Compartilhar via

Opções de autenticação VPN

Além dos métodos de autenticação baseada em senha mais antigos e menos seguros (que devem ser evitados), a solução VPN interna usa o protocolo EAP (Extensible Authentication Protocol) para fornecer autenticação segura usando os métodos baseados em nome de usuário e senha e em certificado. Somente é possível configurar a autenticação baseada em EAP se você selecionar um tipo de VPN interno (IKEv2, L2TP, PPTP ou Automático).

O Windows oferece suporte a vários métodos de autenticação EAP.

  • EAP-Microsoft Challenge Handshake Authentication Protocol versão 2 (EAP-MSCHAPv2):

    • Autenticação com nome de usuário e senha
    • Credenciais do Winlogon – podem especificar a autenticação com credenciais de entrada do computador

  • EAP-Transport Layer Security (EAP-TLS):

    • Suporta os seguintes tipos de autenticação de certificado:

      • Certificados com chaves no KSP (Provedor de Armazenamento de Chaves) do software
      • Certificados com chaves no KSP do Trusted Platform Module (TPM)
      • Certificados de card inteligentes
      • Certificado do Windows Hello para Empresas

    • Filtragem de certificados:

      • A filtragem de certificado pode ser habilitada para procurar um determinado certificado para ser usado na autenticação
      • A filtragem pode ser baseada em Emissão ou utilização alargada de chaves (EKU)

    • Validação do servidor – com o TLS, a validação do servidor pode ser ativada ou desativada:

      • Nome do servidor – especifique o servidor a ser validado
      • Certificado do servidor – certificado raiz confiável para validar o servidor
      • Notificação – especifique se o usuário deve receber uma notificação perguntando se é para confiar no servidor ou não

  • Protocolo PEAP (Protected Extensible Authentication Protocol):

    • Validação do servidor – com PEAP, a validação do servidor pode ser ativada ou desativada:

      • Nome do servidor – especifique o servidor a ser validado
      • Certificado do servidor – certificado raiz confiável para validar o servidor
      • Notificação – especifique se o usuário deve receber uma notificação perguntando se é para confiar no servidor ou não

    • Método interno – o método externo cria um túnel seguro no interior, enquanto o método interno é utilizado para concluir a autenticação:

      • EAP-MSCHAPv2
      • EAP-TLS

    • Reconexão Rápida: reduz o atraso entre uma solicitação de autenticação de um cliente e a resposta do NPS (Servidor de Política de Rede) ou outro servidor RADIUS. Isso reduz os requisitos de recursos para o cliente e o servidor e minimiza o número de vezes que os usuários são solicitados a inserir as credenciais.

    • Criptobinding: ao derivar e trocar valores do material chave de fase 1 (Chave de Túnel) peap e do material de chave do método EAP interno peap fase 2 (Chave de Sessão Interna), é possível provar que as duas autenticações terminam nas mesmas duas entidades (elemento de rede PEAP e servidor PEAP). Esse processo, chamado "cryptobinding", é usado para proteger a negociação PEAP contra ataques "Man in the Middle".

  • TTLS (Tunneled Transport Layer Security)

    • Método interno
      • Não EAP
        • Protocolo PAP
        • CHAP
        • MSCHAP
        • MSChapv2
      • EAP
        • MSChapv2
        • TLS
    • Validação do servidor: no TTLS, o servidor deve ser validado. Os parâmetros a seguir podem ser configurados:
      • Nome do servidor
      • Certificado raiz confiável para o certificado do servidor
      • Se deve haver uma notificação de validação do servidor

Para um plug-in de VPN UWP, o fornecedor do aplicativo controla o método de autenticação a ser usado. Os seguintes tipos de credenciais podem ser usados:

  • Cartão inteligente
  • Certificado
  • Windows Hello para Empresas
  • Nome de usuário e senha
  • Senha de uso único
  • Tipo de credencial personalizada

Configurar autenticação

Consulte Configuração do EAP para saber a configuração XML do protocolo EAP.

Observação

Para configurar a autenticação do Windows Hello para Empresas, siga as etapas em Configuração do EAP para criar um certificado de cartão inteligente. Saiba mais sobre Windows Hello para Empresas..

A imagem a seguir mostra o campo para XML do EAP em um perfil de VPN do Microsoft Intune. O campo XML do EAP só aparece quando você seleciona um tipo de conexão interno (automático, IKEv2, L2TP, PPTP).

Captura de ecrã a mostrar a configuração XML de EAP no perfil Intune.