Através do NAP é possivel por exemplo verificar se o host que esta se conectando a rede (através de uma VPN, um Remote Desktop Gateway, obtendo endereço IP através de um DHCP, etc) possui um software de Antivirus instalado e atualizado ou se o serviço de atualizações automáticas esta iniciado. Caso o não esteja “compliance” com as politicas de acesso a rede, ele é direcionado a servidores de remediação, permitindo corrigir os problemas de segurança encontrado e em seguida tentar um novo acesso a rede.
A vantagem do NAP é que ele é expanssivel, ou seja novas validações podem ser adicionadas a ele e impostas aos hosts na rede.
Agora que ja temos uma noção do que pode ser feito utilizando o NAP, vamos ao laboratório.
Objetivo
Neste artigo mostraremos como impor uma politica de restrição na obtenção de endereços IP’s através de um servidor DHCP
Pré-requisitos
Para os clientes que serão “validados” durante a obtenção de endereços IP’s através do servidor DHCP, é requerido o Windows XP SP3 ou superior, outras versões de S.O. não possuem suporte ao NAP e a principio não podem ser validados. Sendo assim o acesso para estes S.O.’s pode ser negado ou liberado sem restrições, dependendo apenas de politicas no NPS.
Para o NAP Server o requisito é um host executando o Windows Server 2008.
O uso do Ipv4 é necessário para funcionamento da politica de segurança uma vez que o Ipv6 não é suportado neste cenário.
Estrutura do laboratório
A estrutura do labóratório é relativamente simples e esta descrita na tabela 1 abaixo.
Todos os hosts executam o Windows Server 2008 R2, exceto os hosts “cl-01” e “cl-02” que executam o Windows 7 e Windows XP SP3 respectivamente.
|
Hostname
|
Aplicação
|
IP
|
|
dc-01
|
AD-DS, DNS
|
192.168.1.1
|
|
dhcp-01
|
DHCP Server + NPS (Radius client)
|
192.168.1.2
|
|
nps-01
|
NPS (Radius server)
|
192.168.1.3
|
|
cl-01
|
Cliente Windows 7
|
DHCP client
|
|
cl-02
|
Cliente Windows XP
|
DHCP client
|
Tabela 1
Agora que ja temos uma ideia de como ficará o ambiente, mãos a obra.
Instalando os papéis
Após ter todos os hosts com o Windows Server 2008 R2 devidamente instalados (atualizados) e inseridos no dominio, o primeiro passo é instalar os papéis do NPS. Vamos considerar que o DHCP já se encontra instalado e funcionando no ambiente.
Instalando o NPS
Este papel deve ser instalado no host “nps-01”.
1. Através do mmc Server Manager, expandir o menu “Roles” e clicar em “Add Roles”;
2. Na tela “Select Server Roles” selecione a opção “Network Policy and Access Server” e clique em “Next”;
3. Na tela “Network Policy and Access Services” clique em “Next”;
4. Na tela “Select Role Services” selecione a opção “Network Policy Server” e clique em “Next”;
5. Na tela “Confirm Installation Selections” valide as opções selecionadas e clique em “Install” para iniciar a instalação;
6. Finalmente na tela “Installation Results” verifique o resultado da instalação e se necessário reinicie o servidor;
Caso o servidor DHCP não esteja instalado no mesmo host que o NPS, repita este procedimento no servidor DHCP. Este passo é necssário porque o DHCP Server não é um “Radius Client”. Em seguida faremos a configuração deste NPS como “Radius Proxy”.
Configurando os “papeis”
Agora vamos partir para a configuração dos servidores e clientes.
Configurando o DHCP Server
A partir do host “dhcp-01”.
1. Abra o MMC “DHCP” disponivel em “Start/Administrative Tools”;
a. Expanda “DHCP/dhcp-01/Ipv4” e no painel de ações clique em “More Actions/Properties”;
b. Na guia “Network and Access Protection” clique no botão “Enable on all Scopes” e selecione a opção “Full Access”;
i. Ao clicar no botão “Enable on all Scopes”, clique em “Yes” na mensagem de aviso. Esta ação irá ativar o NAP em todos os escopos Ipv4 deste servidor;
ii. Caso queira desativar o uso de NAP para um escopo em específico, selecione o escopo, no painel de ações clique em “More Actions/Properties”, na guia “Network and Access Protection” selecione “Disable for this scope” e clique em “OK”;
iii. A opção “Full Access” garante que em caso de problemas de comunicação deste servidor DHCP com o servidor NPS, novas solicitações de clientes DHCP serão atendidas e as politicas de segurança serão ignoradas;
c. Clique em “OK”;
Agora é necessário configurar os escopos de forma a diferenciar os clientes que retornam o status de “Compliance” ou não “Compliance” com as politicas de segurança que serão validadas. Esta configuração é feita através de ajustes no “Scope Options” de cada escopo DHCP ou “Server Options”.
1. Abra o MMC “DHCP” disponivel em “Start/Administrative Tools”;
a. Expanda “DHCP/dhcp-01/Ipv4/Scope 192.168.1.0 Rede Local/Scope Options”;
b. Nas opções já configuradas (DNS Server, Gateway Server, WINS, etc...), verifique através do menu “Properties”, na guia “Advanced” se “User Class” esta definida como “Default User Class”, caso não esteja altere para esta opção;
i. Esta é a configuração que será utilizada pelos hosts que estiverem “Compliance”;
c. Adicione novas opções (DNS Server, Gateway Server, WINS, etc...) e através do menu “Properties”, na guia “Advanced” use a opção “Default Network Access Protection Class” em “User Class”;
i. Esta é a configuração que será utilizada pelos hosts que NÃO estiverem “Compliance”;
Configurando o NPS Server
1. Abra o MMC “Network Policy Server”disponivel em “Start/Administrative Tools”;
a. Clique em “NPS (Local)”, no painel da direita selecione “Network Access Protection” e clique em “Configure NAP”;
i. Na tela “Select Network Connection Method for user with NAP”, selecione “Dynamic Host Configuration Protocol (DHCP)”, informe o nome da politica e clique em “Next”;
ii. Na tela “Specify NAP Enforcement Servers Running RD Gateway” clique em “Add” (Caso seu servidor DHCP seja o servidor NPS tambem, simplesmente clique em “Next”);
1. Em “Friendly Name” informe um nome amigavel para este “Radius Client”, por exemplo “Servidor DHCP-01”;
2. No campo “Address (IP or DNS)” informe o nome DNS do servidor, no nosso caso “dhcp-01.jsathler.spaces.live.com”;
3. Selecione a opção “Generate” e clique no botão “Generate”;
4. Copie a senha gerada e clique em “OK”, em seguida clique em “Next”;
iii. Na tela “Specify DHCP Scopes” clique em “Next”;
iv. Na tela “Configure Machine Groups” clique em “Next”;
v. Na tela “Specify a NAP Remediation Server Group and URL”, clique em “New Group”;
1. No campo “Group Name”, informe um nome para este grupo de servidores de “remediação”, em seguida clique em “Add”;
a. Em “Friendly Name” informe um nome amigavel para o servidor e seu endereço IP/DNS e clique em “OK”. Neste caso “cadastre” seus servidores WSUS, console de Antivirus e etc que poderão ser acessados pelos clientes que não estão “compliance” com as politicas de segurança;
i. Exemplos de servidores de remediação são: Domain Controllers, DNS Servers, AV Servers, WSUS Servers.
2. Caso queira disponibilizar uma URL contendo informações sobre a politica de segurança NAP, informe a url no campo “Troubleshooting URL”, em seguida clique em “Next”;
vi. Na tela “Define NAP Health Policy” verifique se as opções “Windows Security Health Validator” e “Enable auto-remediation of client computers” estão selecionadas e clique em “Next”;
1. Através do campo “Network access restrictions for NAP-ineligible client computers” é possivel definir qual será o acesso a rede para clientes que não suportam o NAP.
2. Para maior segurança selecione a opção “Deny full network access to NAP-ineligible client computers, Allow access to a restricted network only”, para compatibilidade com outras versões de S.O. selecione opção “Allow full network access to NAP-ineligible client computers.”
vii. Na tela “Completing NAP Enforcement Policy and Radius Client Configuration” valide as informações e clique em “Finish”;
A partir do host “dhcp-01”.
2. Abra o MMC “Network Policy Server”disponivel em “Start/Administrative Tools”;
a. Expanda “NPS (Local)/RADIUS Clients and Server/Remote RADIUS Server Groups”;
i. No painel de ações clique em “New”, informe um nome para o grupo no campo “Group Name”, em seguida clique em “Add”;
ii. Na guia “Address”, no campo “Server” informe o nome ou ip do servidor “nps-01.jsathler.spaces.live.com”;
iii. Na guia “Authentication/Accounting” informe a senha criada no passo 1.a.II.4 do tópico “Configurando o NPS Server”, em seguida clique em “OK”;
b. Expanda “NPS (Local)/Policies/Connection Request Policies”;
i. Selecione a policy “Use Windows authentication for all users” e no painel de ações clique em “Properties”;
ii. Na guia “Settings”, selecione “Authentication” e no painel da direita selecione a opção “Forward requests to the following remote RADIUS server group for authentication:”, selecione o grupo criado no item 2.a.i e clique em “OK”;
1. Esta configuração fará que este NPS funcione como um “Radius Proxy”.
Configurando e testando o cliente
Para que os clientes DHCP possam obter endereço IP e acesso irrestrito a rede é necessário ativar o suporte ao NAP. Os procedimentos abaixo devem ser feitos nos clientes Windows XP SP3 ou superior.
Mostraremos como fazer a configuração localmente, porem em ambientes corporativos é altamente recomendado que estas configurações sejam feitas através de GPO’s.
1. Através do mmc “services.msc”, validar se os serviços abaixo se encontram habilitados e iniciados:
a. “Security Center”: Se aplica a Windows XP SP3 ou superior;
b. “Network Access Protection Agent”: Windows Vista ou superior;
2. Ativar o “enforcement client”:
a. No Windows Vista ou superior: Através do mmc “napclcfg.msc” expandir “NAP Client Configuration (local computer)/Enforcement Clients”, selecionar “DHCP Quarantine Enforcement Client” e no painel de ações clicar em “Enable” ( o procediento abaixo tambem pode ser feito no Windows Vista ou superior);
b. No Windows XP SP3: Através de um prompt de comando ativar o recurso através do comando “netsh nap client set enforcement ID=79617 Admin=Enable”;
Agora para testar o funcionamento do NAP, basta desativar algum item que esta sendo validado pela politica de segurança de acesso a rede, por exemplo o firewall da máquina. Ao desativar o firewall uma mensagem será mostrada e o acesso do host a rede será restrita aos servidores configurados como “servidores de remediação”, caso o recurso “Enable auto-remediation of client computers” esteja ativo (no nosso laboratório está) o serviço de firewall será iniciado automaticamente e o acesso a rede será novamente liberado.
Caso o cliente clique no botão “More information” na mensagem acima, ele será direcionado a URL informada no passo 1.a.v.2 do tópico “Configurando o NPS Server”.
É isso ai pessoal, ate a próxima.
Juliano Sathler com mais de 8 anos de experiência na área de TI. Trabalha com suporte/projetos de Exchange Server e Active Directory em uma multinacional no interior de SP. Possui atualmente as certificações MCSA/MCSE +M +S em Windows 2000 e 2003, MCTS/MCITP em Exchange 2007 e MCT.
**Este artigo foi escrito por um membro da comunidade técnica, a Microsoft não oferece quaisquer garantias sobre o conteúdo aqui descrito