EAP (Extensible Authentication Protocol) para acesso à rede

Aplica-se a: ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016, ✅ Windows 11, ✅ Windows 10

O Protocolo de Autenticação Extensível (EAP) é uma estrutura de autenticação que permite o uso de diferentes métodos de autenticação para tecnologias de acesso seguro à rede. Exemplos dessas tecnologias incluem acesso sem fio usando IEEE 802.1X, acesso com fio usando IEEE 802.1X e conexões PPP (Point-to-Point Protocol), como VPN (Virtual Private Networking). O EAP não é um método de autenticação específico como o MS-CHAP v2, mas sim uma estrutura que permite que os fornecedores de rede desenvolvam e instalem novos métodos de autenticação, conhecidos como métodos EAP no cliente de acesso e no servidor de autenticação. A estrutura EAP é originalmente definida pela RFC 3748 e estendida por várias outras RFCs e padrões.

Métodos de autenticação

Os métodos de autenticação EAP que são usados dentro de métodos EAP encapsulados são comumente conhecidos como métodos internos ou tipos EAP. Os métodos que são configurados como métodos internos têm as mesmas definições de configuração que teriam quando usados como um método externo. Este artigo contém informações de configuração específicas para os seguintes métodos de autenticação no EAP.

EAP-Transport Layer Security (EAP-TLS): Método EAP baseado em padrões que usa TLS com certificados para autenticação mútua. Aparece como cartão inteligente ou outro certificado (EAP-TLS) no Windows. EAP-TLS pode ser implantado como um método interno para outro método EAP ou como um método EAP autônomo.

Tip

Os métodos EAP que usam EAP-TLS, sendo baseados em certificados, geralmente oferecem o mais alto nível de segurança. Por exemplo, EAP-TLS é o único método EAP permitido para WPA3-Enterprise modo de 192 bits.

EAP-Microsoft Challenge Handshake Authentication Protocol versão 2 (EAP-MSCHAP v2): método EAP definido pela Microsoft que encapsula o protocolo de autenticação MSCHAP v2, que usa nome de usuário e senha, para autenticação. Aparece como Senha segura (EAP-MSCHAP v2) no Windows. EAP-MSCHAPv2 pode ser usado como um método independente para VPN, mas apenas como um método interno para conexões com fio/sem fio.

Warning

As conexões baseadas em MSCHAPv2 estão sujeitas a ataques semelhantes aos do NTLMv1. O Windows 11 Enterprise, versão 22H2 (compilação 22621) habilita o Windows Defender Credential Guard, o que pode causar problemas com conexões baseadas em MSCHAPv2.

EAP protegido (PEAP): método EAP definido pela Microsoft que encapsula EAP dentro de um túnel TLS. O túnel TLS protege o método EAP interno, que poderia estar desprotegido de outra forma. O Windows suporta EAP-TLS e EAP-MSCHAP v2 como métodos internos.

EAP-Tunneled Transport Layer Security (EAP-TTLS): Isso é descrito pela RFC 5281, encapsula uma sessão TLS que executa autenticação mútua usando outro mecanismo de autenticação interna. Esse método interno pode ser um protocolo EAP, como EAP-MSCHAP v2, ou um protocolo não-EAP, como o Protocolo de Autenticação de Senha (PAP). No Windows Server 2012, a inclusão de EAP-TTLS fornece suporte apenas no lado do cliente (no Windows 8). O NPS não suporta EAP-TTLS no momento. O suporte ao cliente permite a interoperação com servidores RADIUS comumente implantados que suportam EAP-TTLS.

EAP-Subscriber Identity Module (EAP-SIM), EAP-Authentication and Key Agreement (EAP-AKA) e EAP-AKA Prime (EAP-AKA'): Isso é descrito por várias RFCs, permite a autenticação usando cartões SIM e é implementado quando um cliente compra um plano de serviço de banda larga sem fio de uma operadora de rede móvel. Como parte do plano, o cliente geralmente recebe um perfil sem fio pré-configurado para autenticação do SIM.

Tunnel EAP (TEAP): Isso é descrito pelo RFC 7170, método EAP encapsulado que estabelece um túnel TLS seguro e executa outros métodos EAP dentro desse túnel. Suporta encadeamento EAP - autenticando a máquina e o usuário em uma sessão de autenticação. No Windows Server 2022, a inclusão do TEAP fornece suporte apenas para o lado do cliente - Windows 10, versão 2004 (compilação 19041). O NPS não suporta TEAP no momento. O suporte ao cliente permite a interoperação com servidores RADIUS comumente implantados que suportam TEAP. O Windows suporta EAP-TLS e EAP-MSCHAP v2 como métodos internos.

A tabela a seguir lista alguns métodos EAP comuns e seus números de tipo de método atribuído pela IANA.

Método EAP	Número de tipo atribuído pela IANA	Suporte nativo do Windows
MD5-Challenge (EAP-MD5)	4	❌
One-Time Senha (EAP-OTP)	5	❌
Cartão Token Genérico (EAP-GTC)	6	❌
EAP-TLS	13	✅
EAP-SIM	18	✅
EAP-TTLS	21	✅
EAP-AKA	23	✅
PEAP	25	✅
EAP-MSCHAP v2	26	✅
Senha de One-Time protegida (EAP-POTP)	32	❌
EAP-FAST	43	❌
Chave pré-partilhada (EAP-PSK)	47	❌
EAP-IKEv2	49	❌
EAP-AKA'	50	✅
EAP-EKE	53	❌
TEAP	55	✅
EAP-NOOB	56	❌

Configurando propriedades EAP

Você pode acessar as propriedades EAP para acesso com e sem fio autenticado 802.1X das seguintes maneiras:

Configurando as extensões de Diretivas de Rede com Fio (IEEE 802.3) e Diretivas de Rede Sem Fio (IEEE 802.11) na Diretiva de Grupo.
- Configuração do> ComputadorPolíticas>Configurações do> WindowsConfigurações de Segurança
Utilizar software de Gestão de Dispositivos Móveis (MDM), como o Intune (Wi-Fi/Wired)
- Wi-Fi CSP
- WiredNetwork CSP
Configuração manual de conexões com ou sem fio em computadores cliente.

Você pode acessar as propriedades EAP para conexões de rede virtual privada (VPN) das seguintes maneiras:

Usando o software de Gerenciamento de Dispositivos Móveis (MDM), como o Intune
- VPNv2 CSP
- Opções de perfil VPN
Configuração manual de conexões VPN em computadores cliente.
Usando o Kit de Administração do Gerenciador de Conexões (CMAK) para configurar conexões VPN.

Para obter mais informações sobre como configurar propriedades EAP, consulte Configurar perfis e configurações EAP no Windows.

Perfis XML para EAP

Os perfis usados para diferentes tipos de conexões são arquivos XML que contêm as opções de configuração para essa conexão. Cada tipo de conexão diferente segue um esquema específico:

No entanto, quando configurado para usar EAP, cada esquema de perfil tem um elemento filho EapHostConfig elemento.

Wired/Wireless: EapHostConfig é um elemento filho do elemento EAPConfig . Segurança MSM > (sem fios/)>OneX> EAPConfig
VPN: EapHostConfig é um elemento filho do NativeProfile > Authentication > Eap > Configuration

Essa sintaxe de configuração é definida na especificação Diretiva de Grupo: Extensão de Protocolo Sem Fio/Sem Fio .

Note

As várias GUIs de configuração nem sempre mostram todas as opções tecnicamente possíveis. Por exemplo, o Windows Server 2019 e versões anteriores não conseguem configurar o TEAP na interface do usuário. No entanto, muitas vezes é possível importar um perfil XML existente que tenha sido configurado anteriormente.

O restante do artigo destina-se a fornecer um mapeamento entre as partes específicas do EAP da interface do usuário da Diretiva de Grupo/Painel de Controle e as opções de configuração XML, além de fornecer uma descrição da configuração.

Mais informações sobre como configurar perfis XML podem ser encontradas em Perfis XML. Um exemplo de uso de um perfil XML contendo configurações EAP pode ser encontrado em Provisionar um perfil Wi-Fi por meio de um site.

Configurações de segurança

A tabela a seguir explica as configurações de segurança configuráveis para um perfil que usa 802.1X. Essas configurações são mapeadas para o OneX.

Setting	elemento XML	Description
Selecione um método de autenticação de rede:	EAPConfig	Permite selecionar o método EAP a ser usado para autenticação. Consulte Definições de configuração do método de autenticação e Definições de configuração da autenticação celular
Properties		Abre a caixa de diálogo de propriedades para o método EAP selecionado.
Modo de autenticação	authMode	Especifica o tipo de credenciais usadas para autenticação. Os seguintes valores são suportados: 1. Autenticação do utilizador ou do computador 2. Autenticação do computador 3. Autenticação do utilizador 4. Autenticação do convidado "Computador", neste contexto, significa "Máquina" em outras referências. `machineOrUser` é o padrão no Windows.
Falhas máximas de autenticação	maxAuthFailures	Especifica o número máximo de falhas de autenticação permitidas para um conjunto de credenciais, com padrão para `1`.
Armazenar em cache informações do usuário para conexões subsequentes a esta rede	cacheUserData	Especifica se as credenciais do usuário devem ser armazenadas em cache para conexões subsequentes com a mesma rede, padrão para `true`.

Configurações > avançadas de segurança IEEE 802.1X

Se a opção Impor configurações avançadas do 802.1X estiver marcada, todas as configurações a seguir serão configuradas. Se estiver desmarcada, aplicam-se as predefinições. Em XML, todos os elementos são opcionais, com os valores padrão usados se não estiverem presentes.

Setting	elemento XML	Description
Máximo de Mensagens Eapol-Start	maxStart	Especifica o número máximo de EAPOL-Start mensagens que podem ser enviadas ao autenticador (servidor RADIUS) antes que o suplicante (cliente Windows) assuma que não há autenticador presente, com padrão para `3`.
Período de início (segundos)	startPeriod	Especifica o período de tempo (em segundos) a aguardar antes que uma mensagem de EAPOL-Start seja enviada para iniciar o processo de autenticação 802.1X, com padrão para `5`.
Período retido (segundos)	heldPeriod	Especifica o período de tempo (em segundos) a aguardar após uma tentativa de autenticação com falha para tentar novamente a autenticação, com padrão para `1`.
Período de autenticação (segundos)	authPeriod	Especifica o período de tempo (em segundos) para aguardar uma resposta do autenticador (servidor RADIUS) antes de assumir que não há nenhum autenticador presente, padrão para `18`.
Eapol-Start Mensagem	supplicantMode	Especifica o método de transmissão usado para EAPOL-Start mensagens. Os seguintes valores são suportados: 1. Não transmita (`inhibitTransmission`) 2. Transmitir (`includeLearning`) 3. Transmitir por IEEE 802.1X (`compliant`) "Computador", neste contexto, significa "Máquina" em outras referências. `compliant` é o padrão no Windows e é a única opção válida para perfis sem fio.

Configurações > avançadas de segurança Logon único

A tabela a seguir explica as configurações para o logon único (SSO), anteriormente conhecido como provedor de acesso pré-logon (PLAP).

Setting	elemento XML	Description
Habilitar o Logon Único para esta rede	singleSignOn	Especifica se o SSO está habilitado para esta rede, com padrão para `false`. Não use `singleSignOn` em um perfil se a rede não exigir.
Executar imediatamente antes do Usuário Executar imediatamente após o Usuário	type	Especifica quando o SSO deve ser executado - antes ou depois que o usuário fizer logon.
Atraso máximo para conectividade (segundos)	maxDelay	Especifica o atraso máximo (em segundos) antes que a tentativa de SSO falhe, padronizando para `10`.
Permitir que caixas de diálogo adicionais sejam exibidas durante o Logon Único	allowAdditionalDialogs	Especificado se as caixas de diálogo EAP devem ser exibidas durante o SSO, com padrão para `false`.
Essa rede usa VLAN diferente para autenticação com credenciais de máquina e usuário	userBasedVirtualLan	Especifica se a LAN virtual (VLAN) usada pelo dispositivo é alterada com base nas credenciais do usuário, usando como `false`padrão .

Definições de configuração do método de autenticação

Caution

Se um Servidor de Acesso à Rede estiver configurado para permitir o mesmo tipo de método de autenticação para um método EAP encapsulado (como PEAP) e um método EAP não encapsulado (como EAP-MSCHAP v2), há uma vulnerabilidade de segurança potencial. Ao implantar um método EAP encapsulado e um EAP (que não está protegido), não use o mesmo tipo de autenticação. Por exemplo, se você implantar o PEAP-TLS, não implante também EAP-TLS porque se você precisar da proteção do túnel, não serve para permitir que o método seja executado fora do túnel também.

A tabela a seguir explica as configurações configuráveis para cada método de autenticação.

As configurações de EAP-TLS na interface do usuário são mapeadas para EapTlsConnectionPropertiesV1, que é estendido por EapTlsConnectionPropertiesV2 e EapTlsConnectionPropertiesV3.

Setting	elemento XML	Description
Utilizar o meu cartão inteligente	CredentialsSource>Cartão inteligente	Especifica que os clientes que fazem solicitações de autenticação devem apresentar um certificado de cartão inteligente para autenticação de rede.
Usar um certificado neste computador	CredentialsSource>Armazenamento de Certificados	Especifica que os clientes de autenticação devem usar um certificado localizado nos repositórios de certificados Usuário Atual ou Computador Local.
Usar seleção de certificado simples (Recomendado)	SimpleCertSelection	Especifica se o Windows selecionará automaticamente um certificado para autenticação sem interação do usuário (se possível) ou se o Windows mostrará uma lista suspensa para o usuário selecionar um certificado.
Advanced		Abre a caixa de diálogo Configurar Seleção de Certificado .
Opções de validação do servidor
Usar um nome de usuário diferente para a conexão	DifferentUsername	Especifica se um nome de usuário deve ser usado para autenticação diferente do nome de usuário no certificado.

A seguir estão listadas as definições de configuração para Configurar Seleção de Certificado. Essas configurações definem os critérios que um cliente usa para selecionar o certificado apropriado para autenticação. Esta interface do usuário é mapeada para TLSExtensions>FilteringInfo.

Setting	elemento XML	Description
Emissor do certificado	CAHashList`Enabled="true"`	Especifica se a filtragem do Emissor de Certificados está habilitada. Se o Emissor de Certificados e o Uso Estendido de Chaves (EKU) estiverem habilitados, somente os certificados que satisfizerem ambas as condições serão considerados válidos para autenticar o cliente no servidor.
Autoridades de certificação raiz	IssuerHash	Lista os nomes de todos os emissores para os quais os certificados de autoridade de certificação (CA) correspondentes estão presentes no armazenamento de certificados de Autoridades de Certificação Raiz Confiáveis ou Autoridades de Certificação Intermediárias da conta do computador local. Isto inclui: Todas as autoridades de certificação raiz e autoridades de certificação intermediárias. Contém apenas os emissores para os quais existem certificados válidos correspondentes que estão presentes no computador (por exemplo, certificados que não expiraram ou não foram revogados). A lista final de certificados permitidos para autenticação contém apenas os certificados que foram emitidos por qualquer um dos emissores selecionados nesta lista. Em XML, esta é a impressão digital (hash) SHA-1 do certificado.
Uso estendido de chave (EKU)		Permite que você selecione All Purpose, Client Authentication, AnyPurpose ou qualquer combinação destes. Especifica que, quando uma combinação é selecionada, todos os certificados que satisfazem pelo menos uma das três condições são considerados certificados válidos para autenticar o cliente no servidor. Se a filtragem EKU estiver ativada, uma das opções deverá ser selecionada, caso contrário, a caixa de seleção Uso Estendido de Chave (EKU) será desmarcada.
Para Todos os Fins	AllPurposeEnabled	Quando selecionado, este item especifica que os certificados com o EKU All Purpose são considerados certificados válidos para autenticar o cliente no servidor. O identificador de objeto (OID) para todas as finalidades está `0` ou vazio.
Autenticação de cliente	ClientAuthEKUList`Enabled="true"`> ( EKUMapInList > EKUName)	Especifica que os certificados com o EKU de Autenticação de Cliente e a lista especificada de EKUs são considerados certificados válidos para autenticar o cliente no servidor. O identificador de objeto (OID) para autenticação de cliente é `1.3.6.1.5.5.7.3.2`.
AnyPurpose	AnyPurposeEKUList`Enabled="true"`> ( EKUMapInList > EKUName)	Especifica que todos os certificados com EKU AnyPurpose e a lista especificada de EKUs são considerados certificados válidos para autenticar o cliente no servidor. O identificador de objeto (OID) para AnyPurpose é `1.3.6.1.4.1.311.10.12.1`.
Add	EKUMapping > EKUMap > EKUName/EKUOID	Abre a caixa de diálogo Selecionar EKUs , que permite adicionar EKUs padrão, personalizados ou específicos do fornecedor à lista Autenticação de Cliente ou AnyPurpose . Selecionar Adicionar ou Editar na caixa de diálogo Selecionar EKUs abre a caixa de diálogo Adicionar/Editar EKU , que fornece duas opções: 1. Digite o nome do EKU - Fornece um lugar para digitar o nome do EKU personalizado. 2. Entre no EKU OID - Fornece um lugar para digitar o OID para o EKU. Apenas dígitos numéricos, separadores e `.` são permitidos. Curingas são permitidos, caso em que todos os OIDs filhos na hierarquia são permitidos. Por exemplo, inserir `1.3.6.1.4.1.311.*` permite `1.3.6.1.4.1.311.42` e `1.3.6.1.4.1.311.42.2.1`.
Edit		Permite editar EKUs personalizados que você adicionou. Os EKUs predefinidos padrão não podem ser editados.
Remove		Remove o EKU selecionado da lista Autenticação de Cliente ou AnyPurpose .

As configurações PEAP na interface do usuário mapeiam para MsPeapConnectionPropertiesV1, que é estendido por MsPeapConnectionPropertiesV2.

Setting	elemento XML	Description
Opções de validação do servidor
Selecionar método de autenticação		Permite selecionar o tipo de EAP a ser usado com o PEAP para autenticação de rede. Existem dois tipos de EAP disponíveis, Senha segura (EAP-MSCHAP v2) e Cartão inteligente ou outro certificado (EAP-TLS).
Configure	EAP-MSCHAP v2: UseWinLogonCredentials EAP-TLS: Consulte EAP-TLS guia, esquema	Este item fornece acesso às configurações de propriedade para o tipo de EAP especificado. Se a opção Senha segura (EAP-MSCHAP v2) estiver selecionada, a caixa de seleção Usar automaticamente meu nome de logon e senha do Windows (e domínio, se houver) estará disponível, o que especifica que o nome de entrada e a senha atuais do Windows baseados no usuário são usados como credenciais de autenticação de rede. Se o cartão inteligente ou outro certificado (EAP-TLS) estiver selecionado, ele abrirá a caixa de diálogo Propriedades do cartão inteligente ou outro certificado para configuração adicional desse tipo de EAP.
Habilite a reconexão rápida	FastReconnect	Permite a capacidade de criar uma associação de segurança nova ou atualizada de forma mais eficiente e com um número menor de viagens de ida e volta se uma associação de segurança tiver sido estabelecida anteriormente. Para conexões VPN, a reconexão rápida usa a tecnologia IKEv2 para fornecer conectividade VPN contínua e consistente quando os usuários perdem temporariamente suas conexões com a Internet. Este recurso é especialmente útil para usuários que se conectam via banda larga móvel sem fio, pois quando uma conexão com a Internet cai, a reconexão rápida restabelecerá automaticamente as conexões VPN ativas de forma transparente e transparente para os usuários.
Desconectar se o servidor não apresentar TLV de vinculação de criptografia	RequireCryptoBinding	Especifica que os clientes conectados devem encerrar o processo de autenticação de rede se o servidor RADIUS não apresentar TLV (Type-Length-Value de vinculação de criptografia). Cryptobinding TLV é um recurso de segurança que aumenta a segurança do túnel TLS no PEAP. Ele faz isso combinando as autenticações de método interno e externo, tornando difícil para os invasores executar ataques man-in-the-middle redirecionando uma autenticação MS-CHAP v2 através do canal PEAP.
Ativar a privacidade de identidade	IdentidadePrivacidade>EnableIdentityPrivacy/Nome de usuário anônimo	Especifica que os clientes são configurados para que não possam enviar sua identidade antes que o cliente tenha autenticado o servidor RADIUS e, opcionalmente, fornece um local para digitar um valor de identidade anônima. Se você selecionar Habilitar privacidade de identidade e digitar `anonymous` como o valor de identidade anônima, a resposta de identidade para um usuário com identidade `alice@example` será `anonymous@example`. Se você selecionar Habilitar privacidade de identidade , mas não fornecer um valor de identidade anônimo, a resposta de identidade para o usuário `alice@example` será `@example`.

As configurações de EAP-TTLS na interface do usuário são mapeadas para EapTtlsConnectionPropertiesV1.

Setting	elemento XML	Description
Ativar a privacidade de identidade	Phase1Identity> IdentidadePrivacidade> AnonymousIdentity	Especifica que os clientes são configurados para que não possam enviar sua identidade antes que o cliente tenha autenticado o servidor RADIUS e, opcionalmente, fornece um local para digitar um valor de identidade anônima. Se você selecionar Habilitar privacidade de identidade e digitar `anonymous` como o valor de identidade anônima, a resposta de identidade para um usuário com identidade `alice@example` será `anonymous@example`. Se você selecionar Habilitar privacidade de identidade , mas não fornecer um valor de identidade anônimo, a resposta de identidade para o usuário `alice@example` será `@example`.
Opções de validação do servidor
Selecione um método não EAP para autenticação	Phase2Authentication> Qualquer um dos seguintes: PAPAuthentication CHAPAuthentication MSCHAPAuthentication MSCHAPv2Authentication	Especifica se um tipo não-EAP ou EAP é usado para autenticação. Se Select a non-EAP method for authentication (Selecionar um método não EAP para autenticação ) estiver selecionado, Select an EAP method for authentication (Selecionar um método EAP para autenticação ) será desabilitado. A seguir estão as opções de autenticação disponíveis: 1. Palavra-passe não encriptada (PAP) 2. Protocolo de autenticação de handshake de desafio (CHAP) 3. CHAP da Microsoft (MS-CHAP) 4. Microsoft CHAP Versão 2 (MS-CHAP v2).
Utilizar automaticamente o meu nome de início de sessão e palavra-passe do Windows	UseWinlogonCredentials	Se habilitado, esse item usa credenciais de entrada do Windows e só estará disponível se MS-CHAP v2 estiver selecionado na lista suspensa Selecione um método não EAP para autenticação . Usar automaticamente meu nome de logon do Windows e minha senha estão desabilitados para os tipos de autenticação PAP, CHAP e MS-CHAP .
Selecione um método EAP para autenticação	Phase2Authentication> EapHostConfig	Especifica se um tipo EAP ou um tipo não-EAP é usado para autenticação. Se Select an EAP method for authentication (Selecionar um método EAP para autenticação ) estiver selecionado, Select a non-EAP method for authentication (Selecionar um método EAP para autenticação ) será desabilitado. A seguir estão as opções de autenticação disponíveis: 1. Microsoft: Smart Card ou outro certificado (EAP-TLS) 2. Microsoft: Senha segura (EAP-MSCHAP v2) A lista suspensa enumera todos os métodos EAP instalados no servidor, exceto os métodos de túnel PEAP e FAST . Os tipos de EAP são listados na ordem em que são descobertos pelo computador.
Configure		Abre a caixa de diálogo de propriedades do método EAP especificado.

As configurações TEAP na interface do usuário são mapeadas para EapTeapConnectionPropertiesV1. O TEAP está disponível a partir do Windows 10, versão 2004 (compilação 19041) e Windows Server 2022.

Setting	elemento XML	Description
Privacidade de identidade	Fase1Identidade > IdentidadePrivacidade > AnónimaIdentidade	Especifica que os clientes são configurados para que não possam enviar sua identidade antes que o cliente tenha autenticado o servidor RADIUS e, opcionalmente, fornece um local para digitar um valor de identidade anônima. Se você selecionar Habilitar privacidade de identidade e digitar `anonymous` como o valor de identidade anônima, a resposta de identidade para um usuário com identidade `alice@example` será `anonymous@example`. Se você selecionar Habilitar privacidade de identidade , mas não fornecer um valor de identidade anônimo, a resposta de identidade para o usuário `alice@example` será `@example`.
Opções de validação do servidor
Selecione um método EAP {primário/secundário} para autenticação	Phase2Authentication (> InnerMethodConfig > EapHostConfig)	Permite ao utilizador escolher um método de autenticação principal/secundário entre Microsoft: Smart card ou outro certificado (EAP-TLS) e Microsoft: Secured password (EAP-MSCHAP v2). É permitido ter qualquer combinação de métodos internos. Por exemplo, o método interno pode ser EAP-TLS com credenciais de máquina, seguido por EAP-TLS com credenciais de usuário.
Configure		Se Microsoft: Cartão inteligente ou outro certificado (EAP-TLS) estiver selecionado, ele abrirá a caixa de diálogo Propriedades do cartão inteligente ou outro certificado . Se Microsoft: Senha segura (EAP-MSCHAP v2) estiver selecionada, a caixa de seleção Usar automaticamente meu nome de logon e senha do Windows (e domínio, se houver) ficará disponível, o que especifica que o nome de entrada e a senha atuais do Windows baseados no usuário são usados como credenciais de autenticação de rede.

Validação de certificado do servidor

Muitos métodos EAP incluem uma opção para o cliente validar o certificado do servidor. Se o certificado do servidor não for validado, o cliente não poderá ter certeza de que está se comunicando com o servidor correto. Isso expõe o cliente a riscos de segurança, incluindo a possibilidade de que o cliente possa se conectar inadvertidamente a uma rede não autorizada.

Note

O Windows requer que o certificado do servidor tenha o EKU de Autenticação do Servidor . O identificador de objeto (OID) para este EKU é 1.3.6.1.5.5.7.3.1.

A tabela a seguir lista as opções de validação de servidor aplicáveis a cada método EAP. O Windows 11 atualizou a lógica de validação do servidor para ser mais consistente. Para saber mais, consulte Comportamento de validação de certificado de servidor atualizado no Windows 11. Em caso de conflito, as descrições na tabela a seguir descrevem o comportamento do Windows 10 e versões anteriores.

Setting	elemento XML	Description
Verificar a identidade do servidor validando o certificado	EAP-TLS: PerformServerValidation PEAP: PerformServerValidation	Este item especifica que o cliente verifica se os certificados de servidor apresentados ao computador cliente possuem: As assinaturas corretas As assinaturas não expiraram Foram emitidos por uma autoridade de certificação raiz (CA) confiável A desativação dessa caixa de seleção faz com que os computadores clientes não consigam verificar a identidade dos servidores durante o processo de autenticação. Se a autenticação do servidor não ocorrer, os utilizadores ficam expostos a riscos de segurança graves, incluindo a possibilidade de os utilizadores se ligarem inadvertidamente a uma rede não autorizada.
Conecte-se a esses servidores	EAP-TLS: Validação do> servidorNomes de servidor PEAP: Validação do> servidorNomes de servidor EAP-TTLS: Validação do servidor> ServerNames TEAP: Validação do servidor> ServerNames	Permite especificar o nome dos servidores RADIUS (Remote Authentication Dial-In User Service) que fornecem autenticação e autorização de rede. Você deve digitar o nome exatamente como ele aparece no campo assunto de cada certificado de servidor RADIUS ou usar expressões regulares (regex) para especificar o nome do servidor. A sintaxe completa da expressão regular pode ser usada para especificar o nome do servidor, mas para diferenciar uma expressão regular com a cadeia de caracteres literal, você deve usar pelo menos uma `` na cadeia de caracteres especificada. Por exemplo, você pode especificar `nps.\.example\.com` para especificar o servidor `nps1.example.com` RADIUS ou `nps2.example.com`. Você também pode incluir um `;` para separar vários servidores. Se nenhum servidor RADIUS for especificado, o cliente verificará apenas se o certificado do servidor RADIUS foi emitido por uma autoridade de certificação raiz confiável.
Autoridades de certificação raiz confiáveis	EAP-TLS: Validação do> servidorTrustedRootCA PEAP: Validação do> servidorTrustedRootCA EAP-TTLS: Validação do servidor> TrustedRootCAHashes TEAP: Validação do servidor> TrustedRootCAHashes	Lista as autoridades de certificação raiz confiáveis. A lista é criada a partir das CAs raiz confiáveis instaladas no computador e nos repositórios de certificados do usuário. Você pode especificar quais certificados de CA raiz confiáveis os suplicantes usam para determinar se eles confiam em seus servidores, como o servidor que executa o NPS (Servidor de Diretivas de Rede) ou o servidor de provisionamento. Se nenhuma autoridade de certificação raiz confiável for selecionada, o cliente 802.1X verificará se o certificado de computador do servidor RADIUS foi emitido por uma autoridade de certificação raiz confiável instalada. Se uma ou várias autoridades de certificação raiz confiáveis forem selecionadas, o cliente 802.1X verificará se o certificado de computador do servidor RADIUS foi emitido por uma autoridade de certificação raiz confiável selecionada. Se nenhuma autoridade de certificação raiz confiável for selecionada, o cliente verificará se o certificado do servidor RADIUS foi emitido por qualquer autoridade de certificação raiz confiável. Se você tiver uma PKI (infraestrutura de chave pública) na rede e usar a autoridade de certificação para emitir certificados para os servidores RADIUS, o certificado da autoridade de certificação será adicionado automaticamente à lista de autoridades de certificação raiz confiáveis. Você também pode comprar um certificado de autoridade de certificação de um fornecedor que não seja da Microsoft. Algumas autoridades de certificação raiz confiáveis que não são da Microsoft fornecem software com o certificado adquirido que instala automaticamente o certificado adquirido no armazenamento de certificados das Autoridades de Certificação Raiz Confiáveis . Nesse caso, a autoridade de certificação raiz confiável aparece automaticamente na lista de autoridades de certificação raiz confiáveis. Não especifique um certificado de autoridade de certificação raiz confiável que ainda não esteja listado nos armazenamentos de certificados das Autoridades de Certificação Raiz Confiáveis dos computadores clientes para o Usuário Atual e o Computador Local. Se você designar um certificado que não esteja instalado em computadores cliente, a autenticação falhará. Em XML, esta é a impressão digital SHA-1 (hash) do certificado (ou SHA-256 para TEAP).

Prompt do usuário de validação do servidor

A tabela a seguir descreve as opções de prompt do usuário de validação do servidor disponíveis para cada método EAP. Quando um certificado de servidor não é confiável, essas opções determinam se:

A conexão falha imediatamente.
O usuário é solicitado a aceitar ou rejeitar manualmente a conexão.

Setting	elemento XML
Não solicitar que o usuário autorize novos servidores ou autoridades de certificação confiáveis	Validação do> servidorDisableUserPromptForServerValidation

Impede que o usuário seja solicitado a confiar em um certificado de servidor se esse certificado estiver configurado incorretamente, ainda não for confiável ou ambos (se habilitado). Para simplificar a experiência do usuário e evitar que os usuários confiem erroneamente em um servidor implantado por um invasor, é recomendável que você marque essa caixa de seleção.

Setting	elemento XML
Notificações antes da conexão	Validação do servidor> 1. DisableUserPromptForServerValidation=`true` 2. DisableUserPromptForServerValidation=`false` 3. DisableUserPromptForServerValidation=`false`, PeapExtensionsV2>AllowPromptingWhenServerCANotFound

Especifica se o usuário será notificado se o nome do servidor ou o certificado raiz não for especificado ou se a identidade do servidor não puder ser verificada. Aqui estão as opções disponíveis para escolher e o que cada uma especifica:

Não peça ao usuário para autorizar novos servidores ou CAs confiáveis - Se o nome do servidor não estiver na lista Conectar a esses servidores , ou se o certificado raiz for encontrado, mas não estiver selecionado na lista de Autoridades de Certificação Raiz Confiáveis em Propriedades PEAP, ou se o certificado raiz não for encontrado no computador, o usuário não será notificado e as tentativas de conexão falharão.
Diga ao usuário se o nome do servidor ou o certificado raiz não estiver especificado - Se o nome do servidor não estiver na lista Conectar a esses servidores ou se o certificado raiz for encontrado, mas não estiver selecionado na lista de Autoridades de Certificação Raiz Confiáveis em Propriedades PEAP, o usuário será solicitado a aceitar o certificado raiz. Se o usuário aceitar o certificado, a autenticação continuará. Se o usuário rejeitar o certificado, a tentativa de conexão falhará. Com essa opção, se o certificado raiz não estiver presente no computador, o usuário não será notificado e a tentativa de conexão falhará.
Informar ao usuário se a identidade do servidor não puder ser verificada - Se o nome do servidor não estiver na lista Conectar a esses servidores , ou se o certificado raiz for encontrado, mas não estiver selecionado na lista de Autoridades de Certificação Raiz Confiáveis em Propriedades PEAP, ou se o certificado raiz não for encontrado no computador, o usuário será solicitado a aceitar o certificado raiz. Se o usuário aceitar o certificado, a autenticação continuará. Se o usuário rejeitar o certificado, a tentativa de conexão falhará.

Setting	elemento XML
Não avisar o usuário se não conseguir autorizar o servidor	Validação do servidor> DisableUserPromptForServerValidation

Se essa opção não estiver selecionada e a validação do certificado do servidor falhar por qualquer um dos seguintes motivos, o usuário será solicitado a aceitar ou rejeitar o servidor:

Um certificado raiz para o certificado do servidor não foi encontrado ou não está selecionado na lista Autoridades de Certificação Raiz Confiáveis .
Um ou mais dos certificados raiz intermediários na cadeia de certificados não foram encontrados.
O nome do assunto no certificado do servidor não corresponde a nenhum dos servidores especificados na lista Conectar a esses servidores .

Setting	elemento XML
Não avisar o usuário se não conseguir autorizar o servidor	Validação do> servidorDisablePrompt

Se essa opção não estiver selecionada e a validação do certificado do servidor falhar por qualquer um dos seguintes motivos, o usuário será solicitado a aceitar ou rejeitar o servidor:

Um certificado raiz para o certificado do servidor não foi encontrado ou não está selecionado na lista Autoridades de Certificação Raiz Confiáveis .
Um ou mais dos certificados raiz intermediários na cadeia de certificados não foram encontrados.
O nome do assunto no certificado do servidor não corresponde a nenhum dos servidores especificados na lista Conectar a esses servidores .

Definições de configuração de autenticação celular

A seguir estão listadas as definições de configuração para EAP-SIM, EPA-AKA e EPA-AKA', respectivamente.

EAP-SIM é definido no RFC 4186. O EAP Subscriber Identity Module (SIM) é usado para autenticação e distribuição de chaves de sessão usando o Subscriber Identity Module (SIM) da rede móvel de 2ª geração Global System for Mobile Communications (GSM).

As configurações de EAP-SIM na interface do usuário são mapeadas para EapSimConnectionPropertiesV1.

Item	elemento XML	Description
Use teclas de codificação fortes	UseStrongCipherKeys	Especifica que, se selecionado, o perfil usa criptografia forte.
Não revele a identidade real ao servidor quando a identidade do pseudônimo estiver disponível	DontRevealPermanentID	Quando habilitado, força o cliente a falhar na autenticação se o servidor solicitar identidade permanente embora o cliente tenha uma identidade de pseudônimo com ele. As identidades de pseudônimo são usadas para privacidade de identidade para que a identidade real ou permanente de um usuário não seja revelada durante a autenticação.
	ProviderName	Disponível somente em XML, uma cadeia de caracteres que indica o nome do provedor permitido para autenticação.
Habilitar o uso de realms	Domínio=`true`	Fornece um local para digitar o nome do território. Se este campo for deixado em branco com a opção Ativar uso de realms selecionada, o realm será derivado da International Mobile Subscriber Identity (IMSI) usando o realm 3gpp.org, conforme descrito no padrão 3GPP (3rd Generation Partnership Project) 23.003 V6.8.0.
Especificar um território	Realm	Fornece um local para digitar um nome de território. Se Habilitar uso de realms estiver habilitado , essa cadeia de caracteres será usada. Se este campo estiver vazio, o domínio derivado será usado.

EAP-AKA é definido no RFC 4187. EAP Authentication and Key Agreement (AKA) é usado para autenticação e distribuição de chaves de sessão usando o mecanismo AKA. AKA é usado na 3ª geração de redes móveis Universal Mobile Telecommunications System (UMTS) e CDMA2000. O AKA é baseado em chaves simétricas e normalmente é executado em um SIM (Subscriber Identity Module).

As configurações de EAP-AKA na interface do usuário são mapeadas para EapAkaConnectionPropertiesV1.

Item	elemento XML	Description
Não revele a identidade real ao servidor quando a identidade do pseudônimo estiver disponível	DontRevealPermanentID	Quando habilitado, força o cliente a falhar na autenticação se o servidor solicitar identidade permanente embora o cliente tenha uma identidade de pseudônimo com ele. As identidades de pseudônimo são usadas para privacidade de identidade para que a identidade real ou permanente de um usuário não seja revelada durante a autenticação.
	ProviderName	Disponível somente em XML, uma cadeia de caracteres que indica o nome do provedor permitido para autenticação.
Habilitar o uso de realms	Domínio=`true`	Fornece um local para digitar o nome do território. Se este campo for deixado em branco com a opção Ativar uso de realms selecionada, o realm será derivado da International Mobile Subscriber Identity (IMSI) usando o realm 3gpp.org, conforme descrito no padrão 3GPP (3rd Generation Partnership Project) 23.003 V6.8.0.
Especificar um território	Realm	Fornece um local para digitar um nome de território. Se Habilitar uso de realms estiver habilitado , essa cadeia de caracteres será usada. Se este campo estiver vazio, o domínio derivado será usado.

EAP-AKA' é definido em RFC 5448 e RFC 9048. EAP-AKA Prime (AKA') é uma versão modificada do EAP-AKA que adiciona uma nova função de derivação de chave para facilitar o acesso às redes baseadas no Projeto de Parceria de 3ª Geração (3GPP) usando padrões não-3GPP, tais como:

Wi-Fi
Evolution-Data otimizado (EVDO)
Interoperabilidade mundial para acesso por micro-ondas (WiMax)

As configurações EAP-AKA no mapa da interface do usuário para EapAkaPrimeConnectionPropertiesV1.

Item	elemento XML	Description
Não revele a identidade real ao servidor quando a identidade do pseudônimo estiver disponível	DontRevealPermanentID	Quando habilitado, força o cliente a falhar na autenticação se o servidor solicitar identidade permanente embora o cliente tenha uma identidade de pseudônimo com ele. As identidades de pseudônimo são usadas para privacidade de identidade para que a identidade real ou permanente de um usuário não seja revelada durante a autenticação.
	ProviderName	Disponível somente em XML, uma cadeia de caracteres que indica o nome do provedor permitido para autenticação.
Habilitar o uso de realms	Domínio=`true`	Fornece um local para digitar o nome do território. Se este campo for deixado em branco com a opção Ativar uso de realms selecionada, o realm será derivado da International Mobile Subscriber Identity (IMSI) usando o realm 3gpp.org, conforme descrito no padrão 3GPP (3rd Generation Partnership Project) 23.003 V6.8.0.
Especificar um território	Realm	Fornece um local para digitar um nome de território. Se Habilitar uso de realms estiver habilitado , essa cadeia de caracteres será usada. Se este campo estiver vazio, o domínio derivado será usado.
Ignorar incompatibilidade de nome de rede	IgnoreNetworkNameMismatch	O cliente compara o nome da rede conhecida com o nome enviado pelo servidor RADIUS durante a autenticação. Se houver uma incompatibilidade, ela será ignorada se essa opção estiver selecionada. Se não for selecionada, a autenticação falhará.
Habilite a reautenticação rápida	EnableFastReauth	Especifica que a reautenticação rápida está habilitada. A Reautenticação Rápida é útil quando a autenticação do SIM acontece com frequência. As chaves de criptografia derivadas da autenticação completa são reutilizadas. Como resultado, o algoritmo SIM não precisa ser executado para cada tentativa de autenticação e o número de operações de rede resultantes de tentativas de autenticação frequentes é reduzido.

WPA3-Enterprise modo de 192 bits

WPA3-Enterprise modo de 192 bits é um modo especial para WPA3-Enterprise que impõe certos requisitos de alta segurança na conexão sem fio para fornecer um mínimo de 192 bits de segurança. Esses requisitos se alinham com o Commercial National Security Algorithm (CNSA) Suite, CNSSP 15, que é um conjunto de algoritmos criptográficos aprovado para proteger informações classificadas e ultrassecretas pela Agência de Segurança Nacional dos Estados Unidos (NSA). O modo de 192 bits às vezes pode ser referido como "modo Suite B", que é uma referência à especificação NSA Suite B Cryptography, que foi substituída pelo CNSA em 2016.

O modo WPA3-Enterprise e WPA3-Enterprise de 192 bits estão disponíveis a partir do Windows 10, versão 2004 (compilação 19041) e Windows Server 2022. No entanto, WPA3-Enterprise foi destacado como um algoritmo de autenticação separado no Windows 11. Em XML, isso é especificado no elemento authEncryption .

A tabela a seguir lista os algoritmos exigidos pelo CNSA Suite.

Algorithm	Description	Parameters
Padrão de criptografia avançada (AES)	Cifra de bloco simétrica usada para criptografia	Chave de 256 bits (AES-256)
Troca de chaves de Diffie-Hellman de curva elíptica (ECDH)	Algoritmo assimétrico usado para estabelecer um segredo compartilhado (chave)	Curva de módulo primo de 384 bits (P-384)
Algoritmo de Assinatura Digital de Curva Elíptica (ECDSA)	Algoritmo assimétrico usado para assinaturas digitais	Curva de módulo primo de 384 bits (P-384)
Algoritmo de hash seguro (SHA)	Função hash criptográfica	SHA-384
Troca de chaves Diffie-Hellman (DH)	Algoritmo assimétrico usado para estabelecer um segredo compartilhado (chave)	Módulo de 3072 bits
Rivest-Shamir-Adleman (RSA)	Algoritmo assimétrico utilizado para assinaturas digitais ou estabelecimento de chaves	Módulo de 3072 bits

Para cumprir os requisitos do CNSA, WPA3-Enterprise modo de 192 bits exige o uso de EAP-TLS com estes pacotes de codificação restritos:

TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
- ECDHE e ECDSA usando a curva de módulo primo de 384 bits P-384
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 / TLS_DHE_RSA_AES_256_GCM_SHA384
- ECDHE usando a curva de módulo primo de 384 bits P-384
- RSA = módulo de >3072 bits

Note

P-384 também é conhecido como secp384r1 ou nistp384. Outras curvas elípticas, como a P-521, não são permitidas.

SHA-384 está na família SHA-2 de funções hash. Outros algoritmos e variantes, como SHA-512 ou SHA3-384, não são permitidos.

O Windows suporta apenas os TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 pacotes de codificação para TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 WPA3-Enterprise modo de 192 bits. O TLS_DHE_RSA_AES_256_GCM_SHA384 conjunto de codificação não é suportado.

O TLS 1.3 usa novos pacotes TLS simplificados, dos quais apenas TLS_AES_256_GCM_SHA384 é compatível com WPA3-Enterprise modo de 192 bits. Como o TLS 1.3 requer (EC)DHE e permite certificados ECDSA ou RSA, juntamente com o AES-256 AEAD e SHA384 hash, TLS_AES_256_GCM_SHA384 é equivalente a TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 e TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384. No entanto, o RFC 8446 requer que os aplicativos compatíveis com TLS 1.3 suportem P-256, o que é proibido pelo CNSA. Portanto, WPA3-Enterprise modo de 192 bits não pode ser totalmente compatível com TLS 1.3. No entanto, não há problemas conhecidos de interoperabilidade com o TLS 1.3 e WPA3-Enterprise modo de 192 bits.

Para configurar uma rede para WPA3-Enterprise modo de 192 bits, EAP-TLS Windows requer ser usado com um certificado que atenda aos requisitos descritos anteriormente.

Consulte também

Feedback

Esta página foi útil?

Last updated on 2025-08-16

Partilhar via

EAP (Extensible Authentication Protocol) para acesso à rede

Métodos de autenticação

Configurando propriedades EAP

Perfis XML para EAP

Configurações de segurança

Configurações > avançadas de segurança IEEE 802.1X

Configurações > avançadas de segurança Logon único

Definições de configuração do método de autenticação

Validação de certificado do servidor

Prompt do usuário de validação do servidor

Definições de configuração de autenticação celular

WPA3-Enterprise modo de 192 bits

Consulte também

Feedback

Recursos adicionais