Protocolo EAP para acesso à rede

Artigo
06/21/2023

Aplica-se a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows 11, Windows 10, Windows 8.1

O EAP (Protocolo de Autenticação Extensível) é uma estrutura de autenticação que permite o uso de diferentes métodos de autenticação para tecnologias seguras de acesso à rede. Exemplos dessas tecnologias incluem acesso sem fio usando IEEE 802.1X, acesso com fio usando IEEE 802.1X e conexões de protocolo PPP como VPN (Rede Virtual Privada). O EAP não é um método de autenticação específico como o MS-CHAP v2, mas uma estrutura que permite aos fornecedores de rede desenvolver e instalar novos métodos de autenticação, conhecidos como métodos de EAP, no servidor de autenticação e cliente de acesso. A estrutura EAP é originalmente definida pelo RFC 3748 e estendida por vários outros RFCs e padrões.

Métodos de autenticação

Os métodos de autenticação de EAP usados nos métodos de EAP encapsulados são comumente conhecidos como métodos internos ou tipos de EAP. Os métodos configurados como métodos internos têm as mesmas definições de configuração que teriam ao serem usados como métodos externos. Este artigo contém informações específicas sobre configuração dos seguintes métodos de autenticação em EAP.

EAP-TLS (EAP-Transport Layer Security): método EAP baseado em padrões que usa TLS com certificados para autenticação mútua. Aparece como Cartão Inteligente ou outro certificado (EAP-TLS) no Windows. O EAP-TLS pode ser implantado como um método interno para outro método EAP ou como um método EAP autônomo.

Dica

Os métodos EAP que usam EAP-TLS, sendo baseados em certificado, geralmente oferecem o nível mais alto de segurança. Por exemplo, EAP-TLS é o único método EAP permitido para o modo WPA3-Enterprise de 192 bits.

EAP-MSCHAP v2 (EAP-Microsoft Challenge Handshake Authentication Protocol versão 2): método EAP definido pela Microsoft que encapsula o protocolo de autenticação MSCHAP v2, que usa nome de usuário e senha, para autenticação. Aparece como Senha segura (EAP-MSCHAP v2) no Windows. O EAP-MSCHAPv2 também pode ser usado como um método autônomo para VPN, mas apenas como um método interno para rede sem fio.

Aviso

As conexões baseadas em MSCHAPv2 estão sujeitas a ataques semelhantes aos de NTLMv1. O Windows 11 Enterprise versão 22H2 (build 22621) habilita o Windows Defender Credential Guard, que pode causar problemas com conexões baseadas em MSCHAPv2.

PEAP (EAP Protegido): método EAP definido pela Microsoft que encapsula o EAP em um túnel TLS. O túnel TLS protege o método EAP interno que, caso contrário, poderia ficar desprotegido. O Windows dá suporte ao EAP-TLS e ao EAP-MSCHAP v2 como métodos internos.

EAP-TTLS (EAP-Transport Layer Security encapsulado): descrito pelo RFC 5281, encapsula uma sessão TLS que executa a autenticação mútua usando outro mecanismo de autenticação interna. Esse método interno pode ser um protocolo EAP, como EAP-MSCHAP v2, ou um protocolo diferente de EAP, como o PAP (Protocolo de Autenticação de Senha). No Windows Server 2012, a inclusão do EAP-TTLS dá suporte somente no lado do cliente (no Windows 8). O NPS não dá suporte ao EAP-TTLS no momento. O suporte ao cliente habilita a interoperação com servidores RADIUS comumente implantados que dão suporte ao EAP-TTLS.

EAP-SIM (Módulo de Identidade do Assinante), EAP-AKA (Autenticação e Acordo de Chaves) e EAP-AKA' (EAP-AKA Prime): descrito por diversos RFCs, habilita a autenticação usando cartões SIM e é implementado quando um cliente compra um plano de serviço de banda larga sem fio de uma operadora de rede móvel. Como parte do plano, o cliente normalmente recebe um perfil móvel que é pré-configurado para autenticação SIM.

TEAP (EAP em túnel): descrito pelo RFC 7170, um método de EAP em túnel que estabelece um túnel TLS seguro e executa outros métodos de EAP dentro dele. Compatível com o encadeamento de EAP – autenticando o computador e o usuário em uma sessão de autenticação. No Windows Server 2022, a inclusão do TEAP fornece suporte apenas para o lado do cliente – Windows 10, versão 2004 (build 19041). O NPS não dá suporte ao TEAP no momento. O suporte ao cliente permite a interoperação com servidores RADIUS comumente implantados que dão suporte ao TEAP. O Windows dá suporte ao EAP-TLS e ao EAP-MSCHAP v2 como métodos internos.

A tabela a seguir lista alguns métodos EAP comuns e seus números de Tipo de método atribuído à IANA.

Método EAP	Número de Tipo atribuído à IANA	Suporte nativo do Windows
Desafio MD5 (EAP-MD5)	4	❌
Senha de uso único (EAP-OTP)	5	❌
Cartão de token genérico (EAP-GTC)	6	❌
EAP-TLS	13	✅
EAP-SIM	18	✅
EAP-TTLS	21	✅
EAP-AKA	23	✅
PEAP	25	✅
EAP-MSCHAP v2	26	✅
Senha de uso único protegida (EAP-POTP)	32	❌
EAP-FAST	43	❌
Chave pré-compartilhada (EAP-PSK)	47	❌
EAP-IKEv2	49	❌
EAP-AKA'	50	✅
EAP-EKE	53	❌
TEAP	55	✅
EAP-NOOB	56	❌

Configurar propriedades de EAP

Você pode acessar as propriedades do EAP para acesso sem fio e com fio autenticado 802.1X das seguintes formas:

Ao configurar as extensões das Políticas de Rede com Fio (IEEE 802.3) e das Políticas de Rede sem Fio (IEEE 802.11) na Política de Grupo.
- Configuração do computador>Políticas>Configurações do> WindowsConfigurações de segurança
Usando um software de MDM (Gerenciamento de Dispositivo Móvel), como o Intune (Wi-Fi/Com fio)
- CSP de Wi-Fi
- CSP WiredNetwork
Ao configurar manualmente conexões com ou sem fio em computadores cliente.

Você pode acessar as propriedades do EAP para conexões VPN das seguintes formas:

Usando um software de MDM (Gerenciamento de Dispositivo Móvel), como o Intune
- Provedor de Soluções na Nuvem VPNv2
- Opções de perfil de VPN
Ao configurar manualmente conexões VPN em computadores cliente.
Ao usar o CMAK (Kit de Administração do Gerenciador de conexões) para configurar as conexões VPN.

Para saber como configurar propriedades de EAP, confira Configurar perfis e configurações de EAP no Windows.

Perfis XML para EAP

Os perfis usados para diferentes tipos de conexões são arquivos XML que contêm as opções de configuração para a conexão. Cada tipo de conexão diferente segue um esquema específico:

No entanto, quando configurado para usar o EAP, cada esquema de perfil tem um elemento filho EapHostConfig.

Com fio/sem fio: EapHostConfig é um elemento filho do elemento EAPConfig. MSM > segurança (Com fio/Sem fio) >OneX> EAPConfig
VPN: EapHostConfig é um elemento filho de NativeProfile > Autenticação > Eap > Configuração

Essa sintaxe de configuração é definida na especificação Política de grupo: extensão de protocolo sem fio/com fio.

Observação

As várias GUIs de configuração nem sempre mostram todas as opções tecnicamente possíveis. Por exemplo, o Windows Server 2019 e as versões anteriores não podem configurar o TEAP na interface do usuário. No entanto, geralmente é possível importar um perfil XML existente que foi configurado anteriormente.

O restante do artigo destina-se a fornecer um mapeamento entre as partes específicas do EAP da interface do usuário do Painel de Controle/Política de Grupo e as opções de configuração de XML, além de fornecer uma descrição da configuração.

Mais informações sobre como configurar perfis XML podem ser encontradas em Perfis XML. Um exemplo de como usar um perfil XML contendo configurações de EAP pode ser encontrado em Provisionar um perfil de Wi-Fi por meio de um site.

Configurações de segurança

A tabela a seguir explica as definições de segurança configuráveis para um perfil que usa 802.1X. Essas configurações são mapeadas para OneX.

Configuração	Elemento XML	Descrição
Selecione um método de autenticação de rede:	EAPConfig	Permite selecionar o método EAP a ser usado para a autenticação. Confira Definições de configuração do método de autenticação e Definições de configuração da autenticação por celular
Propriedades		Abre a caixa de diálogo de propriedades do método EAP selecionado.
Modo de autenticação	authMode	Especifica o tipo de credenciais usadas para autenticação. Há suporte para os seguintes valores: 1. Autenticação do usuário ou computador 2. Autenticação do computador 3. Autenticação do usuário 4. Autenticação do convidado "Computador", neste contexto, significa "Máquina" em outras referências. `machineOrUser` é o padrão no Windows.
Máximo de Falhas de Autenticação	maxAuthFailures	Especifica o número máximo de falhas de autenticação permitidas para um conjunto de credenciais, com o padrão sendo `1`.
Armazenar em cache as informações do usuário para conexões subsequentes com esta rede	cacheUserData	Especifica se as credenciais do usuário devem ser armazenadas em cache para conexões subsequentes com a mesma rede, tendo `true` como padrão.

Configurações avançadas de segurança > IEEE 802.1X

Se a opção Aplicar configurações 802.1X avançadas estiver marcada, todas as configurações a seguir serão definidas. Se estiver desmarcada, as configurações padrão serão aplicadas. Em XML, todos os elementos são opcionais e, quando não estão presentes, os valores padrão são usados.

Configuração	Elemento XML	Descrição
Máximo de Msg. Eapol-Start	maxStart	Especifica o número máximo de mensagens EAPOL-Start que podem ser enviadas ao autenticador (servidor RADIUS) antes que o suplicante (cliente Windows) assuma que não há autenticador presente, tendo `3` como padrão.
Período de Início (segundos)	startPeriod	Especifica o período de tempo (em segundos) a esperar antes que uma mensagem EAPOL-Start seja enviada para iniciar o processo de autenticação 802.1X, tendo `5` como padrão.
Período de Retenção (segundos)	heldPeriod	Especifica o período de tempo (em segundos) a esperar após uma falha de tentativa de autenticação antes de tentar realizar novamente a autenticação, tendo `1` como padrão.
Período de Autenticação (segundos)	authPeriod	Especifica o período de tempo (em segundos) a esperar por uma resposta do autenticador (servidor RADIUS) antes de assumir que não há nenhum autenticador presente, tendo `18` como padrão.
Mensagem Eapol-Start	supplicantMode	Especifica o método de transmissão usado para mensagens EAPOL-Start. Há suporte para os seguintes valores: 1. Não transmitir (`inhibitTransmission`) 2. Transmitir (`includeLearning`) 3. Transmitir por IEEE 802.1X (`compliant`) "Computador", neste contexto, significa "Máquina" em outras referências. `compliant` é o padrão no Windows e é a única opção válida para perfis sem fio.

Configurações avançadas de segurança > Logon único

A tabela a seguir explica as configurações de SSO (logon único), anteriormente conhecido como PLAP (provedor de acesso pré-logon).

Configuração	Elemento XML	Descrição
Habilitar Logon Único para esta rede	singleSignOn	Especifica se o SSO está habilitado para esta rede, tendo `false` como padrão. Não use `singleSignOn` em um perfil se a rede não exigir.
Executar imediatamente antes do usuário Executar imediatamente após o usuário	tipo	Especifica quando o SSO deve ser executado: antes ou depois do logon do usuário.
Atraso máximo de conectividade (segundos)	maxDelay	Especifica o atraso máximo (em segundos) antes que a tentativa de SSO falhe, tendo `10` como padrão.
Permitir que caixas de diálogo adicionais sejam exibidas durante o logon único	allowAdditionalDialogs	Especifica se a exibição de diálogos de EAP deve ser permitida durante o SSO, tendo `false` como padrão.
Esta rede usa VLAN diferente para autenticação com credenciais de máquina e de usuário	userBasedVirtualLan	Especifica se a VLAN (LAN virtual) usada pelo dispositivo muda com base nas credenciais do usuário, tendo `false` como padrão.

Definições de configuração do método de autenticação

Cuidado

Se um servidor de acesso à rede estiver configurado para permitir o mesmo tipo de método de autenticação para um método EAP em túnel (por exemplo, PEAP) e um método EAP que não é em túnel (por exemplo, EAP-MSCHAP v2), haverá uma possível vulnerabilidade de segurança. Ao implantar um método EAP encapsulado e o EAP (que não é protegido), não use o mesmo tipo de autenticação. Por exemplo, se você implantar o PEAP-TLS, não implante também o EAP-TLS. Isso porque se você precisar da proteção do túnel, ele não servirá para permitir que o método seja executado fora do túnel também.

A tabela a seguir explica as definições configuráveis para cada método de autenticação.

As configurações de EAP-TLS no mapa da interface do usuário para EapTlsConnectionPropertiesV1, que é estendido por EapTlsConnectionPropertiesV2 e EapTlsConnectionPropertiesV3.

Configuração	Elemento XML	Descrição
Usar meu cartão inteligente	CredentialsSource>SmartCard	Especifica que os clientes, ao fazerem solicitações de autenticação, deverão apresentar um certificado de cartão inteligente para autenticação na rede.
Usar um certificado neste computador	CredentialsSource>CertificateStore	Especifica que os clientes de autenticação devem usar um certificado localizado no repositório de certificados Usuário Atual ou Computador Local .
Usar seleção de certificado simples (recomendado)	SimpleCertSelection	Especifica se o Windows selecionará automaticamente um certificado para autenticação sem a interação do usuário (se possível) ou se ele mostrará uma lista suspensa para o usuário selecionar um certificado.
Avançado		Abra a caixa de diálogo Configurar Seleção de Certificado.
Opções de validação do servidor
Usar um nome de usuário diferente para a conexão	DifferentUsername	Especifica se deve ser utilizado um nome de usuário para autenticação diferente daquele incluído no certificado.

O seguinte lista as definições de configuração para Configurar a seleção de certificado. Essas configurações definem os critérios de um cliente a fim de selecionar o certificado apropriado para autenticação. Essa interface do usuário é mapeada para TLSExtensions>FilteringInfo.

Configuração	Elemento XML	Descrição
Emissor do certificado	CAHashList`Enabled="true"`	Especifica se a filtragem por Emissor do Certificado está habilitada. Quando Emissor do Certificado e EKU (Uso Estendido de Chave) estão habilitados, somente os certificados que satisfazem às duas condições são considerados válidos para fins de autenticação do cliente no servidor.
Autoridades de certificação raiz	IssuerHash	Lista os nomes de todos os emissores para os quais há certificados de autoridade de certificação presentes no repositório de certificados Autoridades de Certificação Raiz Confiáveis ou Autoridades de Certificação Intermediárias da conta do computador local. Isso inclui: 1. Todas as autoridades de certificação raiz e intermediárias. 2. Contém somente os emissores para os quais há certificados válidos correspondentes presentes no computador (por exemplo, certificados que não estejam expirados nem revogados). 3. A lista final de certificados permitidos para autenticação contém apenas aqueles que foram emitidos por um dos emissores selecionados nesta lissa. Em XML, essa é a impressão digital SHA-1 (hash) do certificado.
Uso Estendido de Chave (EKU)		Permite selecionar Todas as Finalidades, Autenticação de Cliente, Qualquer Finalidade ou qualquer combinação dessas opções. Especifica que, quando uma combinação é selecionada, todos os certificados que satisfazem a pelo menos uma das três condições são considerados válidos para fins de autenticação do cliente no servidor. Se a filtragem de EKU estiver habilitada, uma das opções deverá ser selecionada; caso contrário, a caixa de seleção EKU (Uso Estendido de Chave) será desmarcada.
Todas as Finalidades	AllPurposeEnabled	Quando selecionado, esse item especifica que os certificados que têm o EKU Todas as Finalidades são considerados certificados válidos para autenticação do cliente no servidor. O OID (identificador de objeto) para Uso Geral é `0` ou está vazio.
Autenticação de cliente	ClientAuthEKUList`Enabled="true"` (> EKUMapInList > EKUName)	Especifica que os certificados que têm o EKU Autenticação de Cliente e a lista de EKUs especificada são considerados certificados válidos para autenticação do cliente no servidor. O OID (identificador de objeto) para Autenticação do cliente é `1.3.6.1.5.5.7.3.2`.
Qualquer Finalidade	AnyPurposeEKUList`Enabled="true"` (> EKUMapInList > EKUName)	Especifica que todos os certificados que têm o EKU Qualquer Finalidade e a lista de EKUs especificada são considerados certificados válidos para autenticação do cliente no servidor. O OID (identificador de objeto) para Qualquer Finalidade é `1.3.6.1.4.1.311.10.12.1`.
Adicionar	EKUMapping > EKUMap > EKUName/EKUOID	Abre a caixa de diálogo Selecionar EKUs que permite adicionar EKUs padrão, personalizados ou específicos de fornecedores à lista Autenticação de Cliente ou Qualquer Finalidade. Selecionar Adicionar ou Editar na caixa de diálogo Selecionar EKUs abrirá a caixa de diálogo Adicionar/Editar EKU, que fornece duas opções: 1. Inserir o nome do EKU – Fornece um local para digitar o nome do EKU personalizado. 2. Inserir a OID do EKU – Fornece um local para digitar a OID do EKU. Somente dígitos numéricos, separadores e `.` são permitidos. É permitido inserir curingas. Nesse caso, todos os OIDs filhos na hierarquia são permitidos. Por exemplo, inserir `1.3.6.1.4.1.311.*` permite `1.3.6.1.4.1.311.42` e `1.3.6.1.4.1.311.42.2.1`.
Editar		Permite editar EKUs personalizados adicionados. As EKUs predefinidas padrão não podem ser editadas.
Remover		Remove o EKU selecionado da lista Autenticação de Cliente ou Qualquer Finalidade.

As configurações de PEAP na interface do usuário são mapeadas para MsPeapConnectionPropertiesV1, que é estendido por MsPeapConnectionPropertiesV2.

Configuração	Elemento XML	Descrição
Opções de validação do servidor
Selecionar método de autenticação		Permite selecionar o tipo de EAP a ser usado com PEAP para autenticação de rede. Há dois tipos de EAP disponíveis por padrão: Senha segura (EAP-MSCHAP v2) e Cartão inteligente ou outro certificado (EAP-TLS).
Configurar	EAP-MSCHAP v2: UseWinLogonCredentials EAP-TLS: confira a guia do EAP-TLS, esquema	Esse item fornece acesso às configurações de propriedade do tipo de EAP especificado. Se Senha segura (EAP-MSCHAP v2) estiver selecionada, a caixa de seleção Usar automaticamente meu nome de logon e senha do Windows (e domínio, se houver), estará disponível, o que especifica que o nome de entrada e a senha atuais do Windows baseados no usuário são usados como credenciais de autenticação de rede. Se Cartão inteligente ou outro certificado (EAP-TLS) estiver selecionado, ele abrirá a caixa de diálogo Cartão Inteligente ou outras Propriedades do Certificado para configuração adicional desse tipo de EAP.
Ativar reconexão rápida	FastReconnect	Oferece a capacidade de criar uma associação de segurança nova ou atualizada com mais eficiência e um número menor de viagens de ida e volta quando uma associação de segurança foi estabelecida anteriormente. Para conexões VPN, a reconexão rápida usa a tecnologia IKEv2 para fornecer conectividade VPN contínua e consistente quando os usuários perdem temporariamente a conexão com a Internet. Esse recurso é especialmente útil para usuários que se conectam via banda larga móvel sem fio, pois quando uma conexão com a Internet cair, a reconexão rápida restabelecerá automaticamente as conexões VPN ativas de modo direto e transparente para os usuários.
Desconectar se o servidor não tiver TLV com cryptobinding	RequireCryptoBinding	Especifica que os clientes, ao se conectarem, deverão encerrar o processo de autenticação na rede se o servidor RADIUS não tiver TLV (Tipo-Tamanho-Valor) com ligação de criptografia. O TLV Crypto-Binding é um recurso de segurança que aumenta a segurança do túnel TLS no PEAP. Ele faz isso combinando as autenticações de método interno e externo, o que dificulta para os invasores a realização de ataques man-in-the-middle redirecionando uma autenticação MS-CHAP v2 por meio do canal do PEAP.
Habilitar privacidade de identidade	IdentityPrivacy>EnableIdentityPrivacy/AnonymousUserName	Especifica se os clientes são configurados de modo que não possam enviar suas identidades antes de o cliente autenticar o servidor RADIUS e, como opção, fornece um local para digitar um valor de identidade anônima. Se você selecionar Habilitar privacidade de identidade e digitar `anonymous` como o valor de identidade anônima, a resposta de identidade para um usuário com a identidade `alice@example` será `anonymous@example`. Se você selecionar Habilitar privacidade de identidade, mas não fornecer um valor de identidade anônima, a resposta de identidade para o usuário `alice@example` será `@example`.

As configurações de EAP-TTLS no mapa da interface do usuário para EapTtlsConnectionPropertiesV1.

Configuração	Elemento XML	Descrição
Habilitar privacidade de identidade	Phase1Identity> IdentityPrivacy> AnonymousIdentity	Especifica se os clientes são configurados de modo que não possam enviar suas identidades antes de o cliente autenticar o servidor RADIUS e, como opção, fornece um local para digitar um valor de identidade anônima. Se você selecionar Habilitar privacidade de identidade e digitar `anonymous` como o valor de identidade anônima, a resposta de identidade para um usuário com a identidade `alice@example` será `anonymous@example`. Se você selecionar Habilitar privacidade de identidade, mas não fornecer um valor de identidade anônima, a resposta de identidade para o usuário `alice@example` será `@example`.
Opções de validação do servidor
Selecionar um método não EAP para autenticação	Phase2Authentication> Qualquer uma das seguintes opções: PAPAuthentication CHAPAuthentication MSCHAPAuthentication MSCHAPv2Authentication	Especifica se um tipo não EAP ou EAP é usado para autenticação. Se a opção Selecionar um método não EAP para autenticação for selecionada, então Selecionar um método EAP para autenticação será desabilitada. Estas são as opções de autenticação disponíveis: 1. Senha não criptografada (PAP) 2. Protocolo CHAP 3. MS-CHAP (Microsoft CHAP) 4. Microsoft CHAP Versão 2 (MS-CHAP v2).
Usar automaticamente o meu nome e a minha senha de logon do Windows	UseWinlogonCredentials	Se habilitado, este item usará as credenciais de entrada do Windows e só estará disponível se MS-CHAP v2 estiver selecionado na lista suspensa Selecionar um método não EAP para autenticação. A opção Usar automaticamente o meu nome e a minha senha de logon do Windows é desabilitada para os tipos de autenticação PAP, CHAP e MS-CHAP.
Selecionar um método EAP para autenticação	Phase2Authentication> EapHostConfig	Especifica se um tipo EAP ou não EAP é usado para autenticação. Se a opção Selecionar um método EAP para autenticação for selecionada, então Selecionar um método não EAP para autenticação será desabilitada. Estas são as opções de autenticação disponíveis: 1. Microsoft: Cartão Inteligente ou outro certificado (EAP-TLS) 2. Microsoft: senha segura (EAP-MSCHAP v2) A lista suspensa enumera todos os métodos EAP instalados no servidor, exceto os métodos de túnel PEAP e FAST. Os tipos EAP são listados na ordem em que são descobertos pelo computador.
Configurar		Abre a caixa de diálogo de propriedades do tipo EAP especificado.

As configurações do TEAP na interface do usuário são mapeadas para EapTeapConnectionPropertiesV1. O TEAP está disponível a partir do Windows 10, versão 2004 (compilação 19041) e no Windows Server 2022.

Configuração	Elemento XML	Descrição
Privacidade da identidade	Phase1Identity > IdentityPrivacy > AnonymousIdentity	Especifica se os clientes são configurados de modo que não possam enviar suas identidades antes de o cliente autenticar o servidor RADIUS e, como opção, fornece um local para digitar um valor de identidade anônima. Se você selecionar Habilitar privacidade de identidade e digitar `anonymous` como o valor de identidade anônima, a resposta de identidade para um usuário com a identidade `alice@example` será `anonymous@example`. Se você selecionar Habilitar privacidade de identidade, mas não fornecer um valor de identidade anônima, a resposta de identidade para o usuário `alice@example` será `@example`.
Opções de validação do servidor
Selecionar um método EAP {principal/secundário} para a autenticação	Phase2Authentication (> InnerMethodConfig > EapHostConfig)	Permite que o usuário escolha um método de autenticação principal/secundário entre Microsoft: cartão inteligente ou outro certificado (EAP-TLS) e Microsoft: senha segura (EAP-MSCHAP v2). Ele tem permissão para ter qualquer combinação de métodos internos. Por exemplo, o método interno pode ser EAP-TLS com credenciais de computador, seguido por EAP-TLS com credenciais de usuário.
Configurar		Se Microsoft: cartão inteligente ou outro certificado (EAP-TLS) estiver selecionado, ele abrirá a caixa de diálogo Cartão Inteligente ou outras Propriedades do Certificado. Se Microsoft: senha segura (EAP-MSCHAP v2) estiver selecionada, a caixa de seleção Usar automaticamente meu nome de logon e senha do Windows (e domínio, se houver) estará disponível, o que especifica que o nome de entrada e a senha atuais do Windows baseados no usuário são usados como credenciais de autenticação de rede.

Validação do servidor

Muitos métodos de EAP incluem uma opção para o cliente validar o certificado do servidor. Se o certificado do servidor não for validado, o cliente não poderá ter certeza de que está se comunicando com o servidor correto. Isso expõe o cliente a riscos de segurança, incluindo a possibilidade de se conectar inadvertidamente a uma rede não autorizada.

Observação

O Windows requer que o certificado do servidor tenha o EKU de autenticação do servidor. O OID (identificador de objeto) deste EKU é 1.3.6.1.5.5.7.3.1.

A tabela a seguir lista as opções de validação do servidor aplicáveis a cada método de EAP. O Windows 11 atualizou a lógica de validação do servidor para ser mais consistente (confira Comportamento de validação de certificado do servidor atualizado no Windows 11). Em caso de conflito, as descrições na tabela a seguir descrevem o comportamento no Windows 10 e nas versões anteriores.

Configuração Elemento XML Descrição

Configuração	Elemento XML	Descrição
Verificar a identidade do servidor validando o certificado	EAP-TLS: PerformServerValidation PEAP: PerformServerValidation	Esse item especifica que o cliente verifica se os certificados do servidor apresentados ao computador cliente têm as assinaturas corretas, ainda são válidos e foram emitidos por uma AC (autoridade de certificação) raiz confiável. Desabilitar esta caixa de seleção faz com que os computadores cliente não consigam verificar a identidade dos servidores durante o processo de autenticação. Se a autenticação do servidor não ocorrer, os usuários ficarão expostos a graves riscos de segurança, incluindo a possibilidade de poderem se conectar desavisadamente a uma rede não autorizada.
Conectar-se a estes servidores	EAP-TLS: ServerValidation>ServerNames PEAP: ServerValidation>ServerNames EAP-TTLS: ServerValidation> ServerNames TEAP: ServerValidation> ServerNames	Permite especificar o nome dos servidores do protocolo RADIUS que fornecem autenticação e autorização na rede. É necessário digitar o nome exatamente como ele aparece no campo de assunto de cada certificado do servidor RADIUS ou usar regex (expressões regulares) para especificar o nome do servidor. A sintaxe completa da expressão regular pode ser usada para especificar o nome do servidor, mas a fim de diferenciar uma expressão regular da cadeia de caracteres literal, é necessário usar pelo menos um `` na cadeia de caracteres especificada. Por exemplo, é possível especificar `nps.\.example\.com` para determinar o servidor RADIUS `nps1.example.com` ou `nps2.example.com`. Também é possível incluir um `;` para separar vários servidores. Se nenhum servidor RADIUS for especificado, o cliente só verificará se o certificado do servidor RADIUS foi emitido por uma AC raiz confiável.
Autoridades de Certificação Confiáveis	EAP-TLS: ServerValidation>TrustedRootCA PEAP: ServerValidation>TrustedRootCA EAP-TTLS: ServerValidation> TrustedRootCAHashes TEAP: ServerValidation> TrustedRootCAHashes	Lista as autoridades de certificação raiz confiáveis. A lista é criada com base nas autoridades de certificação raiz confiáveis instaladas nos repositórios de certificados do computador e do usuário. Você pode especificar quais certificados de autoridade de certificação raiz confiáveis que os suplicantes usarão para determinar se confiam em seus servidores, como seu servidor que executa o NPS ou o servidor de provisionamento. Se nenhuma autoridade de certificação raiz confiável for selecionada, o cliente 802.1X verificará se o certificado do computador do servidor RADIUS foi emitido por uma autoridade de certificação raiz confiável instalada. Se uma ou várias autoridades de certificação raiz confiável forem selecionadas, o cliente 802.1X verificará se o certificado do computador do servidor RADIUS foi emitido por uma autoridade de certificação raiz confiável selecionada. Se nenhuma AC raiz confiável for selecionada, o cliente verificará se o certificado do servidor RADIUS foi emitido por alguma AC raiz confiável. Se você tiver uma infraestrutura de chave pública (PKI) na sua rede e tiver usado uma autoridade de certificação para emitir certificados para os servidores RADIUS, seu certificado da autoridade de certificação será automaticamente adicionado à lista de autoridades de certificação raiz confiáveis. Você também pode comprar um certificado de uma autoridade de certificação que não seja da Microsoft. Algumas das autoridades de certificação raiz confiáveis que não são da Microsoft fornecem softwares com os certificados comprados que instalam automaticamente o certificado no repositório de certificados Autoridades de Certificação Raiz Confiáveis. Nesse caso, a autoridade de certificação raiz confiável aparece automaticamente na lista de autoridades de certificação raiz confiáveis. Não especifique um certificado de AC raiz confiável que ainda não esteja listado nos repositórios de certificados das Autoridades de Certificação Raiz Confiáveis dos computadores clientes para Usuário atual e Computador local. Ao designar um certificado que não está instalado nos computadores cliente, a autenticação falha. Em XML, esta é a impressão digital SHA-1 (hash) do certificado (ou SHA-256 para TEAP).

Verificar a identidade do servidor validando o certificado

EAP-TLS:
PerformServerValidation

PEAP:
PerformServerValidation

Esse item especifica que o cliente verifica se os certificados do servidor apresentados ao computador cliente têm as assinaturas corretas, ainda são válidos e foram emitidos por uma AC (autoridade de certificação) raiz confiável.

Desabilitar esta caixa de seleção faz com que os computadores cliente não consigam verificar a identidade dos servidores durante o processo de autenticação. Se a autenticação do servidor não ocorrer, os usuários ficarão expostos a graves riscos de segurança, incluindo a possibilidade de poderem se conectar desavisadamente a uma rede não autorizada.

Conectar-se a estes servidores

EAP-TLS:
ServerValidation>ServerNames

PEAP:
ServerValidation>ServerNames

EAP-TTLS:
ServerValidation>
ServerNames

TEAP:
ServerValidation>
ServerNames

Permite especificar o nome dos servidores do protocolo RADIUS que fornecem autenticação e autorização na rede.

É necessário digitar o nome exatamente como ele aparece no campo de assunto de cada certificado do servidor RADIUS ou usar regex (expressões regulares) para especificar o nome do servidor.

A sintaxe completa da expressão regular pode ser usada para especificar o nome do servidor, mas a fim de diferenciar uma expressão regular da cadeia de caracteres literal, é necessário usar pelo menos um * na cadeia de caracteres especificada. Por exemplo, é possível especificar nps.*\.example\.com para determinar o servidor RADIUS nps1.example.com ou nps2.example.com.

Também é possível incluir um ; para separar vários servidores.

Se nenhum servidor RADIUS for especificado, o cliente só verificará se o certificado do servidor RADIUS foi emitido por uma AC raiz confiável.

Autoridades de Certificação Confiáveis

EAP-TLS:
ServerValidation>TrustedRootCA

PEAP:
ServerValidation>TrustedRootCA

EAP-TTLS:
ServerValidation>
TrustedRootCAHashes

TEAP:
ServerValidation>
TrustedRootCAHashes

Lista as autoridades de certificação raiz confiáveis. A lista é criada com base nas autoridades de certificação raiz confiáveis instaladas nos repositórios de certificados do computador e do usuário. Você pode especificar quais certificados de autoridade de certificação raiz confiáveis que os suplicantes usarão para determinar se confiam em seus servidores, como seu servidor que executa o NPS ou o servidor de provisionamento. Se nenhuma autoridade de certificação raiz confiável for selecionada, o cliente 802.1X verificará se o certificado do computador do servidor RADIUS foi emitido por uma autoridade de certificação raiz confiável instalada. Se uma ou várias autoridades de certificação raiz confiável forem selecionadas, o cliente 802.1X verificará se o certificado do computador do servidor RADIUS foi emitido por uma autoridade de certificação raiz confiável selecionada.

Se nenhuma AC raiz confiável for selecionada, o cliente verificará se o certificado do servidor RADIUS foi emitido por alguma AC raiz confiável.

Se você tiver uma infraestrutura de chave pública (PKI) na sua rede e tiver usado uma autoridade de certificação para emitir certificados para os servidores RADIUS, seu certificado da autoridade de certificação será automaticamente adicionado à lista de autoridades de certificação raiz confiáveis. Você também pode comprar um certificado de uma autoridade de certificação que não seja da Microsoft. Algumas das autoridades de certificação raiz confiáveis que não são da Microsoft fornecem softwares com os certificados comprados que instalam automaticamente o certificado no repositório de certificados Autoridades de Certificação Raiz Confiáveis. Nesse caso, a autoridade de certificação raiz confiável aparece automaticamente na lista de autoridades de certificação raiz confiáveis.

Não especifique um certificado de AC raiz confiável que ainda não esteja listado nos repositórios de certificados das Autoridades de Certificação Raiz Confiáveis dos computadores clientes para Usuário atual e Computador local. Ao designar um certificado que não está instalado nos computadores cliente, a autenticação falha.

Em XML, esta é a impressão digital SHA-1 (hash) do certificado (ou SHA-256 para TEAP).

Prompt de validação do servidor para o usuário

A tabela a seguir lista as opções de prompt de validação do servidor para o usuário aplicáveis a cada método de EAP. Essas opções são usadas no caso de um certificado de servidor não confiável para o seguinte:

ocasionar uma falha imediata na conexão, ou
permitir que o usuário aceite ou rejeite manualmente a conexão.

Configuração	Elemento XML
Não solicitar que o usuário autorize novos servidores ou autoridades de certificação confiáveis	ServerValidation>DisableUserPromptForServerValidation

Evita que um usuário seja solicitado para confiar em um certificado do servidor se esse certificado estiver configurado incorretamente, ainda não for confiável ou ambos (se habilitada). Para simplificar a experiência do usuário e evitar que ele confie erroneamente em um servidor implantado por um invasor, é recomendado marcar essa caixa de seleção.

Configuração Elemento XML

Configuração	Elemento XML
Notificações antes da conexão	ServerValidation> 1. DisableUserPromptForServerValidation=`true` 2. DisableUserPromptForServerValidation=`false` 3. DisableUserPromptForServerValidation=`false`, PeapExtensionsV2> AllowPromptingWhenServerCANotFound

Notificações antes da conexão

ServerValidation>

1. DisableUserPromptForServerValidation=true

2. DisableUserPromptForServerValidation=false

3. DisableUserPromptForServerValidation=false, PeapExtensionsV2> AllowPromptingWhenServerCANotFound

Especifica se o usuário é notificado quando o nome do servidor ou o certificado raiz não foi especificado ou não foi possível verificar a identidade do servidor. Aqui estão as opções disponíveis para escolher e o que cada uma especifica:

Não pedir ao usuário para autorizar novos servidores ou ACs confiáveis: se o nome do servidor não estiver na lista Conectar-se a estes servidores, o certificado raiz for encontrado, mas não estiver selecionado na lista de Autoridades de Certificação Raiz Confiáveis em Propriedades de PEAP, ou o certificado raiz não for encontrado no computador, o usuário não será notificado e as tentativas de conexão falharão.
Informar ao usuário se o nome do servidor ou o certificado raiz não foi especificado: se o nome do servidor não estiver na lista Conectar-se a estes servidores ou o certificado raiz for encontrado, mas não estiver selecionado na lista de Autoridades de Certificação Raiz Confiáveis em Propriedades de PEAP, será solicitado ao usuário se o certificado raiz deve ser aceito. Se o usuário aceitar o certificado, a autenticação continuará. Se o usuário rejeitar o certificado, a tentativa de conexão irá falhar. Com essa opção, se o certificado raiz não estiver presente no computador, o usuário não será notificado e as tentativas de conexão falharão.
Informar ao usuário se não for possível verificar a identidade do servidor: se o nome do servidor não estiver na lista Conectar-se a estes servidores, o certificado raiz for encontrado, mas não estiver selecionado na lista de Autoridades de Certificação Raiz Confiáveis em Propriedades de PEAP, ou o certificado raiz não for encontrado no computador, será solicitado ao usuário se o certificado raiz deve ser aceito. Se o usuário aceitar o certificado, a autenticação continuará. Se o usuário rejeitar o certificado, a tentativa de conexão irá falhar.

Configuração	Elemento XML
Não perguntar ao usuário se não puder autorizar o servidor	ServerValidation> DisableUserPromptForServerValidation

Quando esta opção não é selecionada, especifica que, se a validação de certificado do servidor falhar em função de uma das seguintes razões, o sistema solicitará ao usuário que aceite ou rejeite o servidor:

Um certificado raiz para o certificado do servidor não foi encontrado ou não foi selecionado na lista de Autoridades de certificação raiz confiáveis.
Um ou mais certificados raiz intermediários na cadeia de certificados não foram encontrados.
O nome do assunto no certificado do servidor não corresponde a nenhum dos servidores especificados na lista Conectar-se a estes servidores.

Configuração	Elemento XML
Não perguntar ao usuário se não puder autorizar o servidor	ServerValidation>DisablePrompt

Um certificado raiz para o certificado do servidor não foi encontrado ou não foi selecionado na lista de Autoridades de certificação raiz confiáveis.
Um ou mais certificados raiz intermediários na cadeia de certificados não foram encontrados.
O nome do assunto no certificado do servidor não corresponde a nenhum dos servidores especificados na lista Conectar-se a estes servidores.

Definições de configuração de autenticação de celular

Abaixo estão listadas as configurações de EAP-SIM, EPA-AKA e EPA-AKA', respectivamente.

EAP-SIM é definido em RFC 4186. O SIM (Módulo de Identidade do Assinante) do EAP é usado para autenticação e distribuição de chave de sessão usando o SIM (Módulo de Identidade do Assinante) do GSM (Global System for Mobile Communications) de rede móvel de 2ª geração.

As configurações do EAP-SIM na interface do usuário são mapeadas para EapSimConnectionPropertiesV1.

Item	Elemento XML	Descrição
Usar chaves de criptografia fortes	UseStrongCipherKeys	Se selecionada, especifica que o perfil usa criptografia forte.
Não revelar a identidade real no servidor quando a identidade do pseudônimo estiver disponível	DontRevealPermanentID	Quando habilitada, força o cliente a falhar na autenticação quando as solicitações do servidor por identidade permanente no cliente têm uma identidade de pseudônimo. Identidades de pseudônimos são usadas para a privacidade da identidade, a fim de que a identidade real ou permanente de um usuário não seja revelada durante a autenticação.
	ProviderName	Disponível apenas em XML, uma cadeia de caracteres que indica o nome do provedor permitido para a autenticação.
Habilitar uso de realms	Realm=`true`	Fornece um local para digitação do nome do realm. Se este campo for deixado em branco com a opção Habilitar uso de realms selecionada, o realm será derivado da IMSI (International Mobile Subscriber Identity) usando o realm 3gpp.org, conforme descrito no padrão 23.003 V6.8.0 do 3GPP (3rd Generation Partnership Project).
Especificar um realm	Realm	Fornece um local para digitação do nome do realm. Se Habilitar o uso de realms estiver habilitado, essa cadeia de caracteres será usada. Se esse campo estiver vazio, o realm derivado será usado.

O EAP-AKA é definido no RFC 4187. A Autenticação EAP e o AKA (Contrato de Chave) são usados para autenticação e distribuição de chave de sessão usando o mecanismo AKA. O AKA é usado no UMTS (Sistema Universal de Telecomunicações Móveis) das redes móveis de 3ª geração e no CDMA2000. O AKA é baseado em chaves simétricas e normalmente é executado em um SIM (Módulo de Identidade do Assinante).

As configurações do EAP-SIM na interface do usuário são mapeadas para EapAkaConnectionPropertiesV1.

Item	Elemento XML	Descrição
Não revelar a identidade real no servidor quando a identidade do pseudônimo estiver disponível	DontRevealPermanentID	Quando habilitada, força o cliente a falhar na autenticação quando as solicitações do servidor por identidade permanente no cliente têm uma identidade de pseudônimo. Identidades de pseudônimos são usadas para a privacidade da identidade, a fim de que a identidade real ou permanente de um usuário não seja revelada durante a autenticação.
	ProviderName	Disponível apenas em XML, uma cadeia de caracteres que indica o nome do provedor permitido para a autenticação.
Habilitar uso de realms	Realm=`true`	Fornece um local para digitação do nome do realm. Se este campo for deixado em branco com a opção Habilitar uso de realms selecionada, o realm será derivado da IMSI (International Mobile Subscriber Identity) usando o realm 3gpp.org, conforme descrito no padrão 23.003 V6.8.0 do 3GPP (3rd Generation Partnership Project).
Especificar um realm	Realm	Fornece um local para digitação do nome do realm. Se Habilitar o uso de realms estiver habilitado, essa cadeia de caracteres será usada. Se esse campo estiver vazio, o realm derivado será usado.

O EAP-AKA' é definido no RFC 5448 e no RFC 9048. O AKA' (EAP-AKA' Prime) é uma versão modificada do EAP-AKA que adiciona uma nova função de derivação de chave para facilitar o acesso a redes baseadas em 3GPP (Projeto de parceria de 3ª geração) usando padrões diferentes de 3GPP, como o seguinte:

Wi-Fi
EVDO (Evolution-Data Optimized)
WiMax (Worldwide Interoperability for Microwave Access)

As configurações do EAP-AKA' na interface do usuário são mapeadas para EapAkaPrimeConnectionPropertiesV1.

Item	Elemento XML	Descrição
Não revelar a identidade real no servidor quando a identidade do pseudônimo estiver disponível	DontRevealPermanentID	Quando habilitada, força o cliente a falhar na autenticação quando as solicitações do servidor por identidade permanente no cliente têm uma identidade de pseudônimo. Identidades de pseudônimos são usadas para a privacidade da identidade, a fim de que a identidade real ou permanente de um usuário não seja revelada durante a autenticação.
	ProviderName	Disponível apenas em XML, uma cadeia de caracteres que indica o nome do provedor permitido para a autenticação.
Habilitar uso de realms	Realm=`true`	Fornece um local para digitação do nome do realm. Se este campo for deixado em branco com a opção Habilitar uso de realms selecionada, o realm será derivado da IMSI (International Mobile Subscriber Identity) usando o realm 3gpp.org, conforme descrito no padrão 23.003 V6.8.0 do 3GPP (3rd Generation Partnership Project).
Especificar um realm	Realm	Fornece um local para digitação do nome do realm. Se Habilitar o uso de realms estiver habilitado, essa cadeia de caracteres será usada. Se esse campo estiver vazio, o realm derivado será usado.
Ignorar incompatibilidade de nome de rede	IgnoreNetworkNameMismatch	O cliente compara o nome da rede conhecido com o nome enviado pelo servidor RADIUS durante a autenticação. Se houver incompatibilidade, ela será ignorada quando essa opção estiver selecionada. Se não estiver selecionada, haverá falha de autenticação.
Habilitar Reautenticação Rápida	EnableFastReauth	Especifica que a reautenticação rápida está habilitada. Esse recurso é útil quando a autenticação SIM é realizada com frequência. As chaves de criptografia derivadas da autenticação completa são reutilizadas. Como resultado, o algoritmo do SIM não precisa ser executado a cada tentativa de autenticação e o número de operações de rede resultantes de tentativas frequentes de autenticação é reduzido.

Modo WPA3-Enterprise de 192 bits

O modo WPA3-Enterprise de 192 bits é um modo especial para WPA3-Enterprise que impõe certos requisitos de alta segurança na conexão sem fio para fornecer um mínimo de 192 bits de segurança. Esses requisitos estão alinhados com o Conjunto de CNSA (Algoritmos de Segurança Nacional Comercial), CNSSP 15, que é um conjunto de algoritmos criptográficos aprovado para proteger informações confidenciais e ultrassecretas pela NSA (Agência de Segurança Nacional) dos Estados Unidos. Às vezes, o modo de 192 bits pode ser chamado de "modo Suite B", que é uma referência à especificação de criptografia Suite B da NSA, que foi substituída por CNSA em 2016.

Os modos WPA3-Enterprise e WPA3-Enterprise de 192 bits estão disponíveis a partir do Windows 10, versão 2004 (compilação 19041) e no Windows Server 2022. No entanto, o WPA3-Enterprise foi apontado como um algoritmo de autenticação separado no Windows 11. Em XML, isso é especificado no elemento authEncryption.

A tabela a seguir lista os algoritmos exigidos pelo Conjunto de CNSA.

Algoritmo	Descrição	Parâmetros
AES (criptografia AES)	Cifra de bloco simétrico usada para criptografia	Chave de 256 bits (AES-256)
Troca de chaves ECDH (curva elíptica Diffie-Hellman)	Algoritmo assimétrico usado para estabelecer um segredo compartilhado (chave)	Curva de módulo principal de 384 bits (P-384)
ECDSA (algoritmo de assinatura digital de curva elíptica)	Algoritmo assimétrico usado para assinaturas digitais	Curva de módulo principal de 384 bits (P-384)
Algoritmo de Hash de Assinatura (SHA)	Função hash criptográfica	SHA-384
Troca de chaves DH (Diffie-Hellman)	Algoritmo assimétrico usado para estabelecer um segredo compartilhado (chave)	Módulo de 3072 bits
RSA (Rivest-Shamir-Adleman)	Algoritmo assimétrico usado para assinaturas digitais ou estabelecimento de chave	Módulo de 3072 bits

Alinhando-se ao CNSA, o modo WPA3-Enterprise de 192 bits requer que o EAP-TLS seja usado com os seguintes conjuntos de cifras com restrições:

TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
- ECDHE e ECDSA usando a curva de módulo principal de 384 bits P-384
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 / TLS_DHE_RSA_AES_256_GCM_SHA384
- ECDHE usando a curva de módulo principal de 384 bits P-384
- RSA >= módulo de 3072 bits

Observação

A P-384 também é conhecida como secp384r1 ou nistp384. Outras curvas elípticas, como a P-521, não são permitidas.

O SHA-384 está na família SHA-2 de funções de hash. Outros algoritmos e variantes, como SHA-512 ou SHA3-384, não são permitidos.

O Windows dá suporte somente aos conjuntos de cifras TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 e TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 para o modo WPA3-Enterprise de 192 bits. O conjunto de cifras TLS_DHE_RSA_AES_256_GCM_SHA384 não é compatível.

O TLS 1.3 usa novos conjuntos de TLS simplificados, dos quais somente TLS_AES_256_GCM_SHA384 é compatível com o modo WPA3-Enterprise de 192 bits. Como o TLS 1.3 requer (EC)DHE e permite certificados ECDSA ou RSA, além dos hashes AES-256 AEAD e SHA384, TLS_AES_256_GCM_SHA384 é equivalente a TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 e TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384. No entanto, o RFC 8446 exige que os aplicativos compatíveis com o TLS 1.3 deem suporte a P-256, o que é proibido pelo CNSA. Portanto, o modo WPA3-Enterprise de 192 bits não pode ser totalmente compatível com o TLS 1.3. No entanto, não há problemas de interoperabilidade conhecidos com o modo TLS 1.3 e WPA3-Enterprise de 192 bits.

Para configurar uma rede com o modo WPA3-Enterprise de 192 bits, o Windows requer que o EAP-TLS seja usado com um certificado que atenda aos requisitos descritos anteriormente.

Protocolo EAP para acesso à rede

Métodos de autenticação

Configurar propriedades de EAP

Perfis XML para EAP

Configurações de segurança

Configurações avançadas de segurança > IEEE 802.1X

Configurações avançadas de segurança > Logon único

Definições de configuração do método de autenticação

Validação do servidor

Prompt de validação do servidor para o usuário

Definições de configuração de autenticação de celular

Modo WPA3-Enterprise de 192 bits

Recursos adicionais

Recursos adicionais