Planejar e implementar o NPS
O NPS executa autenticação, autorização e contabilidade centralizadas de conexões sem fio, servidores Gateway de Área de Trabalho Remota, comutadores de autenticação, VPNs e conexões discadas. Mas a Contoso deve primeiro configurar as políticas de rede que o NPS usa para autorizar solicitações de conexão e também pode optar por configurar a contabilidade RADIUS para que o NPS registre informações de contabilidade para registrar arquivos no disco rígido local ou em um banco de dados do Microsoft SQL Server.
Escolher um método de autenticação NPS
O NPS autentica e autoriza uma solicitação de conexão antes de permitir ou negar acesso quando os usuários tentam se conectar à sua rede por meio de NASs. Ao implantar o NPS, você pode especificar o tipo necessário de método de autenticação para acesso à sua rede.
Os seguintes métodos de autenticação têm suporte no NPS:
- PAP
- Protocolo de Autenticação de Senha Shiva (SPAP)
- CHAP
- MS-CHAP
- MS-CHAP v2
- Programa de Assistência ao Empregado (EAP)
Dica
Quando você escolhe EAP como o método de autenticação, a negociação do tipo EAP ocorre entre o cliente de acesso e o servidor NPS.
Cuidado
Você não deve usar PAP, SPAP, CHAP ou MS-CHAP em um ambiente de produção, pois eles são considerados altamente inseguros.
Contabilidade do NPS
Você também precisa considerar como deve configurar os logs para o NPS. Você pode registrar solicitações de autenticação de usuário e solicitações de contabilidade em arquivos de log no formato de texto ou no formato de banco de dados, ou ainda registrar em um procedimento armazenado em um banco de dados do Microsoft SQL Server. Use o registro em log de solicitações principalmente para fins de análise de conexão e cobrança e como uma ferramenta de investigação de segurança, pois permite que você identifique a atividade de um hacker.
Configurar políticas no NPS
O NPS dá suporte a políticas de solicitação de conexão e políticas de rede. Eles são descritos na tabela a seguir.
| Tipo | Descrição |
|---|---|
| Política de solicitação de conexão | As políticas de solicitação de conexão permitem que você escolha se o servidor NPS local processa solicitações de conexão ou as encaminha para outro servidor RADIUS para processamento |
| Política de rede | As políticas de rede permitem designar quais usuários você autoriza a se conectar à sua rede e as circunstâncias em que eles podem ou não se conectar. |
Estabelecer políticas de rede
Uma política de rede é um conjunto de condições, restrições e configurações que permitem designar quem você autorizará a se conectar à rede e as circunstâncias em que eles podem ou não se conectar. Cada política de rede tem quatro categorias de propriedades.
| Propriedade | Descrição |
|---|---|
| Visão geral | As propriedades de visão geral permitem especificar se a política está habilitada, se a política concede ou nega acesso e se as solicitações de conexão exigem um método de conexão de rede específico ou um tipo de servidor de acesso à rede. As propriedades de visão geral também permitem que você especifique se quer ignorar as propriedades de discagem das contas de usuário no AD DS. Se você selecionar essa opção, o NPS usará apenas as configurações da política de rede para determinar se a conexão deve ser autorizada. |
| Condições | Essas propriedades permitem que você especifique as condições que a solicitação de conexão deve ter para corresponder à política de rede. Se as condições configuradas na política corresponderem à solicitação de conexão, o NPS aplicará as configurações de política de rede à conexão. Por exemplo, se você especificar o endereço IPv4 do servidor de acesso à rede (endereço IPv4 nas) como uma condição da política de rede, e o NPS receber uma solicitação de conexão de um NAS que tenha o endereço IP especificado, a condição na política corresponderá à solicitação de conexão. |
| Restrições | Restrições são parâmetros adicionais da política de rede necessários para corresponder à solicitação de conexão. Se a solicitação de conexão não corresponder a uma restrição, o NPS rejeitará a solicitação automaticamente. Ao contrário da resposta NPS a condições incompatíveis na rede, se uma restrição não corresponder, o NPS não avaliará políticas de rede adicionais e negará a solicitação de conexão. |
| Configurações | As propriedades de configurações permitem que você especifique as configurações que o NPS aplica à solicitação de conexão, desde que todas as condições da política de rede correspondam e a solicitação seja aceita. |
Importante
Quando você implanta a função NPS pela primeira vez, as duas políticas de rede padrão negam o acesso remoto a todas as tentativas de conexão. Em seguida, você pode configurar políticas de rede adicionais para gerenciar tentativas de conexão.
Quando o NPS autoriza uma solicitação de conexão, ele compara a solicitação com cada política de rede na lista ordenada de políticas, começando com a primeira política e passando para o próximo item na lista. Se o NPS encontrar uma política na qual as condições correspondam à solicitação de conexão, o NPS usará a política correspondente e as propriedades de acesso remoto da conta de usuário para autorizar a solicitação. Se você configurar as propriedades de acesso remoto da conta de usuário para conceder ou controlar o acesso por meio da política de rede e a solicitação de conexão estiver autorizada, o NPS aplicará as definições que você estabeleceu na política de rede à conexão:
- Se o NPS não encontrar uma política de rede que corresponda à solicitação de conexão, o NPS rejeitará a conexão.
- Se as propriedades de discagem da conta de usuário estiverem definidas para negar acesso, o NPS rejeita a solicitação de conexão mesmo assim.
Isso é resumido no diagrama a seguir.
