Configurar Clientes de Acesso com Fio 802.1X para Autenticação PEAP-MS-CHAP v2

Na guia Geral, siga um destes procedimentos:

1. Em Nome da Diretiva, digite um nome para a diretiva de rede com fio.
   
   
2. Em Descrição, digite uma breve descrição da diretiva.
   
   
3. Verifique se a opção Usar serviço de Configuração Automática com Fio do Windows para clientes está selecionada.
   
   
4. Para permitir que os usuários com computadores executando Windows 7 digitem e armazenem suas credenciais de domínio (nome de usuário e senha), que o computador pode usar para fazer logon na rede (mesmo se o usuário não estiver ativamente conectado), em Configurações de diretiva do Windows 7, selecione Habilitar Credenciais Explícitas.
   
   
5. Para especificar o período no qual os computadores que estiverem executando Windows 7 estão proibidos de fazerem tentativas de conexão automática à rede, selecione Ativar Período de Bloqueio e em Período de Bloqueio (minutos), especifique por quantos minutos você deseja que o período de bloqueio seja aplicado. O intervalo válido é de 1 a 60 minutos.
   
   

   	Observação
   	Para obter mais informações sobre as configurações em qualquer guia, pressione F1 enquanto visualiza a guia.

Na guia Segurança, faça o seguinte:

1. Selecione Habilitar o uso da autenticação IEEE 802.1X para acesso à rede.
   
   
2. Em Selecionar método de autenticação de rede, selecione Microsoft: EAP Protegido (PEAP).
   
   
3. Em Modo de autenticação, selecione uma das seguintes opções, de acordo com as suas necessidades: Autenticação de Usuário ou Computador (recomendado), Autenticação de computador, Autenticação de usuário, Autenticação de convidado. Por padrão, Autenticação de Computador ou Usuário é selecionado.
   
   
4. Em Máximo de Falhas de Autenticação, especifique o número máximo permitido de tentativas malsucedidas antes de o usuário ser notificado que houve falha na autenticação. Por padrão, o valor é definido em "1".
   
   
5. Para especificar que as credenciais de usuário são mantidas em cache, selecione Armazenar em cache informações de usuário para conexões futuras a esta rede.
   
   

Para definir o logon único ou as configurações 802.1X avançadas, clique em Avançado. Na guia Avançado, faça o seguinte:

1. Para definir as configurações 802.1X avançadas, selecione Aplicar configurações 802.1X avançadas e modifique — apenas quando necessário — as configurações de: Máximo de Eapol-Msg. de Início, Período de Retenção, Período Inicial, Período de Autenticação, EAPOL - Mensagem de Início.
   
   
2. Para configurar o logon único, selecione Habilitar Logon Único para esta rede e modifique — conforme necessário — as configurações de:
   
   
   • Executar imediatamente antes Logon do Usuário
     
     
   • Executar imediatamente após Logon do Usuário
     
     
   • Atraso máximo para conectividade
     
     
   • Permitir que caixas de diálogo adicionais sejam exibidas durante o Logon Único
     
     
   • Esta rede usa VLANs diferentes para autenticação com credenciais de máquina e de usuário
     
     

Clique em OK. A caixa de diálogo Configurações de Segurança Avançadas se fecha e o retorna para a guia Segurança. Na guia Segurança, clique em Propriedades. Será exibida a caixa de diálogo Propriedades EAP Protegidas.

Na caixa de diálogo Propriedades EAP Protegidas, faça o seguinte:

1. Selecione Validar certificado do servidor.
   
   
2. Para especificar quais servidores RADIUS seus clientes de acesso com fio devem utilizar para autenticação e autorização, em Conectar-se a estes servidores, digite o nome de cada servidor RADIUS, exatamente como aparece no campo assunto do certificado do servidor. Utilize ponto e vírgula para especificar vários nomes de servidor RADIUS.
   
   
3. Em Autoridades de Certificação Raiz Confiáveis, selecione a autoridade de certificação raiz confiável que emitiu o certificado de servidor para o Servidor de Diretivas de Rede (NPS).
   
   

   	Observação
   	Essa configuração limita as autoridades de certificação raiz confiáveis nas quais os clientes confiam aos valores selecionados. Se nenhuma autoridade de certificação raiz confiável for selecionada, os clientes confiarão em todas que estiverem no armazenamento de autoridades de certificação raiz confiáveis.

4. Para melhoria na segurança e uma melhor experiência de usuário, selecione Não solicitar ao usuário autorização para novos servidores ou autoridades de certificação confiáveis.
   
   
5. Em Selecionar Método de Autenticação, selecione Senha Segura (EAP-MSCHAP v2).
   
   
6. Para especificar que a reconexão rápida de PEAP está habilitada, selecione Ativar Reconexão Rápida.
   
   
7. Para especificar que a NAP execute as verificações de integridade do sistema nos clientes para garantir que eles atendam aos requisitos de integridade, antes de permitir conexões com a rede, selecione Impor Proteção de Acesso à Rede.
   
   
8. Para solicitar TLV (Tipo-Tamanho-Valor) com ligação de criptografia, selecione Desconectar se o servidor não tiver TLV com ligação de criptografia.
   
   
9. Para configurar seus clientes para que não enviem sua identidade em texto não criptografado antes que seja autenticado ao servidor RADIUS, selecione Habilitar Privacidade de Identidade e, em Identidade Anônima, digite um nome ou valor, ou deixe o campo em branco.
   
   Por exemplo, se Habilitar Privacidade de Identidade estiver habilitado e você utilizar "convidado" como valor de identidade anônima, a resposta de identidade para um usuário cuja identidade é alice@realm será convidado@realm. Se você selecionar Habilitar Privacidade de Identidade, mas não fornecer um valor de identidade anônima, a resposta de identidade será @realm.
   
   
10. Clique em OK para salvar as configurações de Propriedades EAP Protegidas e clique em OK novamente para salvar a diretiva.