Você está na página 1de 12

Configuração da

Laboratório: Configuração da NAP para DHCP e VPN

Proteção

de

Acesso

à

Rede

Tarefa 1: Abrir a ferramenta Gerenciador de Servidores em NYC-SVR1.

• Em NYC-SVR1, abra Gerenciador de Servidores, no menu Ferramentas Administrativas.

Tarefa 2: Instalar as funções de Servidor de Diretiva de Rede (NPS) e de servidor DHCP (Dynamic Host

Configuration Protocol)

1. Em NYC-SVR1, no Gerenciador de Servidores, clique com o botão direito do mouse em Funções e

selecione Adicionar Funções do menu de contexto.

2. Na página Antes de Começar, clique em Próximo.

3. Na página Selecionar Funções do Servidor, marque as caixas de seleção Servidor DHCP e Serviços de

Acesso e Diretiva de Rede e clique duas vezes em Próximo.

4. Na página Selecionar Serviços de Função, marque a caixa de seleção Servidor de Diretiva de Rede e

clique em Próximo duas vezes.

5. Na página Selecionar Ligações de Conexão de Rede, verifique se 10.10.0.24 está selecionado, remova

a marca de seleção ao lado de 192.168.1.10 e clique em Próximo.

6. Na página Especificar Configurações de Servidor DNS, verifique se WoodGroveBank.com aparece na

lista em Domínio pai.

7. Digite 10.10.0.10 em Endereço IP do servidor DNS preferencial e clique em Validar. Verifique se o

resultado retornado é Válido e clique em Próximo.

8. Na página Especificar Configurações de Servidor WINS, aceite a configuração padrão de WINS não é

necessário aos aplicativos desta rede e clique em Próximo.

9. Na página Adicionar ou Editar Escopos DHCP, clique em Próximo.

10. Na caixa de diálogo Adicionar Escopo, digite Escopo de NAP ao lado de Nome do Escopo. Ao lado de

Endereço IP Inicial, digite 10.10.0.50; ao lado de Endereço IP Final, digite 10.10.0.199; e ao lado de Máscara de Sub-rede, digite 255.255.0.0.

11. Marque a caixa de seleção Ativar este escopo, clique em OK e em Próximo.

12. Na página Configurar o Modo Sem Monitoramento de Estado do DHCPv6, selecione Desabilitar o

modo sem monitoramento de estado de DHCPv6 para este servidor e, em seguida, clique em Próximo.

13. Na página Autorizar Servidor DHCP, selecione Usar credenciais atuais. Verifique se WoodGroveBank\administrador aparece ao lado de Nome de usuário e clique em Próximo.

14. Na página Confirmar Seleções de Instalação, clique em Instalar.

15. Verifique se a instalação foi bem-sucedida e clique em Fechar.

16. Feche a janela Gerenciador de Servidores.

Tarefa 3: Configurar NYC-SVR1 como um servidor de diretiva de integridade de NAP

1. Em NYC-SVR1, abra o console de gerenciamento Servidor de Diretivas de Rede no menu Iniciar, em

Ferramentas Administrativas.

2. Configure os validadores de integridade do sistema:

a. Expanda Proteção de Acesso à Rede e clique em Validadores da Integridade do Sistema.

b. No painel do meio, em Nome, clique duas vezes em Validador da Integridade da Segurança do

Windows.

c. Na caixa de diálogo Propriedades do Validador da Integridade da Segurança do Windows, clique em

Configurar.

d.

Na guia Windows Vista™, desmarque todas as caixas de seleção, exceto Firewall habilitado para

todas as conexões de rede.

e. Clique em OK para fechar a caixa de diálogo Validador da Integridade da Segurança do Windows e em OK para fechar a janela Propriedades de Validador de Integridade de Segurança do Windows.

3. Configure os grupos de servidores de atualizações:

a. Na árvore de console, em Proteção de Acesso à Rede, clique com o botão direito do mouse em Grupos de Servidores de Atualizações e clique em Novo.

b. Em Nome do Grupo, digite Rem1.

c. Ao lado de Servidores de Atualizações, clique em Adicionar.

d. Na caixa de diálogo Adicionar Novo Servidor, em Endereço IP ou nome DNS, digite 10.10.0.10, e

clique duas vezes em OK.

4. Configure as diretivas de integridade:

a. Expanda Diretivas.

b. Clique com o botão direito do mouse em Diretivas de Integridade e depois clique em Novo.

c. Na caixa de diálogo Criar Nova Diretiva de Integridade, em Nome da Diretiva, digite Compatível.

d. Em Verificações de SHV de cliente, verifique se a opção Cliente aprovado em todas as verificações de

SHV está selecionada.

e. Em SHVs usados nesta diretiva de integridade, marque a caixa de seleção Validador da Integridade da Segurança do Windows e clique em OK.

f. Clique com o botão direito do mouse em Diretivas de Integridade e depois clique em Novo.

g. Na caixa de diálogo Criar Nova Diretiva de Integridade, em Nome da Diretiva, digite Não compatível.

h. Em Verificações de SHV de cliente, selecione Cliente reprovado em uma ou mais verificações de SHV.

i. Em SHVs usados nesta diretiva de integridade, marque a caixa de seleção Validador da Integridade

da Segurança do Windows e clique em OK.

5. Configure uma diretiva de rede para computadores compatíveis:

a. Na árvore de console, em Diretivas, clique em Diretivas de Rede.

b. Desabilite as duas diretivas padrão em Nome da Diretiva clicando com o botão direito do mouse nas

diretivas e clicando em Desabilitar para as duas.

c. Clique com o botão direito do mouse em Diretivas de Rede e clique em Novo.

d. Na janela Especificar Nome de Diretiva de Rede e Tipo de Conexão, em Nome da diretiva, digite

Compatível com Acesso Total e clique em Avançar.

e. Na janela Especificar Condições, clique em Adicionar.

f. Na caixa de diálogo Selecionar condição, clique duas vezes em Diretivas de Integridade.

g. Na caixa de diálogo Diretivas de Integridade, em Diretivas de integridade, selecione Compatível e

clique em OK.

h. Na janela Especificar Condições, verifique se Diretiva de Integridade está especificada em Condições

com um valor de Compatibilidade e clique em Avançar.

i. Na janela Especificar Permissão de Acesso, verifique se a opção Acesso concedido está selecionada e clique em Avançar.

j. Na janela Configurar Métodos de Autenticação, selecione Executar somente verificação de integridade da máquina. Desmarque todas as outras caixas de seleção e clique Avançar.

k. Na janela Configurar Restrições, clique em Avançar.

l. Na janela Definir Configurações, clique em Imposição de NAP. Verifique se a opção Permitir acesso

total à rede está selecionada e clique em Avançar.

6.

Configure uma diretiva de rede para computadores incompatíveis:

a. Clique com o botão direito do mouse em Diretivas de Rede e clique em Novo.

b. Na janela Especificar Nome de Diretiva de Rede e Tipo de Conexão, em Nome da diretiva, digite Não

compatível restrito e clique em Avançar.

c.

Na janela Especificar Condições, clique em Adicionar.

d.

Na caixa de diálogo Selecionar condição, clique duas vezes em Diretivas de Integridade.

e.

Na caixa de diálogo Diretivas de Integridade, em Diretivas de integridade, selecione Não compatível

e

clique em OK.

f. Na janela Especificar Condições, verifique se Diretiva de Integridade está especificada em Condições com um valor de Não compatível e clique em Avançar.

g. Na janela Especificar Permissão de Acesso, verifique se a opção Acesso concedido está selecionada e

clique em Avançar.

h. Na janela Configurar Métodos de Autenticação, selecione Executar somente verificação de

integridade da máquina. Desmarque todas as outras caixas de seleção e clique Avançar.

i. Na janela Configurar Restrições, clique em Avançar.

j. Na janela Definir Configurações, clique em Imposição de NAP. Selecione Permitir acesso limitado e verifique se a opção Habilitar correção automática de computadores cliente.

k.

Clique em Avançar e depois em Concluir. Isso conclui a configuração das diretivas de rede NAP. Feche

o

console do Servidor de Diretivas de Rede.

Tarefa 4: Configurar o serviço DHCP para imposição de NAP

1. Em NYC-SVR1, clique em Iniciar, aponte para Ferramentas Administrativas e clique em DHCP.

2. No console DHCP, expanda NYC-SVR1.woodgrovebank.com e expanda em IPv4.

3. Selecione e clique com o botão direito do mouse em Escopo e clique em Propriedades.

4. Na guia Proteção de Acesso à Rede, selecione Habilitar para este escopo e verifique se a opção Usar

perfil padrão de Proteção de Acesso à Rede está selecionada e clique em OK.

5. No console DHCP, expanda Escopo e clique com o botão direito do mouse em Opções de Escopo e

clique em Configurar Opções.

6. Na guia Avançado, ao lado de Classe de usuário, verifique se a opção Classe de Usuário Padrão está

selecionada.

7. Em Opções Disponíveis, marque a caixa de seleção 003 Roteador, digite 10.10.0.1 em Endereço IP e

clique em Adicionar.

8. Marque a caixa de seleção Nome do Domínio DNS 015, digite Woodgrovebank.com em Valor da

cadeia de caracteres e clique em OK. O domínio Woodgrovebank.com é uma rede de acesso total, atribuída a clientes NAP compatíveis.

9. No console DHCP, clique com o botão direito do mouse em Opções de escopo e clique em Configurar

opções.

10. Na guia Avançado, ao lado de Classe de usuário, selecione Default Network Access Protection Class.

11. Marque a caixa de seleção Servidores DNS 006, digite 10.10.0.10 em Endereço IP e clique em

Adicionar.

12. Marque a caixa de seleção Nome do Domínio DNS 015, digite restricted.Woodgrovebank.com em

Valor da cadeia de caracteres e clique em OK. O domínio restricted.woodgrovebank.com é uma rede de

acesso restrito atribuída a clientes NAP incompatíveis.

13. Feche o console DHCP.

Tarefa 6: Configurar NYC-CL1 como cliente NAP e DHCP

1. Em NYC-CL1, habilite a Central de Segurança:

a. Clique em Iniciar, aponte para Todos os Programas, clique em Acessórios e clique em Executar.

b. Digite mmc e pressione ENTER.

c. No menu Arquivo, clique em Adicionar/remover snap-in.

d. Na caixa de diálogo Adicionar/remover snap-in, em Snap-ins disponíveis, clique em Editor de Objeto

de Diretiva de Grupo e em Adicionar.

e. Na caixa de diálogo Selecionar Objeto de Diretiva de Grupo, clique em Concluir e depois em OK.

f. Na árvore de console, expanda Diretiva do Computador Local/Configuração do Computador/Modelos Administrativos / Componentes do Windows/Central de Segurança.

g. Clique duas vezes em Ativar a Central de Segurança (PCs em domínios somente), clique em Ativado e

em OK.

h.

Feche a janela do console. Quando for solicitado o salvamento das configurações, clique em Não.

2.

Habilite o cliente de imposição DHCP:

a.

Clique em Iniciar, Todos os Programas, Acessórios e em Executar.

b.

Digite napclcfg.msc e pressione ENTER.

c.

Na árvore de console, clique em Clientes de Imposição.

d.

No painel de detalhes, clique com o botão direito do mouse em Cliente de Imposição de Quarentena

DHCP e clique em Habilitar.

e.

Feche o console de Configuração de cliente NAP.

3.

Habilite e inicie o serviço Agente NAP:

a.

Clique em Iniciar, em Painel de Controle, em Sistema e Manutenção e em Ferramentas

Administrativas.

b. Clique duas vezes em Serviços.

c. Na lista Serviços, clique duas vezes em Agente de Proteção de Acesso à Rede.

d. Na caixa de diálogo Propriedades de Agente de Proteção de Acesso à Rede, altere Tipo de

Inicialização para Automática e clique em Iniciar.

e.

Espere o serviço Agente NAP ser iniciado e clique em OK.

f.

Feche o console Serviços e feche as janelas Ferramentas Administrativas e Sistema e Manutenção.

4.

Configure a NYC-CL1 para atribuição de endereço DHCP:

a.

Clique em Iniciar e, em seguida, clique em Painel de Controle.

b.

Clique em Rede e Internet, clique em Central de Rede e Compartilhamento e clique em Gerenciar

conexões de rede.

c. Clique com o botão direito do mouse em Conexão local e, em seguida, clique em Propriedades.

d. Na caixa de diálogo Propriedades da Conexão Local, desmarque a caixa de seleção Protocolo TCP/IP

versão 6 (TCP/IPv6). Isso reduz a complexidade do laboratório, especialmente para aqueles que não

estão familiarizados com o IPv6.

e. Clique em Protocolo TCP/IP Versão 4 (TCP/IPv4) e depois em Propriedades.

f. Verifique se a opção Obter um endereço IP automaticamente e Obter o endereço dos servidores DNS automaticamente estão selecionadas.

g. Clique em OK e clique em Fechar para fechar a caixa de diálogo Propriedades de Conexão Local.

h. Feche as janelas Conexões de rede e Central de Redes e Compartilhamento.

i. Reinicie o NYC-CL1. Depois que o computador reiniciar, faça logon como Administrador com a senha

Pa$$w0rd.

Tarefa 7: Testar a Imposição de NAP

1.

Verifique o endereço atribuído por DHCP e o estado de quarentena atual:

a.

Em NYC-CL1, clique em Iniciar, clique em Todos os Programas, Acessórios e em Prompt de Comando

e

em Executar como administrador.

b.

No prompt de comando, digite ipconfig /all e pressione ENTER.

c.

Verifique se o sufixo DNS específico da conexão é Woodgrovebank.com e se o Estado de Quarentena

é Irrestrito.

2. Configure a diretiva do Validador da Integridade do Sistema para exigir software antivírus:

a. Em NYC-SVR1, abra o console Servidor de Diretivas de Rede.

b. Expanda Proteção de Acesso à Rede e clique em Validadores da

Integridade do Sistema.

c. No painel de detalhes, em Nome, clique duas vezes em Validador da Integridade da Segurança do

Windows.

d. Na caixa de diálogo Propriedades do Validador da Integridade da Segurança do Windows, clique em

Configurar.

e. Na caixa de diálogo Validador da Integridade da Segurança do Windows, em Proteção Contra Vírus,

marque a caixa de seleção Aplicativo antivírus ativo.

f. Clique em OK e em OK novamente para fechar a janela Propriedades de Validador de Integridade de Segurança do Windows.

3.

Verifique a rede restrita em NYC-CL1:

a.

Em NYC-CL1, clique em Iniciar, clique em Todos os Programas, Acessórios e em Prompt de Comando

e

em Executar como administrador.

b.

No prompt de comando, digite ipconfig /release.

c.

No prompt de comando, digite ipconfig /renew.

d.

Verifique se Sufixo DNS específico à conexão agora é restricted.woodgrovebank.com.

e. Feche a janela de comando e clique duas vezes no ícone de Proteção de Acesso à Rede na bandeja do sistema. Observe que ela informa que o computador não é compatível com os requisitos da rede.

f. Clique em Fechar.

Exercício 2: Configuração da NAP para clientes VPN

Tarefa 1: Configurar NYC-DC1 como uma autoridade de certificação raiz corporativa

1. Em NYC-DC1, clique em Iniciar, aponte para Ferramentas Administrativas e clique em Gerenciador de

Servidores.

2. Em Resumo de Funções, clique em Adicionar Funções.

3. Na página Antes de Começar, clique em Próximo.

4. Marque a caixa de seleção Serviços de Certificados do Active Directory e clique duas vezes em

Próximo.

5. Na página Selecionar Serviços de Função, clique em Próximo.

6. Na página Especificar Tipo de Instalação, selecione Enterprise e clique

em Próximo.

7. Na página Especificar Tipo de CA, selecione CA Raiz e clique em Próximo.

8. Na página Instalar Chave Privada, clique em Próximo.

9. Na página Configurar Criptografia para CA, clique em Próximo.

10. Na página Configurar Nome da CA, especifique um nome de CA Raiz e clique em Próximo.

11. Na página Definir Período de Validade, clique em Próximo.

13. Na página Confirmar Seleções de Instalação, clique em Instalar.

14. Na página Resultados da Instalação, verifique se a instalação foi bem-sucedida e clique em Fechar.

15. Feche a janela Gerenciador de Servidores.

16. Em NYC-DC1, clique em Iniciar, aponte para Ferramentas Administrativas e clique em Certification

authority.

17. No console de gerenciamento certsrv , expanda CA Raiz, clique com o botão direito do mouse em

Modelos de Certificado e selecione Gerenciar do menu de contexto.

18. No painel de detalhes do console de Modelos de Certificado, clique com o botão direito do mouse em

Computador e escolha Propriedades do menu de contexto.

19. Clique na guia Segurança, na caixa de diálogo Propriedades do Computador, e selecione Usuários

Autenticados.

20. Em Permissões de Usuários Autenticados, marque a caixa de seleção Permitir para a permissão

Registrar e clique em OK.

21. Feche o console Modelos de Certificado e feche o console de gerenciamento certsrv.

Tarefa 2: Configurar NYC-SVR1 com o NPS funcionando como um servidor de diretiva de integridade.

1. Inicie 10221A-NYC-SVR1 e faça logon como Woodgrovebank\administrador usando a senha

Pa$$w0rd.

2. Obtenha o certificado do computador em NYC-SVR1 para a autenticação PEAP do lado do servidor:

a. Clique em Iniciar, clique em Executar, digite mmc e pressione ENTER.

b. No menu Arquivo, clique em Adicionar/remover snap-in.

c. Na caixa de diálogo Adicionar ou Remover Snap-ins, clique em Certificados, clique em Adicionar,

selecione Conta de computador, clique em Avançar e clique em Concluir.

d. Clique em OK para fechar a caixa de diálogo Adicionar ou Remover Snap-ins.

e. Na árvore de console, expanda Certificados, clique com o botão direito do mouse em Pessoal, aponte

para Todas as Tarefas e clique em Solicitar Novo Certificado.

f.

A caixa de diálogo Registro de Certificado será aberta. Clique em Avançar.

g.

Marque a caixa de seleção Computador e clique em Registrar.

h.

Verifique o status da instalação do certificado como Êxito e clique em Concluir.

i.

Feche a janela Console1.

j.

Clique em Não, quando solicitado, para salvar as configurações do console.

3.

Instalar a função Servidor NPS:

a.

Em NYC-SVR1, clique em Iniciar, em Ferramentas Administrativas e em Gerenciador de Servidores.

b.

Em Resumo de Funções, clique em Adicionar Funções e clique em Avançar.

c.

Marque a caixa de seleção Serviços de Acesso e Diretiva de Rede e clique duas vezes em Avançar.

d.

Marque as caixas de seleção Servidor de Diretivas de Rede e Serviço de Acesso Remoto, clique em

Avançar e clique em Instalar.

e.

Verifique se a instalação foi bem-sucedida e clique em Fechar.

f.

Feche a janela Gerenciador de Servidores.

4.

Configure o NPS como um servidor de diretiva de integridade de NAP:

a.

Clique em Iniciar, clique em Executar, digite nps.msc e pressione ENTER.

b.

Expanda Proteção de Acesso à Rede e clique em Validadores da Integridade do Sistema.

c.

No painel do meio, em Nome, clique duas vezes em Validador da Integridade da Segurança do

Windows.

d. Na caixa de diálogo Propriedades do Validador da Integridade da Segurança do Windows, clique em

Configurar.

e. Na guia Windows Vista, desmarque todas as caixas de seleção, exceto Firewall habilitado para todas as conexões de rede.

f. Clique em OK para fechar a caixa de diálogo Validador da Integridade da Segurança do Windows e em OK para fechar a janela Propriedades de Validador de Integridade de Segurança do Windows.

5. Configure as diretivas de integridade:

a. Expanda Diretivas.

b. Clique com o botão direito do mouse em Diretivas de Integridade e depois clique em Novo.

c. Na caixa de diálogo Criar Nova Diretiva de Integridade, em Nome da Diretiva, digite Compatível.

d. Em Verificações de SHV de cliente, verifique se a opção Cliente aprovado em todas as verificações de

SHV está selecionada.

e. Em SHVs usados nesta diretiva de integridade, marque a caixa de seleção Validador da Integridade da Segurança do Windows.

f. Clique em OK.

g. Clique com o botão direito do mouse em Diretivas de Integridade e depois clique em Novo.

h. Na caixa de diálogo Criar Nova Diretiva de Integridade, em Nome da Diretiva, digite Não compatível.

i. Em Verificações de SHV de cliente, selecione Cliente reprovado em uma ou mais verificações de SHV.

j. Em SHVs usados nesta diretiva de integridade, marque a caixa de seleção Validador da Integridade da Segurança do Windows.

k.

Clique em OK.

6.

Configure diretivas de rede para computadores compatíveis:

a.

Expanda Diretivas.

b.

Clique em Diretivas de Rede.

c.

Desabilite as duas diretivas padrão localizadas em Nome da Diretiva clicando com o botão direito do

mouse nas diretivas e clicando em Desabilitar.

d. Clique com o botão direito do mouse em Diretivas de Rede e clique em Novo.

e. Na janela Especificar Nome de Diretiva de Rede e Tipo de Conexão, em Nome da diretiva, digite Compatível com Acesso Total e clique em Avançar.

f. Na janela Especificar Condições, clique em Adicionar.

g. Na caixa de diálogo Selecionar condição, clique duas vezes em Diretivas de Integridade.

h. Na caixa de diálogo Diretivas de Integridade, em Diretivas de integridade, selecione Compatível e

clique em OK.

i. Na janela Especificar Condições, verifique se Diretiva de Integridade está especificada em Condições com um valor de Compatibilidade e clique em Avançar.

j. Na janela Especificar Permissão de Acesso, verifique se a opção Acesso concedido está selecionada.

k. Clique três vezes em Avançar.

l. Na janela Definir Configurações, clique em Imposição de NAP. Verifique se a opção Permitir acesso

total à rede está selecionada e clique em Avançar.

m.

Na janela Concluindo Nova Diretiva de Rede, clique em Concluir.

7.

Configure diretivas de rede para computadores incompatíveis:

a.

Clique com o botão direito do mouse em Diretivas de Rede e clique em Novo.

b.

Na janela Especificar Nome de Diretiva de Rede e Tipo de Conexão, em Nome da diretiva, digite Não

compatível restrito e clique em Avançar.

c. Na janela Especificar Condições, clique em Adicionar.

e.

Na caixa de diálogo Diretivas de Integridade, em Diretivas de integridade, selecione Não compatível

e

clique em OK.

f. Na janela Especificar Condições, verifique se Diretiva de Integridade está especificada em Condições com um valor de Não compatível e clique em Avançar.

g. Na janela Especificar Permissão de Acesso, verifique se a opção Acesso concedido está selecionada.

h. Clique três vezes em Avançar.

i. Na janela Definir Configurações, clique em Imposição de NAP.

Selecione Permitir acesso limitado e Habilitar correção automática de computadores cliente.

j. Na janela Definir Configurações, clique em Filtros de IP.

k. Em IPv4, clique em Filtros de Entrada e clique em Avançar.

l. Na caixa de diálogo Adicionar filtro IP, marque a caixa de seleção Rede de destino. Digite 10.10.0.10 ao lado do Endereço IP e digite 255.255.255.255 ao lado de Máscara de sub-rede. Esta etapa assegura

que o tráfego de clientes incompatíveis acesse somente a NYC-DC1.

m. Clique em OK para fechar a caixa de diálogo Adicionar Filtro IP e selecione Permitir apenas os pacotes listados abaixo na caixa de diálogo Filtros de Entrada.

n. Clique em OK para fechar a caixa de diálogo Filtros de Entrada.

o. Em IPv4, clique em Filtros de Saída e clique em Avançar.

p. Na caixa de diálogo Adicionar filtro IP, marque a caixa de seleção Rede de origem. Digite 10.10.0.10

ao lado do Endereço IP e digite 255.255.255.255 ao lado de Máscara de sub-rede.

q. Clique em OK para fechar a caixa de diálogo Adicionar Filtro IP e selecione Permitir apenas os pacotes

listados abaixo na caixa de diálogo Filtros de Saída. Esta etapa assegura que somente o tráfego de NYC-

DC1 seja enviado a clientes incompatíveis.

r.

Clique em OK para fechar a caixa de diálogo Filtros de Saída.

s.

Na janela Definir Configurações, clique em Avançar.

t.

Na janela Concluindo Nova Diretiva de Rede, clique em Concluir.

8.

Configure as diretivas de solicitação de conexão:

a.

Clique em Diretivas de Solicitação de Conexão.

b.

Desabilite a diretiva de solicitação de conexão padrão localizada em Nome da Diretiva clicando com

o

botão direito do mouse nas diretivas e clicando em Desabilitar.

c.

Clique com o botão direito do mouse em Diretivas de Solicitação de Conexão e, em seguida, clique

em Novo.

d. Na janela Especificar Nome da Diretiva de Solicitação de Conexão e Tipo de Conexão, em Nome da

diretiva, digite Conexões VPN.

e. Em Tipo de servidor de acesso à rede, selecione Servidor de Acesso Remoto (VPN-Dial up) e clique em

Avançar.

f. Na janela Especificar Condições, clique em Adicionar.

g. Na janela Selecionar condição, clique duas vezes em Tipo de Túnel, selecione PPTP e L2TP e OK e

clique em Avançar.

h. Na janela Especificar Encaminhamento de Solicitações de Conexão, verifique se a opção Autenticar

solicitações neste servidor está selecionada e clique em Avançar.

i. Na janela Especificar Métodos de Autenticação, selecione Substituir configurações de autenticação da

diretiva de rede.

j. Em Tipos EAP, clique em Adicionar. Na caixa de diálogo Adicionar EAP, em Métodos de autenticação, clique em Microsoft: EAP protegido (PEAP) e depois em OK.

k. Em Tipos EAP, clique em Adicionar. Na caixa de diálogo Adicionar EAP, em Métodos de autenticação,

clique em Microsoft: Senha segura (EAP-MSCHAP v2) e depois em OK.

l.

Em Tipos de EAP, clique em Microsoft: EAP protegido (PEAP) e clique em Editar.

m.

Verifique se a caixa de seleção Ativar Verificações de Quarentena está selecionada e clique em OK.

n.

Clique em Avançar duas vezes e depois clique em Concluir.

9.

Feche o console do Servidor de Diretivas de Rede.

Tarefa 3: Configurar NYC-SVR1 com o Serviço de Roteamento e Acesso Remoto (RRAS) configurado como um servidor VPN

1. Em NYC-SVR1, clique em Iniciar, clique em Executar, digite rrasmgmt.msc e pressione ENTER.

2. No console Roteamento e Acesso Remoto, clique com o botão direito do mouse em NYC-SVR1 (local)

e clique em Configurar e Habilitar Roteamento e Acesso Remoto. Isso iniciará o Assistente para configuração do roteamento e acesso remoto.

3. Clique em Avançar, selecione Acesso remoto (dial-up ou rede virtual privada) e clique em Avançar.

4. Marque a caixa de seleção VPN e clique em Avançar.

5. Clique na interface de rede com um endereço IP 192.168.1.10. Desmarque a caixa de seleção

Habilitar a segurança na interface selecionada configurando filtros de pacotes estáticos. e clique em Avançar. Isso assegura que a NYC-SVR1 seja capaz de executar ping em NYC-DC1 quando estiver conectada à sub-rede da Internet, sem a necessidade de configurar filtros de pacote adicionais para o tráfego por ICMP (Internet Control Message Protocol).

6. Na página Atribuição de Endereço IP, selecione De um intervalo de endereços especificado e depois

em Avançar.

7. Na página Atribuição de intervalo de endereços, clique em Novo. Digite 10.10.0.100 ao lado de

Endereço IP inicial e 10.10.0.110 ao lado de Endereço IP final e clique em OK. Verifique se os 11 endereços IP foram atribuídos a clientes remotos e clique em Avançar.

8. Na página Gerenciando múltiplos servidores de acesso remoto, selecione Não, usar o 'Roteamento e

acesso remoto' para autenticar pedidos de conexão e, em seguida, clique em Avançar.

9. Clique em Avançar e depois em Concluir.

10. Clique em OK e aguarde até que o serviço Roteamento e Acesso Remoto inicie.

11. Abra o console Servidor de Diretivas de Rede no menu Ferramentas Administrativas, expanda

Diretivas, selecione Diretivas de Solicitação de Conexão e desabilite Diretiva do Serviço de Roteamento e Acesso Remoto da Microsoft clicando com o botão direito do mouse na diretiva e escolhendo Desabilitar.

12. Feche o console de gerenciamento do Servidor de Diretivas de Rede.

13. Feche o Roteamento e acesso remoto.

Tarefa 4: Permitir ping em NYC-SVR1

1. Clique em Iniciar, em Ferramentas Administrativas e em Firewall do Windows com Segurança

Avançada.

2. Clique com o botão direito do mouse em Regras de Entrada e, em seguida, clique em Nova Regra.

3. Selecione Personalizado e clique em Avançar.

4. Selecione Todos os programas e clique em Avançar.

5. Ao lado de Tipo de protocolo, selecione ICMPv4 e clique em Personalizar.

6. Selecione Tipos específicos de ICMP, marque a caixa de seleção Solicitação de Eco, clique em OK e em

Avançar.

7.

Clique em Avançar para aceitar o escopo padrão.

8. Na janela Ação, verifique se a opção Permitir a conexão está selecionada e clique em Avançar.

9. Clique em Avançar para aceitar o perfil padrão.

10. Na janela Nome, em Nome, digite ICMPv4 echo request e clique em Concluir.

11. Feche o console Firewall do Windows com Segurança Avançada.

Tarefa 5: Configurar NYC-CL1 como um cliente NAP e VPN

1. Configure NYC-CL1 para que a Central de Segurança esteja sempre habilitada:

a. Clique em Iniciar, aponte para Todos os Programas, clique em Acessórios e clique em Executar.

b. Digite gpedit.msc e pressione ENTER.

c. Na árvore de console, expanda Diretiva do Computador Local/Configuração do Computador/Modelos

Administrativos/ Componentes do Windows/Central de Segurança

d. Clique duas vezes em Ativar a Central de Segurança (PCs em domínios somente), clique em Ativado e

em OK.

e.

Feche o console do Editor de Objeto de Diretiva de Grupo Local.

2.

Habilite o cliente de imposição de quarentena, de acesso remoto:

a.

Clique em Iniciar, Todos os Programas, Acessórios e em Executar.

b.

Digite napclcfg.msc e pressione ENTER.

c.

Na árvore de console, clique em Clientes de Imposição.

d.

No painel de detalhes, clique com o botão direito do mouse em Cliente de Imposição de Quarentena

de Acesso Remoto e clique em Ativado.

e.

Feche a janela Configuração de cliente NAP.

3.

Habilite e inicie o serviço Agente NAP:

a.

Clique em Iniciar, em Painel de Controle, em Sistema e Manutenção e em Ferramentas

Administrativas.

b. Clique duas vezes em Serviços.

c. Na lista de serviços, clique duas vezes em Agente de Proteção de Acesso à Rede.

d. Na caixa de diálogo Propriedades de Agente de Proteção de Acesso à Rede, altere Tipo de

Inicialização para Automática e clique em Iniciar.

e.

Espere o serviço Agente NAP ser iniciado e clique em OK.

f.

Feche o console Serviços e feche as janelas Ferramentas Administrativas e Sistema e Manutenção.

4.

Configure NYC-CL1 para o segmento de rede da Internet:

a.

Clique em Iniciar, clique com o botão direito do mouse em Rede e, em seguida, clique em

Propriedades.

b. Clique em Gerenciar Conexões de Rede.

c. Clique com o botão direito do mouse em Conexão local e, em seguida, clique em Propriedades.

d. Clique em Protocolo TCP/IP Versão 4 (TCP/IPv4) e depois em Propriedades.

e. Clique em Usar o seguinte endereço IP. Ao lado de Endereço IP, digite 192.168.1.20. Ao lado de Máscara de sub-rede, digite 255.255.255.0. Remova o Gateway padrão.

f.

Ao lado de Servidor DNS preferencial, remova 10.10.0.10.

g.

Clique em OK e clique em Fechar para fechar a caixa de diálogo Propriedades de Conexão Local.

h.

Feche a janela Conexões de Rede.

5.

Verifique a conectividade de rede para NYC-CL1:

a.

Clique em Iniciar, Todos os Programas, Acessórios e em Executar.

b.

Digite cmd e pressione ENTER.

d.

Verifique se a resposta é “Resposta de 192.168.1.10”.

e.

Feche a janela de comando.

6.

Configurar uma conexão VPN:

a.

Clique em Iniciar, em Painel de Controle, em Rede e Internet e, por último, clique em Central de Rede

e

Compartilhamento.

b.

Clique em Configurar uma conexão ou uma rede.

c.

Na página Escolher uma conexão, clique em Conectar-se a um local de trabalho e depois em Avançar.

d.

Na página Como deseja se conectar, clique em Usar minha conexão com a Internet (VPN).

e.

Clique em Configurarei minha conexão com a Internet mais tarde.

f.

Na página Digite o endereço da Internet com o qual se conectar, ao lado de Endereço na Internet,

digite 192.168.1.10. Ao lado de Nome do destino, digite Woodgrovebank. Marque a caixa de seleção

Permitir que outras pessoas usem esta conexão e clique em Avançar.

g.

Na página Digite o seu nome de usuário e a senha, digite administrador ao lado de Nome de usuário

e

digite Pa$$w0rd ao lado de Senha.

Marque a caixa de seleção Lembrar minha senha, digite Woodgrovebank ao lado de Domínio (opcional)

e

clique em Criar.

h.

Na página A conexão está pronta para uso, clique em Fechar.

i.

Na janela Central de Rede e Compartilhamento, clique em Gerenciar Conexões de Rede.

j. Em Rede Virtual Privada, clique com o botão direito do mouse na conexão WoodGroveBank, clique em Propriedades e na guia Segurança.

k. Selecione Avançada (permissões personalizadas) e clique em Configurações.

l. Em Segurança de Logon, selecione Usar protocolo EAP e selecione EAP protegido (PEAP) (criptografia

habilitada).

m. Clique em Propriedades.

n. Marque a caixa de seleção Validar certificado do servidor. Desmarque a caixa de seleção Conectar-se

a estes servidores e selecione Senha Segura (EAP-MSCHAP v2) em Selecionar Método de Autenticação

Desmarque a caixa de seleção Ativar Reconexão Rápida e marque a caixa de seleção Ativar verificações de Quarentena.

o.

Clique em OK três vezes para aceitar essas configurações.

7.

Teste a conexão VPN:

a. Na janela Conexões de rede, clique com o botão direito do mouse na conexão Woodgrovebank e clique em Conectar.

b. Na janela Conectar a Woodgrovebank, clique em Conectar.

c. Verifique se as credenciais da conta do administrador foram inseridas e se a caixa de seleção Salvar

este nome de usuário e senha para uso futuro está marcada e clique em OK.

d. Uma janela Validar certificado do servidor é exibida na primeira vez que

essa conexão VPN é usada. Clique em Exibir Certificado de Servidor e

verifique os estados das Informações do Certificado emitido para NYC- SVR1.Woodgrovebank.com pela CA Raiz. Clique em OK para fechar a janela Certificado e clique em OK.

e. Espere a conexão VPN ser estabelecida. Como a NYC-CL1 é compatível, ela deverá ter acesso ilimitado à sub-rede da Intranet.

f. Clique em Iniciar, Todos os Programas, Acessórios e em Prompt de Comando.

g. Digite ipconfig /all e verifique a configuração do IP. Estado de

Quarentena do Sistema deve ser Irrestrito.

h. Na janela de comando, digite ping 10.10.0.10. Isso deve ocorrer com êxito. Digite ping 10.10.0.24.

Isso também deve ocorrer com êxito. Agora o cliente atende ao requisito da conectividade total VPN.

i.

Desconecte-se da VPN Woodgrovebank.

8.

Configure o Validador da Integridade da Segurança do Windows para exigir um aplicativo antivírus:

a.

Em NYC-SVR1, abra o Servidor de Diretivas de Rede.

b.

Expanda Proteção de Acesso à Rede e clique em Validadores da Integridade do Sistema.

c.

Clique duas vezes em Validador da Integridade da Segurança do Windows e clique em Configurar.

d.

Na caixa de diálogo Validador da Integridade da Segurança do Windows, em Proteção Contra Vírus,

marque a caixa de seleção Aplicativo antivírus ativo.

e. Clique em OK e em OK novamente para fechar a janela Propriedades de Validador de Integridade de

Segurança do Windows.

9. Verifique se o cliente foi colocado na rede restrita:

a. Em NYC-CL1, na janela Conexões de Rede, clique com o botão direito do mouse na conexão WoodGroveBank e clique em Conectar.

b. Clique em Conectar e, em seguida, clique em OK.

c. Espere a conexão VPN ser estabelecida. Você poderá ver uma mensagem na área de notificação que

indica que o computador não atende aos requisitos de integridade. Essa mensagem é exibida porque o

software antivírus não foi instalado.

d. Clique em Iniciar, Todos os Programas, Acessórios e em Prompt de Comando.

e. Digite ipconfig /all e verifique a configuração do IP. Estado de Quarentena do Sistema deve ser

Restrito.

O cliente não atende aos requisitos da rede, portanto, é colocado na rede restrita.

Tente executar ping 10.10.0.24. Você não deve conseguir.

Tente executar ping 10.10.0.10. Este é o único servidor ao qual a diretiva permite acesso.

f. Desconecte-se da VPN Woodgrovebank.