Partilhar via

Implantação de acesso sem fio

Siga estas etapas para implantar o acesso sem fio:

Implantar e configurar APs sem fio

Siga estas etapas para implantar e configurar seus APs sem fio:

Note

Os procedimentos neste guia não incluem instruções para casos em que a caixa de diálogo Controle de Conta de Usuário é aberta para solicitar sua permissão para continuar. Se essa caixa de diálogo for aberta enquanto você estiver executando os procedimentos deste guia e se a caixa de diálogo tiver sido aberta em resposta às suas ações, clique em Continuar.

Especificar freqüências de canal AP sem fio

Ao implantar vários APs sem fio em um único local geográfico, você deve configurar os APs sem fio que têm sinais sobrepostos para usar frequências de canal exclusivas para reduzir a interferência entre APs sem fio.

Você pode usar as diretrizes a seguir para ajudá-lo a escolher frequências de canal que não entrem em conflito com outras redes sem fio na localização geográfica da sua rede sem fio.

  • Se existirem outras organizações que tenham escritórios próximos ou no mesmo edifício que a sua organização, identifique se existem redes sem fios pertencentes a essas organizações. Descubra o posicionamento e as frequências de canal atribuídas de seus APs sem fio, porque você precisa atribuir diferentes frequências de canal aos seus APs e você precisa determinar o melhor local para instalar seus APs.

  • Identifique sinais sem fio sobrepostos em andares adjacentes dentro de sua própria organização. Depois de identificar áreas de cobertura sobrepostas fora e dentro da sua organização, atribua frequências de canal para seus APs sem fio, garantindo que quaisquer dois APs sem fio com cobertura sobreposta recebam frequências de canal diferentes.

Configurar APs sem fio

Use as seguintes informações juntamente com a documentação do produto fornecida pelo fabricante do AP sem fio para configurar seus APs sem fio.

Este procedimento enumera itens normalmente configurados em um AP sem fio. Os nomes dos itens podem variar de acordo com a marca e o modelo e podem ser diferentes dos da lista a seguir. Para obter detalhes específicos, consulte a documentação do AP sem fio.

Para configurar seus APs sem fio

  • SSID. Especifique o nome da(s) rede(s) sem fio (por exemplo, ExampleWLAN). Este é o nome que é anunciado para clientes sem fio.

  • Encryption. Especifique WPA2-Enterprise (preferencial) ou WPA-Enterprise e escolha a cifra de criptografia AES (preferencial) ou TKIP, dependendo de quais versões são suportadas pelos adaptadores de rede dos seus computadores cliente sem fio.

  • Endereço IP AP sem fio (estático). Em cada AP, configure um endereço IP estático exclusivo que esteja dentro do intervalo de exclusão do escopo DHCP para a sub-rede. O uso de um endereço excluído da atribuição pelo DHCP impede que o servidor DHCP atribua o mesmo endereço IP a um computador ou outro dispositivo.

  • Máscara de sub-rede. Configure isso para corresponder às configurações de máscara de sub-rede da LAN à qual você conectou o AP sem fio.

  • Nome DNS. Alguns APs sem fio podem ser configurados com um nome DNS. O serviço DNS na rede pode resolver nomes DNS para um endereço IP. Em cada AP sem fio que suporte esse recurso, insira um nome exclusivo para resolução de DNS.

  • Serviço DHCP. Se o seu AP sem fios tiver um serviço DHCP incorporado, desative-o.

  • RADIUS segredo compartilhado. Use um segredo compartilhado RADIUS exclusivo para cada AP sem fio, a menos que você esteja planejando configurar APs como Clientes RADIUS no NPS por grupo. Se você planeja configurar APs por grupo no NPS, o segredo compartilhado deve ser o mesmo para todos os membros do grupo. Além disso, cada segredo compartilhado usado deve ser uma sequência aleatória de pelo menos 22 caracteres que mistura letras maiúsculas e minúsculas, números e pontuação. Para garantir a aleatoriedade, você pode usar um gerador de caracteres aleatórios, como o gerador de caracteres aleatórios encontrado no assistente Configurar 802.1X do NPS, para criar os segredos compartilhados.

Tip

Grave o segredo compartilhado para cada AP sem fio e armazene-o em um local seguro, como um cofre de escritório. Você deve saber o segredo compartilhado para cada AP sem fio ao configurar clientes RADIUS no NPS.

  • Endereço IP do servidor RADIUS. Digite o endereço IP do servidor que executa o NPS.

  • Porta(s) UDP. Por padrão, o NPS usa as portas UDP 1812 e 1645 para mensagens de autenticação e as portas UDP 1813 e 1646 para mensagens de contabilidade. É recomendável que você use essas mesmas portas UDP em seus APs, mas se você tiver um motivo válido para usar portas diferentes, certifique-se de não apenas configurar os APs com os novos números de porta, mas também reconfigurar todos os NPSs para usar os mesmos números de porta que os APs. Se os APs e os NPSs não estiverem configurados com as mesmas portas UDP, o NPS não poderá receber ou processar solicitações de conexão dos APs e todas as tentativas de conexão sem fio na rede falharão.

  • VSAs. Alguns APs sem fio exigem atributos específicos do fornecedor (VSAs) para fornecer funcionalidade completa de AP sem fio. Os VSAs são adicionados na política de rede do NPS.

  • Filtragem DHCP. Configure APs sem fio para impedir que clientes sem fio enviem pacotes IP da porta UDP 68 para a rede, conforme documentado pelo fabricante do AP sem fio.

  • Filtragem de DNS. Configure APs sem fio para impedir que clientes sem fio enviem pacotes IP da porta TCP ou UDP 53 para a rede, conforme documentado pelo fabricante do AP sem fio.

Criar grupos de segurança para usuários sem fio

Siga estes passos para criar um ou mais grupos de segurança de utilizadores sem fios e, em seguida, adicione utilizadores ao grupo de segurança de utilizadores sem fios adequado:

Criar um grupo de segurança de usuários sem fio

Pode utilizar este procedimento para criar um grupo de segurança sem fios no snap-in Utilizadores e Computadores do Directório Ativo da Consola de Gestão da Microsoft (MMC).

A associação a Administradores de Domínio, ou equivalente, é o mínimo necessário para executar este procedimento.

Para criar um grupo de segurança de usuários sem fio

  1. Clique em Iniciar, clique em Ferramentas Administrativas e, em seguida, clique em Utilizadores e Computadores do Ative Directory. O snap-in Utilizadores e Computadores do Active Directory é aberto. Se ainda não estiver selecionado, clique no nó do seu domínio. Por exemplo, se o seu domínio estiver example.com, clique em example.com.

  2. No painel de detalhes, clique com o botão direito do rato na pasta à qual pretende adicionar um novo grupo (por exemplo, clique com o botão direito do rato em Utilizadores), aponte para Novo e, em seguida, clique em Grupo.

  3. Em Novo Objeto – Grupo, em Nome do grupo, digite o nome do novo grupo. Por exemplo, digite Grupo sem fio.

  4. Em Escopo do grupo, selecione uma das seguintes opções:

    • Domínio local

    • Global

    • Universal

  5. Em Tipo de grupo, selecione Segurança.

  6. Clique em OK.

Se precisar de mais do que um grupo de segurança para utilizadores sem fios, repita estes passos para criar grupos de utilizadores sem fios adicionais. Mais tarde, você pode criar diretivas de rede individuais no NPS para aplicar condições e restrições diferentes a cada grupo, fornecendo-lhes permissões de acesso e regras de conectividade diferentes.

Adicionar usuários ao grupo de segurança Usuários sem fio

Pode utilizar este procedimento para adicionar um utilizador, computador ou grupo ao seu grupo de segurança sem fios no snap-in Utilizadores e Computadores do Active Directory da Consola de Gestão Microsoft (MMC).

A associação a Administradores de Domínio, ou equivalente, é o mínimo necessário para executar este procedimento.

Para adicionar usuários ao grupo de segurança sem fio

  1. Clique em Iniciar, clique em Ferramentas Administrativas e, em seguida, clique em Utilizadores e Computadores do Ative Directory. O MMC Usuários e Computadores do Ative Directory é aberto. Se ainda não estiver selecionado, clique no nó do seu domínio. Por exemplo, se o seu domínio estiver example.com, clique em example.com.

  2. No painel de detalhes, clique duas vezes na pasta que contém o grupo de segurança sem fio.

  3. No painel de detalhes, clique com o botão direito do rato no grupo de segurança sem fios e, em seguida, clique em Propriedades. A caixa de diálogo Propriedades do grupo de segurança é aberta.

  4. Na guia Membros , clique em Adicionar e conclua um dos procedimentos a seguir para adicionar um computador ou adicionar um usuário ou grupo.

Para adicionar um usuário ou grupo

  1. Em Introduza os nomes de objeto a selecionar, escreva o nome do utilizador ou grupo que pretende adicionar e, em seguida, clique em OK.

  2. Para atribuir a associação de grupo a outros usuários ou grupos, repita a etapa 1 deste procedimento.

Para adicionar um computador

  1. Clique em Tipos de objeto. A caixa de diálogo Tipos de objeto é aberta.

  2. Em Tipos de objeto, selecione Computadores e clique em OK.

  3. Em Introduza os nomes de objeto a selecionar, escreva o nome do computador que pretende adicionar e, em seguida, clique em OK.

  4. Para atribuir a associação de grupo a outros computadores, repita as etapas 1 a 3 deste procedimento.

Configurar políticas de rede sem fio (IEEE 802.11)

Siga estas etapas para configurar a extensão de Política de Grupo de Políticas de Rede Sem Fios (IEEE 802.11):

Abrir ou Adicionar e Abrir um Objeto de Política de Grupo

Por padrão, o recurso Gerenciamento de Diretiva de Grupo é instalado em computadores que executam o Windows Server 2016 quando a função de servidor Serviços de Domínio Ative Directory (AD DS) é instalada e o servidor é configurado como um controlador de domínio. O seguinte procedimento descreve como abrir o Console de Gerenciamento de Diretiva de Grupo (GPMC) no controlador de domínio. Em seguida, o procedimento descreve como abrir um objeto de Diretiva de Grupo (GPO) de nível de domínio existente para edição ou criar um novo GPO de domínio e abri-lo para edição.

A associação a Administradores de Domínio, ou equivalente, é o mínimo necessário para executar este procedimento.

Para abrir ou adicionar e abrir um objeto de Diretiva de Grupo

  1. No controlador de domínio, clique em Iniciar, em Ferramentas Administrativas do Windows e em Gerenciamento de Diretiva de Grupo. Abre-se a Consola de Gestão de Políticas de Grupo.

  2. No painel esquerdo, clique duas vezes na floresta. Por exemplo, clique duas vezes em Floresta: example.com.

  3. No painel esquerdo, clique duas vezes em Domínios e, em seguida, clique duas vezes no domínio para o qual você deseja gerenciar um objeto de Diretiva de Grupo. Por exemplo, clique duas vezes em example.com.

  4. Proceda de uma das seguintes formas:

    • Para abrir um GPO de nível de domínio existente para edição, clique duas vezes no domínio que contém o objeto de Diretiva de Grupo que você deseja gerenciar, clique com o botão direito do mouse na diretiva de domínio que deseja gerenciar, como a Diretiva de Domínio Padrão, e clique em Editar. O Editor de Gerenciamento de Diretiva de Grupo é aberto.

    • Para criar um novo objeto de Diretiva de Grupo e abri-lo para edição, clique com o botão direito do mouse no domínio para o qual você deseja criar um novo objeto de Diretiva de Grupo e, em seguida , clique em Criar um GPO neste domínio e Vincule-o aqui.

      Em Novo GPO, em Nome, digite um nome para o novo objeto de Diretiva de Grupo e clique em OK.

      Clique com o botão direito do rato no novo objeto de Política de Grupo e, em seguida, clique em Editar. O Editor de Gerenciamento de Diretiva de Grupo é aberto.

Na próxima seção, você usará o Editor de Gerenciamento de Diretiva de Grupo para criar uma diretiva sem fio.

Ativar políticas de rede sem fio padrão (IEEE 802.11)

Este procedimento descreve como ativar as diretivas de rede sem fio padrão (IEEE 802.11) usando o Editor de Gerenciamento de Diretiva de Grupo (GPME).

Note

Depois de ativar a versão Windows Vista e versões posteriores das políticas de rede sem fios (IEEE 802.11) ou a versão do Windows XP, a opção de versão é automaticamente removida da lista de opções quando clica com o botão direito do rato em Políticas de rede sem fios (IEEE 802.11). Isso ocorre porque depois de selecionar uma versão de política, a diretiva é adicionada no painel de detalhes do GPME quando você seleciona o nó Diretivas de rede sem fio (IEEE 802.11). Esse estado permanece a menos que você exclua a diretiva sem fio, momento em que a versão da diretiva sem fio retorna ao menu do botão direito do mouse para Diretivas de rede sem fio (IEEE 802.11) no GPME. Além disso, as políticas sem fio só são listadas no painel de detalhes do GPME quando o nó Diretivas de rede sem fio (IEEE 802.11) é selecionado.

A associação a Administradores de Domínio, ou equivalente, é o mínimo necessário para executar este procedimento.

Para ativar as políticas padrão de rede sem fio (IEEE 802.11)

  1. Siga o procedimento anterior, para abrir ou adicionar e abrir um objeto de diretiva de grupo para aceder ao GPME.

  2. No GPME, no painel esquerdo, clique duas vezes em Configuração do Computador, clique duas vezes em Diretivas, clique duas vezes em Configurações do Windows e clique duas vezes em Configurações de Segurança.

Política de Grupo sem fios 802.1X

  1. Em Configurações de Segurança, clique com o botão direito do mouse em Diretivas de Rede Sem Fio (IEEE 802.11) e clique em Criar uma nova Política Sem Fio para Windows Vista e Versões Posteriores.

Política sem fio 802.1X

  1. A caixa de diálogo Propriedades da Nova Diretiva de Rede Sem Fio é aberta. Em Nome da política, digite um novo nome para a política ou mantenha o nome padrão. Clique em OK para salvar a política. A política padrão é ativada e listada no painel de detalhes do GPME com o novo nome fornecido ou com o nome padrão Nova Diretiva de Rede Sem Fio.

Novas propriedades da política de rede sem fio

  1. No painel de detalhes, clique duas vezes em Nova Diretiva de Rede Sem Fio para abri-la.

Na próxima seção, você pode executar a configuração de política, a ordem de preferência de processamento de política e as permissões de rede.

Configurar a nova política de rede sem fio

Você pode usar os procedimentos nesta seção para configurar a Diretiva de Rede Sem Fio (IEEE 802.11). Esta política permite-lhe definir definições de segurança e autenticação, gerir perfis sem fios e especificar permissões para redes sem fios que não estão configuradas como redes preferenciais.

Configurar um perfil de conexão sem fio para PEAP-MS-CHAP v2

Este procedimento fornece as etapas necessárias para configurar um perfil sem fio PEAP-MS-CHAP v2.

A associação a Administradores do Domínio , ou equivalente, é o mínimo necessário para concluir este procedimento.

Para configurar um perfil de conexão sem fio para PEAP-MS-CHAP v2

  1. No GPME, na caixa de diálogo de propriedades da rede sem fio da política que você acabou de criar, na guia Geral e em Descrição, digite uma breve descrição para a política.

  2. Para especificar que a Configuração Automática de WLAN é usada para definir as configurações do adaptador de rede sem fio, verifique se a opção Usar o serviço de Configuração Automática de WLAN do Windows para clientes está selecionada.

  3. Em Conectar a redes disponíveis na ordem dos perfis listados abaixo, clique em Adicionar e selecione Infraestrutura. A caixa de diálogo Propriedades do novo perfil é aberta.

  4. Na caixa de diálogoPropriedades de Novo Perfil , na guia Conexão , no campo Nome do Perfil , digite um novo nome para o perfil. Por exemplo, digite Example.com Perfil WLAN para Windows 10.

  5. Em Nome(s) de Rede (SSID), digite o SSID que corresponde ao SSID configurado em seus APs sem fio e clique em Adicionar.

    Se sua implantação usa vários SSIDs e cada AP sem fio usa as mesmas configurações de segurança sem fio, repita esta etapa para adicionar o SSID para cada AP sem fio ao qual você deseja que esse perfil se aplique.

    Se sua implantação usa vários SSIDs e as configurações de segurança para cada SSID não coincidem, configure um perfil separado para cada grupo de SSIDs que usam as mesmas configurações de segurança. Por exemplo, se você tiver um grupo de APs sem fio configurado para usar WPA2-Enterprise e AES e outro grupo de APs sem fio para usar WPA-Enterprise e TKIP, configure um perfil para cada grupo de APs sem fio.

  6. Se o texto padrão NEWSSID estiver presente, selecione-o e clique em Remover.

  7. Se implementou pontos de acesso sem fio configurados para suprimir o sinal de beacon, selecione Conectar mesmo que a rede não esteja transmitindo.

    Note

    Ativar essa opção pode criar um risco de segurança porque os clientes sem fio investigarão e tentarão conexões com qualquer rede sem fio. Por padrão, essa configuração não está habilitada.

  8. Clique no separador Segurança , clique em Avançadas e, em seguida, configure o seguinte:

    1. Para definir as configurações avançadas do 802.1X, no IEEE 802.1X, selecione Impor configurações avançadas do 802.1X.

      Quando as configurações avançadas do 802.1X são impostas, os valores padrão para Max Eapol-Start Msgs, Held Period, Start Period e Auth Period são suficientes para implantações sem fio típicas. Por causa disso, você não precisa alterar os padrões, a menos que tenha um motivo específico para fazê-lo.

    2. Para habilitar o Logon Único, selecione Habilitar Logon Único para esta rede.

    3. Os valores padrão restantes no Logon Único são suficientes para implantações sem fio típicas.

    4. Em Roaming Rápido, se o seu AP sem fio estiver configurado para pré-autenticação, selecione Esta rede usa pré-autenticação.

  9. Para especificar que as comunicações sem fio atendem aos padrões FIPS 140-2, selecione Executar criptografia no modo certificado FIPS 140-2.

  10. Clique em OK para retornar à guia Segurança . Em Selecione os métodos de segurança para esta rede, em Autenticação, selecione WPA2-Enterprise se for suportado pelo seu AP sem fio e adaptadores de rede cliente sem fio. Caso contrário, selecione WPA-Enterprise.

  11. Em Encriptação, se suportado pelo seu AP sem fios e adaptadores de rede cliente sem fios, selecione AES-CCMP. Se estiver a utilizar pontos de acesso e adaptadores de rede sem fios que suportem 802.11ac, selecione AES-GCMP. Caso contrário, selecione TKIP.

    Note

    As configurações de Autenticação e Criptografia devem corresponder às configurações definidas em seus APs sem fio. As configurações padrão para o Modo de Autenticação, Falhas de Autenticação Máxima e Informações do usuário de Cache para conexões subsequentes a essa rede são suficientes para implantações sem fio típicas.

  12. Em Selecione um método de autenticação de rede, selecione EAP protegido (PEAP) e clique em Propriedades. A caixa de diálogo Propriedades EAP protegidas é aberta.

  13. Em Propriedades EAP Protegidas, confirme se a opção Verificar a identidade do servidor validando o certificado está selecionada.

  14. Em Autoridades de Certificação Raiz Confiáveis, selecione a autoridade de certificação (CA) raiz confiável que emitiu o certificado do servidor para seu NPS.

    Note

    Esta configuração limita as autoridades de certificação raiz confiáveis pelos clientes às autoridades selecionadas. Se nenhuma CA raiz confiável for selecionada, os clientes confiarão em todas as CAs raiz listadas no seu repositório de Autoridades de Certificação Raiz Confiáveis.

  15. Na lista Selecionar Método de Autenticação, selecione Senha segura (EAP-MS-CHAP v2).

  16. Clique em Configurar. Na caixa de diálogo Propriedades EAP MSCHAPv2, verifique se a opção Usar automaticamente meu nome de logon e senha do Windows (e domínio, se houver) está selecionada e clique em OK.

  17. Para habilitar a Reconexão Rápida PEAP, verifique se a opção Habilitar Reconexão Rápida está selecionada.

  18. Para exigir TLV de criptovinculação de servidor em tentativas de conexão, selecione Desconectar se o servidor não apresentar TLV de vinculação de criptografia.

  19. Para especificar que a identidade do usuário é mascarada na primeira fase da autenticação, selecione Habilitar Privacidade de Identidade e, na caixa de texto, digite um nome de identidade anônimo ou deixe a caixa de texto em branco.

    [!NOTES]

    • A diretiva NPS para 802.1X Wireless deve ser criada usando a Diretiva de Solicitação de Conexão NPS. Se a diretiva NPS for criada usando a Diretiva de Rede NPS, a privacidade da identidade não funcionará.
    • A privacidade da identidade EAP é fornecida por determinados métodos EAP em que uma identidade vazia ou anónima (diferente da identidade real) é enviada em resposta ao pedido de identidade EAP. O PEAP envia a identidade duas vezes durante a autenticação. Na primeira fase, a identidade é enviada em texto sem formatação e essa identidade é usada para fins de roteamento, não para autenticação de cliente. A identidade real — usada para autenticação — é enviada durante a segunda fase da autenticação, dentro do túnel seguro estabelecido na primeira fase. Se a caixa de seleção Ativar Privacidade de Identidade estiver marcada, o nome de usuário será substituído pela entrada especificada na caixa de texto. Por exemplo, suponha que a opção Ativar Privacidade de Identidade esteja selecionada e o alias anônimo da privacidade de identidade seja especificado na caixa de texto. Para um usuário com um alias jdoe@example.comde identidade real, a identidade enviada na primeira fase da autenticação será alterada para anonymous@example.com. A parte do território da identidade da 1ª fase não é modificada, pois é usada para fins de roteamento.

  20. Clique em OK para fechar a caixa de diálogo Propriedades EAP Protegidas .

  21. Clique em OK para fechar a guia Segurança .

  22. Se quiser criar perfis adicionais, clique em Adicionar e repita as etapas anteriores, fazendo escolhas diferentes para personalizar cada perfil para os clientes sem fio e a rede à qual deseja aplicar o perfil. Quando terminar de adicionar perfis, clique em OK para fechar a caixa de diálogo Propriedades da diretiva de rede sem fio.

Na próxima seção, você pode solicitar os perfis de política para uma segurança ideal.

Definir a ordem de preferência para perfis de conexão sem fio

Pode utilizar este procedimento se tiver criado vários perfis sem fios na sua política de rede sem fios e pretender encomendar os perfis para uma eficácia e segurança ideais.

Para garantir que os clientes sem fio se conectem com o mais alto nível de segurança que podem suportar, coloque suas políticas mais restritivas no topo da lista.

Por exemplo, se você tiver dois perfis, um para clientes que suportam WPA2 e outro para clientes que suportam WPA, coloque o perfil WPA2 mais alto na lista. Isso garante que os clientes que suportam WPA2 usarão esse método para a conexão em vez do WPA menos seguro.

Este procedimento fornece as etapas para especificar a ordem na qual os perfis de conexão sem fio são usados para conectar clientes sem fio membros do domínio a redes sem fio.

A associação a Administradores do Domínio , ou equivalente, é o mínimo necessário para concluir este procedimento.

Para definir a ordem de preferência para perfis de conexão sem fio

  1. No GPME, na caixa de diálogo de propriedades da rede sem fio da política que você acabou de configurar, clique na guia Geral .

  2. Na guia Geral , em Conectar a redes disponíveis na ordem dos perfis listados abaixo, selecione o perfil que deseja mover na lista e clique no botão "seta para cima" ou "seta para baixo" para mover o perfil para o local desejado na lista.

  3. Repita a etapa 2 para cada perfil que você deseja mover na lista.

  4. Clique em OK para salvar todas as alterações.

Na seção a seguir, você pode definir permissões de rede para a diretiva sem fio.

Definir permissões de rede

Você pode definir as configurações na guia Permissões de rede para os membros do domínio aos quais as diretivas de rede sem fio (IEEE 802.11) se aplicam.

Só pode aplicar as seguintes definições a redes sem fios que não estejam configuradas no separador Geral da página Propriedades da Política de Rede sem Fios :

  • Permitir ou negar conexões a redes sem fio específicas especificadas por tipo de rede e SSID (Service set Identifier)

  • Permitir ou negar conexões a redes ad hoc

  • Permitir ou negar conexões com redes de infraestrutura

  • Permitir ou negar que os utilizadores visualizem tipos de rede (ad hoc ou infraestrutura) aos quais lhes é negado acesso

  • Permitir ou negar que os usuários criem um perfil que se aplique a todos os usuários

  • Os usuários só podem se conectar a redes permitidas usando perfis de Diretiva de Grupo

A associação a Administradores de Domínio, ou equivalente, é o mínimo necessário para concluir estes procedimentos.

Para permitir ou negar ligações a redes sem fios específicas

  1. No GPME, na caixa de diálogo Propriedades da rede sem fio, clique na guia Permissões de Rede .

  2. Na guia Permissões de Rede , clique em Adicionar. A caixa de diálogo Nova entrada de permissões é aberta.

  3. Na caixa de diálogo Nova Entrada de Permissão , no campo Nome da Rede (SSID), digite o SSID de rede da rede para a qual você deseja definir permissões.

  4. Em Tipo de Rede, selecione Infraestrutura ou Ad hoc.

    Note

    Se não tiver certeza se a rede de difusão é uma infraestrutura ou uma rede ad hoc, você pode configurar duas entradas de permissão de rede, uma para cada tipo de rede.

  5. Em Permissão, selecione Permitir ou Negar.

  6. Clique em OK para retornar à guia Permissões de Rede .

Para especificar permissões de rede adicionais (Opcional)

  1. Na guia Permissões de Rede , configure qualquer um ou todos os seguintes:

    • Para negar aos membros do domínio acesso a redes ad hoc, selecione Impedir conexões com redes ad-hoc.

    • Para negar aos membros do seu domínio o acesso a redes de infraestrutura, selecione Impedir conexões com redes de infraestrutura.

    • Para permitir que os membros do seu domínio visualizem tipos de rede (ad hoc ou infraestrutura) aos quais lhes é negado acesso, selecione Permitir que o utilizador visualize redes negadas.

    • Para permitir que os usuários criem perfis que se apliquem a todos os usuários, selecione Permitir que todos criem todos os perfis de usuário.

    • Para especificar que os usuários só podem se conectar a redes permitidas usando perfis de Diretiva de Grupo, selecione Usar somente perfis de Diretiva de Grupo para redes permitidas.

Configure o seu NPS

Siga estas etapas para configurar NPSs para executar a autenticação 802.1X para acesso sem fio:

Registrar NPS nos Serviços de Domínio Active Directory

Você pode usar este procedimento para registrar um servidor que executa o NPS (Servidor de Diretivas de Rede) nos Serviços de Domínio Ative Directory (AD DS) no domínio do qual o NPS é membro. Para que os NPS sejam autorizados a ler as propriedades de acesso remoto das contas de usuário durante o processo de autorização, cada NPS deve estar registado no AD DS. O registro de um NPS adiciona o servidor ao grupo de segurança Servidores RAS e IAS no AD DS.

Note

Você pode instalar o NPS em um controlador de domínio ou em um servidor dedicado. Execute o seguinte comando do Windows PowerShell para instalar o NPS, se ainda não tiver feito isso:

Install-WindowsFeature NPAS -IncludeManagementTools

A associação a Administradores do Domínio , ou equivalente, é o mínimo necessário para concluir este procedimento.

Para registrar um NPS em seu domínio padrão

  1. No NPS, no Gerenciador do Servidor, clique em Ferramentas e em Servidor de Diretivas de Rede. O snap-in NPS é aberto.

  2. Clique com o botão direito do mouse em NPS (Local) e clique em Registrar Servidor no Ative Directory. A caixa de diálogo Servidor de Políticas de Rede é aberta.

  3. No Servidor de Políticas de Rede, clique em OK e, em seguida, clique em OK novamente.

Configurar um AP sem fio como um cliente NPS RADIUS

Você pode usar este procedimento para configurar um AP, também conhecido como servidor de acesso à rede (NAS), como um cliente RADIUS (Remote Authentication Dial-In User Service) usando o snap-in NPS.

Important

Os computadores cliente, como computadores portáteis sem fio e outros computadores que executam sistemas operacionais cliente, não são clientes RADIUS. Os clientes RADIUS são servidores de acesso à rede, como pontos de acesso sem fio, comutadores compatíveis com 802.1X, servidores VPN (rede virtual privada) e servidores dial-up, porque usam o protocolo RADIUS para se comunicar com servidores RADIUS, como NPSs.

A associação a Administradores do Domínio , ou equivalente, é o mínimo necessário para concluir este procedimento.

Para adicionar um servidor de acesso à rede como um cliente RADIUS no NPS

  1. No NPS, no Gerenciador do Servidor, clique em Ferramentas e em Servidor de Diretivas de Rede. O snap-in NPS é aberto.

  2. No NPS snap-in, clique duas vezes em Clientes e Servidores RADIUS. Clique com o botão direito do rato em Clientes RADIUS e, em seguida, clique em Novo.

  3. Em Novo Cliente RADIUS, verifique se a caixa de seleção Ativar este cliente RADIUS está marcada.

  4. Em Novo Cliente RADIUS, em Nome amigável, digite um nome para exibição para o ponto de acesso sem fio.

    Por exemplo, se você quiser adicionar um ponto de acesso sem fio (AP) chamado AP-01, digite AP-01.

  5. Em Endereço (IP ou DNS), digite o endereço IP ou FQDN (nome de domínio totalmente qualificado) para o NAS.

    Se você inserir o FQDN, para verificar se o nome está correto e mapeia para um endereço IP válido, clique em Verificar e, em Verificar Endereço, no campo Endereço , clique em Resolver. Se o nome FQDN for mapeado para um endereço IP válido, o endereço IP desse NAS aparecerá automaticamente no endereço IP. Se o FQDN não resolver para um endereço IP, você receberá uma mensagem indicando que esse host não é conhecido. Se isso ocorrer, verifique se você tem o nome de ponto de acesso correto e se o ponto de acesso está ligado e conectado à rede.

    Clique em OK para fechar Verificar Endereço.

  6. Em Novo Cliente RADIUS, em Segredo Compartilhado, siga um destes procedimentos:

    • Para configurar manualmente um segredo compartilhado RADIUS, selecione Manual e, em Segredo compartilhado, digite a senha forte que também é inserida no NAS. Digite novamente o segredo compartilhado em Confirmar segredo compartilhado.

    • Para gerar automaticamente um segredo compartilhado, marque a caixa de seleção Gerar e clique no botão Gerar . Salve o segredo compartilhado gerado e use esse valor para configurar o NAS para que ele possa se comunicar com o NPS.

      Important

      O segredo compartilhado RADIUS que você insere para seu AP virtual no NPS deve corresponder exatamente ao segredo compartilhado RADIUS configurado no seu AP sem fio real. Se você usar a opção NPS para gerar um segredo compartilhado RADIUS, deverá configurar o AP sem fio real correspondente com o segredo compartilhado RADIUS gerado pelo NPS.

  7. Em Novo Cliente RADIUS, na guia Avançado , em Nome do fornecedor, especifique o nome do fabricante do NAS. Se não tiver certeza do nome do fabricante do NAS, selecione padrão RADIUS.

  8. Em Opções Adicionais, se você estiver usando quaisquer métodos de autenticação diferentes de EAP e PEAP, e se seu NAS suportar o uso do atributo autenticador de mensagem, selecione As mensagens de solicitação de acesso devem conter o atributo Message-Authenticator.

  9. Clique em OK. Seu NAS aparece na lista de clientes RADIUS configurados no NPS.

Criar políticas NPS para 802.1X Wireless usando um assistente

Você pode usar este procedimento para criar as diretivas de solicitação de conexão e as diretivas de rede necessárias para implantar pontos de acesso sem fio compatíveis com 802.1X como clientes RADIUS (Remote Authentication Dial-In User Service) no servidor RADIUS que executa o NPS (Servidor de Diretivas de Rede). Depois de executar o assistente, as seguintes políticas são criadas:

  • Uma política de solicitação de conexão

  • Uma política de rede

Note

Você pode executar o assistente para as Novas Conexões Seguras Comutadas e Sem Fio IEEE 802.1X sempre que precisar criar novas políticas para acesso autenticado pelo 802.1X.

A associação a Administradores do Domínio , ou equivalente, é o mínimo necessário para concluir este procedimento.

Criar políticas para conexão sem fio autenticada 802.1X usando um assistente

  1. Abra o snap-in NPS. Se ainda não estiver selecionado, clique em NPS (Local). Se você estiver executando o snap-in MMC do NPS e quiser criar políticas em um NPS remoto, selecione o servidor.

  2. Em Introdução, em Configuração padrão, selecione Servidor RADIUS para conexões com ou sem fio 802.1X. O texto e os links abaixo do texto mudam para refletir sua seleção.

  3. Clique em Configurar 802.1X. Abre-se o assistente de configuração 802.1X.

  4. Na página do assistente Selecionar Tipo de Conexões 802.1X , em Tipo de conexões 802.1X, selecione Conexões sem fio seguras e, em Nome, digite um nome para sua política ou deixe o nome padrão Conexões sem fio seguras. Clique em Next.

  5. Na página do assistente Especificar Comutadores 802.1X , em Clientes RADIUS, todos os comutadores 802.1X e pontos de acesso sem fio que você adicionou como Clientes RADIUS no snap-in NPS são mostrados. Efetue qualquer uma das seguintes opções:

    • Para adicionar servidores de acesso à rede (NASs) adicionais, como APs sem fio, em clientes RADIUS, clique em Adicionar e, em Novo cliente RADIUS, insira as informações para: Nome amigável, Endereço (IP ou DNS) e Segredo compartilhado.

    • Para modificar as configurações de qualquer NAS, em clientes RADIUS, selecione o AP para o qual deseja modificar as configurações e clique em Editar. Modifique as configurações conforme necessário.

    • Para remover um NAS da lista, em Clientes RADIUS, selecione o NAS e clique em Remover.

      Warning

      A remoção de um cliente RADIUS do assistente Configurar 802.1X exclui o cliente da configuração do NPS. Todas as adições, modificações e exclusões que você faz no assistente Configurar 802.1X para clientes RADIUS são refletidas no snap-in NPS, no nó Clientes RADIUS em NPS / Clientes e Servidores RADIUS. Por exemplo, se você usar o assistente para remover um switch 802.1X, o switch também será removido do snap-in NPS.

  6. Clique em Next. Na página do assistente Configurar um Método de Autenticação , em Tipo (com base no método de acesso e configuração de rede), selecione Microsoft: EAP Protegido (PEAP) e clique em Configurar.

    Tip

    Se você receber uma mensagem de erro indicando que um certificado não pode ser encontrado para uso com o método de autenticação e tiver configurado os Serviços de Certificados do Ative Directory para emitir certificados automaticamente para servidores RAS e IAS em sua rede, primeiro verifique se seguiu as etapas para Registrar o NPS nos Serviços de Domínio Ative Directory e, em seguida, use as seguintes etapas para atualizar a Diretiva de Grupo: Clique em Iniciar, clique em Sistema Windows, clique em Executar e, em Abrir, escreva gpupdate e, em seguida, prima ENTER. Quando o comando retornar resultados indicando que a Diretiva de Grupo do usuário e do computador foi atualizada com êxito, selecione Microsoft: EAP Protegido (PEAP) novamente e clique em Configurar.

    Se, depois de atualizar a Diretiva de Grupo, você continuar a receber a mensagem de erro indicando que um certificado não pode ser encontrado para uso com o método de autenticação, o certificado não está sendo exibido porque não atende aos requisitos mínimos de certificado do servidor, conforme documentado no Guia complementar da rede principal: Implantar certificados de servidor para implantações com e sem fio 802.1X. Se isso acontecer, você deverá descontinuar a configuração do NPS, revogar o certificado emitido para o(s) seu(s) NPS(s) e seguir as instruções para configurar um novo certificado usando o guia de implantação de certificados de servidor.

  7. Na página do assistente Editar Propriedades EAP Protegidas, em Certificado emitido, verifique se está selecionado o certificado NPS correto e faça o seguinte:

    Note

    Verifique se o valor em Emissor está correto para o certificado selecionado em Certificado emitido. Por exemplo, o emissor esperado para um certificado emitido por uma autoridade de certificação que executa os Serviços de Certificados do Active Directory (AD CS) chamada corp\DC1, no domínio contoso.com, é corp-DC1-CA.

    • Para permitir que os usuários façam roaming com seus computadores sem fio entre pontos de acesso sem exigir que eles se autentiquem novamente cada vez que se associarem a um novo AP, selecione Ativar Reconexão Rápida.

    • Para especificar que a conexão de clientes sem fio encerrará o processo de autenticação da rede se o servidor RADIUS não apresentar o Tipo de Criptovinculação -Length-Value (TLV), selecione Desconectar Clientes sem Criptovinculação.

    • Para modificar as configurações de diretiva para o tipo EAP, em Tipos EAP, clique em Editar, em Propriedades EAP MSCHAPv2, modifique as configurações conforme necessário e clique em OK.

  8. Clique em OK. A caixa de diálogo Editar Propriedades EAP Protegidas é fechada, retornando ao assistente Configurar 802.1X . Clique em Next.

  9. Em Especificar Grupos de Utilizadores, clique em Adicionar e, em seguida, escreva o nome do grupo de segurança que configurou para os seus clientes sem fios no snap-in Utilizadores e Computadores do Ative Directory. Por exemplo, se você nomeou seu grupo de segurança sem fio Grupo sem fio, digite Grupo sem fio. Clique em Next.

  10. Clique em Configurar para configurar atributos padrão RADIUS e atributos específicos do fornecedor para LAN virtual (VLAN), conforme necessário e conforme especificado pela documentação fornecida pelo fornecedor de hardware de AP sem fio. Clique em Next.

  11. Revise os detalhes do resumo da configuração e clique em Concluir.

Suas políticas NPS agora foram criadas e você pode passar para a associação de computadores sem fio ao domínio.

Associar novos computadores sem fios ao domínio

O método mais fácil para unir novos computadores sem fio ao domínio é conectar fisicamente o computador a um segmento da LAN com fio (um segmento não controlado por um switch 802.1X) antes de ingressar o computador no domínio. Isso é mais fácil porque as configurações de diretiva de grupo sem fio são aplicadas automática e imediatamente e, se você tiver implantado sua própria PKI, o computador recebe o certificado da autoridade de certificação e o coloca no armazenamento de certificados das Autoridades de Certificação Raiz Confiáveis, permitindo que o cliente sem fio confie nos NPSs com certificados de servidor emitidos pela sua CA.

Da mesma forma, depois que um novo computador sem fio é associado ao domínio, o método preferido para os usuários fazerem logon no domínio é executar logon usando uma conexão com fio à rede.

Outros métodos de associação de domínio

Nos casos em que não é prático associar computadores ao domínio usando uma conexão Ethernet com fio, ou nos casos em que o usuário não pode fazer logon no domínio pela primeira vez usando uma conexão com fio, você deve usar um método alternativo.

  • Configuração do Computador da Equipe de TI. Um membro da equipe de TI junta um computador sem fio ao domínio e configura um perfil sem fio de inicialização de logon único. Com esse método, o administrador de TI conecta o computador sem fio à rede Ethernet com fio e une o computador ao domínio. Em seguida, o administrador distribui o computador para o usuário. Quando o usuário inicia o computador sem usar uma conexão com fio, as credenciais de domínio especificadas manualmente para o logon do usuário são usadas para estabelecer uma conexão com a rede sem fio e para fazer logon no domínio.

Para obter mais informações, consulte a seção Ingressar no domínio e fazer logon usando o Método de configuração do computador da equipe de TI

  • Configuração inicial de perfis sem fio pelos utilizadores. O usuário configura manualmente o computador sem fio com um perfil de inicialização sem fio e ingressa no domínio, com base em instruções adquiridas de um administrador de TI. O perfil de inicialização sem fio permite que o usuário estabeleça uma conexão sem fio e, em seguida, ingresse no domínio. Depois de associar o computador ao domínio e reiniciar o computador, o utilizador pode iniciar sessão no domínio utilizando uma ligação sem fios e as respetivas credenciais de conta de domínio.

Para obter mais informações, consulte a seção Ingressar no domínio e fazer logon utilizando a configuração de perfil sem fio Bootstrap por usuários.

Ingressar no domínio e iniciar sessão usando o Método de Configuração de Computador da Equipa de TI

Os usuários membros do domínio com computadores cliente sem fio associados ao domínio podem usar um perfil sem fio temporário para se conectar a uma rede sem fio autenticada 802.1X sem primeiro se conectar à LAN com fio. Esse perfil sem fio temporário é chamado de perfil sem fio de bootstrap.

Um perfil de inicialização sem fio requer que o usuário especifique manualmente suas credenciais de conta de usuário de domínio e não valida o certificado do servidor RADIUS (Remote Authentication Dial-In User Service) que executa o NPS (Servidor de Diretivas de Rede).

Depois que a conectividade sem fio é estabelecida, a Diretiva de Grupo é aplicada no computador cliente sem fio e um novo perfil sem fio é emitido automaticamente. A nova política usa as credenciais de computador e conta de usuário para autenticação de cliente.

Além disso, como parte da autenticação mútua PEAP-MS-CHAP v2 usando o novo perfil em vez do perfil de bootstrap, o cliente valida as credenciais do servidor RADIUS.

Depois de associar o computador ao domínio, utilize este procedimento para configurar um perfil de arranque de início de sessão único para redes sem fios, antes de distribuir o computador ao utilizador membro do domínio.

Para configurar um perfil sem fio de Single Sign-On bootstrap

  1. Crie um perfil de bootstrap usando o procedimento neste guia chamado Configurar um perfil de conexão sem fio para PEAP-MS-CHAP v2 e use as seguintes configurações:

    • Autenticação PEAP-MS-CHAP v2

    • Validar certificado do servidor RADIUS desativado

    • Logon único habilitado

  2. Nas propriedades da Diretiva de Rede sem Fio na qual você criou o novo perfil de bootstrap, na guia Geral , selecione o perfil de bootstrap e clique em Exportar para exportar o perfil para um compartilhamento de rede, unidade flash USB ou outro local facilmente acessível. O perfil é salvo como um arquivo *.xml no local que você especificar.

  3. Junte o novo computador sem fio ao domínio (por exemplo, por meio de uma conexão Ethernet que não requer autenticação IEEE 802.1X) e adicione o perfil de inicialização sem fio ao computador usando o comando netsh wlan add profile .

    Note

    Para obter mais informações, consulte Comandos Netsh para rede local sem fio (WLAN) em http://technet.microsoft.com/library/dd744890.aspx.

  4. Distribua o novo computador sem fio para o usuário com o procedimento para "Fazer logon no domínio usando computadores que executam o Windows 10".

Quando o usuário inicia o computador, o Windows solicita que o usuário insira seu nome de conta de usuário de domínio e senha. Como o Logon Único está habilitado, o computador usa as credenciais da conta de usuário do domínio para primeiro estabelecer uma conexão com a rede sem fio e, em seguida, fazer logon no domínio.

Faça logon no domínio usando computadores que executam o Windows 10

  1. Faça logoff do computador ou reinicie o computador.

  2. Pressione qualquer tecla no teclado ou clique na área de trabalho. A tela de logon aparece com um nome de conta de usuário local exibido e um campo de entrada de senha abaixo do nome. Não inicie sessão com a conta de utilizador local.

  3. No canto inferior esquerdo do ecrã, clique em Outro Utilizador. A tela de logon de Outro usuário aparece com dois campos, um para nome de usuário e outro para senha. Abaixo do campo de senha está o texto Entrar em: e, em seguida, o nome do domínio onde o computador está associado. Por exemplo, se o seu domínio tiver o nome example.com, o texto lê Iniciar sessão em: EXEMPLO.

  4. Em Nome de usuário, digite seu nome de usuário de domínio.

  5. Em Palavra-passe, escreva a palavra-passe do domínio e, em seguida, clique na seta ou prima ENTER.

Note

Se o ecrã Outro Utilizador não incluir o texto Iniciar sessão em: e o seu nome de domínio, deverá introduzir o seu nome de utilizador no formato domínio\utilizador. Por exemplo, para fazer logon no domínio example.com com uma conta chamada User-01, digite example\User-01.

Ingressar no domínio e fazer logon utilizando a configuração de perfil sem fio Bootstrap configurada pelos utilizadores.

Com esse método, você conclui as etapas na seção Etapas gerais e, em seguida, fornece aos usuários membros do domínio as instruções sobre como configurar manualmente um computador sem fio com um perfil sem fio de bootstrap. O perfil de inicialização sem fio permite que o usuário estabeleça uma conexão sem fio e, em seguida, ingresse no domínio. Depois que o computador é associado ao domínio e reiniciado, o usuário pode fazer logon no domínio através de uma conexão sem fio.

Passos gerais

  1. Configure uma conta de administrador do computador local, no Painel de Controle, para o usuário.

    Important

    Para associar um computador a um domínio, o utilizador tem de ter sessão iniciada no computador com a conta de Administrador local. Como alternativa, o usuário deve fornecer as credenciais para a conta de administrador local durante o processo de associação do computador ao domínio. Além disso, o usuário deve ter uma conta de usuário no domínio ao qual deseja ingressar no computador. Durante o processo de adesão do computador ao domínio, serão solicitadas ao utilizador as credenciais da conta de domínio (nome de utilizador e palavra-passe).

  2. Forneça aos usuários do domínio as instruções para configurar um perfil sem fio de bootstrap, conforme documentado no procedimento a seguir Para configurar um perfil sem fio de bootstrap.

  3. Além disso, forneça aos usuários as credenciais do computador local (nome de usuário e senha) e as credenciais de domínio (nome de conta de usuário e senha do domínio) no formato DomainName\UserName, bem como os procedimentos para "Ingressar o computador no domínio" e "Fazer logon no domínio", conforme documentado no Guia de Rede Principal do Windows Server 2016.

Para configurar um perfil sem fio de bootstrap

  1. Use as credenciais fornecidas pelo administrador de rede ou profissional de suporte de TI para fazer logon no computador com a conta de administrador do computador local.

  2. Clique com o botão direito do rato no ícone de rede no ambiente de trabalho e clique em Abrir Centro de Rede e Partilha. O Centro de Rede e Partilha é aberto. Em Alterar as definições de rede, clique em Configurar uma nova ligação ou rede. A caixa de diálogo Configurar uma Ligação ou Rede é aberta.

  3. Clique em Ligar manualmente a uma rede sem fios e, em seguida, clique em Seguinte.

  4. Em Conectar-se manualmente a uma rede sem fio, em Nome da rede, digite o nome SSID do AP.

  5. Em Tipo de segurança, selecione a configuração fornecida pelo administrador.

  6. Em Tipo de criptografia e Chave de segurança, selecione ou digite as configurações fornecidas pelo administrador.

  7. Selecione Iniciar esta conexão automaticamente e clique em Avançar.

  8. Em SSID de rede adicionado com êxito, clique em Alterar configurações de conexão.

  9. Clique em Alterar configurações de conexão. A caixa de diálogo da propriedade da rede sem fio SSID da sua rede é aberta.

  10. Clique na guia Segurança e, em Escolha um método de autenticação de rede, selecione EAP protegido (PEAP).

  11. Clique em Definições. A página Propriedades do EAP Protegido (PEAP) é aberta.

  12. Na página Propriedades do EAP Protegido (PEAP), verifique se a opção Validar certificado do servidor não está selecionada, clique em OK duas vezes e clique em Fechar.

  13. Em seguida, o Windows tenta se conectar à rede sem fio. As configurações do perfil de inicialização sem fio especificam que você deve fornecer suas credenciais de domínio. Quando o Windows solicitar um nome de conta e uma senha, digite as credenciais da conta de domínio da seguinte maneira: Nome de Domínio\Nome de Usuário, Senha de Domínio.

Para associar um computador ao domínio

  1. Faça logon no computador com a conta de administrador local.

  2. Na caixa de texto de pesquisa, digite PowerShell. Nos resultados da pesquisa, clique com o botão direito do rato em Windows PowerShell e, em seguida, clique em Executar como administrador. O Windows PowerShell é aberto com um prompt elevado.

  3. No Windows PowerShell, digite o seguinte comando e pressione ENTER. Certifique-se de substituir a variável DomainName pelo nome do domínio ao qual deseja ingressar.

    Add-Computer DomainName

  4. Quando solicitado, digite seu nome de usuário e senha de domínio e clique em OK.

  5. Reinicie o computador.

  6. Siga as instruções na seção anterior Faça logon no domínio usando computadores que executam o Windows 10.

  • Last updated on