Professional Documents
Culture Documents
Longhorn. As informaes contidas no mesmo representam a viso
atual da Microsoft Corporation sobre os assuntos discutidos at a
data da publicao. A Microsoft deve reagir s constantes
alteraes nas condies do mercado, e sendo assim este documento
no deve ser interpretado como um compromisso por parte
Microsoft, e a Microsoft no pode garantir a preciso de qualquer
informao aqui. Este documento tem propsito exclusivamente
informativo. A MICROSOFT NO OFERECE GARANTIAS, EXPRESSAS,
IMPLCITAS OU REGULAMENTARES ACERCA DAS INFORMAES CONTIDAS
NESTE DOCUMENTO.
As informaes contidas neste documento, incluindo URL e outras
referncias a sites da Internet, esto sujeitas a alteraes a
qualquer momento. Salvo disposio em contrrio, os exemplos de
empresas, organizaes, produtos, nomes de domnio, endereos de
e-mail, logotipos, pessoas, lugares e eventos aqui descritos so
fictcios e no tm relao alguma com qualquer empresa,
organizao, produto, nome de domnio, endereo de e-mail,
logotipo, pessoa, lugar ou evento real. de responsabilidade do
usurio o respeito a toda a legislao de copyright aplicvel. A
Microsoft concede o direito de reproduo deste guia, no todo ou em
parte.
A Microsoft pode deter as patentes, as solicitaes de patentes,
as marcas comerciais, os direitos autorais ou outras propriedades
intelectuais pertinentes ao objeto deste documento. Salvo
expressamente disposto em qualquer contrato de licena escrito da
Microsoft, o fornecimento deste documento no confere a voc
qualquer licena em relao a essas patentes, marcas comerciais,
direitos autorais ou outras propriedades intelectuais.
2007 Microsoft Corp. Todos os direitos reservados.
Microsoft, Windows Server, o logo do Windows, Windows, Active
Directory, Windows Vista, BitLocker, Internet Explorer, Windows
Server System, Windows NT, Windows Mobile, Windows Media, Aero,
ClearType, RemoteApp, SharePoint, ActiveX, Outlook, Authenticode,
Visual Basic, Win32, WinFX, Windows PowerShell e MSDN so marcas
comerciais da Microsoft.
Os nomes das empresas e dos produtos mencionados aqui podem ser
marcas comerciais de seus respectivos proprietrios.
O guia dos revisores do Windows Server
Longhorn
Beta 3 fornece uma viso geral tcnica abrangente dos
recursos e funes inovadores que tornam o
Windows Server Longhorn um sistema operacional de
ltima gerao e o sucessor do Microsoft
Windows Server 2003. Este guia tambm fornece
informaes sobre os benefcios que o Windows Server
Longhorn oferece a diversos usurios, bem como
informaes sobre cenrios variados.
Contedo
Sobre o documento ...............................................1
Contedo ......................................................1
Seo 1: Introduo ao Windows Server Longhorn 3
1.01 Introduo ao Windows Server Longhorn...........................4
1.02 Maior Controle ...............................................8
1.03 Mais Flexibilidade............................................11
1.04 Maior Proteo..............................................14
Seo 2: Virtualizao do Servidor 18
2.01 Introduo Virtualizao de Servidor .............................19
2.02 Virtualizao do Windows Server.................................20
2.03 Ncleo do Servidor ...........................................33
Seo 3: Acesso Centralizado a Aplicaes 34
3.01 Introduo ao Acesso Centralizado a Aplicaes .....................35
3.02 Funcionalidade Bsica de Servios de Terminal ......................36
3.03 Gateway de Servios de Terminal ................................53
3.04 RemoteApp de Servios de Terminal ..............................62
3.05 Acesso a Web de Servios de Terminal ............................65
3.06 Impresso de Servios de Terminal ...............................69
3.07 Session Broker de Servios de Terminal ...........................73
3.08 Licenciamento de Servios de Terminal ............................76
3.09 Gerenciador de Recursos de Sistema do Windows....................79
Seo 4: Escritrios Remotos 83
4.01 Introduo ao Suporte a Escritrios Remotos/Filiais ...................84
4.02 Controlador de Domnio Somente Leitura...........................85
4.03 Criptografia de Unidade de Disco BitLocker .........................91
4.04 Ncleo do Servidor ...........................................99
Seo 5: Aplicao de Diretivas e Segurana 100
5.01 Introduo Aplicao de Diretivas e Segurana ....................101
5.02 Servios de Acesso e Diretiva de Rede ...........................103
5.03 Proteo contra Acesso Rede ................................110
5.04 Protocolos TCP/IP e Componentes de Rede de ltima Gerao .........120
5.05 Firewall do Windows com Segurana Avanada.....................129
5.06 Cryptography Next Generation .................................136
5.07 Servios de Certificado do Active Directory ........................139
5.08 Servios de Domnio do Active Directory ..........................160
5.09 Servios Federados do Active Directory...........................181
5.10 Active Directory Lightweight Directory Services .....................189
5.11 Servios de Gerenciamento de Direitos do Active Directory.............192
Seo 6: Plataforma de Aplicaes e da Web 199
6.01 Introduo Plataforma de Aplicaes e da Web....................200
6.02 Internet Information Services 7.0 ................................201
6.03 Windows Media Services .....................................208
6.04 Servidor de Aplicao........................................212
6.05 NTFS Transacional..........................................217
Seo 7: Gerenciamento de Servidores 219
7.01 Introduo ao Gerenciamento de Servidores .......................220
7.02 Tarefas de Configurao Inicial .................................222
7.03 Server Manager ............................................224
7.04 Windows PowerShell ........................................240
7.05 Ncleo do Servidor ..........................................242
7.07 Backup do Windows Server....................................248
7.08 Monitor de Confiabilidade e Desempenho do Windows ................251
7.09 Servios de Implantao do Windows ............................254
Seo 8: Alta Disponibilidade 266
8.01 Introduo Alta Disponibilidade................................267
8.02 Clustering Failover ..........................................268
8.03 Balanceamento de Carga de Rede ..............................273
Seo 9: Windows Server e Windows Vista - Melhores juntos 275
9.01 Melhores Juntos Windows Server Longhorn e Windows Vista........276
Seo 10: Diversos 283
10.01 Requisitos do Sistema ......................................284
10.02 Tabela Detalhada de Contedo ................................286
3
Guia do Revisor do Windows Server Longhorn Beta 3
Seo 1: Introduo ao
Windows Server Longhorn
1.01 Introduo ao Windows Server Longhorn...........................4
1.02 Maior Controle ...............................................8
1.03 Mais Flexibilidade............................................11
1.04 Maior Proteo..............................................14
4
Guia do Revisor do Windows Server Longhorn Beta 3
1.01 Introduo ao Windows Server Longhorn
O Microsoft Windows Server Longhorn Fornece Maior Controle, Mais
Flexibilidade e Proteo Aperfeioada para Sua Infra-Estrutura de
Servidor Ajudando Voc a Otimizar Tempo e Custos
As pessoas buscam resultados comerciais. Amplie seu impacto e
voc criar um sucesso maior. Na Microsoft acreditamos que as
pessoas, quando equipadas adequadamente com as ferramentas
corretas, podem superar at mesmo os desafios comerciais mais
complexos. Das muitas opes disponveis para empresas, o
software demonstrou uma capacidade nica de amplificar o impacto
positivo das pessoas, ajudando-as a superar desafios de
gerenciamento de empresas e a contribuir de maneira mais
eficiente para o
resultado final.
Como parte do auxlio
s pessoas alcanarem o
sucesso comercial, a
Microsoft est buscando
ajud-las a gerenciar a
complexidade e alcanar
agilidade, proteger
informaes e controlar
o acesso, desenvolver a
empresa com solues de
TI, e aumentar seu
impacto. Oferecendo uma
plataforma produtiva
para impulsionar redes
de aplicaes, servios
de Web e Virtualizao
como o Windows Server
Server (Windows
Domain Services),
Servios de Certificado do Active Directory (Active Directory
Certificate Services) e Servios de Federao do Active Directory
(Active Directory Federation Services) podem executar funes
distintas, mas todos eles contribuem pra uma carga de trabalho ou
cenrio de nvel mais alto de Gerenciamento de Identidade e
Acesso.
Quando os clientes implantarem o Windows Server Longhorn,
provavelmente escolhero certos cenrios e cargas de trabalho em
que sintam que o produto proporciona maior valor ou facilidade de
implementao com mnima interrupo de sua infra-estrutura
existente. Por essa razo, consideramos o Windows Server
Longhorn como ser implantado pelos clientes em cenrios
especficos.
Vamos nos concentrar em sete principais cenrios de produto que
suportam os pilares de proposta de valor para o Windows Server
Longhorn. Para cada pilar temos dois cenrios que mapeiam
aproximadamente as cargas de trabalho de servidor reconhecidas.
Tambm fizemos uma srie de melhorias no Windows Server
Longhorn que podem dar valor a implantaes em escritrios
remotos.
7
Guia do Revisor do Windows Server Longhorn Beta 3
A figura a seguir descreve os sete cenrios do Windows Server
Longhorn:
8
Guia do Revisor do Windows Server Longhorn Beta 3
1.02 Maior Controle
Passe Menos Tempo em Tarefas Cotidianas
O Windows Server Longhorn permite que voc tenha mais controle
sobre sua infra-estrutura de servidor e de rede, permitindo que se
concentrem em suas
necessidades comerciais mais
crticas.
Os clientes precisam de
melhor controle e
gerenciamento em sua infra-
estrutura de servidor.
As questes dos clientes incluem as seguintes:
Quero saber de problemas e corrigi-los antes que meus
usurios sejam afetados.
Quero automatizar o mximo possvel de meu gerenciamento.
O sistema operacional do servidor deve ter ferramentas de
gerenciamento melhores. Eu no deveria ter de comprar
aplicaes de terceiros para fazer o gerenciamento bsico
de sistemas.
Posso ser alertado para um problema com um servidor, mas o
alerta no d informaes suficientes para eu entender e
solucionar a falha.
Muitas tarefas cotidianas tomam muito tempo.
A infra-estrutura cresceu pela necessidade. Conforme
quisemos fazer mais, precisamos adicionar mais e
gerenciar mais.
Quero utilizar o TI para me tornar mais eficiente e ver a
TI como um ativo estratgico para a empresa.
Preciso reduzir custos e complexidade.
9
Guia do Revisor do Windows Server Longhorn Beta 3
Simplifique o gerenciamento de sua infra-estrutura de TI usando
novas ferramentas que proporcionam uma interface concentrada para
configurao e monitoramento de servidor, assim como a capacidade
de automatizar tarefas de rotina.
O Gerenciador de Windows Server acelera a instalao e
configurao de servidor, e simplifica o gerenciamento em
andamento de funes de servidor atravs de um console
unificado de gerenciamento.
O Windows PowerShell, um novo shell de linha de comando com
mais de 130 ferramentas e uma linguagem de script
integrada, permite que os administradores controle mais
facilmente e automatizem mais seguramente tarefas
rotineiras de administrao de sistemas, especialmente ao
longo de mltiplos servidores.
Dinamize a instalao e gerenciamento do Windows Server
Longhorn instalando apenas as funes e recursos de que
precisa. A personalizao da configurao do servidor simplifica
a manuteno permanente minimizando a rea da superfcie de
ataque e reduzindo a necessidade de atualizaes de software.
A Instalao Baseada em Funo instala somente os
componentes de que voc precisa para uma determinada
funo, simplificando a configurao e manuteno do
sistema operacional, reduzindo os custos de implantao e
gerenciamento do Windows Server.
O Ncleo do Servidor Windows (Windows Server Core) uma
nova opo de instalao para funes selecionadas
(Virtualizao do Windows Server, Active Directory, Modo de
Aplicao do Active Directory (Active Directory Application
Mode), DNS, WINS, DHCP, Servidor de Arquivos e Impresso)
que inclui uma interface grfica de usurio ou recursos e
servios no-relacionados, proporcionando um servidor
altamente disponvel que requer menos atualizaes e menos
manuteno.
Identifique com preciso e resolva pontos de problemas com
poderosas ferramentas de diagnstico que lhe do visibilidade
contnua do ambiente de seu servidor, tanto fsico como virtual.
Console integrado de desempenho e confiabilidade oferece
diagnsticos incorporados para ajudar a evitar e reduzir o
impacto de falhas, inclusive o Framework de Diagnstico de
Rede (Network Diagnostic Framework).
Visualizar Eventos (Event Viewer) mais rico proporciona uma
percepo mais profunda para o administrador que ajuda a
resolver problemas antes que afetem os usurios.
Pacotes de Gerenciamento para cada funo de servidor
fornecem integrao aprimorada com o Gerenciador de
Operaes do Microsoft System Center (Microsoft System
Center Operations Manager).
10
Guia do Revisor do Windows Server Longhorn Beta 3
Aumente o controle sobre servidores situados em locais distantes,
como o escritrio remoto. Com administrao de servidor e
replicao de dados otimizados, voc pode fornecer aos usurios
um melhor servio ao mesmo tempo em que reduz as dores de cabea
do gerenciamento.
Priorizao de trfego de WAN entre clientes do Windows
Vista e servidores do Windows Server Longhorn
Otimizao de trfego de WAN e auto-ajuste de rede para
replicao de SysVol, Replicao de Sistema de Arquivos
Distribudo, e outros protocolos como SMB
O Controlador de Domnio de Somente Leitura permite que
voc fornea autenticao local para usurios de escritrio
remoto sem implantar uma cpia completa e gravvel do banco
de dados do Active Directory database, que poderia estar
sujeita a corrupo ou exposta a riscos.
O Microsoft BitLocker permite que voc exera controle
adicional sobre os dados em um disco rgido de servidor em
locais remotos menos seguros.
O Gerenciamento Centralizado de Impressora permite que voc
controle todas as impressoras a partir de um nico local e
passe menos tempo gerenciando impressoras remotas.
Simplifique o gerenciamento de servidores de Web com o Internet
Information Services 7.0, que uma poderosa plataforma de Web
para aplicaes e servios. Essa plataforma modular oferece uma
interface de gerenciamento simplificada, baseada em tarefa, maior
controle entre sites, aprimoramentos de segurana, e
gerenciamento integrado de integridade para Web Services.
A interface baseada em tarefa simplifica tarefas comuns de
gerenciamento de servidor de Web.
Cpias entre sites permitem que voc copie facilmente
configuraes de Websites ao longo de mltiplos servidores
de Web sem configurao adicional.
A administrao delegada de aplicaes e sites permite que
voc d controle de diferentes partes do servidor de Web
queles que precisam dele.
Aumente o controle sobre suas configuraes de usurio com
Diretiva de Grupo Expandida: Administradores podem poupar tempo e
dinheiro configurando configuraes de rede por ou sem fio, de
dispositivos de armazenamento removveis, impressoras, Microsoft
Internet Explorer
Longhorn que permite a organizaes de TI reduzir custos e
criar um centro de dados gil e dinmico.
A funo de virtualizao oferece um paradigma inteiramente novo
de implantao e licenciamento para que permitir mltiplas
instncias de sistema operacional tanto da Microsoft como
potencialmente de outros fabricantes sejam executados em uma
infra-estrutura virtual separada do hardware por uma tecnologia
de virtualizao baseada em um monitor fino.
Conforme examinarmos este cenrio, ser importante manter o foco
no apenas no que o cenrio oferece, mas tambm naquilo que
possibilita que possivelmente todas as outras funes de
servidor do Windows Server Longhorn e potencialmente Linux e
outros sistemas operacionais.
Proposta de Valor do Cenrio
A funo de virtualizao possibilita que organizaes criem um
centro de dados gil e dinmico e reduzam custos. As principais
propostas de valor que a virtualizao de servidor permitem so
essas:
Consolidao de servidor: Possibilitar que os clientes
reduzam a quantidade total e o custo de propriedade de
servidor minimizando a utilizao do hardware, consolidando
cargas de trabalho e reduzindo os custos de gerenciamento.
Ambientes de desenvolvimento e teste. Criar um ambiente
mais flexvel e fcil de gerenciar que maximize o hardware
de teste, reduza custos, melhore o gerenciamento do ciclo
de vida e melhore a cobertura dos testes.
Gerenciamento de continuidade de negcios. Eliminar o
impacto de tempos de inatividade programados e no
programados e permitir capacidades de recuperao de
desastres com recursos como a Migrao ao Vivo e clustering
de host.
Centro de dados dinmico. Utilizar os benefcios da
virtualizao para criar uma infra-estrutura mais gil
combinada com novos recursos de gerenciamento para permitir
a voc mover mquinas virtuais sem causar impacto sobre os
usurios.
Requisitos Especiais de Hardware
A funo de virtualizao requer o seguinte:
Processadores Intel VT ou AMD-V ativados
20
Guia do Revisor do Windows Server Longhorn Beta 3
2.02 Virtualizao do Windows Server
A virtualizao uma tecnologia chave de capacitao que pode
ser utilizada para alcanar benefcios comerciais. A tecnologia
de virtualizao permite que os clientes executem vrios sistemas
operacionais de maneira concorrente em um nico servidor fsico,
em que cada um dos sistemas operacionais executado como um
computador independente.
Hoje h mais presso que nunca sobre o TI com oramentos
reduzidos, tecnologias que mudam rapidamente e questes
crescentes de segurana. Conforme as empresas crescem, suas
infra-estruturas de TI crescem com elas. Mas, freqentemente, o
ritmo desse crescimento irregular, impulsionado tanto pelas
condies sob as quais a empresa opera quanto pelo modelo a que
aspira. O TI est sendo cada vez mais visto como um gerador-chave
de valor para a maioria das organizaes, e o foco do TI mudar
de meramente manter a empresa em funcionamento para ser um
mecanismo para produzir reatividade e agilidade por toda a
organizao.
Produzir agilidade pelo TI, reduzir custos e gerenciar
complexidade precisam todos acontecer de uma forma integrada. A
Iniciativa de Sistemas Dinmicos da Microsoft (DSI - Dynamic
Systems Initiative) utiliza a virtualizao como um pilar
principal para tratar dessas preocupaes comerciais, e se une
estreitamente com a adio de informaes s aplicaes e na
camada de gerenciamento para permitir a viso de sistemas
dinmicos gerenciados automaticamente em todo o ciclo de vida e
por todas as funes dentro da organizao. A virtualizao como
tecnologia tem a capacidade de tratar de algumas dessas
preocupaes e necessidades comerciais como partes da estratgia
geral de TI.
Hoje, O Microsoft
4.0
Server e Windows
.
Quando os usurios executam uma aplicao com os Servios de
Terminal, a execuo da aplicao se d no servidor, e somente
informaes de teclado, mouse e monitor so transmitidas pela
rede Os usurios podem apenas ver suas sesses individuais,
gerenciadas de maneira transparente pelo sistema operacional do
servidor, e permanecem independentes de qualquer outra sesso de
cliente.
Proposta de Valor do Cenrio
As principais propostas de valor que o acesso centralizado a
aplicaes possibilita so:
Fornecer acesso centralizado a aplicaes comerciais na LAN
ou pela Internet.
Eliminar o risco de perda de dados de laptops usando acesso
remoto seguro a aplicaes e dados localizados
centralmente.
Reduzir os custos de gerenciamento atravs da eliminao da
necessidade de servidores de aplicaes em locais
distribudos.
Oferecer acesso seguro a aplicaes sem a necessidade de
permitir acesso total rede atravs de VPN ou outros
mecanismos.
Consolidar os Servios de Terminal existentes usando
tecnologia x64.
Melhorar a produtividade do usurio final com integrao
contnua de aplicaes baseadas no local e nos Servios de
Terminal no cliente local.
Requisitos Especiais de Hardware
A seguir est um requisito adicional de:
Firewall baseado em hardware ou software (ou outro
dispositivo de segurana de borda) para ser colocado entre
o Gateway de Servios de Terminal e a Internet.
36
Guia do Revisor do Windows Server Longhorn Beta 3
3.02 Funcionalidade Bsica de Servios de Terminal
Para o Windows Server
, que uma
tecnologia para exibir fintes de computador de modo que elas
48
Guia do Revisor do Windows Server Longhorn Beta 3
apaream claras e suaves, especialmente quando se usa um monitor
de LCD.
Um servidor de terminal Windows Server Longhorn pode ser
configurado para oferecer funcionalidade ClearType quando um
computador cliente se conecta a um servidor de terminal Windows
Server Longhorn usando Conexo de rea de trabalho Remota. Esta
funcionalidade chamada de suavizao de fonte. A suavizao de
fonte est disponvel se o computador cliente estiver executando
algum dos seguintes:
Windows Vista
Windows Server 2003 com SP1 e software de Conexo de rea
de trabalho Remota 6.0 (Remote Desktop Connection 6.0)
Windows XP com SP2 e software de Conexo de rea de
trabalho Remota 6.0 (Remote Desktop Connection 6.0)
Por padro, o ClearType est ativado no Windows Server
Longhorn. Para garantir que o ClearType esteja ativado no
servidor de terminal Windows Server Longhorn, siga este
procedimento.
Para garantir que o ClearType esteja ativado, faa o seguinte:
1. Clique em Start, clique em Control Panel, e ento clique em
Appearance and Personalization.
2. Clique em Personalization, e em seguida clique em Cor e
Window Color and Appearance.
3. Na guia Appearance, clique em Effects, e em seguida
assinale a caixa de seleo Use the following method to
smooth edges of screen fonts, selecione ClearType, e em
seguida clique em OK.
Para tornar a suavizao de fontes disponvel para uma conexo de
rea de trabalho remota, siga este procedimento no computador
cliente.
Para tornar a suavizao de fontes disponvel, faa o
seguinte:
1. Abra a Remote Desktop Connection. Para abrir a Conexo de
rea de trabalho Remota no Windows Vista, clique em Start,
aponte para All Programs, clique em Accessories, e em
seguida clique em Remote Desktop Connection.
2. Na caixa de dilogo Remote Desktop Connection, clique em
Options.
3. Na guia Experience, assinale a caixa de seleo Font
smoothing.
49
Guia do Revisor do Windows Server Longhorn Beta 3
4. Configure quaisquer configuraes de conexo restantes, e
em seguida clique em Connect.
Quando voc permite a suavizao de fonte, est especificando que
as configuraes locais no computador cliente ajudaro a
determinar a experincia do usurio na conexo de rea de trabalho
remota. Note que ao permitir a suavizao de fonte, voc no muda
as configuraes do servidor de terminal do Windows Server
Longhorn.
Usar a suavizao de fonte em uma conexo de rea de trabalho
remota aumenta a quantidade de largura de banda usada entre o
computador cliente e o servidor de terminal Windows Server
Longhorn.
Priorizao de Dados de Exibio
A priorizao de dados de exibio controla automaticamente o
trfego do canal virtual para que os dados do monitor, teclado e
mouse recebam maior prioridade que os outros, como impresses ou
transferncias de arquivos. Essa priorizao projetada para
garantir que o desempenho de sua janela no seja afetado de
maneira adversa por aes de consumo intensivo de largura de
banda, como grandes tarefas de impresso.
A proporo padro de largura de banda 70:30. Dados de exibio
e entrada tero alocados 70 por cento da largura de banda, e todo
o trfego restante, como rea de transferncia, transferncia de
arquivos ou tarefas de impresso, recebero 30 por cento da
largura de banda.
Voc pode ajudar as configuraes de priorizao dos dados de
exibio fazendo alteraes no registro do servidor de terminal.
Voc pode alterar o valor das seguintes informaes na sub-chave
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD:
FlowControlDisable
FlowControlDisableBandwidth
FlowControlChannelBandwidth
FlowControlChargePostCompression
Se esses registros no aparecerem, voc pode adicion-los. Para
fazer isso, clique com o boto direito do mouse em TermDD, aponte
para Novo (New), e em seguida clique em DWORD (32-bit) Value.
Voc pode desabilitar a priorizao dos dados de exibio
definindo o valor de FlowControlDisable em 1. Se a priorizao
dos dados de exibio estiver desabilitada, todas as solicitaes
so tratadas em uma base primeiro a entrar, primeiro a sair. O
valor padro para FlowControlDisable 0.
Voc pode estabelecer a prioridade relativa de largura de banda
para exibio (e dados de entrada) definindo o valor de
FlowControlDisplayBandwidth. O valor padro 70; o valor mximo
permitido 255.
50
Guia do Revisor do Windows Server Longhorn Beta 3
Voc pode estabelecer a prioridade relativa de largura de banda
para outros canais virtuais (como rea de transferncia,
transferncias de arquivos ou tarefas de impresso) definindo o
valor de FlowControlChannelBandwidth. O valor padro 30; o
valor mximo permitido 255.
A proporo de largura de banda para priorizao de dados de
exibio se baseia nos valores de FlowControlDisplayBandwidth e
FlowControlChannelBandwidth. Por exemplo, se
FlowControlDisplayBandwidth estiver definido em 150 e
FlowControlChannelBandwidth em 50, a proporo 150:50, assim a
exibio e dados de entrada tero alocados 75 por cento da
largura de banda.
O valor FlowControlChargePostCompression determina se o controle
de fluxo controlar a alocao de largura de banda com base em
bytes de pr-compresso ou de ps-compresso. O valor padro 0,
o que significa que o clculo ser feito em bytes pr-compresso.
Se voc fizer alguma alterao nos valores do registro, precisar
reiniciar o servidor de terminal para que as alteraes tenham
efeito.
Logon nico
O logon nico um mtodo de autenticao que permite a um
usurio com uma conta de domnio efetuar o logon uma nica vez,
usando uma senha ou smart card, e ento obter acesso a servidores
remotos sem precisar apresentar suas credenciais novamente.
Os principais cenrios para o logon nico so esses:
Implantao de aplicaes de gesto de negcios (LOB)
Implantao centralizada de aplicao
Devido a custos mais baixos de manuteno, muitas companhias
preferem instalar suas aplicaes de gesto de negcios em um
servidor de terminal e tornar essas aplicaes disponveis
atravs do RemoteApps ou da rea de trabalho Remota. O logon
nico possibilita dar aos usurios uma melhor experincia
eliminando a necessidade de eles digitarem suas credenciais
sempre que iniciarem uma sesso remota.
Pr-requisitos para Implantar o Logon nico
Para implementar a funcionalidade de logon nico em Servios de
Terminal, assegure-se de que satisfaz os seguintes requisitos:
Voc pode usar o logon nico somente para conexes remotas
de um computador baseado em Windows Vista para um servidor
de terminal baseado no Windows Server Longhorn. Tambm
pode usar o logon nico para conexes remotas entre dois
servidores baseados no Windows Server Longhorn.
Certifique-se de que as contas de usurio usadas para
efetuar o logon possuem os direitos apropriados para se
51
Guia do Revisor do Windows Server Longhorn Beta 3
registrar tanto no servidor de terminal como no cliente
Windows Vista.
Seu computador cliente e servidor de terminal devem ser
ligados a um domnio.
Configurao Recomendada de um Servidor de Terminal ao Usar o
Logon nico
Para definir as configuraes recomendadas para seu servidor de
terminal, complete os passos a seguir:
Configure a autenticao no servidor de terminal.
Configure o computador baseado em Windows Vista para
permitir que credenciais padro sejam usadas para efetuar o
logon nos servidores de terminal especificados.
Para configurar a autenticao no servidor de terminal, faa o
seguinte:
1. Abra a Configurao de Servios de Terminal (Terminal
Services Configuration). Para abrir a Configurao de
Servios de Terminal, clique em Start, clique em Run,
digite tsconfig.msc e em seguida clique em OK.
2. Em Connections, clique com o boto direito do mouse em RDP-
Tcp, e em seguida clique em Properties.
3. Na caixa de dilogo Properties, na guia General,
certifique-se de que o valor da Security Layer seja
Negotiate ou SSL (TLS 1.0), e em seguida clique em OK.
Para permitir o uso de credencial padro para logon nico,
faa o seguinte:
1. No computador baseado em Windows Vista, abra o Editor
Objeto de Diretiva de Grupo (Group Policy Object Editor).
Para abrir o Editor Objeto de Diretiva de Grupo, clique em
Start, e na caixa Start Search digite gpedit.msc e em
seguida pressione ENTER.
2. No painel esquerda, expanda o seguinte: Computer
Configuration, Administrative Templates, System, e em
seguida clique em Credentials Delegation.
3. D um clique duplo em Allow Delegating Default Credentials.
4. Na caixa de dilogo Properties, na guia Setting, clique em
Enabled, e ento clique em Show.
5. Na caixa de dilogo Start Contents, clique em Add para
adicionar servidores lista.
52
Guia do Revisor do Windows Server Longhorn Beta 3
6. Na caixa de dilogo Add Item, na caixa Enter the item to be
added, digite o prefixo termsrv/ seguido pelo nome do
servidor de terminal, por exemplo, termsrv/Server1, e ento
clique em OK.
53
Guia do Revisor do Windows Server Longhorn Beta 3
3.03 Gateway de Servios de Terminal
O Gateway de Servios de Terminal (TS Gateway) um servio de
funo na funo de servidor de Servios de Terminal que permite
que usurios remotos autorizados se conectem a servidores de
terminal e estaes de trabalho remotas (computadores remotos) em
uma rede corporativa, a partir de qualquer dispositivo conectado
Internet. O TS Gateway usa o Protocolo de rea de trabalho
Remota (RDP - Remote Desktop Protocol) sobre HTTPS para formar
uma conexo segura e criptografada entre usurios remotos na
Internet e os computadores remotos nos quais suas aplicaes de
produtividade so executadas.
O TS Gateway foi introduzido na verso Beta 1 do Windows Server
Longhorn.
O TS Gateway oferece os seguintes benefcios:
O TS Gateway possibilita a usurios remotos se conectarem
rede corporativa a partir da Internet, atravs de uma
conexo criptografada, sem precisar configurar conexes de
VPN.
O TS Gateway oferece um modelo abrangente de configurao
de segurana que permite que voc controle o acesso a
recursos especficos de rede (computadores).
O TS Gateway permite aos usurios se conectarem remotamente
a servidores de terminal e estaes de trabalho remotas
hospedados atrs de firewalls em redes privadas e atravs
de tradutores de endereo de rede (NATs).
Antes dessa verso do Windows Server, medidas de segurana
impediam que os usurios se conectassem a computadores
remotos passando por firewalls e NATs. Isso porque a porta
3389, aquela usada para conexes de RDP, tipicamente
bloqueada para fins de segurana de rede. O TS Gateway
transmite o trfego de RDP para a porta 443, usando um
tnel de Camada de Soquete Seguro/Segurana de Camada de
Transporte (SSL/TLS - Secure Sockets Layer/Transport Layer
Security) de HTTP. Como a maioria das empresas abre a porta
443 para permitir a conectividade de Internet, o TS Gateway
tira proveito desse projeto de rede para fornecer
conectividade de acesso remoto atravs de vrios firewalls.
O snap-in console do Gerenciador de TS Gateway permite que
voc configure diretivas de autorizao para definir
condies que devem ser satisfeitas para que os usurios se
conectem a recursos de rede. Por exemplo, voc pode
especificar o seguinte:
o Quem pode se conectar a recursos da rede (em outras
palavras, os grupos de usurios que podem se
conectar). Esses grupos podem ser grupos existentes
54
Guia do Revisor do Windows Server Longhorn Beta 3
em Usurios e Grupos Locais no servidor do TS
Gateway, grupos existentes nos Servios de Domnio do
Active Directory
.
A lista de RemoteApps disponveis que aparece na Parte de
Web do TS Web Access pode ser personalizada para o usurio
individual se voc implantar RemoteApps usando distribuio
de software de Diretiva de Grupo.
As informaes neste tpico se aplicam aos seguintes tipos de
profissionais de TI:
Profissionais de TI que j executam ou se interessam em
implantar programas para usurios usando Servios de Terminal
Profissionais de TI que queiram mais controle sobre a
experincia do usurio
Administradores e desenvolvedores de Web
66
Guia do Revisor do Windows Server Longhorn Beta 3
Administradores de Servios do Windows SharePoint
Antes de instalar o TS Web Access, analise as seguintes diretrizes
de instalao:
Voc deve instalar o TS Web Access em um computador que
esteja executando o Windows Server Longhorn.
Deve instalar o TS Web Access junto com o Microsoft IIS 7.0.
O servidor do TS Web Access no precisa ser um servidor de
terminal.
Para usar o TS Web Access, computadores clientes deve estar
executando um dos seguintes sistemas operacionais:
o Microsoft Windows XP com Service Pack 2 ou posterior
o Microsoft Windows Server 2003 com Service Pack 1 ou
posterior
o Windows Vista
o Windows Server Longhorn
Nota
O software de Conexo de rea de trabalho Remota verso 6.0
est disponvel para uso no Windows XP com Service Pack 2 e
Windows Server 2003 com Service Pack 1. Para usar qualquer
recurso novo de Servios de Terminal em qualquer dessas
plataformas, faa o download do pacote de instalao na
Central de Downloads Microsoft
(http://go.microsoft.com/fwlink/?LinkId=79373).
Alm disso, tenha em mente que o Windows Server Longhorn Beta 3
pode no incluir toda a funcionalidade planejada para o TS Web
Access.
Permite Implantar Facilmente RemoteApps Atravs da Web
Com o TS Web Access, um usurio pode visitar um Website, visualizar
uma lista de RemoteApps, a em seguida clicar em um cone para
iniciar um programa. Os RemoteApps so contnuos, o que significa
que parecem um programa local. Os usurios podem minimizar,
maximizar e redimensionar a janela do programa, e podem facilmente
iniciar vrios programas ao mesmo tempo. Para um administrador, o
TS Web Access fcil de configurar e implantar. Esta
funcionalidade se traduz em facilidade e flexibilidade de uso e
implantao. Com o TS Web Access, voc pode oferecer aos usurios
acesso a RemoteApps a partir de qualquer local e computador que
tenha acesso a intranet ou Internet.
O TS Web Access oferece uma experincia de Web muito aprimorada em
comparao com verses anteriores de Servios de Terminal.
Com o TS Web Access, os usurios no tm de iniciar o cliente
de RDC para iniciar um RemoteApp. Em vez disso, acessam a
pgina da Web e em seguida clicam em um cone de programa.
67
Guia do Revisor do Windows Server Longhorn Beta 3
O RemoteApps parece estar sendo executado na rea de trabalho
local.
Se o usurio iniciar vrios RemoteApps e os RemoteApps
estiverem todos sendo executados no mesmo servidor de
terminal, os programas so executados na mesma sesso.
Os usurios no tm de fazer o download de um controle
ActiveX
.
Antes do lanamento do Windows Server Longhorn, os usurios no
possuam alternativas caso quisessem realizar a autenticao com um
controlador de domnio em uma Rede Remota (WAN). Em muitos casos,
esta no era uma soluo eficaz. As filiais raramente oferecem a
segurana fsica necessria a um controlador de domnio gravvel.
Alm disso, as filiais geralmente contam com pouca largura de banda
de rede quando so conectadas a um site hub, o que pode vir a
aumentar o tempo necessrio para o logon e inclusive atrasar o
acesso aos recursos de rede.
Atravs da utilizao do Windows Server Longhorn, uma empresa
pode implantar um RODC para resolver estes problemas. Como
resultado, os usurios podem receber os seguintes benefcios:
Maior segurana
Logon mais rpido
Acesso mais eficiente aos recursos de rede
A falta de segurana fsica a razo mais comum para se
considerar a implantao de um RODC. Com o RODC, possvel
implantar um controlador de domnio de forma mais segura, em
locais que exigem servios de autenticao rpidos e confiveis,
mas que no entanto no podem assegurar segurana fsica para um
controlador de domnio gravvel.
Entretanto, sua empresa tambm pode optar pela implantao de um
RODC para requisitos administrativos especiais. Por exemplo: uma
aplicao LOB pode ser executada com sucesso somente se for
instalada em um controlador de domnio; ou ainda, o controlador
de domnio poder ser o nico servidor da filial, e ento poder
ter que hospedar as aplicaes do servidor.
Nestes casos, o proprietrio da aplicao LOB precisa se
registrar seguidamente no controlador de domnio de forma
interativa ou utilizar os Servios de Terminal para configurar e
gerenciar a aplicao. Esta situao cria um risco de segurana
que pode se tornar inaceitvel em um controlador de domnio
gravvel.
Neste cenrio, o RODC fornece um mecanismo mais seguro para a
implantao de um controlador de domnio. Voc pode oferecer ao
usurio no administrativo do domnio o direito de acessar o
86
Guia do Revisor do Windows Server Longhorn Beta 3
RODC, ao mesmo tempo em que reduz o risco de segurana para a
floresta do Active Directory.
Voc tambm pode implantar um RODC em outros cenrios onde o
armazenamento local de todas as senhas de usurio do domnio no
garanta segurana, como em uma extranet ou uma funo de
aplicao.
O RODC foi desenvolvido especialmente para ser implantado em
ambientes remotos e em filiais. As filiais geralmente apresentam
as seguintes caractersticas:
Nmero reduzido de usurios
Pouca Segurana fsica
Pouca largura de banda para um site hub
Baixo conhecimento de TI
Voc deveria revisar este captulo, bem como a documentao de
suporte complementar sobre o RODC, caso voc pertena a algum dos
seguintes grupos:
Planejadores de TI e analistas que estejam avaliando
tecnicamente o produto
Planejadores de TI corporativos e designers corporativos
Profissionais responsveis pela segurana de TI
Administradores dos Servios de Domnio do Active Directory
que lidam com escritrios pequenos de filiais
Para oferecer suporte Diretiva de Replicao de Senhas do RODC,
os Servios de Domnio do Active Directory
do Windows Server
Longhorn incorporam novos atributos. A Diretiva de Replicao
de Senhas o mecanismo que determina se as credenciais de um
usurio ou de um computador possuem a permisso para operar a
replicao de um controlador de domnio somente leitura para um
RODC. A Diretiva de Replicao de Senhas sempre configurada em
um controlador de domnio gravvel que execute o Windows Server
Longhorn.
Os atributos dos Servios de Domnio do Active Directory
adicionados ao plano do Windows Server Longhorn Active
Directory para oferecer suporte aos RODCs incluem o seguinte:
msDS-Reveal-OnDemandGroup
msDS-NeverRevealGroup
msDS-RevealedUsers
msDS-AuthenticatedToAccountList
Para mais informaes sobre estes atributos, veja o Guia Passo a
Passo para Planejamento, Implantao e Utilizao do Controlador
de Domnio Somente Leitura do Windows Server Longhorn:
(http://go.microsoft.com/fwlink/?LinkId=49779).
87
Guia do Revisor do Windows Server Longhorn Beta 3
Para implantar um RODC, o controlador de domnio que possui o
papel mestre de emulador do controlador de domnio principal
(PDC), tambm conhecido como FSMO (Flexible Single Master
Operations) para o domnio, precisa executar o Windows Server
Longhorn. Alm disso, o nvel funcional para o domnio e a
floresta deve ser o Microsoft
.
Replicao unidirecional
Caching de credenciais
Separao do papel de administrador
DNS Somente Leitura
Base de Dados Somente Leitura dos Servios de Domnio do Active
Directory .
Com exceo das senhas de contas, um RODC contm todos os objetos
e atributos do Active Directory encontrados em um controlador de
domnio gravvel. Entretanto, no possvel efetuar mudanas na
base de dados armazenada no RODC. As mudanas devem ser feitas em
um controlador de domnio gravvel e ento replicadas para o
RODC. Esta medida previne contra alguma mudana que possa ser
realizada nas filiais, levando a poluir ou corromper a floresta
inteira.
Aplicaes locais que exigem acesso de Leitura para o diretrio,
podem obter este acesso. As aplicaes do protocolo LDAP
(Lightweight Directory Application Protocol)que exigem o acesso
de Gravao recebem uma resposta de indicao LDAP. Esta resposta
ir direcion-las para um controlador de domnio gravvel,
normalmente em um site hub.
Replicao Unidirecional
Nenhuma mudana gravada diretamente no RODC, pois nenhuma
mudana se origina no RODC. Como resultado, os controladores de
domnio gravvel, que so parceiros na replicao, no precisam
extrair mudanas do RODC. Isto reduz a carga de trabalho dos
servidores bridgehead no hub e o esforo necessrio para
monitorar a replicao.
A replicao unidirecional do RODC se aplica tanto aos Servios
de Domnio do Active Directory
e
mudanas na Replicao DFS.
Caching de Credenciais
Caching de credenciais o armazenamento de credenciais do
usurio ou do computador. As credenciais consistem em um pequeno
conjunto de aproximadamente 10 senhas que esto associadas aos
diretores de segurana. Por padro, um RODC no armazena as
credenciais do usurio ou do computador. As excees so a conta
de computador do RODC e uma conta krbtgt especial existente em
cada RODC. necessrio conceder permisso explcita a qualquer
outro caching de credencial explicitamente em um RODC.
O RODC anunciado como o Principal Centro de Distribuio (KDC
Key Distribution Center) para a filial. O RODC utiliza uma conta
krbtgt e senha diferente do KDC em um controlador de domnio
gravvel, quando este assina ou criptografa pedidos TGT (ticket-
granting ticket).
Aps uma conta ser devidamente autenticada, o RODC tenta contatar
um controlador de domnio gravvel no site hub e pede uma cpia
das credenciais apropriadas. O controlador de domnio gravvel
reconhece que o pedido se origina de um RODC e consulta a
Diretiva de Replicao de Senhas em vigor para aquele RODC.
A Diretiva de Replicao de Senhas determina se podem ser
replicadas as credenciais de um usurio ou de um computador do
controlador de domnio gravvel para o RODC. Se a Diretiva de
Replicao de Senhas permitir, o controlador de domnio gravvel
replica as credenciais para o RODC, que faz o caching.
Depois de fazer o caching das credenciais, o RODC pode atender
diretamente os pedidos de registro do usurio at o momento de
troca de credenciais. (Quando um TGT assinado com a conta
krbtgt do RODC, este reconhece que existe uma cpia cache das
credenciais. Caso outro controlador de domnio assine o TGT, o
RODC envia os pedidos ao controlador de domnio gravvel.)
Ao limitar o caching de credenciais somente aos usurios
certificados com o RODC, a exposio potencial de credenciais do
RODC tambm limitada. De maneira geral, apenas um pequeno grupo
de usurios do domnio possui o caching das credenciais em
qualquer RODC. Portanto, no caso de o RODC ser roubado, somente
as credenciais cacheadas podem potencialmente ser quebradas.
O ato de deixar o caching de credenciais desabilitado pode mais
adiante limitar a exposio, mas faz com que todos os pedidos de
autenticao sejam encaminhados para um controlador de domnio
gravvel. Um administrador pode modificar a Diretiva de
Replicao de Senhas para permitir o caching de credenciais dos
usurios no RODC.
Separao do Papel de Administrador
89
Guia do Revisor do Windows Server Longhorn Beta 3
Voc pode delegar o papel de administrador local de RODC a
qualquer usurio do domnio, sem a necessidade de lhe oferecer
quaisquer direitos relativos ao domnio ou outros controladores
de domnio. Assim, possvel um usurio da filial efetuar o
logon em um RODC e realizar o trabalho de manuteno no servidor,
como, por exemplo, a atualizao de uma unidade. Entretanto, o
usurio da filial no pode efetuar o logon em nenhum outro
controlador de domnio ou realizar qualquer outra tarefa
administrativa no domnio. Desta forma, pode-se delegar ao
usurio da filial a capacidade de gerenciar o RODC no escritrio
da filial, sem comprometer a segurana do restante do domnio.
DNS Somente Leitura
Voc pode instalar o servio de Servidor DNS em um RODC. O RODC
possui a capacidade de replicar todas as parties do diretrio
de aplicaes utilizados pelo DNS, inclusive ForestDNSZones e
DomainDNSZones. Se o Servidor DNS estiver instalado em um RODC,
os clientes podem examin-lo para a resoluo de nomes da mesma
forma que fazem com outros servidores DNS.
Porm, o Servidor DNS em um RODC no suporta atualizaes de
clientes diretamente. Por conseqncia, o RODC no registra as
gravaes de recursos de name server (NS) para nenhuma zona
integrada ao Active Directory que ele hospeda. Quando um cliente
faz a tentativa de atualizar suas gravaes frente a um RODC, o
servidor retorna uma orientao. O cliente ento pode tentar
fazer a atualizao frente a um servidor DNS, o qual fornecido
na mensagem de orientao. No fundo, o servidor DNS no RODC tenta
replicar o relatrio atualizado pelo servidor DNS. Este pedido de
replicao se refere a um nico objeto (a gravao DNS). A lista
completa da zona modificada ou dos dados de domnio no
replicada durante este pedido especial para a replicao de
objeto nico.
Implantao
Os pr-requisitos para a implantao de um RODC so os seguintes:
O controlador de domnio que contm a funo de mestre de
operaes do emulador PDC (controlador de domnio primrio)
precisa executar o Windows Server Longhorn. Isto
necessrio para a criao da nova conta krbtgt para o RODC
e suas operaes.
O RODC precisa encaminhar pedidos de autenticao para um
controlador de domnio gravvel que tenha instalado o
Windows Server Longhorn. A Diretiva de Replicao de
Senhas instalada neste controlador de domnio para
determinar que as credenciais sejam replicadas para a
filial, em um pedido encaminhado pelo RODC.
O nvel funcional do domnio deve ser Windows Server 2003
ou superior, em que esteja disponvel uma delegao
limitada por kerberos. Uma delegao limitada utilizada
90
Guia do Revisor do Windows Server Longhorn Beta 3
para chamadas de segurana, que devem personificar o
contexto do visitante.
O nvel funcional da floresta deve ser Windows Server 2003
ou superior, para que esteja disponvel a replicao de
valor relacionado. Isto permite um nvel mais alto de
consistncia de replicao.
preciso executar adprep /rodcprep uma vez na floresta, a
fim de atualizar as permisses em todas as parties do
diretrio de aplicaes DNS da floresta. Desta forma, todos
os RODCs que tambm so servidores DNS podem replicar com
sucesso as permisses.
91
Guia do Revisor do Windows Server Longhorn Beta 3
4.03 Criptografia de Unidade de Disco BitLocker
O Criptografia de Unidade de Disco BitLocker do Windows
um
recurso de segurana nos sistemas operacionais Windows Vista
Enterprise e Ultimate, e Windows Server Longhorn. Este recurso
fornece proteo ao sistema operacional de seu computador e aos
dados armazenados no volume do sistema operacional. No Windows
Server Longhorn, a proteo do BitLocker tambm pode ser
estendida aos volumes utilizados para o armazenamento de dados.
O BitLocker exerce duas funes:
O BitLocker criptografa todos os dados armazenados no
volume do sistema (e volumes de dados configurados). Isto
inclui o sistema operacional Windows, arquivos de pgina e
hibernao, aplicaes e dados utilizados pelas aplicaes.
O BitLocker configurado por padro para utilizar um TPM
(Trusted Platform Module), a fim de garantir a integridade
dos primeiros componentes de inicializao(componentes
empregados nos primeiros estgios do processo de
inicializao). Como ele trava quaisquer volumes
protegidos pelo BitLocker, estes permanecem criptografados
mesmo quando o sistema operacional no estiver sendo
executado e o computador for mexido.
O BitLocker um componente opcional que precisa ser instalado
antes de ser usado em um sistema baseado no Windows Server
Longhorn. Para instalar o BitLocker, preciso selecion-lo no
Gerenciador de Servidor ou digitar no prompt de comando o
seguinte:
start /w pkgmgr /iu:BitLocker /norestart
O BitLocker pode interessar aos seguintes grupos:
Administradores, profissionais de segurana de TI e
oficiais responsveis por garantir que dados confidenciais
no sejam revelados sem autorizao
Administradores responsveis pela segurana dos
computadores em escritrios remotos ou filiais
Administradores responsveis por servidores ou computadores
clientes Windows Vista que sejam mveis
Para fazer uso de sua total funcionalidade, O BitLocker requer
um sistema com microchip TPM compatvel e BIOS. Um TPM compatvel
se define como verso 1.2 TPM. Um BIOS compatvel deve suportar o
TPM e o Static Root of Trust Measurement, conforme definido pelo
Trusted Computing Group. Para mais informaes sobre as
especificaes do TPM, visite a seo TPM Specifications no site
do Trusted Computing Group:
92
Guia do Revisor do Windows Server Longhorn Beta 3
(http://go.microsoft.com/fwlink/?LinkId=72757).
O BitLocker exige que a partio ativa (tambm chamada de
partio de sistema) no seja criptografada. O sistema
operacional Windows instalado em uma segunda partio, a qual
criptografada pelo BitLocker.
Ao trabalhar com a criptografia de dados, especialmente em um
ambiente corporativo, necessrio ter em mente como estes dados
podero ser recuperados no caso de uma falha de hardware, de
mudanas no quadro de funcionrios, ou outras situaes em que h
perda das chaves de criptografia. O BitLocker suporta um cenrio
robusto de recuperao, o qual ser descrito neste artigo mais
adiante.
Os principais recursos do BitLocker incluem criptografia de
unidade de disco, verificao da integridade dos primeiros
componentes de inicializao e o mecanismo de recuperao.
Criptografia de Unidade de Disco
Tudo que gravado em um disco protegido pelo BitLocker
criptografado, inclusive o prprio sistema operacional, todos os
dados e aplicaes.
Isso ajuda na proteo dos dados contra acessos no autorizados.
Embora a segurana fsica dos servidores seja importante, o
BitLocker pode ajudar a proteger os dados em situaes em que um
computador roubado, enviado de um lugar a outro, ou esteja de
alguma forma fora de seu controle fsico.
A criptografia de disco auxilia na preveno de ataques offline,
como a remoo de uma unidade de disco de um computador e sua
instalao em outro, numa tentativa de burlar medidas de
segurana do Windows, tais como permisses estabelecidas pelas
listas de controle de acesso (ACLs)do NTF.
O BitLocker implementado em cdigo nos primeiros componentes da
inicializao (registro mestre de inicializao (MBR), setor de
partida, gerenciador de inicializao, Windows Loader), e como
uma unidade de filtro, que parte integral do sistema
operacional.
Na primeira ativao do BitLocker, deve ser efetuada a
criptografia dos dados existentes no volume. Voc pode continuar
utilizando o computador durante este processo, mas poder notar
uma reduo no desempenho durante a criptografia inicial.
Aps completar a criptografia inicial, o uso do volume
criptografado provoca uma leve perda de desempenho no acesso ao
disco. Embora dependa muito do tipo de hardware e dos padres de
operao, esta perda estimada entre 3 e 5 por cento. Em
sistemas clientes, a perda geralmente no notada pelos
usurios. Nos casos de servidores muito carregados, preciso
avaliar o desempenho do subsistema de disco.
93
Guia do Revisor do Windows Server Longhorn Beta 3
O uso de um disco capacitado para BitLocker transparente para o
sistema operacional e todas as aplicaes.
Para informaes mais especficas do algoritmo de criptografia
do BitLocker, consulte AES-CBC + Elephant diffuser:
(http://go.microsoft.com/fwlink/?LinkId=82824)
Verificao de Integridade
Em conjunto com o TPM, o BitLocker verifica a integridade dos
primeiros componentes da inicializao, para ajudar na preveno
contra ataques offline adicionais, como por exemplo, tentativas
de inserir cdigos maliciosos nesses componentes.
Na primeira etapa do processo de inicializao, os componentes
no podem estar criptografados, para que o computador possa
iniciar. Por esta razo, um agressor pode efetuar mudana de
cdigo nos primeiros componentes da inicializao, tendo acesso
ao computador, mesmo que os dados do disco estejam
criptografados. Assim, se o agressor conseguir acesso s
informaes confidenciais, como as chaves do BitLocker ou senhas
do usurio, o BitLocker, bem como outras protees de segurana
do Windows, podem ser burladas.
Cada vez que um computador equipado com TPM inicia, cada um dos
primeiros componentes de inicializao (como BIOS, MBR, setor de
partida e cdigo de gerenciamento de inicializao) examina o
cdigo a ser executado, calcula um valor de seqncia e armazena
este valor no TPM. Uma vez instalado no TPM, esse valor no pode
ser mudado at que o sistema reinicialize. Uma combinao destes
valores gravada e usada para proteger as chaves de
criptografia.
Os computadores que incorporam um TPM podem criar uma chave
vinculada a estes valores. Quando este tipo de chave criada,
ela criptografada pelo TPM, e somente o TPM pode
descriptograf-la. Cada vez que o computador inicia, o TPM
compara os valores produzidos durante a inicializao atual com
os valores que existiam no momento da criao da chave. Ele
somente criptografa a chave se os valores combinarem. Este
processo chamado lacrar e deslacrar a chave.
O BitLocker examina e lacra as chaves nas dimenses do CRTM (Core
Root of Trust), do BIOS e de qualquer extenso de plataforma,
opo de cdigo memria somente leitura (ROM), cdigo MBR, setor
de partida e gerenciador de partida. Isto significa que, no caso
de ocorrer alguma mudana inesperada em qualquer desses tens, o
BitLocker travar a unidade e impedir que ela seja acessada ou
descriptografada.
O Bitlocker configurado para buscar e utilizar um TPM. Voc
pode empregar a Diretiva de Grupo para permitir que o BitLocker
opere sem um TPM e armazene as chaves em uma unidade externa USB;
entretanto, o BitLocker no pode ento verificar os primeiros
componentes da inicializao.
94
Guia do Revisor do Windows Server Longhorn Beta 3
preciso levar em considerao a disponibilidade de um TPM no
momento da compra de hardware. Na ausncia de um TPM, a segurana
fsica do servidor torna-se ainda mais importante.
O BitLocker deve ser desativado durante a manuteno programada
que envolva mudana em algum dos primeiros componentes de
inicializao dimensionados. Aps o trmino da manuteno, o
BitLocker pode ser reativado, e novas dimenses de plataforma so
usadas para as chaves. A desativao e reativao no exigem a
criptografia e re-criptografia do disco.
Opes de Recuperao
O BitLocker suporta uma grande srie de opes de recuperao, de
modo a garantir a disponibilidade dos dados aos seus usurios
legtimos.
fundamental que os dados de uma empresa possam ser
descriptografados, mesmo que estejam disponveis as chaves de
descriptorafia mais amplamente utilizadas. A capacidade de
recuperao est inserida no BitLocker, sem back doors. Porm,
as empresas podem facilmente assegurar-se de que seus dados esto
protegidos e disponveis.
Quando o BitLocker ativado, o usurio recebe uma solicitao
para armazenar uma senha de recuperao, a qual ser utilizada
para destravar um volume BitLocker que estiver travado. O
assistente de instalao do BitLocker exige que pelo menos uma
cpia da senha de recuperao seja salva.
Porm, em muitos ambientes, no possvel confiar a usurios a
guarda e proteo das senhas de recuperao. Assim sendo, voc
pode configurar o BitLocker para salvar as informaes de
recuperao no Active Directory ou nos Servios de Domnio do
Active Directory.
Ns recomendamos que as senhas de recuperao sejam salvas no
Active Directory em ambientes corporativos.
As configuraes da Diretiva de Grupo podem ser usadas para
configurar o BitLocker, de forma a exigir ou proibir diferentes
tipos de armazenamento de senhas de recuperao, ou torn-las
opcionais.
As configuraes da Diretiva de Grupo tambm podem ser usadas
para evitar a desativao do BitLocker, caso no seja possvel o
backup das chaves no Active Directory.
Para mais informaes sobre como configurar o Active Directory
para suportar as opes de recuperao, veja: Configuring Active
Directory to Back up Windows Criptografia de Unidade de Disco
BitLocker e Trusted Platform Module Recovery Information
(http://go.microsoft.com/fwlink/?LinkId=82827).
95
Guia do Revisor do Windows Server Longhorn Beta 3
Gerenciamento Remoto
O BitLocker pode ter gerenciamento remoto atravs do Windows
Management Instrumentation (WMI) ou de uma interface de comando
por linha.
Em um ambiente com muitos computadores ou computadores em
escritrios remotos e filiais, fica difcil ou impossvel
gerenciar recursos e configuraes de forma individual.
Os recursos do BitLocker esto dispostos no subsistema WMI, que
uma implementao das estruturas e funes do WBEM (Web-Based
Enterprise Management). Por essa razo, os administradores podem
usar qualquer software WBEM compatvel com WMI para gerenciar o
BitLocker em computadores locais ou remotos.
Para mais informaes sobre BitLocker e WMI, veja: Criptografia
de Unidade de Disco BitLocker Provider
(http://go.microsoft.com/fwlink/?LinkId=82828)
O Windows tambm adiciona ao BitLocker uma interface de comando
por linha, implementada como um script chamado manage-
bde.wsf.Voc pode usar o manage-bde.wsf para controlar todos os
aspectos do BitLocker em um computador local ou remoto. Para
obter uma lista completa da sintaxe e dos comandos do of manage-
bde, digite o seguinte em um prompt de comando:
manage-bde.wsf /?
O gerenciamento remoto do BitLocker um componente opcional que
pode ser instalado no Windows Server Longhorn, para permitir
que voc gerencie outros computadores sem ativar o BitLocker no
servidor que voc esteja usando.
O componente opcional para o gerenciamento remoto do BitLocker
chamado BitLocker-RemoteAdminTool. Este pacote de componente
opcional contm o manage-bde.wsf e o arquivo associado .ini. Para
instalar somente o componente de gerenciamento remoto, voc deve
digitar no prompt de comando:
start /w pkgmgr /iu:BitLocker-RemoteAdminTool
Configuraes de Diretiva de Grupo
Dois conjuntos novos de configuraes de Diretiva de Grupo foram
introduzidos para oferecer suporte ao BitLocker e ao
gerenciamento do TPM. Todas as configuraes da diretiva esto
explicadas no Editor de Objetos de Diretiva de Grupo. Para obter
mais detalhes, abra o Group Policy Object Editor (gpedit.msc) e
examine cada configurao.
As configuraes de Diretiva de Grupo que afetam o BitLocker
encontram-se em: Computer Configuration/Administrative
Templates/Windows Components/Criptografia de Unidade de Disco
BitLocker. A tabela a seguir resume estas configuraes.
96
Guia do Revisor do Windows Server Longhorn Beta 3
Criptografia do BitLocker Configuraes de Diretiva de Grupo
Nome da
Configurao
Padro Descrio
Ativar backup
do BitLocker
para Servios
de Domnio do
Active
Directory
Desativado Esta configurao verifica se a informao
de recuperao do BitLocker foi copiada
para o Servios de Domnio do Active
Directory. Se ativada, ela tambm pode
verificar se o backup obrigatrio ou
opcional e se somente uma senha de
recuperao ou um pacote inteiro est
salvo.
Configurao do
Painel de
Controle:
Configurar
pasta de
recuperao
Nenhum(Seleo do
usurio)
Esta configurao especifica a posio
padro mostrada ao usurio para salvar
chaves de recuperao. Pode ser uma posio
local ou em rede. O usurio livre para
escolher outras posies.
Configurao do
Painel de
Controle:
Configurar
opes de
recuperao
Nenhum (Seleo do
usurio)
Esta configurao permite escolher se o
assistente de configurao do Criptografia
de Unidade de Disco BitLocker pedir ao
usurio para salvar as opes de
recuperao do BitLocker.
Duas opes de recuperao podem destravar
o acesso aos dados criptografados do
BitLocker. O usurio pode digitar uma senha
de recuperao numrica de 48 dgitos,
sua escolha . O usurio tambm pode inserir
uma unidade USB que contenha uma chave de
recuperao aleatria de 256 bits.
Cada uma delas pode ser exigida ou
proibida. Caso voc proba as duas opes o
backup para os Servios de Domnio do Active Directory
precisa ser ativado.
Configurao do
Painel de
Controle:
Ativar opes
de configurao
avanadas
Desativado Esta configurao permite escolher se o
BitLocker pode ser ativado em computadores
sem TPM, e se a autenticao multifactor
pode ser usada em computadores sem TPM.
Configurar
mtodo de
criptografia
AES 128-bit com
Difusor
Esta configurao estabelece a extenso da
chave de criptografia AES e a utilizao ou
no do Difusor.
Prevenir
regravao de
memria na
reinicializao
Desativado (a
memria ser
regravada)
As chaves do BitLocker podem continuar na
memria entre uma inicializao e outra se
o computador no for desligado. Portanto, o
BitLocker instrui os BIOS a limpar toda a memria
em reinicializaes mornas, o que pode resultar em demora em
sistemas com grande quantidade de memria. Ativar esta
configurao pode melhorar o desempenho da reinicializao,
mas no aumenta o risco de segurana.
Configurar
perfil de
validao de
plataforma do
TPM
PCRs 0, 2, 4, 8,
9, 11
Determina quais dimenses de plataforma do
TPM, armazenadas nos registros de controle
de plataforma (PCRs), sero utilizadas para
lacrar as chaves do BitLocker.
As configuraes de Diretiva de Grupo que controlam o
comportamento do TPM podem ser encontradas em: Computer
Configuration/Administrative Templates/System/Trusted Platform
Module services. A tabela a seguir resume estas configuraes.
97
Guia do Revisor do Windows Server Longhorn Beta 3
Comportamento do TPM Configuraes de Diretiva de Grupo
Nome da
Configurao
Padro Descrio
Ativar backup
do TPM para
Servios de
Domnio do
Active
Directory
Desativado Esta configurao controla o backup da
informao de senha do proprietrio do TPM
nos Servios de Domnio do Active
Directory.Caso esteja ativada, ela tambm
pode controlar se o backup obrigatrio ou
opcional.
Configurar
lista de
comandos
bloqueados do
TPM
Nenhum Esta diretiva permite que funes
especficas do TPM sejam ativadas ou
desativadas. Porm, as duas prximas
configuraes podem restringir os comandos
disponveis. As listas baseadas em Diretiva
de Grupo prevalecem sobre as listas locais.
As listas locais podem ser configuradas no
console de Gerenciamento do TPM.
Ignorar a lista
padro dos
comandos do TPM
bloqueados
Desativado Por padro, alguns comandos do TPM so
bloqueados. Para ativar estes comandos,
esta configurao de diretiva precisa ser
ativada.
Ignorar a lista
local dos
comandos do TPM
bloqueados
Desativado Por padro, um administrador local pode
bloquear os comandos no console de
Gerenciamento do TPM. Esta configurao
pode ser usada para evitar tal
comportamento.
Para mais informaes sobre a operao do TPM e a utilizao do
console de Gerenciamento do TPM, veja o Guia Passo a Passo
Windows Trusted Platform Module Management:
(http://go.microsoft.com/fwlink/?LinkId=82830).
Implantao
O BitLocker um componente opcional em todas as edies do
Windows Server Longhorn.
O BitLocker est disponvel no Windows Vista Enterprise e no
Windows Vista Ultimate, e pode ser muito til na proteo de
dados armazenados em computadores clientes, especialmente nos
mveis.
Antes de ativar o BitLocker, voc deve levar em considerao:
Requisitos de Hardware. Se o hardware existente no tiver
potncia suficiente para realizar a criptografia, considere
fazer uma atualizao. Para utilizar a totalidade de
recursos do sistema, como ser descrito adiante, a
plataforma de hardware deve estar equipada com um TPM
verso 1.2.
Diretivas corporativas. Avalie suas diretivas relacionadas
reteno de dados, criptografia e compatibilidade.
Certifique-se de ter um plano para recuperao de dados,
como ser discutido na prxima seo.
98
Guia do Revisor do Windows Server Longhorn Beta 3
Como sero armazenadas as informaes de recuperao. Ns
recomendamos a utilizao do Active Directory para backups
de informaes de recuperao em ambientes corporativos.
Informaes Adicionais
Para informaes adicionais sobre o BitLocker, visite:
Criptografia de Unidade de Disco BitLocker: Viso Geral
Tcnica (http://go.microsoft.com/fwlink/?LinkId=77977) e Guia Passo-a-
Passo Windows Criptografia de Unidade de Disco BitLocker
(http://go.microsoft.com/fwlink/?LinkID=53779).
Artigos e recursos adicionais sobre o BitLocker esto
disponveis no TechCenter do Microsoft Windows Vista
(http://go.microsoft.com/fwlink/?LinkId=82914).
99
Guia do Revisor do Windows Server Longhorn Beta 3
4.04 Ncleo do Servidor
No Windows Server Longhorn, os administradores agora podem
optar por instalar um ambiente mnimo, que evita sobrecargas.
Embora esta opo limite o papel a ser desempenhado pelo
servidor, ela pode melhorar a segurana e reduzir o
gerenciamento. Este tipo de instalao chamado de instalao do
Ncleo do Servidor.
Para mais informaes sobre o Ncleo do Servidor, veja a seo 7.05
Ncleo do Servidor na pgina 242.
Para saber
mais, veja
a seo
7.05
Ncleo do
Servidor
na pgina
242.
100
Guia do Revisor do Windows Server Longhorn Beta 3
Seo 5: Aplicao de Diretivas
e Segurana
5.01 Introduo Aplicao de Diretivas e Segurana ....................101
5.02 Servios de Acesso e Diretiva de Rede ...........................103
5.03 Proteo contra Acesso Rede ................................110
5.04 Protocolos TCP/IP e Componentes de Rede de ltima Gerao .........120
5.05 Firewall do Windows com Segurana Avanada.....................129
5.06 Cryptography Next Generation .................................136
5.07 Servios de Certificado do Active Directory ........................139
5.08 Servios de Domnio do Active Directory ..........................160
5.09 Servios Federados do Active Directory...........................181
5.10 Active Directory Lightweight Directory Services .....................189
5.11 Servios de Gerenciamento de Direitos do Active Directory.............192
101
Guia do Revisor do Windows Server Longhorn Beta 3
5.01 Introduo Aplicao de Diretivas e Segurana
O foco deste cenrio a conformidade aprimorada de segurana e
gerenciamento que se torna possvel por meio dos recursos de
acesso voltados s diretivas para as organizaes que implantaram
o Windows Server
XP SP2 e
o Windows Server 2003 R2.
Esse cenrio tambm inclui o conjunto completo de servios de
identidade e acesso de que os clientes precisam para fornecer o
gerenciamento d de usurios, a consolidao de diretrios, o
logon nico, a autenticao forte e a proteo e federao de
informaes.
Proposta de Valor para os Cenrios
O reforo de diretivas e de segurana permite:
Determinar a integridade e o status de laptops e
computadores domsticos no-gerenciados (desktop e laptop),
verificar a conformidade e reforar a remediao de
dispositivos no-conformes. Simplificar tarefas
administrativas, como atualizaes de sistema e instalaes
de aplicativos.
Determinar a integridade de laptops visitantes e reforar a
inspeo de dados de camada de aplicativos, verificando a
existncia de malware. Simplificar tarefas administrativas,
como atualizaes de sistema e instalaes de aplicativos.
Utilizar a qualidade de servio baseada em diretivas para
priorizar e gerenciar a taxa de envio do trfego de rede
contnuo e a filtragem do trfego de entrada e sada.
Aprimorar o acesso sem fio rede, dando suporte a redes
que utilizam switches de autenticao, mecanismos
aprimorados de criptografia e a integrao com o NAP
(Network Access Protection) para diretivas especficas sem
fio que do suporte autenticao 802.1x.
Ajudar a estender, de forma segura, as informaes e os
aplicativos aos parceiros de negcios, como tambm dar
proteo a eles.
Reduzir o risco de acesso no-autorizado por meio da
autenticao forte.
Reduzir o nmero de contas de usurio e repositrios que
precisam de gerenciamento.
Ajudar no gerenciamento seguro das contas e informaes de
usurio fora do datacenter.
Ativar a troca flexvel de informaes dentro e fora da
organizao, enquanto o controle de acesso granular
mantido.
102
Guia do Revisor do Windows Server Longhorn Beta 3
Requisitos Especiais de Hardware
Os requisitos de hardware adicionais so estes:
Os smart cards so exigidos para clientes que desejam
implantar uma soluo de autenticao forte e, dessa forma,
reduzir o risco de acesso sem autorizao.
Placas de acesso sem fio e pontos de acesso so exigidos
para o acesso seguro sem fio.
103
Guia do Revisor do Windows Server Longhorn Beta 3
5.02 Servios de Acesso e Diretiva de Rede
Os Servios de Acesso e Diretiva de Rede (Network Policy and
Access Services) fornecem uma variedade de mtodos para oferecer
conectividade de rede remota e local aos usurios, para conectar
segmentos de rede e permitir que os administradores de rede
gerenciem, de forma centralizada, o acesso rede e as diretivas
de integridade do cliente.
Com os Servios de Acesso Rede (Network Access Services),
possvel implantar servidores VPN e de discagem, roteadores e o
acesso sem fio protegido pela autenticao 802.11. Voc tambm
pode implantar servidores e proxies RADIUS e utilizar o
Connection Manager Administration Kit para criar perfis de acesso
remoto os quais permitam que os computadores cliente conectem-se
a sua rede.
Os Servios de Acesso e Diretiva de Rede fornecem as seguintes
solues de conectividade de rede:
Proteo Contra Acesso Rede. A Proteo Contra Acesso
Rede, ou NAP (Network Access Protection), uma criao de
diretiva de integridade de cliente, uma tecnologia de
reforo e remediao includa nos sistemas operacionais
Windows Vista Business, Enterprise e Ultimate, como tambm
no Windows Server Longhorn. Com o NAP, os administradores
de sistema podem estabelecer e, automaticamente, forar
diretivas de integridade, as quais podem incluir requisitos
de software, de atualizao de rede, configuraes exigidas
de computador, alm de outras configuraes. Computadores
cliente que no estiverem de acordo com a diretiva de
integridade podem ter o acesso de rede restringido at que
suas configuraes sejam atualizadas, fazendo com que
estejam de acordo com a diretiva. Dependendo da forma com
que implantar o NAP, os clientes no-conformes sero
automaticamente atualizados, de forma que os usurios
possam rapidamente obter novamente o acesso completo
rede, sem a necessidade de atualizar ou reconfigurar
manualmente seus computadores.
Proteo contra Acesso com e sem fio. Ao implantar pontos
de acesso sem fio 802.1X, o acesso seguro sem fio fornece
aos usurios um mtodo de autenticao baseado em senhas e
com segurana aprimorada fcil de ser implantado. Ao
implantar switches de autenticao 802.1X, o acesso com fio
permite que voc assegure sua rede, garantindo que os
usurios da intranet sejam autenticados antes que possam
conectar-se rede ou obter um endereo IP utilizando o
DHCP.
Solues de acesso remoto. Com as solues de acesso
remoto, voc pode fornecer aos usurios o acesso discado e
VPN rede da organizao. Alm disso, possvel conectar
104
Guia do Revisor do Windows Server Longhorn Beta 3
os escritrios de filiais a sua rede por meio de solues
VPN, implantar roteadores de software com diversos recursos
em sua rede, como tambm compartilhar conexes da Internet
pela intranet.
Gerenciamento central de diretivas de rede com o servidor e
o proxy RADIUS. Em vez de configurar diretivas de acesso
rede em cada servidor de acesso rede, como pontos de
acesso sem fio, switches de autenticao, servidores VPN e
servidores de discagem, voc poder criar diretivas em um
nico local que especifique todos os aspectos das
solicitaes de conexo rede, incluindo quem tem
permisso para conectar-se, quando a conexo poder ser
feita e o nvel de segurana que deve ser utilizado para
conectar-se a sua rede.
Servios de Funo para Servios de Acesso e
Diretiva de Rede
Ao instalar os Servios de Acesso e Diretiva de Rede, os
seguintes servios de funo estaro disponveis:
Network Policy Server. O NPS a implementao da Microsoft
de um servidor e proxy RADIUS. Ele pode ser utilizado para
gerenciar, de forma centralizada, o acesso rede por meio
de uma variedade de servidores de acesso rede, incluindo
pontos de acesso sem fio, servidores VPN (virtual private
networking) servidores de discagem e switches de
autenticao 802.1X. Alm disso, voc pode utilizar o NPS
para implantar a autenticao segura de senhas com o
protocolo PEAP (Protected Extensible Authentication
Protocol)-MS-CHAP v2 para conexes sem fio. O NPS tambm
contm componentes principais para a implantao do NAP na
rede.
As seguintes tecnologias podem ser implantadas aps a
instalao do servio de funo NPS:
o Servidor de diretiva NAP. Quando voc configura o NPS
como um servidor de diretiva NAP, o NPS avalia o SoH
(statements of health) enviado pelos computadores
clientes ativados para o NAP que desejam conectar-se
rede. Voc pode configurar diretivas NAP no NPS
que permitam que os computadores cliente atualizem
suas configuraes de forma que estejam de acordo com
a diretiva de rede de sua organizao.
o IEEE 802.11 Sem fio. Com a utilizao do snap-in do
MMC (Microsoft Management Console) NPS, voc pode
configurar diretivas de solicitao de conexo
baseadas na autenticao 802.1X para o acesso rede
cliente sem fio IEEE 802.11. Alm disso, voc pode
configurar pontos de acesso sem fio como clientes
RADIUS (Remote Authentication Dial-In User Service)
105
Guia do Revisor do Windows Server Longhorn Beta 3
no NPS e utilizar o NPS como um servidor RADIUS para
processar solicitaes de conexo, bem como realizar
a autenticao, autorizao e registro de conexes
sem fio 802.11. possvel integrar totalmente o
acesso sem fio IEEE 802.11 com o NAP durante a
implantao de uma infra-estrutura de autenticao
sem fio 802.1X para que o status de integridade dos
clientes sem fio seja verificado diante da diretiva
de integridade antes que os clientes tenham permisso
para conectar-se rede.
o IEEE 802.3 Com fio. Com a utilizao do snap-in do
MMC NPS, voc pode configurar diretivas de
solicitao de conexo baseadas na autenticao
802,1X para o acesso rede Ethernet com fio IEEE
802.3. Voc pode configurar switches em conformidade
com o 802.1X como clientes RADIUS no NPS e utilizar o
NPS como um servidor RADIUS para processar
solicitaes de conexo, bem como realizar
autenticao, autorizao e registro de conexes
Ethernet 802.3. possvel integrar totalmente o
acesso cliente com fio IEEE 802.3 com o NAP durante a
implantao de uma infra-estrutura de autenticao
com fio 802.1X.
o Servidor RADIUS. O NPS realiza a autenticao de
conexo centralizada, a autorizao e o registro de
conexes VPN, discadas de acesso remoto e de switch
de autenticao. - Dvida Ao utilizar o NPS como um
servidor RADIUS, voc configura servidores de acesso
rede, tais como pontos de acesso sem fio e
servidores VPN, como clientes RADIUS no NPS. Voc
tambm pode configurar diretivas de rede utilizadas
pelo NPS para autorizar solicitaes de conexo, alm
de poder configurar o registro RADIUS para que os
logs do NPS registrem informaes nos arquivos de log
no disco rgido local ou em um banco de dados do
Microsoft SQL Server.
o Proxy RADIUS. Ao utilizar o NPS como um proxy RADIUS,
voc poder configurar diretivas de solicitao de
conexo que informem o servidor NPS quais
solicitaes de conexo devem ser encaminhadas a
outros servidores RADIUS e para quais servidores
RADIUS voc deseja encaminhar solicitaes de
conexo. O NPS tambm pode ser configurado para
encaminhar dados de registro a serem gravados por um
ou mais computadores em um grupo de servidores RADIUS
remotos.
Roteamento e Acesso Remoto. Com o Roteamento e Acesso
Remoto, voc pode implantar servios de acesso remoto,
servios de roteamento NAT de rede e multiprotocolos LAN-
to-LAN e LAN-to-WAN. (Dvida)
106
Guia do Revisor do Windows Server Longhorn Beta 3
As seguintes tecnologias podem ser implantadas durante a
instalao do servio de funo de Roteamento e Acesso Remoto:
o Servio de Acesso Remoto. Com o Roteamento e Acesso
Remoto, voc pode implantar o PPTP (Point-to-Point
Tunneling Protocol) ou o L2TP (Layer Two Tunneling
Protocol) com conexes VPN IPsec (Internet Protocol
security) a fim de fornecer aos usurios finais o
acesso remoto rede de sua organizao. Voc tambm
pode criar uma conexo VPN de site para site entre
dois servidores em diferentes locais. Cada servidor
configurado com o Roteamento e Acesso Remoto para
enviar dados particulares de forma segura. A conexo
entre os dois servidores pode ser persistente (sempre
ativada) ou sob demanda (discagem sob demanda).
O Acesso Remoto tambm fornece acesso remoto
tradicional para dar suporte a usurios mveis ou
domsticos que se conectam a intranets de uma
organizao. O equipamento dial-up instalado no
servidor que executa o Roteamento e Acesso Remoto
responde solicitaes de conexes de entrada a partir
de clientes de rede dial-up. O servidor de acesso
remoto responde chamada, autentica e autoriza o
chamador e transfere os dados entre o cliente de rede
dial-up e a intranet da organizao.
o Roteamento. O roteamento fornece um roteador de
software com diversos recursos e uma plataforma
aberta para o roteamento e o uso da Internet. Alm
disso, ele oferece servios de roteamento aos
negcios em ambientes LAN (local area network) e WAN
(wide area network).
Ao implantar o NAT, o servidor que executa o
Roteamento e Acesso Remoto configurado para
compartilhar uma conexo da Internet com os
computadores de uma rede privada e traduzir o trfego
entre seu endereo pblico e a rede privada.
Utilizando o NAT, os computadores na rede privada
obtm alguma medida de proteo, pois o roteador com
o NAT configurado no encaminha o trfego a partir da
Internet para a rede privada, a menos que um cliente
de rede privada tenha solicitado ou que o trfego
esteja explicitamente permitido.
Ao implantar a VPN e o NAT, o servidor que executa o
Roteamento e Acesso Remoto configurado para
fornecer o NAT para a rede privada e para aceitar
conexes VPN. Os computadores na Internet no podero
determinar os endereos IP dos computadores na rede
privada. Entretanto, os clientes VPN podero
conectar-se aos computadores na rede privada, como se
estivessem fisicamente ligados mesma rede.
107
Guia do Revisor do Windows Server Longhorn Beta 3
Health Registration Authority (HRA). O HRA um componente
NAP que emite certificados de integridade a clientes que
passam pela verificao de diretiva de integridade
realizada pelo NPS utilizando o SoH cliente. O HRA
utilizado somente quando o mtodo de reforo NAP um
reforo do IPsec.
Host Credential Authorization Protocol (HCAP). O HCAP
permite que voc integre sua soluo Microsoft NAP ao Cisco
Network Access Control Server. Ao implantar o HCAP com o
NPS e o NAP, o NPS pode realizar a avaliao de integridade
do cliente e a autorizao dos clientes de aceso Cisco
802.1X.
Gerenciando a Funo de Network Policy Server
and Access Services
As seguintes ferramentas so fornecidas para gerenciar a funo
de Network Policy Server and Access Services:
Snap-in MMC NPS Utilize o MMC NPS MMC para configurar um
servidor RADIUS, um proxy RADIUS ou uma tecnologia NAP.
Comandos Netsh para o NPS. Os comandos Netsh para o NPS
fornecem um conjunto de comandos equivalentes a todas as
configuraes disponveis por meio do snap-in MMC NPS. Os
comandos Netsh podem ser executados manualmente no prompt
Netsh ou em scripts do administrador.
Snap-in MMC HRA Utilize o MMC HRA para designar a CA
(certification authority - autoridade de certificao)
utilizada pelo HRA para obter certificados de integridade
para computadores cliente e para definir o servidor NPS ao
qual o HRA enviar SoHs cliente para verificao mediante a
diretiva de integridade.
Comandos Netsh para o HRA. Os comandos Netsh para o HRA
fornecem um conjunto de comandos equivalentes a todas as
configuraes disponveis por meio do snap-in MMC HRA. Os
comandos Netsh podem ser executados manualmente no prompt
Netsh ou em scripts autorizados pelo administrador.
Snap-in MMC NAP Client Management. Voc pode utilizar o
snap-in NAP Client Management para definir configuraes de
segurana e de interface de usurio em computadores cliente
com suporte para a arquitetura NAP.
Comandos Netsh para definir configuraes de cliente NAP.
Os comandos Netsh para as configuraes de cliente NAP
fornecem um conjunto de comandos equivalentes a todas as
configuraes disponveis por meio do snap-in MMC NAP. Os
comandos Netsh podem ser executados manualmente no prompt
Netsh ou em scripts autorizados pelo administrador.
Snap-in MMC Routing and Remote Access. Utilize este snap-in
MMC para configurar um servidor VPN, um servidor de rede
108
Guia do Revisor do Windows Server Longhorn Beta 3
dial-up, um roteador, um conexo site-site VPN, VPN e NAT
ou NAT.
Comandos Netsh para acesso remoto (RAS). Os comandos Netsh
para o acesso remoto fornecem um conjunto de comandos
equivalentes a todas as configuraes de acesso remoto
disponveis por meio do snap-in Roteamento e Acesso Remoto.
Os comandos Netsh podem ser executados manualmente no
prompt Netsh ou em scripts do administrador.
Comandos Netsh para roteamento. Os comandos Netsh para o
roteamento fornecem um conjunto de comandos equivalentes a
todas as configuraes de acesso remoto disponveis por
meio do snap-in de Roteamento e Acesso Remoto. Os comandos
Netsh podem ser executados manualmente no prompt Netsh ou
em scripts do administrador.
Wireless Network (IEEE 802.11) Policies snap-in (MMC)
Group Policy Object Editor. A extenso Wireless Network
(IEEE 802.11) Policies automatiza a definio das
configuraes de rede sem fio em computadores com unidades
de adaptador de rede sem fio com suporte ao WLAN Autoconfig
Service (Wireless LAN Autoconfiguration Service - servio
de configurao automtica de LAN sem fio). Voc pode
utilizar a extenso Wireless Network (IEEE 802.11) Policies
no Group Policy Object Editor para especificar as
configuraes para clientes sem fio Windows XP e Windows
Vista. As extenses Wireless Network (IEEE 802.11) Policies
Group Policy incluem configuraes globais sem fio, a lista
de redes preferidas, as configuraes WPA (Wi-Fi Protected
Access), alm das configuraes IEEE 802.1X.
Quando essas configuraes so definidas, o download delas
feito para os clientes sem fio do Windows que so membros
do domnio. As configuraes sem fio definidas por essa
diretiva fazem parte da Computer Configuration Group Policy
(Diretiva de Grupo de Configurao de Computador. Por
padro, a extenso Wireless Network (IEEE 802,11) Policies
no configurada ou ativada.
Comandos Netsh para WLAN (LAN Sem Fio). O Netsh WLAN uma
alternativa para utilizar a Diretiva de Grupo para
configurar a conectividade sem fio e as configuraes de
segurana do Windows Vista. Voc pode utilizar os comandos
Netsh wlan para configurar o computador local ou para
configurar mltiplos computadores que utilizem um script de
logon. Alm disso, possvel utilizar os comandos Netsh
wlan para visualizar as configuraes de Diretiva de Grupo
e administrar as configuraes do WISP (Wireless Internet
Service Provider) e as configuraes sem fio de usurio.
A interface Netsh sem fio fornece os seguintes benefcios:
o Suporte para o modo misto. Isso permite que os
administradores configurem clientes para dar suporte
109
Guia do Revisor do Windows Server Longhorn Beta 3
s mltiplas opes de segurana. Por exemplo, um
cliente pode ser configurado para os padres de
autenticao WPA2 e WPA. Isso permite que o cliente
utilize o WPA2 para conectar-se s redes com suporte
ao WPA2 e utilize o WPA para conectar-se s redes com
suporte apenas ao WPA.
o Bloqueio de redes no desejadas. Os administradores
podem bloquear e ocultar o acesso s redes sem fio
no-corporativas, adicionando redes ou tipos de redes
lista de redes negadas. De forma semelhante,
possvel permitir o acesso s redes sem fio
corporativas.
Wireless Network (IEEE 802.3) Policies snap-in (MMC)
Group Policy Object Editor. Voc pode utilizar o Wired
Network (IEEE 802.3) Policies para especificar e modificar
as configuraes para os clientes do Windows Vista que
possuem adaptadores e unidades de rede com suporte ao Wired
AutoConfig Service. As extenses Wireless Network (IEEE
802.11) Policies Group Policy incluem configuraes globais
com fio e IEEE 802.1X. Essas configuraes incluem o
conjunto completo de itens de configurao com fio
associados s guias Geral e Segurana.
Quando essas configuraes so definidas, o download delas
feito para os clientes sem fio do Windows que so membros
do domnio. As configuraes sem fio definidas por essa
diretiva fazem parte da Computer Configuration Group
Policy. Por padro, a extenso Wired Network (IEEE 802.3)
Policies no configurada ou ativada.
Comandos Netsh para a LAN. A interface Netsh LAN uma
alternativa para utilizar a Diretiva de Grupo no Windows
Server Longhorn a fim de configurar as configuraes de
segurana e a conectividade com fio do Windows Vista. Voc
pode utilizar a linha de comando Netsh LAN para configurar
o computador local ou utilizar os comandos em scripts de
logon para configurar mltiplos computadores. Alm disso,
possvel utilizar os comandos Netsh LAN para visualizar a
Wired Network (IEEE 802.3) Policies e administrar as
configuraes 1x com fio do cliente.
Recursos Adicionais
Para saber mais sobre os Servios de Acesso e Diretiva de Rede,
abra um dos seguintes snap-ins MMC e depois pressione F1 a fim de
exibir a Ajuda:
Snap-in MMC NPS
Snap-in MMC Routing and Remote Access.
Snap-in MMC HRA
Snap-in MMC Group Policy Object Editor
110
Guia do Revisor do Windows Server Longhorn Beta 3
5.03 Proteo contra Acesso Rede
Um dos maiores desafios encontrados nos negcios dos dias de hoje
a exposio crescente dos dispositivos de clientes a softwares
maliciosos, como vrus e worms. Esses programas podem obter a
entrada a sistemas de host configurados de forma incorreta ou
sistemas desprotegidos e podem utilizar esses sistemas como um
ponto inicial para se propagarem em outros dispositivos na rede
corporativa. Os administradores de rede podem utilizar a plataforma
NAP para melhor proteger suas redes, ajudando a garantir que os
sistemas cliente mantenham as atualizaes de software e as
configuraes de sistema apropriadas para proteg-los contra
softwares maliciosos.
O NAP (Network Access Protection) um novo conjunto de componentes
de sistema operacional includo no Windows Server Longhorn e no
Windows Vista que fornece uma plataforma que ajuda a garantir que
os computadores clientes em uma rede corporativa atendam aos
requisitos quanto integridade do sistema definidos pelo
administrador. As diretivas NAP definem a configurao e o status
de atualizao exigidos para o sistema operacional e o software
principal do computador de um cliente. Por exemplo, pode ser
exigido que os computadores possuam um software antivrus com as
mais recentes assinaturas instaladas, com as atualizaes
instaladas no sistema operacional atual e com um firewall baseado
em host ativado. Reforando o cumprimento desses requisitos de
integridade, o NAP pode ajudar os administradores de rede na
diminuio de alguns riscos causados por computadores cliente
configurados de forma imprpria que podem ser expostos a vrus e a
outros softwares maliciosos.
O NAP refora os requisitos de integridade, monitorando e avaliando
o funcionamento dos computadores cliente quando estes tentam
conectar-se rede ou comunicar-se com ela. Caso seja determinado
que os computadores cliente no estejam em conformidade com os
requisitos de integridade, eles podero ser colocados em uma rede
restrita que contenha os recursos para dar assistncia na
remediao de sistemas de clientes de forma que eles possam estar
em conformidade com as diretivas de integridade.
Os administradores de sistemas e de rede que desejam reforar os
requisitos de integridade do sistema para computadores cliente que
se conectam s redes suportadas por eles tero interesse em
utilizar o NAP. Com o NAP, os administradores de rede podero:
Garantir a integridade dos computadores desktop na LAN, ou
que esto configurados para o DHCP, ou que se conectam por
meio de dispositivos de autenticao 802.1X, ou ainda que
possuam diretivas IPsec NAP aplicadas em suas comunicaes.
111
Guia do Revisor do Windows Server Longhorn Beta 3
Reforar os requisitos de integridade para laptops mveis
quando estes forem conectados novamente na rede da empresa.
Verificar a integridade e a conformidade de diretivas dos
computadores domsticos no-gerenciados que se conectam
rede da empresa por meio de um servidor VPN que executa o
Roteamento e Acesso Remoto.
Determinar a integridade e restringir o acesso dos laptops
trazidos para uma organizao pelos visitantes e parceiros.
Dependendo de suas necessidades, os administradores podem
configurar uma soluo para lidar com qualquer um desses cenrios.
O NAP tambm inclui um conjunto API para desenvolvedores e
fornecedores para que estes possam criar seus prprios componentes
para validao de diretivas de rede, para a conformidade contnua e
o isolamento de rede.
As implantaes do NAP exigem servidores que executem o Windows
Server Longhorn. Alm disso, so exigidos computadores cliente
que executem o Windows Vista, o Windows Server Longhorn ou o
Windows XP com SP2 e o Network Access Protection Client para
Windows XP. O servidor central que realiza a anlise de
determinao da integridade para o NAP um computador que executa
o Windows Server Longhorn e o NPS. O NPS a implementao do
Windows de um servidor e proxy RADIUS. O NPS o substituto do IAS
(Internet Authentication Service) no Windows Server 2003. Os
dispositivos de acesso e os servidores NAP atuam como clientes
RADIUS para um servidor RADIUS baseado no NPS. O NPS efetua a
autenticao e a autorizao de uma tentativa de conexo rede e,
com base nas diretivas de integridade do sistema, determina a
conformidade da integridade do computador e tambm como limitar o
acesso rede de um computador que no est em conformidade com as
diretivas.
A plataforma NAP uma nova tecnologia de reforo e validao de
integridade do cliente includa nos sistemas operacionais Windows
Server Longhorn e Windows Vista.
Nota
O framework do NAP no o mesmo do Network Access Quarantine
Control, o qual um recurso fornecido com o Windows Server 2003 e
o ISA Server 2004. O Network Access Quarantine Control pode
fornecer proteo adicional para conexes de acesso remoto (dial-up
e VPN). Para mais informaes sobre o Network Access Quarantine
Control no Windows Server 2003, veja Network Access Quarantine
Control no Windows Server 2003 (http://go.microsoft.com/fwlink/?LinkId=56447).
Para mais informaes sobre esse recurso no ISA Server 2004, veja
Clientes Mveis VPN e Quarantine Control no ISA Server 2004
Enterprise Edition (http://go.microsoft.com/fwlink/?LinkId=56449).
112
Guia do Revisor do Windows Server Longhorn Beta 3
Principais Processos do NAP
Diversos processos importantes so exigidos para que o NAP funcione
de forma apropriada: a validao de diretivas, o reforo NAP e a
restrio de rede, a remediao e o monitoramento contnuo para
garantir a conformidade.
Validao de Diretivas
Os SHVs (System health validators validadores de integridade do
sistema) so utilizados pelo NPS para analisar o status de
integridade dos computadores cliente. OS SHVs so incorporados s
diretivas de rede que determinam as aes a serem realizadas com
base no status da integridade do cliente, como conceder acesso
total rede ou restringir o acesso rede. O status da
integridade monitorado pelos componentes NAP do lado do
cliente, chamados de SHAs (system health agents agentes de
integridade do sistema). O NAP utiliza os SHAs e os SHVs para
monitorar, reforar e remediar configuraes de computadores
cliente.
O Windows Security Health Agent e o Windows Security Health
Validator esto includos nos sistemas operacionais Windows Server
Longhorn e Windows Vista e reforam as seguintes configuraes
para computadores ativados para o NAP:
O computador cliente deve possuir software de firewall
instalado e ativado.
O computador cliente deve possuir software antivrus
instalado e em execuo.
O computador cliente deve possuir atualizaes de antivrus
atuais instaladas.
O computador cliente deve possuir software anti-spyware
instalado e em execuo.
O computador cliente deve possuir atualizaes de anti-
spywares atuais instaladas.
O Microsoft Update Services deve estar ativado no computador
cliente.
Alm disso, se computadores clientes ativados para o NAP estiverem
executando o Windows Update Agent e estiverem registrados com um
servidor WSUS (Windows Server Update Service), o NAP poder
verificar se a maioria das atualizaes de segurana de software
est instalada, com base em um dos quatro valores possveis que
correspondem classificao de severidade de segurana do
MSRC(Microsoft Security Response Center).
Reforo do NAP e Restrio de Rede
O NAP pode ser configurado para negar o acesso rede para
computadores cliente em no-conformidade e permitir que esses
computadores acessem somente uma rede restrita. Uma rede restrita
113
Guia do Revisor do Windows Server Longhorn Beta 3
deve conter os servios NAP principais, como os servidores HRA e os
servidores de remediao, para que clientes NAP em no-conformidade
possam atualizar suas configuraes e estar em conformidade com os
requisitos de integridade.
As configuraes de reforo NAP permitem que voc limite o acesso
rede de clientes em no-conformidade ou apenas observe e registre o
status de integridade de computadores cliente ativados para o NAP.
Voc pode optar por restringir o acesso, adiar a restrio de
acesso ou ainda permitir o acesso por meio da utilizao das
seguintes configuraes:
Do not enforce (No aplicar). Esta a configurao padro.
Os clientes que atendem s condies de diretiva so
considerados como estando em conformidade com os requisitos
de integridade de rede e a eles concedido acesso irrestrito
rede caso a solicitao de conexo seja autenticada e
autorizada. O status de conformidade de integridade dos
computadores cliente ativados para o NAP registrado.
Enforce (Aplicar). Os computadores cliente que atendem s
condies de diretivas so considerados como no estando em
conformidade com os requisitos de integridade de rede. Esses
computadores so colocados na rede restrita.
Defer enforcement (Adiar aplicao). Os clientes que atendem
s condies de diretivas recebem, temporariamente, acesso
irrestrito. O NAP adiado at a data e o horrio
especificados.
Remediao
Os computadores cliente no-conformes que so colocados em uma rede
restrita podem ser submetidos remediao. Remediao o
processo de atualizar um computador cliente de forma que ele passe
a atender aos requisitos atuais de integridade. Por exemplo, uma
rede restrita pode conter um servidor FTP (File Transfer Protocol)
que fornece assinaturas atuais de vrus de forma que os
computadores cliente em no-conformidade possam atualizar suas
assinaturas.
possvel utilizar as configuraes do NAP nas diretivas de
integridade NPS para configurar a remediao automtica, de forma
que os componentes do cliente NAP tentem, automaticamente,
atualizar o computador cliente quando este estiver em no-
conformidade com os requisitos de integridade de rede. Voc pode
utilizar a seguinte configurao de diretiva para configurar a
remediao automtica:
Atualizaes de computador. Se a opo Update noncompliant
computers automatically estiver selecionada, a remediao
automtica estar ativada, e os computadores ativados para o
que no estiverem em conformidade com os requisitos de
integridade tentaro, automaticamente, fazer a atualizao.
114
Guia do Revisor do Windows Server Longhorn Beta 3
Monitoramento Contnuo para Garantir a Conformidade
O NAP pode reforar a conformidade da integridade em computadores
cliente em conformidade que j estejam conectados rede. Esta
funcionalidade muito til para garantir que uma rede esteja
protegida em uma base continua conforme vo ocorrendo mudanas nas
diretivas de integridade e nos computadores cliente. Por exemplo,
se a diretiva de integridade exigir que o Windows Firewall esteja
ativado, e um usurio, inadvertidamente, desabilit-lo, o NAP
poder determinar se o computador cliente est em um estado de no-
conformidade. O NAP ir ento colocar o computador cliente na rede
restrita at que o Windows Firewall seja ativado novamente.
Se a remediao automtica estiver ativada, os componentes do
cliente NAP podero ativar automaticamente o Firewall do Windows
sem a interveno do usurio.
Mtodos de Reforo NAP
Baseado no estado de funcionamento de um computador cliente, o NAP
pode permitir o acesso total rede, limitar o acesso a uma rede
restrita ou negar o acesso rede. Os computadores cliente que so
determinados como estando em no-conformidade com as diretivas de
integridade tambm podem ser automaticamente atualizados a fim de
atender a esses requisitos. A forma com que o NAP reforado
depende no mtodo de reforo escolhido. O NAP refora as diretivas
de integridade para:
O trfego protegido pelo IPsec
O controle de acesso rede com e sem fio baseado na porta
802.1X
A VPN com o Routing and Remote Access
O lease e a renovao de endereos IPv4 DHCP
As sees a seguir descrevem esses mtodos de reforo.
Reforo NAP para Comunicaes IPsec
O reforo NAP para o trfego protegido pelo IPsec implantado com
um servidor de certificado de integridade, um servidor HRA, um
servidor NPS e um cliente de reforo IPsec. O servidor de
certificado de integridade emite certificados X.509 aos clientes
NAP quando determinado que esses clientes esto em conformidade
com os requisitos de integridade de rede. Ento, esses
certificados so utilizados para autenticar clientes NAP quando
estes iniciam comunicaes protegidas pelo IPsec com outros
clientes NAP em uma intranet.
O reforo IPsec limita a comunicao em sua rede aos clientes em
conformidade e fornece a forma mais forte do reforo NAP. Como
esse mtodo de reforo utiliza o IPsec, possvel definir
requisitos para comunicaes protegidas em uma base por endereo IP
ou por nmero de porta TCP/UDP.
115
Guia do Revisor do Windows Server Longhorn Beta 3
Reforo NAP para 802.1X
O reforo NAP para o controle de acesso rede baseado na porta
802.1X implantado com um servidor NPS e um componente cliente de
reforo EAPHost. Com o reforo baseado na porta 802.1X, um
servidor NPS ordena que um switch de autenticao 802.1X ou um
ponto de acesso sem fio em conformidade com o 802.1X coloque
clientes 802.1X em no-conformidade em uma rede restrita. O
servidor NPS limita o acesso rede do cliente rede restrita,
ordenando que o ponto de acesso aplique filtros IP ou um
identificador de LAN conexo. O reforo 802.1X fornece forte
restrio de rede para todos os computadores que acessam a rede por
meio de dispositivos de acesso rede ativados para 802.1X.
Reforo NAP para VPN
O reforo NAP para VPN implantado com um componente de servidor
de reforo VPN e um componente cliente de reforo VPN. Com o
reforo NAP para VPN, os servidores VPN podero reforar a diretiva
de integridade quando computadores clientes tentarem conectar-se
rede utilizando uma conexo VPN de acesso remoto. O reforo VPN
fornece forte acesso limitado rede para todos os computadores que
acessam a rede por meio de uma conexo VPN de acesso remoto.
Reforo NAP para DHCP
O reforo DHCP implantado com um componente de servidor de
reforo NAP DHCP, um componente cliente de reforo DHCP e o NPS.
Utilizando o reforo DHCP, os servidores DHCP e o NPS podero
reforar a diretiva de integridade quando um computador tentar
obter ou renovar um endereo IPv4. O servidor NPS limita o acesso
rede do cliente rede restrita, ordenando que o servidor DHCP
atribua uma configurao limitada de endereo IP. Entretanto, se
os computadores cliente estiverem configurados para tirar vantagem
(circumvent) da configurao de endereo IP, o DHCP no ser
eficiente.
Abordagens Combinadas
Cada um desses mtodos de reforo NAP possui diferentes vantagens.
Combinando os mtodos de reforo, ser possvel combinar as
vantagens desses mtodos. Entretanto, ao implantar mltiplos
mtodos de reforo NAP, voc poder fazer com que sua implementao
NAP seja mais complexa de ser gerenciada.
O framework do NAP tambm fornece um conjunto de APIs que permite
que outras empresas que no sejam a Microsoft integrem seus
softwares com a NAP. Utilizando as APIs do NAP, fornecedores e
desenvolvedores de software podero fornecer solues de fim a fim
que validem o funcionamento e faam a remediao de clientes em
no-conformidade.
Implantao
116
Guia do Revisor do Windows Server Longhorn Beta 3
Os preparativos necessrios para a implantao do NAP dependem do
mtodo (ou mtodos) de reforo escolhido e dos requisitos de
integridade que se pretende reforar quando os computadores cliente
tentam conectar-se rede ou comunicar-se com ela.
Se voc for um administrador de sistemas ou de rede, ser possvel
implantar o NAP com o Windows Security Health Agent e o Windows
Security Health Validator. Voc tambm poder verificar com outros
fornecedores de software se eles possuem SHAs e SHVs para seus
produtos. Por exemplo, se um fornecedor de software antivrus
desejar criar uma soluo NAP que inclua um SHA e um SHV
personalizado, ele poder utilizar um conjunto de APIs para criar
esses componentes, os quais podero ser integrados com as solues
NAP implantadas pelos clientes desse fornecedor.
Alm dos SHAs e SHVs, a plataforma NAP utilize mltiplos
componentes de servidor e cliente para detectar e monitorar o
status da integridade do sistema dos computadores cliente quando
estes tentam conectar-se rede ou comunicar-se com ela. Na figura
abaixo, so ilustrados alguns componentes comuns utilizados na
implantao do NAP:
117
Guia do Revisor do Windows Server Longhorn Beta 3
Componentes do Cliente NAP
Um cliente ativado para o NAP um computador que possui os
componentes NAP instalados e que pode verificar seu estado de
funcionamento, enviando uma lista de SoH (statements of health) ao
NPS. A seguir, esto os componentes do cliente NAP comuns:
Agente de integridade do sistema. Um SHA monitora e relata o estado
de funcionamento do computador cliente de forma que o NPS possa
determinar se as configuraes monitoradas pelo SHA esto
atualizadas e configuradas corretamente. Por exemplo, o Microsoft
SHA pode monitorar o Firewall do Windows; se um software antivrus
estiver instalado, ativado e atualizado; se h softwares anti-
spyware instalado, ativado e atualizado e se o Microsoft Update
Services est ativado e o computador possui suas mais recentes
atualizaes. Tambm pode haver SHAs disponveis em outras empresas
que fornecem funcionalidades adicionais.
NAP Agent (Agente NAP). O agente NAP coleta e gerencia informaes
de funcionamento. O agente NAP tambm processa o SoH a partir dos
SHAs e relata o funcionamento do cliente aos clientes de reforo
instalados. Para indicar o estado completo de um cliente NAP, o
agente NAP utiliza uma lista de SoH.
NAP EC (NAP enforcement client). Para utilizar o NAP, pelo menos um
NAP EC (NAP enforcement client) deve estar instalado e ativado nos
computadores cliente. NAP EC individuais so especficos ao mtodo,
conforme descrito anteriormente. Os clientes de reforo NAP
integram-se com tecnologias de acesso rede, como IPsec, o
controle de acesso rede com e sem fio baseado em porta 802.1X,
VPN com o Roteamento e Acesso Remoto e o DHCP. O cliente de reforo
NAP solicita acesso rede, informa o status do funcionamento de um
computador cliente ao servidor NPS e informa o status restrito do
computador cliente aos outros componentes da arquitetura NAP.
SoH (Statement of health). Um SoH uma declarao de um SHA que
afirma seu status de funcionamento. Os SHAs criam SoHs, os quais
so enviados ao agente NAP.
Componentes de Servidor NAP
A seguir, esto os componentes de servidor NAP comuns:
Diretivas de funcionamento. As diretivas NPS definem os requisitos
de integridade e as configuraes de reforo para os computadores
cliente que solicitam acesso rede. O NPS processa as mensagens de
Solicitao de Acesso RADIUS (RADIUS Access-Request) que contm a
lista de SoH enviada pelo NAP EC e passa essas mensagens para o
servidor de administrao NAP.
Servidor de administrao NAP. O componente de servidor de
administrao NAP fornece uma funo de processamento parecida com
o agente NAP no lado do cliente. Ele recebe a lista de SoH do
servidor de reforo NAP por meio do NPS e distribui cada SoH para o
SHV apropriado. Depois, ele coleta as Respostas SoH resultantes dos
118
Guia do Revisor do Windows Server Longhorn Beta 3
SHVs e envia essas respostas ao NPS para que este faa uma
avaliao.
SHVs (System health validators - validadores de integridade do
sistema). Os SHVs so cpias de software de servidor para os SHAs.
Cada SHA no cliente possui um SHV correspondente no NPS. Os SHVs
verificam o SoH feito por seu SHA correspondente no computador
cliente.
Os SHAs e os SHVs so associados um ao outro, juntamente com um
servidor de diretivas correspondente (se exigido) e, talvez, a um
servidor de remediao.
Um SHV tambm pode detectar que nenhum SoH foi recebido (por
exemplo, se o SHA nunca tiver sido instalado, se tiver sido
danificado ou removido). Se o SoH atender ou no diretiva
definida, o SHV enviar uma mensagem SoHR (statement of health
response - declarao de resposta de integridade) para o servidor
de administrao NAP.
Uma rede pode possuir mais de um tipo de SHV. Se isso ocorrer, o
servidor NPS dever coordenar a sada de todos os SHVs e determinar
se deve ser limitado o acesso de um computador em no-conformidade.
Isso exige um planejamento cuidadoso ao definir diretivas de
integridade para o seu ambiente e avaliar na diferente forma com
que os SHVs interagem.
NAP enforcement server (servidor de reforo NAP). O NAP ES
associado a um NAP EC correspondente para o mtodo de reforo NAP
que estiver sendo utilizado. Ele recebe a lista de SoHs do NAP EC,
passando-os para que o NPS faa uma avaliao. Com base na
resposta, fornecido acesso limitado ou ilimitado rede para o
cliente ativado para o NAP. Dependendo do tipo de reforo NAP, o
NAP ES pode ser uma autoridade de certificao (reforo IPsec), um
switch de autenticao ou um ponto de acesso sem fio (reforo
802.1x), um servidor Roteamento e Acesso Remoto(reforo VPN) ou um
servidor DHCP (reforo DHCP).
Servidor de diretivas. Um servidor de diretivas um componente de
software que se comunica com um SHV a fim de fornecer as
informaes utilizadas na avaliao dos requisitos para a
integridade do sistema. Por exemplo, um servidor de diretivas, como
um servidor de assinaturas antivrus, pode fornecer a verso do
arquivo atual de assinaturas para a validao de um SoH antivrus
cliente. Os servidores de diretivas so associados aos SHVs, mas
nem todos os SHVs exigem um servidor de diretivas. Por exemplo, um
SHV pode simplesmente ordenar que clientes ativados para o NAP
verifiquem as configuraes locais de sistema a fim de assegurar
que um firewall baseado em host esteja ativado.
Servidor de remediao. Um servidor de remediao hospeda as
atualizaes que podem ser utilizadas pelos SHAs para fazer com que
computadores cliente em no-conformidade passem a estar em
conformidade. Por exemplo, um servidor de remediao pode hospedar
atualizaes de software. Se a diretiva de integridade exigir que
119
Guia do Revisor do Windows Server Longhorn Beta 3
os computadores cliente NAP possuam as mais recentes atualizaes
de software instaladas, o NAP EC ir restringir o acesso rede dos
clientes que no possurem essas atualizaes. Os servidores de
remediao devem estar acessveis aos clientes com acesso restrito
rede para que os clientes obtenham as atualizaes exigidas para
que estejam em conformidade com as diretivas de integridade.
SoHR (Statement of health response). Depois que o SoH cliente for
avaliado mediante a diretiva de integridade pelo SHV apropriado, um
SoHR ser gerado, contendo os resultados da avaliao. O SoHR
inverte o caminho do SoH e enviado de volta ao SHA do computador
cliente. Se o computador cliente for considerado como estando em
no-conformidade, o SoHR ir conter as instrues de remediao
utilizadas pelo SHA para fazer com que a configurao do computador
cliente esteja em conformidade com os requisitos de integridade.
Assim como cada tipo de SoH contm diferentes tipos de informaes
sobre o status do funcionamento do sistema, cada mensagem SoHR
contm as informaes sobre como estar em conformidade com os
requisitos de integridade.
Informaes Adicionais
Para mais informaes sobre o NAP, acesse o site sobre Network
Access Protection em (http://go.microsoft.com/fwlink/?LinkId=56443).
120
Guia do Revisor do Windows Server Longhorn Beta 3
5.04 Protocolos TCP/IP e Componentes de Rede de
ltima Gerao
A rede e as comunicaes so muito importantes para que as
organizaes consigam superar o desafio da grande competio no
mercado global. Os funcionrios precisam conectar-se rede onde
quer que eles estejam e a partir de qualquer dispositivo.
Parceiros, fornecedores e outras pessoas fora da rede precisam
interagir, de forma eficiente, com os recursos principais. Alm
disso, segurana um fator mais importante do que nunca.
A seguir, teremos uma viso geral tcnica sobre as melhorias de
comunicao e rede TCP/IP encontradas no Microsoft Windows Server
Longhorn e Windows Vista para lidar com questes de
conectividade, facilidade de uso, gerenciamento, confiabilidade e
segurana. Com o Windows Server Longhorn e o Windows Vista, os
administradores de TI possuem mais opes flexveis para
gerenciar a infra-estrutura de rede, rotear o trfego de rede de
forma eficiente e implantar cenrios de trfego protegido.
O Windows Server Longhorn e o Windows Vista incluem muitas
alteraes e melhorias para os seguintes protocolos e componentes
centrais de rede:
Pilha TCP/IP de ltima gerao
Melhorias no IPv6
QoS (Quality of Service) baseada em diretivas para redes
corporativas.
Pilha TCP/IP de ltima Gerao
O Windows Server Longhorn e o Windows Vista incluem uma nova
implementao da pilha do protocolo TCP/IP, conhecida como a
Pilha TCP/IP de ltima gerao. A Pilha TCP/IP de ltima gerao
um design completamente reformulado da funcionalidade do TCP/IP
tanto para o IPv4 (Internet Protocol version 4) quanto para o
IPv6 (Internet Protocol version 6) que atende s necessidades de
desempenho e conectividade dos diversos ambientes e tecnologias
de rede dos dias de hoje.
Os seguintes recursos so novos ou aprimorados:
Receive Window Auto-Tuning
Compound TCP
Melhorias para ambientes de alto ndice de perda
Neighbor Un-reach-ability Detection for IPv4
Alteraes na deteco de gateways inativos
Alteraes na deteco de roteadores de buraco negro PMTU
Compartimentos de Roteamento
121
Guia do Revisor do Windows Server Longhorn Beta 3
Suporte ao Network Diagnostics Framework
Windows Filtering Platform
Explicit Congestion Notification
Receive Window Auto-Tuning
O tamanho da janela de recebimento TCP (TCP receive window size)
a quantidade de bytes em um buffer de memria em um host de
recebimento utilizada para armazenar dados de entrada em uma
conexo TCP. Para determinar corretamente o valor do tamanho
mximo da janela de recebimento para uma conexo com base nas
condies atuais da rede, a Pilha TCP/IP de ltima gerao d
suporte ao Receive Window Auto-Tuning. O Receive Window Auto-
Tuning determina o tamanho da janela de recebimento ideal por
conexo, calculando o produto do atraso da largura de banda (a
largura de banda multiplicada pela latncia da conexo) e o
ndice de recuperao do aplicativo. Depois, o tamanho mximo da
janela de recebimento ajustado em uma base regular.
Com maior velocidade do processamento entre os pontos TCP, a
utilizao da largura de banda de rede aumenta durante a
transferncia de dados. Se todos os aplicativos forem otimizados
para receber dados TCP, a utilizao total da rede poder
aumentar de forma significativa.
Compound TCP
Considerando que o Receive Window Auto-Tuning otimiza a
velocidade do processamento do receptor, o CTCP (Compound TCP) na
Pilha TCP/IP de ltima gerao otimiza a velocidade do
processamento do emissor. Trabalhando juntos, eles podem aumentar
a utilizao de links e produzir ganhos substanciais de
desempenho para grandes conexes de produto de atraso de largura
de banda.
O CTCP utilizado para conexes TCP com um grande tamanho de
janela de recebimento e um grande produto de atraso de largura de
banda (a largura de banda de uma conexo multiplicada pelo seu
atraso). Ele aumenta, de forma significativa, a quantidade de
dados enviados por vez e ajuda a garantir que seu comportamento
no cause impactos negativos em outras conexes TCP.
Por exemplo, em testes realizados internamente na Microsoft, os
horrios de backup para arquivos extensos foram reduzidos em
quase metade para uma conexo de 1 gigabit por segundo com um RTT
(round-trip time) de 50 milsimos de segundo. Conexes com um
produto de atraso de largura de banda maior podem ter um melhor
desempenho.
Melhorias para Ambientes de Alto ndice de Perda
A Pilha TCP/IP de ltima gerao tem suporte para as seguintes
RFCs (Request for Comments) a fim de otimizar a velocidade do
processamento em ambientes alto ndice de perda:
122
Guia do Revisor do Windows Server Longhorn Beta 3
RFC 2582: Modificao NewReno para o Algoritmo de
Recuperao Rpida do TCP
Quando mltiplos segmentos em uma janela de dados forem
perdidos, e o emissor receber uma confirmao parcial
informando que os dados foram recebidos, o algoritmo NewReno
fornecer uma maior velocidade do processamento, alterando a
forma com que um emissor pode aumentar sua taxa de envio.
RFC 2883: Uma Extenso Opo SACK (Selective
Acknowledgement) para TCP
O SACK, definido na RFC 2018, permite que um receptor indique
at quatro blocos no-contguos de dados recebidos. A RFC 2883
define uma utilizao adicional da opo SACK TCP para
reconhecer pacotes duplicados. Isso permite que o receptor do
segmento TCP que contm a opo SACK determine quando um
segmento foi retransmitido desnecessariamente e ajuste o
comportamento para evitar futuras retransmisses. Reduzir o
nmero de retransmisses enviadas melhora a velocidade do
processamento.
RFC 3517: Um Algoritmo de Recuperao de Perdas Baseado no
SACK (Selective Acknowledgment) Conservador para TCP
Considerando que o Windows Server 2003 e o Windows XP utilizam
as informaes do SACK somente para determinar quais segmentos
TCP no chegaram no destino, a RFC 3517 define um mtodo de
utilizar as informaes do SACK para realizar a recuperao de
perda quando confirmaes duplicadas tiverem sido recebidas e
substitui o algoritmo de recuperao rpida quando o SACK
estiver ativado em uma conexo. A Pilha TCP/IP de ltima
gerao controla as informaes do SACK em uma base por
conexo e monitora as confirmaes de entrada a fim fazer a
recuperao mais rapidamente quando segmentos no forem
recebidos no destino.
RFC 4138: Recuperao F-RTO (Forward RTO): Um Algoritmo
para a Deteco de Falsos Timeouts de Retransmisso com o
TCP e o SCTP (Stream Control Transmission Protocol)
O algoritmo F-RTO (Forward-Retransmission Timeout) evita a
retransmisso desnecessria de segmentos TCP. Retransmisses
desnecessrias de segmentos TCP podem ocorrer quando houver um
aumento repentino ou temporrio no RTT (round-trip time). O
resultado do algoritmo F-RTO indicado para ambientes com
aumentos repentinos ou temporrios no RTT, como quando um
cliente sem fio passa de um ponto de acesso sem fio (AP -
access point) para outro. O F-RTO evita a retransmisso
desnecessria de segmentos e retorna mais rapidamente a sua
taxa de envio normal.
Neighbor Un-reach-ability Detection for IPv4
O Neighbor Un-reach-ability Detection um recurso do IPv6 no
qual um n mantm o status informando se um n vizinho pode ser
123
Guia do Revisor do Windows Server Longhorn Beta 3
alcanado, fornecendo melhor deteco e recuperao de erros
quando os ns, repentinamente, ficarem indisponveis. A Pilha
TCP/IP de ltima gerao tambm d suporte ao trfego do Neighbor
Un-reach-ability Detection for IPv4, por meio do controle do
estado alcanvel dos ns IPv4 no cache de rota do IPv4. O
Neighbor Un-reach-ability Detection for IPv4 determina a
capacidade de alcance por meio de uma troca de mensagens ARP
Reply e ARP (Address Resolution Protocol) Request ou por meio da
relao de confiana em protocolos de camada superior, como o
TCP.
Alteraes na deteco de gateways inativos
A deteco de gateways inativos no TCP/IP para o Windows Server
2003 e o Windows XP fornece uma funo de failover, mas no uma
funo de failback, na qual um gateway inativo testado
novamente a fim de determinar se ele se tornou disponvel. A
Pilha TCP/IP de ltima gerao fornece failback para gateways
inativos, tentando periodicamente enviar o trfego TCP,
utilizando o gateway inativo detectado anteriormente. Se o
trfego IP enviado por meio do gateway inativo obtiver sucesso, a
Pilha TCP/IP de ltima gerao ir alternar do gateway padro
para o gateway inativo detectado anteriormente. O suporte ao
failback para os gateways padro primrios pode fornecer maior
velocidade de processamento, enviando o trfego com a utilizao
do gateway padro primrio na sub-rede.
Alteraes na Deteco de Roteadores de Buraco Negro PMTU
A descoberta PMTU (Path maximum transmission unit), definida na
RFC 1191, confia no recebimento de mensagens ICMP (Internet
Control Message Protocol) Destination Unreachable-Fragmentation
Needed e DF (Dont Fragment) Set dos roteadores que contm o MTU
do prximo link. Entretanto, em alguns casos, roteadores
intermedirios descartam pacotes que no podem ser fragmentados.
Esses tipos de roteadores so conhecidos como roteadores PMTU de
buraco negro. Alm disso, os roteadores intermedirios podem
bloquear mensagens ICMP devido s regras de firewall. Devido aos
roteadores PMTU de buraco negro, as conexes TCP podem falhar e
serem encerradas.
A deteco de roteadores de buraco negro PMTU faz sentido quando
extensos segmentos TCP esto sendo retransmitidos; o PMTU
automaticamente ajustado para a conexo, em vez de confiar no
recibo das mensagens de erro ICMP. No Windows Server 2003 e no
Windows XP, a deteco de roteadores de buraco negro PMTU
desabilitada por padro, pois estando ativada, o nmero mximo de
transmisses executadas para um segmento de rede especfico
aumenta.
Por padro, a Pilha TCP/IP de ltima gerao ativa a deteco de
roteadores de buraco negro PMTU a fim de evitar o encerramento
das conexes TCP.
124
Guia do Revisor do Windows Server Longhorn Beta 3
Compartimentos de Roteamento
Para evitar que o encaminhamento indesejado do trfego entre
interfaces para configuraes VPN, a Pilha TCP/IP de ltima
gerao d suporte aos compartimentos de roteamento. Um
compartimento de roteamento a combinao de um conjunto de
interfaces com uma sesso de login que possui suas prprias
tabelas de roteamento IP. Um computador pode possuir mltiplos
compartimentos de roteamento isolados uns dos outros. Cada
interface pode pertencer somente a um nico compartimento.
Por exemplo, quando um usurio inicia uma conexo VPN pela
Internet com a implementao TCP/IP no Windows XP, o computador
do usurio ter conectividade parcial tanto para a Internet
quanto para a intranet particular, manipulando entradas na tabela
de roteamento IPv4. Em algumas situaes, possvel que o
trfego da Internet seja encaminhado pela conexo VPN para a
intranet particular. Para clientes VPN com suporte para
compartimentos de roteamento, a Pilha TCP/IP de ltima gerao
isola a conectividade da Internet da conectividade da intranet
particular por meio de tabelas de roteamento IP separadas.
Suporte ao Network Diagnostics Framework
O Network Diagnostics Framework uma arquitetura extensvel que
ajuda os usurios na recuperao e resoluo de problemas com
conexes de rede. Para a comunicao baseada em TCP/IP, o Network
Diagnostics Framework exibe ao usurio diversas opes para
eliminar as possveis causas at que a causa do problema seja
identificada ou que todas as possibilidades sejam eliminadas.
Estes so os problemas especficos relacionados ao TCP/IP que
podem ser diagnosticados pelo Network Diagnostics Framework:
Endereo IP incorreto
O gateway padro (roteador) no est disponvel
Gateway padro incorreto
Falha de resoluo de nomes NetBT (NetBIOS over TCP/IP)
Configuraes de DNS incorretas
A porta local j est sendo utilizada
O servio DHCP Client no est sendo executado
No h escuta remota
A mdia est desconectada
A porta local est bloqueada
Pouca memria
Suporte ESTATS (extended statistics)
A Pilha TCP/IP de ltima gerao d suporte ao esboo do IETF
(Internet Engineering Task Force) TCP Extended Statistics MIB,
o qual define as estatsticas de desempenho estendidas para o
125
Guia do Revisor do Windows Server Longhorn Beta 3
TCP. Analisando o ESTATS em uma conexo, possvel determinar se
o gargalo de desempenho para uma conexo o aplicativo de envio,
de recepo ou se a rede. Por padro, o ESTATS desabilitado e
pode ser ativado por conexo. Com o ESTATS, os ISVs (independent
software vendors) que no so da Microsoft podem criar
diagnsticos eficientes e aplicativos de anlise de velocidade de
processamento de rede.
Windows Filtering Platform
O WFP (Windows Filtering Platform - Plataforma de Filtragem
Windows) uma nova arquitetura na Nova Gerao da pilha TCP/IP
que fornece APIs para que os ISVs no-Microsoft possam fazer a
filtragem em diversas camadas na pilha do protocolo TCP/IP e por
todo o sistema operacional.
O WFP tambm integra e fornece suporte para a nova gerao de
recursos de firewall, como a comunicao autenticada e a
configurao de firewall dinmica baseadas na utilizao de um
aplicativo do Windows Sockets API. Os ISVs podem criar firewalls,
softwares antivrus, alm de outros tipos de aplicativos e
servios. O Windows Firewall e o IPsec no Windows Server
Longhorn e no Windows Vista utilizam o WFP API.
Explicit Congestion Notification
Quando um segmento TCP perdido, o TCP supe que o segmento foi
perdido devido ao congestionamento em um roteador e executa o
controle de congestionamento, o que diminui, de forma drstica, a
taxa de transmisso do emissor TCP. Com o suporte ECN (Explicit
Congestion Notification - Notificao Explcita de
Congestionamento) nos pontos TCP e na infra-estrutura de
roteamento, os roteadores que esto vivenciando o
congestionamento marcam os pacotes como se estivessem
encaminhando-os. Os pontos TCP que recebem os pacotes marcados
diminuem sua taxa de transmisso a fim facilitar o
congestionamento e evitar a perda de segmentos. Detectar o
congestionamento antes das perdas de pacotes aumenta a velocidade
de processamento entre os pontos TCP. O ECN no ativado por
padro.
Melhorias no IPv6
A Pilha TCP/IP de ltima gerao d suporte s seguintes
melhorias no IPv6:
IPv6 ativado por padro
Pilha IP dupla
Configurao baseada em GUI
Melhorias no Teredo
Suporte IPsec integrado
Multicast Listener Discovery verso 2
126
Guia do Revisor do Windows Server Longhorn Beta 3
Link-Local Multicast Name Resolution
IPv6 pelo PPP
IDs aleatrios de interface para endereos IPv6
Suporte DHCPv6
IPv6 Ativado por Padro
No Windows Server Longhorn e no Windows Vista, o IPv6
instalado e ativado por padro. possvel definir as
configuraes do IPv6 por meio das propriedades do componente
TCP/IPv6 (Internet Protocol version 6) e tambm pelos comandos no
contexto IPv6 da interface.
O IPv6 no Windows Server Longhorn e no Windows Vista no pode
ser desinstalado, mas pode ser desabilitado.
Pilha IP Dupla
A Pilha TCP/IP de ltima gerao d suporte arquitetura de
camadas IP dupla, na qual as implementaes do IPv4 e IPv6
compartilham camadas comuns de frame e transporte (TCP e UDP). A
Pilha TCP/IP de ltima gerao possui o IPv4 e o IPv6 ativados
por padro. No necessrio instalar um componente separado para
obter o suporte ao IPv6.
Configurao Baseada em GUI
No Windows Server Longhorn e no Windows Vista, voc pode
definir manualmente as configuraes do IPv6, utilizando um
conjunto de caixas de dilogo na pasta Conexes de Rede,
semelhante ao processo de definir manualmente as configuraes do
IPv4.
Melhorias no Teredo
O Teredo fornece conectividade aprimorada para aplicativos
ativados para o IPv6, fornecendo globalmente o endereamento IPv6
exclusivo e permitindo o trfego IPv6 para atravessar os NATs.
Com o Teredo, os aplicativos ativados para o IPv6 que exigem o
trfego de entrada no solicitado e o endereamento global, como
aplicativos entre iguais, funcionaro pelo NAT. Esses mesmos
tipos de aplicativos, se utilizassem o trfego IPv4, ou exigiriam
a configurao manual do NAT, ou no funcionariam sem a
modificao do protocolo do aplicativo de rede.
O Teredo pode agora funcionar se houver um cliente Teredo atrs
de um ou mais NATs simtricos. Um NAT simtrico mapeia o mesmo
endereo (privado) e o mesmo nmero de porta internos para
diferentes endereos e portas (pblicos) externos, dependendo do
endereo externo de destino (para o trfego de sada). Este novo
comportamento permite que o Teredo funcione entre um conjunto
maior de hosts conectados Internet.
127
Guia do Revisor do Windows Server Longhorn Beta 3
No Windows Vista, o componente Teredo estar ativado, mas inativo
por padro. Para ativ-lo, um usurio deve instalar um aplicativo
que precise utilizar o Teredo ou optar por alterar as
configuraes de firewall a fim de permitir que um aplicativo
utilize o Teredo.
Suporte IPsec Integrado
No Windows Server Longhorn e no Windows Vista, o suporte IPsec
para o trfego IPv6 o mesmo existente para o IPv4, incluindo o
suporte para o IKE (Internet Key Exchange) e a criptografia de
dados. Os snap-ins Windows Firewall with Advanced Security e IP
Security Policies agora possuem suporte para a configurao de
diretivas IPsec para o trfego IPv6, igual ao que ocorre com o
trfego IPv4. Por exemplo, quando voc configurar um filtro IP
como parte de uma lista de filtros IP no snap-in IP Security
Policies, ser possvel especificar endereos IPv6 e prefixos de
endereos nos campos IP Address ou Subnet ao determinar um
endereo IP especfico de origem ou destino.
Multicast Listener Discovery Verso 2
O MLDv2 (Multicast Listener Discovery verso 2), especificado na
RFC 3810, fornece suporte para o trfego multicast especfico
origem. O MLDv2 equivale ao IGMPv3 (Internet Group Management
Protocol version 3) para IPv4.
Link-Local Multicast Name Resolution
O LLMNR (Link-Local Multicast Name Resolution) permite que hosts
IPv6 em uma nica sub-rede sem um servidor de DNS resolvam os
nomes uns dos outros. Essa capacidade muito til para redes
domsticas de nica sub-rede e redes sem fio ad hoc.
IPv6 Pelo PPP
O acesso remoto agora suporta o IPv6 pelo PPP (Point-to-Point
Protocol), conforme definido na RFC 2472. O trfego IPv6 pode
agora ser enviado por conexes baseadas em PPP. Por exemplo, o
suporte IPv6 pelo PPP permite que voc se conecte a um ISP
(Internet service provider) baseado no IPv6 por meio de conexes
dial-up ou baseadas no PPPoE (PPP over Ethernet) que podem ser
utilizadas para o acesso de banda larga Internet.
IDs Aleatrios de Interface para Endereos IPv6
Por padro, com o intuito de evitar a varredura de endereos IPv6
baseados nos IDs conhecidos da empresa dos fabricantes de
adaptadores de rede, o Windows Server Longhorn e o Windows
Vista geram IDs aleatrios de interface para endereos IPv6
estticos autoconfigurados, incluindo endereos pblicos e locais
de link.
Suporte DHCPv6
128
Guia do Revisor do Windows Server Longhorn Beta 3
O Windows Server Longhorn e o Windows Vista incluem um cliente
DHCP ativado para o DHCPv6 (Dynamic Host Configuration Protocol
version 6) que efetua a configurao automtica de endereos com
monitoramento de estado com um servidor DHCP. O Windows Server
Longhorn inclui um servio DHCP Server ativado para o DHCPv6.
Quality of Service (Qualidade de Servio)
No Windows Server 2003 e no Windows XP, a funcionalidade QoS
(Quality of Service) est disponvel para os aplicativos por meio
das APIs GQoS (Generic QoS). Os aplicativos que utilizavam as
APIs GQoS acessavam funes priorizadas de entrega. No Windows
Server Longhorn e no Windows Vista, existem novos recursos para
gerenciar o trfego de rede corporativa e domstica.
QoS Baseado em Diretivas para Redes Corporativas
As diretivas de QoS no Windows Server Longhorn e no Windows
Vista permitem que os profissionais de TI dem prioridade taxa
de envio para o trfego de rede de sada ou gerenciem essa taxa.
O profissional de TI pode restringir as configuraes a nomes
especficos de aplicativos, a endereos IP de origem e destino
especficos e a portas UDP ou TCP de origem e destino.
As configuraes de diretivas de QoS fazem parte da Diretiva de
Grupo user configuration (configurao de usurio) ou computer
configuration (configurao de computador) e so configuradas com
a utilizao do Group Policy Object Editor. Elas so vinculadas
aos containeres dos Servios de Domnio do Active Directory
(domnios, sites e OUs - unidades organizacionais), por meio da
utilizao do Group Policy Management Console (Console de
Gerenciamento de Diretivas de Grupo).
Para gerenciar a utilizao de largura de banda, voc pode
configurar uma diretiva de QoS com uma taxa de acelerao para o
trfego de sada. Utilizando a otimizao, uma diretiva de QoS
pode limitar o trfego de rede de sada agregado para uma taxa
especfica. Para especificar a entrega priorizada, o trfego
marcado com um valor DSCP (Differentiated Services Code Point).
Os roteadores ou os pontos de acesso sem fio na infra-estrutura
de rede podem colocar pacotes marcados com o DSCP em filas
diferentes para uma entrega diferenciada. A marcao com o DSCP e
a otimizao podem ser utilizados em conjunto para gerenciar o
trfego de forma eficiente. Como os processos de otimizao e de
marcao de prioridade so aplicados na camada de rede, no
preciso modificar os aplicativos.
129
Guia do Revisor do Windows Server Longhorn Beta 3
5.05 Firewall do Windows com Segurana Avanada
Comeando com o Windows Vista e o Windows Server Longhorn, a
configurao do Firewall do Windows e do IPsec combinada em uma
nica ferramenta, o snap-in MMC Windows Firewall with Advanced
Security.
O snap-in MMC Windows Firewall with Advanced Security substitui
ambas as verses anteriores dos snap-ins do IPsec, o IP Security
Policies e o IP Security Monitor, para a configurao de
computadores que executam o Windows Server 2003, o Windows XP ou
o Windows 2000. Embora os computadores que executam o Windows
Vista e o Windows Server Longhorn tambm possam ser
configurados e monitorados por meio da utilizao dos snap-ins
anteriores do IPsec, no possvel utilizar as ferramentas mais
antigas para configurar os diversos novos recursos e opes de
segurana apresentados no Windows Vista e no Windows Server
Longhorn. Para obter as vantagens desses novos recursos, voc
deve definir as configuraes, utilizando o snap-in Windows
Firewall with Advanced Security ou os comandos no contexto
advfirewall da ferramenta Netsh.
O Windows Firewall with Advanced Security fornece diversas
funes em um computador que executa o Windows Vista ou o Windows
Server Longhorn:
Filtragem de todo o trfego do IPv6 e do IPv4 que entra no
computador ou sai dele. Por padro, todo o trfego de
entrada bloqueado, a menos que ele seja uma resposta a
uma solicitao de sada anterior do computador (trfego
solicitado) ou que ele seja especificamente permitido por
uma regra criada para permitir esse trfego. Por padro,
todo o trfego de sada permitido, exceto para regras de
fortalecimento de servio que evita a comunicao de
servios padro de formas inesperadas. possvel optar por
permitir o trfego baseado em nmeros de portas, em
endereos do IPv4 ou IPv6, no caminho e nome de um
aplicativo ou no nome de um servio executado no computador
ou, ainda, em outros critrios.
Proteo do trfego de rede que entra no computador ou sai
dele, utilizando o protocolo IPsec a fim de verificar a
integridade do trfego de rede, autenticar a identidade dos
computadores ou usurios de envio e recepo e,
opcionalmente, criptografar o trfego a fim de fornecer
confidencialidade.
Comeando com o Windows XP Service Pack 2, o Firewall do Windows
foi ativado por padro nos sistemas operacionais da Microsoft. O
Windows Server Longhorn o primeiro sistema operacional de
servidor da Microsoft a ter o Firewall do Windows ativado por
130
Guia do Revisor do Windows Server Longhorn Beta 3
padro. Pelo fato de o Firewall do Windows estar ativado por
padro, todo administrador de um servidor que executa o Windows
Server Longhorn deve estar atento a esse recurso e entender
como o firewall deve ser configurado a fim de permitir o trfego
de rede exigido.
O console Windows Firewall with Advanced Security pode ser
completamente configurado, utilizando o snap-in MMC Windows
Firewall with Advanced Security ou os comandos disponveis no
contexto advfirewall da ferramenta de linha de comando Netsh.
Tanto as ferramentas grficas quanto as de linha de comando do
suporte ao gerenciamento do Windows Firewall with Advanced
Security no computador local ou em um computador remoto que
executa o Windows Server Longhorn ou Windows Vista que esteja
na rede. As configuraes criadas com a utilizao dessas
ferramentas podem ser implantadas nos computadores vinculados
rede, utilizando a Diretiva de Grupo.
Ser preciso rever esta seo sobre o Windows Firewall with
Advanced Security se voc fizer parte de um dos seguintes grupos:
Planejadores e analistas de TI que esto avaliando
tecnicamente o produto.
Planejadores e designers corporativos de TI.
Profissionais de TI que implantam ou administram solues
de segurana de rede em uma organizao.
O Windows Firewall with Advanced Security consolida duas funes
que eram gerenciadas separadamente em verses anteriores do
Windows. Alm disso, a principal funcionalidade dos componentes
do IPsec e de firewall do Windows Firewall with Advanced Security
foi aprimorada de forma significativa no Windows Vista e Windows
Server Longhorn.
Se voc criar um software projetado para ser instalado no Windows
Vista ou no Windows Server Longhorn, ser preciso ter a certeza
de que o firewall configurado corretamente pela sua ferramenta
de instalao, criando ou ativando regras que permitam que o
trfego de rede do programa passe pelo firewall. O seu programa
dever reconhecer os diferentes tipos de locais de rede
reconhecidos pelo Windows, domnio, privado e pblico, e
responder corretamente a uma alterao no tipo de local de rede.
importante lembrar que uma alterao no tipo de local de rede
poder resultar em diferentes regras de firewall sendo aplicadas
no computador. Por exemplo, se voc quiser que seu aplicativo
seja executado somente em um ambiente seguro, como um domnio ou
uma rede privada, as regras de firewall devero evitar que o seu
aplicativo envie o trfego de rede quando o computador estiver em
uma rede pblica. Se o tipo de local de rede for alterado de
forma inesperada durante a execuo de seu aplicativo, ele dever
lidar muito bem com essa situao.
131
Guia do Revisor do Windows Server Longhorn Beta 3
O Firewall do Windows Ativado Por Padro
O Firewall do Windows vem ativado por padro nos sistemas
operacionais cliente Windows desde o Windows XP Service Pack 2,
mas, o Windows Server Longhorn a primeira verso de servidor
do sistema operacional Windows que possui o Firewall do Windows
ativado por padro. Isso causa conseqncias sempre que um
aplicativo ou servio instalado e deve ter permisso para
receber o trfego de entrada no-solicitado pela rede. Muitos
aplicativos antigos no so projetados para funcionar com um
firewall baseado em host e podem no operar de forma correta, a
menos que sejam definidas regras que permitam que o aplicativo
aceite o trfego de entrada de rede no-solicitado. Ao instalar
uma funo ou recurso de servidor includo no Windows Server
Longhorn, o instalador ir ativar ou criar regras para garantir
que a funo ou recurso de servidor funcione corretamente. Para
determinar quais configuraes de firewall devem ser definidas
para um aplicativo, entre em contato com o fornecedor do
aplicativo. As configuraes de firewall so sempre publicadas no
site de suporte do fornecedor.
Nota
Um computador que executa o Windows Server 2003 e
atualizado para o Windows Server Longhorn mantm o mesmo
estado operacional do firewall que tinha antes da
atualizao. Se o firewall for desabilitado antes da
atualizao, ele permanecer nesse estado aps a
atualizao. Recomendamos que voc ative o firewall assim
que houver a confirmao de que os aplicativos na rede
funcionam com o firewall conforme configurado ou assim que
as regras de firewall apropriadas forem configuradas para
os aplicativos executados em seu computador.
O Gerenciamento da Diretiva IPsec Simplificado
Em verses anteriores do Windows, as implementaes de isolamento
de domnio ou servidor exigiam a criao de um grande nmero de
regras IPsec para garantir que o trfego de rede exigido estava
protegido de forma apropriada, fazendo com que o trfego de rede
exigido no pudesse ser assegurado com o IPsec.
A necessidade de um conjunto grande e complexo de regras IPsec
reduzida devido a um novo comportamento padro para a negociao
IPsec que solicita , mas no exige a proteo IPsec. Ao utilizar
essa configurao, o IPsec envia uma tentativa de negociao
IPsec e, ao mesmo tempo, envia pacotes de texto plano para o
computador de destino. Se o computador de destino responder
negociao e conclu-la com sucesso, a comunicao de texto plano
ser interrompida, e a comunicao subseqente ser protegida
pelo IPsec. Entretanto, se o computador de destino no responder
132
Guia do Revisor do Windows Server Longhorn Beta 3
negociao IPsec, a tentativa de texto plano ter permisso
para prosseguir. Em verses anteriores do Windows, era preciso
aguardar trs segundos aps a tentativa de negociao IPsec antes
de tentar a comunicao utilizando o texto plano. Isso resultava
em grandes atrasos no desempenho do trfego, que no podia ser
protegido e tinha de ser testado novamente em texto plano. Para
evitar esse atraso de desempenho, um administrador precisava
criar mltiplas regras IPsec para lidar com os diferentes
requisitos de cada tipo de trfego de rede.
Esse novo comportamento permite solicitar, mas no exigir, que a
proteo IPsec realize o trfego desprotegido, uma vez que o
atraso de trs segundos no mais exigido. isso permite que voc
proteja o trfego onde quer que ele seja exigido, sem a
necessidade de criar regras que permitam explicitamente as
excees necessrias. Isso resulta em um ambiente mais seguro,
menos complexo e que facilita a soluo de problemas.
Suporte para IP Autenticado
Em verses anteriores do Windows, o IPsec dava suporte somente ao
protocolo IKE (Internet Key Exchange) para negociar SAs (security
association) do IPsec. O Windows Vista e o Windows Server
Longhorn do suporte a uma extenso ao IKE conhecida como
AuthIP (Authenticated IP). O AuthIP fornece capacidades
adicionais de autenticao. So elas:
Suporte para os novos tipos de credenciais que no esto
disponveis no IKE isoladamente. Isso inclui: certificados
de integridade fornecidos por um Health Certificate Server,
o qual faz parte de uma implantao NAP (Network Access
Protection; certificados baseados em usurios; credenciais
de usurio Kerberos e credenciais de computador ou de
usurio NTLM verso 2. Essas credenciais so adicionais
para os tipos de credenciais suportados pelo IKE, como
certificados baseados em computador, credenciais Kerberos
para a conta de computador ou simplesmente chaves pr-
compartilhadas.
Suporte para autenticao, utilizando mltiplas
credenciais. Por exemplo, o IPsec pode ser configurado para
exigir que tanto as credenciais do usurio quanto as do
computador sejam processadas com sucesso antes que o
trfego seja permitido. Isso aumenta a segurana da rede,
reduzindo a chance de um computador confivel ser utilizado
por um usurio no-confivel.
Suporte para Proteger um Membro de Domnio para o Trfego de
Controlador de Domnio Utilizando o IPsec
Verses anteriores do Windows no suportam a utilizao do IPsec
para proteger o trfego entre controladores de domnio e
133
Guia do Revisor do Windows Server Longhorn Beta 3
computadores membro de domnio. O Windows Vista e o Windows
Server Longhorn so suporte proteo do trfego de rede entre
computadores membro de domnio e controladores de domnio,
utilizando o IPsec, enquanto permitem que um computador que no
membro de domnio passem a fazer parte de um domnio por meio da
utilizao do controlador de domnio protegido pelo IPsec.
Suporte Aprimorado para Criptografia
A implementao do IPsec no Windows Vista e no Windows Server
Longhorn d suporte a algoritmos adicionais para a negociao
de modo principal de SAs:
Curva Elptica Diffie-Hellman P-256 (Elliptic Curve Diffie-
Hellman P-256), um algoritmo de curva elptica que utiliza
um grupo de curva aleatria de 256 bits
Curva Elptica Diffie-Hellman P-384 (Elliptic Curve Diffie-
Hellman P-384), um algoritmo de curva elptica que utiliza
um grupo de curva aleatria de 384 bits
Alm disso, os seguintes mtodos de criptografia que utilizam o
AES (Advanced Encryption Standard) so suportados:
AES com CBC (cipher block chaining) e um tamanho de chave
de 128 bits (AES 128)
AES com CBC e um tamanho de chave de 192 bits (AES 192)
AES com CBC e um tamanho de chave de 256 bits (AES 256)
As Configuraes Podem Ser Alteradas Dinamicamente Com Base no
Tipo de Local de Rede
O Windows Vista e o Windows Server Longhorn podem notificar
aplicativos, ativados para a rede, como o Windows Firewall,
quanto s alteraes nos tipos de local de rede disponveis por
meio de adaptadores de rede anexados, conexes VPN e assim por
diante. O Windows d suporte a trs tipos de local de rede, e os
programas podem utilizar esses tipos para aplicar automaticamente
o conjunto apropriado de opes de configurao. Os aplicativos
devem ser criados de forma que possam obter a vantagem desse
recurso e receber notificaes de alteraes feitas nos tipos de
local de rede. O Windows Firewall with Advanced Security no
Windows Vista e no Windows Server Longhorn pode fornecer
diferentes nveis de proteo com base no tipo de local de rede
ao qual o computador est ligado.
Estes so os tipos de locais de rede:
Domnio. Este tipo de local de rede ser selecionado quando
computador for membro de um domnio, e o Windows ir
determinar que o computador est atualmente ligado rede
que hospeda o domnio. Essa seleo baseada na
134
Guia do Revisor do Windows Server Longhorn Beta 3
autenticao bem-sucedida com um controlador de domnio na
rede.
Privado. Este tipo de local de rede pode ser selecionado
para redes confiveis pelo usurio, como uma rede domstica
ou uma rede de um pequeno escritrio, por exemplo. As
configuraes atribudas a este tipo de local so mais
restritivas do que uma rede de domnio, pois no se espera
que uma rede domstica seja to ativamente gerenciada
quanto uma rede de domnio. Uma rede recm detectada nunca
ser automaticamente atribuda ao tipo de local Privado. Um
usurio deve optar explicitamente por atribuir a rede ao
tipo de local Privado.
Pblico. Este tipo de local de rede atribudo por padro
a todas as redes recm detectadas. As configuraes
atribudas a este tipo de local so muito mais restritivas,
devido aos riscos de segurana existentes em uma rede
pblica.
Nota
O recurso que permite definir o tipo de local de rede muito
til em computadores cliente, principalmente em computadores
portteis, os quais so movidos de uma rede para outra. No se
espera que um servidor seja mvel. Por esse motivo, uma
estratgia sugerida para um computador tpico que executa o
Windows Server Longhorn configurar esses trs perfis da mesma
forma.
Integrao do Firewall do Windows e do IPsec Management em uma
nica Interface de Usurio
No Windows Vista e no Windows Server Longhorn, a interface de
usurio para os componentes de firewall e do IPsec agora
combinada no snap-in MMC Windows Firewall with Advanced Security
e em comandos no contexto advfirewall da ferramenta de linha de
comando Netsh. As ferramentas utilizadas no Windows XP, Windows
Server 2003 e na famlia Windows 2000 o modelo administrativo
Windows Firewall, as configuraes de Diretiva de Grupo, o IP
Security Policy, os snap-ins MMC do IP Security Monitor e os
contextos ipsec e firewall do comando Netsh ainda esto
disponveis, mas no do suporte aos mais novos recursos
includos no Windows Vista e no Windows Server Longhorn. O
cone do Windows Firewall no Painel de Controle tambm ainda est
presente, mas uma interface de usurio final para gerenciar as
funcionalidades bsicas do firewall e no apresenta as opes
avanadas exigidas por um administrador.
Utilizando as diversas ferramentas para o firewall e o IPsec em
verses anteriores do Windows, aos administradores podem criar,
acidentalmente, configuraes conflitantes, como uma regra IPsec
que faz com que um tipo especfico de pacote de rede seja
135
Guia do Revisor do Windows Server Longhorn Beta 3
interrompido, mesmo que exista uma regra de firewall para
permitir que o mesmo tipo de pacote de rede esteja presente.
Isso pode resultar em cenrios com problemas difceis de serem
solucionados. Combinar as duas funes reduz a possibilidade de
criar regras conflitantes e ajuda a garantir que o trfego que
voc deseja proteger seja manipulado corretamente.
Suporte Total para a Proteo de Trfego de Rede IPv4 e IPv6
Todos os recursos de firewall e do IPsec disponveis no Windows
Vista e no Windows Server Longhorn so utilizados para proteger
o trfego de rede IPv4 e IPv6.
Referncias Adicionais
Os recursos a seguir fornecem informaes adicionais sobre o
Windows Firewall with Advanced Security e o IPsec:
Para mais informaes sobre o Windows Firewall with Advanced
Security, veja Windows Firewall
(http://go.microsoft.com/fwlink/?LinkID=84639) no site da Web Microsoft
TechNet.
Para mais informaes sobre o IPsec, veja IPsec
(http://go.microsoft.com/fwlink/?LinkID=84638) no site da Web Microsoft
TechNet.
Para mais informaes sobre os cenrios de isolamento de
servidor e domnio, veja Isolamento de Domnio e Servidor
(http://go.microsoft.com/fwlink/?LinkID=79430) no site da Web Microsoft
TechNet.
Para mais informaes sobre o Network Access Protection, veja
Network Access Protection (http://go.microsoft.com/fwlink/?LinkID=84637) no
site da Web Microsoft TechNet.
Para mais informaes sobre como criar aplicativos que estejam
cientes dos tipos de local de rede, consulte o Network
Awareness no Windows Vista (http://go.microsoft.com/fwlink/?LinkId=85491) e
Network Location Awareness Service Provider
(http://go.microsoft.com/fwlink/?LinkId=85492) no site da Web Microsoft
MSDN
.
136
Guia do Revisor do Windows Server Longhorn Beta 3
5.06 Cryptography Next Generation
O CNG (Cryptography Next Generation Criptografia de ltima
Gerao) fornece uma plataforma de desenvolvimento criptogrfico
flexvel que permite que profissionais de TI criem, atualizem e
utilizem algoritmos de criptografia personalizados em aplicativos
relacionados criptografia, como o Active Directory
Certificate
Services, o SSL e o IPsec. O CNG implementa os algoritmos de
criptografia Suite B do governo dos E.U.A , os quais incluem
algoritmos para criptografia, assinaturas digitais, troca de
chaves e hashing.
Alm disso, o CNG fornece um conjunto de APIs utilizadas para:
Realizar operaes bsicas de criptografia, como a criao
de hashes e a criptografia e descriptografia de dados.
Criar, armazenar e recuperar chaves de criptografia.
Instalar e utilizar provedores adicionais de criptografia.
O CNG possui as seguintes capacidades:
O CNG permite que os clientes utilizem seus prprios
algoritmos de criptografia ou implementaes de algoritmos
padro de criptografia. possvel adicionar novos
algoritmos.
O CNG d suporte criptografia no modo kernel. A mesma API
utilizada no modo kernel e no modo usurio para dar
suporte total aos recursos de criptografia. O SSL/TLS e o
IPsec, alm dos processos de inicializao que utilizam o
CNG, operam no modo kernel.
O plano para o CNG inclui a aquisio da certificao FIPS
(Federal Information Processing Standards) 140-2 nvel 2
juntamente com as avaliaes de Critrios Comuns (Common
Criteria).
O CNG atende aos requisitos do Common Criteria, utilizando
e armazenando chaves de longa durao em um processo
seguro.
O CNG d suporte ao conjunto atual de algoritmos CryptoAPI
1.0.
O CNG fornece suporte aos algoritmos ECC (elliptic curve
cryptography - criptografia de curva elptica). Um grande
nmero de algoritmos ECC exigido pelo Suite B do governo
dos Estados Unidos.
Qualquer computador com um TPM (Trusted Platform Module -
mdulo de plataforma confivel) poder fornecer isolamento
e armazenamento de chave no TPM.
O CNG aplica PKI (public key infrastructure) implantaes que
exigem a utilizao dos algoritmos Suite B e que no precisam
137
Guia do Revisor do Windows Server Longhorn Beta 3
estar integrados s CAs (certification authorities) que no do
suporte aos algoritmos Suite B, como as CAs instaladas em
servidores que executam o Windows Server 2003 e o Windows 2000
Server.
Para utilizar os novos algoritmos de criptografia, a CA e os
aplicativos devero dar suporte ao ECC (ou a qualquer outro novo
algoritmo implementado no CNG). Embora a CA precise emitir e
gerenciar estes novos tipos de certificado, os aplicativos devem
ser capazes de lidar com a validao da cadeia de certificados e
utilizar as chaves geradas com os algoritmos Suite B.
Os algoritmos Suite B, como o ECC, so suportados somente no
Windows Vista e no Windows Server Longhorn. Isso significa que
no possvel utilizar esses certificados em verses anteriores
do Windows, como Windows XP ou Windows Server 2003. Entretanto,
possvel utilizar os algoritmos clssicos, como o RSA (Rivest-
Shamir-Adleman) mesmo se as chaves tiverem sido gerada com um
provedor de chaves CNG.
Os clientes que executam o Windows Vista ou o Windows Server
Longhorn podem utilizar tanto o CryptoAPI 1.0 quanto a nova
API CNG, pois ambas as APIs podem ser executadas lado a lado. No
entanto, aplicativos, como o SSL, IPsec, S/MIME
(Secure/Multipurpose Internet Mail Extensions) e o Kerberos,
devem ser atualizados a fim de utilizar os algoritmos Suite B.
Implantao
No implante certificados com algoritmos Suite B antes de
verificar os seguintes requisitos:
Antes de emitir certificados que utilizem algoritmos, tais
como o ECC, verifique se suas CAs e seu sistema operacional
do suporte a esses algoritmos.
Verifique se os aplicativos ativados para a PKI de sua
organizao podem utilizar certificados que confiam em
provedores de criptografia CNG.
Caso sua organizao utilize certificados para suportar o
logon de smart card, entre em contato com o fornecedor de
seu smart card e veja se os smart cards que ele fornece
podem lidar com algoritmos CNG.
No Windows Vista e no Windows Server Longhorn, os seguintes
aplicativos ativados para certificados podem lidar com
certificados que utilizam algoritmos de criptografia registrados
no provedor CNG.
138
Guia do Revisor do Windows Server Longhorn Beta 3
Aplicativos Ativados para Certificados
Nome do Aplicativo Verifica uma cadeia de
certificados que
contm certificados
com algoritmos
registrados em um
provedor CNG
Utiliza algoritmos que no so suportados pelo
CryptoAPI
EFS (Sistema de
Arquivos
Criptografado)
Sim No
IPsec Sim Sim
Kerberos No No
S/MIME Outlook
2003: no
Outlook 2007: sim
Outlook 2003: no
Outlook 2007: sim
logon via carto
inteligente
No No
SSL Sim Sim
Sem fio Sim Sim
Para utilizar os algoritmos para as operaes de criptografia,
primeiro, voc precisa de uma CA baseada no Windows Server
Longhorn para emitir certificados ativados para o Suite B.
Caso voc ainda no possua uma PKI, ser possvel configurar uma
CA baseada no Windows Server Longhorn em que os certificados da
CA e os certificados da entidade final utilizem algoritmos Suite
B. Entretanto, ainda ser preciso verificar se todos os seus
aplicativos esto preparados para os algoritmos Suite B e se
podem dar suporte a esses certificados.
Caso voc j possua uma PKI com CAs sendo executadas no Windows
Server 2003 ou na qual algoritmos clssicos esto sendo
utilizados para dar suporte aos aplicativos existentes, ser
possvel adicionar uma CA subordinada em um servidor que executa
o Windows Server Longhorn. No entanto, voc dever continuar
utilizando os algoritmos clssicos.
Para inserir os algoritmos Suite B em um ambiente existente, no
qual so utilizados os algoritmos clssicos, ser preciso
considerar a insero de uma PKI secundria e a realizao de uma
certificao cruzada entre as duas hierarquias de CA.
Para mais informaes sobre o CNG, veja API de Criptografia:
ltima Gerao (http://go.microsoft.com/fwlink/?LinkID=74141).
Para mais informaes sobre o Suite B, veja Criptografia Suite B
NSA (NSA Suite B Cryptography Fact Sheet)
(http://go.microsoft.com/fwlink/?LinkId=76618).
139
Guia do Revisor do Windows Server Longhorn Beta 3
5.07 Servios de Certificado do Active Directory
Os Servios de Certificado do Active Directory fornece servios
personalizveis para criar e gerenciar certificados de chave
pblica utilizados em sistemas de segurana de software que
utilizam tecnologias de chave pblica. As organizaes podem
utilizar os Servios de Certificado do Active Directory para
aprimorar a segurana, unindo a identidade de uma pessoa,
dispositivo ou servio a uma chave privada correspondente. Os
Servios de Certificado do Active Directory tambm inclui
recursos que permitem gerenciar o registro e a revogao de
certificados em diversos ambientes escalonveis.
Os seguintes tpicos descrevem as alteraes na funcionalidade
dos Servios de Certificado do Active Directory disponvel neste
lanamento:
Servios de Certificado do Active Directory: Registro Web
Servios de Certificado do Active Directory: Configuraes
de Diretivas
Servios de Certificado do Active Directory: Servio de
Registro de Dispositivo de Rede
Servios de Certificado do Active Directory: PKI
Corporativo(PKIView)
Servios de Certificado do Active Directory: Suporte ao
Protocolo de Status de Certificado Online
Servios de Certificado do Active Directory:
Registro Web
Um grande nmero de alteraes foi feito ao suporte de registro
Web de certificados no Windows Server Longhorn. Essas
alteraes resultam da excluso do controle anterior de registro
ActiveX
verso 6.x ou
Netscape 8.1 Browser podero enviar solicitaes de
certificado diretamente por meio das pginas de registro
Web. Usurios de outros navegadores da Web ainda podero
enviar solicitaes de registro, utilizando as pginas de
registro Web, mas, primeiramente, devero gerar previamente
uma solicitao PKCS#10 para ser enviada por meio das
pginas de registro Web.
O registro de Web de certificados no pode ser utilizado
com os templates de certificado verso 3,0 (os quais esto
sendo apresentados no Windows Server Longhorn para o
suporte emisso de certificados em conformidade com o
Suite B).
O Internet Explorer no pode ser utilizado no contexto de
segurana de computadores locais; portanto, os usurios no
podem mais solicitar certificados de computador com a
utilizao do registro Web.
No Windows Server Longhorn Beta 2, o suporte de registro
Web est disponvel somente nas edies dos idiomas alemo
e ingls dos EUA O suporte de registro Web estar
disponvel em todas as verses de idiomas do produto final
do Windows Server Longhorn.
A configurao que deve ser feita para o suporte de registro Web
de certificados , simplesmente, adicionar o servio de funo
funo de servidor.
Se o suporte de registro Web estiver instalado no mesmo
computador que a CA, no ser exigida nenhuma configurao
adicional.
Se o servio de funo de registro Web e a CA estiverem
instalados em computadores diferentes,ser preciso identificar a
CA como parte da instalao do registro Web.
Aps a instalao do servio de funo de registro Web, um novo
site chamado CertSrv estar disponvel por meio do IIS.
Nota
142
Guia do Revisor do Windows Server Longhorn Beta 3
No Windows Server Longhorn Beta 2, o arquivo utilizado
pelo suporte de registro Web para encontrar a CA est
localizado no diretrio de linguagem especfica, como
%SYSTEMROOT%\system32\certsrv\[language]\certdat.inc. Esse
arquivo passar a ser um arquivo de configurao global que
define a configurao para todos os pacotes de idioma
instalados para o registro Web. Se voc possuir diversos
pacotes de idioma instalados em um servidor IIS, todos os
arquivos certdat.inc nos subdiretrios de linguagem
especfica devero ser idnticos.
As pginas de registro Web no-Microsoft sofrero um grande
impacto, pois o controle XEnroll.dll no est disponvel no
Windows Server Longhorn e no Windows Vista. Os administradores
dessas CAs tero de criar solues alternativas para o suporte
emisso de certificados e a renovao para clientes que utilizam
o Windows Server Longhorn e o Windows Vista, enquanto continuam
utilizando o Xenroll.dll para verses anteriores do Windows.
Os administradores tambm precisam planejar a configurao
apropriada de seus servidores que executam o IIS. O IIS pode ser
executado somente nos modos de 64 ou 32 bits. Se voc instalar o
IIS em um servidor que executa a verso de 64 bits do Windows
Server Longhorn, voc no dever instalar nenhum aplicativo Web
de 32 bits, como o WSUS, nesse computador. Caso contrrio,
instalao do servio de funo de registro ir falhar.
Servios de Certificado do Active Directory:
Configuraes de Diretivas
As configuraes de certificado na Diretiva de Grupo do Windows
Server Longhorn permitem que os administradores gerenciem
configuraes de validao de certificado de acordo com as
necessidades de segurana da organizao.
As configuraes de certificado na Diretiva de Grupo permite que
os administradores gerenciem as configuraes de certificado em
todos os computadores do domnio a partir de um local central.
Definir as configuraes utilizando a Diretiva de Grupo poder
causar alteraes em todo o domnio.
Por exemplo, em situaes em que determinados certificados de CA
expiram e os clientes no conseguem recuperar automaticamente um
novo certificado, os administradores podero implantar esses
certificados para os computadores cliente por meio da Diretiva de
Grupo.
Outro cenrio quando os administradores desejam garantir que os
usurios nunca iro instalar aplicativos assinados com
certificados de publicao no aprovada. Eles podero configurar
timeouts de rede para um melhor controle dos timeouts de
construo em cadeia para grandes CRLs (certification revocation
lists - listas de revogao de certificao). Alm disso, os
administradores podero utilizar as configuraes de revogao
143
Guia do Revisor do Windows Server Longhorn Beta 3
para estender os tempos de expirao das CRLs caso um atraso na
publicao de uma nova CRL afete os aplicativos.
Esse recurso aplica-se s organizaes que possuem PKIs com uma
ou mais CAs baseadas no Windows e utilizam Diretiva de Grupo para
gerenciar computadores cliente.
Utilizar as configuraes de validao de certificado na Diretiva
de Grupo poder aprimorar, de forma significativa, a capacidade
de:
Arquitetos de segurana aprimorarem a utilizao da relao
de confiana baseada em certificados.
Administradores de segurana gerenciarem aplicativos
ativados para a PKI em seus ambientes.
Pelo fato de as infra-estruturas de chave pblica X.509 terem se
tornado mais amplamente utilizadas como uma base de confiana,
muitas organizaes precisam de mais opes para gerenciar a
descoberta de caminho de certificados e a validao de caminhos.
Verses anteriores dos sistemas operacionais Windows possuam
poucas configuraes para implementar esse tipo de controle.
As configuraes de Diretiva de Grupo relacionadas a certificados
podem ser encontradas no Group Policy Object Editor, em
Configurao do Computador\Configuraes do Windows\Configuraes
de Segurana\Diretivas de Chave Pblica. As seguintes opes de
diretiva podem ser gerenciadas em guias separadas na pgina de
propriedades Certificate Path Validation Settings:
Stores (Armazenamentos)
Trusted Publishers (Editores Confiveis)
Network Retrieval (Recuperao de Rede)
Revocation (Revogao)
Alm disso, quatro novos armazenamentos de diretiva foram
adicionados em Diretivas de Chave Pblica (Public Key Policies)
para serem utilizados na distribuio de diferentes tipos de
certificados para os clientes:
Intermediate Certification Authorities (Autoridades
Intermedirias de Certificao)
Trusted Publishers (Editores Confiveis)
Untrusted Certificates (Certificados No-Confiveis)
Trusted People (Pessoas Confiveis)
Esses novos armazenamentos so uma adio aos armazenamentos
Enterprise Trust (Relao de confiana Corporativa) e Trusted
Root Certification Authorities (Autoridades de Certificao de
Raiz Confivel) disponveis no Windows Server 2003.
Essas configuraes de validao de caminho e armazenamentos de
certificados podem ser utilizadas para realizar as seguintes
tarefas:
144
Guia do Revisor do Windows Server Longhorn Beta 3
Gerenciar armazenamentos de certificado peer trust e
trusted root.
Gerenciar editores confiveis.
Bloquear certificados que no sejam confiveis de acordo
com a diretiva.
Gerenciar a recuperao de dados relacionados a
certificados.
Gerenciar perodos de expirao para CRLs e respostas OCSP
(online certificate status protocol).
Implantar certificados.
Gerenciar Armazenamentos de Certificado Peer Trust e Trusted Root
Utilizando a guia Stores na caixa de dilogo Certificate Path
Validation Settings, os administradores podem regular a
capacidade de os usurios gerenciarem seus prprios certificados
trusted root e peer trust. Este controle pode ser implementado
para que os usurios no tenham permisso para tomar quaisquer
decises quanto relao de confianas de ponto ou raiz (root or
peer trust). Alm disso, ele pode ser utilizado para controlar
quantos propsitos de certificado especficos, como assinatura e
criptografia, os usurios podem gerenciar por relao de
confiana entre iguais (peer trust).
A guia Stores tambm permite que os administradores especifiquem
se os usurios em um computador ligado a um domnio podero
confiar somente em CAs de raiz corporativa ou em CAs de raiz no-
Microsoft de raiz corporativa.
Se, por um lado, um administrador precisa distribuir certificados
selecionados de raiz confivel, para computadores no domnio,
esses certificados sero propagados para o armazenamento de
certificado apropriado na prxima vez em que a diretiva de
domnio for restaurada.
Devido crescente variedade de certificados em uso nos dias de
hoje e grande importncia das decises a serem tomadas quanto
ao fato de reconhecer ou no esses certificados, algumas
organizaes podem desejar gerenciar a relao de confiana de
certificados e evitar que os usurios no domnio configurem seu
prprio conjunto de certificados de raiz confivel.
Utilizar as configuraes de Diretiva de Grupo relacionadas
relao de confiana de certificados exige um planejamento
cuidadoso a fim de determinar as necessidades de certificado de
usurios e computadores em sua organizao, alm de terminar como
esses certificados devero ser controlados. Voc pode conseguir
fornecer as usurios maior tolerncia se combinar a utilizao
dessas configuraes com um treinamento claro e eficiente de
forma que os usurios entendam a importncia dos certificados, os
riscos de um mau gerenciamento de certificados e como eles devem
gerenciar seus certificados com responsabilidade.
145
Guia do Revisor do Windows Server Longhorn Beta 3
Gerenciar Editores Confiveis
As opes de diretiva encontradas na guia Trusted Publishers da
caixa de dilogo Configuraes de Validao de Caminho permitem
que os administradores controlem quais certificados podem ser
aceitos quando vierem de um editor confivel.
A assinatura de software tem sido utilizada por um nmero
crescente de editores de software e desenvolvedores de
aplicativos a fim de verificar se seus aplicativos so
provenientes de uma fonte confivel. No entanto, muitos usurios
no compreendem os certificados de assinatura associados aos
aplicativos que instalam ou sequer do ateno a esse fato.
Especificar opes de diretiva de publicao confiveis por toda
a organizao permite que as organizaes decidam de os
certificados Authenticode
Communication Foundation e o Microsoft
Windows SharePoint
Services. O IIS verso 7.0 uma importante melhoria para o
servidor Web IIS existente e exerce funo central na integrao
de tecnologias de plataforma Web.
O IIS 7.0 construdo para ser compatvel com os lanamentos
existentes. Espera-se que todas as aplicaes ASP, ASP.NET 1.1 e
ASP.NET 2.0 existentes sejam executadas com o IIS 7.0 sem nenhuma
mudana de cdigo (usando o suporte de ISAPI compatvel).
Todas as extenses ISAPI existentes e a maioria dos filtros ISAPI
tambm continuaro funcionando, sem mudanas. Entretanto, os
filtros ISAPI que dependem da notificao LER DADOS NO
PROCESSADOS no so suportados no IIS 7.0.
Para todas as Interfaces de Servio do Active Directory
e scripts
WMI existentes, o IIS 7.0 fornecer paridade de recursos com os
lanamentos anteriores, possibilitando que estes sejam executados
diretamente do novo armazenamento de configurao.
Os principais pilares do lanamento do IIS 7.0 so:
Modelo de extensibilidade flexvel para poderosa
personalizao
Poderosas ferramentas de diagnstico e resoluo de
problemas
Administrao delegada
Segurana aprimorada e superfcie de ataque reduzida por
meio de personalizao
Implantao real de xcopy de aplicaes
Gerenciamento integrado de aplicaes e integridade para
servios WCF
Ferramentas de administrao aprimoradas
Modelo de Extensibilidade Flexvel para Personalizao Poderosa
O IIS 7.0 permite aos desenvolvedores estender o IIS para
fornecer funcionalidade personalizada de novas e mais poderosas
maneiras. A extensibilidade do IIS 7.0 inclui um conjunto
totalmente novo de interfaces de programao de aplicao (API)
de servidor principal, que permite que os mdulos de recursos
sejam desenvolvidos tanto em cdigo nativo (C/C++) como em cdigo
gerenciado (linguagens como C#, e o Visual Basic
do Windows
Media Player 9 Series.
Quando verses anteriores do Windows Media Player, outros players
que no suportam o protocolo RTSP ou players em ambientes que no
sejam de RTSP se conectam ao servidor usando uma URL com prefixo
mms://, o servidor tentar usar a sobreposio de protocolos para
transferir o contedo para o cliente usando HTTP.
Para garantir que seu contedo esteja sempre disponvel para
clientes que se conectam ao seu servidor usando uma URL com
prefixo mms://, ative o plug-in do Protocolo de Controle de
Servidor HTTP do WMS no Administrador do Windows Media Services e
abra portas em seu firewall para todos os protocolos de conexo
que possam ser usados durante a sobreposio de protocolos. Para
mais informaes, consulte: Informaes sobre Firewall para o
Windows Media Services 9 Series (http://go.microsoft.com/fwlink/?LinkId=82890).
Configurao de Sistema HTTP do Windows Media Services
Se voc usa o Windows Media Services e outro servio da Web, como
o Microsoft IIS nesse servidor, ambos os servios tentaro se
conectar porta 80 para o fluxo contnuo de HTTP. Esse conflito
pode ser evitado ao atribuir uma porta diferente para cada
servio. Caso um servio seja atribudo para outra porta que no
a 80, a porta correspondente tambm deve ser aberta no firewall
da rede. Para mais informaes, consulte: Informaes sobre
Firewall para o Windows Media Services 9 Series
(http://go.microsoft.com/fwlink/?LinkId=82890).
Como alternativa, pode-se atribuir endereos IP adicionais para o
servidor. Isso possibilita que cada servio tenha seu prprio
endereo IP e, ao mesmo tempo, compartilhe a porta 80 para o
fluxo contnuo de HTTP. A maneira mais simples para essa execuo
instalar mltiplos adaptadores de rede no servidor. Entretanto,
caso essa soluo no seja possvel, pode-se criar mltiplos
211
Guia do Revisor do Windows Server Longhorn Beta 3
endereos IP em um nico adaptador de rede e atribuir-lhes
endereos distintos da porta 80. Em seguida, deve-se configurar o
Windows Media Services e o servio da Web para se conectarem a
diferentes combinaes de endereo IP/porta 80. A ferramenta de
Configurao de Sistema HTTP do Windows Media Services, usada em
verses anteriores do Windows Media Services para atribuir
endereos IP adicionais para os servios, no est disponvel
nesta verso. Agora, a lista de incluso de IP na pilha de
protocolos HTTP (HTTP.sys) deve ser configurada usando os
aprimorados comandos netsh. Para mais informaes, consulte os
comandos Netsh em: Novos Recursos de Rede no Windows Server
Longhorn e no Windows Vista (http://go.microsoft.com/fwlink/?LinkId=82891).
Configurao do Firewall
No mais necessrio adicionar o programa Windows Media Services
(Wmserver.exe) como uma exceo no Firewall do Windows para abrir
as portas de entrada padro para fluxo contnuo unicast. Quando a
funo Servios de Mdia de Fluxo Contnuo instalada no Windows
Server Longhorn, o programa Windows Media Services
automaticamente adicionado como uma exceo no Firewall do
Windows.
Utilitrio de Teste de Fluxo Contnuo
O Server Manager deve ser usado para instalar o recurso
Experincia Desktop antes que o Utilitrio de Teste de Fluxo
Contnuo possa ser usado no Administrador do Windows Media
Services.
Incio Rpido Avanado
O Incio Rpido Avanado minimiza a latncia de inicializao no
Windows Media Player 10 (ou verses mais recentes) ou no Windows
CE verso 5.0 (ou verses mais recentes) e ativado por padro.
Nas verses anteriores do Windows Media Services, o Incio Rpido
Avanado era desativado por padro.
Qualidade de Servio
O Windows Media Services foi atualizado para usar as diretivas de
Qualidade de Servio (QoS) no Windows Server Longhorn para
gerenciar o trfego de sada de rede, em vez de usar o Tipo de
Servio (ToS) para fornecer fluxo contnuo unicast. Para mais
informaes, consulte: Qualidade de Servio
(http://go.microsoft.com/fwlink/?LinkId=82892).
Implantao
As aplicaes projetadas para trabalhar com o Windows Media
Services nos sistemas operacionais Windows anteriores no
requerem mudanas para trabalhar com o Windows Media Services no
Windows Server Longhorn.
Em comparao com a verso anterior, o Windows Media Services no
requer nenhuma melhoria especial na rede ou na infra-estrutura de
212
Guia do Revisor do Windows Server Longhorn Beta 3
segurana de sua empresa. Caso o Windows Media Services esteja
sendo instalado no Windows Server Longhorn pela primeira vez,
os Requisitos de Sistema do Windows Media Services
(http://go.microsoft.com/fwlink/?LinkId=82893) devem ser analisados previamente.
Nota
Em primeiro lugar, preciso fazer o download e instalar o
Windows Media Services a partir do site da Microsoft
(http://www.microsoft.com) para o Windows Server Longhorn.
O Windows Media Services pode ser implantado em diversos
cenrios. Depois da instalao do Windows Media Services,
recomendamos a leitura do Guia de Implantao do Windows Media
Services (http://go.microsoft.com/fwlink/?LinkId=82894) para obter os requisitos
e as recomendaes para o cenrio de fluxo contnuo.
Alguns recursos do Windows Media Services no esto disponveis
em determinadas edies do Windows Server Longhorn. Se a
implantao do servidor Windows Media requerer um recurso
especfico (por exemplo, o fornecimento de contedo para clientes
como o fluxo contnuo multicast), consulte a Comparao de
Recursos do Windows Media Services
(http://go.microsoft.com/fwlink/?LinkId=82887) para determinar qual edio do
Windows Server Longhorn deve ser instalada.
6.04 Servidor de Aplicao
O Servidor de Aplicao uma nova funo de servidor do Windows
Server Longhorn. O Servidor de Aplicao fornece um ambiente
integrado para implantao e execuo de aplicaes de negcios
personalizadas construdas com o Microsoft .NET Framework verso
3.0 (anteriormente WinFX
ao thread em
que um objeto programado. Portanto, as aplicaes que
usam o modelo de transao COM+ podem simplesmente
especificar uma propriedade de objeto adicional que indica
a inteno de acesso do arquivo transacional. As aplicaes
de legado que usam o modelo COM+ que no especificarem essa
propriedade adicional acessaro os arquivos sem usar o NTFS
Transacional.
Cada volume NTFS um gerenciador de recursos. Uma
transao que transpe mltiplos volumes coordenada pelo
Kernel Transaction Manager (KTM). Compatvel com a
arquitetura do Windows NT, esse recurso fornece suporte
para recuperao independente de volume do Windows NT. Por
exemplo, um sistema pode ser reinicializado com alguns dos
volumes perdidos, sem afetar a recuperao de outros
volumes.
218
Guia do Revisor do Windows Server Longhorn Beta 3
Um identificador de arquivos pode ser fechado antes da
confirmao ou interrupo da transao. Em geral, a
confirmao ou interrupo executada por um thread
totalmente diferente daquele que executou o trabalho de
arquivo. Espera-se que os identificadores transacionais
sejam usados apenas enquanto a transao estiver ativa. O
sistema marca os identificadores como inativos depois que a
transao finalizada. A tentativa de modificar o arquivo
fracassada e o sistema apresenta uma mensagem de erro.
Um arquivo pode ser visualizado como uma unidade de
armazenamento. Atualizaes parciais e sobregravaes de
arquivo completas so suportadas. No se espera que
transaes mltiplas modifiquem partes do arquivo ao mesmo
tempo isso no suportado.
A E/S mapeada na memria trabalha de forma transparente e
compatvel com a E/S regular de arquivos. O nico trabalho
adicional necessrio que a aplicao esvazie e feche uma
seo aberta antes de confirmar uma transao. Falhas nesse
procedimento resultaro em mudanas parciais na transao.
O acesso a um arquivo remoto por meio do servio SMB e do
WebDAV (Web-Based Distributed Authoring and Versioning)
suportado de forma transparente. O contexto da transao
transmitido automaticamente pelo sistema ao n remoto. A
prpria transao distribuda e coordenada para
confirmao ou interrupo. Isso permite que as aplicaes
sejam distribudas para mltiplos ns com um alto grau de
flexibilidade. Esse um recurso poderoso, j que permite
transferncias transacionais de arquivos na rede, imitando
uma forma de mensageria transacional.
Cada volume possui seu prprio log. O formato comum de log
usado para fornecer recuperao e interrupes. O formato
comum de log tambm constri um meio comum de registro de
transaes do Windows para ser usado por outros
armazenamentos.
219
Guia do Revisor do Windows Server Longhorn Beta 3
Seo 7: Gerenciamento de
Servidores
7.01 Introduo ao Gerenciamento de Servidores .......................220
7.02 Tarefas de Configurao Inicial .................................222
7.03 Server Manager ............................................224
7.04 Windows PowerShell ........................................240
7.05 Ncleo do Servidor ..........................................242
7.07 Backup do Windows Server....................................248
7.08 Monitor de Confiabilidade e Desempenho do Windows ................251
7.09 Servios de Implantao do Windows ............................254
220
Guia do Revisor do Windows Server Longhorn Beta 3
7.01 Introduo ao Gerenciamento de Servidores
Este cenrio se concentra em ferramentas, tecnologias e opes de
instalao disponveis para uso no Windows Server
Longhorn,
para melhorar a experincia de gerenciamento de servidores nicos
e mltiplos dentro de uma empresa.
Para a administrao local de um servidor nico, o Server Manager
um Console de Gerenciamento integrado da Microsoft
que oferece
aos profissionais de TI uma experincia integrada e contnua para
adicionar, remover e configurar funes de servidor, servios e
recursos das funes. Ele tambm atua como um portal para
gerenciamento, monitoramento e operaes de servidor constantes,
expondo tarefas de gerenciamento importantes com base na funo
do servidor, e fornecendo acesso a ferramentas avanadas de
administrao.
Em empresas maiores, o gerenciamento de servidores mltiplos pode
ser automatizado com o Windows PowerShell, que consiste de um
novo shell de linha de comando e linguagem de script projetado
especificamente para automatizar as tarefas de administrao para
funes de servidor, tais como IIS e Active Directory
.
Os profissionais de TI tambm podem usar a ferramenta Windows
Remote Shell (WinRS) para gerenciar os servidores remotamente ou
para obter dados de gerenciamento atravs dos objetos Windows
Remote Management (WinRM) e Windows Management Instrumentation
(WMI) nos servidores remotos. WinRM um novo protocolo de acesso
remoto baseado nos Servios da Web de padro DMTF para
Gerenciamento.
O Ncleo do Servidor fornece uma opo de instalao mnima para
certas funes de servidor, oferecendo uma memria de servidor e
uma superfcie de ataque menor, para reduzir as necessidades de
gerenciamento e servios.
Proposta de Valores do Cenrio
As principais propostas de valores que o gerenciamento de
servidores oferece so:
Realizar configurao inicial de um servidor local atravs
de uma nica interface
Adicionar e remover funes e recursos de servidor de modo
mais seguro e confivel
Examinar o estado de funo de servidor, realizar tarefas
de gerenciamento importantes e acessar ferramentas
avanadas de gerenciamento a partir de uma nica ferramenta
de gerenciamento local
Automatizar a administrao de servidores mltiplos atravs
de uma linguagem de script orientada a tarefas
221
Guia do Revisor do Windows Server Longhorn Beta 3
Acelerar a autoria, os testes e a depurao de scripts e
escrever as ferramentas do cliente em um novo ambiente de
shell de comando
Realizar o gerenciamento de servidores locais e remotos
atravs do acesso a mltiplos armazenamentos de
gerenciamento de dados, tais como WMI, ADSI, COM,
Certificados, Registro e arquivos de configurao XML
Reduzir as necessidades de gerenciamento e servios,
melhorando, ao mesmo tempo, a confiabilidade e a segurana
Requisitos Especiais de Hardware
Nenhum
222
Guia do Revisor do Windows Server Longhorn Beta 3
7.02 Tarefas de Configurao Inicial
A janela de Tarefas de Configurao Inicial um novo recurso do
Windows Server Longhorn que abre automaticamente depois que o
processo de instalao do sistema operacional completado, e
ajuda o administrador a terminar a instalao e a configurao
inicial de um novo servidor. Ele inclui tarefas como configurar a
senha do Administrador, alterar o nome da conta do Administrador
para melhorar a segurana de seu servidor, vincular o servidor a
um domnio existente, ativar a rea de trabalho Remota para o
servidor, e ativar o Windows Update e o Firewall do Windows.
Antes do Windows
Server Longhorn, a
instalao do sistema
operacional de classe
de servidor do
Windows pausava para
que os
administradores
fornecessem
informaes sobre sua
conta, domnio e
rede. O feedback
indica que essa
prtica tornava lento
o processo de
implantao do
sistema operacional e
servidor, pois a
concluso da instalao do sistema operacional seria adiada at
que os administradores respondessem aos avisos e fornecessem as
informaes.
As Tarefas de Configurao Inicial permitem aos administradores
adiar essas tarefas at que a instalao esteja completa, o que
significa menos interrupes durante a instalao.
Alm disso, como a ativao do produto pode ser feita dentro de
um perodo de tolerncia (normalmente 30 dias), e no essencial
para a configurao inicial do servidor, o comando Ativar Seu
Servidor, presente na janela Gerenciar Seu Servidor no Windows
Server 2003, foi removido das Tarefas de Configurao Inicial.
Os comandos Adicionar Funes e Adicionar Recursos na janela
Tarefas de Configurao Inicial permite que voc comece a
adicionar funes e recursos ao seu servidor imediatamente.
A janela Tarefas de Configurao Inicial ajuda o administrador a
configurar um servidor e reduzir o tempo entre a instalao do
sistema operacional e a implantao do servidor em uma empresa.
223
Guia do Revisor do Windows Server Longhorn Beta 3
Ela permite que o administrador especifique, de maneira lgica,
as configuraes do sistema operacional que foram previamente
expostas na Instalao do Windows Server 2003, tais como a conta
do Administrador, informaes sobre o domnio, e configuraes de
rede.
A janela Tarefas de Configurao Inicial tambm permite que voc
participe dos seguintes programas que fornecem um feedback
annimo Microsoft sobre o desempenho do software em sua
empresa:
Programa de Aperfeioamento da Experincia do Cliente com o
Windows Server
Relatrio de Erros do Windows
Configuraes Padro nas Tarefas de Configurao Inicial
Configurao Configurao Padro
Senha do
Administrador
O padro que a senha da conta do Administrador fique
em branco.
Nome do computador O nome do computador atribudo de modo randmico
durante a instalao. Voc pode modificar o nome do
computador usando comandos na janela Tarefas de
Configurao Inicial.
Membros do domnio O computador no vinculado a um domnio por padro;
vinculado a um grupo de trabalho chamado WORKGROUP.
Windows Update O Windows Update desligado por padro.
Conexes de rede Todas as conexes de rede so programadas para obter
endereos de IP automaticamente usando o DHCP.
Firewall do Windows O Firewall do Windows ligado por padro.
Funes instaladas Nenhuma funo instalada por padro.
224
Guia do Revisor do Windows Server Longhorn Beta 3
7.03 Server Manager
O Windows Server Longhorn facilita a tarefa de gerenciar e
proteger mltiplas funes de servidor em uma empresa com o novo
console Server Manager (Gerenciador de Servidor). O Server Manager
no Windows Server Longhorn fornece uma nica fonte para gerenciar
a identidade e as informaes do sistema de um servidor, exibir o
estado do servidor, identificar problemas na configurao de
funes do servidor, e gerenciar todas as funes instaladas no
servidor.
O Server Manager
substitui vrios
recursos includos no
Windows Server 2003,
inclusive o Gerenciar
Seu Servidor,
Configurar Seu
Servidor, e Adicionar
ou Remover Componentes
do Windows.
O Server Manager tambm
elimina a necessidade
de o administrador
executar o Assistente
de Configurao de
Segurana antes de
implantar os
servidores; as funes do servidor so configuradas com
configuraes de segurana recomendadas por padro, e esto prontas
para implantar assim que instaladas e configuradas adequadamente.
O Server Manager um MMC expandido que permite visualizar a
gerenciar virtualmente todas as informaes e ferramentas que
afetam a produtividade de seu servidor. Os comandos do Server
Manager permitem que voc instale ou remova funes e recursos do
servidor, e aumente funes j instaladas no servidor adicionando
servios de funo.
O Server Manager torna a administrao do servidor mais eficiente,
por permitir que os administradores faam o seguinte com uma nica
ferramenta:
Visualizar e fazer alteraes nas funes e recursos
instalados no servidor
Realizar tarefas de gerenciamento associadas ao ciclo de vida
operacional do servidor, tais como iniciar ou parar servios
e gerenciar contas de usurio local
Realizar tarefas de gerenciamento associadas ao ciclo de vida
operacional das funes instaladas no servidor
225
Guia do Revisor do Windows Server Longhorn Beta 3
Determinar o estado do servidor, identificar eventos crticos
e analisar e resolver problemas ou falhas de configurao
Instalar ou remover funes, servios de funo e recursos
usando uma linha de comando do Windows
O Server Manager foi projetado para fornecer os melhores
benefcios a qualquer um dos seguintes profissionais de TI:
Um administrador, planejador ou analista de TI que est
avaliando o Windows Server Longhorn
Um planejador ou designer de TI corporativo
Um early adopter do Windows Server Longhorn
Um arquiteto de TI responsvel pelo gerenciamento e
segurana dos computadores de uma organizao
Antes de usar o Server Manager, recomendvel que voc se
familiarize com as funes, terminologia, requisitos e tarefas
dirias de gerenciamento de qualquer funo que planeja instalar
em seu servidor. Para informaes mais detalhadas sobre funes
de servidor, veja o TechCenter do Windows Server
(http://go.microsoft.com/fwlink/?LinkId=48541).
O Server Manager instalado por padro como parte do processo de
instalao do Windows Server Longhorn. Para usar o Server
Manager, voc deve fazer logon no computador como membro do grupo
de Administradores no computador local.
Funes
Embora a adio e remoo de funes e recursos de servidor no
representem algo novo, o Server Manager unifica a funcionalidade
de mltiplas ferramentas anteriores em uma nica interface de
usurio, simples e baseada em MMC.
Funes e recursos instalados com o Server Manager so ativados
por padro, para maior segurana. Os administradores no precisam
executar o Assistente de Configurao de Segurana aps a
instalao ou remoo de funes, a menos que queiram alterar
configuraes padro.
O Server Manager fornece um nico ponto de acesso a snap-ins de
gerenciamento para todas as funes instaladas. Adicionar uma
funo automaticamente cria
uma pgina inicial de
console de gerenciamento no
Server Manager para essa
funo, que exibe eventos e
estado de todos os servios
que fazem parte da funo.
Servios ou sub-componentes
de uma funo so listados em uma seo desta pgina. Os
administradores podem abrir assistentes para adicionar ou remover
servios de funo usando comandos desta pgina inicial.
226
Guia do Revisor do Windows Server Longhorn Beta 3
Uma funo de servidor descreve a funo primria do servidor. Os
administradores podem optar por dedicar um computador inteiro a
uma funo de servidor, ou instalar mltiplas funes de servidor
em um nico computador. Cada funo pode incluir um ou mais
servios de funo, melhor descritos como sub-elementos de uma
funo. As seguintes funes de servidor esto disponveis no
Windows Server Longhorn, e podem ser instaladas e gerenciadas
com o Server Manager.
Funes de Servidor no Server Manager
Nome da Funo Descrio
Servios de
Certificado do
Active
Directory
Os Servios de Certificado do Active Directory fornecem
servios personalizveis para criar e gerenciar certificados de
chave pblica usados em sistemas de segurana de software,
empregando tecnologias de chave pblica. As organizaes podem
usar os Servios de Certificado do Active Directory para
melhorar a segurana vinculando a identidade de uma pessoa,
dispositivo ou servio a uma chave privada correspondente. Os
Servios de Certificado do Active Directory tambm incluem
recursos que permitem gerenciar o registro e a revogao do
certificado em uma variedade de ambientes escalonveis.
As aplicaes suportadas pelos Servios de Certificado do
Active Directory incluem Secure/Multipurpose Internet Mail
Extensions (S/MIME), redes sem fio seguras, VPN, IPsec, Sistema
de Arquivos Encriptados (EFS), logon de cartes inteligentes,
SSL/TLS e assinaturas digitais.
Servios de
Domnio do
Active
Directory
Os Servios de Domnio do Active Directory armazenam
informaes sobre usurios, computadores e outros dispositivos
na rede. Os Servios de Domnio do Active Directory ajudam os
administradores a gerenciar com mais segurana essas
informaes e facilitam o compartilhamento de recursos e a
colaborao entre usurios. Os Servios de Domnio do Active
Directory tambm precisam ser instalados na rede para instalar
aplicaes ativadas para diretrio, tais como o Microsoft
Exchange Server e para aplicar outras tecnologias do Windows
Server como a Diretiva de Grupo.
Servios de
Federao do
Active
Directory
Os Servios de Federao do Active Directory fornecem
tecnologias de logon nico da Web para autenticar um usurio
para mltiplas aplicaes da Web usando uma nica conta de
usurio. Os Servios de Federao do Active Directory realizam
isso federando ou compartilhando, de modo seguro, identidades
de usurio e direitos de acesso, nos pedidos digitais ou
formulrios, entre organizaes parceiras.
Servios de
Domnio do
Active
Directory
Lightweight
As organizaes que tm aplicaes que requerem um diretrio
para armazenar dados de aplicaes podem usar os Servios de
Domnio do Active Directory Lightweight como armazenamento de
dados. Os Servios de Domnio do Active Directory Lightweight
funcionam como um servio de sistema no operacional e, como
tal, no requer implantao em um controlador de domnio. O
funcionamento como servio de sistema no operacional permite
que mltiplas instncias dos Servios de Domnio do Active
Directory Lightweight sejam executadas simultaneamente em um
nico servidor, e que cada instncia possa ser configurada
independentemente para prestar servios a mltiplas aplicaes.
Servios de
Gerenciamento
de Direitos do
Active
Directory
Os Servios de Gerenciamento de Direitos do Active Directory
so uma tecnologia de proteo de informaes que trabalha com
aplicaes ativadas para esses servios, para ajudar a proteger
informaes digitais contra o uso no autorizado. Os
proprietrios do contedo podem definir exatamente como um
recipiente pode usar as informaes, como quem pode abrir,
modificar, imprimir, encaminhar ou usar outros procedimentos
com as informaes. As organizaes podem criar modelos de
direitos de uso personalizados como Confidencial Somente
Leitura, que podem ser aplicados diretamente a informaes
como relatrios financeiros, especificaes do produto, dados
227
Guia do Revisor do Windows Server Longhorn Beta 3
de clientes e mensagens de e-mail.
Application
Server
O Application Server (Servidor de Aplicaes) fornece uma
soluo completa para hospedar e gerenciar aplicaes de
negcios de alto desempenho distribudas. Servios integrados,
tais como .NET Framework, Suporte a Servidor da Web,
Enfileiramento de Mensagens, COM+, Windows Communication
Foundation e suporte a Clustering Failover impulsionam a
produtividade durante todo o ciclo de vida da aplicao, desde
o projeto e o desenvolvimento at a implantao e as operaes.
Servidor de
Protocolo de
Configurao
Dinmica de
Host (DHCP)
O DHCP permite que os servidores atribuam ou aluguem endereos
de IP a computadores e outros dispositivos ativados como
clientes de DHCP. A implantao de servidores de DHCP na rede
fornece automaticamente, aos computadores e outros dispositivos
de rede baseados em TCP/IP, endereos de IP vlidos e os
parmetros de configurao adicionais de que esses dispositivos
precisam, chamados opes de DHCP, que lhes permitem conectar-
se a outros recursos de rede, tais como servidores DNS,
servidores WINS e roteadores.
Servidor DNS O DNS fornece um mtodo padro para associar nomes a endereos
de Internet numricos. Isso possibilita aos usurios o acesso a
computadores da rede atravs de nomes fceis de lembrar, em vez
de uma longa srie de nmeros. Os Servios de DNS podem ser
integrados a servios de DHCP no Windows, eliminando a
necessidade de adicionar registros de DNS quando os
computadores so adicionados rede.
Servidor de
Fax
O Servidor de Fax envia e recebe fax, e permite gerenciar
recursos de fax como tarefas, configuraes, relatrios e
dispositivos de fax nesse computador ou na rede.
Servios de
Arquivo
Os Servios de Arquivo fornecem tecnologias para gerenciamento
de armazenamentos, replicao de arquivos, gerenciamento de
espaos de nomes distribudos, busca rpida de arquivos e
acesso dinamizado de cliente aos arquivos.
Servios de
Acesso e
Diretiva de
Rede
Os Servios de Acesso e Diretiva de Rede oferecem uma variedade
de mtodos para fornecer aos usurios conectividade rede
remota e local, para conectar-se a segmentos da rede, e para
permitir que os administradores da rede gerenciem centralmente
o acesso rede e as diretivas de integridade do cliente. Com
os Servios de Acesso Rede, voc pode implantar servidores de
VPN, servidores de conexo discada, roteadores e acesso sem fio
protegido 802.11. Voc tambm pode implantar servidores e
proxies RADIUS, e usar o Kit de Administrao de Gerenciador de
Conexo para criar perfis de acesso remoto que permitem aos
computadores cliente conectar-se sua rede.
Servios de
Impresso
Os Servios de Impresso ativam o gerenciamento de servidores
de impresso e impressoras. Um servidor de impresso reduz a
carga de trabalho administrativa e de gerenciamento atravs da
centralizao de tarefas de gerenciamento de impressoras.
Servios de
Terminal
Os Servios de Terminal fornecem tecnologias que permitem aos
usurios acessar programas baseados em Windows que esto
instalados em um servidor de terminal, ou acessar a prpria
rea de trabalho do Windows a partir de quase todos os
dispositivos de computao. Os usurios podem conectar-se a um
servidor de terminal para executar programas e para usar
recursos de rede nesse servidor.
Servio
Universal de
Descrio,
Descoberta e
Integrao
(UDDI)
O Servio UDDI fornece capacidades de UDDI para compartilhar
informaes sobre servios da Web dentro do intranet de uma
organizao, entre parceiros de negcios em um extranet ou na
Internet. O Servio UDDI pode ajudar a melhorar a produtividade
de desenvolvedores e profissionais de TI com aplicaes mais
confiveis e gerenciveis. Com o Servio UDDI voc pode evitar
a duplicao de esforos promovendo a reutilizao do trabalho
de desenvolvimento existente.
Servidor Web
(IIS)
O Servidor Web (IIS) ativa o compartilhamento de informaes na
Internet, em um intranet ou um extranet. uma plataforma da
Web unificada que integra IIS 7.0, ASP.NET, Windows
Communication Foundation e Windows SharePoint
Services. O IIS
7.0 tambm oferece maior segurana, diagnsticos simplificados
228
Guia do Revisor do Windows Server Longhorn Beta 3
e administrao delegada.
Servios de
Implantao do
Windows
Voc pode usar os Servios de Implantao do Windows para
instalar e configurar os sistemas operacionais do Microsoft
Windows remotamente em computadores com ROMs de inicializao
do Ambiente de Pre-boot Execution (PXE). O overhead de
administrao reduzido atravs da implementao do snap-in
WdsMgmt MMC, que gerencia todos os aspectos dos Servios de
Implantao do Windows. Os Servios de Implantao do Windows
tambm fornecem aos usurios finais uma experincia consistente
com a Instalao do Windows.
Windows
SharePoint
Services
A funo Windows SharePoint Services ajuda as organizaes a
aumentar a produtividade criando sites em que os usurios podem
colaborar com documentos, tarefas e eventos, e compartilhar
facilmente contatos e outras informaes. O ambiente foi
projetado para implantao, desenvolvimento de aplicaes e
administrao flexveis.
O seguinte grfico mostra a pgina inicial da funo Servios de
Arquivo no Server Manager.
Recursos
Recursos, de modo geral, no descrevem a funo primria de um
servidor. Eles fornecem funes auxiliares ou de suporte aos
servidores. Normalmente, os administradores adicionam recursos
no como a funo primria de um servidor, mas para aumentar a
funcionalidade das funes instaladas.
Por exemplo, o Clustering Failover um recurso que os
administradores podem instalar aps a instalao de certas
funes de servidor, como os Servios de Arquivo, para adicionar
229
Guia do Revisor do Windows Server Longhorn Beta 3
redundncia aos Servios de Arquivo e diminuir o tempo de
recuperao de possveis desastres.
Os seguintes recursos esto disponveis no Windows Server
Longhorn, e podem ser instalados usando comandos do Server
Manager.
Recursos no Server Manager
Nome do
Recurso
Descrio
Recursos do
Microsoft .NET
Framework 3.0
O Microsoft .NET Framework 3.0 combina a potncia das APIs do
.NET Framework 2.0 com novas tecnologias para construir
aplicaes que oferecem interfaces de usurio atraentes, ajudam
a proteger as informaes de identidade pessoal de seus
clientes, ativam a comunicao contnua e mais segura, e
fornecem a habilidade de modelar uma srie de processos de
negcios.
Criptografia
da Unidade
BitLocker
A Criptografia da Unidade BitLocker ajuda a proteger dados em
computadores perdidos, roubados ou encerrados inadequadamente,
criptografando todo o volume e verificando a integridade de
componentes de inicializao antecipada. Os dados so
decriptografados apenas se esses componentes forem verificados
com sucesso e a unidade criptografada estiver localizada no
computador original. A verificao de integridade requer um
mdulo de TPM (trusted platform module) compatvel.
Extenses do
Servidor BITS
As Extenses do Servidor de Servio de Transferncia
Inteligente de Segundo Plano (BITS) permitem que um servidor
receba arquivos carregados por clientes usando o BITS. O BITS
permite aos computadores cliente transferir arquivos em
primeiro ou segundo plano de modo assncrono, preservar a
capacidade de reao de outras aplicaes da rede, e retomar
transferncias de arquivo aps falhas da rede e
reinicializaes do computador.
Kit de
Administrao
do Gerenciador
de Conexo
(CMAK)
O CMAK gera perfis do Gerenciador de Conexo.
Experincia
Desktop
A Experincia Desktop inclui recursos do Windows Vista, como o
Windows Media
Longhorn.
Como parte do Windows Server Longhorn, o Clustering Failover
fornece um recurso fcil de ser usado em servios e aplicaes de
misso crtica.
Proposta de Valor do Cenrio
O Clustering Failover no Windows Server Longhorn fornece novos
recursos que podem ser usados por uma organizao para
implementar uma estratgia de alta disponibilidade ao tornar os
servidores de cluster uma opo inteligente de negcios para a
corporao. As principais propostas de valor que a alta
disponibilidade oferece so:
Com a nova interface de gerenciamento, a complexidade
reduzida, proporcionando ao usurio uma interface mais
simples para criao, gerenciamento e utilizao dos
servidores clusterizados.
Ao minimizar os problemas iniciais de configurao atravs
das novas ferramentas, os custos de suporte e o tempo para
implementao tambm foram reduzidos.
A nova funcionalidade possibilita a implementao em
ambientes geograficamente dispersos, permitindo que a
tecnologia se adapte ao ambiente do cliente.
Requisitos Especiais de Hardware
O hardware deve estar na Lista de Compatibilidade de Hardware.
268
Guia do Revisor do Windows Server Longhorn Beta 3
8.02 Clustering Failover
No Microsoft
Management Instrumentation (WMI) para executar mais tarefas
do que nas verses anteriores.
Solucione problemas em um cluster. Em vez de trabalhar com
o log do cluster, voc pode usar o Rastreamento de Eventos
do Windows para agregar, gerenciar e relatar informaes
sobre a seqncia de eventos que ocorreram no cluster.
270
Guia do Revisor do Windows Server Longhorn Beta 3
Use o Servio de Cpia de Volume de Sombra para capturar
backups. A integrao completa com o Servio de Cpia de
Volume de Sombra facilita o backup e a restaurao da
configurao de seu cluster.
Controle a forma como voc visualiza as pastas
compartilhadas que foram clusterizadas. Voc pode controlar
ou definir o escopo de sua vizualizao das pastas
compartilhadas para que fique mais fcil saber quais pastas
foram clusterizadas e em qual cluster uma pasta
compartilhada est disponvel.
Melhorias na Estabilidade e na Segurana para Maior
Disponibilidade
Com os Clusters Failover no Windows Server Longhorn, as
melhorias na infra-estrutura de clusters o ajudam maximizar a
disponibilidade dos servios que voc disponibiliza para os
usurios. Podem fazer o seguinte:
Configure seu cluster para que o recurso de quorum no seja
um ponto de falha nico. Com as melhorias nos Clusters
Failover, voc pode usar dois modelos de clusters que j
existiam antes o modelo de recursos de quorum e o modelo
de conjunto de ns principais ou ainda, um hbrido dos
dois modelos. Por exemplo, em um cluster de dois ns, voc
pode especificar que caso o quorum se torne indisponvel, o
cluster continuar em execuo enquanto as cpias do banco
de dados de configurao do cluster nos dois ns
permanecerem disponveis.
Alcance maior confiabilidade e disponibilidade graas s
melhorias na infra-estrutura do cluster. A infra-estrutura
do cluster foi aprimorada para ajud-lo a alcanar maior
confiabilidade e disponibilidade com os Clusters Failover.
Por exemplo, a infra-estrutura de software que lida com os
recursos clusterizados vai isolar as bibliotecas de
vnculos dinmicos (DLLs) que executam aes
incorretamente, minimizando o impacto sobre o cluster.
Outro exemplo: o cluster ir usar mtodos aprimorados para
garantir a consistncia entre as cpias do banco de dados
de configurao do cluster.
Melhorias na Forma como um Cluster Trabalha com o
Armazenamento
Os Clusters Failover no Windows Server Longhorn permitem que
voc alcance melhor desempenho com seu armazenamento do que nos
clusters de servidor das verses anteriores. Podem fazer o
seguinte:
Disponibilize discos adicionais para o cluster enquanto as
aplicaes estiverem online. Voc pode modificar as
dependncias dos recursos enquanto eles estiverem online, o
271
Guia do Revisor do Windows Server Longhorn Beta 3
que significa que voc pode disponibilizar um disco
adicional sem interromper o acesso aplicao que ir
utiliz-lo.
Obtenha melhor desempenho e estabilidade com o seu
armazenamento. Quando um Cluster Failover se comunica com o
seu SAN ou DAS, ele utiliza os comandos que menos
atrapalham (evitando reconfiguraes no barramento SCSI).
Os discos nunca so deixados em um estado desprotegido, o
que significa que o risco de corrupo em volume
reduzido. Os Clusters Failover tambm suportam mtodos
aprimorados de descoberta e recuperao de disco.
Os Clusters Failover suportam trs tipos de conexes de
armazenamento: Serial Attached SCSI (SAS), iSCSI e Fibre
Channel.
Execute tarefas de manuteno de disco mais facilmente. O
modo de manuteno foi aprimorado para que voc possa
executar ferramentas para verificar, corrigir, fazer o
backup ou a restaurao de discos mais facilmente, com
menos interrupes para o cluster.
Melhorias na Rede e na Segurana
Com os Clusters Failover no Windows Server Longhorn, o
desempenho da rede e da segurana foi aprimorado em relao aos
lanamentos anteriores. Podem fazer o seguinte:
Use o IPv6, que totalmente integrado com os Clusters
Failover. Os Clusters Failover suportam totalmente o IPv6
tanto na comunicao de n para n, quanto na comunicao
de n para cliente.
Use o DNS sem as dependncias do NetBIOS do legado. Isto
simplifica o transporte do trfego SMB (Server Message
Block) e significa que voc no tem as transmisses de
resoluo de nome do Windows Internet Name Service (WINS) e
NetBIOS.
Alcance maior confiabilidade atravs de outras melhorias na
rede. Por exemplo, voc pode ajudar as dependncias entre
um nome da rede e os endereos de IP associados para que o
nome da rede esteja disponvel se um dos endereos de IP (e
no ambos) estiver disponvel. Alm disso, quando os ns
transmitem e recebem pulsaes para confirmar que cada n
ainda est disponvel, eles utilizam o protocolo TCP
(Transmission Control Protocol) em vez do protocolo UDP
(User Datagram Protocol), que menos confivel.
Alcance maior segurana atravs das melhorias na segurana
e da auditoria do acesso ao cluster. As melhorias na
segurana nos Clusters Failover aprimoram os processos de
autenticao e criptografia. Alm disso, voc pode usar a
auditoria para capturar informaes sobre quem acessou seu
cluster e quando ele foi acessado.
272
Guia do Revisor do Windows Server Longhorn Beta 3
Compatibilidade
Se voc possui uma aplicao que era executada em um cluster de
servidor com o Windows Server 2003, e a aplicao depende da
conta do servio de Cluster obrigatria para clusters de
servidores, talvez seja necessrio trocar a aplicao para que
ela no dependa mais da conta. Os Clusters Failover que executam
o Windows Server Longhorn no utilizam uma conta de servio de
Cluster separada.
Implantao
Analise cuidadosamente o hardware no qual voc planeja implantar
um Cluster Failover para garantir que ele seja compatvel com o
Windows Server Longhorn. Isto ser necessrio principalmente se
voc estiver usando este hardware atualmente para um cluster de
servidor executando o Windows Server 2003. O hardware que suporta
um cluster de servidor executando o Windows Server 2003 no
necessariamente suportar um Cluster Failover executando o
Windows Server Longhorn.
Observe que
Voc no pode executar a atualizao de um cluster de
servidor que esteja executando o Windows Server 2003 para
um Cluster Failover executando o Windows Server Longhorn.
No entanto, aps ter criado um Cluster Failover executando
o Windows Server Longhorn, voc poder usar um assistente
para migrar algumas configuraes de recursos para um
cluster de servidor executando o Windows Server 2003.
273
Guia do Revisor do Windows Server Longhorn Beta 3
8.03 Balanceamento de Carga de Rede
No Microsoft Windows Server Longhorn, as melhorias no
Balanceamento de Carga de Rede (NLB - Network Load Balancing)
incluem suporte para Protocolo IP Verso 6 (IPv6) e NDIS 6.0
(especificao da interface do driver de rede , melhorias no
Windows Management Instrumentation (WMI) e funcionalidade
aprimorada com o Microsoft Internet Security and Acceleration (ISA)
Server.
O NLB um recurso que distribui a carga para as aplicaes
cliente/servidor em rede por diversos servidores de cluster. Faz
parte da funcionalidade de escalabilidade horizontal do Windows e
uma das trs tecnologias do Windows Clustering.
O NLB usado por profissionais de TI que precisam distribuir
solicitaes em um conjunto de servidores. O NLB
particularmente til para garantir que aplicaes sem
monitoramento de estado, como um servidor Web executando IIS,
possam ser escalonadas horizontalmente atravs da adio de
outros servidores conforme ocorre um aumento da carga. O NLB
oferece escalabilidade ao permitir que voc substitua facilmente
um servidor defeituoso ou adicione um novo servidor.
Voc deve ser membro do grupo de Administradores no host que voc
est configurando para usar o NLB, ou deve ter a autoridade
apropriada para isso.
O NLB inclui as seguintes melhorias:
Suporte para Ipv6. O NLB suporta totalmente o IPv6 para todas
as comunicaes.
Suporte para NDIS 6.0. O driver NLB foi completamente
reescrito para usar o novo modelo de filtro leve do NDIS 6.0.
O NDIS 6.0 retm compatibilidade reversa com verses
anteriores do NDIS. As melhorias no design do NDIS 6.0
incluem maior escalabilidade, desempenho aprimorado e modelo
de driver NDIS simplificado.
Melhorias no WMI. As melhorias no WMI para o namespace
MicrosoftNLB so para o Ipv6 e para suporte a mltiplos
endereos de IP dedicados.
o As classes no namespace MicrosoftNLB suportam endereo
IPv6 (alm dos endereos IPv4).
o A classe MicrosoftNLB_NodeSetting suporta mltiplos
endereos de IP dedicados ao especific-los em
DedicatedIPAddresses e DedicatedNetMasks.
Funcionalidade aprimorada com o ISA Server. O ISA Server pode
configurar mltiplos endereos de IP dedicados para cada n
NLB em cenrios onde os clientes consistem em trfego IPv4 e
IPv6. Tanto clientes IPv4 quanto IPv6 precisam acessar
determinado ISA Server para gerenciar o trfego. O ISA tambm
274
Guia do Revisor do Windows Server Longhorn Beta 3
pode fornecer NLB com notificaes de timer e ataque SYN
(estes cenrios geralmente ocorrem quando um computador
sobrecarregado ou infectado por um vrus da Internet).
Suporte para mltiplos endereos dedicados de IP por n. O
NLB suporta totalmente a definio de mais de um endereo
dedicado de IP por n. (Anteriormente, apenas um endereo
dedicado de IP por n era suportado).
275
Guia do Revisor do Windows Server Longhorn Beta 3
Seo 9: Windows Server e
Windows Vista - Melhores juntos
9.01 Melhores Juntos Windows Server Longhorn e Windows Vista........276
276
Guia do Revisor do Windows Server Longhorn Beta 3
9.01 Melhores Juntos Windows Server Longhorn e
Windows Vista
Os sistemas operacinais Windows Server
Longhorn e Windows
Vista oferecem vrios recursos novos e aprimorados ao serem
instalados separadamente, alm de benefcios para os negcios.
Contudo, quando os dois sistemas so instalados no mesmo
ambiente, as empresas podem notar benefcios extras, como o
gerenciamento mais eficiente, a maior disponibilidade e
comunicaes mais rpidas.
Originalmente, o desenvolvimento do Windows Server Longhorn e o
Windows Vista era um nico projeto, chamado Longhorn. Os dois
possuem um nmero significativos de tecnologias em comum na
plataforma. Seus sistemas operacionais apresentam diversos
avanos na rede, armazenamento, segurana e gerenciamento. Embora
muitos destes aprimoramentos se apliquem tanto ao Windows Server
Longhorn quanto ao Windows Vista, quando as empresas implantam
os dois sistemas operacionais, percebem que a estrutura cliente-
servidor combinada apresenta ainda mais mais benefcios. As
empresas que implantarem o Windows Vista hoje, percebero
benefcios imediatos, os quais se combinaro aos benefcios
extras com a implantao do Windows Server Longhorn assim que
este estiver disponvel.
Gerenciamento Mais Eficiente
Os profissionais de TI que administram a infraestrutura do
Windows Vista e do Windows Server Longhorn notaro diversos
aprimoramentos na forma de gerenciar e controlar seu ambiente.
A manuteno ser simplificada de maneira significativa
atravs do uso de um modelo nico para autalizaes e
pacotes de servio de clientes e servidores. No futuro, os
administradores de TI podero utilizar um nica atualizao
para o cliente e para o servidor de linguagens e mltiplas
plataformas.
Os computadores do cliente podem monitorar eventos
especficos e os remeter ao Windows Server Longhorn para
obteno de um relatrio e monitoramento centralizados e
vice-versa. A subscrio de eventos permite que os
administradores de TI sejam alertados sobre a ocorrncia de
determinados eventos para dessa forma tomarem medidas
corretivas imediatas. O recurso da subscrio de eventos
tambm permite a transmisso de eventos entre as estaes
de trabalho do Windows Vista sem a presena do Windows
Server Longhorn.
Os Servios de Implantao do Windows
Longhorn Beta 3
Processador
Mnimo: 1 GHz
Recomendado: 2 GHz
Ideal: 3 GHz ou mais rpido
Memoria
Mnimo: 512 MB RAM
Recomendado: 1 GB RAM
Ideal: 2 GB RAM (Instalao Completa) ou 1 GB RAM
(Instalao no Ncleo do Servidor) ou mais
Mximo: 32 GB RAM (sistemas 32 bits) or 64 GB RAM
(sistemas 64 bits)
Espao Disponvel no Disco
Mnimo: 8 GB
Recomendado: 40 GB (Instalao Completa) ou 10 GB
(Instalao no Ncleo do Servidor) ou mais
Observe que
Os computadores com mais de 16 GB de RAM necessitaro de
mais espao no disco para paginao, hibernao e despejo
de memria.
Unidade de DVD-ROM
Super VGA
monitor com 800x600 pixels ou superior
Teclado
Teclado Microsoft ou compatvel
Mouse
Mouse Microsoft uu dispositivo apontador compatvel
* Os requisitos atuais variaro de acordo com a configurao do
seu sistema, bem como os aplicativos que voc optou por instalar.
Talvez mais espao disponvel no disco rgido seja necessrio
caso voc esteja instalando em uma rede. Obtenha mais informaes
no site http://www.microsoft.com/brasil/windowsserver/longhorn.
Observe que
Este produto requer uma chave do produto vlida para sua
ativao. possvel instalar o produto sem ativao; porm, se
285
Guia do Revisor do Windows Server Longhorn Beta 3
voc no ativar o protudo com uma chave do produto vlida 30 dias
aps a instalao, o software deixar de funcionar. Durante a
instalao, voc dever selecionar qual a edio do Windows
Server Longhorn Beta 3 deseja instalar. Tenha certeza de
escolher a mesma edio do Windows Server Longhorn Beta 3 da
chave do produto que voc possui, caso contrrio, voc no
conseguir ativ-lo.
Instalao Completa Versus Instalao no Ncleo do Servidor
Algumas edies do Windows Server Longhorn Beta 3 podem ser
configuradas como instalao complete ou utilizando a nova opo
de instalao no Ncleo do Servidor. As instalaes feitas no
Ncleo do Servidor podem ser administradas localmente, apenas com
as ferramentas da linha de comando. A administrao das
instalaes da Base do Servidor, utilizando as ferramentas de
gerenciamento grfico, devem ser efetuadas distncia, com o uso
de um software que suporte a administrao remota do Windows
Server Longhorn Beta 3. Repare que uma vez que a instalao
complete tenha sido feita, no ser possvel modificar a opo de
instalao de Base do Servidor para Completa, ou vice-versa, sem
reinstalar o software.
.
286
Guia do Revisor do Windows Server Longhorn Beta 3
10.02 Tabela Detalhada de Contedo
Sobre o documento ...............................................1
Contedo ......................................................1
Seo 1: Introduo ao Windows Server Longhorn 3
1.01 Introduo ao Windows Server Longhorn...........................4
1.02 Maior Controle ...............................................8
1.03 Mais Flexibilidade............................................11
1.04 Maior Proteo..............................................14
Seo 2: Virtualizao do Servidor 18
2.01 Introduo Virtualizao de Servidor .............................19
2.02 Virtualizao do Windows Server.................................20
2.03 Ncleo do Servidor ...........................................33
Seo 3: Acesso Centralizado a Aplicaes 34
3.01 Introduo ao Acesso Centralizado a Aplicaes .....................35
3.02 Funcionalidade Bsica de Servios de Terminal ......................36
3.03 Gateway de Servios de Terminal ................................53
3.04 RemoteApp de Servios de Terminal ..............................62
3.05 Acesso a Web de Servios de Terminal ............................65
3.06 Impresso de Servios de Terminal ...............................69
3.07 Session Broker de Servios de Terminal ...........................73
3.08 Licenciamento de Servios de Terminal ............................76
3.09 Gerenciador de Recursos de Sistema do Windows....................79
Seo 4: Escritrios Remotos 83
4.01 Introduo ao Suporte a Escritrios Remotos/Filiais ...................84
4.02 Controlador de Domnio Somente Leitura...........................85
4.03 Criptografia de Unidade de Disco BitLocker .........................91
4.04 Ncleo do Servidor ...........................................99
Seo 5: Aplicao de Diretivas e Segurana 100
5.01 Introduo Aplicao de Diretivas e Segurana ....................101
5.02 Servios de Acesso e Diretiva de Rede ...........................103
5.03 Proteo contra Acesso Rede ................................110
5.04 Protocolos TCP/IP e Componentes de Rede de ltima Gerao .........120
5.05 Firewall do Windows com Segurana Avanada.....................129
5.06 Cryptography Next Generation .................................136
5.07 Servios de Certificado do Active Directory ........................139
5.08 Servios de Domnio do Active Directory ..........................160
5.09 Servios Federados do Active Directory...........................181
5.10 Active Directory Lightweight Directory Services .....................189
5.11 Servios de Gerenciamento de Direitos do Active Directory.............192
Seo 6: Plataforma de Aplicaes e da Web 199
6.01 Introduo Plataforma de Aplicaes e da Web....................200
6.02 Internet Information Services 7.0 ................................201
6.03 Windows Media Services .....................................208
6.04 Servidor de Aplicao........................................212
6.05 NTFS Transacional..........................................217
Seo 7: Gerenciamento de Servidores 219
287
Guia do Revisor do Windows Server Longhorn Beta 3
7.01 Introduo ao Gerenciamento de Servidores .......................220
7.02 Tarefas de Configurao Inicial .................................222
7.03 Server Manager ............................................224
7.04 Windows PowerShell ........................................240
7.05 Ncleo do Servidor ..........................................242
7.07 Backup do Windows Server....................................248
7.08 Monitor de Confiabilidade e Desempenho do Windows ................251
7.09 Servios de Implantao do Windows ............................254
Seo 8: Alta Disponibilidade 266
8.01 Introduo Alta Disponibilidade................................267
8.02 Clustering Failover ..........................................268
8.03 Balanceamento de Carga de Rede ..............................273
Seo 9: Windows Server e Windows Vista - Melhores juntos 275
9.01 Melhores Juntos Windows Server Longhorn e Windows Vista........276
Seo 10: Diversos 283
10.01 Requisitos do Sistema ......................................284
10.02 Tabela Detalhada de Contedo ................................286