Práticas recomendadas do Servidor de Políticas de Rede

Artigo
03/09/2023

Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016

Use este tópico para saber mais sobre as melhores práticas para implantar e gerenciar o NPS (Servidor de Políticas de Rede).

As seções a seguir fornecem as melhores práticas para diferentes aspectos da implantação do NPS.

Contabilidade

Veja a seguir as melhores práticas para o log do NPS.

Há dois tipos de contabilização ou log no NPS:

Log de eventos para o NPS. Use o log de eventos para registrar eventos NPS nos logs de eventos de segurança e do sistema. Isso é usado principalmente para auditoria e solução de problemas de tentativas de conexão.
Registrar em log as solicitações de autenticação e contabilização do usuário. Você pode registrar em log as solicitações de autenticação de usuário e de contabilização para arquivos de log em formato de texto ou de banco de dados ou fazer logon em um procedimento armazenado em um banco de dados do SQL Server 2000. O log de solicitações é usado principalmente para fins de análise de conexão e cobrança e é útil como uma ferramenta de investigação de segurança, fornecendo a você um método de rastrear a atividade de um invasor.

Para fazer o uso mais eficaz do log do NPS:

Ative o log (inicialmente) para registros de autenticação e contabilização. Modifique essas seleções depois de determinar o que é apropriado para seu ambiente.
Verifique se o log de eventos está configurado com uma capacidade suficiente para manter seus logs.
Faça backup de todos os arquivos de log regularmente, porque eles não podem ser recriados quando são danificados ou excluídos.
Use o atributo Classe RADIUS para controlar o uso e simplificar a identificação de qual departamento ou usuário será cobrado pelo uso. Embora o atributo Classe gerado automaticamente seja exclusivo de cada solicitação, podem existir registros duplicados nos casos em que a resposta ao servidor de acesso é perdida e a solicitação é reenviada. Talvez seja necessário excluir as solicitações duplicadas dos logs para acompanhar com precisão o uso.
Se os servidores de acesso à rede e os servidores proxy RADIUS enviarem periodicamente mensagens de solicitação de conexão fictícias para o NPS para verificar se o NPS está online, use a configuração de registro ping user-name. Essa configuração define o NPS para que ele rejeite automaticamente essas solicitações de conexão falsas sem processá-las. Além disso, o NPS não registra transações envolvendo o nome de usuário fictício em nenhum arquivo de log, o que facilita a interpretação do log de eventos.
Desabilitar o encaminhamento de notificações do NAS. Você pode desabilitar o encaminhamento de mensagens de início e parada de NASs (servidores de acesso à rede) para membros de um grupo remoto de servidores RADIUS configurado no NPS. Para obter mais informações, confira Desabilitar o encaminhamento de notificação do NAS.

Para obter mais informações, confira Configurar a contabilização do Servidor de Políticas de Rede.

Para fornecer failover e redundância com o log do SQL Server, coloque dois computadores que executam o SQL Server em sub-redes diferentes. Use o Assistente para Criar Publicação do SQL Server para configurar a replicação de banco de dados entre os dois servidores. Para obter mais informações, confira Documentação técnica do SQL Server e Replicação do SQL Server.

Autenticação

Veja a seguir as melhores práticas de autenticação.

Use métodos de autenticação baseados em certificado, como os protocolos PEAP e EAP, para autenticação forte. Não use métodos de autenticação somente senha, porque eles são vulneráveis a uma variedade de ataques e não são seguros. Para a autenticação sem fio segura, recomendamos usar o PEAP-MS-CHAP v2, pois o NPS prova a identidade para clientes sem fio usando um certificado de servidor, enquanto os usuários provam a identidade com o nome de usuário e a senha. Para obter mais informações sobre como usar o NPS na sua implantação sem fio, confira Implantar o acesso sem fio autenticado 802.1X baseado em senha.
Implante sua AC (autoridade de certificação) com o AD CS (Active Directory® Certificate Services) ao usar métodos de autenticação forte baseados em certificado, como PEAP e EAP, que exigem o uso de um certificado de servidor em NPSs. Use também a AC para registrar certificados de computador e certificados de usuário. Para obter mais informações sobre como implantar certificados de servidor em servidores do NPS e de Acesso Remoto, confira Implantar certificados de servidor para implantações com fio e sem fio 802.1X.

Importante

O NPS (Servidor de Políticas de Rede) não dá suporte ao uso de caracteres ASCII Estendidos em senhas.

Configuração do computador cliente

Veja a seguir as melhores práticas de configuração do computador cliente.

Configure automaticamente todos os computadores cliente 802.1X membro do domínio usando a Política de Grupo. Para obter mais informações, confira a seção "Configurar políticas de rede sem fio (IEEE 802.11)" no tópico Implantação do acesso sem fio.

Sugestões de instalação

Veja a seguir as melhores práticas para instalar o NPS.

Antes de instalar o NPS, instale e teste cada um dos servidores de acesso à rede usando métodos de autenticação local antes de configurá-los como clientes RADIUS no NPS.
Depois de instalar e configurar o NPS, salve a configuração usando o comando Export-NpsConfiguration do Windows PowerShell. Salve a configuração do NPS com esse comando sempre que reconfigurar o NPS.

Cuidado

O arquivo de configuração do NPS exportado contém segredos compartilhados não criptografados para clientes RADIUS e membros de grupos remotos de servidores RADIUS. Por isso, lembre-se de salvar o arquivo em um local seguro.
O processo de exportação não inclui configurações de log para o Microsoft SQL Server no arquivo exportado. Se você importar o arquivo exportado para outro NPS, precisará configurar manualmente o log do SQL Server no novo servidor.

Ajuste de desempenho do NPS

Veja a seguir as melhores práticas de ajuste de desempenho do NPS.

Para otimizar os tempos de resposta de autenticação e autorização do NPS e minimizar o tráfego de rede, instale o NPS em um controlador de domínio.
Quando os UPNs (nomes de entidade de segurança universal) ou os domínios do Windows Server 2008 e do Windows Server 2003 são usados, o NPS usa o catálogo global para autenticar os usuários. Para minimizar o tempo necessário para fazer isso, instale o NPS em um servidor de catálogo global ou em um servidor que esteja na mesma sub-rede do servidor de catálogo global.
Quando você tiver grupos remotos de servidores RADIUS configurados e, em Políticas de Solicitação de Conexão do NPS, você desmarcar a caixa de seleção Registrar informações de contabilização nos servidores no grupo remoto de servidores RADIUS a seguir, esses grupos ainda receberão mensagens de notificação de início e parada do NAS (servidor de acesso à rede). Isso cria um tráfego de rede desnecessário. Para eliminar esse tráfego, desabilite o encaminhamento de notificação do NAS para servidores individuais em cada grupo remoto de servidores RADIUS desmarcando a caixa de seleção Encaminhar notificações de início e parada de rede para este servidor.

Como usar o NPS em organizações de grande porte

Veja a seguir as melhores práticas de uso do NPS em organizações de grande porte.

Se você estiver usando políticas de rede para restringir o acesso a todos, exceto determinados grupos, crie um grupo universal para todos os usuários para os quais deseja permitir o acesso e crie uma política de rede que permita acesso a esse grupo universal. Não coloque todos os usuários diretamente no grupo universal, especialmente se você tiver um grande número deles na rede. Em vez disso, crie grupos separados que sejam membros do grupo universal e adicione usuários a esses grupos.
Use um UPN para referenciar os usuários sempre que possível. Um usuário pode ter o mesmo UPN, independentemente da associação ao domínio. Essa prática fornece a escalabilidade que pode ser necessária em organizações com um grande número de domínios.
Se você instalou o NPS (Servidor de Políticas de Rede) em um computador diferente de um controlador de domínio e o NPS está recebendo um grande número de solicitações de autenticação por segundo, aprimore o desempenho do NPS aumentando o número de autenticações simultâneas permitidas entre o NPS e o controlador de domínio. Para obter mais informações, confira Aumentar as autenticações simultâneas processadas pelo NPS.

Problemas de segurança

Veja a seguir as melhores práticas para reduzir problemas de segurança.

Quando você estiver administrando um NPS remotamente, não envie dados confidenciais (por exemplo, segredos compartilhados ou senhas) pela rede em texto sem formatação. Há dois métodos recomendados para a administração remota de NPSs:

Usar os Serviços de Área de Trabalho Remota para acessar o NPS. Quando você usa os Serviços de Área de Trabalho Remota, os dados não são enviados entre o cliente e o servidor. Somente a interface do usuário do servidor (por exemplo, a área de trabalho do sistema operacional e a imagem do console do NPS) é enviada para o cliente dos Serviços de Área de Trabalho Remota, que é chamado de Conexão de Área de Trabalho Remota no Windows® 10. O cliente envia a entrada de teclado e mouse, que é processada localmente pelo servidor que tem os Serviços de Área de Trabalho Remota habilitados. Quando os usuários dos Serviços de Área de Trabalho Remota fazem logon, eles podem ver apenas as respectivas sessões de cliente individuais, que são gerenciadas pelo servidor e são independentes umas das outras. Além disso, a Conexão de Área de Trabalho Remota fornece criptografia de 128 bits entre o cliente e o servidor.
Usar o protocolo IPsec para criptografar dados confidenciais. Use o IPsec para criptografar a comunicação entre o NPS e o computador cliente remoto que você está usando para administrar o NPS. Para administrar o servidor remotamente, instale as Ferramentas de Administração de Servidor Remoto para Windows 10 no computador cliente. Após a instalação, use o MMC (Console de Gerenciamento Microsoft) para adicionar o snap-in do NPS ao console.