobre DHCP – Configurando o ambiente para o NAP o seu Servidor de Diretivas de Rede está devidamente configurado. Clicando em Ferramentas […]

    • CooperaTI em novo endereço

      Atenção aos que recebem essa mensagem e utilizam algum leitor de RSS ou estão apontando para o endereço: rafaelbernardes.wordpress.com ou rafaelbernardes.com.br.

      O CooperaTI está na nuvem da Amazon e talvez seja necessário que vocês atualizem seus leitores de RSS.

      Quem recebia as notificações de posts por email pode ficar tranquilo, a base anterior foi exportada para o novo portal.

      Novo endereço: http://www.cooperati.com.br

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

 
%d blogueiros gostam disto: