Quer receber novidades e e-books gratuitos?
AS EMPRESAS ESTÃO "DESESPERADAS" POR ESTE TIPO DE PROFISSIONAL... - VOCÊ É UM DELES?
MEGA FORMAÇÃO EM INFRAESTRUTURA DE TI - O Conhecimento que Vira Dinheiro - CLIQUE AQUI
| « Lição anterior | Δ Página principal | ¤ Capítulos | Próxima lição » |
| WINDOWS 2003 SERVER - CURSO COMPLETO Autor: Júlio Battisti |
|||
|---|---|---|---|
| Lição 170 - Capítulo 19 - Segurança e serviços de rede: Habilitação e configuração do acesso remoto | |||
Pré-Requisitos: Conceitos teóricos sobre acesso remoto no Windows Server 2003. Neste tópico você aprenderá a executar uma série de configurações no serviço de acesso remoto do Windows Server 2003. É importante salientar, novamente, que além das configurações no RRAS, você também deve providenciar o hardware necessário. No servidor, é preciso instalar uma quantidade de modems e de linhas telefônicas, suficiente para atender ao número de usuários projetado. Os clientes também devem estar equipados com o software de conexão necessário e com uma placa de fax-modem ou outro tipo de conexão. Se os seus clientes utilizam o Windows 2000, Windows XP Professional ou o Windows Server 2003, o software cliente, tanto para conexões Dial-up quanto para conexões do tipo VPN, já está disponível no próprio Windows. Habilitando o servidor de acesso remoto – RRAS. O serviço RRAS é instalado, por padrão, quando o Windows Server 2003 é instalado. Porém este serviço não é automaticamente habilitado para aceitar chamadas remotas. Por isso, o primeiro passo é habilitar o RRAS para que ele aceite chamadas remotas (supondo que o hardware necessário já esteja devidamente instalado e reconhecido pelo Windows Server 2003). Após a habilitação do serviço remoto, para aceitar chamadas, o administrador pode fazer uma série de configurações, tais como: definir os protocolos de autenticação que serão aceitos, criar e aplicar políticas de segurança e assim por diante. Exemplo: Para configurar e habilitar o servidor RRAS, siga os passos indicados a seguir: 1. Faça o logon com a conta de administrador ou com uma conta com permissão de administrador.
4. Clique no servidor a ser configurado (SRV-WIN2003 no exemplo da Figura 19.9) para seleciona-lo. Em seguida execute o comando: Action -> Configure and Enable Routing and Remote Access (Configurar e habilitar o roteamento e o acesso remoto).
NOTA: Caso esta seja a primeira vez que você esteja utilizando o assistente de conexões de rede, neste servidor, pode ser aberta a janela pedindo informações sobre a sua localidade. Digite o código do país (que para o Brasil é 55) e clique em OK para fechar a janela de configurações do país. 7. Clique em Next (Avançar), para seguir para a próxima etapa do assistente.
9. Clique em Next (Avançar), para seguir para a próxima etapa do assistente.
13. Clique em Next (Avançar), para seguir para a próxima etapa do assistente. Muito bem, o servidor de acesso remoto foi habilitado. Agora é hora de você aprender a configura-lo, monitora-lo, criar políticas de segurança e assim por diante. Configurações do servidor de acesso remoto. As configurações do RRAS são feitas usando o console Routing and Remote Access (Roteamento e acesso remoto), o qual é acessado a partir do menu Start -> Administrative Tools (Iniciar -> Ferramentas administrativas). Neste item você aprenderá a configurar as propriedades do servidor. A medida que eu for apresentando as opções de configuração disponíveis, novas conceitos irão surgindo. Sempre que necessário, apresentarei explicações detalhadas sobre conceitos que não foram vistos na parte teórica, do início do capítulo. NOTA: Para que você possa fazer as configurações do servidor RRAS, este já deve ter sido habilitado. Para detalhes sobre como habilitar o servidor RRAS, consulte o exemplo do item anterior. Exemplo: Para abrir o console Routing and Remote Access (Roteamento e acesso remoto) e configurar as opções do servidor RRAS, siga os passos indicados a seguir: 1. Faça o logon com a conta de administrador ou com uma conta com permissão de administrador.
4. Para que você possa configurar as propriedades do servidor, clique com o botão direito do mouse no nome do servidor (SRV-WIN2003 no exemplo da Figura 1913) e, no menu de opções que é exibido clique em Properties (Propriedades).
6. Nesta guia você define as funções que serão habilitadas no servidor RRAS. Você pode habilitar o servidor somente como um Servidor de Acesso Remoto (Remote access server), você também pode configurar o servidor para exercer apenas as funções de Roteamento (Router) ou para exercer ambas as funções. Esta guia tem uma série de opções importantes e merece um looooongo parênteses para tratar, em detalhes, destas opções. A primeira opção é escolher quem fará a autenticação dos usuários que estão se conectando remotamente. Por padrão é selecionada a opção Windows Authentication (Autenticação do Windows). Neste caso, serão utilizadas as contas do Active Directory (se o servidor RRAS pertencer a um domínio) ou as contas locais do servidor RRAS (se o servidor não pertencer a um domínio). Por exemplo, o usuário utilizando o seu Notebook equipado com um cartão de Fax-Modem, fará uma discagem para o servidor RRAS. As configurações de discagem são idênticas a configurar uma discagem para um provedor de Internet, ou seja, o usuário criará uma nova conexão Dial-up, na qual ele informa o número de telefone para a conexão, o seu nome de usuário e senha. No caso da autenticação do Windows, o usuário deve utilizar o seu nome de usuário e senha da rede, ou seja, a sua conta cadastrada no Active Directory (ou uma conta criada em um servidor RRAS que não pertence ao domínio, especificamente para acesso remoto). Neste caso poderão ocorrer duas situações distintas. O servidor RRAS faz parte de um domínio da empresa. Nesta situação os usuários utilizarão suas contas do domínio, cadastradas no Active Directory. Outra situação é quando o servidor onde está o RRAS é configurado como um Stand alone server, e são criadas contas localmente neste servidor. Neste caso, cada usuário que precisar fazer a conexão com o servidor RRAS, deverá ser cadastrado neste servidor. Ao fazer a conexão, o usuário deve utilizar o nome de logon e senha que foram cadastrados no servidor RRAS configurado como um Stand-alone server. Esta segunda situação não é recomendada, uma vez que trará a necessidade de se manter um cadastro adicional de usuários, para os usuários com necessidade de acesso remoto. Além disso, este cadastro seria independente em cada servidor RRAS, ou seja, se um determinado usuário precisasse acesso a vários servidores RRAS, teria que ser criada uma conta para este usuário em cada servidor RRAS configurado como Stand-alone server. E se ele mudasse a senha em um dos servidores? A senha não seria alterada nos demais. Aí o usuário tentaria fazer a conexão com um servidor diferente do que aquele onde ele trocou a senha e receberia uma mensagem de acesso negado. Ou seja, usando a opção de instalar o RRAS em servidores do tipo Stand-alone server, isto é, que não pertencem ao domínio, você estará introduzindo uma complexidade administrativa que realmente não é necessária. A outra opção é configurar o servidor RRAS para faze a autenticação através de um servidor RADIUS (Remote Authentication Dial-In User Service). Com este tipo de autenticação, o servidor RRAS recebe as credenciais enviadas pelo usuário (nome de logon, senha e demais informações) e passa essas informações para um servidor RADIUS, o qual fará a autenticação do usuário e retornará o resultado da autenticação para o servidor RRAS. Existe muita confusão entre o RADIUS e o IAS (Internet Authentication Service). Alguns acham que o RADIUS é a versão mais antiga e o IAS é uma implementação mais nova, com novos recursos e assim por diante. Nada disso. O RADIUS é o padrão de autenticação, é o protocolo de autenticação com base em padrões definidos pelo IETF. O IAS é a implementação do RADIUS feita pela Microsoft, estando disponível no Windows 2000 Server e também no Windows Server 2003. O IAS executa autenticação, autorização, auditoria e estatísticas centralizadas de usuários que se conectam ao servidor de acesso remoto usando, tanto usando uma conexão do tipo VPN, quanto usando uma conexão do tipo Dial-up. O objetivo com o uso do IAS é ter um servidor centralizado, no qual é feita a autenticação para os vários servidores de acesso remoto da rede. Com isso as credenciais são verificadas de maneira única, existe uma única base de usuários a ser mantida, as estatísticas e logs de acesso ficam centralizadas e, a principal vantagem (na minha opinião), é possível criar as políticas de segurança de uma maneira centralizada. Cria-se as políticas no IAS e estas são aplicadas a todos os servidores RRAS que utilizam o IAS para autenticação. Você pode estar se perguntando: “Mas se o objetivo é ter uma base única, que possa ser gerenciada de maneira centralizada, então porque não usar a autenticação do Windows e o Active Directory como sendo esta base centralizada? Para justificar o porquê da existência do IAS, vou descrever uma situação prática onde o uso do IAS é recomendado. Vamos supor que você tenha vários servidores de acesso remoto, com os quais devam se conectar desde parceiros de negócios, tais como fornecedores e empresas de logística, até prestadores de serviços e profissionais liberais que fazem serviços para a empresa. Nesta situação você cadastra as contas dos parceiros de negócios e dos prestadores de serviço no Active Directory e cria os grupos que forem necessários (observa qu continua sendo utilizada uma base única – o Active Directory), porém utiliza o servidor RADIUS para definir as regras de acesso e autenticação. Em seguida você pode configurar os servidores RRAS da empresa, para utilizar o servidor RADIUS para autenticação. O servidor RADIUS também poderá ser utilizado para aplicação de políticas de segurança do acesso remoto de uma maneira centralizada. Ou seja, as políticas são definidas no servidor RADIUS e aplicadas em todos os servidores RRAS que utilizam o servidor RADIUS. Po O IAS implementa o protocolo Remote Authentication Dial-In User Service (RADIUS, serviço de usuário de discagem de autenticação remota) padrão do IETF (Internet Engineering Task Force, equipe de engenharia da Internet), que permite o uso de uma rede homogênea ou heterogênea de equipamentos fazendo conexões do tipo dial-up ou VPN. Os recursos do IAS incluem: • Autenticação de usuários centralizada. A autenticação dos usuários é um importante assunto de segurança. O IAS fornece suporte a vários protocolos de autenticação e permite que você associe métodos de autenticação arbitrários para atender às suas necessidades de autenticação. • Autorização de usuários centralizada. Para que o usuário possa ter acesso à rede, o IAS é capaz de autenticar usuários em domínios do Microsoft Windows NT 4.0 e no Active Directory do Windows 2000 ou Windows Server 2003. O IAS oferece suporte aos novos recursos no Active Directory, como User Principal Names (UPNs, nomes principais de usuários) e Universal Groups (grupos universais). As Diretivas de acesso remoto proporcionam flexibilidade no controle de quem tem permissão para se conectar à sua rede. Embora seja simples gerenciar a permissão de acesso remoto de cada conta de usuário, esse enfoque pode se tornar incômodo com o crescimento da sua organização. As Diretivas de acesso remoto proporcionam uma maneira mais poderosa e flexível de gerenciar a permissão de acesso remoto. Vamos comentar com bastante calma este detalhe. Ao invés de utilizar o RADIUS, é possível configurar as opções de acesso remoto nas propriedades das contas de cada usuário do Active Directory (conforme mostrarei mais adiante). Porém esta abordagem, definitivamente é contra-producente. Com o uso do RADIUS, ao invés de configurar as permissões nas propriedades de cada conta, você cria políticas de acesso baseada no RADIUS, atribuindo permissões de acesso (ou negando) para grupos de usuários do Active Directory. Sempre é aconselhável que você defina as permissões para grupos e não para cada usuário diretamente. Por exemplo, se você precisa dar permissão de acesso remoto apenas aos vendedores e gerentes, crie um grupo chamado AcessoRemoto e inclua, como membro deste grupo, todos os usuários que trabalham com vendas, mais os gerentes. Ou melhor ainda, se você já tiver criado um grupo com todos os vendedores e mais um grupo com todos os gerentes, inclua o grupo Vendedores e o grupo Gerentes, como membros do grupo AcessoRemoto. Bem mais simples e gerenciável do que configurar as permissões usuário por usuário. No assistente você só poderá configurar permissões para um ou mais usuários. Usando as políticas de acesso remoto, você poderá definir permissões para grupos. Com o uso das políticas de acesso remoto no servidor RADIUS, o administrador define permissões de uma maneira centralizada e pode ter estas permissões aplicadas aos vários servidores RRAS da empresa. As políticas de acesso remoto são um conjunto de condições que permitem maior flexibilidade aos administradores de redes na concessão de acesso remoto. As diretivas permitem que você controle o acesso remoto com base em: - Usuários membros de um grupo de segurança do Active Directory. Você pode utilizar grupos de segurança do Active Directory para permitir ou negar o acesso de usuários. • Administração centralizada de todos os seus servidores de acesso remoto: O suporte para o padrão RADIUS permite que o IAS controle parâmetros de conexão de todo servidor de acesso remoto que implemente o padrão e não somente servidores de aceso remoto baseados no Windows Server 2003. As Diretivas de acesso remoto proporcionam mais flexibilidade aos administradores de redes no gerenciamento de parâmetros de conexão variáveis ao fornecer a capacidade de criar perfis condicionais. Você pode usar perfis para configurar os parâmetros de conexão de rede do usuário. As condições sob as quais os parâmetros de conexão (um perfil) podem ser alterados, incluem: - A hora ou o dia da semana. Ao usar perfis, você pode controlar parâmetros de conexão. Por exemplo, você pode: - Permitir ou negar o uso de determinados métodos de autenticação. • Interface gráfica de administração: O IAS fornece uma interface gráfica do usuário (snap-in do MMC) que permite que você configure servidores locais ou remotos. • Monitoramento remoto. Você pode monitorar o IAS por meio de ferramentas do Windows Server 2003, tais como o Visualizar eventos ou o Monitor do sistema. • Adaptabilidade. Você pode usar o IAS em várias configurações de rede de tamanhos variados, de servidores autônomos de redes pequenas a grandes redes corporativas e de ISPs. • Importação/Exportação da configuração para gerenciar vários servidores IAS. A configuração do IAS pode ser importada/exportada por meio do comando netshell. NOTA: O IAS é um serviço de rede, o qual é instalado a partir da opção Add/Remove Programs (Adicionar ou remover programas) do Painel de control. Na janela que é aberta clique em Add/Remove Windows Components (Adicionar ou remover componentes do Windows). Na janela que é aberta marque a categoria Networking Services (Serviços de rede) e clique no botão Details... (Detalhes). Na janela que é aberta marque a opção Internet Authentication Service, conforme indicado na Figura 19.16:
Clique em OK. Você estará de volta a janela de componentes do Windows. Clique em Next (Avançar). Será iniciada a instalação do IAS. Ao terminar a instalação, o Windows exibe uma tela com uma mensagem de aviso.Clique em Finish (Concluir), para fechar esta mensagem. Pronto, o IAS está instalado. Para administrar o IAS você utiliza o console Internet Authentication Service: Start -> Administrative Tools -> Internet Authentication Service (Iniciar -> Ferramentas administrativas -> Serviço de autenticação da Internet). Fechando o nosso looooongo parênteses, vamos voltar as configurações das propriedades do servidor RRAS. 8. Para utilizar um servidor RADIUS para autenticação, selecione a opção RADIUS Authentication, na lista Authentication provider. Ao selecionar esta opção, o botão Configure... será habilitado. Clique no botão Configure...
10. Clique em OK para adicionar o servidor RADIUS SRV-WIN2003. O servidor já será exibido na lista de servidores RADIUS, na janela RADIUS Authentication, conforme indicado na Figura 19.18:
11. Para adicionar mais servidores RADIUS, utilize novamente o botão Add... (Adicionar...) e siga os passos indicados anteriormente. Lembrando que quando houver mais de um servidor RADIUS, eles serão utilizados na ordem em que aparecem na listagem. Por exemplo, se houver três servidores RADIUS na listagem, o cliente tenta se autenticar com o primeiro, caso obtenha sucesso, os demais não serão contatados. O segundo da lista somente será contatado se o primeiro falhara na autenticação do cliente e assim por diante. NOTA: É importante lembrar que, quando está sendo utilizado um ou mais servidor RADIUS, os métodos de autenticação serão definidos pelas políticas de acesso remoto, configuradas nos servidores RADIUS, já que neste caso o cliente é autenticado no servidor RADIUS e não pelo RRAS. 14. Será exibida a janela Authentication Methods (Métodos de autenticação). Nesta janela você pode assinalar quais os métodos de autenticação serão aceitos pelo servidor RRAS, pode configurar algumas opções do protocolo EAP e pode habilitar a conexão remota sem autenticação. Por padrão vem habilitados os métodos: EAP, MS-CHAP e MS-CHAP v2, conforme indicado na Figura 19.19:
15. Para exibir os métodos do protocolo EAP, habilitados no servidor RRAS, clique no botão Methods (Métodos do EAP). Será aberta a janela EAP Methods. Nesta janela são exibidos os métodos de autenticação EAP que estão habilitados no servidor RRAS e é exibida uma mensagem que estes métodos podem ser configurados (desabilitar um método ou habilitar novos métodos), usando as políticas de acesso remoto, conforme indicado na Figura 19.20:
Importante: Não esqueça, principalmente se você está se preparando para os exames do MCSE 2000 ou do MCSE 2003, que o protocolo EAP é necessário para a implementação de autenticação usando Smart-card. 16. Clique em OK para fechar a janela que exibe os métodos EAP habilitados no servidor. Você estará de volta à janela para configuração dos protocolos de autenticação. Nesta janela tem uma opção que merece alguns comentários adicionais: Allow remote system to connect without authentication (Permitir ao sistema remoto se conectar sem autenticação). A seguir apresento alguns comentários sobre a conexão sem autenticação. O servidor RRAS no Windows 2000 Server e também no Windows Server 2003 oferece suporte a acesso não autenticado, o que significa que as credenciais do usuário (um nome de usuário e senha) não precisam ser informados pelo cliente que inicia a conexão. Existem algumas situações específicas onde o acesso não autenticado é útil ou até mesmo necessário Quando o acesso não autenticado é ativado, os usuários de acesso remoto são conectados sem enviar as credenciais de usuário (logon e senha). Um cliente de acesso remoto não autenticado não negocia o uso de um protocolo de autenticação comum durante o processo de estabelecimento de conexão e não envia um nome de usuário ou senha. Um acesso não autenticado com clientes de acesso remoto do Windows 2000, Windows XP ou Windows Server 2003, pode ocorrer quando os protocolos de autenticação configurados pelo cliente de acesso remoto não coincidem com aqueles configurados no servidor de acesso remoto. Nesse caso, o uso de um protocolo de autenticação comum não é negociado e o cliente de acesso remoto não envia um nome de usuário e senha. Existem três diferentes tipos de acesso não autenticado que podem ser configurados no servidor RRAS do Windows Server 2003: • Autorização DNIS: A autorização Dialed Number Identification Service (DNIS, serviço de identificação de número discado) é a autorização de uma tentativa de conexão baseada no número chamado. O DNIS identifica o número que foi chamado para o recebedor da chamada e é fornecido pela maioria das companhias telefônicas padrão. Para identificar as conexões baseadas em DNIS e aplicar as configurações de conexão apropriadas, os seguintes passos devem ser executados: - Ativar o acesso não autenticado no servidor de acesso remoto. Para isso basta marcar a opção Allow remote system to connect without authentication, da Figura 19.19. - Criar uma política de acesso remoto no servidor de autenticação (servidor de acesso remoto ou servidor IAS) para autorização baseada em DNIS com a condição Called-Station-Id definida para o número do telefone. NOTA: Você aprenderá a criar políticas de acesso remoto mais adiante, neste Capítulo. Se seu serviço ou hardware de telefone não fornecer suporte ao DNIS, a passagem do número que foi chamado, você poderá definir manualmente o número de telefone da porta. O IAS não fornece suporte a solicitações de acesso DNIS a partir de um proxy. Esta é uma limitação que já existia no Windows 2000 Server e não foi solucionada no Windows Server 2003. • Autenticação ANI/CLI Uma autenticação Automatic Number Identification/Calling Line Identification (ANI/CLI, identificação automática de número/identificação de linha de chamada) é a autenticação de uma tentativa de conexão baseada no número de telefone do chamador, do cliente que está tentando a conexão. O serviço ANI/CLI retorna o número do chamador (cliente tentando fazer a conexão remota) para o recebedor da chamada (servidor RRAS que está atendendo a chamada) e é fornecido pela maioria das companhias telefônicas. A autenticação ANI/CLI é diferente da autorização de identificação do chamador. Na autorização da identificação do chamador, o chamador envia um nome de usuário e uma senha válidos. A identificação do chamador que é configurada para a propriedade de discagem na conta de usuário deve coincidir com a tentativa de conexão. Caso contrário, a tentativa de conexão será rejeitada. Na autenticação ANI/CLI, um nome de usuário e senha não são enviados. Para identificar as conexões baseadas em ANI/CLI e aplicar as configurações de conexão apropriadas, devem ser executadas as seguintes configurações: - Ativar o acesso não autenticado no servidor de acesso remoto. Para isso basta marcar a opção Allow remote system to connect without authentication, da Figura 19.19. NOTA: Você aprenderá a criar políticas de acesso remoto mais adiante, neste Capítulo. - Criar uma conta de usuário para cada número que será chamado para o qual você deseja fornecer uma autenticação ANI/CLI. O nome da conta de usuário deve coincidir com o número a partir do qual o usuário está discando. Por exemplo, se um usuário está discando a partir do número 3333-0500, crie uma conta de usuário "33330500". - Defina a seguinte chave da Registry para 31 no servidor de autenticação (servidor de acesso remoto ou o servidor IAS): HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ RemoteAccess\Policy\User Identity Attribute Essa configuração de registro diz ao servidor de autenticação para usar o número de chamada (RADIUS atributo 31, Calling-Station-ID) como a identidade do usuário da chamada. A identidade do usuário é definida como o número da chamada somente quando não há nenhum nome sendo fornecido na tentativa de conexão. Para usar sempre o número da chamada como a identidade do usuário, defina a seguinte chave da Registry com o valor 1 no servidor de autenticação: No entanto, se você definir Override User-Name como 1 e User Identity Attribute como 31, o servidor de autenticação só pode executar autenticações baseadas em ANI/CLI. A autenticação normal usando os protocolos de autenticação como MS-CHAP, CHAP e EAP serão desativados. Importante: As alterações nas configurações da Registry não terão efeito até que o serviço de roteamento e acesso remoto ou o serviço de autenticação da Internet sejam reiniciados. • Autenticação de convidado (Guest): Com este tipo de autenticação, durante o processo de autenticação, o chamador não envia um nome de usuário ou senha. Por padrão, se um acesso não autenticado for ativado, a conta Gues (Convidado) será usada como a identidade do cliente. Para ativar o acesso à conta Convidado, as seguintes etapas devem ser executadas: - Ativar o acesso não autenticado no servidor de acesso remoto. Para isso basta marcar a opção Allow remote system to connect without authentication, da Figura 19.19. - Ativar o acesso não autenticado na diretiva de acesso remoto apropriada. A política deve ser ativada no servidor responsável pela autenticação. Se você está usando a autenticação do Windows, a política deve ser criada no próprio servidor RRAS; se você está utilizando o IAS para autenticação, você deve criar a política no servidor IAS. NOTA: Você aprenderá a criar políticas de acesso remoto mais adiante, neste Capítulo. - Ativar a conta Guest (Convidado). Para obter detalhes sobre a conta Guest e a ativação de contas, consulte o Capítulo 9. - Definir a permissão de acesso remoto na conta Convidado para Permitir acesso ou Controlar acesso através de uma política de acesso. Se você está usando a autenticação do Windows, a política deve ser criada no próprio servidor RRAS; se você está utilizando o IAS para autenticação, você deve criar a política no servidor IAS. Dica: Se você não deseja ativar a conta Guest (Convidado), crie uma conta de usuário e defina a permissão de acesso remoto para Permitir acesso ou Controlar acesso através de diretiva de acesso remoto. Em seguida, defina a seguinte chave da registry no servidor de autenticação (servidor RRAS, se você utiliza autenticação do Windows ou servidor IAS se você utiliza autenticação RADIUS) com o nome da conta criada especialmente para o acesso remoto não autenticado: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\RemoteAccess\Policy\Default User Identity Importante: As alterações nas configurações do Registro não terão efeito até que o serviço de roteamento e acesso remoto ou o serviço de autenticação da Internet sejam reiniciados. Muito bem, você viu que existem três diferentes métodos para acesso não autenticado. Além disso é fundamental salientar que, após habilitar o acesso não autenticado, você deve fazer configurações adicionais, para que estes métodos posam funcionar corretamente. Após habilitar a opção de acesso não autenticado, o administrador deverá fazer alterações nas políticas de segurança do acesso remoto e, em alguns casos, na registry do servidor de autenticação, conforme passos descritos anteriormente. 17. Defina as configurações de autenticação desejadas e clique em OK. Você estará de volta à guia Security (Segurança), da janela de propriedades do servidor RRAS que está sendo configurado.
19. Nesta janela você tem uma série de configurações importantes, descritas a seguir: • Enable IP Routing (Habilitar o roteamento IP): Esta opção é utilizada para habilitar/desabilitar o roteamento IP, que é o encaminhamento de pacotes IP de uma interface de rede do servidor para outras interfaces (por isso que o roteamento exige, pelo menos, duas interfaces de rede). O roteamento IP é necessário para habilitar a opção de roteamento sobre demanda. Outra situação que exige a habilitação do roteamento IP é quando os clientes que fazem a conexão remota, deverão ter acesso a todos os recursos da rede, isto é, acesso aos recursos nos demais servidores da rede, além do servidor RRAS. Para que os clientes remotos fiquem limitados a acessar somente os recursos do servidor RRAS, você deve desabilitar esta opção. NOTA: No Capítulo 20 você aprenderá sobre o uso do servidor RRAS para roteamento IP. • Allow IP-based remote access and demand-dial connections (Permitir conexões remotas baseadas em IP e conexões de discagem sob demanda): Esta opção é utilizada habilitar ou desabilitar o uso do protocolo Internet Protocol Control Protocol (IPCP), como protocolo de controle para o protocolo PPP. Um protocolo de controle é utilizado para a “negociação” entre o cliente e o servidor de acesso remoto. Nesta negociação é definido qual o protocolo que será utilizado para troca de informações entre o cliente e o servidor. Esta opção também habilita/desabilita as conexões sob demanda. • IP address assignment (Atribuição de endereço IP): Quando o cliente faz uma conexão remota com o servidor RRAS, o cliente deve receber as configurações do protocolo TCP/IP a partir do servidor RRAS. É exatamente o que acontece quando você faz a conexão com o seu provedor de Internet. A partir do servidor de acesso remoto, do provedor de Internet, o comutador que você está utilizando para a conexão, recebe as configurações do protocolo TCP/IP a partir do servidor de acesso remoto. Com o RRAS, as configurações fornecidas para o cliente podem ser obtidas a partir do servidor DHCP da rede (veja o Capítulo 16 para informações detalhadas sobre o DHCP) ou estas informações podem ser configuradas, manualmente, nesta guia. A seguir apresento mais alguns detalhes sobre a integração do RRAS com o DHCP. Dica: Se você está se preparando para os exames do MCSE 2003, entenda bem como funciona a integração do DHCP com o RRAS. O uso integrado do RRAS com o DHCP, permite que os clientes recebam, dinamicamente, as configurações do protocolo TCP/IP, durante a conexão com o servidor RRAS. Quando o servidor RRAS e o servidor DHCP estão instalados no mesmo servidor, existem diferenças na maneira como o servidor DHCP fornece as configurações para os clientes de rede e como as configurações são fornecidas para os clientes que fazem o acesso remotamente.
As informações fornecidas aos clientes da rede local são baseadas totalmente em definições configuradas no console DHCP para o servidor DHCP (veja Capítulo 16). Quando um cliente da rede local é configurado a partir do servidor DHCP, ele recebe, diretamente do servidor DHCP, as seguintes configurações: - Um endereço IP concedido fornecido a partir do pool de endereços disponíveis de um escopo ativo no servidor DHCP (de um servidor DHCP autorizado no Active Directory). O servidor DHCP gerencia e distribui diretamente o endereço para o cliente DHCP baseado em LAN. - Parâmetros adicionais e outras informações de configuração fornecidas através de opções de DHCP atribuídas na concessão do endereço. Os valores e a lista de opções usados correspondem a tipos de opção configurados e atribuídos no servidor DHCP, tais como o número do Gateway padrão, o número IP de um ou mais servidores DNS, o número IP de um ou mais servidores WINS e assim por diante. Quando o servidor RRAS utiliza a integração com o servidor DHCP, para fornecer configurações dinamicamente, para os clientes que fazem a conexão remotamente, o servidor RRAS, inicialmente, segue os seguintes passos: - Quando o serviço RRAS é inicializado e a opção de obter as configurações a partir do DHCP está habilitada, o servidor RRAS instrui o cliente DHCP a obter 10 endereços IP a partir do servidor DHCP. Quando um cliente encerra a sessão, o endereço IP utilizado pelo cliente é liberado e poderá ser utilizado por um dos próximos clientes que fizer a conexão com o servidor RRAS. Quando os 10 endereços IP, obtidos a partir do servidor DHCP, estiverem em uso, o servidor RRAS solicita mais 10 endereços para o servidor DHCP. Quando o serviço RRAS for parado, todos os endereços solicitados ao servidor DHCP serão liberados. O que o servidor RRAS faz é manter um cache de lease de endereços IP obtidos a partir do servidor DHCP. Quando os clientes fazem uma conexão remota e solicitam um endereço IP, o servidor RRAS fornece um dos endereços a partir do cache de lease de endereços IP, os quais foram obtidos, previamente, a partir do servidor DHCP. Quando o endereço IP for fornecido ao cliente dial-up, o cliente não saberá que o endereço foi obtido através desse processo intermediário entre o servidor DHCP e o servidor de roteamento e acesso remoto. O servidor RRAS mantém essa concessão em nome do cliente. Desta forma, a única informação que o cliente recebe do servidor DHCP é a concessão de endereço IP. Importante: Os servidores DHCP baseados no Windows 2000 Server ou no Windows Server 2003, fornecem uma classe de usuário predefinido, a classe de acesso remoto padrão, para atribuir opções específicas e fornecidas somente para clientes de roteamento e acesso remoto. Estas opções podem ser configuradas diretamente no servidor DHCP. Ou seja, quaisquer informações adicionais que devam ser fornecidas para os clientes de acesso remoto, devem ser configuradas nesta classe chamada: Routing and Remote Access Class. Cada vez que o servidor RRAS obtém um grupo de 10 endereços IP, a partir do servidor DHCP, ele registra as seguintes informações: - O endereço IP do servidor DHCP. Você também poderia definir uma faixa de endereços IP manualmente. Para isso marque a opção Static address pool e clique no botão Add.. (Adicionar). Será aberta a janela New Address Range (Nova Faixa de Endereços), na qual você pode informar uma faixa de endereços manualmente, conforme exemplo da Figura 19.22:
• Enable broadcast name resolution (Habilitar a resolução de nomes usando broadcast): Esta opção é utilizada para habilitar/desabilitar a resolução de nomes usando broadcast. Quando esta opção é habilitada, os clientes de acesso remoto poderão resolver nomes na rede local que está sendo acessada, sem ter que ter acesso ao servidor WINS ou ao servidor DNS da rede local. 20. Defina as configurações desejadas na guia IP e dê um clique na guia PPP. Serão exibidas as opções indicadas na Figura 19.23:
Nesta guia você configura uma série de opções em relação ao protocolo PPP. Algumas merecem considerações mais detalhadas, como por exemplo, o uso de multilink e do protocolo BAP, conforme descreverei logo em seguida. • Multilink connection e Dynamic bandwidth control using BAP e BACP (Conexões multilink e Controle dinâmico de banda usando BAP e BACP). Ao marcar a opção Multilink connection, a opção Dynamic bandwidth control using BAP e BACP também será habilitada, podendo ser marcada ou desmarcada. A seguir descrevo o funcionamento das conexões multilink e do controle dinâmico de banda no Windows Server 2003. O servidor RRAS no Windows 2000 e do Windows Server 2003, oferecem suporte a conexões múltiplas e ao Bandwidth Allocation Protocol (BAP, protocolo de alocação de largura de banda). Com o recurso de conexões múltiplas o cliente pode utilizar duas ou mais linhas telefônicas simultaneamente. Por exemplo, o cliente pode usar duas linhas de 64 Kbps para fazer a conexão. Para o cliente é como se ele estivesse utilizando uma única linha de 128 Kbps. Você também pode usar as conexões múltiplas para qualquer adaptador ISDN. As conexões múltiplas devem receber suporte nos dois lados da conexão, ou seja, este recurso deve estar habilitado no cliente e também no servidor RRAS. Embora as conexões múltiplas permitam que vários links sejam agregados, ela não fornece um mecanismo para adaptação a condições variáveis de largura de banda pela adição de vínculos adicionais quando necessário ou pela finalização de vínculos extras quando desnecessários. Essa capacidade adicional é proporcionada pelo Bandwidth Allocation Protocol (BAP). O BAP usa uma conexão múltipla para gerenciar vínculos de forma dinâmica. Ou seja, se houver necessidade de mais banda e houver mais links disponíveis, o protocolo BAP é capaz de utilizar um ou mais links disponíveis para aumentar o valor total da banda disponível. Se a atividade estiver baixa, o BAP é capaz de desconectar um ou mais links que estejam sendo utilizados e reconecta-los novamente, se o tráfego de informações voltar a aumentar. Por exemplo, imagine que o recurso de multilink esteja habilitado no cliente e no servidor RRAS e o BAP criou, inicialmente, uma conexão múltipla que, na verdade, está utilizando um único vínculo físico (ou seja, é múltipla apenas nas configurações mas ainda não está utilizando mais de um link). Quando a utilização do vínculo único atinge um determinado nível, previamente configurado, o cliente de acesso remoto usa uma mensagem de solicitação BAP para solicitar um vínculo adicional. A mensagem de solicitação BAP especifica o tipo de vínculo desejado, como telefone analógico, ISDN ou X.25. Em seguida, o servidor de acesso remoto envia uma mensagem de resposta BAP que contém o número do telefone de uma porta disponível no servidor de acesso remoto do mesmo tipo especificado pelo cliente de acesso remoto na solicitação BAP. O BAP também atua em uma situação inversa, ou seja, quando a conexão está estabelecido usando múltiplos links e o tráfego na rede está diminuindo. Neste caso o BAP, automaticamente, é capaz de liberar links, diminuindo a banda total disponível. Dica: Se você está se preparando para os exames do MCSE 2003, não esqueça a condição para que uma conexão multilink possa ser estabelecida (este recurso deve estar habilitado no cliente e no servidor de acesso remoto) e a função do protocolo BAP (adicionar ou remover links dinamicamente, dependendo do volume de tráfego entre o cliente e o servidor). B= Link Control Protocol (LCP) extensions: Os protocolos LCP estabelecem e configuram o empacotamento PPP. O empacotamento PPP define como os dados são encapsulados antes da transmissão através do link de WAN. O formato do pacote padrão PPP assegura que o software de acesso remoto de qualquer fabricante possa transmitir e reconhecer pacotes de dados de qualquer software de acesso remoto que siga os padrões PPP. Como o formato do pacote é padrão, ele é reconhecido por qualquer servidor ou cliente que esteja habilitado ao protocolo PPP. Esta opção é utilizada para habilitar/desabilitar as extensões do protocolo LCP no servidor RRAS. Se esta opção for desmarcada, o protocolo LCP não conseguirá enviar informações tais como Time-Remaining (tempo restante), Identification packets (Identificação de pacotes) e requesting callback (requisição de callback), durante a negociação LCP. A negociação acontece na fase inicial da conexão, quando estão sendo definidos os parâmetros e as características da conexão PPP que será estabelecida. • Software compression (Compactação de software): Este opção é utilizada para habilitar/desabilitar o uso do Microsoft Point-to-Point Compression Protocol (MPPC), para a compactação dos dados trafegados através de uma conexão remota com o servidor RRAS ou através de uma conexão de discagem sob demanda. As características do protocolo MMPC estão definidos na RFC 2118. 21. Defina as configurações desejadas na guia PPP e dê um clique na guia Logging (Log). Serão exibidas as opções indicadas na Figura 19.24:
22. Nesta guia você define quais informações devem ser registradas no log do servidor RRAS. Por exemplo, a opção Log errors only (Registrar somente erros) é utilizada para fazer com que sejam gravados no log somente os eventos de erro. Esta é a opção que gera o menor número de entradas nos logs do servidor RRAS, com exceção da opção Do not log any events (Não registrar nenhum evento), a qual é utilizada para desabilitar o log. Existe também a opção para logar informações adicionais, as quais são utilizadas para a resolução de problemas com o serviço RRAS (Log additional Routing and Remote Access Information (used for debugging)). Esta opção somente deve ser habilitada quando o serviço RRAS estiver apresentando problemas. Com o uso desta opção é gerado um grande número de informações técnicas sobre o serviço RRAS, informações estas que podem ajudar os técnicos de suporte a descobrir o que está causando problemas no RRAS. O log do servidor RRAS é separado dos eventos registrados no log de eventos do sistema. Você pode usar as informações do log para controlar as tentativas de uso de acesso remoto e de autenticação, como por exemplo, tentar identificar usuários com um grande número de tentativas de conexão sem sucesso. O log de autenticação e estatísticas é especialmente útil para a solução de problemas relativos a diretivas de acesso remoto, como por exemplo em situações onde um determinado usuário deveria ter permissão de acesso para fazer a conexão, porém está recebendo uma mensagem de acesso negado. Para cada tentativa de autenticação, o nome da diretiva de acesso remoto que aceitou ou rejeitou a tentativa de conexão é registrado. As informações de autenticação e estatísticas são armazenadas em um arquivo de log configurável armazenado na pasta %systemroot%\System32\LogFiles. Os arquivos de log são gravados no formato de log do IAS ou em um padrão que pode ser utilizado pelos bancos de dados relacionais mais conhecidos, tais como o Microsoft Access e o SQL Server. Se o servidor RRAS estiver utilizando um servidor RADIUS para autenticação, os logs serão gerados no servidor RADIUS. Com isso é possível concentrar os logs de vários servidores RRAS em um único servidor RADIUS, o qual está sendo utilizado pelos servidores RRAS, para autenticação dos usuários. Isso facilita a implementação de uma política de auditoria e análise dos logs de autenticação de maneira centralizada e, até mesmo, automatizada. 21. Defina as configurações desejadas e clique em OK, para fechar a janela de propriedades do servidor RRAS e aplicar as alterações efetuadas. Muito bem, neste longo exemplo você percorreu todas as opções de configurações disponíveis para servidor RRAS e aprendeu sobre diversos tópicos relacionados a estas configurações, tais como o uso de um servidor RADIUS para autenticação no RRAS. Você aprendeu que o IAS é a implementação do RADIUS no Windows Server 2003 (e também no Windows 2000 Server), aprendeu sobre conexões não autenticadas, sobre as configurações do protocolo PPP, tais como multilink e BAP, enfim, uma série de detalhes importantes sobre a configuração do servidor RRAS. Nos próximos itens você aprenderá sobre o conceito de DHCP Relay Agent e sobre a criação e configuração de políticas de acesso remoto no servidor RRAS. O conceito de DHCP Relay Agent. No Capítulo 16 você aprendeu como o cliente entra em contato com o servidor DHCP usando uma série de mensagens: DHCPDiscover, DHCPOffer, DHCPRequest e DHCPAck. Acontece que a maioria destas mensagens utiliza broadcast. Por isso, o cliente somente será capaz de obter as configurações do TCP/IP, de um servidor DHCP que esteja na mesma rede local do cliente, uma vez que os roteadores não passam tráfego de broadcast. Para isso o administrador deve configurar um DHCP Relay Agent na rede onde não existe servidor DHCP. No exemplo deste item, o DHCP Relay Agent deve ser configurado na rede do pequeno escritório, onde não está disponível um servidor DHCP. O DHCP Relay Agent “ouve” os pacotes enviados pelo cliente DHCP, transforma estes pacotes em um formato que pode ser encaminhado pelo roteador e envia estes pacotes para o servidor DHCP (O DHCP Relay Agent é configurado com o número IP do servidor DHCP). O DHCP Relay Agent também é responsável por receber as respostas vindas do servidor DHCP e repassá-las para os clientes DHCP. Em resumo, o DHCP Relay Agent é um intermediário entre os clientes DHCP (em uma rede que não tem servidor DHCP) e o servidor DHCP de uma rede remota (sendo que o número IP deste servidor DHCP remoto, foi informado nas propriedades do DHCP Relay Agent). É isso. O DHCP Relay Agent faz parte do servidor RRAS, ou seja, somente estará disponível quando o servidor RRAS estiver ativado. No exemplo prático a seguir, eu mostro os passos para configuração do DHCP Relay Agent. Não esqueça em hipótese alguma: Se você está se preparando para os exames do MCSE 2000 ou para o MCSE 2003 conheça exatamente a função do DHCP Relay Agent. Lembre que ele é instalado na rede onde não existe servidor DHCP disponível. Exemplo: Para configurar o DHCP Relay Agent, siga os passos indicados a seguir: 1. Faça o logon com a conta de administrador ou com uma conta com permissão de administrador.
7. A nova interface já aparece no lado direito do painel. Pronto, o DHCP Relay Agent está configurado. Configurando políticas de acesso remoto. O administrador pode usar políticas de acesso remoto para controlar quais usuários podem fazer a conexão remotamente, quais tipos de mídia podem ser utilizados (tais como conexão discada, X25, ISDN e assim por diante), os horários permitidos para conexão e uma série de outras configurações que permitem ao administrador definir quem, quando e como as conexões com o servidor RRAS podem ser estabelecidas. NOTA: Você encontrará na documentação oficial do Windows Server 2003 (pelo menos nas traduções), o termo diretiva de segurança ao invés de políticas de segurança. Eu prefiro o termo políticas de segurança, termo este que utilizarei neste livro. Com as políticas de acesso remoto, o administrador pode conceder ou negar autorização de acordo com a hora do dia ou o dia da semana, com base no grupo ao qual o usuário do acesso remoto pertence, o tipo de conexão solicitada, como, por exemplo, conexão de rede dial-up ou Virtual Private Network (VPN) e assim por diante. O administrador pode definir configurações que limitem o tempo máximo de sessão, especificar os níveis de segurança da autenticação e criptografia, definir diretivas de Bandwidth Allocation Protocol (BAP), como por exemplo quando novos links devem ser adicionados ou retirados e assim por diante. O uso das políticas de acesso remoto é uma maneira de controlar o acesso ao servidor RRAS, com base em uma série de parâmetros de configuração. NOTA: No Windows NT versões 3.5x e 4.0, o controle de acesso ao servidor de acesso remoto, baseava-se na opção Conceder permissão de discagem ao usuário do Gerenciador de usuários ou do utilitário Administrador de acesso remoto. As opções de call-back também eram configuradas por cada usuário. No Windows 2000 Server e no Windows Server 2003, ainda existe a possibilidade de fazer determinadas configurações nas propriedades da conta de cada usuário. Porém esta não é a maneira mais produtiva para gerenciar e configurar as permissões de acesso ao RRAS. Ao invés de configurar as permissões individualmente para cada usuário, o administrador faz estas configurações usando as políticas de acesso remoto. É possível definir as políticas em diferentes locais. Se você está utilizando a autenticação integrada do Windows, as políticas devem ser definidas no próprio servidor RRAS. Estas políticas serão aplicadas a todos os usuários que tentarem a conexão com o servidor RRAS. Este método tem o inconveniente de as políticas terem que ser definidas, individualmente, em cada servidor RRAS. Além disso, se você precisa fazer alterações nas políticas de acesso remoto, terá que fazer as alterações em todos os servidores RRAS, onde devam ser aplicadas as alterações. Uma abordagem mais indicada é que os vários servidores RRAS do domínio utilizem um único servidor RADIUS (servidor com o IAS instalado e configurado) como servidor de autenticação. Assim, as políticas de acesso remoto são criadas e gerenciadas de maneira centralizada, no servidor RADIUS. Ou seja, o administrador cria uma ou mais políticas no servidor RADIUS e estas políticas são aplicadas a todos os servidores RRAS, que utilizam o servidor RADIUS para autenticação. Para alterar uma política de acesso remoto, basta altera-la no servidor RADIUS, automaticamente, todos os servidores RRAS passarão a utilizar a política de acesso remoto já modificada. Importante: Com o uso de políticas de acesso remoto, uma conexão será autorizada se as configurações da tentativa de conexão coincidirem com pelo menos uma política (sujeita às condições das propriedades de discagem da conta de usuário e das propriedades de perfil da política de acesso remoto). Se as configurações da tentativa de conexão não coincidirem com pelo menos uma das políticas de acesso remoto, a tentativa de conexão será negada, independentemente das propriedades de discagem da conta de usuário. Por exemplo, se existem três políticas definidas para um ou mais grupos aos quais pertence um determinado usuário. Em pelo menos uma das políticas o usuário deverá ter permissão de acesso. O usuário só não terá acesso se em todas as políticas for negado o acesso. Observe que este comportamento é diferente do uso de negar permissões em permissões NTFS e permissões de compartilhamento. Nas permissões NTFS e de compartilhamento, se um usuário pertencer a dez grupos, sendo que para nove deles as permissões NTFS são de acesso e apenas a um dos grupos foi negado o acesso, prevalecerá a permissão de negar acesso e o usuário não terá acesso ao recurso. Já com as políticas de acesso remoto é, digamos assim, o contrário. Se pelo menos uma política der permissão de conexão (independente de uma dúzia de outras políticas negarem a permissão de conexão, o usuário terá permissão para fazer a conexão). NOTA: Se houver conflito entre as configurações definidas em uma política de acesso remoto e as configurações definidas nas propriedades da conta do usuário, prevalecem as definições das propriedades da conta do usuário, a não ser que a opção para ignorar as propriedades da conta do usuário tenha sido habilitada. As políticas de acesso remoto podem verificar uma série de configurações/itens, antes de permitir que a conexão seja estabelecida: • Permissão para fazer o acesso remoto
Uma vez que a conexão foi aceita e estabelecida, as configurações das políticas de acesso remoto podem definir restrições à conexão, tais como: • Tempo máximo de inatividade. O tempo após o qual uma conexão é desconectada por falta de atividade. Por padrão, essa propriedade não está definida e o servidor de acesso remoto não desconecta uma conexão ociosa. • Tempo máximo da sessão. O tempo máximo durante o qual uma conexão permanece conectada. A conexão é desconectada pelo servidor de acesso remoto após o tempo máximo de sessão. Por padrão, essa propriedade não está definida e o servidor de acesso remoto não possui um limite máximo de sessão. • Criptografia. Define o nível de criptografia mínimo que será aceito como método de criptografia entre o cliente e o servidor de acesso remoto. Se o cliente não for capaz de estabelecer uma conexão com o nível de criptografia mínimo, a conexão será recusada. Podem ser definidos os seguintes níveis de criptografia: - Sem criptografia: Quando selecionada, essa opção permite uma conexão sem criptografia. Para fazer com que a criptografia seja obrigatória, desmarque esta opção. - Forte (Strong): Para conexões dial-up e VPN com base em PPTP, é usada a criptografia MPPE com uma chave de 56 bits. Para as conexões VPN baseadas em L2TP através de IPSec, é usada a criptografia DES de 56 bits. - Mais forte (Strongest): Para conexões dial-up e VPN com base em PPTP, é usada a criptografia MPPE com uma chave de 128 bits. Para as conexões VPN baseadas em L2TP através de IPSec, é usada a criptografia DES tripla (3DES). • Filtros de pacotes IP: O administrador pode definir propriedades que definirão como o servidor RRAS fará a atribuição de endereços IP aos clientes. As seguintes opções estão disponíveis: - O servidor deve fornecer um endereço IP. O administrador também pode usar as configurações de IP, de uma política de acesso remoto, para aplicar filtros de pacote IP, que serão aplicados ao tráfego da conexão. Com esta opção, o administrador pode configurar qual o tráfego IP será permitido para a conexão remota. Podem ser configurados filtros para definir o tráfego que é permitido do servidor para o cliente (filtros de saída) e o tráfego que é permitido do cliente para o servidor (filtros de entrada). Podem ser criadas configurações baseadas em lista branca ou lista negra. Na lista negra, todo tráfego é permitido, com exceção do tráfego definido nos filtros. Na lista branca, todo o tráfego é proibido, com exceção do tráfego definido nos filtros. NOTA: Estes filtros não serão aplicados para conexões do tipo discagem sob demanda. • Restrições avançadas: As restrições/permissões das políticas de acesso remoto, podem ser definidas com base nos seguintes critérios: • Grupos aos quais pertence o usuário Por exemplo, podem ser definidas diferentes políticas, com diferentes tempos máximos de sessão para diferentes grupos ou para diferentes tipos de conexão. Ou restrições podem ser aplicadas para conexões não autenticadas. As autorizações de acesso podem ser definidas de duas diferentes maneiras: • Por usuário: Com esta forma de gerenciamento, as permissões de acesso remoto são configuradas diretamente nas propriedades da conta do usuário no Active Directory (ou nas propriedades da conta do computador, se for definida permissões por computador). Estas propriedades (descritas mais adiante), podem ser utilizadas para permitir ou para negar o acesso remoto. Também podem ser utilizadas para criar diferentes políticas de acesso remoto, baseadas em diferentes tipos de conexão. Por exemplo, pode ser criada uma política para conexões do tipo dial-up e outra para conexões Wireless. O gerenciamento Por usuário somente é recomendado quando você tiver um pequeno número de usuários (não mais do que 10), que fazem a conexão remota. Se você estiver usando o gerenciamento de autorização por usuário, os seguintes passos serão executados, para determinar se a conexão será aceita ou se será rejeitada: - Se a tentativa de conexão atender a todas as condições definidas nas políticas de acesso remoto, verifique as configurações definidas nas propriedades da conta do usuários: - Se a tentativa de conexão não atender a todas as condições definidas na política de acesso remoto, processe a próxima diretiva de acesso remoto, na ordem em que as diretivas foram colocadas na lista, pelo administrador. NOTA: Pode acontecer de uma tentativa de conexão não coincidir com nenhuma das políticas de acesso remoto. Nesse caso, a tentativa de conexão será rejeitada, independentemente da configuração de permissão de acesso remoto da conta do usuário. Importante: Conforme já salientado anteriormente, o gerenciamento por usuário não é recomendado na maioria das situações. Somente deve ser utilizado quando você tiver um número muito pequeno de usuários que se conectarão remotamente ao servidor RRAS. Eu diria que o limite para o gerenciamento por usuário seria de 10 usuários. Se você estiver usando o gerenciamento de autorização por grupo, com base em políticas de acesso remoto, os seguintes passos serão executados, para determinar se a conexão será aceita ou se será rejeitada: - Se a tentativa de conexão atender a todas as condições definidas nas políticas de acesso, verifique a permissão de acesso remoto da política de acesso remoto. If the connection attempt does not match all conditions of any remote access policy, reject the connection attempt. NOTA: Pode acontecer de uma tentativa de conexão não coincidir com nenhuma das políticas de acesso remoto configuradas no servidor RRAS ou no servidor RADIUS (se este estiver sendo utilizado para autenticação). Nesse caso, a tentativa de conexão será rejeitada. A seguir apresentarei dois exemplos práticos. No primeiro mostrarei as configurações relacionadas ao acesso remoto, que podem ser definidas nas propriedades da conta do usuário. No seguindo exemplo, mostrarei como criar uma política de acesso remoto no servidor RRAS. Configurações de acesso remoto nas propriedades da conta do usuário. Nas propriedades da conta de um usuário, estão disponíveis uma série de propriedades. No exemplo prático deste item descreverei as opções disponíveis. e mostrarei como configurar estas opções. Exemplo: Para configurar as propriedades relacionadas com o acesso remoto, em uma conta de usuário, siga os passos indicados a seguir: 1. Faça o logon como administrador ou com uma conta de permissão de administrador.
A seguir descrevo as diversas opções desta guia. • Remote Access Permission (Dial-in or VPN) (Permissão de acesso remoto (via discagem ou rede virtual privada)). Neste grupo estão opções para definir se o usuário terá ou não permissão para fazer a conexão com o servidor RRAS. Use essa propriedade para definir se o acesso remoto será explicitamente permitido (Allow access), negado (Deny access) ou determinado pelas políticas de acesso remoto Control access through Remote Access Policy (este é o valor selecionado por padrão no Windows Server 2003). Se o acesso for explicitamente permitido, as condições da diretiva de acesso remoto, as propriedades da conta de usuário ou do perfil poderão negar a tentativa de conexão. A opção Control access through Remote Access Policy somente estará disponível em contas de usuário em um domínio de modo nativo do Windows 2000 ou no modo Windows Server 2003, ou para contas locais em stand-alon servers, executando o Windows 2000 Server, Windows Server 2003 Standard Edition, Windows Server 2003 Enterprise Edition ou Windows Server 2003 Datacenter Edition. Ou de uma maneira mais fácil, a opção Control access through Remote Access Policy não estará disponível em contas de um domínio que ainda esteja no modo misto e também não estará disponível em um stand-alone server com o Windows Server 2003 Web Edition instalado. • Verify Caller-ID (Verificar identificação do chamador): Ao marcar esta opção, o campo ao lado da opção será habilitado para que você digite o número do telefone que estará associado com o usuário. Chamadas feitas pelo usuário, somente serão aceitas se feitas a partir do telefone informado neste campo. Se essa propriedade estiver ativada, o servidor verificará o número de telefone do chamador. Se o número de telefone do chamador não coincidir com o número de telefone configurado, a tentativa de conexão será negada. O chamador, o sistema telefônico entre o chamador e o servidor de acesso remoto e o servidor de acesso remoto devem dar suporte à identificação de chamador. A identificação do chamador no servidor de acesso remoto consiste no equipamento de atendimento de chamadas e no driver apropriado do Windows 2000 que dão suporte à passagem de informações de identificação do chamador para o serviço de roteamento e acesso remoto. Se você configurar um número de telefone de identificação do chamador para um usuário e não der suporte à passagem de informações de identificação do chamador para o serviço de roteamento e acesso remoto, a tentativa de conexão será negada. Esta opção pode ser utilizada, por exemplo, para funcionários que trabalham a partir de casa. Como estes funcionários utilizarão sempre o mesmo telefone, você pode configurar a conta utilizada pelo funcionário, com o respectivo número de telefone. Se alguém descobrir a conta e senha deste usuário, não conseguirá fazer a conexão remota, a não ser que esteja utilizando o telefone da casa do usuário. É um nível de segurança a mais. - Always Callback to (Sempre retornar chamada para): Com esta opção, a chamada de volta é feita sempre para o mesmo número. Esta opção é utilizada, por exemplo, para um funcionário que trabalha em caso. Neste caso o recurso de callback é utilizado para que o custo do telefone seja pago pela empresa. Neste caso, o número do telefone da casa do funcionário é informado nesta propriedade e a chamada de volta será feita sempre para este número. • Assign a Static IP Address (Atribuir um endereço IP estático): Se essa propriedade estiver ativada, você poderá atribuir um endereço IP específico a um usuário quando uma conexão for efetuada. • Apply Static Routes (Aplicar rotas estáticas): Ao marcar esta opção será aberta a janela Static Routes, indicada na Figura 19.27. Para adicionar uma nova rota estática basta clicar no botão Add Route... (Adicionar Rota...) e preencher as informações sobre a nova rota.
Essa configuração destina-se às contas de usuário que os roteadores do Windows Server 2003 (computadores com o Windows Server 2003 executando funções de roteamento) usam para o roteamento de discagem por demanda. No Capítulo 20 você aprenderá mais sobre Roteamento no Windows Server 2003 e sobre discagem sob demanda. No Windows Server 2003 Standard Edition, Windows Server 2003 Enterprise Edition ou Windows Server 2003 Datacenter Edition, o RADIUS pode ser configurado para ignorara as propriedades da guia Dial-in de uma conta de usuário ou de uma conta de computador. Esta configuração é feita nas propriedades de uma política de acesso remoto, conforme você aprenderá a configurar no próximo exemplo prático. Com as políticas de acesso remoto do IAS, você pode definir que as propriedades da guia Dial-in sejam processadas para determinados cenários (como por exemplo conexões via linha discada) e desabilitadas para outros cenários (como por exemplo acesso via tecnologias de Wireless). Este é apenas mais um exemplo da flexibilidade que é obtida com o uso do IAS. 5. Defina as configurações desejadas e clique em OK para aplica-las.
Criando uma política de acesso remoto. Neste item mostrarei como criar uma nova política de acesso remoto. Você irá criar uma nova política e definir a quais grupos a política irá ser aplicada. A política será criada no servidor RRAS. Se você utiliza o IAS para fazer autenticação de acesso remoto na sua rede, é recomendado que as políticas de acesso remoto sejam criadas no servidor RADIUS, onde está o IAS instalado. Para criar políticas de acesso remoto no IAS, você utiliza o console Internet Authentication Service. Exemplo: Para criar uma nova política de segurança no servidor de acesso remoto, siga os passos indicados a seguir: 1. Faça o logon com a conta de administrador ou com uma conta com permissão de administrador.
7. Clique em Next (Avançar), para seguir para a próxima etapa do assistente.
12. Você estará de volta ao assistente para criação da política de acesso remoto, com o grupo Vendas Externas já adicionado, conforme indicado na Figura 19.30:
13. Clique em Next (Avançar), para seguir para a próxima etapa do assistente. 15. Defina as configurações de protocol de autenticação e clique em Next (Avançar), para seguir para a próxima etapa do assistente.
17. Defina as configurações de criptografia e clique em Next (Avançar), para seguir para a próxima etapa do assistente.
NOTA: Para renomear uma política de acesso remoto, basta clicar com o botão direito do mouse na política e, no menu que é exibido,clique em Rename. O nome atual será selecionado. Digite o novo nome e clique no espaço em branco, fora do ícone da política. Pronto, ela foi renomeada. Para excluir uma política basta clicar com o botão direito do mouse na política a ser excluída e, no menu de opções que é exibido, clique em Delete (Excluir). Será exibida uma mensagem solicitando confirmação. Clique em Yes para confirmar a exclusão da política de acesso remoto. Configurando uma política de acesso remoto – Remota Access Profile Neste item mostrarei como configurar uma política de acesso remoto. As configurações de uma política de acesso remoto são conhecidas como: Remote Access Profile. Você irá configurar a política: Política para vendedores externos, criada no item anterior . Lembre-se que esta é uma política criada diretamente no servidor RRAS. Se você utiliza o IAS para fazer autenticação de acesso remoto na sua rede, é recomendado que as políticas de acesso remoto sejam criadas no servidor RADIUS, onde está o IAS instalado. Para criar e modificar políticas de acesso remoto no IAS, você utiliza o console Internet Authentication Service. Exemplo: Para configurar a política “Política para vendedores externos”, criada no item anterior, siga os passos indicados a seguir: 1. Faça o logon com a conta de administrador ou com uma conta com permissão de administrador.
7. Para alterar as configurações da política de acesso remoto clique no botão Edit Profile... (Editar perfil...). Será exibida a janela onde você pode alterar uma série de configurações da política de acesso remoto. Por padrão é exibida a guia Dial-in constraints (Restrições de discagem), conforme indicado na Figura 19.35:
8. Nesta guia você pode definir um série de opções, conforme descrito a seguir: • (Minutes server can remain idle befor it is disconnected (Idle-timeout) – Minutos que o servidor pode ficar ocioso antes que ele seja desconectado). Ao marcar esta opção, você pode definir um tempo máximo de inatividade da conexão. Se não houver atividade na conexão, por um período igual ao tempo definido neste campo, o servidor irá encerrar a conexão. Por padrão esta opção não é ativada. O administrador pode marcar esta opção e informar um tempo, em minutos, no campo ao lado desta opção. • Minutes client can be connected (Session-timeout) – Tempo máximo de conexão do cliente: Este campo é utilizado para definir um tempo máximo para a conexão do usuário. Por exemplo, o administrador pode definir que nenhuma conexão pode ser mantida por mais do que 3 horas. Quando a conexão atinge o tempo máximo, ela será automaticamente desconectada pelo servidor. Isso não impede que o usuário faça uma nova conexão, logo em seguida. • Allow access only on these days and at these times (Restringir a conexão as seguintes datas e horas): Esta opção é utilizada para definir as datas e horários em que a conexão pode ser feita. Ao marcar esta opção, o botão Edit (Editar) será habilitado. Ao clicar no botão Edit, será aberta a janela para definição dos dias e horários em que será permitida a conexão, conforme indicado na Figura 19.35. Esta é a janela que você aprendeu a utilizar no Capítulo 9, para restringir o horário de logon para os usuários e também no Capítulo 16, para definir o horário de replicação entre servidores WINS. • Allow access only to this number (Restringir a discagem ao número): Limita a conexão dos clients a uma porta específica do servidor de acesso remoto, sendo que a porta é identificada pelo número da linha telefônica associada à porta. O número é informado nesta opção. • Allow access only through these media (Restringir a mídia de discagem): Esta opção é utilizada para definir quais tipos de conexão o cliente poderá utilizar. Por exemplo, você pode restringir que somente serão aceitas conexões do tipo VPN, ou Frame Relay e X.25. Para aplicar restrições quanto ao tipo de conexão, basta marcar esta opção e depois marcar os tipos de conexões que serão aceitos. 9. Defina as configurações desejadas e clique na guia IP. Serão exibidas as opções indicadas na Figura 19.37:
Nesta guia estão disponíveis as opções descritas a seguir: • Ip address assignment (Atribuição de endereço IP): Neste grupo você define como será feita a atribuição de endereço IP para os clientes, quando é feita a conexão. Por padrão é utilizada a opção Server settings determine IP address assignment (A atribuição de endereços IP é definida pelas configurações do servidor). Com esta opção, as configurações feitas nas propriedades do servidor RRAS (veja um dos exemplos anteriores) é que determinam como será feita a atribuição de endereços IP. Por padrão é utilizada a integração com o DHCP. Você pode informar um endereço IP fixo, o qual será atribuído para os clientes. Esta opção somente é útil se a política aplica-se a um cliente específico, o qual deve receber sempre o mesmo número IP, como no exemplo de um roteador que usa discagem sob demanda. • Input Filters... (Filtros de entrada…) e Output Filters… (Filtros de saída): Com estes botões você pode definir filtros para o tráfego do servidor para o cliente (Output Filters...) ou para o tráfego do cliente para o servidor (Input Filters...). Por exemplo, para criar um filtro de saída, clique no botão Output Filters... (Filtros de Saída...). Será exibida a janela para criação do novo filtro. Clique no botão New... (Novo...). Será aberta a janela Add IP Filter (Adicionar filtro IP). Defina as características do filtro que será aplicado e clique em OK. Os filtros, conforme descrito anteriormente, podem ser criados com base em uma lista branca ou em uma lista negra. Com base na lista branca, todos os protocolos são proibidos, com exceção dos que estão na lista branca. Com base na lista negra, todos os protocolos são permitidos, com exceção dos que estão na lista negra. Para criar uma lista branca, você marca a opção Permit only the packets listed bellow (Permitir somente os pacotes listados a seguir) e para criar uma lista negra você marca a opção Do not permit packets listed bellow (Não permitir os pacotes listados a seguir). Estas opções estão disponíveis na janela que é aberta quando você clica no botão Input Filters..., para criar um filtro de entrada ou na janela Output Filters..., para criar um filtro de saída, conforme exemplo da Figura 19.38:
10. Defina as configurações desejadas na guia IP e clique na guia Multilink (Conexões múltiplas). Serão exibidas as opções indicadas na Figura 19.39:
Nesta guia estão disponíveis as opções descritas a seguir: • Multilink settings (Configurações de conexões múltiplas): Neste grupo você pode definir se devem ser utilizadas as configurações multilink definidas nas propriedades do servidor RRAS, ou seja, a política de acesso remoto não interfere nas conexões multilink e são utilizadas as configurações definidas nas propriedades do servidor RRAS (Server settings determine Multilink usage – Usar configurações padrão do servidor). Esta é a opção padrão. Outra opção é não permitir multilink (Do not allow multilink connections – Desativar conexões múltiplas). Com esta opção, não será permitido o uso de conexões multilink, para os clientes para os quais a política for aplicada. A última opção deste grupo, permite o uso de multilink e também permite que você informe o número máximo de links que cada cliente poderá utilizar (Maximum number of ports allowed – Limitar o número máximo de portas usadas). • Bandwidth Allocatin Protocol (BAP) settings (Configurações do protocolo de alocação de largura de banda (BAP)): Neste grupo você tem opções para configuração do protocolo BAP. É importante lembrar que o BAP é utilizado para adicionar ou retirar links, automaticamente, a medida que o tráfego entre o cliente e o servidor aumento ou diminui, respectivamente. Por padrão é definido que, se a utilização da capacidade da banda da conexão múltipla, chegar abaixo dos 50% por um período de dois minutos, um dos links deve ser desconectado. Você pode ajustar estes valores de acordo com as necessidades específicas de cada caso. • Require BAP for dynamic Multilink request (Exigir BAP para solicitações de conexões múltiplas dinâmicas): Esta opção define que somente será permitida a alocação dinâmica de novas linhas, se o protocolo BAP também estiver habilitado no cliente. Dica: Se você está estudando para o MCSE –2000 ou para o MCSE – 2003, não esqueça os seguintes fatos: - Para que uma conexão possa usar multilink, este deve estar habilitado no cliente e no servidor. 11. Defina as configurações desejadas na guia Multilink e clique na guia Authentication (Autenticação). Serão exibidas as opções indicadas na Figura 19.40:
Nesta guia estão disponíveis as opções para que você defina quais os protocolos de autenticação serão aceitos pela política de acesso remoto. São exatamente as mesmas opções exibidas na etapa do assistente de criação da política, onde você deve definir os protocolos de autenticação que serão aceitos. Mostrei como utilizar estas opções no exemplo anterior, quando foi criada a política de acesso remoto. Nesta guia está disponível também a opção Allo clients to connect without negotiating an authentication methohd (Permitir que clientes conectem-se sem negociar quaisquer métodos de autenticação). Esta opção é equivalente a permitir que sejam feitas conexões não autenticadas. Se esta opção for habilitada, serão usadas as configurações de conexão não autenticada, definidas nas propriedades do servidor de acesso remoto. 12. Defina as configurações desejadas na guia Authentication e clique na guia Encryption (Criptografia). Serão exibidas as opções indicadas na Figura 19.41: 13. Nesta guia você define quais métodos de criptografia serão aceitos pela política de acesso remoto. Se o cliente não for capaz de usar, pelo menos, um dos métodos definidos, a conexão não será estabelecida, a não ser que a opção No encryption (Sem criptografia) esteja marcada. Porém não é recomendado o uso desta opção. Defina as configurações desejadas na guia Encryption e clique na guia Advanced (Avançado). Serão exibidas as opções indicadas na Figura 19.42:
14. Nesta guia você faz um “ajuste fino” nas configurações da política de acesso remoto. Usando o botão Add... (Adicionar...), você pode adicionar inúmeras novas condições que devem ser atendidas, para que a conexão seja efetuada com sucesso. Vamos mostrar um exemplo prático de criação de uma nova condição.
18. Clique em Add (Adicionar). Será aberta a janela Attrbute Information (Informações do atributo), para que você informe o número do telefone para ser feita a chamada de volta (Callback). Informe o número do telefone, conforme exemplo da Figura 19.44:
19. Clique em OK. Você estará de volta à janela para adicionar atributos. Clique em Close (Fechar). |
|||
| « Lição anterior | Δ Página principal | ¤ Capítulos | Próxima lição » |
|
UNIVERSIDADE DO WINDOWS SERVER E AD |
|
UNIVERSIDADE PRÁTICA DO WINDOWS SERVER E DO ACTIVE DIRECTORY - Planejamento, Instalação, Configurações, Administração e Segurança no Windows Server: 2019, 2016, 2012 e 2008. |
|
Acesso Vitalício, Novas Aulas toda Semana, Suporte à Dúvidas e Certificado de Conclusão. |
|
Para Todos os Detalhes, Acesse:
https://juliobattisti.com.br/windows-server-curso-completo.asp |
|
MEGA FORMAÇÃO EM INFRAESTRUTURA DE TI (Online, Vitalício, Prático e Atualizado)! |
|
|
NÃO PROCURE VAGAS, SEJA PROCURADO! |
|
Para Todos os Detalhes, Acesse:
https://juliobattisti.com.br/curso-infra-ti.asp
|
Contato: Telefone: (51) 3717-3796 | E-mail: webmaster@juliobattisti.com.br | Whatsapp: (51) 99627-3434
Júlio Battisti Livros e Cursos Ltda | CNPJ: 08.916.484/0001-25 | Rua Vereador Ivo Cláudio Weigel, 537 - Universitário, Santa Cruz do Sul/RS, CEP: 96816-208
Todos os direitos reservados, Júlio Battisti 2001-2026 ®
LIVRO: MACROS E PROGRAMAÇÃO VBA NO EXCEL 2016 - CURSO COMPLETO E PRÁTICO
DOMINE A PROGRAMAÇÃO VBA NO EXCEL - 878 PÁGINAS - CLIQUE AQUI
