Planejar e implementar o NPS
O NPS executa autenticação, autorização e contabilização centralizada de ligações para redes sem fio, servidores RD Gateway, switches de autenticação, VPNs e conexões dial-up. Mas a Contoso deve primeiro configurar as diretivas de rede que o NPS usa para autorizar solicitações de conexão e também pode optar por configurar a contabilização RADIUS para que o NPS registre informações de contabilidade em arquivos de log no disco rígido local ou em um banco de dados do Microsoft SQL Server.
Escolha um método de autenticação NPS
O NPS autentica e autoriza uma solicitação de conexão antes de permitir ou negar acesso quando os usuários tentam se conectar à sua rede por meio de NASs. Ao implantar o NPS, você pode especificar o tipo necessário de método de autenticação para acessar sua rede.
Os seguintes métodos de autenticação são suportados pelo NPS:
- PAP
- Protocolo de autenticação de senha Shiva (SPAP)
- CHAP
- MS-CHAP
- MS-CHAP v2
- PAA
Sugestão
Quando você escolhe EAP como o método de autenticação, a negociação do tipo EAP ocorre entre o cliente de acesso e o servidor NPS.
Atenção
Você não deve usar PAP, SPAP, CHAP ou MS-CHAP em um ambiente de produção, pois eles são considerados altamente inseguros.
Contabilidade NPS
Você também precisa considerar como configurar o log para o NPS. Você pode registrar solicitações de autenticação de usuário e solicitações de contabilidade em arquivos de log em formato de texto ou banco de dados, ou pode fazer logon em um procedimento armazenado em um banco de dados do Microsoft SQL Server. Use o registro de solicitações principalmente para fins de análise de conexão e faturamento, e como uma ferramenta de investigação de segurança, pois permite identificar a atividade de um hacker.
Configurar políticas no NPS
O NPS oferece suporte a diretivas de solicitação de conexão e diretivas de rede. Estes são descritos na tabela a seguir.
| Tipo | Descrição |
|---|---|
| Política de solicitação de conexão | As políticas de solicitação de conexão permitem que você escolha se o servidor NPS local processa solicitações de conexão ou as encaminha para outro servidor RADIUS para processamento |
| Política de rede | As políticas de rede permitem que você designe quais usuários você autoriza a se conectar à sua rede e as circunstâncias em que eles podem ou não se conectar. |
Estabelecer políticas de rede
Uma política de rede é um conjunto de condições, restrições e configurações que permitem designar quem você autorizará a se conectar à rede e as circunstâncias em que eles podem ou não se conectar. Cada diretiva de rede tem quatro categorias de propriedades.
| Propriedade | Descrição |
|---|---|
| Visão geral | As propriedades de visão geral permitem especificar se a política está habilitada, se a política concede ou nega acesso e se as solicitações de conexão exigem um método de conexão de rede específico ou um tipo de servidor de acesso à rede. As propriedades gerais também permitem especificar se as propriedades de acesso remoto das contas de utilizador devem ou não ser ignoradas no AD DS. Se você selecionar essa opção, o NPS usará apenas as configurações da diretiva de rede para determinar se a conexão deve ser autorizada. |
| Condições | Essas propriedades permitem especificar as condições que a solicitação de conexão deve ter para corresponder à diretiva de rede. Se as condições configuradas na diretiva corresponderem à solicitação de conexão, o NPS aplicará as configurações de diretiva de rede à conexão. Por exemplo, se você especificar o endereço IPv4 do servidor de acesso à rede (endereço IPv4 NAS) como uma condição da diretiva de rede e o NPS receber uma solicitação de conexão de um NAS que tenha o endereço IP especificado, a condição na diretiva corresponderá à solicitação de conexão. |
| Restrições | As restrições são parâmetros adicionais da diretiva de rede que são necessários para corresponder à solicitação de conexão. Se a solicitação de conexão não corresponder a uma restrição, o NPS rejeitará a solicitação automaticamente. Ao contrário da resposta do NPS a condições incomparáveis na rede, se uma restrição não corresponder, o NPS não avaliará diretivas de rede adicionais e negará a solicitação de conexão. |
| Configurações | As propriedades Configurações permitem especificar as configurações que o NPS aplica à solicitação de conexão, desde que todas as condições da diretiva de rede correspondam e a solicitação seja aceita. |
Importante
Quando você implanta a função NPS pela primeira vez, as duas diretivas de rede padrão negam acesso remoto a todas as tentativas de conexão. Em seguida, você pode configurar políticas de rede adicionais para gerenciar tentativas de conexão.
Quando o NPS autoriza uma solicitação de conexão, ele compara a solicitação com cada diretiva de rede na lista ordenada de diretivas, começando com a primeira diretiva e passando para o próximo item da lista. Se o NPS encontrar uma política na qual as condições correspondam ao pedido de ligação, o NPS utilizará a política correspondente e as propriedades de ligação da conta de utilizador para autorizar o pedido. Se configurar as propriedades de chamada de entrada da conta de utilizador para conceder ou controlar o acesso através da política de rede e o pedido de ligação for autorizado, o NPS aplica as definições configuradas na política de rede à ligação.
- Se o NPS não encontrar uma diretiva de rede que corresponda à solicitação de conexão, o NPS rejeitará a conexão.
- Se as propriedades de discagem da conta de usuário estiverem definidas para negar acesso, o NPS rejeitará a solicitação de conexão ainda assim.
Isso é resumido no diagrama a seguir.
