Issuu on Google+

Diretiva de Rede e função Serviços de Acesso Atualizado: janeiro de 2008 Aplica-se a: Windows Server 2008 O NPAS (Serviços de Acesso e Diretiva de Rede) do Windows Server® 2008 oferece tecnologias que permitem implantar VPN (rede virtual privada), sistema de rede dial-up e acesso sem fio protegido por 802.11. Com o NPAS, é possível definir e impor diretivas para autenticação e autorização de acesso à rede e para integridade do cliente usando o NPS (Servidor de Diretivas de Rede), o Serviço de Roteamento e Acesso Remoto, a HRA (Autoridade de Registro de Integridade) e o protocolo HCAP. Você pode implantar o NPS como um servidor e proxy RADIUS e como um servidor de diretivas de NAP (Proteção de Acesso à Rede). O NAP ajuda a assegurar que os computadores que se conectam à rede estão em conformidade com as diretivas de rede e de integridade de cliente estabelecidas pela sua organização. Os seguintes tópicos descrevem as alterações feitas na funcionalidade Serviços de Acesso e Diretiva de Rede que estão disponíveis nesta versão: Proteção de Acesso à Rede Servidor de Diretivas de Rede Serviços de Roteamento e Acesso Remoto Proteção de Acesso à Rede Atualizado: janeiro de 2008 Aplica-se a: Windows Server 2008 A Proteção de Acesso à Rede (NAP) é um novo conjunto de componentes de sistema operacional incluído no Windows Server® 2008 e no Windows Vista® que fornece uma plataforma para ajudar a assegurar que os computadores clientes em uma rede particular atendam a requisitos definidos pelo administrador, visando à integridade do sistema. As diretivas de NAP definem a configuração necessária e o status de atualização para o sistema operacional e componentes de software críticos de um cliente. Por exemplo, os computadores podem precisar ter instalados software antivírus com as assinaturas mais recentes e atualizações do sistema operacional, além de um firewall baseado em host habilitado. Ao impor a conformidade com requisitos


de integridade, a NAP pode ajudar os administradores de rede a atenuar alguns dos riscos causados pela configuração incorreta de computadores clientes, que podem estar expostos a vírus e outros tipos de software malintencionado. O que a Proteção de Acesso à Rede faz? A NAP impõe requisitos de integridade monitorando e avaliando a integridade de computadores clientes quando esses computadores tentam se conectar ou comunicar em rede. Se os computadores clientes forem determinados como incompatíveis com requisitos de integridade, podem ser colocados em uma rede restrita que contém recursos para ajudar a atualizar computadores clientes para compatibilizá-los com diretivas de integridade. Quem estaria interessado neste recurso? A NAP interessa aos administradores de redes e de sistemas que desejam impor requisitos de integridade do sistema para computadores clientes conectados a redes às quais eles ofereçam suporte. Com a NAP, os administradores de rede podem: Assegurar a integridade de computadores desktop da rede local (LAN) configurados para DHCP ou que se conectem via dispositivos de autenticação 802.1X, ou ainda que possuam diretivas de segurança do protocolo IPsec da NAP aplicadas às suas comunicações. Impor requisitos de integridade para laptops móveis quando se reconectam à rede da empresa. Verificar a conformidade diretivas e requisitos de integridade de computadores domésticos não gerenciados que se conectam à rede da empresa através de servidores de VPN que executem Roteamento e Acesso Remoto. Determinar a integridade e restringir o acesso de laptops levados a uma organização por visitantes e parceiros. Dependendo das suas necessidades, os administradores podem configurar uma solução dirigida a um ou todos esses cenários. A NAP também inclui um conjunto de interface de programação de aplicativos (API) para que desenvolvedores e fornecedores criem seus próprios componentes para validação de diretivas de rede, compatibilidade contínua e isolamento de redes.


Há considerações especiais? As implantações de NAP exigem servidores com Windows Server 2008. Além disso, são necessários computadores clientes com Windows Vista, Windows Server 2008 ou Windows XP com Service Pack 3 (SP3). O servidor central que executa a análise de determinação da integridade para a NAP é um computador com Windows Server 2008 e Servidor de Diretivas de Rede (NPS). O NPS é uma implementação do Windows para servidor e proxy Remote Authentication Dial-in User Service (RADIUS). O NPS substitui o Serviço de Autenticação da Internet (IAS) no Windows Server 2003. Os dispositivos de acesso e servidores NAP atuam como clientes RADIUS para um servidor RADIUS baseado em NPS. O NPS autentica e autoriza uma tentativa de conexão de rede e, com base em diretivas de integridade do sistema configuradas, determina a compatibilidade de integridade do computador e como limitar o acesso à rede de computadores incompatíveis. Que nova funcionalidade este recurso oferece? A plataforma NAP é uma nova tecnologia de validação de integridade e imposição incluída nos sistemas operacionais Windows Server 2008 e Windows Vista. Observação A estrutura da NAP não é igual à do Controle de Quarentena de Acesso à Rede, que é um recurso fornecido com o Windows Server 2003 e o Internet Security and Acceleration (ISA) Server 2004. O Controle de Quarentena de Acesso à Rede pode fornecer proteção adicional para conexões de acesso remoto (dial-up e VPN). Para obter mais informações sobre o Controle de Quarentena de Acesso à Rede no Windows Server 2003, consulte o texto sobre Controle de Quarentena de Acesso à Rede no Windows Server 2003 (http://go.microsoft.com/fwlink/?LinkId=56447). (Essa página pode estar em inglês.) Para obter mais informações sobre esse recurso no ISA Server 2004, consulte o texto sobre Clientes VPN móveis e controle de quarentena no ISA Server 2004 Enterprise Edition (http://go.microsoft.com/fwlink/?LinkId=56449). (Essa página pode estar em inglês.) Por que essa funcionalidade é importante? Um dos maiores desafios dos negócios hoje é a crescente exposição de dispositivos clientes a software mal-intencionado, como vírus e worms. Esses programas podem entrar em sistemas host desprotegidos ou incorretamente configurados e usar esses sistemas como ponto de apoio para propagação a outros dispositivos na rede corporativa. Os administradores de rede podem usar a plataforma NAP para proteger sua rede assegurando que os sistemas


clientes mantenham configurações corretas e atualizações de software para ajudar a protegê-los contra software mal-intencionado. Principais processos de NAP Vários processos-chave são exigidos para que a NAP funcione corretamente: validação de diretiva, imposição de NAP e restrição à rede, correções e monitoramento contínuo para assegurar a compatibilidade. Validação de diretiva Os validadores da integridade do sistema (SHVs) são usados pelo NPS para analisar o status de integridade de computadores clientes. Os SHVs são incorporados em diretivas de rede que determinam ações a serem adotadas com base no status de integridade de clientes, como conceder total acesso de rede ou restringir o acesso à rede. O status de integridade é monitorado por componentes de NAP no cliente chamados de agentes de integridade do sistema (SHAs). A NAP usa SHAs e SHVs para monitorar, impor e atualizar configurações do computador cliente. O Agente de Integridade da Segurança do Windows e o Validador da Integridade da Segurança do Windows são incluídos nos sistemas operacionais Windows Server 2008 e Windows Vista e impõem as seguintes configurações para computadores compatíveis com NAP: O computador cliente tem software de firewall instalado e habilitado. O computador cliente tem software antivírus instalado e em execução. O computador cliente tem atualizações de antivírus mais recentes instaladas. O computador cliente tem software anti-spyware instalado e em execução. O computador cliente tem atualizações de anti-spyware mais recentes instaladas. O Microsoft® Update Services está habilitado no computador cliente. Além disso, se os computadores clientes compatíveis com NAP estiverem executando o Windows Update Agent e estiverem registrados em um servidor WSUS (Windows Server Update Service), a NAP poderá verificar se as atualizações mais recentes de segurança do software estão instaladas com base em um dos quatro valores possíveis que correspondem às classificações de severidade de segurança da Microsoft Security Response Center (MSRC).


Imposição de NAP e restrição da rede A NAP pode ser configurada para impedir que computadores clientes incompatíveis acessem a rede ou permitir que acessem somente uma área restrita dessa rede. Uma área restrita deve conter serviços-chave de NAP, como servidores de Autoridade de Registro de Integridade (HRA) e servidores de atualizações, de modo que clientes NAP incompatíveis possam atualizar suas configurações para cumprir os requisitos de integridade. As configurações de imposição de NAP permitem limitar o acesso à rede de clientes incompatíveis ou apenas observar e registrar o status de integridade de computadores clientes compatíveis com NAP. Você pode optar por restringir o acesso, adiar a restrição de acesso ou permitir acesso com o uso das seguintes configurações: Permitir acesso total à rede. Esta é a configuração padrão. Os clientes que correspondem às condições da diretiva são considerados compatíveis com os requisitos de integridade e obtêm acesso irrestrito à rede, se a solicitação de conexão for autenticada e autorizada. O status de compatibilidade de integridade de computadores compatíveis com a NAP é registrado. Permitir acesso total à rede por tempo limitado. Os clientes que correspondem às condições da diretiva obtêm acesso irrestrito, temporariamente. A imposição de NAP é retardada até as data e hora especificadas. Permitir acesso limitado. Os computadores clientes que correspondem às condições da diretiva são considerados incompatíveis com os requisitos de integridade da rede e colocados na rede restrita. Remediação Os computadores clientes incompatíveis colocados em uma rede restrita podem sofrer correções. Correção é o processo de atualizar automaticamente um computador cliente para que atenda aos requisitos de integridade atuais. Por exemplo, uma rede restrita pode conter um servidor File Transfer Protocol (FTP) que fornece assinaturas de antivírus atuais de modo que computadores clientes incompatíveis possam atualizar suas assinaturas desatualizadas. Você pode usar as configurações de NAP nas diretivas de rede NPS para configurar a correção automática, de forma que os componentes do cliente NAP tentem atualizar automaticamente o computador cliente quando ele estiver incompatível com os requisitos de integridade de rede. Você também pode usar


a seguinte configuração de diretiva de rede para definir as correções automáticas: Correção automática. Se a opção Habilitar correção automática de computadores cliente estiver selecionada, a correção automática estará habilitada e computadores compatíveis com NAP que não atendam aos requisitos de integridade tentarão atualizar-se automaticamente. Monitoramento contínuo para assegurar a compatibilidade A NAP pode impor a compatibilidade de integridade em computadores clientes compatíveis já conectados à rede. Essa funcionalidade é útil para assegurar que uma rede esteja continuamente protegida quando houver mudança nas diretivas de integridade e na integridade dos computadores clientes. Por exemplo, se a diretiva de integridade exigir que o Firewall do Windows seja ativado mas um usuário o tiver desativado inadvertidamente, a NAP pode determinar se o computador cliente está em estado compatível. A NAP colocará o computador cliente na rede restrita até que o Firewall do Windows seja reativado. Se a correção automática estiver habilitada, computadores clientes NAP podem habilitar automaticamente o Firewall do Windows sem intervenção do usuário. Métodos de imposição NAP Com base no estado de integridade de um computador cliente, a NAP pode permitir acesso total à rede, limitar o acesso a uma rede restrita ou negar o acesso à rede. Os computadores clientes classificados como incompatíveis com as diretivas de integridade também podem ser automaticamente atualizados para que atendam a esses requisitos. O modo como a NAP é imposta depende do método de imposição escolhido. A NAP impõe diretivas de integridade para: Tráfego protegido por IPsec Controle de acesso de rede com fio e sem fio baseada na porta 802.1X Redes virtuais privadas (VPN) com serviço de Roteamento e Acesso Remoto Concessão e renovação de endereço IPv4 do protocolo DHCP Conexões com um servidor Gateway de Serviços de Terminal (TS Gateway)


As seções a seguir descrevem esses métodos de imposição. Imposição de NAP para comunicações IPsec A imposição de NAP para tráfego protegido por IPsec é implantada com um servidor de certificados de integridade, um servidor HRA, um servidor NPS e um cliente de imposição IPsec. O servidor de certificados de integridade emite certificados X.509 para clientes NAP considerados compatíveis com os requisitos de integridade da rede. Esses certificados são usados para autenticar os clientes NPA quando eles iniciam comunicações protegidas por IPsec com outros clientes NPA na intranet. A imposição IPsec confina a comunicação da rede com clientes compatíveis e oferece a forma mais segura de imposição de NAP. Como esse método de imposição usa o IPsec, você pode definir requisitos de comunicações protegidas por endereço IP ou por número de porta TCP/UDP. Imposição NAP para 802.1X A imposição de NAP para controle de acesso à rede baseado na porta 802.1X é implantada com um servidor NPS e um componente cliente de imposição EAPHost. Com a imposição baseada na porta 802.1X, o servidor NPS instrui um switch de autenticação 802.1X ou um ponto de acesso de rede sem fio compatível com 802.1X a colocar clientes incompatíveis com 802.1X em uma rede restrita. O NPS limita o acesso de rede do cliente à rede restrita instruindo o ponto de acesso a aplicar filtros IP ou um identificador virtual de LAN à conexão. A imposição 802.1X oferece forte restrição de rede para todos os computadores que acessam a rede através de dispositivos de acesso de rede compatíveis com 802.1X. Imposição de NAP para VPN A imposição de NAP para VPN é implantada com um componente servidor de imposição de VPN e um componente cliente de imposição de VPN. Usando a imposição de NAP para VPN, os servidores VPN podem impor diretivas de integridade quando os computadores clientes tentam se conectar à rede usando uma conexão VPN de acesso remoto. A imposição de VPN oferece acesso à rede limitado e seguro a todos os computadores que acessam a rede por meio de uma conexão VPN. Imposição de NAP para DHCP A imposição de DHCP é implantada com um componente servidor de imposição de NAP, um componente cliente de imposição de DHCP e um NPS.


Quando a imposição de DHCP é usada, os servidores DHCP e o NPS podem impor a diretiva de integridade quando um computador tentar conceder ou renovar um endereço IP versão 4 (IPv4). O NPS limita o acesso de rede do cliente à rede restrita instruindo o servidor DHCP a atribuir uma configuração de endereço IP limitado. Entretanto, se os computadores clientes estiverem configurados com um endereço IP estático ou tiverem outra configuração para descartar a configuração do endereço IP, a imposição do DHCP não é eficaz. Imposição NAP para TS Gateway A imposição de NAP para TS Gateway é implantada com um componente servidor de imposição de TS Gateway e um componente cliente de imposição de TS Gateway. Usando a imposição de NAP para TS Gateway, o servidor TS Gateway pode impor a diretiva de integridade em computadores clientes que tentam se conectar a recursos corporativos internos através do servidor TS Gateway. A imposição de TS Gateway oferece acesso à rede limitado e seguro a todos os computadores que acessam a rede via conexão TS Gateway. Técnicas combinadas Cada método de imposição de NAP tem vantagens diferentes. Combinando métodos de imposição, você pode combinar as vantagens desses diferentes métodos. Entretanto, quanto mais métodos de imposição NAP você implantar, mais complexo será o gerenciamento da NAP. A estrutura de NAP também fornece um conjunto de APIs que permitem que empresas que não a Microsoft integram seu software na plataforma NAP. Usando as APIs NAP, os desenvolvedores e fornecedores de software podem fornecer soluções ponto a ponto que validam a integridade e corrigem clientes incompatíveis. Como devo me preparar para implantar este recurso? As preparações necessárias à implantação da NAP dependem do método ou dos métodos de imposição escolhidos e dos requisitos de integridade que você pretende impor quando os computadores clientes se conectarem ou comunicarem em sua rede. Se você for um administrador de rede ou de sistema, pode implantar NAP com o Agente de Integridade da Segurança do Windows e o Validador da Integridade da Segurança do Windows. Além disso, poderá verificar com outros fornecedores de software se eles fornecem SHAs e SHVs com seus produtos. Por exemplo, se um fornecedor de software antivírus desejar criar uma solução


de NAP que inclua um SHA e um SHV, pode usar a API para criar esses componentes. Esses componentes poderão ser integrados às soluções NAP implantadas pelos clientes desse fornecedor. Além de SHAs e SHVs, a plataforma NAP usa uses diversos componentes no cliente e no servidor para detectar e monitorar o status de integridade do sistema de computadores clientes quando eles tentam se conectar ou comunicar em uma rede. Alguns componentes comuns usados para implantar NAP são ilustrados na figura a seguir:

Componentes do cliente NAP Um cliente compatível com NAP é um computador que tem os componentes NAP instalados e pode verificar seu estado de integridade enviando declarações de integridade (SoH) ao NPS. Veja a seguir componentes de clientes NAP comuns. Agente de integridade do sistema (SHA). Monitora e reporta o estado de integridade do computador cliente para que o HPS possa determinar se as configurações monitoradas pelo SHA estão atualizadas e definidas corretamente. Por exemplo, o Agente de Integridade da Segurança do Windows (WSHA) pode monitorar o Firewall do Windows, verificar se um software antivírus está instalado, habilitado e atualizado, se um software antispyware está instalado, habilitado e atualizado, se o Microsoft Update Services está habilitado e se o computador tem as atualizações de segurança mais


recentes desse produto. Também pode haver SHAs disponíveis de outras empresas que oferecem funcionalidade adicional. Agente NAP. Coleta e gerencia informações sobre integridade. O agente NAP também processa SoHs de SHAs e informa a integridade do cliente a clientes de imposição. Para indicar o estado geral de integridade de um cliente NAP, o agente NAP usa uma SoH do sistema. Cliente de Imposição de NAP (NAP EC). Para usar a NAP, pelo menos um cliente de imposição de NAP deverá estar instalado e habilitado nos computadores clientes. Os clientes de imposição de NAP individuais são específicos do método de imposição e estão descritos anteriormente. Os clientes de imposição de NAP integram-se com tecnologias de acesso de rede, como IPsec, controle de acesso de rede com fio e sem fio baseada na porta 802.1X, VPN com serviço de Roteamento e Acesso Remoto, DHCP e TS Gateway. Um cliente de imposição de NAP solicita acesso a uma rede, comunica o status da integridade de um computador cliente ao servidor NPS e comunica o status restrito do computador cliente a outros componentes da arquitetura do cliente NAP. Declaração de integridade (SoH). Uma declaração de um SHA que informa o status de integridade. Os SHAs criam SoHs e os enviam ao agente de NAP. Componentes do servidor NAP Veja a seguir componentes de servidores NAP comuns. Servidor de diretivas de integridade de NAP. Um servidor com NPS que está atuando na função de servidor de avaliação de integridade da NAP. O servidor de diretivas de integridade da NAP tem diretivas de integridade e de rede que definem requisitos de integridade e configurações de imposição para computadores clientes que solicitam acesso à rede. O servidor de diretivas de integridade da NAP usa NPS para processa mensagens de solicitação de acesso RADIUS contendo a SoH do sistema enviada pelo Cliente de Imposição de NAP e as transfere ao servidor de administração NAP para avaliação. Servidor de administração NAP. Fornece uma função de processamento similar ao agente NAP no cliente. Ele é responsável por coletar SoHs dos pontos de imposição de NAP, distribuir SoHs aos validadores da integridade do sistema (SHVs) apropriados e coletar respostas da SoH (SoHRs) dos SHVs e transferi-las ao serviço NPS para avaliação. Validadores da integridade do sistema (SHVs). Software servidor correspondente aos SHAs. Cada SHA no cliente tem um SHV correspondente


no NPS. Os SHVs verificam a SoH feita por seu SHA correspondente no computador cliente. SHAs e SHVs correspondem um ao outro, juntamente um servidor de requisitos de integridade correspondente (se aplicável) e, talvez, um servidor de atualizações. O SHV pode também detectar que nenhuma SoH foi recebida (por exemplo, o SHA nunca foi instalado, foi danificado ou removido). Quer a SoH atenda ou não à diretiva definida, o SHV enviará uma mensagem de resposta de declaração de integridade (SoHR) ao servidor de administração NAP. Uma rede pode ter mais de um tipo de SHV. Se esse for o caso, o servidor com NPS deverá coordenar a saída de todos os SHVs e determinar se limitará o acesso de um computador incompatível. Se sua implantação usar diversos SHVs, você precisa entender como eles interagem e planejar cuidadosamente ao configurar diretivas de integridade. Servidor de Imposição de NAP (NAP ES). Vinculado a um Cliente de Imposição de NAP para o método de imposição de NAP em uso. O NAP ES recebe a lista de SoHs do Cliente de Imposição de NAP e a as transfere ao NPS para avaliação. Com base na resposta, ele fornece a um cliente compatível com NAP acesso limitado ou ilimitado à rede. Dependendo do tipo de imposição de NAP, o NAP ES pode ser um componente de um ponto de imposição de NAP. Ponto de imposição NAP. Um servidor ou dispositivo de acesso à rede que use NAP ou possa ser usado com NAP para solicitar a avaliação do estado de integridade de um cliente NAP e fornecer acesso ou comunicação restrita com rede. Um ponto de imposição de NAP pode ser uma autoridade de registro de integridade (imposição IPsec), um switch de autenticação ou ponto de acesso sem fio (imposição 802.1x), um servidor com Roteamento e Acesso Remoto (imposição VPN), um servidor DHCP (imposição DHCP) ou servidor TS Gateway (imposição TS Gateway). Servidor de requisitos de integridade. Um componente de software que se comunica com um SHV para fornecer informações usadas na avaliação de requisitos de integridade do sistema. Por exemplo, um servidor de requisitos de integridade pode ser um servidor de assinaturas antivírus que forneça a versão do arquivo de assinaturas atual para validação de uma SoH de antivírus cliente. Os servidores de requisitos de integridade têm correspondência com SHVs, mas nem todos os SHVs precisam de um servidor de requisitos de integridade. Por exemplo, um SHV pode apenas instruir clientes compatíveis com NAP para que verifiquem configurações de sistema locais para assegurar que um firewall baseado em host esteja habilitado. Servidor de atualizações. Hospeda as atualizações que os SHAs podem usar para tornar compatíveis os computadores clientes incompatíveis. Por exemplo, um servidor de atualizações pode hospedar atualizações de software. Se a


diretiva de integridade exigir que os computadores clientes de NAP tenham as atualizações de software mais recentes instaladas, o Cliente de Imposição de NAP impedirá o acesso à rede dos clientes que não possuam tais atualizações. Os servidores de atualizações devem ser acessíveis aos clientes com acesso de rede restrito, para que os clientes obtenham as atualizações necessárias à compatibilidade com as diretivas de integridade. Resposta de declaração de integridade (SoHR). Contém os resultados da avaliação da SoH do cliente pelo SHV. A SoHR inverte o caminho da SoH e é enviada de volta ao SHA do computador cliente. Se o computador cliente for considerado incompatível, o SoHR conterá instruções de correção que os SHAs usarão para compatibilizar a configuração do computador cliente com os requisitos da diretiva de integridade. Assim como cada tipo de SoH contém informações sobre o status da integridade do sistema, cada mensagem de SoHR contém informações sobre como tornar-se compatível com os requisitos do sistema. Referências adicionais Para obter mais informações sobre NAP, consulte o texto sobre Proteção de acesso à rede (http://go.microsoft.com/fwlink/?LinkId=56443). (Essa página pode estar em inglês.) Para obter informações sobre outros recursos de Serviços de Acesso e Diretiva de Rede, consulte o tópico Diretiva de Rede e função Serviços de Acesso. Servidor de Diretivas de Rede Atualizado: janeiro de 2008 Aplica-se a: Windows Server 2008 O Servidor de Diretivas de Rede (NPS) permite que você crie e imponha diretivas de acesso à rede em toda a organização para integridade do cliente, autenticação de solicitação de conexão e autorização de solicitação de conexão. O que o Servidor de Diretivas de Rede faz? O Servidor de Diretivas de Rede é a implementação da Microsoft de um servidor e de um proxy RADIUS. Você pode usar o NPS para gerenciar de modo centralizado o acesso à rede através de diversos servidores de acesso à rede, incluindo pontos de acesso sem fio, servidores VPN, servidores dial-up e chaves de autenticação 802.1X. Além disso, você


pode usar o NPS para implantar autenticação de senha segura com EAP protegido (PEAP)-MS-CHAP v2 para conexões sem fio. O NPS também tem componentes fundamentais para a implantação da NAP (Proteção de Acesso à Rede) na sua rede. As seguintes tecnologias podem ser implantadas após a instalação do serviço de função NPS: o

Servidor de diretivas de NAP. Quando você configura o NPS como um servidor de diretivas de NAP, ele avalia as SoHs (instruções de integridade) enviadas por computadores cliente habilitados para NAP que desejam se comunicar na rede. Você pode criar diretivas de NAP no NPS que permitam que computadores cliente atualizem a configuração para estar em conformidade com a diretiva de rede da sua organização.

o

IEEE 802.11 sem fio. Usando o snap-in NPS do Console de Gerenciamento Microsoft (MMC), você pode configurar diretivas de solicitação de conexão baseadas em 802.1X para acesso à rede de cliente sem fio IEEE 802.11. Pode também configurar pontos de acesso sem fio como clientes RADIUS no NPS e usar o NPS como um servidor RADIUS para processar solicitações de conexão, além de executar serviços de autenticação, autorização e contabilização para conexões sem fio 802.3. Você pode integrar totalmente o acesso sem fio IEEE 802.11 com o NAP ao implantar uma infraestrutura de autenticação 802.1X sem fio, de modo que o status de integridade de clientes sem fio seja verificado quanto à diretiva de integridade antes que os clientes sejam autorizados a se conectar à rede.

o

IEEE 802.3 com fio. Usando o snap-in NPS MMC, você pode configurar diretivas de solicitação de conexão baseadas em 802.1X para acesso à rede de cliente sem fio IEEE 802.3. Pode também configurar chaves compatíveis com 802.1X como clientes RADIUS no NPS e usar o NPS como servidor RADIUS para processar solicitações de conexão, além de executar autenticação, autorização e estatísticas para conexões Ethernet 802.3. É possível integrar o acesso de cliente com fio IEEE 802.3 com NAP ao implantar uma infra-estrutura de autenticação 802.1X com fio.

o

Servidor RADIUS. O NPS executa serviços de autenticação, autorização e contabilização de modo centralizado para conexões sem fio, por comutador de autenticação, discadas de acesso remoto e VPN. Quando você usa o NPS como servidor RADIUS, configura


servidores de acesso à rede, como pontos de acesso sem fio e servidores VPN, como clientes RADIUS no NPS. Você também configura diretivas de rede que o NPS usa para autorizar solicitações de conexão. É possível configurar a contabilização RADIUS para que o NPS registre informações de contabilização em arquivos de log no disco rígido local ou em um banco de dados do Microsoft® SQL Server™. o

Proxy RADIUS. Quando você usa o NPS como um proxy RADIUS, configura diretivas de solicitação de conexão que informam ao servidor que está executando o NPS quais solicitações de conexão devem ser encaminhadas a outros servidores RADIUS e a que servidores RADIUS você deseja encaminhar solicitações de conexão. Também é possível configurar o NPS para encaminhar dados de contabilização a serem registrados por um ou mais computadores de um grupo de servidores RADIUS remotos.

Quem estaria interessado nesse recurso? A implantação do Servidor de Diretivas de Rede interessa administradores de rede e de sistemas que desejam gerenciar o acesso à rede de maneira central, incluindo os serviços de autenticação (verificação de identidade), autorização (verificação do direito de acessar a rede) e contabilização (o registro em log do status do NPS e de dados do processo de conexão com a rede). Há considerações especiais? Quando um servidor que executa o NPS é membro de um domínio do Active Directory®, o NPS utiliza o serviço de diretório como banco de dados de contas de usuários e faz parte de uma solução de logon único. O mesmo conjunto de credenciais é usado no controle de acesso à rede (autenticação e autorização de acesso a uma rede) e para fazer logon em um domínio do Active Directory. Por esse motivo, é recomendável usar o NPS com os Serviços de Domínio Active Directory (AD DS). As considerações adicionais a seguir se aplicam ao uso do NPS. Para implantar o NPS com acesso sem fio ou com fio IEEE 802.1X, você deve registrar um certificado de servidor no servidor que está executando o NPS utilizando os Serviços de Certificados do Active Directory (AD CS) ou uma CA (autoridade de certificação) pública que não seja da Microsoft. Para implantar o EAP-TLS ou o PEAP-TLS, também é necessário registrar os certificados do computador ou do usuário; para isso, você deve criar e implantar uma PKI (infra-estrutura de chave pública) usando o AD CS.


Além disso, você deve adquirir e implantar servidores de acesso à rede (pontos de acesso sem fio ou comutadores de autenticação 802.1X) compatíveis com o protocolo RADIUS e o EAP. Para implantar o NPS com o Gateway TS, você deve implantar o Gateway TS no computador local ou em um computador remoto que esteja executando o Windows Server® 2008. Para implantar o NPS com o Roteamento e Acesso Remoto configurado como servidor VPN, membro de uma configuração VPN site a site ou servidor dial-up, você deve implantar o Roteamento e Acesso Remoto no computador local ou em um computador remoto que esteja executando o Windows Server 2008. Para implantar o NPS com a NAP, você deve implantar componentes adicionais de NAP conforme descrito na Ajuda do produto NPS ou em outra documentação da NAP. Para implantar o NPS com log do SQL Server, você deve implantar o Microsoft SQL Server 2000 ou o Microsoft SQL Server 2005 no computador local ou em um computador remoto. Que nova funcionalidade é oferecida por esse recurso? O NPS oferece a seguinte nova funcionalidade no Windows Server 2008: NAP (Proteção de Acesso à Rede). Uma tecnologia de criação, imposição e atualização de diretivas de integridade de cliente incluída no Windows Vista® e no Windows Server 2008. Com a NAP, você pode estabelecer diretivas de integridade que definem requisitos de software, requisitos de atualização de segurança e configurações necessárias para os computadores que se conectam à sua rede. Comandos Netsh para NPS. Um conjunto de comandos abrangente que permite gerenciar todos os aspectos do NPS usando comandos no prompt do netsh e em scripts e arquivos em lotes. Nova interface do Windows. Aprimoramentos feitos na interface do Windows, incluindo assistentes de criação de diretivas para NAP, diretiva de rede e diretiva de solicitação de conexão, e os assistentes especificamente projetados para implantações de conexões dial-up e VPN sem fio e com fio 802.1X.


Suporte para o protocolo IP versão 6 (IPv6). O NPS pode ser implantado em ambientes somente IPv6, somente IPv4 e em ambientes mistos, onde os dois protocolos são usados. Integração com o Controle de Admissão à Rede (NAC) da Cisco. Usando o protocolo HCAP e o NPS, você pode integrar a NAP ao NAC da Cisco. O NPS oferece os atributos Estado Estendido e Expiração da Diretiva na diretiva de rede para integração com Cisco. Atributos que identificam clientes de acesso. As condições do sistema operacional e do cliente de acesso permitem criar diretivas de acesso à rede aplicáveis aos clientes especificados e aos clientes que executam versões do sistema operacional definidas por você. Integração com o Gerenciador de Servidores. O NPS é integrado ao Gerenciador de Servidores, que permite gerenciar várias tecnologias em um mesmo local da interface do Windows. Diretivas de rede que estão de acordo com o método de conexão de rede. Você pode criar diretivas de rede que só serão aplicadas se o método de conexão de rede (como VPN, Gateway TS ou DHCP) estiver de acordo com a diretiva. Isso permite que o NPS processe apenas as diretivas que correspondem ao tipo de cliente RADIUS usado para a conexão. Suporte a Critérios Comuns. O NPS pode ser implantado em ambientes onde é necessário o suporte para Critérios Comuns. Para obter mais informações, acesse o portal Critérios Comuns, em http://go.microsoft.com/fwlink/?LinkId=95567 (essa página pode estar em inglês). Biblioteca de extensões do NPS. O NPS oferece extensibilidade, que permite a organizações e empresas não-Microsoft implementar soluções RADIUS personalizadas através da criação de DLLs (bibliotecas de vínculo dinâmico) de extensão do NPS. Agora o NPS é resiliente a falhas em DLLs de extensão que não são da Microsoft. Importação e exportação da configuração do NPS em XML. Você pode importar a configuração do servidor NPS para um arquivo XML e importála usando arquivos XML com os comandos netsh NPS. Suporte a diretivas EAPHost e EAP. O NPS dá suporte a EAPHost, que também está disponível no Windows Vista. EAPHost é um serviço do Windows que implementa o RFC 3748 e dá suporte a todos os métodos EAP compatíveis com RFC, incluindo os tipos EAP expandidos. O EAPHost também dá suporte a várias implementações do mesmo método


EAP. Os administradores do NPS podem configurar a diretiva de rede e a diretiva de solicitação de conexão com base em métodos EAP do serviço EAPHost. Referências adicionais Para obter informações sobre outros recursos dos Serviços de Acesso e Diretiva de Rede, consulte o tópico Diretiva de Rede e função Serviços de Acesso. Serviços de Roteamento e Acesso Remoto Atualizado: janeiro de 2008 Aplica-se a: Windows Server 2008 O serviço de Roteamento e Acesso Remoto do Windows Server® 2008 oferece para usuários remotos acesso a recursos da sua rede privada através de conexões VPN (rede virtual privada) ou dial-up. Os servidores configurados com o serviço de Roteamento e Acesso Remoto podem oferecer serviços de roteamento de LAN (rede local) e de WAN (rede de longa distância) usados para conectar segmentos de rede de um escritório pequeno ou para conectar duas redes privadas via Internet. O que o serviço de Roteamento e Acesso Remoto faz? O serviço de Roteamento e Acesso Remoto do Windows Server 2008 oferece: Acesso remoto Roteamento Acesso remoto Ao configurar o Roteamento e Acesso Remoto para funcionar como um servidor de acesso remoto, você pode conectar funcionários remotos ou móveis às redes da organização. Os usuários remotos podem trabalhar como se os seus computadores estivessem fisicamente conectados à rede. Todos os serviços normalmente disponíveis para um usuário conectado à LAN (incluindo compartilhamento de arquivos e impressoras, acesso ao servidor Web e sistema de mensagens) podem ser habilitados através da conexão de acesso remoto. Por exemplo, em um servidor executando o Roteamento e Acesso Remoto, os clientes podem usar o Windows Explorer para conectar-se a unidades e a impressoras. Como as letras de unidade e os nomes UNC são


totalmente suportados pelo acesso remoto, a maioria dos aplicativos comerciais e personalizados funciona sem modificação. Um servidor que executa o Roteamento e Acesso Remoto oferece dois tipos diferentes de conectividade de acesso remoto: Rede virtual privada (VPN) A VPN cria conexões seguras e ponto a ponto através de uma rede privada ou de uma rede pública, como a Internet. Um cliente VPN usa protocolos especiais baseados em TCP/IP, denominados protocolos de encapsulamento, para fazer uma chamada virtual a uma porta virtual em um servidor VPN. O melhor exemplo de rede virtual privada é um cliente VPN que faz uma conexão VPN a um servidor de acesso remoto conectado à Internet. O servidor de acesso remoto atende a chamada virtual, autentica o chamador e transfere os dados entre o cliente VPN e a rede corporativa. Ao contrário da rede dial-up, a rede VPN sempre faz uma conexão lógica e indireta entre o cliente VPN e o servidor VPN através de uma rede pública, como a Internet. Para garantir a privacidade, é preciso criptografar os dados enviados pela conexão. Sistema de rede dial-up No sistema de rede dial-up, um cliente de acesso remoto estabelece uma conexão dial-up não permanente com uma porta física em um servidor de acesso remoto usando o serviço de um provedor de telecomunicações, como um telefone analógico ou ISDN. O melhor exemplo de sistema de rede dial-up é quando um cliente de sistema de rede dial-up disca o número de telefone de uma das portas de um servidor de acesso remoto. O sistema de rede dial-up por um telefone analógico ou ISDN é uma conexão física direta entre o cliente do sistema de rede dial-up e o servidor do sistema de rede dial-up. É possível criptografar os dados enviados pela conexão, mas isso não é necessário. Roteamento Um roteador é um dispositivo que gerencia o fluxo de dados entre segmentos da rede ou de sub-redes. Ele encaminha os pacotes de entrada e de saída com base nas informações que armazena sobre o estado de suas interfaces de rede e na lista de origens e destinos disponíveis para o tráfego da rede. Ao avaliar o tráfego da rede e as rotas necessárias com base no número e tipo de


dispositivos de hardware e aplicativos usados no seu ambiente, você pode decidir melhor se deseja usar um roteador dedicado baseado em hardware, um roteador baseado em software, ou uma combinação de ambos. Geralmente, os roteadores dedicados de hardware lidam melhor com cargas pesadas de roteamento, enquanto que os roteadores mais baratos baseados em software lidam com cargas mais leves. O roteamento baseado em software, como o serviço de Roteamento e Acesso Remoto do Windows Server 2008, pode ser a solução ideal em uma rede segmentada de pequeno porte com tráfego leve entre as sub-redes. Da mesma forma, ambientes de rede corporativa com um número maior de segmentos e inúmeros requisitos de desempenho talvez necessitem de roteadores baseados em hardware para executar diferentes funções na rede. Quem estaria interessado neste recurso? O Roteamento e Acesso Remoto aplica-se a administradores de rede e de sistemas interessados em acomodar os seguintes cenários de roteamento e acesso remoto: Acesso remoto (VPN) para permitir que clientes de acesso remoto se conectem à rede privada pela Internet. Acesso remoto (dial-up) para permitir que clientes de acesso remoto se conectem à rede privada discando para um banco de modem ou outro equipamento dial-up. NAT (conversão de endereço de rede) para compartilhar a conexão de Internet com computadores da rede privada e converter o tráfego entre redes públicas e privadas. Conexão de segurança entre duas redes privadas para enviar dados privados com segurança via Internet. Roteamento entre duas redes para configurar uma topologia de roteamento simples, de vários roteadores ou de roteamento de discagem por demanda. Há considerações especiais? Imposição de NAP para VPN NAP é uma tecnologia de criação, imposição e remediação de diretivas de integridade de cliente incluída no sistema operacional do cliente Windows Vista® e no sistema operacional do Windows Server 2008. Com o


NAP, os administradores do sistema podem estabelecer e impor diretivas de integridade, que podem incluir requisitos de software, requisitos de atualização de segurança, requisitos de configuração de computador e outras configurações. Ao fazer conexões VPN, computadores cliente que não estejam em conformidade com a diretiva de integridade podem ter acesso de rede restrito até que sua configuração seja atualizada e esteja em conformidade com a diretiva. Caso escolha implementar NAP, clientes que não estejam em conformidade poderão ser atualizados automaticamente para que os usuários possam reobter logo o acesso total à rede sem precisar atualizar ou reconfigurar manualmente seus computadores. A imposição de VPN oferece acesso limitado e seguro à rede para todos os computadores que acessam a rede através de uma conexão VPN. A imposição NAP VPN funciona de modo semelhante ao Controle de Quarentena de Acesso à Rede, um recurso do Windows Server 2003, embora sua implantação seja mais fácil. Para obter mais informações, consulte Proteção de Acesso à Rede. Configuração da diretiva de acesso remoto A configuração da diretiva de acesso remoto agora é realizada por meio do NPS (Servidor de Diretivas de Rede). Para obter mais informações, consulte Servidor de Diretivas de Rede e o tópico "Servidor RADIUS para conexões dialup ou VPN" na Ajuda do produto NPS. Que nova funcionalidade este recurso oferece? Protocolo de encapsulamento SSTP O protocolo SSTP é uma nova forma de encapsulamento VPN. O SSTP fornece um mecanismo para encapsular o tráfego PPP através do canal SSL do protocolo HTTPS. O uso do PPP possibilita o suporte a métodos de autenticação fortes, como o EAP-TLS. O uso de HTTPS significa que o tráfego irá passar através da porta TCP 443, usada comumente para acesso à Web. SSL (Secure Sockets Layer) oferece segurança de nível de transporte com recursos aprimorados de negociação de chaves, criptografia e verificação de integridade. O uso do SSTP tem suporte no Windows Server 2008 e no Windows Vista® com Service Pack 1 (SP1). Por que esta funcionalidade é importante?


O tráfego encapsulado com SSTP consegue passar por firewalls que bloqueiam o tráfego PPTP e L2TP/IPsec. Suporte à nova criptografia Em resposta aos requisitos de segurança do governo e às tendências na indústria de segurança de oferecer criptografia mais avançada, o Windows Server 2008 e o Windows Vista suportam os seguintes algoritmos de criptografia para conexões PPTP e L2TP VPN.

Somente o algoritmo de criptografia RC4 de 128 bits é suportado. PPTP

O suporte a RC4 de 40 e 56 bits foi removido, mas pode ser adicionado (não recomendado) alterando uma chave do registro. O algoritmo de criptografia DES (Data Encryption Standard) com suporte à verificação de integridade MD5 (Message Digest 5) foi removido, mas pode ser adicionado (não recomendado) alterando uma chave do registro. O modo principal do IKE oferece suporte a: Algoritmos de criptografia AES (Advanced Encryption Standard ) 256 (novo), AES 192 (novo), AES 128 (novo) e 3DES.

L2TP/IPsec

Algoritmo de verificação de integridade SHA1 (Secure Hash Algorithm 1). Diffie-Hellman (DH) grupos 19 (novo) e 20 (novo) para negociação de Modo principal. O modo rápido do IKE oferece suporte a: Algoritmos de criptografia AES 256 (novo), AES 192 (novo), AES 128 (novo) e 3DES. Algoritmo de verificação de integridade SHA1.

Que funcionalidade existente está sendo alterada?


Tecnologias removidas O suporte às seguintes tecnologias foi removido do Windows Server 2008 e do Windows Vista: Bandwidth Allocation Protocol (BAP). Removido do Windows Vista. Desabilitado no Windows Server 2008. X.25. Serial Line Interface Protocol (SLIP). As conexões baseadas em SLIP serão automaticamente atualizadas para conexões baseadas em PPP. ATM (Modo de Transferência Assíncrona). IP através de IEEE 1394. Protocolo de transporte compatível com NWLink IPX/SPX/NetBIOS. Serviços para Macintosh. Componente do protocolo de roteamento OSPF. Referências adicionais Para obter informações sobre outros recursos dos Serviços de Acesso e Diretiva de Rede, consulte o tópico Diretiva de Rede e função Serviços de Acesso. Função Serviços de Impressão Atualizado: janeiro de 2008 Aplica-se a: Windows Server 2008 A função Serviços de Impressão do Windows Server® 2008 inclui duas ferramentas principais que você pode usar para administrar um servidor de impressão do Windows®: Gerenciador de Servidores e Gerenciamento de Impressão. O Gerenciamento de Impressão foi introduzido no Windows Server 2003 R2 e aprimorado no Windows Vista® e no Windows Server 2008. O Gerenciador de Servidores e sua integração aos Serviços de Impressão é uma novidade do Windows Server 2008. O que os Serviços de Impressão fazem?


Os Serviços de Impressão permitem que você compartilhe impressoras de uma rede e centralize as tarefas de gerenciamento de impressoras de rede e de servidor de impressão usando o snap-in Gerenciamento de Impressão. Esse snap-in ajuda a monitorar as filas de impressão e a receber notificações quando as filas de impressão param de processar trabalhos. Ele também permite que você migre servidores de impressão e implante conexões de impressora usando a Diretiva de Grupo. Quem estaria interessado nesse recurso? Esse recurso é interessante para administradores de redes pequenas, médias ou grandes que precisam gerenciar e monitorar várias impressoras e servidores de impressão do Windows. Ele também é interessante para administradores que desejam implantar conexões de impressora para usuários utilizando a Diretiva de Grupo. Que nova funcionalidade é oferecida por esse recurso? As próximas seções descrevem a nova funcionalidade Serviços de Impressão do Windows Vista e do Windows Server 2008. Todas as diferenças entre o Windows Vista e o Windows Server 2008 são indicadas explicitamente. Habilidade integrada de implantar impressoras usando a Diretiva de Grupo Você pode usar o Gerenciamento de Impressão com a Diretiva de Grupo para implantar automaticamente conexões de impressora para usuários ou computadores e instalar os drivers de impressora apropriados. Esse recurso foi introduzido no Windows Server 2003 R2, mas exigia o uso da ferramenta PushPrinterConnections.exe em um script de inicialização (para conexões por computador) ou em um script de logon (para conexões por usuário). Essa funcionalidade agora é incluída em computadores cliente que executam o Windows Vista e o Windows Server 2008. Além disso, esses dois sistemas operacionais agora podem receber conexões de impressora por usuário durante operações de atualização da Diretiva de Grupo em segundo plano. Para obter mais informações, consulte a Ajuda do Gerenciamento de Impressão no Windows Vista e no Windows Server 2008. Observação Para implantar conexões de impressora usando a Diretiva de Grupo, o esquema dos Serviços de Domínio Active Directory (AD DS) deve usar uma versão do esquema do Windows Server 2003 R2 ou do Windows Server 2008.


Recursos de importação e exportação de filas de impressão Você pode usar o Assistente para Migração de Impressora ou a ferramenta de linha de comando Printbrm.exe para exportar filas de impressão, configurações e portas de impressora e monitores de linguagem de impressora e, depois, importá-los para outro servidor de impressão que execute o sistema operacional Windows. Essa é uma maneira eficiente de consolidar vários servidores de impressão ou de substituir um servidor de impressão antigo. O Assistente para Migração de Impressora e a ferramenta de linha de comando Printbrm.exe foram introduzidos no Windows Vista. Eles substituem o Print Migrator 3.1. Para obter mais informações, consulte a Ajuda do Gerenciamento de Impressão no Windows Vista e no Windows Server 2008. Descrições aprimoradas de eventos do recurso Visualizar Eventos e informações de resolução Todas as descrições dos eventos relacionados a impressão exibidos em Visualizar Eventos foram reelaboradas para melhorar sua utilidade quando você tenta entender e solucionar os problemas de impressão. Além disso, quando você clica no link da Ajuda Online do Log de Eventos enquanto está visualizando um evento, um navegador da Web exibe informações detalhadas sobre como diagnosticar e resolver um problema e também ensina a verificar se o problema foi corrigido com êxito. Consulte as informações de solução de problemas de impressão em http://go.microsoft.com/fwlink/?LinkId=98085 (essa página pode estar em inglês). Conteúdo da Ajuda aperfeiçoado Há três fontes de conteúdo de ajuda dos Serviços de Impressão no Windows Vista e no Windows Server 2008: TechCenter dos Serviços de Impressão do Windows Server 2008. A página dos Serviços de Impressão (http://go.microsoft.com/fwlink/?LinkId=85624 - essa página pode estar em inglês) no TechCenter do Windows Server 2008 funciona como um repositório central de informações atualizadas sobre como gerenciar impressoras e servidores de impressão. Ajuda do Gerenciamento de Impressão. Pode ser acessada no Gerenciamento de Impressão (e no TechCenter do Windows Server 2008) e é o principal lugar para encontrar informações sobre como gerenciar várias impressoras ou servidores de impressão de uma rede.


Ajuda e Suporte. Pode ser acessado no menu Iniciar e inclui ajuda para o usuário final sobre tarefas de impressão comuns. No Windows Vista, a Ajuda e Suporte também inclui informações exclusivas para administradores de sistema. No Windows Server 2008, ela inclui uma visão geral da função Serviços de Impressão. Aprimoramentos na segurança da instalação de drivers de impressora As configurações de segurança padrão para o Windows Vista e o Windows Server 2008 permitem que os usuários que não são membros do grupo local de Administradores instalem apenas os drivers de impressora confiáveis, como os fornecidos com o Windows ou em pacotes de driver de impressora assinados digitalmente. Isso ajuda a assegurar que os usuários não instalem drivers de impressora não testados ou não confiáveis, ou ainda drivers que tenham sido modificados com código mal-intencionado. No entanto, a segurança avançada significa que, em algumas ocasiões, os usuários não podem instalar o driver apropriado para uma impressora compartilhada, mesmo que ele tenha sido testado e aprovado em seu ambiente. Para permitir que usuários que não são membros do grupo Administradores local se conectem a um servidor de impressão e instalem drivers de impressora hospedados no servidor, você pode usar uma das seguintes abordagens: Instale pacotes de driver de impressora no servidor de impressão. Use a Diretiva de Grupo para implantar conexões de impressora para usuários ou computadores. Use a Diretiva de Grupo para modificar configurações de segurança do driver de impressora. Para obter mais informações, consulte a Ajuda do Gerenciamento de Impressão no Windows Vista e no Windows Server 2008 e Impressão - Suporte para driver e arquitetura (http://go.microsoft.com/fwlink/?LinkID=92657 - essa página pode estar em inglês). Pacotes de driver de impressora Os pacotes de driver de impressora são drivers de impressora assinados digitalmente que instalam todos os componentes do driver no armazenamento do driver em computadores clientes (se os computadores servidor e cliente estiverem executando o Windows Vista ou o Windows Server 2008). Além disso, usar pacotes de driver de impressora em um servidor de impressão que está executando o Windows Vista ou o Windows Server 2008 permite que os


usuários que não são membros do grupo local de Administradores conectemse ao servidor de impressão e instalem ou recebam drivers de impressora atualizados. Para usar pacotes de driver de impressora em um servidor de impressão que executa o Windows Server 2008 ou o Windows Vista, baixe e instale os pacotes de driver de impressora apropriados do fabricante da impressora. Observação Você também pode baixar e instalar pacotes de driver de impressora de um servidor de impressão nos computadores cliente que executam o Windows Server 2003, o Windows XP ou o Windows 2000. No entanto, os computadores cliente não verificam a assinatura digital do driver nem instalam todos os componentes do driver no armazenamento de driver porque o sistema operacional cliente não oferece suporte a esses recursos. Quando você instala um driver de impressora em um computador que executa o Windows Vista ou o Windows Server 2008, primeiro o Windows copia o driver de impressora no armazenamento de driver local e, em seguida, o instala do armazenamento de driver. Ao remover drivers de impressora, você tem a opção de excluir apenas o driver de impressora ou remover o pacote de driver de impressora inteiro. Se você excluir o driver de impressora, o Windows desinstalará o driver, mas deixará o pacote de driver de impressora no armazenamento de driver para que você possa reinstalar o driver posteriormente. Se você remover o pacote de driver de impressora, o Windows removerá o pacote do armazenamento do driver, removendo completamente o driver de impressora do computador. Para obter mais informações, consulte Impressão - Suporte para driver e arquitetura (http://go.microsoft.com/fwlink/?LinkID=92657 - essa página pode estar em inglês). Aprimoramentos de filtros de impressão no Gerenciamento de Impressão No Gerenciamento de Impressão, os filtros exibem somente as impressoras que atendem a um certo conjunto de critérios. Por exemplo, pode ser útil filtrar as impressoras que apresentam determinadas condições de erro ou impressoras de um grupo de prédios, independentemente do servidor de impressão usado por elas. Os filtros ficam armazenados na pasta Filtros de Impressora Personalizados da árvore Gerenciamento de Impressão e, por serem dinâmicos, os dados estão sempre atualizados.


Os filtros foram aprimorados no Windows Vista e no Windows Server 2008 de duas maneiras: Filtro personalizado Todos os Drivers. Um novo filtro padrão que exibe todos os drivers instalados no servidor selecionado, bem como as versões dos drivers. O número de critérios de filtro aumentou para seis. O aumento do número de critérios de filtro de três (o limite anterior) para seis permite criar filtros mais específicos. Aprimoramentos no desempenho do Gerenciamento de Impressão O desempenho do Gerenciamento de Impressão para gerenciar ou monitorar grandes quantidades de servidores foi aperfeiçoado das seguintes maneiras: O Gerenciamento de Impressão abre mais rapidamente A classificação de impressoras e servidores de impressão é menos demorada Agora você pode adicionar vários servidores ao Gerenciamento de Impressão simultaneamente colando uma lista de servidores na caixa de diálogo Adicionar ou Remover Servidores. Você pode separar os nomes dos servidores usando espaços, vírgulas ou quebras de linha. Integração com o Gerenciador de Servidores No Windows Server 2008, você pode usar o Gerenciador de Servidores para instalar a função de servidor Serviços de Impressão, recursos e serviços de função opcionais. O Gerenciador de Servidores também exibe eventos relacionados à impressão na opção Visualizar Eventos e inclui uma instância do snap-in do Gerenciamento de Impressão, que só pode administrar o servidor local. Os Serviços de Impressão do Windows Server 2008 são implementados como uma função de servidor no Gerenciador de Servidores, com os seguintes serviços de função filho: Servidor de Impressão Serviço LPD Impressão via Internet


Juntos, esses serviços de função fornecem toda a funcionalidade de um servidor de impressão do Windows. Você pode adicionar esses serviços de função enquanto instala a função Serviços de Impressão usando o Assistente para Adicionar Funções do Gerenciador de Servidores. Ou pode instalá-los posteriormente, usando o Assistente para Adicionar Serviços de Função do Gerenciador de Servidores. Observação Como o Windows Vista é um sistema operacional cliente, ele não inclui serviços de função. Em vez disso, ele inclui o snap-in Gerenciamento de Impressão por padrão no Windows Vista Business, no Windows Vista Enterprise e no Windows Vista Ultimate. O Windows Vista também inclui o Serviço de Impressão LPD como um recurso opcional do Windows. Você pode instalar o Serviço de Impressão LPD do Painel de Controle usando o item Programas e Recursos. O Windows Vista não inclui o recurso Impressão via Internet.

Função Serviços de Mídia de Streaming Atualizado: janeiro de 2008 Aplica-se a: Windows Server 2008 O Microsoft® Windows Media® Services é uma plataforma de nível industrial para transmissão (via redes) de conteúdo de mídia digital ao vivo e por demanda, o que inclui conteúdo WAM (áudio do Windows Media) e WMV (vídeo do Windows Media). O que esse recurso faz? Você pode usar o Windows Media Services para gerenciar um ou mais servidores Windows Media que entreguem conteúdo de mídia digital para os seguintes tipos de clientes: Computadores ou dispositivos que reproduzem o conteúdo usando um player, como o Windows Media Player. Outros servidores Windows Media que encaminham, armazenam em cache ou redistribuem o conteúdo. Programas personalizados que foram desenvolvidos usando Software Development Kits do Windows Media


(http://go.microsoft.com/fwlink/?LinkId=82886 - essa página pode estar em inglês). Quem estaria interessado nesse recurso? O Windows Media Services pode ser usado por qualquer pessoa que precise entregar conteúdo de mídia digital para clientes por meio de redes (seja pela Internet ou por uma intranet). Os seguintes tipos de organizações consideram o Windows Media Services especialmente útil: Empresas de hospedagem que proporcionam uma experiência de transmissão rápida para um público em residências e escritórios. Empresas que atuam na área de negócios, educação e governo, gerenciam recursos de rede e, ao mesmo tempo, oferecem serviços de comunicação de alto nível para difusões de conteúdo executivo, aprendizagem online, marketing e vendas. Empresas que utilizam tecnologia sem fio para oferecer serviços de entretenimento via banda larga sem fio usando servidores Windows Media escalonáveis e confiáveis. Emissoras na Internet que oferecem conteúdo para transmissão por rádio, televisão, cabo ou satélite. Distribuidores de filmes e músicas que distribuem conteúdo em áudio e vídeo de maneira segura, sem excesso de buffer ou congestionamentos na rede. Profissionais de IPTV que oferecem uma experiência IPTV de alta qualidade em LANs (redes locais). Há considerações especiais? Como nas versões anteriores, alguns recursos do Windows Media Services não estão disponíveis em certas edições do Windows Server® 2008. Se a sua implantação de servidor Windows Media requer um determinado recurso (por exemplo, se você precisa entregar conteúdo para clientes na forma de um fluxo multicast), consulte Identifique a versão do Windows Server mais adequada para você (http://go.microsoft.com/fwlink/?LinkId=82887 - essa página pode estar em inglês) para determinar que edição do Windows Server 2008 deve ser instalada. Depois que você instala a edição correta do Windows Server 2008, a função Serviços de Mídia de Fluxo Contínuo, que inclui o serviço de função Windows


Media Services (Administrador do Windows Media Services) e serviços opcionais (Administrador do Windows Media Services para a Web e Agente de Log de Difusão Seletiva e Anúncio), não fica disponível para instalação no Gerenciador do Servidor. Para que você possa usar o Gerenciador do Servidor para instalar a função Serviços de Mídia de Fluxo Contínuo, baixe o Windows Media Services. Para obter mais informações sobre como instalar a função Serviços de Mídia de Fluxo Contínuo no Windows Server 2008, consulte Atualizar a plataforma Windows Media Server (http://go.microsoft.com/fwlink/?LinkId=82888 - essa página pode estar em inglês). Se você ainda não usou o Windows Media Services, recomendamos que se familiarize com os conceitos de streaming. Um bom lugar para começar é visitando a página Usando o Windows Media Services (http://go.microsoft.com/fwlink/?LinkId=82889 - essa página pode estar em inglês). Observação Você pode adicionar a função Serviços de Mídia de Fluxo Contínuo à opção de instalação Server Core do sistema operacional Windows Server 2008. Para obter mais informações, consulte o artigo 934518 da Base de Dados de Conhecimento da Microsoft sobre como instalar o Windows Media Services no Windows Server 2008 (http://go.microsoft.com/fwlink/?LinkId=89041 - essa página pode estar em inglês). Que nova funcionalidade é oferecida por esse recurso? Gerenciamento de Cache/Proxy. O Administrador do Windows Media Services contém um novo plug-in, chamado Gerenciamento de Cache/Proxy, que controla a capacidade do servidor Windows Media de executar funções de cache e proxy. Você pode usar o plug-in Proxy de Cache do WMS para configurar um servidor Windows Media como servidor de cache/proxy que conserve largura de banda, diminua a latência imposta pela rede e compense a carga em um servidor de origem. Esses três fatores reduzem os seus custos operacionais e criam uma experiência de visualização melhor para os seus clientes. Atributos de lista de reprodução. Agora há suporte para os atributos de lista de reprodução noSkip e noRecede no servidor. Os clientes suportados (Windows Media Player 9 Series ou versões mais recentes) que se conectam a listas de reprodução no servidor postadas em pontos de publicação sob demanda em um servidor Windows Media podem avançar, retroceder, buscar ou pular um elemento de mídia. Esses clientes também podem voltar para o elemento de mídia anterior ou


avançar para o próximo na lista de reprodução. (Agora esses controles estão habilitados no cliente.) Que novas funcionalidades ou configurações foram adicionadas ou alteradas? Streaming MMS. O protocolo MMS (Microsoft Media Server) não tem suporte para streaming, e o plug-in Protocolo de Controle de Servidor MMS foi removido do Administrador do Windows Media Services. Observe que, embora não exista suporte para o protocolo MMS, o moniker MMS (mms://) ainda é suportado. Quando clientes compatíveis com o protocolo RTSP se conectarem a um servidor Windows Media usando uma URL com prefixo mms:// (por exemplo, mms://nome_servidor/nome_clipe.wmv), o servidor tentará usar a substituição de protocolo para transmitir o conteúdo ao cliente via RTSP e oferecer uma experiência de streaming ideal. Os clientes que dão suporte a RTSP incluem Windows Media Player 9 Series (ou versões mais recentes do Windows Media Player) ou outros players que usam o controle ActiveX do Windows Media Player 9 Series. Em versões anteriores do Windows Media Player, outros players que não dão suporte ao protocolo RTSP ou players que estão em ambientes nãoRTSP e se conectam ao servidor usando uma URL com prefixo mms://, o servidor tentará usar a substituição de protocolo para transmitir o conteúdo ao cliente via protocolo HTTP. Para que o conteúdo esteja sempre disponível aos clientes que se conectarem ao seu servidor usando uma URL com prefixo mms://, habilite o plug-in Protocolo de Controle de Servidor HTTP do WMS no Administrador do Windows Media Services e abra as portas do firewall para todos os protocolos de conexão que possam ser usados durante a substituição de protocolo. Para obter mais informações, consulte Informações de firewall para Windows Media Services (http://go.microsoft.com/fwlink/?LinkId=82890 - essa página pode estar em inglês). Configuração de Sistema HTTP do Windows Media Services. Se você usa o Windows Media Services e um serviço Web como o Microsoft IIS (Serviços de Informações da Internet) nesse servidor, os dois serviços tentarão se vincular à porta 80 para streaming HTTP. Para evitar conflitos desse tipo, atribua cada serviço a uma porta diferente. Se você atribuir um serviço a uma porta diferente da 80, também deverá abrir a porta correspondente no firewall da rede. Para obter mais informações, consulte Informações de firewall para Windows Media Services (http://go.microsoft.com/fwlink/?LinkId=82890 - essa página pode estar em


inglês). Como alternativa, você pode atribuir endereços IP adicionais para o servidor. Dessa forma, cada serviço pode ter seu próprio endereço IP e compartilhar a porta 80 para streaming HTTP. A maneira mais simples de fazer isso é instalar vários adaptadores de rede no servidor. No entanto, se essa solução não for possível, você poderá criar vários endereços IP em um único adaptador de rede e atribuir endereços de porta 80 separados para eles. Em seguida, você deverá configurar o Windows Media Services e o serviço Web para se vincular a diferentes combinações de endereço IP/porta 80. A ferramenta Configuração de Sistema HTTP do Windows Media Services, que era usada em versões anteriores do Windows Media Services para atribuir endereços IP adicionais aos serviços, não está disponível nesta versão. Agora, você deve configurar a lista de inclusão de IP da pilha do protocolo HTTP (HTTP.sys) usando comandos Netsh avançados. Para obter mais informações, consulte "Comandos Netsh" em Novos recursos de rede do Windows Server 2008 e do Windows Vista®(http://go.microsoft.com/fwlink/?LinkId=82891 - essa página pode estar em inglês). Configuração do firewall. Não é mais necessário adicionar o programa Windows Media Services (Wmserver.exe) como exceção no Firewall do Windows para abrir as portas de entrada padrão para streaming de unicast. Quando você instala a função Serviços de Mídia de Fluxo Contínuo no Windows Server 2008, o programa Windows Media Services é automaticamente adicionado como exceção no Firewall do Windows. Utilitário de Teste de Fluxo. Você deve usar o Gerenciador do Servidor para instalar o recurso Experiência Desktop e poder usar o Utilitário de Teste de Fluxo no Administrador do Windows Media Services. Inicialização Rápida Avançada. A Inicialização Rápida Avançada minimiza a latência da inicialização no Windows Media Player 10 (ou em versões mais recentes) ou no Windows CE versão 5.0 (ou em versões mais recentes) e é habilitado por padrão. Em versões anteriores do Windows Media Services, a Inicialização Rápida Avançada ficava desativada por padrão. QoS (Qualidade de Serviço). O Windows Media Services foi atualizado para usar as diretivas de QoS do Windows Server 2008 para gerenciar o tráfego de rede de saída, em vez de usar ToS (Tipo de Serviço) para entregar fluxos de unicast. Para obter mais informações, consulte


Qualidade de Serviço (http://go.microsoft.com/fwlink/?LinkId=82892 - essa página pode estar em inglês). Preciso alterar algum código existente? Os aplicativos que foram desenvolvidos para funcionar com o Windows Media Services em sistemas operacionais Windows anteriores não exigem alterações para funcionar com o Windows Media Services no Windows Server 2008. Como devo me preparar para implantar esse recurso? Em relação à versão anterior, o Windows Media Services não requer aprimoramentos especiais na rede ou na infra-estrutura de segurança da sua organização. Se você estiver instalando o Windows Media Services no Windows Server 2008 pela primeira vez, antes de continuar verifique os Requisitos de sistema do Windows Media Services (http://go.microsoft.com/fwlink/?LinkId=82893 - essa página pode estar em inglês). O Windows Media Services pode ser implantado em muitos cenários. Após a instalação do Windows Media Services, é recomendável que você consulte o Guia de Implantação do Windows Media (http://go.microsoft.com/fwlink/?LinkId=82894) para saber quais são os requisitos e as recomendações para o seu cenário de streaming. Esse recurso está disponível em todas as edições do Windows Server 2008? Alguns recursos do Windows Media Services não estão disponíveis em certas edições do Windows Server 2008. Se a sua implantação de servidor Windows Media requer um determinado recurso (por exemplo, se você precisa entregar conteúdo para clientes na forma de um fluxo multicast), consulte Identifique a versão do Windows Server mais adequada para você (http://go.microsoft.com/fwlink/?LinkId=82887 - essa página pode estar em inglês) para determinar que edição do Windows Server 2008 deve ser instalada.


005 - Windows Server 2008_Função Serviços de Mídia de Streaming