Implantação de acesso sem fio

  • Artigo

Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016

Siga estas etapas para implantar o acesso sem fio:

Implantar e Configurar PAs Sem Fio

Siga estas etapas para implantar e configurar seus PAs sem fio:

Observação

Os procedimentos deste guia não incluem instruções para os casos em que a caixa de diálogo Controle de Conta de Usuário é aberta para solicitar sua permissão para continuar. Caso essa caixa de diálogo seja aberta durante a execução dos procedimentos deste guia e em resposta às suas ações, clique em Continuar.

Especificar Frequências de Canal de PA Sem Fio

Ao implantar vários PAs sem fio em um único site geográfico, você deve configurar PAs sem fio que tenham sinais sobrepostos para usar frequências de canal exclusivas para reduzir a interferência entre PAs sem fio.

Você pode usar as diretrizes a seguir para ajudar a escolher frequências de canal que não entram em conflito com outras redes sem fio na localização geográfica da sua rede sem fio.

  • Se houver outras organizações que tenham escritórios próximos ou no mesmo prédio que sua organização, identifique se há redes sem fio pertencentes a essas organizações. Descubra o posicionamento e as frequências de canal atribuídas dos seus PAs sem fio, pois você precisa atribuir diferentes frequências de canal aos PAs e determinar o melhor local para instalar os PAs.

  • Identifique sinais de conexão sem fio sobrepostos nos andares adjacentes na sua própria organização. Depois de identificar áreas de cobertura sobrepostas dentro e fora da sua organização, atribua frequências de canal para seus PAs sem fio, garantindo que dois PAs sem fio com cobertura sobreposta sejam atribuídos a diferentes frequências de canal.

Configurar PAs Sem Fio

Use as informações a seguir junto com a documentação do produto fornecida pelo fabricante do PA sem fio para configurar seus PAs sem fio.

Este procedimento enumera os itens configurados normalmente em um PA sem fio. Os nomes dos itens podem variar de acordo com a marca e o modelo e podem ser diferentes dos listados a seguir. Para obter detalhes específicos, confira a documentação do PA sem fio.

Para configurar seus PAs sem fio

  • SSID. Especifique o nome das redes sem fio (por exemplo, ExampleWLAN). Esse é o nome anunciado para os clientes sem fio.

  • Criptografia. Especifique WPA2-Enterprise (preferencial) ou WPA-Enterprise e a criptografia AES (preferencial) ou TKIP, dependendo de quais versões são compatíveis com os adaptadores de rede do computador cliente sem fio.

  • Endereço IP (estático) do PA sem fio. Em cada PA, configure um endereço IP estático exclusivo que se enquadre no intervalo de exclusão do escopo DHCP da sub-rede. O uso de um endereço excluído da atribuição pelo DHCP impede que o servidor DHCP atribua o mesmo endereço IP a um computador ou outro dispositivo.

  • Máscara de sub-rede. Defina essa configuração para corresponder às configurações de máscara de sub-rede da LAN à qual você conectou ao PA sem fio.

  • Nome DNS. Alguns PAs sem fio podem ser configurados com um nome DNS. O serviço DNS na rede pode resolver os nomes DNS para um endereço IP. Em cada PA sem fio compatível com esse recurso, insira um nome exclusivo para resolução DNS.

  • Serviço DHCP. Se o PA sem fio tiver um serviço DHCP interno, desabilite-o.

  • Segredo compartilhado RADIUS. Use um segredo compartilhado RADIUS exclusivo para cada PA sem fio, a menos que você esteja planejando configurar PAs como Clientes RADIUS no NPS por grupo. Se você planeja configurar PAs por grupo no NPS, o segredo compartilhado deve ser o mesmo para cada membro do grupo. Além disso, cada segredo compartilhado usado deve ser uma sequência aleatória de pelo menos 22 caracteres que combina letras maiúsculas e minúsculas, números e pontuação. Para garantir a aleatoriedade, você pode usar um gerador de caracteres aleatórios, como o gerador de caracteres aleatórios encontrado no assistente Configurar 802.1X do NPS, para criar os segredos compartilhados.

Dica

Registre o segredo compartilhado de cada PA sem fio e armazene-o em um local seguro, como um cofre do escritório. Você deve saber o segredo compartilhado para cada PA sem fio ao configurar clientes RADIUS no NPS.

  • Endereço IP do servidor RADIUS. Digite o endereço IP do servidor que executa o NPS.

  • Portas UDP. Por padrão, o NPS usa as portas UDP 1812 e 1645 para mensagens de autenticação e portas UDP 1813 e 1646 para mensagens de contabilização. É recomendável que você use essas mesmas portas UDP nos seus PAs, mas se você tiver um motivo válido para usar portas diferentes, não apenas configure os PAs com os novos números de porta, mas também reconfigure todos os NPSs para usar os mesmos números de porta que os PAs. Se os PAs e os NPSs não estiverem configurados com as mesmas portas UDP, o NPS não poderá receber ou processar solicitações de conexão dos PAs e todas as tentativas de conexão sem fio na rede falharão.

  • VSAs. Alguns PAs sem fio exigem VSAs (atributos específicos do fornecedor) para fornecer funcionalidade completa de PA sem fio. Os VSAs são adicionados na política de rede do NPS.

  • Filtragem DHCP. Configure os PAs sem fio para impedir que clientes sem fio enviem pacotes IP da porta UDP 68 para a rede, conforme documentado pelo fabricante do PA sem fio.

  • Filtragem DNS. Configure os PAs sem fio para impedir que clientes sem fio enviem pacotes IP da porta TCP ou UDP 53 para a rede, conforme documentado pelo fabricante do PA sem fio.

Criar Grupos de Segurança para Usuários de Conexão Sem Fio

Siga estas etapas para criar um ou mais grupos de segurança de usuários de conexão sem fio e, em seguida, adicione usuários ao grupo de segurança de usuários de conexão sem fio apropriado:

Criar um Grupo de Segurança de Usuários de Conexão Sem Fio

Você pode usar este procedimento para criar um grupo de segurança de conexão sem fio no snap-in do MMC (Console de Gerenciamento Microsoft) de Usuários e Computadores do Active Directory.

A associação a Adminis. do Domínio ou equivalente é o requisito mínimo para a execução deste procedimento.

Para criar um grupo de segurança de usuários de conexão sem fio

  1. Clique em Iniciar, Ferramentas Administrativas e em Usuários e Computadores do Active Directory. O snap-in de Usuários e Computadores do Active Directory será aberto. Caso ainda não esteja selecionado, clique no nó do seu domínio. Por exemplo, se o seu domínio for exemplo.com, clique em exemplo.com.

  2. No painel de detalhes, clique com o botão direito do mouse na pasta na qual você deseja adicionar um novo grupo (por exemplo, clique com o botão direito do mouse em Usuários), aponte para Novo e clique em Grupo.

  3. Em Novo Objeto – Grupo, em Nome do grupo, digite o nome do novo grupo. Por exemplo, digite Grupo de Conexão Sem Fio.

  4. Em Escopo do grupo, selecione uma das seguintes opções:

    • Local de domínio

    • Global

    • Universal

  5. Em Tipo de grupo, selecione Segurança.

  6. Clique em OK.

Se você precisar de mais de um grupo de segurança para usuários de conexão sem fio, repita essas etapas para criar outros grupos de usuários de conexão sem fio. Posteriormente, você pode criar políticas de rede individuais no NPS para aplicar diferentes condições e restrições a cada grupo, fornecendo permissões de acesso e regras de conectividade diferentes.

Adicionar Usuários ao Grupo de Segurança de Usuários de Conexão Sem Fio

Você pode usar este procedimento para adicionar um usuário, computador ou grupo ao seu grupo de segurança de conexão sem fio no snap-in do MMC (Console de Gerenciamento Microsoft) de Usuários e Computadores do Active Directory.

A associação a Adminis. do Domínio ou equivalente é o requisito mínimo para a execução deste procedimento.

Para adicionar usuários ao grupo de segurança de conexão sem fio

  1. Clique em Iniciar, Ferramentas Administrativas e em Usuários e Computadores do Active Directory. O MMC Usuários e Computadores do Active Directory é aberto. Caso ainda não esteja selecionado, clique no nó do seu domínio. Por exemplo, se o seu domínio for exemplo.com, clique em exemplo.com.

  2. No painel de detalhes, clique duas vezes na pasta que contém o grupo de segurança de conexão sem fio.

  3. No painel de detalhes, clique com o botão direito do mouse no grupo de segurança de conexão sem fio e depois clique em Propriedades. A caixa de diálogo Propriedades do grupo de segurança será aberta.

  4. Na guia Membros, clique em Adicionar e conclua um dos procedimentos a seguir para adicionar um computador ou adicionar um usuário ou grupo.

Para adicionar um usuário ou grupo

  1. Em Digitar os nomes de objeto a serem selecionados, digite o nome do usuário ou grupo que deseja adicionar e clique em OK.

  2. Para atribuir a associação de grupo a outros usuários ou grupos, repita a etapa 1 deste procedimento.

Para adicionar um computador

  1. Clique em Tipos de Objeto. A caixa de diálogo Tipos de Objetos será aberta.

  2. Em Tipos de objeto, selecione Computadores e clique em OK.

  3. Em Digitar os nomes de objeto a serem selecionados, digite o nome do computador que você deseja adicionar e, em seguida, clique em OK.

  4. Para atribuir a associação de grupo a outros computadores, repita as etapas de 1 a 3 deste procedimento.

Configurar Políticas de Rede Sem Fio (IEEE 802.11)

Siga estas etapas para configurar a extensão da Política de Grupo das Políticas de Rede Sem Fio (IEEE 802.11):

Abrir ou Adicionar e Abrir um Objeto de Política de Grupo

Por padrão, o recurso Gerenciamento de Política de Grupo é instalado nos computadores que executam o Windows Server 2016, quando a função de servidor do AD DS (Active Directory Domain Services) é instalada e o servidor é configurado como controlador de domínio. O procedimento a seguir que descreve como abrir o GPMC (Console de Gerenciamento de Política de Grupo) no controlador de domínio. Em seguida, o procedimento descreve como abrir um GPO (Objeto de Política de Grupo) no nível de domínio existente para edição ou como criar um novo GPO de domínio e abri-lo para edição.

A associação a Adminis. do Domínio ou equivalente é o requisito mínimo para a execução deste procedimento.

Para abrir ou adicionar e abrir um Objeto de Política de Grupo

  1. No seu controlador de domínio, clique em Iniciar, Ferramentas Administrativas do Windows e Gerenciamento de Política de Grupo. O Console de Gerenciamento de Política de Grupo é aberto.

  2. No painel esquerdo, clique duas vezes na sua floresta. Por exemplo, clique duas vezes em Floresta: example.com.

  3. No painel esquerdo, clique duas vezes em Domínios e, em seguida, clique duas vezes no domínio para o qual você deseja gerenciar um objeto de Política de Grupo. Por exemplo, clique duas vezes em example.com.

  4. Realize um dos seguintes procedimentos:

    • Para abrir um GPO em nível de domínio existente para edição, clique duas vezes no domínio que contém o objeto de Política de Grupo que você deseja gerenciar, clique com o botão direito do mouse na política de domínio que você deseja gerenciar, como a Política de Domínio Padrão, e clique em Editar. O Editor de Gerenciamento de Política de Grupo será aberto.

    • Para criar um novo objeto de Política de Grupo e abrir para edição, clique com o botão direito do mouse no domínio para o qual você deseja criar um objeto de Política de Grupo e então clique em Criar um GPO neste domínio e vinculá-lo aqui.

      Em Novo GPO, em Nome, digite um nome para o novo objeto de Política de Grupo e clique em OK.

      Clique com o botão direito do mouse em seu novo objeto de Política de Grupo e clique em Editar. O Editor de Gerenciamento de Política de Grupo será aberto.

Na próxima seção, você usará o Editor de Gerenciamento de Política de Grupo para criar uma política de conexão sem fio.

Ativar Políticas de Rede Sem Fio Padrão (IEEE 802.11)

Este procedimento descreve como ativar as Políticas de Rede Sem Fio padrão (IEEE 802.11) usando o GPME (Editor de Gerenciamento de Política de Grupo).

Observação

Depois de ativar a versão do Windows Vista e Versões Posteriores das Políticas de Rede Sem Fio (IEEE 802.11) ou a versão do Windows XP, a opção de versão será removida automaticamente da lista de opções quando você clicar com o botão direito do mouse em Políticas de Rede Sem Fio (IEEE 802.11). Isso ocorre porque, depois que você seleciona uma versão de política, a política é adicionada ao painel de detalhes do GPME, quando você seleciona o nó Políticas de Rede Sem Fio (IEEE 802.11). Esse estado permanece, a menos que você exclua a política de conexão sem fio. Nesse momento, a versão da política de conexão sem fio retorna ao menu de atalho para Políticas de Rede Sem Fio (IEEE 802.11) no GPME. Além disso, as políticas de conexão sem fio só são listadas no painel de detalhes do GPME quando o nó Políticas de Rede Sem Fio (IEEE 802.11) é selecionado.

A associação a Adminis. do Domínio ou equivalente é o requisito mínimo para a execução deste procedimento.

Para ativar Políticas de Rede Sem Fio padrão (IEEE 802.11)

  1. Siga o procedimento anterior em Para abrir ou adicionar e abrir um objeto de Política de Grupo, para abrir o GPME.

  2. No GPME, no painel esquerdo, clique duas vezes em Configuração do Computador, clique duas vezes em Políticas, clique duas vezes em Configurações do Windows e clique duas vezes em Configurações de Segurança.

802.1X Wireless Group Policy

  1. Em Configurações de Segurança, clique com o botão direito do mouse em Políticas de Rede Sem Fio (IEEE 802.11) e clique em Criar uma nova Política de Conexão Sem Fio para Windows Vista e Versões Posteriores.

802.1X Wireless Policy

  1. A caixa de diálogo Novas Propriedades da Política de Rede Sem Fio será aberta. Em Nome da Política, digite um novo nome para a política ou mantenha o nome padrão. Clique em OK para salvar a política. A política padrão é ativada e listada no painel de detalhes do GPME com o novo nome fornecido ou com o nome padrão Nova Política de Rede Sem Fio.

New Wireless Network Policy Properties

  1. No painel de detalhes, clique duas vezes em Nova Política de Rede Sem Fio para abrir.

Na próxima seção, você pode executar a configuração de política, a ordem de preferência de processamento de política e as permissões de rede.

Configurar a Nova Política de Rede Sem Fio

Você pode usar os procedimentos nesta seção para configurar a Política de Rede Sem Fio (IEEE 802.11). Essa política permite que você defina as configurações de segurança e autenticação, gerencie perfis sem fio e especifique permissões para redes sem fio que não estão configuradas como redes preferenciais.

Configurar um Perfil de Conexão Sem Fio para PEAP-MS-CHAP v2

Este procedimento fornece as etapas necessárias para configurar um perfil sem fio para PEAP-MS-CHAP v2.

A associação no Admins. do Domínio ou equivalente é o requisito mínimo exigido para concluir este procedimento.

Para configurar um Perfil de Conexão Sem Fio para PEAP-MS-CHAP v2

  1. No GPME, na caixa de diálogo Propriedades de Rede Sem Fio da política que você acabou de criar, na guia Geral e em Descrição, digite uma breve descrição da política.

  2. Para especificar que a Configuração Automática de WLAN seja usada para definir as configurações do adaptador de rede sem fio, verifique se a opção Usar o serviço de Configuração Automática de WLAN do Windows para clientes foi selecionada.

  3. Em Conectar-se às redes disponíveis na ordem dos perfis listados abaixo, clique em Adicionar e selecione Infraestrutura. A caixa de diálogo Propriedades do Novo Perfil será aberta.

  4. Na caixa de diálogo Propriedades do Novo Perfil, na guia Conexão, no campo Nome do Perfil, digite um novo nome para o perfil. Por exemplo, digite Perfil de WLAN Example.com para Windows 10.

  5. Em Nomes de Rede (SSID), digite o SSID que corresponde ao SSID configurado nos seus PAs sem fio e depois clique em Adicionar.

    Se sua implantação utiliza vários SSIDs e cada PA sem fio utiliza as mesmas configurações de segurança sem fio, repita essa etapa para adicionar o SSID de cada PA sem fio ao qual você deseja que esse perfil seja aplicado.

    Se sua implantação utiliza vários SSIDs e as configurações de segurança para cada SSID não são correspondentes, configure um perfil separado para cada grupo de SSIDs que usam as mesmas configurações de segurança. Por exemplo, se você tiver um grupo de PAs sem fio configurados para usar WPA2-Enterprise e AES, e outro grupo de PAs sem fio para usar WPA-Enterprise e TKIP, configure um perfil para cada grupo de PAs sem fio.

  6. Se o texto padrão NEWSSID estiver presente, selecione-o e clique em Remover.

  7. Se você implantou pontos de acesso sem fio configurados para suprimir o sinalizador de difusão, selecione Conectar mesmo que não haja difusão na rede.

    Observação

    Habilitar esta opção pode criar um risco de segurança porque os clientes sem fio procurarão e tentarão usar conexões com qualquer rede sem fio. Por padrão, essa configuração não está habilitada.

  8. Clique na guia Segurança, clique em Avançado e configure:

    1. Para definir as configurações 802.1X avançadas, em IEEE 802.1X, selecione Aplicar configurações 802.1X avançadas.

      Quando as configurações avançadas 802.1X são aplicadas, os valores padrão para Máximo de Msg. Eapol-Start, Período de Retenção, Período Inicial e Período de Autenticação são suficientes para típicas implantações sem fio. Por isso, você não precisa alterar os padrões, a menos que tenha um motivo específico para fazer isso.

    2. Para habilitar o Logon Único, selecione Habilitar Logon Único para esta rede.

    3. Os valores padrão restantes em Logon único são suficientes para implantações sem fio típicas.

    4. Em Roaming Rápido, se seu PA sem fio estiver configurado para pré-autenticação, selecione Esta rede usa pré-autenticação.

  9. Para especificar que as comunicações sem fio atendam aos padrões FIPS 140-2, selecione Executar criptografia no modo certificado FIPS 140-2.

  10. Clique em OK para retornar à guia Segurança. Em Selecionar os métodos de segurança para esta rede, em Autenticação, selecione WPA2-Enterprise, se compatível com o seu PA sem fio e os adaptadores de rede de cliente sem fio. Caso contrário, selecione WPA-Enterprise.

  11. Em Criptografia, se compatível com o seu PA sem fio e os adaptadores de rede de cliente sem fio, selecione AES-CCMP. Se você estiver usando pontos de acesso e adaptadores de rede sem fio compatíveis com 802.11ac, selecione AES-GCMP. Caso contrário, selecione TKIP.

    Observação

    As configurações para Autenticação e Criptografia devem corresponder às configurações definidas nos seus PAs sem fio. As configurações padrão para Modo de Autenticação, Máximo de Falhas de Autenticação e Armazenar em cache as informações de usuário para conexões subsequentes para esta rede são suficientes para típicas implantações sem fio.

  12. Em Selecionar método de autenticação de rede, selecione EAP protegido (PEAP), e clique em Propriedades. A caixa de diálogo Propriedades do Protected EAP será aberta.

  13. Em Propriedades do Protected EAP, confirme se a opção Verificar a identidade do servidor validando se o certificado foi selecionada.

  14. Em Autoridades de Certificação Raiz Confiáveis, selecione a AC (autoridade de certificação) raiz confiável que emitiu o certificado do servidor para seu NPS.

    Observação

    Essa configuração limita as ACs raiz que os clientes confiam para as ACs selecionadas. Se nenhuma AC raiz confiável foi selecionada, os clientes confiarão em todas as ACs raiz listadas no repositório de certificados de Autoridades de Certificação Raiz Confiáveis.

  15. Na lista Selecionar Método de Autenticação, selecione Senha segura (EAP-MS-CHAP v2).

  16. Clique em Configurar. Na caixa de diálogo Propriedades de EAP MSCHAPv2, verifique se a opção Usar meu nome e minha senha de logon do Windows automaticamente (e o domínio, se houver) foi selecionada e clique em OK.

  17. Para habilitar a Reconexão Rápida do PEAP, verifique se a opção Habilitar Reconexão Rápida foi selecionada.

  18. Para exigir o TLV de criptografia do servidor nas tentativas de conexão, selecione Desconectar, se o servidor não apresentar o TLV de cryptobinding.

  19. Para especificar que a identidade do usuário seja mascarada na primeira fase da autenticação, selecione Habilitar Privacidade de Identidade e, na caixa de texto, digite um nome de identidade anônimo ou deixe a caixa de texto em branco.

    [!NOTES]

    • A política de NPS para Conexão Sem Fio 802.1X deve ser criada usando a Política de Solicitação de Conexão do NPS. Se a política de NPS foi criada usando a Política de Rede do NPS, a privacidade de identidade não funcionará.
    • A privacidade de identidade do EAP é fornecida por determinados métodos EAP em que uma identidade vazia ou anônima (diferente da identidade real) é enviada em resposta à solicitação de identidade do EAP. O PEAP envia a identidade duas vezes durante a autenticação. Na primeira fase, a identidade é enviada em texto sem formatação e essa identidade é usada para fins de roteamento, não para autenticação de cliente. A identidade real, usada para autenticação, é enviada durante a segunda fase da autenticação, dentro do túnel seguro estabelecido na primeira fase. Se a caixa de seleção Habilitar Privacidade de Identidade estiver marcada, o nome de usuário será substituído pela entrada especificada na caixa de texto. Por exemplo, suponha que a opção Habilitar Privacidade de Identidade seja selecionada e o alias de privacidade de identidade anônimo seja especificado na caixa de texto. Para um usuário com um alias de identidade real jdoe@example.com, a identidade enviada na primeira fase da autenticação será alterada para anonymous@example.com. A parte realm da identidade da primeira fase não é modificada, pois é usada para fins de roteamento.

  20. Clique em OK para fechar a caixa de diálogo Propriedades do Protected EAP.

  21. Clique em OK para fechar a guia Segurança.

  22. Se você quiser criar perfis adicionais, clique em Adicionar e repita as etapas anteriores, fazendo escolhas diferentes para personalizar cada perfil para os clientes sem fio e a rede à qual você deseja aplicar o perfil. Quando terminar de adicionar perfis, clique em OK para fechar a caixa de diálogo Propriedades da Política de Rede Sem Fio.

Na próxima seção, você pode ordenar os perfis de política para obter a segurança ideal.

Definir a Ordem de Preferência para Perfis de Conexão Sem Fio

Você pode usar esse procedimento, se tiver criado vários perfis sem fio na sua política de rede sem fio e quiser solicitar os perfis para ter a eficácia e a segurança ideais.

Para garantir que os clientes sem fio se conectem com o mais alto nível de segurança compatível, coloque suas políticas mais restritivas no topo da lista.

Por exemplo, se você tiver dois perfis, um para clientes compatíveis com WPA2 e outro para clientes compatíveis com WPA, coloque o perfil WPA2 no topo da lista. Isso garante que os clientes compatíveis com WPA2 usarão esse método para a conexão, em vez do WPA menos seguro.

Este procedimento fornece as etapas para especificar a ordem na qual os perfis de conexão sem fio são usados para conectar clientes sem fio membros do domínio às redes sem fio.

A associação no Admins. do Domínio ou equivalente é o requisito mínimo exigido para concluir este procedimento.

Para definir a ordem de preferência para perfis de conexão sem fio

  1. No GPME, na caixa de diálogo Propriedades de Rede Sem fio da política que você acabou de configurar, clique na guia Geral.

  2. Na guia Geral, em Conectar-se a redes disponíveis na ordem dos perfis listados abaixo, selecione o perfil que você deseja mover na lista e clique no botão de "seta para cima" ou "seta para baixo" para mover o perfil para o local desejado na lista.

  3. Repita a etapa 2 para cada perfil que você deseja mover na lista.

  4. Clique em OK para salvar todas as alterações.

Na seção a seguir, você pode definir as permissões de rede para a política de conexão sem fio.

Definir Permissões de Rede

Você pode definir as configurações na guia Permissões de Rede para os membros do domínio aos quais se aplicam as Políticas de Rede Sem Fio (IEEE 802.11).

Você só pode aplicar as seguintes configurações para redes sem fio que não estão definidas na guia Geral na página Propriedades da Política de Rede Sem Fio:

  • Permitir ou negar conexões com determinadas redes sem fio especificadas por tipo de rede e SSID (Identificador de Conjunto de Serviços)

  • Permitir ou negar conexões com redes ad hoc

  • Permitir ou negar conexões com redes de infraestrutura

  • Permitir ou negar que os usuários exibam os tipos de rede (ad hoc ou infraestrutura) aos quais o acesso deles foi negado

  • Permitir ou negar que os usuários criem um perfil que se aplique a todos os usuários

  • Os usuários só podem se conectar a redes permitidas usando os perfis de Política de Grupo

A associação em Administradores de Domínio ou equivalente é o requisito mínimo necessário para concluir esses procedimentos.

Para permitir ou negar conexões com redes sem fio específicas

  1. No GPME, na caixa de diálogo Propriedades de Rede Sem Fio, clique na guia Permissões de Rede.

  2. Na guia Permissões de Rede, clique em Adicionar. A caixa de diálogo Nova Entrada de Permissão será aberta.

  3. Na caixa de diálogo Nova Entrada de Permissão, no campo Nome da Rede (SSID), digite o SSID da rede para a qual você deseja definir permissões.

  4. Em Tipo de Rede, selecione Infraestrutura ou Ad hoc.

    Observação

    Se não tiver certeza se a rede de difusão é uma rede de infraestrutura ou ad hoc, você pode configurar duas entradas de permissão de rede, uma para cada tipo de rede.

  5. Em Permissão, selecione Permitir ou Negar.

  6. Clique em OK para retornar à guia Permissões de Rede.

Para especificar permissões de rede adicionais (opcional)

  1. Na guia Permissões de Rede, configure todas ou qualquer uma das opções a seguir:

    • Para negar aos membros do domínio o acesso a redes ad hoc, selecione Impedir conexões com redes ad hoc.

    • Para negar aos membros do domínio o acesso a redes de infraestrutura, selecione Impedir conexões com redes de infraestrutura.

    • Para permitir que os membros do domínio exibam os tipos de rede (ad hoc ou infraestrutura) aos quais o acesso deles foi negado, selecione Permitir que o usuário exiba as redes negadas.

    • Para permitir que os usuários criem perfis que se aplicam a todos os usuários, selecione Permitir que todos criem todos os perfis de usuário.

    • Para especificar que os usuários só podem se conectar a redes permitidas usando os perfis de Política de Grupo, selecione Usar perfis de Política de Grupo somente para redes permitidas.

Configurar os NPSs

Siga estas etapas para configurar NPSs para executar a autenticação 802.1X para acesso sem fio:

Registrar o NPS no Active Directory Domain Services

Você pode usar esse procedimento para registrar um servidor que executa o NPS (Servidor de Política de Rede) no AD DS (Active Directory Domain Services) no domínio em que o NPS é membro. Para que os NPSs tenham permissão para ler as propriedades de discagem das contas de usuário durante o processo de autorização, cada NPS deve ser registrado no AD DS. Registrar um NPS adiciona o servidor ao grupo de segurança Servidores RAS e IAS no AD DS.

Observação

Você pode instalar o NPS em um controlador de domínio ou em um servidor dedicado. Execute o seguinte comando do Windows PowerShell para instalar o NPS, se você ainda não tiver feito isso:

Install-WindowsFeature NPAS -IncludeManagementTools

A associação no Admins. do Domínio ou equivalente é o requisito mínimo exigido para concluir este procedimento.

Para registrar um NPS no domínio padrão

  1. No NPS, no Gerenciador do Servidor, clique em Ferramentas e depois em Servidor de Políticas de Rede. O snap-in do NPS será aberto.

  2. Clique com o botão direito do mouse em NPS (Local) e clique em Registrar Servidor no Active Directory. A caixa de diálogo Servidor de Políticas de Rede é aberta.

  3. Em Servidor de Políticas de Rede, clique em OK e em OK novamente.

Configurar um PA Sem Fio como cliente RADIUS do NPS

Você pode usar esse procedimento para configurar um PA, também conhecido como NAS (servidor de acesso à rede), como cliente RADIUS (Remote Authentication Dial-In User Service) usando o snap-in do NPS.

Importante

Computadores cliente, como computadores portáteis sem fio e outros computadores que executam sistemas operacionais cliente, não são clientes RADIUS. Os clientes RADIUS são servidores de acesso à rede – como pontos de acesso sem fio, comutadores 802.1 X, servidores de rede virtual privada (VPN) e servidores de discagem – porque usam o protocolo RADIUS para se comunicar com servidores RADIUS, como NPSs.

A associação no Admins. do Domínio ou equivalente é o requisito mínimo exigido para concluir este procedimento.

Para adicionar um servidor de acesso à rede como cliente RADIUS no NPS

  1. No NPS, no Gerenciador do Servidor, clique em Ferramentas e depois em Servidor de Políticas de Rede. O snap-in do NPS será aberto.

  2. No snap-in do NPS, clique duas vezes em Clientes e Servidores RADIUS. Clique com o botão direito do mouse em Clientes RADIUS e clique em Novo.

  3. Em Novo Cliente RADIUS, verifique se a caixa de seleção Habilitar este cliente RADIUS está marcada.

  4. Em Novo Cliente RADIUS, em Nome amigável, digite um nome de exibição para o ponto de acesso sem fio.

    Por exemplo, se você quiser adicionar um PA (ponto de acesso) sem fio chamado AP-01, digite AP-01.

  5. Em Endereço (IP ou DNS), digite o endereço IP ou o FQDN (nome de domínio totalmente qualificado) do NAS.

    Se você inserir o FQDN, para verificar se o nome está correto e foi mapeado para um endereço IP válido, clique em Verificar e, em Verificar Endereço, no campo Endereço, clique em Resolver. Se o nome FQDN foi mapeado para um endereço IP válido, o endereço IP desse NAS aparecerá automaticamente no endereço IP. Se o FQDN não for resolvido para um endereço IP, você receberá uma mensagem indicando que nenhum host desse tipo é conhecido. Se isso ocorrer, verifique se você tem o nome correto do PA e se o PA está ligado e conectado à rede.

    Clique em OK para fechar Verificar Endereço.

  6. Em Novo Cliente RADIUS, em Segredo Compartilhado, siga um destes procedimentos:

    • Para configurar manualmente um segredo compartilhado RADIUS, selecione Manual e, em Segredo compartilhado, digite a senha forte que também é inserida no NAS. Digite novamente o segredo compartilhado em Confirmar segredo compartilhado.

    • Para gerar automaticamente um segredo compartilhado, marque a caixa de seleção Gerar e clique no botão Gerar. Salve o segredo compartilhado gerado e use esse valor para configurar o NAS para que ele possa se comunicar com o NPS.

      Importante

      O segredo compartilhado do RADIUS que você insere para seus PAs virtuais no NPS deve corresponder exatamente ao segredo compartilhado do RADIUS configurado nos seus PAs sem fio reais. Se você usar a opção NPS para gerar um segredo compartilhado do RADIUS, deverá configurar O PA sem fio real correspondente com o segredo compartilhado do RADIUS gerado pelo NPS.

  7. Em Novo Cliente RADIUS, na guia Avançado, em Nome do fornecedor, especifique o nome do fabricante do NAS. Se você não tiver certeza do nome do fabricante do NAS, selecione Padrão RADIUS.

  8. Em Opções Adicionais, se você estiver usando métodos de autenticação diferentes de EAP e PEAP e se o NAS for compatível com o uso do atributo autenticador de mensagem, selecione As mensagens de solicitação de acesso devem conter o atributo Message-Authenticator.

  9. Clique em OK. O NAS será exibido na lista de clientes RADIUS configurados no NPS.

Criar Políticas de NPS para Conexão Sem Fio 802.1X usando um Assistente

Você pode usar esse procedimento para criar as políticas de solicitação de conexão e as políticas de rede necessárias para implantar pontos de acesso sem fio compatíveis com 802.1X como clientes RADIUS (Remote Authentication Dial-In User Service) no servidor RADIUS que executa o NPS (Servidor de Políticas de Rede). Depois de executar o assistente, as seguintes políticas são criadas:

  • Uma política de solicitação de conexão

  • Uma política de rede

Observação

Você pode executar o assistente Novas Conexões Com Fio e Sem Fio Seguras IEEE 802.1X sempre que precisar criar novas políticas para acesso autenticado 802.1X.

A associação no Admins. do Domínio ou equivalente é o requisito mínimo exigido para concluir este procedimento.

Criar políticas para conexão sem fio autenticada 802.1X usando um assistente

  1. Abra o snap-in do NPS. Se ainda não estiver selecionado, clique em NPS (local). Se você estiver executando o snap-in do NPS MMC e quiser criar políticas em um NPS remoto, selecione o servidor.

  2. Em Introdução, em Configuração Padrão, selecione Servidor RADIUS para Conexões Sem Fio ou Com Fio 802.1X. O texto e os links abaixo do texto mudam de acordo com a seleção.

  3. Clique em Configurar 802.1X. O assistente Configurar 802.1X será aberto.

  4. Na página do assistente Selecionar Tipo de Conexões 802.1X, em Tipo de conexões 802.1X, selecione Conexões Sem Fio Seguras e, em Nome, digite um nome para sua política ou deixe o nome padrão Conexões Sem Fio Seguras. Clique em Próximo.

  5. Na página do assistente Especificar Comutadores 802.1X, em Clientes RADIUS, todos os comutadores 802.1X e pontos de acesso sem fio que você adicionou como clientes RADIUS no snap-in do NPS serão mostrados. Execute um destes procedimentos:

    • Para adicionar NASs (servidores de acesso à rede) adicionais, como PAs sem fio, em Clientes RADIUS, clique em Adicionar e, em Novo cliente RADIUS, insira as informações para: Nome amigável, Endereço (IP ou DNS) e Segredo Compartilhado.

    • Para modificar as configurações de qualquer NAS, em Clientes RADIUS, selecione o PA para o qual você deseja modificar as configurações e clique em Editar. Modifique as configurações conforme necessário.

    • Para remover um NAS da lista, em Clientes RADIUS, selecione o NAS e clique em Remover.

      Aviso

      Remover um cliente RADIUS do assistente Configurar 802.1X exclui o cliente da configuração do NPS. Todas as adições, modificações e exclusões feitas no assistente Configurar 802.1X para clientes RADIUS estão de acordo com o snap-in do NPS, no nó Clientes RADIUS em NPS / Clientes e Servidores RADIUS. Por exemplo, se você usar o assistente para remover um comutador do 802.1X, o comutador também será removido do snap-in do NPS.

  6. Clique em Próximo. Na página do assistente Configurar um Método de Autenticação, em Tipo (com base no método de configuração de acesso e rede), selecione Microsoft: PEAP (Protected EAP) e clique em Configurar.

    Dica

    Se você receber uma mensagem de erro indicando que um certificado não pode ser encontrado para ser usado com o método de autenticação e você configurou os Serviços de Certificados do Active Directory para emitir certificados automaticamente para os servidores RAS e IAS na sua rede, primeiro verifique se você seguiu as etapas para Registrar o NPS no Active Directory Domain Services. Em seguida, use as etapas abaixo para atualizar a Política de Grupo: clique em Iniciar, Sistema Windows, Executar e Abrir, digite gpupdate e depois pressione ENTER. Quando o comando retornar resultados indicando que a Política de Grupo do usuário e do computador foi atualizada, selecione Microsoft: PEAP (Protected EAP) novamente e clique em Configurar.

    Depois de atualizar a Política de Grupo, se você continuar recebendo a mensagem de erro, indicando que um certificado não pode ser encontrado para uso com o método de autenticação, o certificado não será exibido porque não atende aos requisitos mínimos de certificado do servidor, conforme documentado no Guia Complementar da Rede de Núcleo: Implantar Certificados de Servidor para implantações Com Fio e Sem Fio 802.1X. Se isso acontecer, você deverá descontinuar a configuração do NPS, revogar o certificado emitido para seus NPS e então seguir as instruções para configurar um novo certificado, usando o guia de implantação de certificados do servidor.

  7. Na página do assistente Editar Propriedades do Protected EAP, em Certificado emitido, verifique se o certificado de NPS correto foi selecionado e faça o seguinte:

    Observação

    Verifique se o valor em Emissor está correto para o certificado selecionado em Certificado emitido. Por exemplo, o emissor esperado para um certificado emitido por uma AC que executa o AD CS (Serviços de Certificados do Active Directory) denominado corp\DC1, no domínio contoso.com, é corp-DC1-CA.

    • Para permitir que os usuários façam roaming com seus computadores sem fio entre pontos de acesso, sem exigir que eles se autentiquem novamente sempre que se associarem a um novo PA, selecione Habilitar Reconexão Rápida.

    • Para especificar que a conexão de clientes sem fio encerrará o processo de autenticação de rede, se o servidor RADIUS não apresentar o TLV (Tipo-Tamanho-Valor) de cryptobinding, selecione Desconectar Clientes sem Cryptobinding.

    • Para modificar as configurações de política para o tipo de EAP, em Tipos de EAP, clique em Editar, em Propriedades do EAP MSCHAPv2, modifique as configurações conforme necessário e clique em OK.

  8. Clique em OK. A caixa de diálogo Editar Propriedades do Protected EAP será fechada e você retornará ao assistente Configurar 802.1X. Clique em Próximo.

  9. Em Especificar Grupos de Usuários, clique em Adicionar e digite o nome do grupo de segurança configurado para seus clientes sem fio no snap-in de Usuários e Computadores do Active Directory. Por exemplo, se você nomeou o grupo de segurança de conexão sem fio como Grupo de Conexão Sem Fio, digite Grupo de Conexão Sem Fio. Clique em Próximo.

  10. Clique em Configurar para configurar os atributos padrão do RADIUS e os atributos específicos do fornecedor para VLAN (LAN virtual), conforme necessário e conforme especificado na documentação fornecida pelo fornecedor de hardware de PA sem fio. Clique em Próximo.

  11. Examine os detalhes do resumo da configuração e clique em Concluir.

Agora suas políticas de NPS estão criadas e você pode passar a ingressar computadores sem fio no domínio.

Ingressar Novos Computadores Sem Fio no Domínio

O método mais fácil para ingressar novos computadores sem fio no domínio é anexar fisicamente o computador a um segmento da LAN com fio (um segmento não controlado por um comutador 802.1X), antes de ingressar o computador no domínio. Isso é mais fácil porque as configurações de política de grupo de conexão sem fio são aplicadas automática e imediatamente e, se você tiver implantado sua própria PKI, o computador receberá o certificado de autoridade de certificação e o colocará no repositório de certificados de Autoridades de Certificação Raiz Confiáveis, permitindo que o cliente sem fio confie nos NPSs com certificados de servidor emitidos pela AC.

Da mesma forma, depois que um novo computador sem fio é ingressado no domínio, o método preferencial de logon dos usuários no domínio é fazer logon usando uma conexão com fio com a rede.

Outros métodos de ingresso no domínio

Nos casos em que não é viável ingressar computadores no domínio usando uma conexão Ethernet com fio ou nos casos em que o usuário não pode fazer logon no domínio pela primeira vez usando uma conexão com fio, você deve usar um método alternativo.

  • Configuração do Computador da Equipe de TI. Um membro da equipe de TI ingressa um computador sem fio no domínio e configura um perfil sem fio de inicialização de Logon Único. Com esse método, um administrador de TI conecta o computador sem fio à rede Ethernet com fio e ingressa o computador no domínio. Em seguida, o administrador distribui o computador para o usuário. Quando o usuário inicia o computador sem usar uma conexão com fio, as credenciais de domínio especificadas manualmente para o logon do usuário são usadas para estabelecer uma conexão com a rede sem fio e fazer logon no domínio.

Para obter mais informações, confira a seção Ingressar no domínio e fazer logon usando o método de configuração do computador da equipe de TI

  • Configuração de Perfil Sem Fio de Inicialização definida pelos Usuários. O usuário configura manualmente o computador sem fio com um perfil sem fio de inicialização e ingressa no domínio com base nas instruções dadas por um administrador de TI. O perfil sem fio de inicialização permite que o usuário estabeleça uma conexão sem fio e, em seguida, ingresse no domínio. Depois de ingressar o computador no domínio e reiniciar o computador, o usuário pode fazer logon no domínio usando uma conexão sem fio e suas credenciais de conta de domínio.

Para obter mais informações, confira a seção Ingressar no Domínio e Fazer Logon usando a Configuração de Perfil Sem Fio de Inicialização definida pelos Usuários.

Ingressar no domínio e fazer logon usando o método de configuração do computador da equipe de TI

Os usuários membros do domínio com computadores cliente sem fio ingressados no domínio podem usar um perfil sem fio temporário para se conectar a uma rede sem fio autenticada por 802.1X, sem primeiro se conectar à LAN com fio. Esse perfil sem fio temporário é chamado de perfil sem fio de inicialização.

Um perfil sem fio de inicialização exige que o usuário especifique manualmente suas credenciais de conta de usuário de domínio e não valida o certificado do servidor RADIUS (Remote Authentication Dial-In User Service) que executa o NPS (Servidor de Política de Rede).

Depois que a conectividade sem fio é estabelecida, a Política de Grupo é aplicada ao computador cliente sem fio e um novo perfil sem fio é emitido automaticamente. A nova política usa as credenciais do computador e da conta de usuário para autenticação do cliente.

Além disso, como parte da autenticação mútua PEAP-MS-CHAP v2, usando o novo perfil em vez do perfil de inicialização, o cliente valida as credenciais do servidor RADIUS.

Depois de ingressar o computador no domínio, use este procedimento para configurar um perfil sem fio de inicialização de logon único, antes de distribuir o computador sem fio para o usuário membro do domínio.

Para configurar um perfil sem fio de inicialização de logon único

  1. Crie um perfil de inicialização usando o procedimento neste guia chamado Configurar um perfil de conexão sem fio para PEAP-MS-CHAP v2 e use as seguintes configurações:

    • Autenticação do PEAP-MS-CHAP v2

    • Validar certificado do servidor RADIUS desabilitado

    • Logon único habilitado

  2. Nas propriedades da Política de Rede Sem Fio na qual você criou o novo perfil de inicialização, na guia Geral, selecione o perfil de inicialização e clique em Exportar para exportar o perfil para um compartilhamento de rede, um pen drive USB ou outro local facilmente acessível. O perfil é salvo como arquivo *.xml no local especificado.

  3. Ingresse o novo computador sem fio no domínio (por exemplo, por meio de uma conexão Ethernet que não exija autenticação IEEE 802.1X) e ingressar o perfil sem fio de inicialização no computador usando o comando netsh wlan add profile.

    Observação

    Para obter mais informações, confira Comandos Netsh para WLAN (Rede Local Sem Fio) em http://technet.microsoft.com/library/dd744890.aspx.

  4. Distribua o novo computador sem fio para o usuário com o procedimento para "Fazer logon no domínio usando computadores que executam Windows 10".

Quando o usuário inicia o computador, o Windows solicita que o usuário insira o nome e a senha da conta de usuário do domínio. Como o Logon Único está habilitado, o computador usa as credenciais da conta de usuário do domínio para primeiro estabelecer uma conexão com a rede sem fio e, em seguida, fazer logon no domínio.

Fazer logon no domínio usando computadores que executam o Windows 10

  1. Faça logoff do computador ou o reinicie.

  2. Pressione qualquer tecla no teclado ou clique na área de trabalho. A tela de logon será exibida com o nome de uma conta de usuário local exibido e um campo de entrada de senha abaixo do nome. Não faça logon com a conta de usuário local.

  3. No canto inferior esquerdo da tela, clique em Outro Usuário. A tela Logon de Outro Usuário será exibida com dois campos, um para nome de usuário e outro para senha. Abaixo do campo senha está o texto Entrar em: e depois o nome do domínio em que o computador está ingressado. Por exemplo, se o domínio for chamado de example.com, o texto lerá Entrar em: EXEMPLO.

  4. Em Nome de usuário, digite o nome de usuário do domínio.

  5. Em Senha, digite sua senha do domínio e clique na seta ou pressione ENTER.

Observação

Se a tela Outro Usuário não incluir o texto Entrar em: e o nome de domínio, você deverá inserir seu nome de usuário no formato domain\user. Por exemplo, para fazer logon no domínio example.com usando uma conta denominada User-01, digite example\User-01.

Ingressar no Domínio e Fazer Logon usando a Configuração de Perfil Sem Fio de Inicialização definida pelos Usuários

Com esse método, você conclui as etapas na seção Etapas gerais e fornece aos usuários membros do domínio as instruções sobre como configurar manualmente um computador sem fio com um perfil sem fio de inicialização. O perfil sem fio de inicialização permite que o usuário estabeleça uma conexão sem fio e, em seguida, ingresse no domínio. Depois que o computador for ingressado no domínio e reiniciado, o usuário poderá fazer logon no domínio por meio de uma conexão sem fio.

Etapas gerais

  1. Configure uma conta de administrador de computador local em Painel de Controle para o usuário.

    Importante

    Para ingressar um computador em um domínio, o usuário deve estar conectado ao computador com a conta de Administrador local. Como alternativa, o usuário deve fornecer as credenciais para a conta de Administrador local durante o processo de ingresso do computador no domínio. Além disso, o usuário deve ter uma conta de usuário no domínio no qual deseja ingressar o computador. Durante o processo de ingressar o computador no domínio, o usuário será solicitado para inserir as credenciais de conta de domínio (nome de usuário e senha).

  2. Forneça aos usuários de domínio as instruções para configurar um perfil sem fio de inicialização, conforme documentado no procedimento a seguir Para configurar um perfil sem fio de inicialização.

  3. Além disso, forneça aos usuários as credenciais do computador local (nome de usuário e senha) e as credenciais de domínio (nome da conta de usuário e senha do domínio) no formulário DomainName\UserName, bem como os procedimentos para "Ingressar o computador no domínio" e para "Fazer logon no domínio", conforme documentado no Guia de Rede de Núcleo do Windows Server 2016.

Para configurar um perfil sem fio de inicialização

  1. Use as credenciais fornecidas pelo administrador de rede ou pelo profissional de suporte de TI para fazer logon no computador com a conta de Administrador de computador local.

  2. Clique com o botão direito do mouse no ícone de rede na área de trabalho e clique em Abrir Centro de Rede e Compartilhamento. A Central de Rede e Compartilhamento será aberta. Em Alterar as configurações de rede, clique em Configurar uma nova conexão ou rede. A caixa de diálogo Configurar uma conexão ou rede será aberta.

  3. Clique em Conectar-se manualmente a uma rede sem fio e clique em Avançar.

  4. Em Conectar-se manualmente a uma rede sem fio, em Nome da rede, digite o nome do SSID do PA.

  5. Em Tipo de segurança, selecione a configuração fornecida pelo administrador.

  6. Em Tipo de criptografia e Chave de Segurança, selecione ou digite as configurações fornecidas pelo administrador.

  7. Selecione Iniciar essa conexão automaticamente e clique em Avançar.

  8. Em AdicionadoSeu SSID da Rede, clique em Alterar configurações de conexão.

  9. Clique em Alterar configurações de conexão. A caixa de diálogo de propriedade da Rede Sem Fio SSID de Rede será aberta.

  10. Clique na guia Segurança e, em Escolher um método de autenticação de rede, selecione PEAP (Protected EAP).

  11. Clique em Configurações. A página Propriedades do PEAP (Protected EAP) será aberta.

  12. Na página Propriedades do PEAP (Protected EAP), verifique se Validar certificado do servidor não está selecionado, clique em OK duas vezes e clique em Fechar.

  13. Em seguida, o Windows tentará se conectar à rede sem fio. As configurações do perfil sem fio de inicialização especificam que você deve fornecer suas credenciais de domínio. Quando o Windows solicitar um nome de conta e senha, digite suas credenciais de conta de domínio da seguinte maneira: Domain Name\User Name, Senha de Domínio.

Para ingressar um computador no domínio

  1. Faça logon no computador com a conta de Administrador local.

  2. Na caixa de texto de pesquisa, digite PowerShell. Em resultados da pesquisa, clique com o botão direito do mouse em Windows PowerShell e clique em Executar como administrador. O Windows PowerShell será aberto com um prompt de privilégios elevados.

  3. No Windows PowerShell, digite o comando a seguir e pressione ENTER. Substitua a variável DomainName pelo nome do domínio que você deseja ingressar.

    Add-Computer DomainName

  4. Quando solicitado, digite o nome de usuário e a senha do domínio e clique em OK.

  5. Reinicie o computador.

  6. Siga as instruções na seção anterior Fazer logon no domínio usando computadores que executam Windows 10.