Protocolo EAP para acesso à rede

Aplica-se a: ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016, ✅ Windows 11, ✅ Windows 10

O EAP (Protocolo de Autenticação Extensível) é uma estrutura de autenticação que permite o uso de diferentes métodos de autenticação para tecnologias seguras de acesso à rede. Exemplos dessas tecnologias incluem acesso sem fio usando IEEE 802.1X, acesso com fio usando IEEE 802.1X e conexões de protocolo PPP como VPN (Rede Virtual Privada). O EAP não é um método de autenticação específico, como o MS-CHAP v2, mas sim uma estrutura que permite que os fornecedores de rede desenvolvam e instalem novos métodos de autenticação, conhecidos como métodos EAP no cliente de acesso e no servidor de autenticação. A estrutura EAP é originalmente definida pelo RFC 3748 e estendida por vários outros RFCs e padrões.

Métodos de autenticação

Métodos de autenticação EAP usados em métodos EAP túnel são comumente conhecidos como métodos internos ou tipos EAP. Os métodos configurados como métodos internos têm as mesmas configurações que quando usados como um método externo. Este artigo contém informações específicas sobre configuração dos seguintes métodos de autenticação em EAP.

EAP-TLS (EAP-Transport Layer Security): método EAP baseado em padrões que usa TLS com certificados para autenticação mútua. Aparece como Cartão Inteligente ou outro certificado (EAP-TLS) no Windows. EAP-TLS pode ser implantado como um método interno para outro método EAP ou como um método EAP autônomo.

Tip

Os métodos EAP que usam EAP-TLS, sendo baseados em certificado, geralmente oferecem o nível mais alto de segurança. Por exemplo, EAP-TLS é o único método EAP permitido para o modo WPA3-Enterprise de 192 bits.

EAP-MSCHAP v2 (EAP-Microsoft Challenge Handshake Authentication Protocol versão 2): método EAP definido pela Microsoft que encapsula o protocolo de autenticação MSCHAP v2, que usa nome de usuário e senha, para autenticação. Aparece como Senha segura (EAP-MSCHAP v2) no Windows. EAP-MSCHAPv2 pode ser usado como um método autônomo para VPN, mas apenas como um método interno para conexões com/sem fio.

Warning

As conexões baseadas em MSCHAPv2 estão sujeitas a ataques semelhantes aos de NTLMv1. O Windows 11 Enterprise, versão 22H2 (build 22621) habilita o Windows Defender Credential Guard, que pode causar problemas com conexões baseadas em MSCHAPv2.

PEAP (EAP Protegido): método EAP definido pela Microsoft que encapsula o EAP em um túnel TLS. O túnel TLS protege o método EAP interno que, caso contrário, poderia ficar desprotegido. O Windows dá suporte ao EAP-TLS e ao EAP-MSCHAP v2 como métodos internos.

EAP-Tunneled Transport Layer Security (EAP-TTLS): isso é descrito pelo RFC 5281, encapsula uma sessão TLS que executa a autenticação mútua usando outro mecanismo de autenticação interna. Esse método interno pode ser um protocolo EAP, como EAP-MSCHAP v2, ou um protocolo diferente de EAP, como o PAP (Protocolo de Autenticação de Senha). No Windows Server 2012, a inclusão do EAP-TTLS dá suporte somente no lado do cliente (no Windows 8). O NPS não dá suporte ao EAP-TTLS no momento. O suporte ao cliente habilita a interoperação com servidores RADIUS comumente implantados que dão suporte ao EAP-TTLS.

EAP-SIM (Módulo de Identidade do Assinante), EAP-AKA (Autenticação e Acordo de Chaves) e EAP-AKA' (EAP-AKA Prime): isso é descrito por diversos RFCs, habilita a autenticação usando cartões SIM e é implementado quando um cliente adquire um plano de serviço de banda larga sem fio de um operador de rede móvel. Como parte do plano, o cliente normalmente recebe um perfil móvel que é pré-configurado para autenticação SIM.

EAP em túnel (TEAP): isso é descrito pelo RFC 7170, um método de EAP em túnel que estabelece um túnel TLS seguro e executa outros métodos de EAP dentro dele. Compatível com o encadeamento de EAP – autenticando o computador e o usuário em uma sessão de autenticação. No Windows Server 2022, a inclusão do TEAP fornece suporte apenas para o lado do cliente – Windows 10, versão 2004 (build 19041). O NPS não dá suporte ao TEAP no momento. O suporte ao cliente permite a interoperação com servidores RADIUS comumente implantados que dão suporte ao TEAP. O Windows dá suporte ao EAP-TLS e ao EAP-MSCHAP v2 como métodos internos.

A tabela a seguir lista alguns métodos EAP comuns e seus números de Tipo de método atribuído à IANA.

Método EAP	Número de tipo atribuído à IANA	Suporte nativo do Windows
MD5-Challenge (EAP-MD5)	4	❌
Senha de uso único (EAP-OTP)	5	❌
Cartão de token genérico (EAP-GTC)	6	❌
EAP-TLS	13	✅
EAP-SIM	18	✅
EAP-TTLS	21	✅
EAP-AKA	23	✅
PEAP	25	✅
EAP-MSCHAP v2	26	✅
Senha de uso único protegida (EAP-POTP)	32	❌
EAP-FAST	43	❌
Chave pré-compartilhada (EAP-PSK)	47	❌
EAP-IKEv2	49	❌
EAP-AKA'	50	✅
EAP-EKE	53	❌
TEAP	55	✅
EAP-NOOB	56	❌

Configurar propriedades de EAP

Você pode acessar as propriedades do EAP para acesso sem fio e com fio autenticado 802.1X das seguintes formas:

Ao configurar as extensões das Políticas de Rede com Fio (IEEE 802.3) e das Políticas de Rede sem Fio (IEEE 802.11) na Política de Grupo.
- Configuração> do computadorPolíticas>Configurações do> WindowsConfigurações de segurança
Usando software de MDM (Gerenciamento de Dispositivo Móvel), como o Intune (Wi-Fi/Wired)
- Wi-Fi CSP
- WiredNetwork CSP
Ao configurar manualmente conexões com ou sem fio em computadores cliente.

Você pode acessar as propriedades do EAP para conexões VPN das seguintes formas:

Usando software de MDM (Gerenciamento de Dispositivo Móvel), como o Intune
- VPNv2 CSP
- Opções de perfil de VPN
Ao configurar manualmente conexões VPN em computadores cliente.
Ao usar o CMAK (Kit de Administração do Gerenciador de conexões) para configurar as conexões VPN.

Para saber como configurar propriedades de EAP, confira Configurar perfis e configurações de EAP no Windows.

Perfis XML para EAP

Os perfis usados para diferentes tipos de conexões são arquivos XML que contêm as opções de configuração para a conexão. Cada tipo de conexão diferente segue um esquema específico:

No entanto, quando configurado para usar o EAP, cada esquema de perfil tem um elemento filho EapHostConfig .

Com fio/sem fio: EapHostConfig é um elemento filho do elemento EAPConfig . MSM > segurança (Com fio/Sem fio) >OneX> EAPConfig
VPN: EapHostConfig é um elemento filho de NativeProfile > Autenticação > Eap > Configuração

Essa sintaxe de configuração é definida na especificação Política de grupo: extensão de protocolo sem fio/com fio.

Note

As várias GUIs de configuração nem sempre mostram todas as opções tecnicamente possíveis. Por exemplo, o Windows Server 2019 e as versões anteriores não podem configurar o TEAP na interface do usuário. No entanto, muitas vezes é possível importar um perfil XML existente que tenha sido configurado anteriormente.

O restante do artigo tem o objetivo de fornecer um mapeamento entre as partes específicas do EAP da interface do usuário da Política de Grupo/Painel de Controle e as opções de configuração XML, além de fornecer uma descrição da configuração.

Mais informações sobre como configurar perfis XML podem ser encontradas em perfis XML. Um exemplo de como usar um perfil XML contendo configurações de EAP pode ser encontrado em Provisionar um perfil de Wi-Fi por meio de um site.

Configurações de segurança

A tabela a seguir explica as definições de segurança configuráveis para um perfil que usa 802.1X. Essas configurações são mapeadas para o OneX.

Setting	elemento XML	Description
Selecione um método de autenticação de rede:	EAPConfig	Permite selecionar o método EAP a ser usado para a autenticação. Confira Definições de configuração do método de autenticação e Definições de configuração da autenticação por celular
Properties		Abre a caixa de diálogo de propriedades do método EAP selecionado.
Modo de Autenticação	authMode	Especifica o tipo de credenciais usadas para autenticação. Há suporte para os seguintes valores: 1. Autenticação do usuário ou computador 2. Autenticação do computador 3. Autenticação do usuário 4. Autenticação do convidado "Computador", neste contexto, significa "Máquina" em outras referências. `machineOrUser` é o padrão no Windows.
Máximo de Falhas de Autenticação	maxAuthFailures	Especifica o número máximo de falhas de autenticação permitidas para um conjunto de credenciais, com o padrão sendo `1`.
Armazenar em cache as informações do usuário para conexões subsequentes com esta rede	cacheUserData	Especifica se as credenciais do usuário devem ser armazenadas em cache para conexões subsequentes com a mesma rede, tendo `true` como padrão.

Configurações avançadas de segurança > IEEE 802.1X

Se a opção Aplicar configurações avançadas de 802.1X estiver marcada, todas as configurações a seguir serão definidas. Se estiver desmarcada, as configurações padrão serão aplicadas. Em XML, todos os elementos são opcionais e, quando não estão presentes, os valores padrão são usados.

Setting	elemento XML	Description
Máximo de Msg. Eapol-Start	maxStart	Especifica o número máximo de mensagens EAPOL-Start que podem ser enviadas ao autenticador (servidor RADIUS) antes que o suplicante (cliente Windows) assuma que não há autenticador presente, tendo `3` como padrão.
Período de Início (segundos)	startPeriod	Especifica o período de tempo (em segundos) a esperar antes que uma mensagem EAPOL-Start seja enviada para iniciar o processo de autenticação 802.1X, tendo `5` como padrão.
Período de Retenção (segundos)	heldPeriod	Especifica o período de tempo (em segundos) a esperar após uma falha de tentativa de autenticação antes de tentar realizar novamente a autenticação, tendo `1` como padrão.
Período de Autenticação (segundos)	authPeriod	Especifica o período de tempo (em segundos) a esperar por uma resposta do autenticador (servidor RADIUS) antes de assumir que não há nenhum autenticador presente, tendo `18` como padrão.
Mensagem Eapol-Start	supplicantMode	Especifica o método de transmissão usado para mensagens EAPOL-Start. Há suporte para os seguintes valores: 1. Não transmitir (`inhibitTransmission`) 2. Transmitir (`includeLearning`) 3. Transmitir por IEEE 802.1X (`compliant`) "Computador", neste contexto, significa "Máquina" em outras referências. `compliant` é o padrão no Windows e é a única opção válida para perfis sem fio.

Configurações avançadas de segurança > Logon único

A tabela a seguir explica as configurações de SSO (logon único), anteriormente conhecido como PLAP (provedor de acesso pré-logon).

Setting	elemento XML	Description
Habilitar Logon Único para esta rede	singleSignOn	Especifica se o SSO está habilitado para esta rede, tendo `false` como padrão. Não use `singleSignOn` em um perfil se a rede não exigir.
Executar imediatamente antes do usuário Executar imediatamente após o usuário	type	Especifica quando o SSO deve ser executado: antes ou depois do logon do usuário.
Atraso máximo de conectividade (segundos)	maxDelay	Especifica o atraso máximo (em segundos) antes que a tentativa de SSO falhe, tendo `10` como padrão.
Permitir que caixas de diálogo adicionais sejam exibidas durante o logon único	allowAdditionalDialogs	Especifica se a exibição de diálogos de EAP deve ser permitida durante o SSO, tendo `false` como padrão.
Esta rede usa VLAN diferente para autenticação com credenciais de máquina e de usuário	userBasedVirtualLan	Especifica se a VLAN (LAN virtual) usada pelo dispositivo muda com base nas credenciais do usuário, tendo `false` como padrão.

Definições de configuração do método de autenticação

Caution

Se um servidor de acesso à rede estiver configurado para permitir o mesmo tipo de método de autenticação para um método EAP com túnel (como o PEAP) e um método EAP sem túnel (como o EAP-MSCHAP v2), há uma possível vulnerabilidade de segurança. Ao implantar um método EAP encapsulado e o EAP (que não é protegido), não use o mesmo tipo de autenticação. Por exemplo, se você implantar o PEAP-TLS, também não implante EAP-TLS porque, se você precisar da proteção do túnel, ele não terá nenhuma finalidade de permitir que o método seja executado fora do túnel também.

A tabela a seguir explica as definições configuráveis para cada método de autenticação.

O EAP-TLS configurações no mapa da interface do usuário para EapTlsConnectionPropertiesV1, que é estendido por EapTlsConnectionPropertiesV2 e EapTlsConnectionPropertiesV3.

Setting	elemento XML	Description
Usar meu cartão inteligente	CredentialsSource>Cartão Inteligente	Especifica que os clientes, ao fazerem solicitações de autenticação, deverão apresentar um certificado de cartão inteligente para autenticação na rede.
Usar um certificado neste computador	CredentialsSource>CertificateStore	Especifica que os clientes de autenticação devem usar um certificado localizado no repositório de certificados Usuário Atual ou Computador Local .
Usar seleção de certificado simples (recomendado)	SimpleCertSelection	Especifica se o Windows selecionará automaticamente um certificado para autenticação sem a interação do usuário (se possível) ou se o Windows mostrará um menu suspenso para o usuário selecionar um certificado.
Advanced		Abra a caixa de diálogo Configurar Seleção de Certificado.
Opções de validação do servidor
Usar um nome de usuário diferente para a conexão	DifferentUsername	Especifica se deve ser utilizado um nome de usuário para autenticação diferente daquele incluído no certificado.

O seguinte lista as definições de configuração para Configurar a seleção de certificado. Essas configurações definem os critérios de um cliente a fim de selecionar o certificado apropriado para autenticação. Essa interface do usuário é mapeada para TLSExtensions>FilteringInfo.

Setting	elemento XML	Description
Emissor de Certificado	CAHashList`Enabled="true"`	Especifica se a filtragem por Emissor do Certificado está habilitada. Se o Emissor do Certificado e o EKU (Uso Estendido de Chave) estiverem habilitados, somente os certificados que atendem às duas condições serão considerados válidos para autenticar o cliente no servidor.
Autoridades de certificação raiz	IssuerHash	Lista os nomes de todos os emissores para os quais há certificados de autoridade de certificação presentes no repositório de certificados Autoridades de Certificação Raiz Confiáveis ou Autoridades de Certificação Intermediárias da conta do computador local. Isso inclui: Todas as autoridades de certificação raiz e intermediárias. Contém somente os emissores para os quais há certificados válidos correspondentes presentes no computador (por exemplo, certificados que não estejam expirados nem revogados). A lista final de certificados permitidos para autenticação contém apenas aqueles que foram emitidos por um dos emissores selecionados nesta lista. Em XML, essa é a impressão digital SHA-1 (hash) do certificado.
Uso Estendido de Chave (EKU)		Permite que você selecione All Purpose, Client Authentication, AnyPurpose ou qualquer combinação delas. Especifica que, quando uma combinação é selecionada, todos os certificados que satisfazem a pelo menos uma das três condições são considerados válidos para fins de autenticação do cliente no servidor. Se a filtragem de EKU estiver ativada, uma das opções deverá ser selecionada; caso contrário, a caixa de seleção EKU (Extended Key Usage) ficará desmarcada.
Todas as Finalidades	AllPurposeEnabled	Quando selecionado, este item especifica que os certificados com a EKU de Todas as Finalidades são considerados certificados válidos para autenticar o cliente no servidor. O OID (Identificador de Objeto) para Todas as Finalidades está ou está `0` vazio.
Autenticação do cliente	ClientAuthEKUList`Enabled="true"` (> EKUMapInList > EKUName)	Especifica que os certificados que têm a EKU de Autenticação de Cliente e a lista especificada de EKUs são considerados certificados válidos para autenticar o cliente no servidor. O OID (Identificador de Objeto) para Autenticação de Cliente é `1.3.6.1.5.5.7.3.2`.
AnyPurpose	AnyPurposeEKUList`Enabled="true"` (> EKUMapInList > EKUName)	Especifica que todos os certificados com eKU AnyPurpose e a lista especificada de EKUs são considerados certificados válidos para autenticar o cliente no servidor. O OID (Identificador de Objeto) para AnyPurpose é `1.3.6.1.4.1.311.10.12.1`.
Add	EKUMapping > EKUMap > EKUName/EKUOID	Abre a caixa de diálogo Selecionar EKUs , que permite adicionar EKUs padrão, personalizadas ou específicas do fornecedor à lista Autenticação de Cliente ou AnyPurpose . Selecionar Adicionar ou Editar dentro da caixa de diálogo Selecionar EKUs abre a caixa de diálogo Adicionar/Editar EKU , que fornece duas opções: 1. Inserir o nome do EKU – Fornece um local para digitar o nome do EKU personalizado. 2. Inserir a OID do EKU – Fornece um local para digitar a OID do EKU. Somente dígitos numéricos, separadores e `.` são permitidos. É permitido inserir curingas. Nesse caso, todos os OIDs filhos na hierarquia são permitidos. Por exemplo, inserir `1.3.6.1.4.1.311.*` permite `1.3.6.1.4.1.311.42` e `1.3.6.1.4.1.311.42.2.1`.
Edit		Permite editar EKUs personalizadas que você adicionou. As EKUs predefinidas padrão não podem ser editadas.
Remove		Remove o EKU selecionado da lista Autenticação de Cliente ou AnyPurpose .

As configurações do PEAP no mapa da interface do usuário para MsPeapConnectionPropertiesV1, que é estendida por MsPeapConnectionPropertiesV2.

Setting	elemento XML	Description
Opções de validação do servidor
Selecionar método de autenticação		Permite selecionar o tipo de EAP a ser usado com PEAP para autenticação de rede. Há dois tipos de EAP disponíveis por padrão: Senha segura (EAP-MSCHAP v2) e Cartão inteligente ou outro certificado (EAP-TLS).
Configure	EAP-MSCHAP v2: UseWinLogonCredentials EAP-TLS: consulte EAP-TLS guia, esquema	Esse item fornece acesso às configurações de propriedade do tipo de EAP especificado. Se Senha segura (EAP-MSCHAP v2) estiver selecionada, a caixa de seleção Usar automaticamente meu nome de logon e senha do Windows (e domínio, se houver), estará disponível, o que especifica que o nome de entrada e a senha atuais do Windows baseados no usuário são usados como credenciais de autenticação de rede. Se Cartão inteligente ou outro certificado (EAP-TLS) estiver selecionado, ele abrirá a caixa de diálogo Cartão Inteligente ou outras Propriedades do Certificado para configuração adicional desse tipo de EAP.
Ativar reconexão rápida	FastReconnect	Oferece a capacidade de criar uma associação de segurança nova ou atualizada com mais eficiência e um número menor de viagens de ida e volta quando uma associação de segurança foi estabelecida anteriormente. Para conexões VPN, a reconexão rápida usa a tecnologia IKEv2 para fornecer conectividade VPN perfeita e consistente quando os usuários perdem temporariamente suas conexões de Internet. Esse recurso é especialmente útil para usuários que se conectam via banda larga móvel sem fio, pois quando uma conexão com a Internet cai, a reconexão rápida restabelecerá automaticamente conexões VPN ativas de forma direta e transparente para os usuários.
Desconectar se o servidor não tiver TLV com cryptobinding	RequireCryptoBinding	Especifica que os clientes, ao se conectarem, deverão encerrar o processo de autenticação na rede se o servidor RADIUS não tiver TLV (Tipo-Tamanho-Valor) com ligação de criptografia. A associação criptográfica TLV é um recurso de segurança que aumenta a segurança do túnel TLS no PEAP. Ele faz isso combinando as autenticações de método interno e externo, o que dificulta para os invasores a realização de ataques man-in-the-middle redirecionando uma autenticação MS-CHAP v2 por meio do canal do PEAP.
Habilitar privacidade de identidade	IdentityPrivacy>EnableIdentityPrivacy/AnonymousUserName	Especifica se os clientes são configurados de modo que não possam enviar suas identidades antes de o cliente autenticar o servidor RADIUS e, como opção, fornece um local para digitar um valor de identidade anônima. Se você selecionar Habilitar privacidade de identidade e digitar `anonymous` como o valor de identidade anônima, a resposta de identidade para um usuário com a identidade `alice@example` será `anonymous@example`. Se você selecionar Habilitar privacidade de identidade, mas não fornecer um valor de identidade anônima, a resposta de identidade para o usuário `alice@example` será `@example`.

O EAP-TTLS configurações no mapa da interface do usuário para EapTtlsConnectionPropertiesV1.

Setting	elemento XML	Description
Habilitar privacidade de identidade	Phase1Identity> IdentityPrivacy> AnonymousIdentity	Especifica se os clientes são configurados de modo que não possam enviar suas identidades antes de o cliente autenticar o servidor RADIUS e, como opção, fornece um local para digitar um valor de identidade anônima. Se você selecionar Habilitar privacidade de identidade e digitar `anonymous` como o valor de identidade anônima, a resposta de identidade para um usuário com a identidade `alice@example` será `anonymous@example`. Se você selecionar Habilitar privacidade de identidade, mas não fornecer um valor de identidade anônima, a resposta de identidade para o usuário `alice@example` será `@example`.
Opções de validação do servidor
Selecionar um método não EAP para autenticação	Phase2Authentication> Qualquer uma das seguintes opções: PAPAuthentication CHAPAuthentication MSCHAPAuthentication MSCHAPv2Authentication	Especifica se um tipo não EAP ou EAP é usado para autenticação. Se a opção Selecionar um método não EAP para autenticação for selecionada, então Selecionar um método EAP para autenticação será desabilitada. Estas são as opções de autenticação disponíveis: 1. Senha não criptografada (PAP) 2. Protocolo CHAP 3. MS-CHAP (Microsoft CHAP) 4. Microsoft CHAP Versão 2 (MS-CHAP v2).
Usar automaticamente o meu nome e a minha senha de logon do Windows	UseWinlogonCredentials	Se habilitado, este item usará as credenciais de entrada do Windows e só estará disponível se MS-CHAP v2 estiver selecionado na lista suspensa Selecionar um método não EAP para autenticação . Usar automaticamente o meu nome e a minha senha de logon do Windows é desabilitada para os tipos de autenticação PAP, CHAP e MS-CHAP.
Selecionar um método EAP para autenticação	Phase2Authentication> EapHostConfig	Especifica se um tipo EAP ou não EAP é usado para autenticação. Se a opção Selecionar um método EAP para autenticação for selecionada, então Selecionar um método não EAP para autenticação será desabilitada. Estas são as opções de autenticação disponíveis: 1. Microsoft: Cartão Inteligente ou outro certificado (EAP-TLS) 2. Microsoft: senha segura (EAP-MSCHAP v2) A lista suspensa enumera todos os métodos EAP instalados no servidor, exceto os métodos de túnel PEAP e FAST . Os tipos EAP são listados na ordem em que são descobertos pelo computador.
Configure		Abre a caixa de diálogo de propriedades do tipo EAP especificado.

As configurações teap no mapa da interface do usuário para EapTeapConnectionPropertiesV1. O TEAP está disponível a partir do Windows 10, versão 2004 (compilação 19041) e no Windows Server 2022.

Setting	elemento XML	Description
Privacidade de identidade	Phase1Identity > IdentityPrivacy > AnonymousIdentity	Especifica se os clientes são configurados de modo que não possam enviar suas identidades antes de o cliente autenticar o servidor RADIUS e, como opção, fornece um local para digitar um valor de identidade anônima. Se você selecionar Habilitar privacidade de identidade e digitar `anonymous` como o valor de identidade anônima, a resposta de identidade para um usuário com a identidade `alice@example` será `anonymous@example`. Se você selecionar Habilitar privacidade de identidade, mas não fornecer um valor de identidade anônima, a resposta de identidade para o usuário `alice@example` será `@example`.
Opções de validação do servidor
Selecionar um método EAP {principal/secundário} para a autenticação	Phase2Authentication (> InnerMethodConfig > EapHostConfig)	Permite que o usuário escolha um método de autenticação principal/secundário entre Microsoft: cartão inteligente ou outro certificado (EAP-TLS) e Microsoft: senha segura (EAP-MSCHAP v2). Ele tem permissão para ter qualquer combinação de métodos internos. Por exemplo, o método interno pode ser EAP-TLS com credenciais de computador, seguido por EAP-TLS com credenciais de usuário.
Configure		Se Microsoft: cartão inteligente ou outro certificado (EAP-TLS) estiver selecionado, ele abrirá a caixa de diálogo Cartão Inteligente ou outras Propriedades do Certificado. Se Microsoft: senha segura (EAP-MSCHAP v2) estiver selecionada, a caixa de seleção Usar automaticamente meu nome de logon e senha do Windows (e domínio, se houver) estará disponível, o que especifica que o nome de entrada e a senha atuais do Windows baseados no usuário são usados como credenciais de autenticação de rede.

Validação do certificado do servidor

Muitos métodos de EAP incluem uma opção para o cliente validar o certificado do servidor. Se o certificado do servidor não for validado, o cliente não poderá ter certeza de que está se comunicando com o servidor correto. Isso expõe o cliente a riscos de segurança, incluindo a possibilidade de se conectar inadvertidamente a uma rede não autorizada.

Note

O Windows requer que o certificado do servidor tenha a EKU de Autenticação do Servidor . O OID (identificador de objeto) deste EKU é 1.3.6.1.5.5.7.3.1.

A tabela a seguir lista as opções de validação do servidor aplicáveis a cada método de EAP. O Windows 11 atualizou a lógica de validação do servidor para ser mais consistente. Para saber mais, confira o comportamento de validação de certificado do servidor atualizado no Windows 11. Em caso de conflito, as descrições na tabela a seguir descrevem o comportamento no Windows 10 e nas versões anteriores.

Setting	elemento XML	Description
Verificar a identidade do servidor validando o certificado	EAP-TLS: PerformServerValidation PEAP: PerformServerValidation	Este item especifica que o cliente verifica se os certificados de servidor apresentados ao computador cliente têm: As assinaturas corretas As assinaturas não expiraram Foram emitidos por uma AC (autoridade de certificação raiz) confiável Desabilitar esta caixa de seleção faz com que os computadores cliente não consigam verificar a identidade dos servidores durante o processo de autenticação. Se a autenticação do servidor não ocorrer, os usuários ficarão expostos a graves riscos de segurança, incluindo a possibilidade de poderem se conectar desavisadamente a uma rede não autorizada.
Conectar-se a estes servidores	EAP-TLS: ServerValidation>ServerNames PEAP: ServerValidation>ServerNames EAP-TTLS: ServerValidation> ServerNames TEAP: ServerValidation> ServerNames	Permite especificar o nome dos servidores do protocolo RADIUS que fornecem autenticação e autorização na rede. Você deve digitar o nome exatamente como ele aparece no campo de assunto de cada certificado do servidor RADIUS ou usar expressões regulares (regex) para especificar o nome do servidor. A sintaxe completa da expressão regular pode ser usada para especificar o nome do servidor, mas a fim de diferenciar uma expressão regular da cadeia de caracteres literal, é necessário usar pelo menos um `` na cadeia de caracteres especificada. Por exemplo, é possível especificar `nps.\.example\.com` para determinar o servidor RADIUS `nps1.example.com` ou `nps2.example.com`. Também é possível incluir um `;` para separar vários servidores. Se nenhum servidor RADIUS for especificado, o cliente só verificará se o certificado do servidor RADIUS foi emitido por uma AC raiz confiável.
Autoridades de certificação raiz confiáveis	EAP-TLS: ServerValidation>TrustedRootCA PEAP: ServerValidation>TrustedRootCA EAP-TTLS: ServerValidation> TrustedRootCAHashes TEAP: ServerValidation> TrustedRootCAHashes	Lista as autoridades de certificação raiz confiáveis. A lista é criada com base nas autoridades de certificação raiz confiáveis instaladas nos repositórios de certificados do computador e do usuário. Você pode especificar quais certificados de autoridade de certificação raiz confiáveis que os suplicantes usarão para determinar se confiam em seus servidores, como seu servidor que executa o NPS ou o servidor de provisionamento. Se nenhuma AC raiz confiável for selecionada, o cliente 802.1X verificará se o certificado do servidor RADIUS é emitido por uma AC raiz confiável instalada. Se uma ou várias CAs raiz confiáveis forem selecionadas, o cliente 802.1X verificará se o certificado de computador do servidor RADIUS foi emitido por uma CA raiz confiável selecionada. Se nenhuma AC raiz confiável for selecionada, o cliente verificará se o certificado do servidor RADIUS foi emitido por alguma AC raiz confiável. Se você tiver uma infraestrutura de chave pública (PKI) na sua rede e tiver usado uma autoridade de certificação para emitir certificados para os servidores RADIUS, seu certificado da autoridade de certificação será automaticamente adicionado à lista de autoridades de certificação raiz confiáveis. Você também pode adquirir um certificado de uma autoridade de certificação que não seja da Microsoft. Algumas das autoridades de certificação raiz confiáveis que não são da Microsoft fornecem softwares com os certificados comprados que instalam automaticamente o certificado no repositório de certificados Autoridades de Certificação Raiz Confiáveis. Nesse caso, a autoridade de certificação raiz confiável aparece automaticamente na lista de autoridades de certificação raiz confiáveis. Não especifique um certificado de AC raiz confiável que ainda não esteja listado nos repositórios de certificados das Autoridades de Certificação Raiz Confiáveis dos computadores clientes para Usuário atual e Computador local. Se você designar um certificado que não esteja instalado nos computadores clientes, a autenticação falhará. Em XML, esta é a impressão digital SHA-1 (hash) do certificado (ou SHA-256 para TEAP).

Prompt de validação do servidor para o usuário

A tabela a seguir descreve as opções de prompt de usuário de validação de servidor disponíveis para cada método EAP. Quando um certificado de servidor não é confiável, estas opções determinam se:

A conexão falha imediatamente.
O usuário é solicitado a aceitar ou rejeitar manualmente a conexão.

Setting	elemento XML
Não solicitar que o usuário autorize novos servidores ou autoridades de certificação confiáveis	ServerValidation>DisableUserPromptForServerValidation

Evita que um usuário seja solicitado para confiar em um certificado do servidor se esse certificado estiver configurado incorretamente, ainda não for confiável ou ambos (se habilitada). Para simplificar a experiência do usuário e evitar que ele confie erroneamente em um servidor implantado por um invasor, é recomendado marcar essa caixa de seleção.

Setting	elemento XML
Notificações antes da conexão	ServerValidation> 1. DisableUserPromptForServerValidation=`true` 2. DisableUserPromptForServerValidation=`false` 3. DisableUserPromptForServerValidation=`false`, PeapExtensionsV2>AllowPromptingWhenServerCANotFound

Especifica se o usuário é notificado quando o nome do servidor ou o certificado raiz não foi especificado ou não foi possível verificar a identidade do servidor. Aqui estão as opções disponíveis para escolher e o que cada uma especifica:

Não pedir ao usuário para autorizar novos servidores ou ACs confiáveis: - se o nome do servidor não estiver na lista Conectar-se a estes servidores ou o certificado raiz for encontrado, mas não estiver selecionado na lista de Autoridades de Certificação Raiz Confiáveis em Propriedades de PEAP, ou o certificado raiz não for encontrado no computador, o usuário não será notificado e as tentativas de conexão falharão.
Informar ao usuário se o nome do servidor ou o certificado raiz não foi especificado: se o nome do servidor não estiver na lista Conectar-se a estes servidores ou o certificado raiz for encontrado, mas não estiver selecionado na lista de Autoridades de Certificação Raiz Confiáveis em Propriedades de PEAP, será solicitado ao usuário se o certificado raiz deve ser aceito. Se o usuário aceitar o certificado, a autenticação continuará. Se o usuário rejeitar o certificado, a tentativa de conexão irá falhar. Com essa opção, se o certificado raiz não estiver presente no computador, o usuário não será notificado e as tentativas de conexão falharão.
Informar ao usuário se não for possível verificar a identidade do servidor - se o nome do servidor não estiver na lista Conectar-se a estes servidores o certificado raiz for encontrado, mas não estiver selecionado na lista de Autoridades de Certificação Raiz Confiáveis em Propriedades de PEAP, ou o certificado raiz não for encontrado no computador, será solicitado ao usuário se o certificado raiz deve ser aceito. Se o usuário aceitar o certificado, a autenticação continuará. Se o usuário rejeitar o certificado, a tentativa de conexão irá falhar.

Setting	elemento XML
Não perguntar ao usuário se não puder autorizar o servidor	ServerValidation> DisableUserPromptForServerValidation

Se essa opção não estiver selecionada e a validação do certificado do servidor falhar por qualquer um dos motivos a seguir, o usuário será solicitado a aceitar ou rejeitar o servidor:

Um certificado raiz para o certificado do servidor não foi encontrado ou não foi selecionado na lista de Autoridades de certificação raiz confiáveis.
Um ou mais certificados raiz intermediários na cadeia de certificados não foram encontrados.
O nome do assunto no certificado do servidor não corresponde a nenhum dos servidores especificados na lista Conectar-se a estes servidores.

Setting	elemento XML
Não perguntar ao usuário se não puder autorizar o servidor	ServerValidation>DisablePrompt

Se essa opção não estiver selecionada e a validação do certificado do servidor falhar por qualquer um dos motivos a seguir, o usuário será solicitado a aceitar ou rejeitar o servidor:

Um certificado raiz para o certificado do servidor não foi encontrado ou não foi selecionado na lista de Autoridades de certificação raiz confiáveis.
Um ou mais certificados raiz intermediários na cadeia de certificados não foram encontrados.
O nome do assunto no certificado do servidor não corresponde a nenhum dos servidores especificados na lista Conectar-se a estes servidores.

Definições de configuração de autenticação de celular

Abaixo estão listadas as configurações de EAP-SIM, EPA-AKA e EPA-AKA', respectivamente.

EAP-SIM é definido no RFC 4186. O SIM (Módulo de Identidade do Assinante) do EAP é usado para autenticação e distribuição de chave de sessão usando o SIM (Módulo de Identidade do Assinante) do GSM (Global System for Mobile Communications) de rede móvel de 2ª geração.

O EAP-SIM configurações no mapa da interface do usuário para EapSimConnectionPropertiesV1.

Item	elemento XML	Description
Usar chaves de criptografia fortes	UseStrongCipherKeys	Se selecionada, especifica que o perfil usa criptografia forte.
Não revelar a identidade real no servidor quando a identidade do pseudônimo estiver disponível	DontRevealPermanentID	Quando habilitada, força o cliente a falhar na autenticação quando as solicitações do servidor por identidade permanente no cliente têm uma identidade de pseudônimo. Identidades de pseudônimos são usadas para a privacidade da identidade, a fim de que a identidade real ou permanente de um usuário não seja revelada durante a autenticação.
	ProviderName	Disponível apenas em XML, uma cadeia de caracteres que indica o nome do provedor permitido para a autenticação.
Habilitar uso de realms	Reino=`true`	Fornece um local para digitação do nome do realm. Se este campo for deixado em branco com a opção Habilitar uso de realms selecionada, o realm será derivado da IMSI (International Mobile Subscriber Identity) usando o realm 3gpp.org, conforme descrito no padrão 23.003 V6.8.0 do 3GPP (3rd Generation Partnership Project).
Especificar um realm	Realm	Fornece um local para digitação do nome do realm. Se Habilitar o uso de realms estiver habilitado, essa cadeia de caracteres será usada. Se esse campo estiver vazio, o realm derivado será usado.

EAP-AKA é definido no RFC 4187. A Autenticação EAP e o AKA (Contrato de Chave) são usados para autenticação e distribuição de chave de sessão usando o mecanismo AKA. O AKA é usado no UMTS (Sistema Universal de Telecomunicações Móveis) das redes móveis de 3ª geração e no CDMA2000. O AKA é baseado em chaves simétricas e normalmente é executado em um SIM (Módulo de Identidade do Assinante).

As configurações de EAP-AKA no mapa da interface do usuário para EapAkaConnectionPropertiesV1.

Item	elemento XML	Description
Não revelar a identidade real no servidor quando a identidade do pseudônimo estiver disponível	DontRevealPermanentID	Quando habilitada, força o cliente a falhar na autenticação quando as solicitações do servidor por identidade permanente no cliente têm uma identidade de pseudônimo. Identidades de pseudônimos são usadas para a privacidade da identidade, a fim de que a identidade real ou permanente de um usuário não seja revelada durante a autenticação.
	ProviderName	Disponível apenas em XML, uma cadeia de caracteres que indica o nome do provedor permitido para a autenticação.
Habilitar uso de realms	Reino=`true`	Fornece um local para digitação do nome do realm. Se este campo for deixado em branco com a opção Habilitar uso de realms selecionada, o realm será derivado da IMSI (International Mobile Subscriber Identity) usando o realm 3gpp.org, conforme descrito no padrão 23.003 V6.8.0 do 3GPP (3rd Generation Partnership Project).
Especificar um realm	Realm	Fornece um local para digitação do nome do realm. Se Habilitar o uso de realms estiver habilitado, essa cadeia de caracteres será usada. Se esse campo estiver vazio, o realm derivado será usado.

EAP-AKA' é definido em RFC 5448 e RFC 9048. O AKA' (EAP-AKA' Prime) é uma versão modificada do EAP-AKA que adiciona uma nova função de derivação de chave para facilitar o acesso a redes baseadas em 3GPP (Projeto de parceria de 3ª geração) usando padrões diferentes de 3GPP, como o seguinte:

Wi-Fi
EVDO (Evolution-Data Optimized)
WiMax (Worldwide Interoperability for Microwave Access)

As configurações de EAP-AKA no mapa da interface do usuário para EapAkaPrimeConnectionPropertiesV1.

Item	elemento XML	Description
Não revelar a identidade real no servidor quando a identidade do pseudônimo estiver disponível	DontRevealPermanentID	Quando habilitada, força o cliente a falhar na autenticação quando as solicitações do servidor por identidade permanente no cliente têm uma identidade de pseudônimo. Identidades de pseudônimos são usadas para a privacidade da identidade, a fim de que a identidade real ou permanente de um usuário não seja revelada durante a autenticação.
	ProviderName	Disponível apenas em XML, uma cadeia de caracteres que indica o nome do provedor permitido para a autenticação.
Habilitar uso de realms	Reino=`true`	Fornece um local para digitação do nome do realm. Se este campo for deixado em branco com a opção Habilitar uso de realms selecionada, o realm será derivado da IMSI (International Mobile Subscriber Identity) usando o realm 3gpp.org, conforme descrito no padrão 23.003 V6.8.0 do 3GPP (3rd Generation Partnership Project).
Especificar um realm	Realm	Fornece um local para digitação do nome do realm. Se Habilitar o uso de realms estiver habilitado, essa cadeia de caracteres será usada. Se esse campo estiver vazio, o realm derivado será usado.
Ignorar incompatibilidade de nome de rede	IgnoreNetworkNameMismatch	O cliente compara o nome da rede conhecido com o nome enviado pelo servidor RADIUS durante a autenticação. Se houver incompatibilidade, ela será ignorada quando essa opção estiver selecionada. Se não estiver selecionada, haverá falha de autenticação.
Habilitar Reautenticação Rápida	EnableFastReauth	Especifica que a reautenticação rápida está habilitada. Esse recurso é útil quando a autenticação SIM é realizada com frequência. As chaves de criptografia derivadas da autenticação completa são reutilizadas. Como resultado, o algoritmo do SIM não precisa ser executado a cada tentativa de autenticação e o número de operações de rede resultantes de tentativas frequentes de autenticação é reduzido.

Modo WPA3-Enterprise de 192 bits

O modo WPA3-Enterprise de 192 bits é um modo especial para WPA3-Enterprise que impõe certos requisitos de alta segurança na conexão sem fio para fornecer um mínimo de 192 bits de segurança. Esses requisitos estão alinhados com o Conjunto de CNSA (Algoritmos de Segurança Nacional Comercial), CNSSP 15, que é um conjunto de algoritmos criptográficos aprovado para proteger informações confidenciais e ultrassecretas pela NSA (Agência de Segurança Nacional) dos Estados Unidos. Às vezes, o modo de 192 bits pode ser chamado de "modo Suite B", que é uma referência à especificação de criptografia Suite B da NSA, que foi substituída por CNSA em 2016.

Os modos WPA3-Enterprise e WPA3-Enterprise de 192 bits estão disponíveis a partir do Windows 10, versão 2004 (compilação 19041) e no Windows Server 2022. No entanto, o WPA3-Enterprise foi apontado como um algoritmo de autenticação separado no Windows 11. No XML, isso é especificado no elemento authEncryption .

A tabela a seguir lista os algoritmos exigidos pelo Conjunto de CNSA.

Algorithm	Description	Parameters
AES (criptografia AES)	Cifra de bloco simétrico usada para criptografia	Chave de 256 bits (AES-256)
Troca de chaves ECDH (curva elíptica Diffie-Hellman)	Algoritmo assimétrico usado para estabelecer um segredo compartilhado (chave)	Curva de módulo principal de 384 bits (P-384)
ECDSA (algoritmo de assinatura digital de curva elíptica)	Algoritmo assimétrico usado para assinaturas digitais	Curva de módulo principal de 384 bits (P-384)
Algoritmo de Hash de Assinatura (SHA)	Função hash criptográfica	SHA-384
Troca de chaves DH (Diffie-Hellman)	Algoritmo assimétrico usado para estabelecer um segredo compartilhado (chave)	Módulo de 3072 bits
Rivest-Shamir-Adleman (RSA)	Algoritmo assimétrico usado para assinaturas digitais ou estabelecimento de chave	Módulo de 3072 bits

Para atender aos requisitos de CNSA, o modo de 192 bits WPA3-Enterprise exige o uso de EAP-TLS com estes conjuntos de criptografia restritos:

TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
- ECDHE e ECDSA usando a curva de módulo principal de 384 bits P-384
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 / TLS_DHE_RSA_AES_256_GCM_SHA384
- ECDHE usando a curva de módulo principal de 384 bits P-384
- RSA >= módulo de 3072 bits

Note

A P-384 também é conhecida como secp384r1 ou nistp384. Não são permitidas outras curvas elípticas, como a P-521.

O SHA-384 está na família SHA-2 de funções de hash. Não são permitidos outros algoritmos e variantes, como SHA-512 ou SHA3-384.

O Windows dá suporte somente aos conjuntos de cifras TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 e TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 para o modo WPA3-Enterprise de 192 bits. O conjunto de cifras TLS_DHE_RSA_AES_256_GCM_SHA384 não é compatível.

O TLS 1.3 usa novos conjuntos de TLS simplificados, dos quais somente TLS_AES_256_GCM_SHA384 é compatível com o modo WPA3-Enterprise de 192 bits. Como o TLS 1.3 requer (EC)DHE e permite certificados ECDSA ou RSA, além dos hashes AES-256 AEAD e SHA384, TLS_AES_256_GCM_SHA384 é equivalente a TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 e TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384. No entanto, o RFC 8446 exige que aplicativos compatíveis com TLS 1.3 ofereçam suporte a P-256, o que é proibido pelo CNSA. Portanto, o modo WPA3-Enterprise de 192 bits não pode ser totalmente compatível com o TLS 1.3. No entanto, não há problemas de interoperabilidade conhecidos com o modo TLS 1.3 e WPA3-Enterprise de 192 bits.

Para configurar uma rede com o modo WPA3-Enterprise de 192 bits, o Windows requer que o EAP-TLS seja usado com um certificado que atenda aos requisitos descritos anteriormente.

Consulte também

Comentários

Esta página foi útil?

Last updated on 2025-08-16

Compartilhar via

Protocolo EAP para acesso à rede

Métodos de autenticação

Configurar propriedades de EAP

Perfis XML para EAP

Configurações de segurança

Configurações avançadas de segurança > IEEE 802.1X

Configurações avançadas de segurança > Logon único

Definições de configuração do método de autenticação

Validação do certificado do servidor

Prompt de validação do servidor para o usuário

Definições de configuração de autenticação de celular

Modo WPA3-Enterprise de 192 bits

Consulte também

Comentários

Recursos adicionais