Práticas recomendadas do servidor de diretivas de rede

Você pode usar este tópico para aprender sobre as práticas recomendadas para implantar e gerenciar o NPS (Servidor de Diretivas de Rede).

As seções a seguir fornecem práticas recomendadas para diferentes aspetos da implantação do NPS.

Accounting

A seguir estão as melhores práticas para o registo de NPS.

Existem dois tipos de contabilidade, ou registro, no NPS:

• Registo de eventos para NPS. Você pode usar o log de eventos para registrar eventos NPS nos logs de eventos do sistema e de segurança. Isso é usado principalmente para auditoria e solução de problemas de tentativas de conexão.

• Registro de solicitações de autenticação e contabilidade do usuário. Você pode registrar solicitações de autenticação e contabilização de usuário em arquivos de log em formato de texto ou banco de dados, ou pode registrar em um procedimento armazenado em um banco de dados do SQL Server 2000. O registro de solicitações é usado principalmente para fins de análise de conexão e faturamento, e também é útil como uma ferramenta de investigação de segurança, fornecendo um método de rastrear a atividade de um invasor.

Para fazer o uso mais eficaz do registro NPS:

• Ative o registro em log (inicialmente) para registros de autenticação e contabilidade. Modifique essas seleções depois de determinar o que é apropriado para seu ambiente.

• Certifique-se de que o registo de eventos está configurado com uma capacidade suficiente para manter os registos.

• Faça backup de todos os arquivos de log regularmente porque eles não podem ser recriados quando estiverem danificados ou excluídos.

• Use o atributo RADIUS Class para controlar o uso e simplificar a identificação de qual departamento ou usuário cobrar pelo uso. Embora o atributo Class gerado automaticamente seja exclusivo para cada solicitação, registros duplicados podem existir nos casos em que a resposta ao servidor de acesso é perdida e a solicitação é reenviada. Talvez seja necessário excluir solicitações duplicadas de seus logs para rastrear o uso com precisão.

• Se os servidores de acesso à rede e os servidores proxy RADIUS enviarem periodicamente mensagens fictícias de solicitação de conexão ao NPS para verificar se o NPS está online, utilize a configuração de registo ping username. Essa configuração configura o NPS para rejeitar automaticamente essas solicitações de conexão falsas sem processá-las. Além disso, o NPS não registra transações envolvendo o nome de usuário fictício em nenhum arquivo de log, o que torna o log de eventos mais fácil de interpretar.

• Desative o encaminhamento de notificações NAS. Você pode desabilitar o encaminhamento de mensagens de início e interrupção de servidores de acesso à rede (NASs) para membros de um grupo de servidores remotos RADIUS QUE ESTÁ configurado no NPS. Para obter mais informações, consulte Desabilitar o encaminhamento de notificações NAS.

Para obter mais informações, consulte Configurar a contabilidade do servidor de políticas de rede.

• Para proporcionar tolerância a falhas e redundância com o registo do SQL Server, coloque dois computadores a executar o SQL Server em sub-redes diferentes. Use o Assistente para Criar Publicação do SQL Server para configurar a replicação de banco de dados entre os dois servidores. Para obter mais informações, consulte Documentação técnica do SQL Server e Replicação do SQL Server.

Authentication

A seguir estão as práticas recomendadas para autenticação.

• Use métodos de autenticação baseados em certificados, como PEAP (Protected Extensible Authentication Protocol) e EAP (Extensible Authentication Protocol) para autenticação forte. Não use métodos de autenticação somente com senha porque eles são vulneráveis a uma variedade de ataques e não são seguros. Para autenticação sem fio segura, recomenda-se o uso do PEAP-MS-CHAP v2, porque o NPS prova sua identidade para clientes sem fio usando um certificado de servidor, enquanto os usuários provam sua identidade com seu nome de usuário e senha. Para obter mais informações sobre como usar o NPS em sua implantação sem fio, consulte Implantar Password-Based acesso sem fio autenticado 802.1X.
• Implante sua própria autoridade de certificação (CA) com os Serviços de Certificados do Ative Directory® (AD CS) quando usar métodos de autenticação fortes baseados em certificados, como PEAP e EAP, que exigem o uso de um certificado de servidor em NPSs. Você também pode usar sua autoridade de certificação para registrar certificados de computador e certificados de usuário. Para obter mais informações sobre como implantar certificados de servidor em servidores NPS e de Acesso Remoto, consulte Implantar certificados de servidor para implantações com e sem fio 802.1X.

Configuração do computador cliente

A seguir estão as práticas recomendadas para a configuração do computador cliente.

• Configure automaticamente todos os computadores cliente 802.1X membros do domínio usando a Diretiva de Grupo. Para obter mais informações, consulte a seção "Configurar políticas de rede sem fio (IEEE 802.11)" no tópico Implantação de acesso sem fio.

Sugestões de instalação

A seguir estão as práticas recomendadas para instalar o NPS.

• Antes de instalar o NPS, instale e teste cada um dos seus servidores de acesso à rede usando métodos de autenticação local antes de configurá-los como clientes RADIUS no NPS.

• Depois de instalar e configurar o NPS, salve a configuração usando o comando Export-NpsConfiguration do Windows PowerShell. Salve a configuração do NPS com este comando sempre que você reconfigurar o NPS.

Ajuste de desempenho NPS

A seguir estão as práticas recomendadas para ajuste de desempenho NPS.

• Para otimizar os tempos de resposta de autenticação e autorização do NPS e minimizar o tráfego de rede, instale o NPS em um controlador de domínio.

• Quando UPNs (nomes principais universais) ou domínios do Windows Server 2008 e Windows Server 2003 são usados, o NPS usa o catálogo global para autenticar usuários. Para minimizar o tempo necessário para fazer isso, instale o NPS em um servidor de catálogo global ou em um servidor que esteja na mesma sub-rede que o servidor de catálogo global.

• Quando tiveres grupos de servidores remotos RADIUS configurados e, nas Diretivas de Pedido de Ligação NPS, desmarcares a caixa de seleção Registar informações de contabilidade nos servidores no seguinte grupo de servidores remotos RADIUS, esses grupos ainda receberão mensagens de notificação de início e paragem do servidor de acesso à rede (NAS). Isso cria tráfego de rede desnecessário. Para eliminar esse tráfego, desative o encaminhamento de notificações NAS para servidores individuais em cada grupo de servidores remotos RADIUS desmarcando a caixa de seleção Encaminhar notificações de início e parada de rede para este servidor .

Usando o NPS em grandes organizações

A seguir estão as práticas recomendadas para usar o NPS em grandes organizações.

• Se estiver a utilizar políticas de rede para restringir o acesso a todos os grupos, exceto a determinados grupos, crie um grupo universal para todos os utilizadores aos quais pretende permitir o acesso e, em seguida, crie uma política de rede que conceda acesso a este grupo universal. Não coloque todos os seus usuários diretamente no grupo universal, especialmente se você tiver um grande número deles em sua rede. Em vez disso, crie grupos separados que sejam membros do grupo universal e adicione usuários a esses grupos.

• Use um nome principal de usuário para se referir aos usuários sempre que possível. Um usuário pode ter o mesmo nome principal de usuário, independentemente da associação ao domínio. Essa prática fornece escalabilidade que pode ser necessária em organizações com um grande número de domínios.

• Se você instalou o NPS (Servidor de Diretivas de Rede) em um computador que não seja um controlador de domínio e o NPS está recebendo um grande número de solicitações de autenticação por segundo, você pode melhorar o desempenho do NPS aumentando o número de autenticações simultâneas permitidas entre o NPS e o controlador de domínio. Para obter mais informações, consulte Aumentar autenticações simultâneas processadas pelo NPS.

Questões de segurança

A seguir estão as práticas recomendadas para reduzir os problemas de segurança.

Quando estiver administrando um NPS remotamente, não envie dados confidenciais (por exemplo, segredos compartilhados ou senhas) pela rede em texto sem formatação. Existem dois métodos recomendados para a administração remota de NPSs:

• Use os Serviços de Área de Trabalho Remota para acessar o NPS. Quando utiliza os Serviços de Ambiente de Trabalho Remoto, os dados não são enviados entre o cliente e o servidor. Somente a interface do usuário do servidor (por exemplo, a área de trabalho do sistema operacional e a imagem do console NPS) é enviada para o cliente dos Serviços de Área de Trabalho Remota, que é chamado de Conexão de Área de Trabalho Remota no Windows® 10. O cliente envia a entrada de teclado e mouse, que é processada localmente pelo servidor que tem os Serviços de Área de Trabalho Remota habilitados. Quando os usuários dos Serviços de Área de Trabalho Remota fazem logon, eles podem exibir apenas suas sessões de cliente individuais, que são gerenciadas pelo servidor e são independentes umas das outras. Além disso, a Ligação ao Ambiente de Trabalho Remoto fornece encriptação de 128 bits entre o cliente e o servidor.

• Use o protocolo IPsec para criptografar dados confidenciais. Você pode usar o IPsec para criptografar a comunicação entre o NPS e o computador cliente remoto que você está usando para administrar o NPS. Para administrar o servidor remotamente, você pode instalar as Ferramentas de Administração de Servidor Remoto para Windows 10 no computador cliente. Após a instalação, use o MMC (Console de Gerenciamento Microsoft) para adicionar o snap-in NPS ao console.

Para obter mais informações sobre o NPS, consulte Servidor de Diretivas de Rede (NPS).