Compartilhar via


Opções de autenticação VPN

Além dos métodos de autenticação baseada em senha mais antigos e menos seguros (que devem ser evitados), a solução VPN interna usa o protocolo EAP (Extensible Authentication Protocol) para fornecer autenticação segura usando os métodos baseados em nome de usuário e senha e em certificado. Somente é possível configurar a autenticação baseada em EAP se você selecionar um tipo de VPN interno (IKEv2, L2TP, PPTP ou Automático).

O Windows oferece suporte a vários métodos de autenticação EAP.

  • EAP-Microsoft Challenge Handshake Authentication Protocol versão 2 (EAP-MSCHAPv2):

    • Autenticação com nome de usuário e senha
    • Credenciais do Winlogon – podem especificar a autenticação com credenciais de entrada do computador
  • EAP-Transport Segurança de Camada (EAP-TLS):

    • Dá suporte aos seguintes tipos de autenticação de certificado:

      • Certificados com chaves no KSP (Provedor de Armazenamento de Chaves) do software
      • Certificados com chaves no KSP do Trusted Platform Module (TPM)
      • Certificados de cartão inteligentes
      • Certificado do Windows Hello para Empresas
    • Filtragem de certificado:

      • A filtragem de certificado pode ser habilitada para procurar um determinado certificado para ser usado na autenticação
      • A filtragem pode ser baseada em EKU (uso de chave estendida ou baseada em emissor)
    • Validação do servidor – com o TLS, a validação do servidor pode ser alternada ativada ou desativada:

      • Nome do servidor – especifique o servidor a ser validado
      • Certificado do servidor – certificado raiz confiável para validar o servidor
      • Notificação – especifique se o usuário deve receber uma notificação perguntando se é para confiar no servidor ou não
  • Protocolo de Autenticação Extensível Protegido (PEAP):

    • Validação do servidor – com PEAP, a validação do servidor pode ser alternada ativada ou desativada:

      • Nome do servidor – especifique o servidor a ser validado
      • Certificado do servidor – certificado raiz confiável para validar o servidor
      • Notificação – especifique se o usuário deve receber uma notificação perguntando se é para confiar no servidor ou não
    • Método interno – o método externo cria um túnel seguro dentro enquanto o método interno é usado para concluir a autenticação:

      • EAP-MSCHAPv2
      • EAP-TLS
    • Reconexão Rápida: reduz o atraso entre uma solicitação de autenticação de um cliente e a resposta do NPS (Servidor de Política de Rede) ou outro servidor RADIUS. Isso reduz os requisitos de recursos para o cliente e o servidor e minimiza o número de vezes que os usuários são solicitados a inserir as credenciais.

    • Criptografia: ao derivar e trocar valores do material chave da fase 1 do PEAP (Tunnel Key) e do material chave de método EAP interno da fase 2 do PEAP (Chave de Sessão Interna), é possível provar que as duas autenticações terminam nas mesmas duas entidades (par PEAP e servidor PEAP). Esse processo, chamado "cryptobinding", é usado para proteger a negociação PEAP contra ataques "Man in the Middle".

  • TTLS (Tunneled Transport Layer Security)

    • Método interno
      • Não EAP
        • Protocolo PAP
        • CHAP
        • MSCHAP
        • MSChapv2
      • EAP
        • MSChapv2
        • TLS
    • Validação do servidor: no TTLS, o servidor deve ser validado. Os parâmetros a seguir podem ser configurados:
      • Nome do servidor
      • Certificado raiz confiável para o certificado do servidor
      • Se deve haver uma notificação de validação do servidor

Para um plug-in de VPN UWP, o fornecedor do aplicativo controla o método de autenticação a ser usado. Os seguintes tipos de credenciais podem ser usados:

  • Cartão inteligente
  • Certificado
  • Windows Hello para Empresas
  • Nome de usuário e senha
  • Senha de uso único
  • Tipo de credencial personalizada

Configurar autenticação

Consulte Configuração do EAP para saber a configuração XML do protocolo EAP.

Observação

Para configurar a autenticação do Windows Hello para Empresas, siga as etapas em Configuração do EAP para criar um certificado de cartão inteligente. Saiba mais sobre Windows Hello para Empresas..

A imagem a seguir mostra o campo para XML do EAP em um perfil de VPN do Microsoft Intune. O campo XML do EAP só aparece quando você seleciona um tipo de conexão interno (automático, IKEv2, L2TP, PPTP).

Captura de tela mostrando a configuração do EAP XML no perfil Intune.