Implantar acesso sem fio autenticado 802.1X baseado em senha
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Este é um guia complementar à Guia de Rede Principal do Windows Server® 2016. A Guia de Rede Principal fornece instruções para planejar e implantar os componentes necessários para uma rede totalmente operacional e um novo domínio do Active Directory® em uma nova floresta.
Este guia explica como desenvolver uma rede principal e fornece instruções sobre como implantar o acesso sem fio IEEE 802.11 com autenticação 802.1 X do Instituto de Engenheiros Eletricistas e Eletrônicos usando o Protocolo de Autenticação Extensível Protegido – Microsoft Challenge Handshake Authentication Protocol versão 2 (PEAP-MS-CHAP v2).
Como o PEAP-MS-CHAP v2 exige que os usuários forneçam credenciais baseadas em senha em vez de um certificado durante o processo de autenticação, normalmente é mais fácil e menos caro implantar do que EAP-TLS ou PEAP-TLS.
Observação
Neste guia, o acesso sem fio autenticado do IEEE 802.1X com PEAP-MS-CHAP v2 é abreviado para "acesso sem fio" e "acesso WiFi".
Sobre este guia
Esta guia, em combinação com as guias de pré-requisito descritos abaixo, fornece instruções sobre como implantar a infraestrutura de acesso WiFi a seguir.
Um ou mais pontos de acesso (APs) 802.11 com capacitação 802.1X.
Usuários e computadores dos serviços de AD DS (Active Directory Domain Services).
Gerenciamento de Política de Grupo.
Um ou mais servidores do Servidor de Políticas de Rede (NPS).
Certificados de servidor para computadores que executam o NPS.
Computadores cliente sem fio que executam o Windows® 10, Windows 8.1 ou Windows 8.
Dependências desta guia
Para implantar sem fio autenticado com êxito com esta guia, tenha um ambiente de rede e domínio com todas as tecnologias necessárias implantadas. Você também deve ter certificados de servidor implantados em seus NPSs de autenticação.
As seções a seguir fornecem links para a documentação que mostra como implantar essas tecnologias.
Dependências de ambiente de rede e domínio
Essa guia foi criada para administradores de rede e do sistema que seguiram as instruções da Guia de Rede Principal do Windows Server 2016 para implantar uma rede principal ou para aqueles que já implantaram as principais tecnologias incluídas na rede principal, incluindo AD DS, DNS (Sistema de Nome de Domínio), protocolo DHCP, TCP/IP, NPS e WINS (Serviço de Cadastramento na Internet do Windows).
A Guia de Rede Principal do Windows Server 2016 está disponível na Biblioteca Técnica do Windows Server 2016.
Dependências de certificado do servidor
Há duas opções disponíveis para registrar servidores de autenticação com certificados de servidor para uso com a autenticação 802.1X. Implantar sua própria infraestrutura de chave pública usando o AD CS (Serviços de Certificados do Active Directory) ou usar certificados de servidor registrados por uma AC (autoridade de certificação pública).
AD CS
Os administradores de rede e sistema que implantam sem fio autenticado devem seguir as instruções na Guia complementar de Rede Principal do Windows Server 2016, Implantar certificados de servidor para implantações com fio e sem fio 802.1X. Esta guia explica como implantar e usar o AD CS para registrar automaticamente certificados de servidor em computadores que executam o NPS.
Este guia está disponível no local a seguir.
- A guia complementar de Rede Principal do Windows Server 2016 Implanta certificados do servidor para implantações com fio e sem fio 802.1X no formato HTML na Biblioteca Técnica.
CA Pública
Compre certificados do servidor de uma AC pública, como VeriSign, em que os computadores cliente já confiam.
Um computador cliente confia em uma AC quando o certificado de AC é instalado no repositório de certificados autoridades de certificação raiz confiáveis. Por padrão, os computadores que executam o Windows têm vários certificados de AC públicos instalados em seu repositório de certificados de Autoridades de Certificação Raiz Confiáveis.
É recomendável que você examine os guias de design e implantação de cada uma das tecnologias usadas neste cenário de implantação. Esses guias podem ajudar a determinar se o cenário de implantação fornece os serviços e as configurações que você precisa para a rede de sua organização.
Requisitos
A seguir estão os requisitos para implantar uma infraestrutura de acesso sem fio usando o cenário documentado neste guia:
Antes de implantar esse cenário, primeiro você deve comprar pontos de acesso sem fio compatíveis com 802.1X para fornecer cobertura sem fio nos locais desejados em seu site. A seção de planejamento deste guia ajuda a determinar os recursos aos quais seus APs devem dar suporte.
O AD DS (Active Directory Domain Services) está instalado, assim como as outras tecnologias de rede necessárias, de acordo com as instruções na Guia de Rede Principal do Windows Server 2016.
O AD CS é implantado e os certificados de servidor são registrados em NPSs. Esses certificados são necessários ao implantar o método de autenticação baseado em certificado PEAP-MS-CHAP v2 usado neste guia.
Um membro da sua organização está familiarizado com os padrões IEEE 802.11 compatíveis com seus APs sem fio e os adaptadores de rede sem fio instalados nos computadores e dispositivos cliente em sua rede. Por exemplo, alguém em sua organização está familiarizado com tipos de radiofrequência, autenticação sem fio 802.11 (WPA2 ou WPA) e criptografias (AES ou TKIP).
O que este guia não contém
A seguir estão alguns itens que esta guia não fornece:
Diretrizes abrangentes para selecionar pontos de acesso sem fio compatíveis com 802.1X
Como existem muitas diferenças entre marcas e modelos de APs sem fio compatíveis com 802.1X, esta guia não fornece informações detalhadas sobre:
Determinar qual marca ou modelo de AP sem fio é mais adequado às suas necessidades.
A implantação física de APs sem fio em sua rede.
Configuração avançada de AP sem fio, como para VLANs (Redes locais) virtuais sem fio.
Instruções sobre como configurar atributos específicos do fornecedor de AP sem fio no NPS.
Além disso, a terminologia e os nomes das configurações variam entre marcas e modelos de AP sem fio e podem não corresponder aos nomes de configuração genéricos usados neste guia. Para obter detalhes de configuração de AP sem fio, examine a documentação do produto fornecida pelo fabricante de seus APs sem fio.
Instruções para implantar certificados do NPS
Há duas alternativas para implantar certificados do NPS. Esta guia não fornece diretrizes abrangentes para ajudá-lo a determinar qual alternativa atenderá melhor às suas necessidades. Em geral, no entanto, as escolhas que você enfrenta são:
Comprar certificados de uma AC pública, como o VeriSign, que já são confiáveis para clientes baseados no Windows. Normalmente, essa opção é recomendada para redes menores.
Implantando uma PKI (Infraestrutura de Chave Pública) em sua rede usando o AD CS. Isso é recomendado para a maioria das redes e as instruções sobre como implantar certificados de servidor com o AD CS estão disponíveis na guia de implantação mencionado anteriormente.
Políticas de rede do NPS e outras configurações de NPS
Exceto pelas definições de configuração feitas ao executar o assistente Configurar 802.1X, conforme documentado neste guia, este guia não fornece informações detalhadas para definir manualmente condições, restrições ou outras configurações de NPS.
DHCP
Esta guia de implantação não fornece informações sobre como projetar ou implantar sub-redes do DHCP para LANs sem fio.
Visões gerais da tecnologia
A seguir estão as visões gerais de tecnologia para implantar o acesso sem fio:
IEEE 802.1X
O padrão IEEE 802.1X define o controle de acesso à rede baseado em porta que é usado para fornecer o acesso de rede autenticado às redes Ethernet. Este controle de acesso à rede baseado em porta usa as características físicas da infraestrutura da LAN para autenticar dispositivos anexados a uma porta LAN. O acesso à porta pode ser negado se o processo de autenticação falhar. Apesar de este padrão ter sido planejado para redes com fio Ethernet, ele foi adaptado para o uso em LANs com fio 802.11.
APs (pontos de acesso sem fio) compatíveis com 802.1X
Esse cenário requer a implantação de um ou mais APs sem fio compatíveis com 802.1X compatíveis com o protocolo RADIUS (Remote Authentication Dial-In User Service).
APs compatíveis com 802.1X e RADIUS, quando implantados em uma infraestrutura RADIUS, com um servidor RADIUS como um servidor do NPS, são chamados declientes RADIUS.
Clientes sem fio
Esta guia fornece detalhes de configuração abrangentes para fornecer acesso autenticado 802.1X para usuários membros do domínio que se conectam à rede com computadores cliente sem fio que executam o Windows 10, Windows 8.1 e Windows 8. Os computadores devem ser ingressados no domínio para estabelecer com êxito o acesso autenticado.
Observação
Você também pode usar computadores que executam o Windows Server 2016, Windows Server 2012 R2 e Windows Server 2012 como clientes sem fio.
Suporte para padrões IEEE 802.11
Os sistemas operacionais do Windows e Windows Server com suporte fornecem suporte interno para rede sem fio 802.11. Nesses sistemas operacionais, um adaptador de rede sem fio 802.11 instalado aparece como uma conexão de rede sem fio na Central de Rede e Compartilhamento.
Embora haja suporte interno para rede sem fio 802.11, os componentes sem fio do Windows contam com o seguinte:
Os recursos do adaptador de rede sem fio. O adaptador de rede sem fio instalado deve dar suporte à LAN sem fio ou aos padrões de segurança sem fio necessários. Por exemplo, se o adaptador de rede sem fio não der suporte ao WPA (Acesso Protegido Wi-Fi), você não poderá habilitar ou configurar opções de segurança do WPA.
Os recursos do driver do adaptador de rede sem fio. Para permitir configurar opções de rede sem fio, o driver do adaptador de rede sem fio deve dar suporte ao relatório de todos os seus recursos para o Windows. Verifique se o driver do adaptador de rede sem fio está escrito para os recursos do sistema operacional. Verifique também se o driver é a versão mais atual verificando o Microsoft Update ou o site do fornecedor do adaptador de rede sem fio.
A tabela a seguir mostra as taxas de transmissão e as frequências para padrões sem fio comuns do IEEE 802.11.
| Padrões | Frequências | Taxas de transmissão de bits | Uso |
|---|---|---|---|
| 802.11 | Intervalo de frequência industrial, científica e médica (ISM) de Banda S (2,4 a 2,5 GHz) | 2 megabits por segundo (Mbps) | Obsoleto. Não usado com frequência. |
| 802.11b | ISM de Banda S | 11 Mbps | Usado com frequência. |
| 802.11a | ISM de Banda C (5,725 a 5,875 GHz) | 54 Mbps | Não usado com frequência devido a despesas e intervalo limitado. |
| 802.11g | ISM de Banda S | 54 Mbps | Amplamente usado. Os dispositivos 802.11g são compatíveis com dispositivos 802.11b. |
| 802,11n \2,4 e 5,0 GHz | ISM de Banda C e Banda S | 250 Mbps | Os dispositivos com base no padrão IEEE 802,11n de pré-ratificação ficaram disponíveis em agosto de 2007. Muitos dispositivos de 802,11n são compatíveis com dispositivos 802,11a, b e g. |
| 802.11ac | 5 GHz | 6,93 Gbps | O 802.11ac, aprovado pelo IEEE em 2014, é mais escalonável e mais rápido que 802.11n e é implantado onde os APs e os clientes sem fio dão suporte a ele. |
Métodos de segurança de rede sem fio
Os métodos de segurança de rede sem fio são um agrupamento informal de autenticação sem fio (às vezes chamado de segurança sem fio) e criptografia de segurança sem fio. A autenticação e a criptografia sem fio são usadas em pares para impedir que usuários não autorizados acessem a rede sem fio e protejam transmissões sem fio.
Ao definir as configurações de segurança sem fio nas Políticas de Rede Sem Fio da Política de Grupo, há várias combinações para escolher. No entanto, somente os padrões de autenticação WPA2-Enterprise, WPA-Enterprise e Open com 802.1X têm suporte para implantações sem fio autenticadas 802.1X.
Observação
Ao configurar políticas de rede sem fio, selecione WPA2-Enterprise, WPA-Enterprise ou Open com 802.1X para obter acesso às configurações de EAP necessárias para implantações sem fio autenticadas 802.1X.
Autenticação sem fio
Esta guia recomenda o uso dos seguintes padrões de autenticação sem fio para implantações sem fio autenticadas 802.1X.
Acesso Protegido por Wi-Fi – Enterprise (WPA-Enterprise) O WPA é um padrão provisório desenvolvido pela WiFi Alliance para cumprir o protocolo de segurança sem fio 802.11. O protocolo WPA foi desenvolvido em resposta a uma série de falhas graves que foram descobertas no protocolo WEP (Privacidade Equivalente com Fio) anterior.
WPA-Enterprise fornece segurança aprimorada em relação ao WEP ao:
Exigir autenticação que usa a estrutura EAP 802.1X como parte da infraestrutura que garante a autenticação mútua centralizada e o gerenciamento dinâmico de chaves
Aprimorar o ICV (Valor de Verificação de Integridade) com uma MIC (Verificação de Integridade da Mensagem) para proteger o cabeçalho e o conteúdo
Implementar um contador de quadros para desencorajar ataques de reprodução
Acesso Protegido por Wi-Fi 2 – Enterprise (WPA2-Enterprise) Assim como o padrão WPA-Enterprise, o WPA2-Enterprise usa a estrutura 802.1X e EAP. O WPA2-Enterprise fornece proteção de dados mais forte para vários usuários e grandes redes gerenciadas. O WPA2-Enterprise é um protocolo robusto projetado para impedir o acesso não autorizado à rede ao verificar usuários de rede por meio de um servidor de autenticação.
Criptografia de segurança sem fio
A criptografia de segurança sem fio é usada para proteger as transmissões sem fio enviadas entre o cliente sem fio e a AP sem fio. A criptografia de segurança sem fio é usada em conjunto com o método de autenticação de segurança de rede selecionado. Por padrão, os computadores que executam o Windows 10, Windows 8.1 e Windows 8 dão suporte a dois padrões de criptografia:
O Protocolo de TKIP (Integridade de Chave Temporal) é um protocolo de criptografia mais antigo que foi originalmente projetado para fornecer criptografia sem fio mais segura do que a fornecida pelo protocolo WEP (Privacidade Equivalente com Fio) inerentemente fraco. O TKIP foi projetado pelo grupo de tarefas IEEE 802.11i e pela Wi-Fi Alliance para substituir o WEP sem exigir a substituição do hardware herdado. O TKIP é um conjunto de algoritmos que encapsula a carga do WEP e permite que os usuários de equipamentos WiFi herdados atualizem para o TKIP sem substituir o hardware. Assim como o WEP, o TKIP usa o algoritmo de criptografia de fluxo RC4 como base. No entanto, o novo protocolo criptografa cada pacote de dados com uma chave de criptografia exclusiva e as chaves são muito mais fortes do que as do WEP. Embora o TKIP seja útil para atualizar a segurança em dispositivos mais antigos que foram projetados para usar apenas o WEP, ele não resolve todos os problemas de segurança enfrentados por LANs sem fio e, na maioria dos casos, não é suficientemente robusto para proteger transmissões de dados confidenciais governamentais ou corporativas.
O AES (Padrão de Criptografia Avançado) é o protocolo de criptografia preferencial para a criptografia de dados comerciais e governamentais. O AES oferece um nível mais alto de segurança de transmissão sem fio do que o TKIP ou WEP. Ao contrário do TKIP e do WEP, o AES requer hardware sem fio que dá suporte ao padrão AES. O AES é um padrão de criptografia de chave simétrica que usa três criptografias de bloco, AES-128, AES-192 e AES-256.
No Windows Server 2016, os seguintes métodos de criptografia sem fio baseados em AES estão disponíveis para configuração em propriedades de perfil sem fio ao selecionar um método de autenticação do WPA2-Enterprise, que é recomendado.
- AES-CCMP. O Protocolo CCMP (protocolo de código de autenticação de mensagem de encadeamento de bloco de criptografia do modo contador) implementa o padrão 802.11i e é projetado para criptografia de segurança mais alta do que a fornecida pelo WEP e usa chaves de criptografia AES de 128 bits.
- AES-GCMP. O GCMP (protocolo do modo contador Galois) tem suporte no 802.11ac, é mais eficiente que o AES-CCMP e fornece melhor desempenho para clientes sem fio. O GCMP usa chaves de criptografia AES de 256 bits.
Importante
A WEP (Privacidade de Equivalência com Fio) era o padrão de segurança sem fio original que era usado para criptografar o tráfego de rede. Não implante o WEP em sua rede porque há vulnerabilidades muito conhecidas nessa forma de segurança desatualizada.
Active Directory Domain Services (AD DS)
O AD DS fornece um banco de dados distribuído que armazena e gerencia informações sobre recursos da rede e dados específicos de aplicativos habilitados por diretório. Os administradores podem usar AD DS para organizar elementos de uma rede, como usuários, computadores e outros dispositivos, em uma estrutura de confinamento hierárquica. A estrutura de confinamento hierárquica inclui a floresta do Active Directory, domínios na floresta e unidades organizacionais (OUs) em cada domínio. Um servidor que executa AD DS é chamado de controlador de domínio.
O AD DS contém as contas de usuário, contas de computador e propriedades da conta exigidas pelo IEEE 802.1X e PEAP-MS-CHAP v2 para autenticar as credenciais do usuário e avaliar a autorização para conexões sem fio.
Usuários e computadores do Active Directory
Usuários e Computadores do Active Directory são um componente do AD DS que contém contas que representam entidades físicas, como um computador, uma pessoa ou um grupo de segurança. Um grupo de segurança é uma coleção de contas de usuário ou computador que os administradores podem gerenciar como uma única unidade. As contas de usuário e computador que pertencem a um determinado grupo são denominadas membros do grupo.
Gerenciamento de Política de Grupo
O Gerenciamento de Política de Grupo permite o gerenciamento de configurações e alterações baseadas em diretório de configurações de usuário e computador, incluindo informações de segurança e de usuário. Use a Política de Grupo para definir configurações para grupos de usuários e computadores. Com a Política de Grupo, é possível especificar configurações para entradas do Registro, segurança, instalação de software, scripts, redirecionamento de pastas, serviços de instalação remota e manutenção do Internet Explorer. As configurações de Política de Grupo criadas estão contidas em um GPO (Objeto Política de Grupo). Ao associar um GPO a contêineres de sistema do Active Directory selecionados — sites, domínios e OUs — é possível aplicar as configurações do GPO aos usuários e computadores nesses contêineres do Active Directory. Para gerenciar objetos Política de Grupo em uma empresa, use o MMC (Console de Gerenciamento da Microsoft) do Editor de Gerenciamento de Política de Grupo.
Esta guia fornece instruções detalhadas sobre como especificar configurações na extensão de Políticas de Rede Sem Fio (IEEE 802.11) do Gerenciamento de Política de Grupo. As Políticas de Rede Sem Fio (IEEE 802.11) configuram computadores cliente sem fio membro do domínio com as configurações de conectividade e sem fio necessárias para acesso sem fio autenticado 802.1X.
Certificados do servidor
Este cenário de implantação exige certificados do servidor para cada NPS que execute a autenticação 802.1X.
Um certificado do servidor é um documento digital que costuma ser usado para autenticação e para proteger informações em redes abertas. O certificado liga de forma segura uma chave pública à entidade que mantém a chave privada correspondente. Os certificados são assinados digitalmente pela AC emissora, e podem ser emitidos para um usuário, um computador ou um serviço.
Uma AC (Autoridade de Certificação) é a entidade responsável por estabelecer e confirmar a autenticidade das chaves públicas pertencentes a sujeitos (geralmente usuários ou computadores) ou outras ACs. As atividades de uma autoridade de certificação podem incluir a associação das chaves públicas a nomes destacados por meio de certificados assinados, gerenciamento de números de série de certificados e revogação de certificados.
O AD CS (Serviços de Certificados do Active Directory) é uma função de servidor que emite certificados como uma AC de rede. Uma infraestrutura de certificados do AD CS, também conhecida como PKI (Infraestrutura de Chave Pública), oferece serviços personalizáveis para a emissão e o gerenciamento de certificados para a empresa.
EAP, PEAP e PEAP-MS-CHAP v2
O protocolo EAP (protocolo de autenticação extensível) estende o protocolo PPP (protocolo ponto a ponto) ao permitir métodos adicionais de autenticação que usam credenciais e troca de informações de comprimentos arbitrários. Com a autenticação EAP, tanto o cliente de acesso à rede como o autenticador (como o NPS), devem suportar o mesmo tipo de EAP para que a autenticação seja bem-sucedida. Windows Server 2016 inclui uma infraestrutura de EAP, dá suporte a dois tipos de EAP e à capacidade de passar mensagens de EAP para NPSs. Usando o EAP, é possível dar suporte a esquemas de autenticação adicionais, conhecidos como tipos de EAP. Os tipos de EAP com suporte ao Windows Server 2016 são:
Protocolo TLS
MS-CHAP v2 (Microsoft Challenge Handshake Authentication Protocol versão 2)
Importante
Tipos de EAP fortes (como aqueles baseados em certificados) oferecem melhor segurança contra ataques de força bruta, ataques de dicionário e ataques de adivinhação de senha do que protocolos de autenticação baseados em senha (como CHAP ou MS-CHAP versão 1).
O PEAP (EAP protegido) usa o TLS para criar um canal criptografado entre um cliente de PEAP de autenticação, como um computador sem fio, e um autenticador do PEAP, como um NPS ou outros servidores do RADIUS. O PEAP não especifica um método de autenticação, mas fornece segurança adicional para outros protocolos de autenticação do EAP (como EAP-MS-CHAP v2) que podem operar por meio do canal criptografado TLS fornecido pelo PEAP. O PEAP é usado como um método de autenticação para acessar clientes que estão se conectando à rede da sua organização por meio dos seguintes tipos de NASs (servidores de acesso à rede):
Pontos de acesso sem fio compatíveis com 802.1X
Opções de autenticação compatíveis com 802.1X
Computadores que executam o Windows Server 2016 e o RAS (Serviço de Acesso Remoto) configurados como servidores da VPN (rede virtual privada), servidores do DirectAccess ou ambos
Computadores que executam o Windows Server 2016 e os Serviços de Área de Trabalho Remota
O PEAP-MS-CHAP v2 é mais fácil de implantar do que o EAP-TLS porque a autenticação do usuário é executada usando credenciais baseadas em senha (nome de usuário e senha), em vez de certificados ou cartões inteligentes. Apenas NPS ou outros servidores RADIUS precisam ter um certificado. O certificado do NPS é usado pelo NPS durante o processo de autenticação para provar sua identidade para clientes de PEAP.
Esta guia fornece instruções para configurar seus clientes sem fio e seus NPS(s) para usar o PEAP-MS-CHAP v2 para acesso autenticado 802.1X.
Servidor de Políticas de Rede
O NPS (Servidor de Políticas de Rede) permite centralizar a configuração e o gerenciamento das políticas de rede usando o servidor RADIUS (Remote Authentication Dial-In User Service) e o proxy RADIUS. O NPS é necessário ao implantar o acesso sem fio 802.1X.
Ao configurar seus pontos de acesso sem fio 802.1X como clientes de RADIUS no NPS, o NPS processa as solicitações de conexão enviadas pelos APs. Durante o processamento da solicitação de conexão, o NPS executa a autenticação e a autorização. A autenticação determina se o cliente apresentou credenciais válidas. Se o NPS autenticar com êxito o cliente solicitante, o NPS determinará se o cliente está autorizado a fazer a conexão solicitada e permitirá ou negará a conexão. Isso é explicado com mais detalhes da seguinte maneira:
Autenticação
A autenticação PEAP-MS-CHAP v2 mútua bem-sucedida tem duas partes principais:
O cliente autentica o NPS. Durante essa fase da autenticação mútua, o NPS envia seu certificado de servidor para o computador cliente para que o cliente possa verificar a identidade do NPS com o certificado. Para autenticar com êxito o NPS, o computador cliente deve confiar na AC que emitiu o certificado do NPS. O cliente confia nessa AC quando o certificado da AC está presente no repositório de Certificado de Autoridade de certificação raiz confiáveis no computador cliente.
Caso implante sua própria AC privada, o certificado de AC será instalado automaticamente no repositório de Certificado de Autoridade de Certificação raiz confiáveis para o Usuário Atual e para o Computador Local quando a Política de Grupo for atualizada no computador cliente membro do domínio. Caso decida implantar certificados de servidor de uma AC pública, verifique se o certificado de autoridade de certificação pública já está no repositório de Certificado de Autoridade de Certificação raiz confiáveis.
O NPS autentica o usuário. Depois que o cliente autentica o NPS com êxito, ele envia as credenciais baseadas em senha do usuário para o NPS, que verifica as credenciais do usuário no banco de dados de contas de usuário no AD DS (Active Directory Domain Services).
Se as credenciais forem válidas e a autenticação for bem-sucedida, o NPS iniciará a fase de autorização do processamento da solicitação de conexão. Se as credenciais não forem válidas e a autenticação falhar, o NPS enviará uma mensagem de Rejeição de Acesso e a solicitação de conexão será negada.
Autorização
O servidor que executa o NPS executa a autorização da seguinte maneira:
O NPS verifica se há restrições nas propriedades de discagem da conta de usuário ou computador no AD DS. Cada conta de usuário e computador em Usuários e Computadores do Active Directory incluem várias propriedades, incluindo aquelas encontradas na guia Discagem. Nessa guia, em Permissão de Acesso à Rede, se o valor for Permitir acesso, o usuário ou computador estará autorizado a se conectar à rede. Se o valor for Negar acesso, o usuário ou computador não está autorizado a se conectar à rede. Se o valor for Controlar o acesso por meio da Política de Rede do NPS, o NPS avaliará as políticas de rede configuradas para determinar se o usuário ou o computador está autorizado a se conectar à rede.
Em seguida, o NPS processa suas políticas de rede para encontrar uma política que corresponda à solicitação de conexão. Se uma política correspondente for encontrada, o NPS concederá ou negará a conexão com base na configuração dessa política.
Se a autenticação e a autorização forem bem-sucedidas e se a política de rede correspondente conceder acesso, o NPS concederá acesso à rede e o usuário e o computador poderão se conectar aos recursos de rede para os quais têm permissões.
Observação
Para implantar o acesso sem fio, configure políticas do NPS. Esta guia fornece instruções para usar o assistente Configurar 802.1X no NPS para criar políticas do NPS para acesso sem fio autenticado 802.1X.
Perfis de inicialização
Em redes sem fio autenticadas em 802.1X, os clientes sem fio devem fornecer credenciais de segurança autenticadas por um servidor do RADIUS para se conectarem à rede. Para o EAP protegido [PEAP]-Microsoft Challenge Handshake Authentication Protocol versão 2 [MS-CHAP v2], as credenciais de segurança são um nome de usuário e uma senha. Para EAP-TLS ou PEAP-TLS, as credenciais de segurança são certificados, como certificados de usuário cliente e computador ou cartões inteligentes.
Ao se conectar a uma rede configurada para executar a autenticação PEAP-MS-CHAP v2, PEAP-TLS ou EAP-TLS, por padrão, os clientes sem fio do Windows também devem validar um certificado de computador enviado pelo servidor do RADIUS. O certificado do computador enviado pelo servidor do RADIUS para cada sessão de autenticação é normalmente chamado de certificado de servidor.
Conforme mencionado anteriormente, é possível emitir seus servidores do RADIUS seu certificado de servidor de uma das duas maneiras: de uma AC comercial (como VeriSign, Inc., ) ou de uma AC privada implantada em sua rede. Se o servidor do RADIUS enviar um certificado de computador emitido por uma AC comercial que já tenha um certificado raiz instalado no repositório de Certificados de Autoridades de Certificação raiz confiáveis do cliente, o cliente sem fio poderá validar o certificado do computador do servidor RADIUS, independentemente de o cliente sem fio ter ingressado no domínio do Active Directory. Nesse caso, o cliente sem fio pode se conectar à rede sem fio e, em seguida, ingresse o computador no domínio.
Observação
O comportamento que exige que o cliente valide o certificado do servidor pode ser desabilitado, mas não é recomendável desabilitar a validação do certificado do servidor em ambientes de produção.
Os perfis de inicialização sem fio são perfis temporários configurados de forma a permitir que os usuários cliente sem fio se conectem à rede sem fio autenticada em 802.1X antes que o computador seja ingressado no domínio e/ou antes que o usuário tenha feito logon com êxito no domínio usando um determinado computador sem fio pela primeira vez. Esta seção resume qual problema é encontrado ao tentar ingressar um computador sem fio no domínio ou para um usuário usar um computador sem fio ingressado no domínio pela primeira vez para fazer logon no domínio.
Para implantações nas quais o usuário ou o administrador de TI não podem conectar fisicamente um computador à rede Ethernet com fio para ingressar o computador no domínio, e o computador não tiver o Certificado de Autoridade de Certificação raiz de emissão necessário instalado em seu repositório de Certificado de Autoridade de Certificação raiz confiáveis, configure clientes sem fio com um perfil de conexão sem fio temporário, chamado de perfil de inicialização, para se conectar à rede sem fio.
Um perfil de inicialização remove o requisito para validar o certificado do computador do servidor do RADIUS. Essa configuração temporária permite que o usuário sem fio ingresse o computador no domínio, momento em que as políticas de Rede Sem Fio (IEEE 802.11) são aplicadas e o certificado de AC raiz apropriado é instalado automaticamente no computador.
Quando a Política de Grupo é aplicada, um ou mais perfis de conexão sem fio que impõem o requisito de autenticação mútua são aplicados no computador, o perfil de inicialização não é mais necessário e é removido. Depois de ingressar o computador no domínio e reiniciar o computador, o usuário pode usar uma conexão sem fio para fazer logon no domínio.
Para obter uma visão geral do processo de implantação de acesso sem fio usando essas tecnologias, consulte Visão geral da implantação de acesso sem fio.