Opções de autenticação VPN

• Aplica-se a:

  ✅ Windows 11, ✅ Windows 10

Além dos métodos de autenticação baseada em senha mais antigos e menos seguros (que devem ser evitados), a solução VPN interna usa o protocolo EAP (Extensible Authentication Protocol) para fornecer autenticação segura usando os métodos baseados em nome de usuário e senha e em certificado. Somente é possível configurar a autenticação baseada em EAP se você selecionar um tipo de VPN interno (IKEv2, L2TP, PPTP ou Automático).

O Windows oferece suporte a vários métodos de autenticação EAP.

• EAP-Microsoft Challenge Handshake Authentication Protocol versão 2 (EAP-MSCHAPv2):

  • Autenticação com nome de usuário e senha
  • Credenciais do Winlogon – podem especificar a autenticação com credenciais de entrada do computador

• EAP-Transport Segurança de Camada (EAP-TLS):

  • Dá suporte aos seguintes tipos de autenticação de certificado:

    • Certificados com chaves no KSP (Provedor de Armazenamento de Chaves) do software
    • Certificados com chaves no KSP do Trusted Platform Module (TPM)
    • Certificados de cartão inteligentes
    • Certificado do Windows Hello para Empresas

  • Filtragem de certificado:

    • A filtragem de certificado pode ser habilitada para procurar um determinado certificado para ser usado na autenticação
    • A filtragem pode ser baseada em EKU (uso de chave estendida ou baseada em emissor)

  • Validação do servidor – com o TLS, a validação do servidor pode ser alternada ativada ou desativada:

    • Nome do servidor – especifique o servidor a ser validado
    • Certificado do servidor – certificado raiz confiável para validar o servidor
    • Notificação – especifique se o usuário deve receber uma notificação perguntando se é para confiar no servidor ou não

• Protocolo de Autenticação Extensível Protegido (PEAP):

  • Validação do servidor – com PEAP, a validação do servidor pode ser alternada ativada ou desativada:

    • Nome do servidor – especifique o servidor a ser validado
    • Certificado do servidor – certificado raiz confiável para validar o servidor
    • Notificação – especifique se o usuário deve receber uma notificação perguntando se é para confiar no servidor ou não

  • Método interno – o método externo cria um túnel seguro dentro enquanto o método interno é usado para concluir a autenticação:

    • EAP-MSCHAPv2
    • EAP-TLS

  • Reconexão Rápida: reduz o atraso entre uma solicitação de autenticação de um cliente e a resposta do NPS (Servidor de Política de Rede) ou outro servidor RADIUS. Isso reduz os requisitos de recursos para o cliente e o servidor e minimiza o número de vezes que os usuários são solicitados a inserir as credenciais.

  • Criptografia: ao derivar e trocar valores do material chave da fase 1 do PEAP (Tunnel Key) e do material chave de método EAP interno da fase 2 do PEAP (Chave de Sessão Interna), é possível provar que as duas autenticações terminam nas mesmas duas entidades (par PEAP e servidor PEAP). Esse processo, chamado "cryptobinding", é usado para proteger a negociação PEAP contra ataques "Man in the Middle".

• TTLS (Tunneled Transport Layer Security)

  • Método interno
    • Não EAP
      • Protocolo PAP
      • CHAP
      • MSCHAP
      • MSChapv2
    • EAP
      • MSChapv2
      • TLS
  • Validação do servidor: no TTLS, o servidor deve ser validado. Os parâmetros a seguir podem ser configurados:
    • Nome do servidor
    • Certificado raiz confiável para o certificado do servidor
    • Se deve haver uma notificação de validação do servidor

Para um plug-in de VPN UWP, o fornecedor do aplicativo controla o método de autenticação a ser usado. Os seguintes tipos de credenciais podem ser usados:

• Cartão inteligente
• Certificado
• Windows Hello para Empresas
• Nome de usuário e senha
• Senha de uso único
• Tipo de credencial personalizada

Configurar autenticação

Consulte Configuração do EAP para saber a configuração XML do protocolo EAP.

Observação

Para configurar a autenticação do Windows Hello para Empresas, siga as etapas em Configuração do EAP para criar um certificado de cartão inteligente. Saiba mais sobre Windows Hello para Empresas..

A imagem a seguir mostra o campo para XML do EAP em um perfil de VPN do Microsoft Intune. O campo XML do EAP só aparece quando você seleciona um tipo de conexão interno (automático, IKEv2, L2TP, PPTP).

Tópicos relacionados

• Guia de técnico de VPN
• Tipos de conexão VPN
• Decisões de roteamento VPN
• VPN e acesso condicional
• Resolução de nomes VPN
• Opções de perfil disparadas automaticamente por VPN
• Recursos de segurança de VPN
• Opções de perfil de VPN
• Protocolo de Autenticação Extensível (EAP) para acesso à rede