Especial Windows Vista: segurança e gerenciamento de redes

Uma das características mais marcantes de nosso tempo é a necessidade de estarmos conectados, seja a uma rede corporativa ou, até mesmo, aos computadores que temos em casa. A conectividade de rede é importante para que as pessoas, em sua grande maioria, possam trabalhar. Do mesmo modo, há mais expectativas dos usuários em relação à mobilidade, à capacidade de conectar seus laptops de propriedade da empresa a quase todas as redes públicas ou domésticas em qualquer lugar.

Muitas mudanças ocorreram desde o lançamento do Windows XP, entre as quais o aumento da necessidade de recursos de rede sem fio em qualquer lugar que os usuários estejam; normas governamentais ou do setor, como as leis Sarbanes-Oxley e HIPAA; e a necessidade de reduzir custos e utilizar os investimentos atuais de maneira mais eficiente.

Os usuários pressupõem que os recursos de rede já estão disponíveis e ficam frustrados com o menor indício de problemas de conectividade. Por fim, os usuários ganharam mobilidade jamais vista antes e não podem manter conexão apenas com a rede da empresa – precisam se conectar a praticamente qualquer rede no perímetro urbano.

A Pilha TCP/IP

O Windows Vista inclui uma implementação atualizada da pilha do TCP/IP, a qual oferece melhorias significativas que resolvem vários problemas importantes do sistema de rede, proporcionando melhor desempenho e transferência, uma arquitetura Wi-Fi nativa e APIs para inspeção de pacotes de rede.

A maximização do uso de rede requer definições complexas das configurações de TCP/IP. O Windows Vista elimina a necessidade de fazer isso manualmente por meio da detecção das condições da rede e da otimização automática do desempenho. Em redes com grande perda, como as redes sem fio, o Windows Vista pode melhorar a recuperação da perda de um ou de vários pacotes. Assim, é possível aumentar ou diminuir a janela de recebimento do TCP de maneira dinâmica a fim de utilizar totalmente o link. Os usuários que transferem arquivos através de uma WAN de alta velocidade/alta latência ou que fazem o download de arquivos da Internet devem notar que as transferências serão bem mais rápidas.

O Windows Vista também inclui uma arquitetura nativa de rede (WiFi Nativa) como parte de sua pilha principal de sistema de rede. Os benefícios incluem implantação flexível em várias marcas e modelos de hardware, experiências semelhantes entre os usuários em qualquer hardware e unidades NIC sem fio de terceiros mais confiáveis. O sistema de rede sem fio no Windows Vista pode ter gerenciamento centralizado, oferecer suporte aos mais recentes protocolos de segurança e proporcionar ao usuário uma experiência de rede sem interrupções.

A WFP (Windows Filtering Platform) é uma nova arquitetura na Next Generation TCP/IP Stack que fornece APIs que podem ser usadas por desenvolvedores de software de terceiros para que eles participem das decisões de filtragem que ocorrem em várias camadas da pilha do protocolo TCP/IP sem precisar gravar seus próprios aplicativos no modo kernel. A plataforma também fornece suporte a recursos de firewall de ponta, como a comunicação autenticada e a configuração dinâmica de firewall baseada no uso dos aplicativos da API do Windows Sockets (diretiva baseada em aplicativo).

Autonomia do usuário

O Centro de compartilhamento e de rede é um local único no qual os usuários verificam o status da rede – se estão conectados, a quais unidades estão ligados e se estão na rede local ou na Internet. Além disso, podem ver o status dos vários serviços de rede em seus computadores. O computador está detectável na rede local? Há pastas ou impressoras compartilhadas? O usuário também pode criar ou usar uma conexão de rede existente, seja uma rede ad hoc ou de infra-estrutura sem fio, VPN ou conexão de banda larga doméstica.

Figura 1 Centro de compartilhamento e de rede
Figura 1 Centro de compartilhamento e de rede (Clique na imagem para diminuir a exibição)

Figura 1 Centro de compartilhamento e de rede

O Windows Vista também é capaz de diagnosticar e resolver vários problemas de conectividade sem que o usuário precise entrar em contato com o suporte técnico. O Network Diagnostics Framework proporciona ao Windows Vista a capacidade de identificar a causa principal do problema de conectividade com base no contexto da ação do aplicativo. Por exemplo, se o usuário não conseguir acessar um site na Internet, o Network Diagnostics tentará rastrear o problema, desde identificar se há alguma conexão sem fio ativa e um endereço IP válido, até acessar o servidor DNS, descobrir o servidor proxy e obter resposta do servidor da Web.

Se o problema for detectado, o usuário receberá uma mensagem identificando claramente o problema e como resolvê-lo. Às vezes, a solução é tão simples como clicar em uma resposta. Em outros casos, o usuário tem de fazer uma alteração na configuração e a caixa de diálogo o levará ao local exato. Às vezes, o usuário simplesmente não pode executar a ação correta por falta de conhecimento ou privilégios administrativos. Nesse caso, informações mais detalhadas são registradas no Event Viewer, de modo que o suporte técnico possa trabalhar na solução do problema rapidamente, em vez de passar horas à procura de uma resolução.

Figura 2 Como solucionar um problema de conectividade
Figura 2 Como solucionar um problema de conectividade (Clique na imagem para diminuir a exibição)

Figura 2 Como solucionar um problema de conectividade

O Windows Vista conta com APIs de reconhecimento de rede que os aplicativos podem chamar para obter o status da conectividade. Desse modo, os aplicativos se mantêm informados das alterações na conectividade e podem identificar o tipo de rede – domínio, pública ou privada – à qual o computador está conectado no momento. Quando o Windows Vista acessa o Controlador de domínio em toda a rede, ele é alternado para o perfil de Domínio automaticamente.

Nenhuma outra rede pode ser colocada nessa categoria. Todas as outras redes são classificadas como públicas, a menos que um usuário ou aplicativo as identifique como privadas. As redes que representam conexões diretas à Internet ou que estão em locais públicos, como aeroportos e cafés, devem permanecer como públicas. Somente as redes localizadas atrás de um dispositivo de gateway devem ser identificadas como privadas ou redes de pequenas empresas.

Com o Reconhecimento de rede, aplicativos como Firewall do Windows e Segurança avançada (descritos posteriormente) podem ter diferentes configurações com base no tipo de rede ao qual estão conectados, bem como alternar automaticamente entre as configurações perante alterações no tipo de rede. Por exemplo, o administrador pode ter configurado o firewall para abrir portas específicas para software de gerenciamento de desktop enquanto o computador estiver conectado à rede de domínio, mas essas mesmas portas deverão ser fechadas automaticamente quando o usuário estiver trabalhando em um ponto de acesso público.

A Diretiva de grupo também reconhece redes no Windows Vista: ele sabe automaticamente quando o computador está na rede de domínio e começa a processar quaisquer configurações de Diretiva de grupo sem precisar esperar pelo próximo ciclo de atualização. Isso significa que o Windows Vista verificará automaticamente as novas configurações da Diretiva de grupo quando se conectar à rede de domínio, mesmo se estiver saindo do modo de hibernação. Isso permite que os administradores implantem configurações de segurança de maneira mais rápida quando o tempo é um fator essencial.

Segurança de rede

A arquitetura Wi-Fi nativa no Windows Vista oferece amplo suporte aos mais recentes protocolos de segurança, incluindo WPA (Wi-Fi Protected Access) 2 Enterprise and Personal, PEAP-TLS e PEAP-MS-CHAP v2 (Protected Extensible Authentication Protocol com Transport Layer Security e Microsoft Challenge Handshake Authentication Protocol). Esse amplo suporte assegura interoperabilidade entre o Windows Vista e praticamente todas as infra-estruturas sem fio. Os recursos da placa de rede sem fio são examinados pelo Windows Vista e o protocolo mais seguro é escolhido por padrão durante a conexão ou criação de redes sem fio. Usando a nova estrutura EAP-HOST, o Windows Vista é capaz de oferecer suporte a mecanismos de autenticação personalizados definidos por uma organização ou fornecedor de hardware.

O Windows Vista inclui várias melhorias ao comportamento do cliente sem fio para mitigar os ataques comuns aos dispositivos sem fio. O cliente estabelecerá conexão automática somente com redes solicitadas ou identificadas explicitamente pelo usuário como redes preferenciais e não estabelecerá conexão automática com redes ad hoc. O cliente também fornecerá um aviso se o usuário estiver prestes a iniciar uma conexão com uma rede não protegida. Além disso, o cliente investigará ativamente à procura de poucas redes preferenciais e somente mediante instruções do usuário, o que dificulta aos invasores a identificação da rede à qual o cliente está tentando se conectar e a criação de uma rede não autorizada com o mesmo nome.

O cliente sem fio nativo do Windows Vista oferece suporte a um recurso SSO (Sign-on único) que executa a autenticação de rede de Camada 2 no momento apropriado devido à configuração de segurança da rede, ao mesmo tempo em que se integra à experiência de logon do usuário do Windows. Quando o perfil de sign-on único estiver configurado, o logon na rede terá precedência sobre o logon do Windows. Esse recurso permite cenários como atualizações da Diretiva de grupo, execução de scripts de logon e inicializações sem fio, que requerem conectividade de rede antes de efetuar logon.

O Firewall do Windows com Segurança avançada traz um novo nível de segurança de rede à plataforma Windows, fornecendo suporte para a filtragem de entrada e saída, bem como Windows Service Hardening. Se for detectado um comportamento ruim em um serviço do Windows, de acordo com o que foi definido pelas regras de rede do Windows Service Hardening, o firewall o bloqueará. O Firewall do Windows com Segurança avançada também oferece suporte a Bypass autenticado, permitindo que determinados computadores autenticados com IPsec ignorem as regras do firewall para tarefas como gerenciamento remoto.

Uma das mudanças mais importantes no Firewall do Windows é sua integração com o IPsec. No passado, os administradores precisavam contar com duas ferramentas separadas, um firewall e uma ferramenta de implantação e gerenciamento de Ipsec, para criar um conjunto de regras de segurança de rede em camadas. Com o Windows Vista, os administradores podem criar regras simples de segurança de rede capazes de combinar regras de porta de firewall e de IPsec a fim de proteger a rede contra acesso não autorizado. A integração apresenta uma maneira simples de impor comunicações de rede autenticadas, de ponta a ponta, proporcionando acesso escalonável e em camadas a recursos de rede confiáveis e/ou protegendo a confidencialidade e a integridade dos dados.

O administrador pode isolar a rede corporativa de modo lógico em zonas que podem ser acessadas por qualquer computador (inclusive convidados) ou apenas pelos computadores autenticados ao domínio (Isolamento de domínio). O administrador pode isolar ainda mais servidores específicos que devem ser acessados somente por um determinado conjunto de usuários ou computadores, por exemplo, o servidor de aplicativos de RH pode ficar restrito aos computadores do grupo de RH (Isolamento de servidor).

Figura 3 Server and Domain Isolation

Vírus ou worms podem entrar em redes privadas através de um laptop e infectar rapidamente outros computadores. O Windows Vista, ao conectar-se a uma infra-estrutura de rede baseada no Windows Server com o codinome “Longhorn” (a próxima versão do Windows Server), oferecerá suporte à NAP (Proteção de acesso a rede) para reduzir os riscos de conexão direta entre computadores com problemas e redes privadas ou através de uma conexão VPN. Se um computador que executa o Windows Vista estiver sem atualizações de segurança, assinaturas de vírus ou não atender aos requisitos de segurança corporativa, a NAP bloqueará o acesso total do computador à rede. Então, o computador será conectado a uma rede restrita na qual poderá baixar e instalar as atualizações, as assinaturas de antivírus ou as definições de configuração necessárias para atender aos atuais requisitos de integridade.

Gerenciamento de rede simplificado

Os recursos de rede do Windows Vista foram desenvolvidos para oferecer suporte a altos níveis de capacidade de gerenciamento a fim de ajudar a reduzir o custo de implantação de redes sem fio e diretivas de segurança de rede, bem como para oferecer qualidade de serviço a aplicativos e usuários. O Windows Vista usa extensivamente a Diretiva de grupo ou a criação de scripts de linha de comando por meio de NETSH (Network Shell) para gerenciar recursos de rede, portanto, você não precisa aprender ou implantar uma nova ferramenta de gerenciamento e pode tirar proveito do investimento atual no Active Directory® e na estrutura OU (Unidade organizacional) que já foi criada.

A implantação e o gerenciamento de regras de segurança de rede – em conjunto com diretivas de IPsec e firewall – foram simplificados em um snap-in único e orientado por assistente do MMC (Console de gerenciamento Microsoft) chamado Firewall do Windows com Segurança avançada (consulte a Figura 4) ou criação de scripts de linha de comando por meio do NETSH. O novo snap-in proporciona uma maneira simples de implantar filtragem de entrada ou saída e regras de segurança de conexão que limitam acesso a usuários, computadores ou aplicativos específicos ao mesmo tempo em que oferece um nível granular de controle administrativo. O IPSec pode solicitar ou exigir autenticação do usuário, computador ou certificado de integridade (incorporado à Proteção de acesso a rede) para proporcionar uma diretiva de segurança baseada em cenário. O snap-in facilita a criação de regras de isolamento de servidor ou domínio e, como ele é baseado na Diretiva de grupo, pode-se definir essas regras com base na estrutura de sua empresa.

Figura 4 Firewall do Windows Firewall com Segurança avançada
Figura 4 Firewall do Windows Firewall com Segurança avançada (Clique na imagem para diminuir a exibição)

Figura 4 Firewall do Windows Firewall com Segurança avançada

Com a Diretiva de grupo, você também pode definir como os clientes móveis estabelecerão conexão com as redes sem fio e como irão operá-las. Por exemplo, uma empresa pode definir uma diretiva que exige que todas as conexões sem fio usem um determinado protocolo ou que todas as conexões devem ser limitadas a uma rede sem fio específica. Como essas configurações são feitas por meio da Diretiva de grupo, o usuário final talvez não consiga alterá-las.

O NETSH permite a automação e a criação de scripts para auxiliar na solução de problemas de conexões de rede sem fio. Com a interface de linha de comando, os administradores podem verificar, alterar ou remover perfis de configuração da rede sem fio de um cliente. Esses perfis de configuração também podem ser exportados para e importados de outros computadores a fim de expedir o provisionamento de vários computadores.

Pode haver uma redução na qualidade de rede, pois os aplicativos de alta largura de banda tendem a consumir toda a capacidade disponível e os aplicativos não são desenvolvidos para proporcionar controle de largura de banda centralizado aos administradores de TI. Aumentar a largura de banda talvez não resolva esses problemas. Em vez disso, essa ação apenas faz com que os mesmos aplicativos consumam a capacidade recém-adicionada. Com a QoS (Qualidade de Serviço) baseada em diretivas, os administradores podem priorizar e/ou acelerar o tráfego de saída da rede sem a necessidade de alterar os aplicativos. As diretivas podem marcar o tráfego de saída com um valor de DSCP (Ponto de código de serviços diferenciados) para que os roteadores priorizem ou podem deixar o Windows Vista acelerar o volume de tráfego de saída enviado, independentemente da configuração do roteador. A combinação de ambas as técnicas proporciona flexibilidade ainda maior.

10 respostas para Especial Windows Vista: segurança e gerenciamento de redes

  1. leandro lopes disse:

    gostaria de baixar um programa onde quando o pc é ligado a parece automatico um sistema onde é pedido um senha de acesso e so quem possui a senha consiga entar …
    pois estao invadindo meu computador para acessar sem minha permicao…
    obrigado pela atencao

  2. ronaldo muterle jardim disse:

    maravilhoso

  3. Alan Irion disse:

    O problema caros colegas é que não consigo fazer minha rede doméstica funcionar isso pq paguei 900 reais no WVU (windows vista ultimate) de vez em quando minha internet banda larga desliga do nada mais o windows acha que ela esta conectada o vista é melhor em tudo em relação ao XP menos em quesito de conectividade é extremamente automático tão automático q no final vc n tem controle quase algum!!!

  4. Thi disse:

    Eu gostaria de saber como mudo um IP Fixo no vista?
    Utilizo o Virtua e não consigo mudar o meu ip.

  5. Samuel Medeiros disse:

    ola eu queria saber como saber minha chave do meu router wireless . porque quando eu vou configurar o neu noteboock como o Vista ele pede a chave e eu nao sei

  6. Kito disse:

    Muito bom o artigo, achei interessante essa parte de rede no windows vista, apesar que ainda assim prefiro o linux. Vc me salvou!!!!!!!! precisava disso ai pra um trabalho na facul, muito obrigado.

  7. izabel disse:

    parabéns me ajudou muito
    espero que tenha mais sites como este.
    falou!

  8. Jonathan disse:

    Gostaria de saber se tem como eu gerenciar minha wireless. Tipo quando se conctar a uma rede que foi localizada em sua busca, essa busca de redes disponiveis so voltasse a ser verificada quando não estiver conectado a uma determinada rede.

    Muito obrigado

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

%d blogueiros gostam disto: