Implantar acesso sem fio autenticado 802.1X baseado em senha

Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016

Este é um guia de adoção para o guia de rede Windows Server® 2016 Core. O Guia de Rede Principal fornece instruções para planejar e implantar os componentes necessários para uma rede totalmente funcional e um novo domínio do Active Directory® em uma nova floresta.

Este guia explica como desenvolver uma rede principal e fornece instruções sobre como implantar o acesso sem fio IEEE 802.11 com autenticação 802.1 X do Instituto de Engenheiros Eletricistas e Eletrônicos usando o Protocolo de Autenticação Extensível Protegido – Microsoft Challenge Handshake Authentication Protocol versão 2 (PEAP-MS-CHAP v2).

Como PEAP-MS-CHAP v2 exige que os usuários forneçam credenciais baseadas em senha em vez de um certificado durante o processo de autenticação, normalmente é mais fácil e menos caro implantar do que EAP-TLS ou PEAP-TLS.

Observação

Neste guia, o acesso sem fio autenticado IEEE 802.1X com PEAP-MS-CHAP v2 é abreviado como "acesso sem fio" e "acesso WiFi".

Sobre este guia

Este guia, em combinação com os guias de pré-requisito descritos abaixo, fornece instruções sobre como implantar a infraestrutura de acesso WiFi a seguir.

  • Um ou mais APs (pontos de acesso sem fio) 802.11 com capacidade para 802.11.

  • Active Directory Domain Services (AD DS) Usuários e Computadores.

  • Gerenciamento de Política de Grupo.

  • Um ou mais servidores NPS (Servidor de Políticas de Rede).

  • Certificados de servidor para computadores que executam o NPS.

  • Computadores cliente sem fio Windows ® 10, Windows 8.1 ou Windows 8.

Dependências para este guia

Para implantar sem fio autenticado com êxito com este guia, você deve ter um ambiente de rede e domínio com todas as tecnologias necessárias implantadas. Você também deve ter certificados de servidor implantados em seus NPSs de autenticação.

As seções a seguir fornecem links para a documentação que mostra como implantar essas tecnologias.

Dependências de ambiente de rede e domínio

Este guia foi projetado para administradores de rede e sistema que seguiram as instruções no Guia de Rede Principal do Windows Server 2016 para implantar uma rede principal ou para aqueles que implantaram anteriormente as principais tecnologias incluídas na rede principal, incluindo AD DS, DNS (Sistema de Nomes de Domínio), DHCP (Dynamic Host Configuration Protocol), TCP/IP, NPS e Windows Internet Name Service (WINS).

O Guia de Rede Principal está disponível nos seguintes locais:

  • O Windows Server 2016 De rede principal está disponível na biblioteca Windows Server 2016 técnica.

  • O Guia de Rede Principal também está disponível no formato Word na Galeria do TechNet, em .

Dependências de certificado do servidor

Há duas opções disponíveis para registrar servidores de autenticação com certificados de servidor para uso com autenticação 802.1X – implantar sua própria infraestrutura de chave pública usando Serviços de Certificados do Active Directory (AD CS) ou usar certificados de servidor que são inscritos por uma AC (autoridade de certificação pública).

AD CS

Os administradores de rede e sistema que implantam sem fio autenticado devem seguir as instruções no Guia de Acompanhamento de Rede Principal do Windows Server 2016, Implantar certificados de servidor para implantações com fio e sem fio 802.1X. Este guia explica como implantar e usar AD CS registro automático de certificados de servidor em computadores que executam o NPS.

Este guia está disponível no local a seguir.

  • O Windows Server 2016 guia de adoção de rede principal implantar certificados de servidor para implantações com fio e sem fio 802.1X em formato HTML na Biblioteca Técnica.
CA Pública

Você pode comprar certificados de servidor de uma AC pública, como VeriSign, em que os computadores cliente já confiam.

Um computador cliente confia em uma AC quando o certificado de autoridade de certificação é instalado no armazenamento de certificados de Autoridades de Certificação Confiáveis. Por padrão, os computadores que executam Windows têm vários certificados de AUTORIDADE de Certificação públicos instalados em seu armazenamento de certificados de Autoridades de Certificação Confiáveis.

É recomendável que você examine os guias de design e implantação de cada uma das tecnologias usadas neste cenário de implantação. Esses guias podem ajudar a determinar se o cenário de implantação fornece os serviços e as configurações que você precisa para a rede de sua organização.

Requisitos

A seguir estão os requisitos para implantar uma infraestrutura de acesso sem fio usando o cenário documentado neste guia:

  • Antes de implantar esse cenário, primeiro você deve comprar pontos de acesso sem fio com capacidade para 802.1X para fornecer cobertura sem fio nos locais desejados em seu site. A seção de planejamento deste guia ajuda a determinar os recursos que seus APs devem dar suporte.

  • Active Directory Domain Services (AD DS) é instalado, assim como as outras tecnologias de rede necessárias, de acordo com as instruções no Guia de Rede Windows Server 2016 Core.

  • AD CS é implantado e os certificados do servidor são inscritos no NPSs. Esses certificados são necessários quando você implanta o método de autenticação baseado em certificado PEAP-MS-CHAP v2 usado neste guia.

  • Um membro da sua organização está familiarizado com os padrões do IEEE 802.11 compatíveis com seus APs sem fio e os adaptadores de rede sem fio instalados nos computadores cliente e dispositivos em sua rede. Por exemplo, alguém em sua organização está familiarizado com tipos de frequência de rádio, autenticação sem fio 802.11 (WPA2 ou WPA) e codificações (AES ou TKIP).

O que este guia não contém

A seguir estão alguns itens que este guia não fornece:

Diretrizes abrangentes para selecionar pontos de acesso sem fio com capacidade para 802.1X

Como existem muitas diferenças entre marcas e modelos de APs sem fio com capacidade para 802.1X, este guia não fornece informações detalhadas sobre:

  • Determinar qual marca ou modelo de AP sem fio é mais adequado às suas necessidades.

  • A implantação física de APs sem fio em sua rede.

  • Configuração de AP sem fio avançada, como para VLANs (Redes Locais Locais) virtuais sem fio.

  • Instruções sobre como configurar atributos específicos do fornecedor de AP sem fio no NPS.

Além disso, a terminologia e os nomes das configurações variam entre marcas e modelos de AP sem fio e podem não corresponder aos nomes de configuração genéricos usados neste guia. Para obter detalhes de configuração de AP sem fio, você deve revisar a documentação do produto fornecida pelo fabricante de seus APs sem fio.

Instruções para implantar certificados NPS

Há duas alternativas para implantar certificados NPS. Este guia não fornece diretrizes abrangentes para ajudá-lo a determinar qual alternativa atenderá melhor às suas necessidades. Em geral, no entanto, as opções que você enfrenta são:

  • Comprar certificados de uma AC pública, como VeriSign, que já são confiáveis para Windows clientes baseados em banco de dados. Normalmente, essa opção é recomendada para redes menores.

  • Implantando uma PKI (Infraestrutura de Chave Pública) em sua rede usando AD CS. Isso é recomendado para a maioria das redes e as instruções sobre como implantar certificados de servidor com AD CS estão disponíveis no guia de implantação mencionado anteriormente.

Políticas de rede NPS e outras configurações do NPS

Exceto pelas definições de configuração feitas quando você executar o assistente Configurar 802.1X , conforme documentado neste guia, este guia não fornece informações detalhadas para configurar manualmente as condições, restrições ou outras configurações do NPS.

DHCP

Este guia de implantação não fornece informações sobre como projetar ou implantar sub-redes DHCP para LANs sem fio.

Visões gerais da tecnologia

A seguir estão as conexões de tecnologia para implantar o acesso sem fio:

IEEE 802.1X

O padrão IEEE 802.1X define o controle de acesso de rede baseado em porta usado para fornecer acesso de rede autenticado a redes Ethernet. Esse controle de acesso de rede baseado em porta usa as características físicas da infraestrutura de LAN alternada para autenticar dispositivos anexados a uma porta LAN. O acesso à porta pode ser negado se o processo de autenticação falhar. Embora esse padrão tenha sido projetado para redes Ethernet com fio, ele foi adaptado para uso em LANs sem fio 802.11.

APs (pontos de acesso sem fio) com capacidade para 802.1X

Esse cenário requer a implantação de um ou mais APs sem fio compatíveis com 802.1X compatíveis com o protocolo RADIUS (Remote Authentication Dial-In User Service).

Os APs compatíveis com RADIUS e 802.1X, quando implantados em uma infraestrutura RADIUS com um servidor RADIUS, como um NPS, são chamados de clientes RADIUS.

Clientes sem fio

Este guia fornece detalhes abrangentes de configuração para fornecer acesso autenticado 802.1X para usuários membros do domínio que se conectam à rede com computadores cliente sem fio que executam Windows 10, Windows 8.1 e Windows 8. Os computadores devem ser ingressados no domínio para estabelecer o acesso autenticado com êxito.

Observação

Você também pode usar computadores que executam Windows Server 2016, Windows Server 2012 R2 e Windows Server 2012 como clientes sem fio.

Suporte para padrões IEEE 802.11

Os sistemas operacionais Windows e Windows Server dão suporte integrado para a rede sem fio 802.11. Nesses sistemas operacionais, um adaptador de rede sem fio 802.11 instalado aparece como uma conexão de rede sem fio Central de Rede e Compartilhamento.

Embora haja suporte integrado para a rede sem fio 802.11, os componentes sem fio do Windows dependem do seguinte:

  • Os recursos do adaptador de rede sem fio. O adaptador de rede sem fio instalado deve dar suporte aos padrões de segurança sem fio ou LAN sem fio necessários. Por exemplo, se o adaptador de rede sem fio não for Wi-Fi WPA (Acesso Protegido), você não poderá habilitar ou configurar opções de segurança WPA.

  • Os recursos do driver de adaptador de rede sem fio. Para permitir que você configure opções de rede sem fio, o driver para o adaptador de rede sem fio deve dar suporte ao relatório de todos os seus recursos para Windows. Verifique se o driver do adaptador de rede sem fio foi escrito para os recursos do sistema operacional. Verifique também se o driver é a versão mais atual verificando Microsoft Update ou o site do fornecedor do adaptador de rede sem fio.

A tabela a seguir mostra as taxas de transmissão e as frequências para padrões comuns sem fio IEEE 802.11.

Padrões Freqüências Taxas de transmissão de bits Uso
802.11 Intervalo de frequência do ISM (industrial, científica e médico) de S bandas (2,4 a 2,5 GHz) 2 megabits por segundo (Mbps) Obsoleto. Comumente usado.
802.11b ISM de banda 11 Mbps Normalmente usado.
802.11a ISM de banda C (5,725 a 5,875 GHz) 54 Mbps Comumente usado devido à despesa e ao intervalo limitado.
802.11g ISM de banda 54 Mbps Amplamente usado. dispositivos 802.11 g são compatíveis com dispositivos 802.11 b.
802.11 n \ 2,4 e 5,0 GHz ISM C-Band e S-band 250 Mbps Os dispositivos com base no padrão IEEE 802.11 n Ratification foram disponibilizados em agosto de 2007. Muitos dispositivos 802.11 n são compatíveis com dispositivos 802.11 a, b e g.
802.11ac 5 GHz 6,93 Gbps o 802.11 AC, aprovado pelo IEEE em 2014, é mais escalonável e mais rápido do que o 802.11 n e é implantado onde o APs e os clientes sem fio dão suporte a ele.

Métodos de segurança de rede sem fio

Os métodos de segurança de rede sem fio são um agrupamento informal de autenticação sem fio (às vezes chamado de segurança sem fio) e criptografia de segurança sem fio. A autenticação e a criptografia sem fio são usadas em pares para impedir que usuários não autorizados acessem a rede sem fio e para proteger as transmissões sem fio.

Ao definir as configurações de segurança sem fio nas políticas de rede sem fio do Política de Grupo, há várias combinações para escolher. no entanto, somente os padrões de autenticação WPA2-Enterprise, WPA-Enterprise e abrir com 802.1 x têm suporte para implantações sem fio autenticadas 802.1 x.

Observação

ao configurar as políticas de rede sem fio, você deve selecionar WPA2-Enterprise, WPA-Enterpriseou abrir com 802.1 x para obter acesso às configurações de EAP que são necessárias para implantações sem fio autenticadas 802.1 x.

Autenticação sem fio

Este guia recomenda o uso dos seguintes padrões de autenticação sem fio para implantações sem fio autenticadas 802.1 X.

o wpa (Wi-Fi Protected Access – Enterprise (wpa-Enterprise) é um padrão provisório desenvolvido pela aliança WiFi para estar em conformidade com o protocolo de segurança sem fio 802,11. O protocolo WPA foi desenvolvido em resposta a várias falhas graves que foram descobertas no protocolo WEP (Wired Equivalent Privacy) anterior.

O WPA-Enterprise fornece segurança aprimorada sobre o WEP:

  1. Exigir autenticação que usa a estrutura de EAP 802.1 X como parte da infraestrutura que garante a autenticação mútua centralizada e o gerenciamento dinâmico de chaves

  2. Aprimorando o valor de verificação de integridade (ICV) com uma verificação de integridade de mensagem (MIC) para proteger o cabeçalho e a carga

  3. Implementando um contador de quadros para desencorajar ataques de repetição

o Wi-Fi Protected Access 2 – Enterprise (WPA2-Enterprise) como o WPA-Enterprise standard, WPA2-Enterprise usa a estrutura 802.1 x e EAP. O WPA2-Enterprise fornece proteção de dados mais forte para vários usuários e grandes redes gerenciadas. WPA2-Enterprise é um protocolo robusto que foi projetado para impedir o acesso não autorizado à rede, verificando os usuários de rede por meio de um servidor de autenticação.

Criptografia de segurança sem fio

A criptografia de segurança sem fio é usada para proteger as transmissões sem fio que são enviadas entre o cliente sem fio e o AP sem fio. A criptografia de segurança sem fio é usada em conjunto com o método de autenticação de segurança de rede selecionado. por padrão, os computadores que executam Windows 10, Windows 8.1 e Windows 8 oferecem suporte a dois padrões de criptografia:

  1. O TKIP ( temporal Key Integrity Protocol ) é um protocolo de criptografia mais antigo que foi originalmente projetado para fornecer criptografia sem fio mais segura do que o fornecido pelo protocolo WEP (Wired Equivalent Privacy) inerentemente fraco. O TKIP foi projetado pelo grupo de tarefas IEEE 802.11 i e pela Wi-Fi Alliance para substituir o WEP sem exigir a substituição do hardware herdado. O TKIP é um conjunto de algoritmos que encapsula a carga WEP e permite que os usuários de equipamentos Wi-Fi herdados atualizem para TKIP sem substituir o hardware. Como o WEP, o TKIP usa o algoritmo de criptografia de fluxo RC4 como base. O novo protocolo, no entanto, criptografa cada pacote de dados com uma chave de criptografia exclusiva e as chaves são muito mais fortes do que aquelas pelo WEP. Embora o TKIP seja útil para atualizar a segurança em dispositivos mais antigos que foram projetados para usar apenas o WEP, ele não aborda todos os problemas de segurança que enfrentam LANs sem fio e, na maioria dos casos, não é suficientemente robusto para proteger as transmissões confidenciais governamentais ou de dados corporativos.

  2. O criptografia AES (AES) é o protocolo de criptografia preferencial para a criptografia de dados comerciais e governamentais. O AES oferece um nível mais alto de segurança de transmissão sem fio do que o TKIP ou o WEP. Diferentemente do TKIP e do WEP, o AES requer hardware sem fio que ofereça suporte ao padrão AES. O AES é um padrão de criptografia de chave simétrica que usa três codificações de bloco, AES-128, AES-192 e AES-256.

no Windows Server 2016, os seguintes métodos de criptografia sem fio baseados em AES estão disponíveis para configuração em propriedades de perfil sem fio quando você seleciona um método de autenticação de WPA2-Enterprise, que é recomendado.

  1. AES-CCMP. O protocolo CCMP (encadeamento de bloqueio de cadeia de bloco de Message Authentication Code do modo de contador) implementa o padrão 802.11 i e é projetado para maior criptografia de segurança do que o fornecido pelo WEP e usa chaves de criptografia AES de 128 bits.
  2. AES-GCMP. O GCMP (Galois Counter Mode Protocol) tem suporte do 802.11 AC, é mais eficiente do que o AES-CCMP e fornece melhor desempenho para clientes sem fio. GCMP usa chaves de criptografia AES de 256 bits.

Importante

O WEP (Wired Equivalent Privacy) era o padrão de segurança sem fio original que foi usado para criptografar o tráfego de rede. Você não deve implantar o WEP em sua rede porque há vulnerabilidades bem conhecidas nessa forma desatualizada de segurança.

Active Directory Domain Services (AD DS)

O AD DS fornece um banco de dados distribuído que armazena e gerencia informações sobre recursos da rede e dados específicos de aplicativos habilitados por diretório. Os administradores podem usar AD DS para organizar elementos de uma rede, como usuários, computadores e outros dispositivos, em uma estrutura de confinamento hierárquica. A estrutura de confinamento hierárquica inclui a floresta do Active Directory, domínios na floresta e unidades organizacionais (OUs) em cada domínio. Um servidor que está executando o AD DS é chamado de controlador de domínio.

AD DS contém as contas de usuário, as contas de computador e as propriedades de conta exigidas pelo IEEE 802.1 X e PEAP-MS-CHAP v2 para autenticar as credenciais do usuário e para avaliar a autorização de conexões sem fio.

Usuários e computadores do Active Directory

Active Directory usuários e computadores é um componente do AD DS que contém contas que representam entidades físicas, como um computador, uma pessoa ou um grupo de segurança. Um grupo de segurança é uma coleção de contas de usuário ou computador que os administradores podem gerenciar como uma única unidade. As contas de usuário e computador que pertencem a um grupo específico são chamadas de membros do grupo.

Gerenciamento de Política de Grupo

O gerenciamento de Política de Grupo permite a alteração baseada em diretório e o gerenciamento de configurações de usuário e computador, incluindo informações de segurança e de usuário. Você usa Política de Grupo para definir configurações para grupos de usuários e computadores. Com Política de Grupo, você pode especificar configurações para entradas de registro, segurança, instalação de software, scripts, redirecionamento de pasta, serviços de instalação remota e manutenção do Internet Explorer. As configurações de Política de Grupo que você cria estão contidas em um objeto de Política de Grupo (GPO). Ao associar um GPO a Active Directory contêineres de sistema selecionados — sites, domínios e UOs — você pode aplicar as configurações do GPO aos usuários e computadores nesses Active Directory contêineres. Para gerenciar objetos do Política de Grupo em uma empresa, você pode usar o Editor de Gerenciamento de Política de Grupo MMC (console de gerenciamento Microsoft).

Este guia fornece instruções detalhadas sobre como especificar as configurações na extensão de políticas de rede sem fio (IEEE 802,11) do gerenciamento de Política de Grupo. As políticas de rede sem fio (IEEE 802,11) configuram computadores cliente sem fio de membro de domínio com a conectividade necessária e as configurações sem fio para acesso sem fio autenticado 802.1 X.

Certificados do servidor

Esse cenário de implantação requer certificados de servidor para cada NPS que executa a autenticação 802.1 X.

Um certificado de servidor é um documento digital que é comumente usado para autenticação e para proteger informações em redes abertas. O certificado liga de forma segura uma chave pública à entidade que mantém a chave privada correspondente. Os certificados são assinados digitalmente pela AC emissora e podem ser emitidos para um usuário, um computador ou um serviço.

Uma autoridade de certificação (CA) é uma entidade responsável por estabelecer e comprovar a autenticidade de chaves públicas pertencentes a assuntos (geralmente usuários ou computadores) ou outras CAs. As atividades de uma autoridade de certificação podem incluir a associação de chaves públicas a nomes distintos por meio de certificados assinados, gerenciamento de números de série de certificado e revogação de certificados.

Active Directory serviços de certificados (AD CS) é uma função de servidor que emite certificados como uma AC de rede. Uma infraestrutura de certificado do AD CS, também conhecida como PKI (infraestrutura de chave pública), fornece serviços personalizáveis para emitir e gerenciar certificados para a empresa.

EAP, PEAP e PEAP-MS-CHAP v2

O EAP (Extensible Authentication Protocol) estende protocolo PPP (PPP), permitindo que métodos de autenticação adicionais usem as trocas de credenciais e informações de comprimentos arbitrários. Com a autenticação EAP, o cliente de acesso à rede e o autenticador (como o NPS) devem dar suporte ao mesmo tipo de EAP para que a autenticação bem-sucedida ocorra. Windows Server 2016 inclui uma infraestrutura de EAP, dá suporte a dois tipos de EAP e a capacidade de passar mensagens EAP para NPSs. Usando o EAP, você pode dar suporte a esquemas de autenticação adicionais, conhecidos como tipos de EAP. Os tipos de EAP com suporte pelo Windows Server 2016 são:

  • Protocolo TLS

  • Microsoft Challenge Handshake Authentication Protocol versão 2 (MS-CHAP v2)

Importante

Tipos de EAP fortes (como aqueles baseados em certificados) oferecem melhor segurança contra ataques de força bruta, ataques de dicionário e ataques de adivinhação de senha do que protocolos de autenticação baseados em senha (como CHAP ou MS-CHAP versão 1).

O PEAP (EAP protegido) usa TLS para criar um canal criptografado entre um cliente PEAP de autenticação, como um computador sem fio, e um autenticador PEAP, como um NPS ou outros servidores RADIUS. O PEAP não especifica um método de autenticação, mas fornece segurança adicional para outros protocolos de autenticação EAP (como EAP-MS-CHAP v2) que podem operar por meio do canal criptografado TLS fornecido pelo PEAP. O PEAP é usado como um método de autenticação para acessar clientes que estão se conectando à rede da sua organização por meio dos seguintes tipos de NASS (servidores de acesso à rede):

  • Pontos de acesso sem fio com capacidade para 802.1X

  • Comutadores de autenticação com capacidade para 802.1X

  • Computadores que Windows Server 2016 e o RAS (Serviço de Acesso Remoto) configurados como servidores VPN (rede virtual privada), servidores DirectAccess ou ambos

  • Computadores que executam Windows Server 2016 e Serviços de Área de Trabalho Remota

PEAP-MS-CHAP v2 é mais fácil de implantar do que o EAP-TLS porque a autenticação do usuário é executada usando credenciais baseadas em senha (nome de usuário e senha), em vez de certificados ou cartões inteligentes. Somente NPS ou outros servidores RADIUS devem ter um certificado. O certificado NPS é usado pelo NPS durante o processo de autenticação para provar sua identidade para clientes PEAP.

Este guia fornece instruções para configurar seus clientes sem fio e seus NPSs para usar PEAP-MS-CHAP v2 para acesso autenticado 802.1X.

Servidor de Políticas de Rede

O NPS (Servidor de Políticas de Rede) permite configurar e gerenciar políticas de rede centralmente usando Remote Authentication Dial-In User Service servidor RADIUS (servidor radius) e proxy RADIUS. O NPS é necessário quando você implanta o acesso sem fio 802.1X.

Quando você configura seus pontos de acesso sem fio 802.1X como clientes RADIUS no NPS, o NPS processa as solicitações de conexão enviadas pelos APs. Durante o processamento da solicitação de conexão, o NPS executa autenticação e autorização. A autenticação determina se o cliente apresentou credenciais válidas. Se o NPS autenticar com êxito o cliente solicitante, o NPS determinará se o cliente está autorizado a fazer a conexão solicitada e permitirá ou negará a conexão. Isso é explicado mais detalhadamente da seguinte forma:

Autenticação

A autenticação PEAP-MS-CHAP v2 mútua bem-sucedida tem duas partes principais:

  1. O cliente autentica o NPS. Durante essa fase de autenticação mútua, o NPS envia seu certificado do servidor para o computador cliente para que o cliente possa verificar a identidade do NPS com o certificado. Para autenticar com êxito o NPS, o computador cliente deve confiar na AC que emitiu o certificado NPS. O cliente confia nessa AC quando o certificado da AC está presente no armazenamento de certificados autoridades de certificação raiz confiáveis no computador cliente.

    Se você implantar sua própria AC privada, o certificado de autoridade de certificação será instalado automaticamente no armazenamento de certificados autoridades de certificação raiz confiáveis para o Usuário Atual e para o Computador Local quando Política de Grupo for atualizado no computador cliente membro do domínio. Se você decidir implantar certificados de servidor de uma AC pública, verifique se o certificado de AUTORIDADE de Certificação pública já está no armazenamento de certificados de Autoridades de Certificação Confiáveis.

  2. O NPS autentica o usuário. Depois que o cliente autentica com êxito o NPS, o cliente envia as credenciais baseadas em senha do usuário para o NPS, que verifica as credenciais do usuário no banco de dados de contas de usuário no Active Directory Domain Services (AD DS).

Se as credenciais são válidas e a autenticação é bem-sucedida, o NPS inicia a fase de autorização do processamento da solicitação de conexão. Se as credenciais não são válidas e a autenticação falha, o NPS envia uma mensagem de Rejeição de Acesso e a solicitação de conexão é negada.

Autorização

O servidor que executa o NPS executa a autorização da seguinte forma:

  1. O NPS verifica se há restrições nas propriedades discadas da conta de usuário ou computador AD DS. Cada conta de usuário e computador Usuários e Computadores do Active Directory inclui várias propriedades, incluindo as encontradas na guia Discar . Nessa guia, em Permissão de Acesso à Rede, se o valor for Permitir acesso, o usuário ou o computador está autorizado a se conectar à rede. Se o valor for Negar acesso, o usuário ou o computador não está autorizado a se conectar à rede. Se o valor for Controlar o acesso por meio da Política de Rede NPS, o NPS avaliará as políticas de rede configuradas para determinar se o usuário ou o computador está autorizado a se conectar à rede.

  2. O NPS processa suas políticas de rede para encontrar uma política que corresponde à solicitação de conexão. Se uma política de correspondência for encontrada, o NPS concederá ou negará a conexão com base na configuração dessa política.

Se a autenticação e a autorização são bem-sucedidas e se a política de rede correspondente concede acesso, o NPS concede acesso à rede e o usuário e o computador podem se conectar aos recursos de rede para os quais eles têm permissões.

Observação

Para implantar o acesso sem fio, você deve configurar políticas NPS. Este guia fornece instruções para usar o assistente Configurar 802.1X no NPS para criar políticas NPS para acesso sem fio autenticado 802.1X.

Perfis de inicialização

Em redes sem fio autenticadas em 802.1X, os clientes sem fio devem fornecer credenciais de segurança autenticadas por um servidor RADIUS para se conectar à rede. Para EAP protegido [PEAP]-Microsoft Challenge Handshake Authentication Protocol versão 2 [MS-CHAP v2], as credenciais de segurança são um nome de usuário e senha. Para EAP-Transport segurança de camada [TLS] ou PEAP-TLS, as credenciais de segurança são certificados, como certificados de usuário cliente e computador ou cartões inteligentes.

Ao se conectar a uma rede configurada para executar a autenticação PEAP-MS-CHAP v2, PEAP-TLS ou EAP-TLS, por padrão, os clientes sem fio do Windows também devem validar um certificado de computador enviado pelo servidor RADIUS. O certificado do computador enviado pelo servidor RADIUS para cada sessão de autenticação é normalmente chamado de certificado do servidor.

Conforme mencionado anteriormente, você pode emitir o certificado do servidor de seus servidores RADIUS de uma das duas maneiras: de uma AC comercial (como VeriSign, Inc., ) ou de uma AC privada implantada em sua rede. Se o servidor RADIUS enviar um certificado de computador emitido por uma AC comercial que já tenha um certificado raiz instalado no armazenamento de certificados de Autoridades de Certificação Confiáveis do cliente, o cliente sem fio poderá validar o certificado do computador do servidor RADIUS, independentemente de o cliente sem fio ter ingressado no domínio do Active Directory. Nesse caso, o cliente sem fio pode se conectar à rede sem fio e, em seguida, você pode ingressar o computador no domínio.

Observação

O comportamento que exige que o cliente valide o certificado do servidor pode ser desabilitado, mas desabilitar a validação de certificado do servidor não é recomendado em ambientes de produção.

Perfis de inicialização sem fio são perfis temporários configurados de forma a permitir que os usuários cliente sem fio se conectem à rede sem fio autenticada 802.1X antes que o computador seja ingressado no domínio e/ou antes que o usuário tenha feito logon com êxito no domínio usando um determinado computador sem fio pela primeira vez. Esta seção resume qual problema é encontrado ao tentar ingressar um computador sem fio no domínio ou para que um usuário use um computador sem fio ingressado no domínio pela primeira vez para fazer logoff no domínio.

Para implantações em que o usuário ou administrador de TI não pode conectar fisicamente um computador à rede Ethernet com fio para ingressar o computador no domínio e o computador não tem o certificado de AUTORIDADE de Certificação raiz de emissão necessário instalado em seu armazenamento de certificados autoridades de certificação raiz confiáveis, você pode configurar clientes sem fio com um perfil de conexão sem fio temporário, chamado de perfil de inicialização, para se conectar à rede sem fio.

Um perfil de inicialização remove o requisito para validar o certificado do computador do servidor RADIUS. Essa configuração temporária permite ao usuário sem fio ingressar o computador no domínio, momento em que as Políticas de Rede Sem Fio (IEEE 802.11) são aplicadas e o certificado de AC raiz apropriado é instalado automaticamente no computador.

Quando Política de Grupo é aplicado, um ou mais perfis de conexão sem fio que impõem o requisito de autenticação mútua são aplicados no computador; o perfil de inicialização não é mais necessário e é removido. Depois de ingressar o computador no domínio e reiniciar o computador, o usuário pode usar uma conexão sem fio para fazer logoff no domínio.

Para ter uma visão geral do processo de implantação de acesso sem fio usando essas tecnologias, consulte Visão geral da implantação de acesso sem fio.