Utilize este procedimento para configurar um perfil PEAP-MS-CHAP v2 (Protected Extensible Authentication Protocol-Microsoft Challenge Handshake Authentication Protocol version 2) para a autenticação de cliente utilizando palavras-passe seguras.

A associação ao grupo Admins do Domínio, ou equivalente, é o requisito mínimo para levar a cabo este procedimento.

Para configurar um perfil para ligações com fios PEAP-MS-CHAP v2
  1. No separador Geral, proceda do seguinte modo:

    1. Em Nome da Política, escreva um nome para a política de rede com fios.

    2. Em Descrição, escreva uma breve descrição da política.

    3. Certifique-se de que Utilizar o serviço Config. Automática com Fios do Windows para clientes está seleccionado.

    4. Para permitir que utilizadores detentores de computadores com o Windows 7 introduzam e armazenem as suas credenciais de domínio (nome de utilizador e palavra-passe), que o computador, por sua vez, poderá utilizar para iniciar sessão na rede (ainda que o utilizador não tenha uma sessão iniciada propriamente dita), em Definições de Política do Windows 7, seleccione Activar Credenciais Explícitas.

    5. Para especificar o período de tempo durante o qual os computadores com o Windows 7 estão proibidos de efectuar tentativas de ligação automática à rede, seleccione Activar Período de Bloqueio e, em seguida, em Período de Bloqueio (minutos), especifique o número de minutos que pretende aplicar ao período de bloqueio. O intervalo válido de minutos é de 1-60.

      Nota

      Para mais informações sobre as definições de qualquer separador, prima F1 enquanto estiver a visualizar esse separador.

  2. No separador Segurança, proceda do seguinte modo:

    1. Seleccione Activar utilização da autenticação IEEE 802.1X para o acesso à rede.

    2. Em Seleccione um método de autenticação de rede, seleccione Microsoft: Protected EAP (PEAP).

    3. Em Modo de autenticação, seleccione o seguinte, dependendo das suas necessidades: Autenticação de Utilizador ou Computador (recomendado), Autenticação de computador, Autenticação de utilizador, Autenticação de convidado. Por predefinição, a opção Autenticação de Utilizador ou Computador encontra-se seleccionada.

    4. Em Máximo de Falhas de Autenticação, especifique o número máximo de tentativas falhadas permitido antes que o utilizador seja notificado de que a autenticação falhou. Por predefinição, o valor está definido para "1".

    5. Para especificar que as credenciais do utilizador são retidas na cache, seleccione Colocar em cache informações para ligações subsequentes a esta rede.

  3. Para configurar o Início de Sessão Único ou as definições avançadas de 802.1X, clique em Avançadas. No separador Avançadas, efectue o seguinte procedimento:

    1. Para configurar as definições avançadas de 802.1X, seleccione Impor definições avançadas de 802.1X e, em seguida, modifique (apenas conforme necessário) as definições de: Máx. Msgs. de Início EAPOL, Período de Retenção, Período de Início, Período de Autenticação e Mensagem de Início EAPOL.

    2. Para configurar o Início de Sessão Único, seleccione Activar Início de Sessão Único para esta rede e, em seguida, modifique (conforme necessário) as definições de:

      • Executar Imediatamente antes do Início de Sessão do Utilizador

      • Executar Imediatamente após o Início de Sessão do Utilizador

      • Atraso máximo para conectividade

      • Permitir a apresentação de caixas de diálogo adicionais durante o Início de Sessão Único

      • Esta rede utiliza uma VLAN diferente para autenticação com credenciais de computador e utilizador

  4. Clique em OK. A caixa de diálogo Definições Avançadas de Segurança é fechada, regressando assim ao separador Segurança. No separador Segurança, clique em Propriedades. É aberta a caixa de diálogo Propriedades de Protected EAP.

  5. Na caixa de diálogo Propriedades de Protected EAP, proceda do seguinte modo:

    1. Seleccione Validar certificado do servidor.

    2. Para especificar os servidores RADIUS (Remote Authentication Dial-In User Service) que os clientes de acesso com fios devem utilizar para fins de autenticação e autorização, em Ligar a estes servidores, escreva o nome de cada servidor RADIUS, tal como este é apresentado no campo do assunto do certificado de servidor. Utilize o ponto e vírgula para especificar vários nomes de servidor RADIUS.

    3. Em Autoridades de Certificação de Raiz Fidedignas, seleccione a autoridade de certificação (AC) de raiz fidedigna que emitiu o certificado de servidor para o servidor com o NPS (Servidor de Políticas de Rede).

      Nota

      Esta definição limita as ACs de raiz fidedigna que o cliente considera fidedignas de acordo com os valores seleccionados. Se não for seleccionada nenhuma AC de raiz fidedigna, os clientes irão considerar fidedignas todas as ACs de raiz fidedigna existentes no seu arquivo de autoridades de certificação de raiz fidedigna.

    4. Para uma maior segurança e uma experiência mais enriquecedora do ponto de vista do utilizador, seleccione Não perguntar ao utilizador para autorizar novos servidores ou autoridades de certificação fiáveis.

    5. Em Seleccione os Métodos de Autenticação, seleccione Protegido por Palavra-passe (EAP-MSCHAP v2).

    6. Para especificar que o Restabelecimento Rápido de Ligação PEAP está activado, seleccione Permitir Religação Rápida.

    7. Para especificar que o NAP (Protecção de Acesso à Rede) leva a cabo verificações do estado de funcionamento do sistema nos clientes, para garantir que estes satisfazem os requisitos de estado de funcionamento, antes que as ligações à rede sejam permitidas, seleccione Impor Protecção de Acesso à Rede.

    8. Para exigir o enlace criptográfico TLV (Tipo-Comprimento-Valor), seleccione Desligar se o servidor não apresentar o enlace criptográfico TLV.

    9. Para configurar os clientes de modo a não enviarem a sua identidade em texto não encriptado antes de o cliente ter autenticado o servidor RADIUS, seleccione Activar Privacidade de Identidade e em Identidade Anónima, escreva um nome ou valor, ou deixe o campo em branco.

      Por exemplo, se a opção Activar Privacidade de Identidade estiver activada e utilizar "convidado" como o valor da identidade anónima, a resposta da identidade para um utilizador com a identidade paula@realm será convidado@realm. Se seleccionar Activar Privacidade de Identidade, mas não fornecer um valor de identidade anónimo, a resposta da identidade será @realm.

    10. Clique em OK para guardar as definições de Propriedades de Protected EAP e, em seguida, volte a clicar em OK para guardar a política.


Sumário