Utilize este procedimento para configurar um perfil sem fios PEAP-MS-CHAP v2 (Protected Extensible Authentication Protocol-Microsoft Challenge Handshake Authentication Protocol version 2).

A associação ao grupo Domain Admins, ou equivalente, é o requisito mínimo para levar a cabo este procedimento.

Para configurar um perfil sem fios PEAP-MS-CHAP v2 para computadores com o Windows 7 e Windows Vista
  1. Abra a caixa de diálogo Propriedades de Nova Política de Rede Sem Fios (IEEE 802.11).

  2. No separador Geral, em Nome da Política, escreva um novo nome para a política ou mantenha o nome predefinido.

  3. Em Descrição, escreva uma descrição da política.

  4. Seleccione Utilizar o Windows para configurar as definições de rede sem fios para clientes de modo a especificar a utilização da Configuração Automática de WLAN para configurar as definições de adaptador de rede sem fios.

  5. No separador Geral, efectue um dos seguintes procedimentos:

    • Para adicionar e configurar um novo perfil, clique em Adicionar e, em seguida, seleccione Infra-estrutura.

    • Para editar um perfil existente, seleccione o perfil que pretende modificar e, em seguida, clique em Editar.

  6. No separador Ligação, em Nome do Perfil, se estiver a adicionar um novo perfil, escreva um nome para o perfil. Se estiver a editar um perfil que já se encontra adicionado, utilize o nome de perfil existente ou modifique o nome conforme necessário.

  7. Em Nome(s) de Rede (SSID), escreva o SSID (Service Set Identifier) para os APs sem fios e, em seguida, clique em Adicionar.

    Se o seu modelo de implementação utilizar vários SSIDs e cada AP sem fios utilizar as mesmas definições de segurança sem fios, repita este passo para adicionar o SSID para cada AP sem fios a que pretende que este perfil seja aplicável.

    Se o seu modelo de implementação utilizar vários SSIDs e as definições de segurança para cada SSID não forem iguais, configure um perfil separado para cada grupo de SSIDs que utilize as mesmas definições de segurança. Por exemplo, se tiver um grupo de APs sem fios configurado para utilizar WPA2-Enterprise e AES, e um outro grupo de APs sem fios configurado para utilizar WPA-Enterprise e TKIP, configure um perfil para cada grupo de APs sem fios.

  8. Para especificar a ligação automática de clientes sem fios aos APs sem fios para os quais o SSID foi especificado em Nome(s) de Rede (SSID), seleccione Ligar automaticamente quando esta rede estiver ao alcance.

  9. Para especificar a ligação de clientes sem fios às redes de acordo com a ordem de preferência, seleccione Ligar a uma rede mais preferida, se disponível.

  10. Se tiver implementado pontos de acesso sem fios configurados para suprimir o sinalizador de difusão, seleccione Ligar mesmo que a rede não esteja a difundir.

    Segurança Nota

    Activar esta opção pode criar um risco de segurança, visto que os clientes sem fios irão sondar e tentar estabelecer ligações a qualquer rede sem fios. Por predefinição, esta definição não está activada.

  11. Clique no separador Segurança. Em Seleccionar os métodos de segurança para esta rede, em Autenticação, seleccione WPA2-Enterprise se for suportado pelo AP sem fios e pelas placas de rede sem fios cliente. Caso contrário, seleccione WPA-Enterprise.

    Nota

    A selecção de WPA2 expõe definições de Itinerância Rápida que não são apresentadas se WPA for a opção seleccionada. As predefinições de Itinerância Rápida são suficientes para a maior parte das implementações sem fios.

  12. Em Encriptação, seleccione AES se for suportado pelo AP sem fios e pelas placas de rede sem fios cliente. Caso contrário, seleccione TKIP.

    Nota

    As definições de Autenticação e Encriptação têm de corresponder às definições configuradas no AP sem fios.

  13. Em Seleccione um método de autenticação de rede, seleccione Microsoft: Protected EAP (PEAP).

  14. Em Modo de autenticação, seleccione o seguinte, dependendo das suas necessidades: Autenticação de Utilizador ou Computador, Autenticação de computador, Autenticação de utilizador, Autenticação de convidado. Por predefinição, a opção Autenticação de Utilizador ou Computador encontra-se seleccionada.

  15. Em Máximo de Falhas de Autenticação, especifique o número máximo de tentativas falhadas permitido antes que o utilizador seja notificado de que a autenticação falhou. Por predefinição, o valor está definido para "1".

  16. Para especificar que as credenciais do utilizador são retidas na cache, seleccione Colocar em cache informações para ligações subsequentes a esta rede.

  17. Clique em Avançadas e, em seguida, configure o seguinte:

    1. Para configurar as definições avançadas de 802.1X, em IEEE 802.1X, seleccione Impor definições avançadas de 802.1X e, em seguida, configure as seguintes definições, dependendo das suas necessidades. Máx. Mensagens de Início EAPOL, Período de Retenção, Período de Início e Período de Autenticação.

      Quando as definições avançadas de 802.1X são impostas, os valores predefinidos são suficientes para a maior parte das implementações sem fios.

    2. Para activar o Início de Sessão Único, seleccione Activar Início de Sessão Único para esta rede.

    3. Para especificar a altura em que o Início de Sessão Único ocorre, seleccione Executar imediatamente antes do Início de Sessão do Utilizador ou Executar imediatamente após o Início de Sessão do Utilizador, dependendo das suas necessidades.

      Os valores predefinidos restantes em Início de Sessão Único são suficientes para as implementações sem fios normais.

    4. Para especificar o tempo máximo, em segundos, para a autenticação 802.1X concluir e autorizar o acesso à rede, em Atraso máximo para conectividade (segundos), introduza um valor, dependendo das suas necessidades.

    5. Para permitir a apresentação de caixas de diálogo durante o Início de Sessão Único, seleccione Permitir a apresentação de caixas de diálogo adicionais durante o Início de Sessão Único.

    6. Para especificar que os computadores sem fios são colocados numa VLAN (Rede Local Virtual) durante o arranque, transitando em seguida para uma rede diferente após o início de sessão do utilizador no computador, seleccione Esta rede utiliza uma VLAN diferente para autenticação com credenciais de computador e utilizador.

    7. Para activar a Itinerância Rápida, em Itinerância Rápida, seleccione Activar Colocação em Cache PMK (Pairwise Master Key). Normalmente, os valores predefinidos para TTL de PMK (minutos) e Número de Entradas na Cache PMK são suficientes para a Itinerância Rápida.

    8. Seleccione Esta rede utiliza pré-autenticação, caso o seu AP sem fios esteja configurado para pré-autenticação. Normalmente, o valor predefinido 3 é suficiente para o Máximo de tentativas de Pré-autenticação.

    9. Para especificar que a criptografia cumpre os requisitos do modo certificado FIPS 140-2, seleccione Efectuar criptografia no modo certificado FIPS 140-2.

  18. Clique em OK para guardar as definições e regressar ao separador Segurança.

  19. Clique em Propriedades. É aberta a caixa de diálogo Propriedades de Protected EAP.

  20. Em Propriedades de Protected EAP, verifique se Validar certificado do servidor está seleccionado.

  21. Em Autoridades de Certificação de Raiz Fidedignas, seleccione a autoridade de certificação (AC) de raiz fidedigna que emitiu o certificado de servidor para o servidor com o NPS (Servidor de Políticas de Rede).

    Nota

    Esta definição limita as ACs de raiz fidedignas que o cliente considera fidedignas para as ACs seleccionadas. Se não forem seleccionadas quaisquer ACs de raiz fidedignas, os clientes irão considerar fidedignas todas as ACs de raiz existentes no seu arquivo de autoridades de certificação de raiz fidedignas.

  22. Para especificar os servidores RADIUS (Remote Authentication Dial-In User Service) que os clientes de acesso com fios devem utilizar para fins de autenticação e autorização, em Ligar a estes servidores, escreva o nome de cada servidor RADIUS, tal como este é apresentado no campo do assunto do certificado de servidor. Utilize o ponto e vírgula para especificar vários nomes de servidor RADIUS.

  23. Para uma maior segurança e uma experiência mais enriquecedora do ponto de vista do utilizador, seleccione Não perguntar ao utilizador para autorizar novos servidores ou autoridades de certificação fiáveis.

  24. Em Seleccione os Métodos de Autenticação, seleccione Protegido por Palavra-passe (EAP-MS-CHAP v2).

  25. Para permitir o Restabelecimento Rápido de Ligação PEAP, seleccione Permitir Religação Rápida.

  26. Para especificar que o NAP (Protecção de Acesso à Rede) leva a cabo verificações do estado de funcionamento do sistema nos clientes, para garantir que estes satisfazem os requisitos de estado de funcionamento, antes que as ligações à rede sejam permitidas, seleccione Impor Protecção de Acesso à Rede.

  27. Para exigir o enlace criptográfico TLV (Tipo-Comprimento-Valor), seleccione Desligar se o servidor não apresentar o enlace criptográfico TLV.

  28. Para configurar os clientes de modo a não enviarem a sua identidade em texto não encriptado antes de o cliente ter autenticado o servidor RADIUS, seleccione Activar Privacidade de Identidade e, em seguida, em Identidade Anónima, escreva um nome ou valor, ou deixe o campo em branco.

    Por exemplo, se a opção Activar Privacidade de Identidade estiver activada e utilizar "convidado" como o valor da identidade anónima, a resposta da identidade para um utilizador com a identidade paula@realm será convidado@realm. Se seleccionar Activar Privacidade de Identidade, mas não fornecer um valor de identidade anónimo, a resposta da identidade será @realm.

  29. Clique em Configurar. Na caixa de diálogo EAP MSCHAPv2 - Propriedades, verifique se Utilizar automaticamente o nome de início de sessão e a palavra-passe do Windows (e domínio se existente) está seleccionado, clique em OK e, em seguida, clique em OK para fechar Propriedades de Protected EAP.

  30. Clique em OK para guardar as definições, feche o separador Segurança e, em seguida, clique novamente em OK para fechar a Política de Rede sem Fios do Vista.


Sumário