Documente Academic
Documente Profesional
Documente Cultură
Os nomes das empresas e dos produtos mencionados aqui podem ser marcas comerciais
de seus respectivos proprietários.
Os Serviços de Acesso e Diretiva de Rede (Network Policy and Access Services) fornecem
uma variedade de métodos para oferecer conectividade de rede remota e local aos
usuários, para conectar segmentos de rede e permitir que os administradores de rede
gerenciem, de forma centralizada, o acesso à rede e as diretivas de integridade do cliente.
Com os Serviços de Acesso à Rede (Network Access Services), é possível implantar
servidores VPN e de discagem, roteadores e o acesso sem fio protegido pela autenticação
802.11. Você também pode implantar servidores e proxies RADIUS e utilizar o Connection
Manager Administration Kit para criar perfis de acesso remoto os quais permitam que os
computadores cliente conectem-se a sua rede.
Os Serviços de Acesso e Diretiva de Rede fornecem as seguintes soluções de conectividade
de rede:
• Proteção Contra Acesso à Rede. A Proteção Contra Acesso à Rede, ou NAP
(Network Access Protection), é uma criação de diretiva de integridade de cliente,
uma tecnologia de reforço e remediação incluída nos sistemas operacionais
Windows Vista Business, Enterprise e Ultimate, como também no Windows Server
“Longhorn”. Com o NAP, os administradores de sistema podem estabelecer e,
automaticamente, forçar diretivas de integridade, as quais podem incluir
requisitos de software, de atualização de rede, configurações exigidas de
computador, além de outras configurações. Computadores cliente que não
estiverem de acordo com a diretiva de integridade podem ter o acesso de rede
restringido até que suas configurações sejam atualizadas, fazendo com que
estejam de acordo com a diretiva. Dependendo da forma com que implantar o
NAP, os clientes não-conformes serão automaticamente atualizados, de forma
que os usuários possam rapidamente obter novamente o acesso completo à rede,
sem a necessidade de atualizar ou reconfigurar manualmente seus computadores.
• Proteção contra Acesso com e sem fio. Ao implantar pontos de acesso sem fio
802.1X, o acesso seguro sem fio fornece aos usuários um método de autenticação
baseado em senhas e com segurança aprimorada fácil de ser implantado. Ao
implantar switches de autenticação 802.1X, o acesso com fio permite que você
assegure sua rede, garantindo que os usuários da intranet sejam autenticados
antes que possam conectar-se à rede ou obter um endereço IP utilizando o DHCP.
• Soluções de acesso remoto. Com as soluções de acesso remoto, você pode
fornecer aos usuários o acesso discado e VPN à rede da organização. Além disso,
é possível conectar os escritórios de filiais a sua rede por meio de soluções VPN,
implantar roteadores de software com diversos recursos em sua rede, como
também compartilhar conexões da Internet pela intranet.
• Gerenciamento central de diretivas de rede com o servidor e o proxy
RADIUS. Em vez de configurar diretivas de acesso à rede em cada servidor de
acesso à rede, como pontos de acesso sem fio, switches de autenticação,
servidores VPN e servidores de discagem, você poderá criar diretivas em um único
local que especifique todos os aspectos das solicitações de conexão à rede,
incluindo quem tem permissão para conectar-se, quando a conexão poderá ser
feita e o nível de segurança que deve ser utilizado para conectar-se a sua rede.
Recursos Adicionais
Para saber mais sobre os Serviços de Acesso e Diretiva de Rede, abra um dos seguintes
snap-ins MMC e depois pressione F1 a fim de exibir a Ajuda:
• Snap-in MMC NPS
• Snap-in MMC Routing and Remote Access.
• Snap-in MMC HRA
• Snap-in MMC Group Policy Object Editor
Um dos maiores desafios encontrados nos negócios dos dias de hoje é a exposição crescente
dos dispositivos de clientes a softwares maliciosos, como vírus e worms. Esses programas
podem obter a entrada a sistemas de host configurados de forma incorreta ou sistemas
desprotegidos e podem utilizar esses sistemas como um ponto inicial para se propagarem
em outros dispositivos na rede corporativa. Os administradores de rede podem utilizar a
plataforma NAP para melhor proteger suas redes, ajudando a garantir que os sistemas
cliente mantenham as atualizações de software e as configurações de sistema apropriadas
para protegê-los contra softwares maliciosos.
O NAP (Network Access Protection) é um novo conjunto de componentes de sistema
operacional incluído no Windows Server “Longhorn” e no Windows Vista que fornece uma
plataforma que ajuda a garantir que os computadores clientes em uma rede corporativa
atendam aos requisitos quanto à integridade do sistema definidos pelo administrador. As
diretivas NAP definem a configuração e o status de atualização exigidos para o sistema
operacional e o software principal do computador de um cliente. Por exemplo, pode ser
exigido que os computadores possuam um software antivírus com as mais recentes
assinaturas instaladas, com as atualizações instaladas no sistema operacional atual e com um
firewall baseado em host ativado. Reforçando o cumprimento desses requisitos de
integridade, o NAP pode ajudar os administradores de rede na diminuição de alguns riscos
causados por computadores cliente configurados de forma imprópria que podem ser
expostos a vírus e a outros softwares maliciosos.
ISA Server 2004, veja Clientes Móveis VPN e Quarantine Control no ISA Server 2004
Enterprise Edition (http://go.microsoft.com/fwlink/?LinkId=56449).
Validação de Diretivas
Os SHVs (System health validators – validadores de integridade do sistema) são utilizados
pelo NPS para analisar o status de integridade dos computadores cliente. OS SHVs são
incorporados às diretivas de rede que determinam as ações a serem realizadas com base
no status da integridade do cliente, como conceder acesso total à rede ou restringir o
acesso à rede. O status da integridade é monitorado pelos componentes NAP do lado do
cliente, chamados de SHAs (system health agents – agentes de integridade do sistema). O
NAP utiliza os SHAs e os SHVs para monitorar, reforçar e remediar configurações de
computadores cliente.
O Windows Security Health Agent e o Windows Security Health Validator estão incluídos nos
sistemas operacionais Windows Server “Longhorn” e Windows Vista e reforçam as seguintes
configurações para computadores ativados para o NAP:
• O computador cliente deve possuir software de firewall instalado e ativado.
• O computador cliente deve possuir software antivírus instalado e em execução.
• O computador cliente deve possuir atualizações de antivírus atuais instaladas.
• O computador cliente deve possuir software anti-spyware instalado e em execução.
• O computador cliente deve possuir atualizações de anti-spywares atuais instaladas.
• O Microsoft Update Services deve estar ativado no computador cliente.
Além disso, se computadores clientes ativados para o NAP estiverem executando o Windows
Update Agent e estiverem registrados com um servidor WSUS (Windows Server Update
Service), o NAP poderá verificar se a maioria das atualizações de segurança de software está
instalada, com base em um dos quatro valores possíveis que correspondem à classificação
de severidade de segurança do MSRC(Microsoft Security Response Center).
Você pode optar por restringir o acesso, adiar a restrição de acesso ou ainda permitir o
acesso por meio da utilização das seguintes configurações:
• Do not enforce (Não aplicar). Esta é a configuração padrão. Os clientes que
atendem às condições de diretiva são considerados como estando em
conformidade com os requisitos de integridade de rede e a eles é concedido acesso
irrestrito à rede caso a solicitação de conexão seja autenticada e autorizada. O
status de conformidade de integridade dos computadores cliente ativados para o
NAP é registrado.
• Enforce (Aplicar). Os computadores cliente que atendem às condições de diretivas
são considerados como não estando em conformidade com os requisitos de
integridade de rede. Esses computadores são colocados na rede restrita.
• Defer enforcement (Adiar aplicação). Os clientes que atendem às condições de
diretivas recebem, temporariamente, acesso irrestrito. O NAP é adiado até a data e
o horário especificados.
Remediação
Os computadores cliente não-conformes que são colocados em uma rede restrita podem ser
submetidos à remediação. Remediação é o processo de atualizar um computador cliente de
forma que ele passe a atender aos requisitos atuais de integridade. Por exemplo, uma rede
restrita pode conter um servidor FTP (File Transfer Protocol) que fornece assinaturas atuais
de vírus de forma que os computadores cliente em não-conformidade possam atualizar suas
assinaturas.
É possível utilizar as configurações do NAP nas diretivas de integridade NPS para configurar
a remediação automática, de forma que os componentes do cliente NAP tentem,
automaticamente, atualizar o computador cliente quando este estiver em não-conformidade
com os requisitos de integridade de rede. Você pode utilizar a seguinte configuração de
diretiva para configurar a remediação automática:
• Atualizações de computador. Se a opção Update noncompliant computers
automatically estiver selecionada, a remediação automática estará ativada, e os
computadores ativados para o que não estiverem em conformidade com os
requisitos de integridade tentarão, automaticamente, fazer a atualização.
Abordagens Combinadas
Cada um desses métodos de reforço NAP possui diferentes vantagens. Combinando os
métodos de reforço, será possível combinar as vantagens desses métodos. Entretanto, ao
implantar múltiplos métodos de reforço NAP, você poderá fazer com que sua
implementação NAP seja mais complexa de ser gerenciada.
O framework do NAP também fornece um conjunto de APIs que permite que outras
empresas que não sejam a Microsoft integrem seus softwares com a NAP. Utilizando as APIs
do NAP, fornecedores e desenvolvedores de software poderão fornecer soluções de fim a
fim que validem o funcionamento e façam a remediação de clientes em não-conformidade.
Implantação
Os preparativos necessários para a implantação do NAP dependem do método (ou
métodos) de reforço escolhido e dos requisitos de integridade que se pretende reforçar
quando os computadores cliente tentam conectar-se à rede ou comunicar-se com ela.
Se você for um administrador de sistemas ou de rede, será possível implantar o NAP com o
Windows Security Health Agent e o Windows Security Health Validator. Você também
poderá verificar com outros fornecedores de software se eles possuem SHAs e SHVs para
seus produtos. Por exemplo, se um fornecedor de software antivírus desejar criar uma
solução NAP que inclua um SHA e um SHV personalizado, ele poderá utilizar um conjunto
de APIs para criar esses componentes, os quais poderão ser integrados com as soluções NAP
implantadas pelos clientes desse fornecedor.
Além dos SHAs e SHVs, a plataforma NAP utilize múltiplos componentes de servidor e
cliente para detectar e monitorar o status da integridade do sistema dos computadores
cliente quando estes tentam conectar-se à rede ou comunicar-se com ela. Na figura abaixo,
são ilustrados alguns componentes comuns utilizados na implantação do NAP:
Um SHV também pode detectar que nenhum SoH foi recebido (por exemplo, se o SHA
nunca tiver sido instalado, se tiver sido danificado ou removido). Se o SoH atender ou não à
diretiva definida, o SHV enviará uma mensagem SoHR (statement of health response -
declaração de resposta de integridade) para o servidor de administração NAP.
Uma rede pode possuir mais de um tipo de SHV. Se isso ocorrer, o servidor NPS deverá
coordenar a saída de todos os SHVs e determinar se deve ser limitado o acesso de um
computador em não-conformidade. Isso exige um planejamento cuidadoso ao definir
diretivas de integridade para o seu ambiente e avaliar na diferente forma com que os SHVs
interagem.
NAP enforcement server (servidor de reforço NAP). O NAP ES é associado a um NAP EC
correspondente para o método de reforço NAP que estiver sendo utilizado. Ele recebe a lista
de SoHs do NAP EC, passando-os para que o NPS faça uma avaliação. Com base na
resposta, é fornecido acesso limitado ou ilimitado à rede para o cliente ativado para o NAP.
Dependendo do tipo de reforço NAP, o NAP ES pode ser uma autoridade de certificação
(reforço IPsec), um switch de autenticação ou um ponto de acesso sem fio (reforço 802.1x),
um servidor Roteamento e Acesso Remoto(reforço VPN) ou um servidor DHCP (reforço
DHCP).
Servidor de diretivas. Um servidor de diretivas é um componente de software que se
comunica com um SHV a fim de fornecer as informações utilizadas na avaliação dos
requisitos para a integridade do sistema. Por exemplo, um servidor de diretivas, como um
servidor de assinaturas antivírus, pode fornecer a versão do arquivo atual de assinaturas para
a validação de um SoH antivírus cliente. Os servidores de diretivas são associados aos SHVs,
mas nem todos os SHVs exigem um servidor de diretivas. Por exemplo, um SHV pode
simplesmente ordenar que clientes ativados para o NAP verifiquem as configurações locais
de sistema a fim de assegurar que um firewall baseado em host esteja ativado.
Servidor de remediação. Um servidor de remediação hospeda as atualizações que podem
ser utilizadas pelos SHAs para fazer com que computadores cliente em não-conformidade
passem a estar em conformidade. Por exemplo, um servidor de remediação pode hospedar
atualizações de software. Se a diretiva de integridade exigir que os computadores cliente
NAP possuam as mais recentes atualizações de software instaladas, o NAP EC irá restringir o
acesso à rede dos clientes que não possuírem essas atualizações. Os servidores de
remediação devem estar acessíveis aos clientes com acesso restrito à rede para que os
clientes obtenham as atualizações exigidas para que estejam em conformidade com as
diretivas de integridade.
SoHR (Statement of health response). Depois que o SoH cliente for avaliado mediante a
diretiva de integridade pelo SHV apropriado, um SoHR será gerado, contendo os resultados
da avaliação. O SoHR inverte o caminho do SoH e é enviado de volta ao SHA do
computador cliente. Se o computador cliente for considerado como estando em não-
conformidade, o SoHR irá conter as instruções de remediação utilizadas pelo SHA para fazer
com que a configuração do computador cliente esteja em conformidade com os requisitos
de integridade.
Assim como cada tipo de SoH contém diferentes tipos de informações sobre o status do
funcionamento do sistema, cada mensagem SoHR contém as informações sobre como estar
em conformidade com os requisitos de integridade.
Informações Adicionais
Para mais informações sobre o NAP, acesse o site sobre Network Access Protection em
(http://go.microsoft.com/fwlink/?LinkId=56443).
Compound TCP
Considerando que o Receive Window Auto-Tuning otimiza a velocidade do
processamento do receptor, o CTCP (Compound TCP) na Pilha TCP/IP de última geração
otimiza a velocidade do processamento do emissor. Trabalhando juntos, eles podem
aumentar a utilização de links e produzir ganhos substanciais de desempenho para
grandes conexões de produto de atraso de largura de banda.
O CTCP é utilizado para conexões TCP com um grande tamanho de janela de recebimento
e um grande produto de atraso de largura de banda (a largura de banda de uma conexão
multiplicada pelo seu atraso). Ele aumenta, de forma significativa, a quantidade de dados
enviados por vez e ajuda a garantir que seu comportamento não cause impactos
negativos em outras conexões TCP.
Por exemplo, em testes realizados internamente na Microsoft, os horários de backup para
arquivos extensos foram reduzidos em quase metade para uma conexão de 1 gigabit por
segundo com um RTT (round-trip time) de 50 milésimos de segundo. Conexões com um
produto de atraso de largura de banda maior podem ter um melhor desempenho.
A descoberta PMTU (Path maximum transmission unit), definida na RFC 1191, confia no
recebimento de mensagens ICMP (Internet Control Message Protocol) Destination
Unreachable-Fragmentation Needed e DF (Don’t Fragment) Set dos roteadores que
contêm o MTU do próximo link. Entretanto, em alguns casos, roteadores intermediários
descartam pacotes que não podem ser fragmentados. Esses tipos de roteadores são
conhecidos como roteadores PMTU de buraco negro. Além disso, os roteadores
intermediários podem bloquear mensagens ICMP devido às regras de firewall. Devido aos
roteadores PMTU de buraco negro, as conexões TCP podem falhar e serem encerradas.
A detecção de roteadores de buraco negro PMTU faz sentido quando extensos segmentos
TCP estão sendo retransmitidos; o PMTU é automaticamente ajustado para a conexão, em
vez de confiar no recibo das mensagens de erro ICMP. No Windows Server 2003 e no
Windows XP, a detecção de roteadores de buraco negro PMTU é desabilitada por padrão,
pois estando ativada, o número máximo de transmissões executadas para um segmento
de rede específico aumenta.
Por padrão, a Pilha TCP/IP de última geração ativa a detecção de roteadores de buraco
negro PMTU a fim de evitar o encerramento das conexões TCP.
Compartimentos de Roteamento
Para evitar que o encaminhamento indesejado do tráfego entre interfaces para
configurações VPN, a Pilha TCP/IP de última geração dá suporte aos compartimentos de
roteamento. Um compartimento de roteamento é a combinação de um conjunto de
interfaces com uma sessão de login que possui suas próprias tabelas de roteamento IP.
Um computador pode possuir múltiplos compartimentos de roteamento isolados uns dos
outros. Cada interface pode pertencer somente a um único compartimento.
Por exemplo, quando um usuário inicia uma conexão VPN pela Internet com a
implementação TCP/IP no Windows XP, o computador do usuário terá conectividade
parcial tanto para a Internet quanto para a intranet particular, manipulando entradas na
tabela de roteamento IPv4. Em algumas situações, é possível que o tráfego da Internet
seja encaminhado pela conexão VPN para a intranet particular. Para clientes VPN com
suporte para compartimentos de roteamento, a Pilha TCP/IP de última geração isola a
conectividade da Internet da conectividade da intranet particular por meio de tabelas de
roteamento IP separadas.
Melhorias no IPv6
A Pilha TCP/IP de última geração dá suporte às seguintes melhorias no IPv6:
• IPv6 ativado por padrão
• Pilha IP dupla
• Configuração baseada em GUI
• Melhorias no Teredo
• Suporte IPsec integrado
Guia do Revisor do Windows Server “Longhorn” Beta 3
110
Pilha IP Dupla
A Pilha TCP/IP de última geração dá suporte à arquitetura de camadas IP dupla, na qual as
implementações do IPv4 e IPv6 compartilham camadas comuns de frame e transporte
(TCP e UDP). A Pilha TCP/IP de última geração possui o IPv4 e o IPv6 ativados por padrão.
Não é necessário instalar um componente separado para obter o suporte ao IPv6.
Melhorias no Teredo
O Teredo fornece conectividade aprimorada para aplicativos ativados para o IPv6,
fornecendo globalmente o endereçamento IPv6 exclusivo e permitindo o tráfego IPv6
para atravessar os NATs. Com o Teredo, os aplicativos ativados para o IPv6 que exigem o
tráfego de entrada não solicitado e o endereçamento global, como aplicativos entre
iguais, funcionarão pelo NAT. Esses mesmos tipos de aplicativos, se utilizassem o tráfego
IPv4, ou exigiriam a configuração manual do NAT, ou não funcionariam sem a
modificação do protocolo do aplicativo de rede.
O Teredo pode agora funcionar se houver um cliente Teredo atrás de um ou mais NATs
simétricos. Um NAT simétrico mapeia o mesmo endereço (privado) e o mesmo número de
porta internos para diferentes endereços e portas (públicos) externos, dependendo do
endereço externo de destino (para o tráfego de saída). Este novo comportamento permite
que o Teredo funcione entre um conjunto maior de hosts conectados à Internet.
No Windows Vista, o componente Teredo estará ativado, mas inativo por padrão. Para
ativá-lo, um usuário deve instalar um aplicativo que precise utilizar o Teredo ou optar por
alterar as configurações de firewall a fim de permitir que um aplicativo utilize o Teredo.
Suporte DHCPv6
O Windows Server “Longhorn” e o Windows Vista incluem um cliente DHCP ativado para
o DHCPv6 (Dynamic Host Configuration Protocol version 6) que efetua a configuração
automática de endereços com monitoramento de estado com um servidor DHCP. O
Windows Server “Longhorn” inclui um serviço DHCP Server ativado para o DHCPv6.
As configurações criadas com a utilização dessas ferramentas podem ser implantadas nos
computadores vinculados à rede, utilizando a Diretiva de Grupo.
Será preciso rever esta seção sobre o Windows Firewall with Advanced Security se você
fizer parte de um dos seguintes grupos:
• Planejadores e analistas de TI que estão avaliando tecnicamente o produto.
• Planejadores e designers corporativos de TI.
• Profissionais de TI que implantam ou administram soluções de segurança de rede
em uma organização.
O Windows Firewall with Advanced Security consolida duas funções que eram gerenciadas
separadamente em versões anteriores do Windows. Além disso, a principal funcionalidade
dos componentes do IPsec e de firewall do Windows Firewall with Advanced Security foi
aprimorada de forma significativa no Windows Vista e Windows Server “Longhorn”.
Se você criar um software projetado para ser instalado no Windows Vista ou no Windows
Server “Longhorn”, será preciso ter a certeza de que o firewall é configurado corretamente
pela sua ferramenta de instalação, criando ou ativando regras que permitam que o tráfego
de rede do programa passe pelo firewall. O seu programa deverá reconhecer os diferentes
tipos de locais de rede reconhecidos pelo Windows, domínio, privado e público, e
responder corretamente a uma alteração no tipo de local de rede. É importante lembrar
que uma alteração no tipo de local de rede poderá resultar em diferentes regras de
firewall sendo aplicadas no computador. Por exemplo, se você quiser que seu aplicativo
seja executado somente em um ambiente seguro, como um domínio ou uma rede
privada, as regras de firewall deverão evitar que o seu aplicativo envie o tráfego de rede
quando o computador estiver em uma rede pública. Se o tipo de local de rede for
alterado de forma inesperada durante a execução de seu aplicativo, ele deverá lidar muito
bem com essa situação.
• Domínio. Este tipo de local de rede será selecionado quando computador for
membro de um domínio, e o Windows irá determinar que o computador está
atualmente ligado à rede que hospeda o domínio. Essa seleção é baseada na
autenticação bem-sucedida com um controlador de domínio na rede.
• Privado. Este tipo de local de rede pode ser selecionado para redes confiáveis
pelo usuário, como uma rede doméstica ou uma rede de um pequeno escritório,
por exemplo. As configurações atribuídas a este tipo de local são mais restritivas
do que uma rede de domínio, pois não se espera que uma rede doméstica seja
tão ativamente gerenciada quanto uma rede de domínio. Uma rede recém
detectada nunca será automaticamente atribuída ao tipo de local Privado. Um
usuário deve optar explicitamente por atribuir a rede ao tipo de local Privado.
• Público. Este tipo de local de rede é atribuído por padrão a todas as redes recém
detectadas. As configurações atribuídas a este tipo de local são muito mais
restritivas, devido aos riscos de segurança existentes em uma rede pública.
Nota
O recurso que permite definir o tipo de local de rede é muito útil em computadores
cliente, principalmente em computadores portáteis, os quais são movidos de uma rede
para outra. Não se espera que um servidor seja móvel. Por esse motivo, uma estratégia
sugerida para um computador típico que executa o Windows Server “Longhorn” é
configurar esses três perfis da mesma forma.
Referências Adicionais
Os recursos a seguir fornecem informações adicionais sobre o Windows Firewall with
Advanced Security e o IPsec:
• Para mais informações sobre o Windows Firewall with Advanced Security, veja
“Windows Firewall” (http://go.microsoft.com/fwlink/?LinkID=84639) no site da Web
Microsoft TechNet.
• Para mais informações sobre o IPsec, veja IPsec
(http://go.microsoft.com/fwlink/?LinkID=84638) no site da Web Microsoft TechNet.
• Para mais informações sobre os cenários de isolamento de servidor e domínio, veja
Isolamento de Domínio e Servidor (http://go.microsoft.com/fwlink/?LinkID=79430) no
site da Web Microsoft TechNet.
• Para mais informações sobre o Network Access Protection, veja Network Access
Protection (http://go.microsoft.com/fwlink/?LinkID=84637) no site da Web Microsoft
TechNet.
• Para mais informações sobre como criar aplicativos que estejam cientes dos tipos de
local de rede, consulte o Network Awareness no Windows Vista
(http://go.microsoft.com/fwlink/?LinkId=85491) e Network Location Awareness Service
Provider (http://go.microsoft.com/fwlink/?LinkId=85492) no site da Web Microsoft
MSDN®.
Implantação
Não implante certificados com algoritmos Suite B antes de verificar os seguintes requisitos:
• Antes de emitir certificados que utilizem algoritmos, tais como o ECC, verifique se
suas CAs e seu sistema operacional dão suporte a esses algoritmos.
• Verifique se os aplicativos ativados para a PKI de sua organização podem utilizar
certificados que confiam em provedores de criptografia CNG.
• Caso sua organização utilize certificados para suportar o logon de smart card,
entre em contato com o fornecedor de seu smart card e veja se os smart cards
que ele fornece podem lidar com algoritmos CNG.
No Windows Vista e no Windows Server “Longhorn”, os seguintes aplicativos ativados para
certificados podem lidar com certificados que utilizam algoritmos de criptografia
registrados no provedor CNG.
Nome do Aplicativo Verifica uma cadeia de Utiliza algoritmos que não são suportados pelo
certificados que CryptoAPI
contém certificados
com algoritmos
registrados em um
provedor CNG
Esses novos armazenamentos são uma adição aos armazenamentos Enterprise Trust
(Relação de confiança Corporativa) e Trusted Root Certification Authorities (Autoridades
de Certificação de Raiz Confiável) disponíveis no Windows Server 2003.
Essas configurações de validação de caminho e armazenamentos de certificados podem
ser utilizadas para realizar as seguintes tarefas:
• Gerenciar armazenamentos de certificado peer trust e trusted root.
• Gerenciar editores confiáveis.
• Bloquear certificados que não sejam confiáveis de acordo com a diretiva.
• Gerenciar a recuperação de dados relacionados a certificados.
• Gerenciar períodos de expiração para CRLs e respostas OCSP (online certificate
status protocol).
• Implantar certificados.
Implantando Certificados
Os certificados de usuário e computador podem ser implantados, usando-se diversos
mecanismos, incluindo o registro automático, o Assistente para Requisição de Certificado
e o registro na Web. Mas implantar outros tipos de certificados em uma grande
quantidade de computadores pode ser algo desafiador. No Windows Server 2003, era
possível distribuir um certificado CA de raiz confiável e certificados corporativos de
confiança usando a Diretiva de Grupo. No Windows Server “Longhorn”, todos os tipos de
certificados que seguem podem ser distribuídos, quando são armazenados
adequadamente na Diretiva de Grupo:
• Certificados CA de raiz confiáveis
• Certificados corporativos de confiança
• Certificados CA Intermediários
• Certificados confiáveis do editor
• Certificados não-confiáveis
• Pessoas confiáveis (para os certificados de confiança)
A variedade crescente dos certificados e a sua utilização exige que os administradores
tenham meios eficientes para distribuí-los a usuários e computadores em suas
organizações.
Usar configurações de Diretiva de Grupo relacionadas à relação de confiança requer um
planejamento cauteloso para determinar as necessidades de usuários e computadores em
sua organização, além da quantidade de controle que eles devem ter sobre esses
certificados. Você deve ter a capacidade de fornecer o livre arbítrio aos usuários, se
combinar o uso dessas configurações com um treinamento claro e efetivo, a fim de que os
usuários entendam a importância dos certificados, os riscos de um gerenciamento fraco de
certificados e a maneira de gerenciá-los de forma responsável.
Você deve ser membro do grupo de Administradores de Domínio para configurar a
Diretiva de Grupo neste domínio.
Este recurso aplica-se às organizações que têm PKIs com um ou mais CAs do Windows
Server “Longhorn” CAs e que desejam aprimorar a segurança das comunicações, usando o
IPsec com dispositivos de rede, como os roteadores e alternadores.
Adicionar suporte ao NDES pode aprimorar, de forma significativa, a flexibilidade e
escalabilidade do PKI de uma organização; portanto, este recurso pode interessar os
arquitetos de PKI, planejadores e administradores.
As organizações e os profissionais interessados nos NDES podem querer saber mais sobre
as especificações de SCEP em que ele se baseia.
O SCEP foi desenvolvido pela Cisco Systems Inc. como extensão aos já existentes HTTP,
PKCS #10, PKCS #7, RFC 2459 e outros padrões, para permitir o registro de dispositivo de
rede e certificado da aplicação com os CAs.
No Windows Server 2003, o Microsoft SCEP (MSCEP) era um suplemento do Windows
Server 2003 Resource Kit que precisava ser instalado no mesmo computador que o CA. No
Windows Server “Longhorn,” o suporte do MSCEP foi renomeado para NDES e faz parte
do sistema operacional, podendo ser instalado em um computador diferente do CA.
A extensão do NDES ao IIS utiliza o registro para armazenar configurações de
configurações. Todas as configurações são armazenadas sob a chave do Registro:
HKEY_LOCAL_ROOT\Software\Microsoft\Cryptography\MSCEP
A tabela que segue define as chaves de registro usadas para configurar o MSCEP:
Estados de integridade do CA
Indicador Estado do CA
Online Responder
Um Online Responder é um computador em que o serviço do Online Responder é
executado. Um computador que hospeda um CA também pode ser configurado como um
Online Responder, mas recomenda-se manter os CAs e os Online Responders em
computadores separados. Um único Online Responder pode fornecer informações de
status de revogação para certificados emitidos por um único CA ou diversos. As
informações de revogação de CA podem ser distribuídas usando mais de um Online
Responder.
As aplicações que dependem de certificados X.509, como S/MIME, SSL, EFS e smart cards
precisam validar o status dos certificados sempre que são usados para realizar
autenticação, assinatura ou criptografia. A verificação de revogação e status do certificado
analisa a validade dos certificados com base em:
• Tempo. Os certificados são emitidos em um período de tempo fixo e considerado
válido, contanto que não se atinja a data de vencimento do certificado e que ele
não seja cancelado antes da data.
Matrizes do Responder
Múltiplos Online Responders podem ser ligados a uma Matriz do Online Responder. Os
Online Responders, em uma Matriz, são referidos como membros da Matriz. Um membro
da Matriz pode ser designado o Controlador da Matriz. Embora cada Online Responder
em uma Matriz possa ser configurado de forma independente, no caso de conflitos, as
informações de configuração do Controlador da Matriz irão superar as opções definidas
em outros membros da Matriz.
Uma Matriz de Online Responder pode ser criada e outros Online Responders podem ser
adicionados por uma série de razões, incluindo tolerância a falhas no caso de um Online
Responder individual se tornar indisponível, por considerações geográficas, escalabilidade
ou estrutura da rede.
Por exemplo, as filiais remotas podem não ter conexões consistentes com suas matrizes,
onde o CA está localizado. Portanto, nem sempre é possível contatar o CA ou um Online
Responder remoto para processar uma requisição do status de revogação.
Como os membros de uma Matriz do Online Responder podem ser remotos e estar
sujeitos a condições de rede insatisfatórias, cada membro da matriz pode ser monitorado
e gerenciado de forma independente.
Configurar uma Matriz do Online Responder requer bons conhecimentos de
planejamento baseado em:
• Número e local dos CAs que estão sendo atendidos pela matriz
• Número de clientes que irão solicitar certificados a partir dos CAs e seus locais
• Conectividade de rede entre clientes, CAs e Online Responders potenciais
• Volume de registros de certificado, revogações e requisições de status que a infra-
estrutura da chave pública da organização controla
• Necessidade de redundância no caso de os Online Responders se tornarem
disponíveis
Depois que a Matriz do Online Responder foi planejada, configurar uma Matriz envolve
uma quantidade de procedimentos que devem ser coordenados.
Diretiva de Grupo
Guia do Revisor do Windows Server “Longhorn” Beta 3
137
Implantação
Como os Online Responders são feitos para atender requisições individuais de status do
certificado, uma Matriz de Online Responder geralmente requer múltiplos Online
Responders, geograficamente dispersos, para equilibrar a carga. Como cada resposta do
status é assinada, cada Online Responder deve ser instalado em um servidor confiável.
Os Online Responders do Windows Server “Longhorn” podem ser instalados nas seguintes
configurações matrizes:
• Online Responder Único para múltiplos CAs. O Online Responder requer uma
chave e um certificado assinado para cada CA suportado. Um Online Responder
deve ser emitido com um certificado assinado a partir do CA emitido. Um Online
Responder não pode fornecer o status de um certificado maior na cadeia do que
um CA que tenha emitido o certificado assinado.
• Online Responders Múltiplos para um Único CA. Cada Online Responder
possui uma chave de assinatura e certificado a partir do CA suportado. Esse
suporte vem por meio de clustering. A lógica do clustering se responsabiliza por
conduzir o cliente a requisições de um Online Responder específico.
Guia do Revisor do Windows Server “Longhorn” Beta 3
138
Você pode definir um SACL em um objeto dos Serviços de Domínio do Active Directory na
guia Segurança, na caixa de diálogo de propriedades do objeto. A Auditoria de acesso
ao serviço de diretório é aplicada da mesma forma como na Auditoria de acesso ao
objeto; no entanto, ela se aplica apenas aos objetos dos Serviços de Domínio do Active
Directory e não aos objetos do sistema de arquivo e do registro.
Esse recurso aplica-se aos administradores de Serviços de Domínio do Active Directory,
responsáveis por configurar a auditoria no diretório. Os administradores definem SACLs
apropriados para fazer a auditoria.
Em geral, as permissões para modificar SACLs e visualizar o log de Segurança são
atribuídos apenas a membros dos grupos de Administradores, incluindo de Domínio
Domain, Builtin\Administradores e de Empresa.
O Windows Server “Longhorn” está incluindo a capacidade de a auditoria dos Serviços de
Domínio do Active Directory registrar valores novos e antigos de um atributo quando uma
alteração bem sucedida é feita nele. Antes, a auditoria dos Serviços de Domínio do Active
Directory registrava apenas o nome do atributo que era alterado; e não seus valores
antigos e atuais.
• Se um objeto não é excluído, o local para o qual ele foi movido é registrado. Além
disso, se os atributos forem adicionados, modificados ou excluídos durante uma
operação de não-exclusão, seus valores não serão registrados.
Nota
Caso um objeto seja excluído, não são gerados eventos de auditoria de alteração.
No entanto, um evento de auditoria é gerado caso a sub-categoria do Directory
Service Access seja ativado.
Depois que o Directory Service Changes é ativado, os Serviços de Domínio do Active
Directory registra eventos no log de Segurança, quando são feitas alterações aos objetos
que um administrador configurou para auditoria. A tabela que segue descreve esses
eventos.
SACL
O SACL é a parte de um descritor de segurança do objeto que especifica as operações a
serem auditadas para princípio de segurança. O SACL do objeto ainda é a autoridade
principal para determinar se uma verificação de acesso deve ou não ser auditada.
O conteúdo do SACL é controlado pelos administradores de segurança do sistema local.
Os administradores de segurança são usuários atribuídos aos privilégio de Gerenciar Log
de Auditoria e Segurança (SeSecurityPrivilege). Por padrão, esse privilégio é atribuído
ao grupo de Administradores integrado.
Se não houver entrada de controle de acesso (ACE) no SACL que requer o registro das
modificações do atributo, mesmo que a sub-categoria de Directory Service Changes
esteja ativada, nenhum evento de auditoria de alteração é registrado. Por exemplo, se não
houver ACE no SACL que requer acesso à Propriedade de Escrita no atributo do número
de telefone de um objeto de usuário a ser auditado, nenhum evento de auditoria é
gerado quando esse atributo é modificado, mesmo que a sub-categoria Directory Service
Changes esteja ativada.
Esquema
Para evitar a possibilidade de um número excessivo de eventos que estão sendo gerados,
existe um controle adicional no esquema, que pode ser usado para criar exceções ao que
é auditado.
Por exemplo, se você deseja ver alterações a todas as modificações de atributo em um
objeto de usuário — exceto a um ou dois atributos — você pode definir uma indicação no
esquema para atributos que não deseja auditar. A propriedade searchFlags de cada
atributo define se ele é indexado, replicado ao catálogo global ou algum outro tipo de
comportamento. Existem sete bits atualmente definidos para a propriedade searchFlags.
Se o bit 9 (valor 256) for definido para um atributo, os Serviços de Domínio do Active
Directory não registrará eventos de alteração quando as modificações forem feitas. Isso se
aplica a todos os objetos que contêm aquele atributo.
Configurações do Registro
Os seguintes valores de chave do registro são usados para configurar a auditoria dos
Serviços de Domínio do Active Directory.
Estes nove atributos são do tipo mustHave. Isso significa que você deve definir um valor a
cada um. As configurações de múltiplos PSOs não podem ser mescladas.
RSOP
Um usuário ou objeto de grupo pode ter múltiplos PSOs vinculados a ele, tanto porque os
membros, em múltiplos grupos, têm, cada um, PSOs diferentes vinculados a eles, como
porque múltiplos PSOs são aplicados diretamente ao objeto. No entanto, apenas um PSO
pode ser aplicado como diretiva efetiva de senha. Apenas as configurações daquele PSO
podem afetar o usuário ou grupo. As configurações de outros PSOs, que estão ligados ao
usuário ou grupo, não podem ser mescladas de maneira alguma.
O RSOP pode apenas ser calculado para um objeto do usuário. O PSO pode ser aplicado
ao objeto de usuário nas duas maneiras que seguem:
• Diretamente. O PSO é vinculado ao usuário
• Indiretamente. O PSO é vinculado ao grupo(s) do qual o usuário é membro
Cada PSO possui um atributo adicional chamado precedência, que ajuda no cálculo do
RSOP. O atributo precedência possui um valor inteiro de 1 ou mais. Um valor mais baixo
para o atributo precedência indica que o PSO tem uma classificação maior, ou maior
prioridade, do que outros PSOs. Por exemplo, suponha que um objeto tenha dois PSOs
vinculados a ele. Um PSO possui valor de precedência 2 e o outro tenha um valor 4. Neste
caso, o PSO que possui o valor de precedência 2 tem maior classificação e, portanto, é
aplicado ao objeto.
Se múltiplos PSOs são vinculados a um usuário ou grupo, o PSO resultante aplicado é
determinado conforme o seguinte:
• Um PSO que seja vinculado diretamente ao objeto de usuário é o PSO resultante.
Se mais de um PSO for diretamente vinculado ao objeto de usuário, uma
mensagem de aviso será registrada no log de evento, e o PSO com o menor valor
de precedência será o PSO resultante.
Guia do Revisor do Windows Server “Longhorn” Beta 3
146
Segurança e Delegação
Por padrão, apenas membros do grupo de Administradores de Domínio podem criar
PSOs. Apenas membros deste grupo possuem as permissões Criar Filho e Excluir Filho, no
objeto Password Settings Container. Além disso, apenas membros do grupo de
Administradores de Domínio têm permissões de Propriedade de Escrita no PSO, por
padrão. Portanto, apenas membros deste grupo podem aplicar um PSO a um grupo ou
usuário. Você pode delegar essa permissão a outros grupos ou usuários.
Você não precisa de permissões sobre o objeto do grupo ou usuário para poder aplicar
um PSO a ele. Ter permissões de Escrita no usuário ou objeto de grupo não fornece a você
a capacidade de vincular um PSO a um usuário ou grupo. O proprietário de um grupo não
possui permissões de vincular um PSO ao grupo, pois o link de encaminhamento está no
PSO. O poder de vincular um PSO ao grupo ou usuário é dado ao proprietário do PSO.
Diretiva de Replicação de Senha Especifica quais senhas de contas são permitidas ou negadas de
serem armazenadas no RODC. Essa página aparece apenas
quando a caixa Usar instalação no modo avançado está
selecionada.
Criação de delegação do DNS Fornece uma opção padrão para criar uma delegação DNS no
tipo de instalação do controlador de domínio (conforme
especificado na página Escolha uma Configuração de
Implantação) e o ambiente DNS.
Instalação Aprimorada.
Os Serviços Federados do Active Directory no Windows Server “Longhorn” traz diversas
melhorias à experiência de instalação. Para instalar os Serviços Federados do Active
Directory no Windows Server 2003 R2, você deve ir até Adicionar/Remover Programas
para encontrar e instalar o componente dos Serviços Federados do Active Directory. No
entanto, no Windows Server “Longhorn,” você pode instalar os Serviços Federados do
Active Directory como uma função de servidor que utiliza o Server Manager.
Você pode usar o assistente de configuração aprimorado dos Serviços Federados do
Active Directory para realizar as verificações de validação do servidor antes de continuar
com a instalação dos Serviços Federados do Active Directory. Além disso, o Server
Manager automaticamente lista e instala todos os serviços dos quais os Serviços Federados
do Active Directory depende durante a instalação dos Serviços Federados do Active
Directory. Esses serviços incluem o Microsoft ASP.NET 2.0 e outros serviços que fazem
parte da função de servidor do Web Server (IIS).
Directory pode configurar uma federação com uma organização externa, usando os
Serviços Federados do Active Directory. A organização pode então usar essa relação para
compartilhar conteúdo protegido por meio de duas organizações, sem exigir uma
implantação dos Serviços de Gerenciamento de Direitos do Active Directory nas duas
organizações.
Novas Configurações
Você configura as configurações do Web Agent baseado no token do Windows NT com o
snap-in do IIS Manager. Para suportar as novas funcionalidades fornecidas com o IIS 7.0,
os Serviços Federados do Active Directory do Windows Server “Longhorn” inclui
atualizações na UI para o serviço de função do Web Agent dos Serviços Federados do
Active Directory. A tabela que segue lista os diferentes locais no IIS Manager para o IIS 6.0
ou IIS 7.0 para cada uma das páginas de propriedades do Web Agent do Active Directory
Federation, dependendo da versão do IIS que está sendo usada.
Nota
Não existem diferenças significativas de UI entre o snap-in dos Serviços Federados
do Active Directory no Windows Server “Longhorn” e o dos Serviços Federados do
Active Directory no Windows Server 2003 R2.
Nota
Este tópico concentra-se nos recursos específicos dos Serviços de Gerenciamento de
Direitos do Active Directory que estão sendo lançados com o Windows Server
“Longhorn.” As versões anteriores do RMS estão disponíveis em um download
separado. Para mais informações sobre os recursos que eram disponíveis no RMS,
confira o Windows Server 2003 Rights Management Services (RMS)
(http://go.microsoft.com/fwlink/?LinkId=68637).
Os Serviços de Gerenciamento de Direitos do Active Directory, uma tecnologia agnóstica
de formato e aplicação, fornece serviços que ativam a criação de soluções de proteção às
informações. Ele funcionará com qualquer aplicação ativada pelos Serviços de
Gerenciamento de Direitos do Active Directory a fim de fornecer diretivas persistentes de
utilização de informações sensíveis. O conteúdo pode ser protegido, usando os Serviços
de Gerenciamento de Direitos do Active Directory, que inclui sites da intranet, mensagens
de e-mail e documentos. Os Serviços de Gerenciamento de Direitos do Active Directory
inclui uma série de funções centrais que permitem aos desenvolvedores adicionar
proteção às informações nas funcionalidades de aplicações existentes.
Um sistema dos Serviços de Gerenciamento de Direitos do Active Directory, que inclui
componentes de cliente e servidor, realiza os seguintes processos:
• Licenciamento de informações protegidas por direitos. Um sistema dos
Serviços de Gerenciamento de Direitos do Active Directory emite certificados de
contas de direitos, que identificam as entidades confiáveis (como usuários, grupos
e serviços) que possam publicar o conteúdo protegido por direito. Uma vez que a
relação de confiança é estabelecida, os usuários podem atribuir direitos e
condições de utilização ao conteúdo que desejam proteger. Esses direitos
especificam quem pode acessar o conteúdo protegido e o que a pessoa deseja
fazer com ele. Quando o conteúdo é protegido, uma licença de publicação é
criada para ele. Essa licença vincula os direitos específicos de utilização a certa
parte do conteúdo, para que o conteúdo possa ser distribuído. Por exemplo, os
usuários podem enviar documentos protegidos a outros usuários, dentro ou fora
da organização, sem que o conteúdo perca sua proteção.
• Adquirindo licenças para descriptografar o conteúdo protegido por direito e
aplicar diretivas de utilização. Os usuários que receberam um certificado de
conta dos direitos podem acessar o conteúdo protegido, usando uma aplicação
ativada pelos Serviços de Gerenciamento de Direitos do Active Directory que
permite que eles vejam o conteúdo e trabalhem com ele. Quando os usuários
tentam acessar um conteúdo protegido, são enviadas requisições aos Serviços de
Gerenciamento de Direitos do Active Directory para que eles acessem ou usem o
conteúdo. Quando um usuário tenta usar o conteúdo protegido, o serviço de
licenciamento dos Serviços de Gerenciamento de Direitos do Active Directory, no
cluster dos Serviços de Gerenciamento de Direitos do Active Directory, emite uma
licença única de utilização que lê, interpreta e aplica os direitos e condições
especificados nas licenças de publicação. Os direitos e condições de utilização são
aplicados de forma persistente e automática a qualquer lugar a que o conteúdo
possa ir.
• Criando arquivos e modelos protegidos por direitos. Os usuários que são
entidades confiáveis no sistema dos Serviços de Gerenciamento de Direitos do
Active Directory podem criar e gerenciar arquivos aprimorados pela proteção,
usando ferramentas conhecidas de autoria de uma aplicação ativada pelos
Serviços de Gerenciamento de Direitos do Active Directory, que incorpora os
recursos de tecnologia dos Serviços de Gerenciamento de Direitos do Active
Directory. Além disso, as aplicações ativadas pelos Serviços de Gerenciamento de
Direitos do Active Directory podem usar modelos de utilização centralmente
definidos e oficialmente autorizados para ajudar os usuários a aplicar,
efetivamente, uma série pré-definida de diretivas de utilização.
Os Serviços de Gerenciamento de Direitos do Active Directory é feito para ajudar a tornar
o conteúdo mais seguro, independente de para onde ele tenha sido movido.
Os seguintes grupos de profissionais devem analisar esta seção dos Serviços de
Gerenciamento de Direitos do Active Directory:
• Planejadores e analistas de TI que avaliam os produtos de gerenciamento de
direitos na empresa
• Profissionais de TI responsáveis por suportar uma infra-estrutura existente de RMS
• Arquitetos de segurança em TI interessados em implantar uma tecnologia de
proteção às informações que forneça proteção a todos os tipos de dados
Os Serviços de Gerenciamento de Direitos do Active Directory conta como Active
Directory Domain Services para verificar se o usuário que tenta usar o conteúdo protegido
está autorizado para fazer isso. Ao registrar um ponto de conexão do serviço (SCP) dos
Serviços de Gerenciamento de Direitos do Active Directory durante a instalação, o usuário
deve ter acesso de Escrita ao container Services nos Serviços de Domínio do Active
Directory.
Por fim, todas as informações de configuração e registro são armazenadas no Banco de
Dados de Registro dos Serviços de Gerenciamento de Direitos do Active Directory. Em um
ambiente de teste, você pode usar o Banco de Dados Interno do Windows, mas, em um
ambiente de produção, recomenda-se usar um servidor de banco de dados separado.
Os Serviços de Gerenciamento de Direitos do Active Directory inclui uma série de
melhorias quanto às versões anteriores do RMS. Essas melhorias incluem o seguinte:
• Instalação aprimorada e experiência em administração. Os Serviços de
Gerenciamento de Direitos do Active Directory está incluído no Windows Server
“Longhorn”, sendo instalado como uma função de servidor. Além disso, a
administração dos Serviços de Gerenciamento de Direitos do Active Directory é
feita por um MMC, ao contrário da administração do Web site apresentada nas
versões anteriores.
• Registro automático do cluster dos Serviços de Gerenciamento de Direitos
do Active Directory O cluster dos Serviços de Gerenciamento de Direitos do
Active Directory pode ser registrado sem uma conexão com o Microsoft
Enrollment Service. Pelo uso de um certificado de registro automático do servidor,
o processo de registro é feito totalmente em um computador local.
• Integração com os Serviços Federados do Active Directory Os Serviços de
Gerenciamento de Direitos do Active Directory e os Serviços Federados do Active
Directory foram integrados para que as empresas possam alavancar relações
federadas existentes para colaborar com os parceiros externos.
• Novas funções administrativas dos Serviços de Gerenciamento de Direitos
do Active Directory. A capacidade de delegar tarefas dos Serviços de
Gerenciamento de Direitos do Active Directory a diferentes administradores para
diferentes administradores é necessária em qualquer ambiente corporativo com
esta versão dos Serviços de Gerenciamento de Direitos do Active Directory. Três
funções administrativas foram criadas: Administradores Corporativos de Serviços
de Gerenciamento de Direitos do Active Directory, Administradores de Modelos
de Serviços de Gerenciamento de Direitos do Active Directory e Auditores de
Serviços de Gerenciamento de Direitos do Active Directory.
Ao atualizar do RMS com SP1 ou superior, o cluster raiz deve ser atualizado antes do
cluster de licenciamento apenas. Isso é exigido para que o cluster de licenciamento apenas
receba o SLC recém-registrado do cluster raiz.