Depois de instalar o serviço de Encaminhamento e Acesso Remoto (RRAS), tem de especificar os utilizadores que têm permissão para estabelecer ligação ao servidor RRAS. A autorização RRAS é determinada pelas propriedades de acesso telefónico na conta de utilizador, pelas políticas de rede ou por ambas.

Não é necessário criar contas de utilizadores só para utilizadores de acesso remoto. Os servidores RRAS podem utilizar contas de utilizador existentes nas bases de dados de contas de utilizador. Tanto em Utilizadores e Grupos Locais como em Utilizadores e Computadores do Active Directory, as contas de utilizador têm um separador Acesso telefónico no qual pode configurar as permissões de acesso remoto. Para um grande número de utilizadores, recomenda-se que configure políticas de rede num servidor que execute o Servidor de Políticas de Rede (NPS). Para obter mais informações, consulte Servidor de Políticas de Rede (pode estar em inglês) (https://go.microsoft.com/fwlink/?linkid=139764).

Segurança antes da ligação

Os seguintes passos descrevem o que acontece durante uma tentativa de ligação de um cliente de acesso remoto para um servidor RRAS está configurado para utilizar a autenticação do Windows:

  1. Um cliente de acesso remoto tenta estabelecer ligação a um servidor RRAS.

  2. O servidor envia um desafio ao cliente.

  3. O cliente envia uma resposta encriptada ao servidor composta por um nome de utilizador, um nome de domínio e uma palavra-passe.

  4. O servidor verifica a resposta em comparação com a base de dados de contas de utilizadores.

  5. Se a conta for válida e as credenciais de autenticação estiverem correctas, o servidor utiliza as propriedades de acesso telefónico da conta de utilizador e as políticas de rede para autorizar a ligação.

Se a ligação for de acesso telefónico e a chamada de retorno estiver activada, o servidor desliga, liga para o cliente e continua o processo de negociação da ligação.

Notas
  • Os passos 2 e 3 partem do princípio de que o cliente e o servidor RRAS utilizam os protocolos de autenticação MS-CHAP v2 (Microsoft Challenge Handshake Authentication Protocol, version 2) ou CHAP (Challenge Handshake Authentication Protocol). O envio das credenciais de clientes pode ser diferente para outros protocolos de autenticação.
  • Se o servidor RRAS for membro de um domínio e a resposta do utilizador não contiver um nome de domínio, por predefinição, é utilizado o nome de domínio do servidor RRAS. Se quiser utilizar um nome de domínio diferente daquele do servidor RRAS, no cliente de acesso remoto, defina o seguinte valor do registo para o nome do domínio que pretende utilizar:
  • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\RasMan\PPP\ControlProtocols\BuiltIn\DefaultDomain
Atenção

A edição incorrecta do registo pode danificar gravemente o sistema. Antes de efectuar alterações no registo, crie uma cópia de segurança de todos os dados importantes do computador.

Segurança depois da ligação

As credenciais utilizadas para acesso remoto apenas fornecem um canal de comunicação para a rede de destino. O cliente não inicia sessão na rede como resultado de uma ligação de acesso remoto. Sempre que o cliente tentar aceder a um recurso da rede, ser-lhe-ão pedidas credenciais. Se não responder ao desafio com as credenciais correctas, a tentativa de acesso falha. O Windows adiciona uma funcionalidade para simplificar o acesso remoto. Após uma ligação com êxito, os clientes de acesso remoto que executem o Windows Vista®, Windows® 7, Windows Server® 2008 e Windows Server® 2008 R2 criam uma cache destas credenciais que são utilizadas como credenciais predefinidas enquanto dura a ligação. Quando um recurso de rede desafia o cliente de acesso remoto, o cliente fornece as credenciais colocadas na cache para que o utilizador não tenha de as voltar a introduzir.

Referências adicionais

Sumário