Exportar (0) Imprimir
Expandir Tudo
Expandir Minimizar

Wireless Provisioning Services (WPS)

Atualizado: outubro de 2010

Aplica-se a: Windows Server 2003 with SP1

O que faz o Serviços de Configuração sem Fio?

Um número crescente de usuários está acessando a Internet por um número cada vez maior de redes públicas sem fio ou pontos de acesso Wi-Fi. O uso dos Serviços de Configuração sem Fio (WPS) proporciona aos usuários sem fio uma experiência consistente e sem a perda de conexão a pontos de acesso Wi-Fi através da configuração automática do cliente e de conexão móvel. O WPS permite que os provedores de serviços de Internet sem fio usem uma plataforma integrada e baseada em padrões para fornecer pontos de acesso Wi-Fi com segurança avançada fácil de usar e gerenciar. Além disso, o WPS permite que empresas forneçam facilmente o acesso como convidado com segurança avançada a redes privadas sem fio.

Com o WPS, os provedores de serviços de Internet sem fio e as empresas podem enviar informações de configuração para clientes móveis à medida que eles se conectam à Internet ou à rede corporativa. Isso permite uma configuração simples, automática e segura de clientes móveis, fornecendo uma experiência de conexão uniforme na empresa e em diferentes provedores de rede pública e locais de ponto de acesso.

A quem se aplica esse recurso?

O WPS destina-se a três tipos de organizações:

  • Provedores de serviço de ponto de acesso (HSP)

    Os provedores de serviço de ponto de acesso implantam pontos de acesso sem fio em locais públicos, como shopping centers e aeroportos, mas eles não são provedores de serviços de Internet. Em vez disso, o provedor de serviço de ponto de acesso contrata um ou mais provedores e oferece aos usuários uma ou mais opções de plano de serviço para estabelecer uma conta de acesso à Internet.

  • Provedores de serviços de Internet sem fio (WISP)

    Os provedores de serviços de Internet sem fio são provedores que implantam pontos de acesso Wi-Fi em locais públicos ou serviços de ponto de acesso Wi-Fi terceirizados para um provedor de serviço de ponto de acesso.

  • Empresas

    As empresas podem usar a tecnologia WPS para fornecer acesso como convidado gerenciado em suas redes.

Que nova funcionalidade foi adicionada a esse recurso no Windows Server 2003 Service Pack 1?

Serviços de Configuração sem Fio

Descrição detalhada

O WPS (Serviços de Configuração sem Fio) é uma extensão aos serviços de rede sem fio e às interfaces de usuário existentes no Windows XP e no Windows Server 2003. Ele se baseia nos recursos de rede sem fio já existentes no Windows, como a Configuração Zero Sem Fio, e nos recursos de segurança de rede sem fio, como o protocolo PEAP (Protected Extensible Authentication Protocol) e o WPA (Wi-Fi Protected Access). O WPS também inclui modificações no Windows Server 2003. O componente IAS (Serviço de Autenticação da Internet) do Windows Server 2003 foi modificado para incluir a autenticação de convidado dos clientes no processo de configuração.

O WPS inclui um componente de serviço de configuração que permite que as empresas e os WISPs (provedores de serviços de Internet sem fio) enviem informações de configuração para um cliente móvel que esteja tentando conectar-se à Internet ou à rede corporativa. Ao usar o WPS, os provedores de serviços de Internet sem fio podem oferecer serviços em vários locais de rede e usar diversos nomes de rede (SSIDs). Após os usuários se inscreverem em um provedor de serviços de Internet sem fio em um local ou se estiverem pré-configurados e tiverem baixado as informações de configuração, eles poderão se conectar automaticamente à Internet em ocasiões subseqüentes usando a rede fornecida pelo provedor em seus diferentes locais de ponto de acesso. O serviço WZC (Configuração Zero Sem Fio) escolherá automaticamente a rede correta pertencente ao provedor com base nos arquivos de configuração fornecidos. O WPS também permite a mobilidade automática e perfeita entre diferentes provedores.

Além disso, quando o WPS é usado, o computador cliente mantém atualizadas as informações de configuração armazenadas nele automaticamente. Isso permite que o provedor altere as configurações de rede, adicione novos locais e assim por diante, sem interromper o serviço ou fazer com que os usuários reconfigurem seus sistemas.

Quando um usuário conecta o computador a um provedor de serviços de Internet sem fio e estabelece uma conta pela primeira vez, as quatro etapas a seguir são realizadas:

  • O computador encontra a rede do provedor em um ponto de acesso Wi-Fi.

  • O usuário é autenticado usando uma conta de convidado e o computador é conectado à rede Wi-Fi.

  • O cliente móvel é configurado e o usuário estabelece uma conta com o provedor.

  • O usuário é autenticado na rede Wi-Fi usando as novas credenciais de conta de usuário.

Cada uma dessas etapas será abordada detalhadamente no cenário a seguir.

Um usuário chega em um ponto de acesso Wi-Fi com um computador portátil que executa o Windows XP com Service Pack 2 ou o Windows Server 2003 com Service Pack 1 e os Serviços de Configuração sem Fio. Quando o computador está dentro do alcance do beacon do ponto de acesso do WISP, ocorre o seguinte:

  1. O serviço WZC no computador cliente detecta as informações de beacon do ponto de acesso, que está habilitado com um SSID (identificador do conjunto de serviços) de difusão. O SSID é equivalente ao nome da rede.

  2. O usuário é informado pelo Windows que uma rede sem fio está disponível. O usuário vê as informações no Windows, incluindo o nome amigável da rede. Neste exemplo, o usuário possui um código de promoção a ser usado para o estabelecimento da conta e prossegue clicando em Conectar. Isso faz com que o cliente WPS conecte o computador do usuário à rede sem fio usando uma conta de convidado com privilégios limitados.

Quando a conta de convidado é autenticada pela rede Wi-Fi, ocorre o seguinte:

  1. O WZC usa 802.1x e o protocolo PEAP para conectar-se à rede do WISP e autenticar-se como convidado por meio do ponto de acesso, passando automaticamente uma senha e um nome de usuário em branco para o servidor IAS (Serviço de Autenticação da Internet) do provedor, também conhecido como servidor RADIUS da Microsoft. O ponto de acesso está conectado a um dispositivo de gateway que permite que o tráfego do cliente passe para os serviços de configuração na rede a fim de concluir o processo de inscrição, mas bloqueia o acesso do cliente à Internet.

  2. O servidor IAS (ou servidor RADIUS) é o autenticador PEAP e o ponto de extremidade TLS para usuários que se conectam como convidado. O encapsulamento TLS foi criado entre o cliente e o servidor IAS. Todas as mensagens subseqüentes entre o cliente e o servidor passam por esse encapsulamento, que atravessa o ponto de acesso e o dispositivo de gateway.

  3. A autenticação do servidor é executada quando o servidor IAS verifica sua identidade para o computador cliente usando um certificado que contém o objetivo da Autenticação do Servidor nas extensões EKU (Uso Avançado de Chave). Esse certificado é emitido por uma autoridade de certificação raiz pública na qual o computador cliente confie.

  4. O servidor IAS autentica e autoriza o usuário como convidado. Na mensagem de aceitação de acesso que o servidor IAS envia para o cliente, existe um recipiente com uma URL para as informações de configuração. Essa URL fornece o mecanismo WPS que é executado no cliente, com o local do arquivo mestre XML.

Quando o cliente é configurado e o usuário cria uma conta, ocorre o seguinte:

  1. No computador cliente, o WPS baixa o arquivo mestre XML e os sub-arquivos do servidor de configuração. O arquivo mestre contém os ponteiros para os sub-arquivos XML que controlam o progresso do cliente durante o processo. Quando é feito o download do esquema de inscrição XML, o assistente para inscrição é iniciado no cliente a fim de permitir que o usuário crie e pague uma conta com o provedor de serviços de Internet sem fio.

  2. Usando o assistente para inscrição no computador cliente, o usuário passa pelo processo de inscrição de uma conta. O usuário insere o código de promoção e os dados pessoais, como nome, endereço e número do cartão de crédito. Os dados inseridos pelo usuário são convertidos pelo cliente WPS em um documento XML.

  3. O documento XML que contém os dados de inscrição do usuário é enviado para o aplicativo da Web no servidor de configuração do provedor de serviços de Internet sem fio.

  4. O aplicativo da Web verifica o código de promoção inserido pelo usuário no banco de dados de códigos de promoção (por exemplo, banco de dados SQL Server). Se o código de promoção for válido, o aplicativo da Web continuará a processar os dados do usuário.

  5. O aplicativo da Web processa as informações de pagamento do usuário. Quando o pagamento é verificado e as informações de inscrição são preenchidas com êxito, o aplicativo da Web lê as informações de grupo de segurança e de domínio no banco de dados de códigos de promoção, cria uma conta de usuário nos serviços de identidade (como o Active Directory) e adiciona a conta ao grupo de segurança. O aplicativo da Web também insere o novo nome de usuário no banco de dados de códigos de promoção.

  6. Um documento XML que contém as novas credenciais de conta é enviado do servidor de configuração do provedor de serviços de Internet sem fio para o cliente WPS no computador cliente. O computador cliente usa as credenciais para configurar WZC e 802.1x em nome do provedor. A conexão é reiniciada com as novas credenciais de senha e conta de usuário (nome de usuário e senha).

Veja a seguir o processo de conexão reiniciado:

  1. O serviço WZC no computador cliente reinicia a associação ao SSID para o WISP.

  2. O WZC localiza o perfil 802.11 correto que foi baixado com as outras informações do provedor no arquivo mestre XML. O WZC é associado novamente ao ponto de acesso com o perfil correto.

  3. O WZC usa o 802.1x para iniciar o processo de autenticação com uma combinação entre o protocolo PEAP (Protected Extensible Authentication Protocol) e o protocolo MSCHAPv2 (Microsoft Challenge Handshake Authentication Protocol version 2), usando as novas credenciais de conta passadas para o 802.1x pelo cliente WPS.

  4. Como o cliente inicia o processo com a autenticação PEAP-MSCHAPv2, um encapsulamento TLS é criado entre o computador cliente do usuário e o servidor IAS do provedor de serviços de Internet sem fio.

  5. Na segunda etapa da autenticação PEAP-MSCHAPv2, o servidor IAS do provedor de serviços de Internet sem fio autentica e autoriza a solicitação de conexão na nova conta do banco de dados de contas de usuários (por exemplo, Active Directory). O servidor IAS envia uma mensagem de aceitação de acesso ao ponto de acesso. Na mensagem de aceitação de acesso, há atributos que especificam que o usuário já pode obter acesso à Internet.

  6. O ponto de acesso instrui o dispositivo de gateway a atribuir o cliente à rede de segmento lógico com acesso à Internet.

Por que essa alteração é importante?

O WPS facilita o uso de pontos de acesso à rede sem fio sem comprometer a segurança. O WPS com o Windows Server 2003 Service Pack 1 e o Microsoft IAS (também conhecido como servidor RADIUS) permite que os computadores de usuários descubram pontos de acesso à rede sem fio, conectem-se a eles e movam-se entre esses pontos com facilidade e mais segurança.

  • O modelo de conexão atual para a inscrição e o uso do provedor de serviços de Internet sem fio não é seguro. A maioria dos pontos de acesso Wi-Fi são configurados para autenticação aberta e sem criptografia de dados. Normalmente, os usuários precisam iniciar um navegador da Web para se inscreverem no serviço do provedor e para logons subseqüentes. O WPS atenua essa ameaça com a adição de criptografia e autenticação às comunicações entre o cliente e a rede sem fio.

  • A implantação baseada no redirecionamento de navegador tem muitos problemas de uso. Os usuários talvez nem mesmo saibam que precisam iniciar o navegador para se conectar. Outro exemplo do que pode ocorrer é quando o navegador está definido para usar as configurações de proxy para acessar a Internet e o usuário está conectado diretamente à rede corporativa. Nesse caso, o redirecionamento de navegador não funciona e o usuário deve saber desabilitar as configurações de proxy para se conectar ao ponto de acesso. Isso pode gerar chamadas de suporte de alto custo ao WISP ou à assistência técnica da empresa.

  • A implantação baseada no navegador está vulnerável a ataques man-in-the-middle, por exemplo, por um servidor front-end mal-intencionado usando um ponto de acesso não autorizado. Os usuários consultados por esse ponto de acesso podem, sem saber, fornecer informações de identificação pessoal e de cartão de crédito. Ao eliminar a necessidade de logon da Web, o WPS reduz a vulnerabilidade de usuários do provedor de serviços de Internet sem fio a esse tipo de ataque.

  • Sem o software cliente de ponto de acesso adicional, os usuários não podem detectar facilmente os pontos de acesso e não têm um mecanismo unificado para se inscreverem neles. Não é fácil para os usuários descobrir informações sobre o provedor de serviços de Internet sem fio ou procurar os locais de ponto de acesso para esse provedor. Se os usuários se inscreverem em um ponto de acesso, não estarão necessariamente habilitados a usar de forma automática os outros pontos de acesso. Além disso, não há um mecanismo padrão para manter as informações de configuração atualizadas.

  • O software cliente de ponto de acesso de complemento pode ajudar o usuário a acessar essa rede específica do provedor de serviços de Internet sem fio. No entanto, o software de complemento também pode entrar em conflito com os serviços de rede sem fio nativos do sistema operacional ou com softwares cliente de outros fornecedores, podendo vir a causar problemas de interoperabilidade e até mesmo instabilidade do sistema, pois tentam controlar as configurações de rede sem fio do sistema inteiro. As atualizações na configuração do provedor normalmente exigem atualizações no software cliente. Por esses motivos, muitos departamentos de TI corporativos relutam em implantar software cliente de ponto de acesso de terceiros.

  • Não há um mecanismo padronizado entre os provedores de serviços de Internet sem fio para processar as inscrições de usuário e atualizar suas configurações. Como resultado, a experiência do usuário é fragmentada, e a mobilidade automática e perfeita entre provedores pode ser difícil.

Assistente de Registro de Rede sem Fio

Descrição detalhada

O Assistente de Registro de Rede sem Fio fornece a interface do usuário para a inscrição de um ponto de acesso de rede sem fio e orienta o usuário no processo de configuração. O assistente cria conteúdo de informações de configuração (arquivos XML) fornecidas pelo provedor de serviços de Internet sem fio. Essas informações podem ser baixadas dinamicamente ou pré-instaladas no sistema cliente. A pré-instalação pode ser fornecida por um OEM de novos sistemas, pelo departamento de TI em uma organização ou pelo site de um provedor de serviços de Internet sem fio. Proprietário e criador das informações de configuração, o provedor direciona o procedimento de inscrição e configuração de usuários. O exemplo a seguir apresenta uma experiência simples do Assistente de Registro de Rede Sem Fio em que o usuário pagou antecipadamente por um código de acesso. O esquema XML e o assistente são flexíveis e podem habilitar procedimentos de inscrição mais complexos.

O usuário pode primeiro clicar com o botão direito do mouse no ícone de rede sem fio na área de notificação e depois clicar em Exibir Redes sem Fio Disponíveis, ou pode responder à mensagem de notificação nessa área que indica a disponibilidade de uma nova rede sem fio ao alcance. Quando a opção Escolha uma rede sem fio é exibida, o usuário seleciona uma nova rede sem fio e a coloca na lista de redes preferenciais.

Em seguida, ele seleciona um nome de rede (um SSID) e clica em Conectar para estabelecer uma conexão com a rede sem fio. Com um ponto de acesso Wi-Fi baseado em WPS, o cliente detecta que há mais informações de configuração disponíveis, no formato de arquivos XML, sobre a rede e o provedor. Ele confirma com o usuário se as informações de configuração devem ser baixadas. Com uma rede que não seja WPS, a experiência seria igual à que ocorre com o Windows XP hoje: os usuários devem fornecer uma chave de segurança quando se conectarem a uma rede segura ou são avisados de que a rede à qual estão tentando se conectar não é segura e devem escolher se desejam estabelecer conexão com ela mesmo assim.

Após a conclusão do download, o Assistente de Registro de Rede sem Fio é iniciado automaticamente e orienta o usuário no processo de inscrição. A primeira tela exibe um logotipo personalizado (ou faixa) e o conteúdo do provedor.

As telas subseqüentes podem incluir a seleção de um plano de assinatura, a inclusão de informações pessoais, de cartão de crédito e assim por diante. Neste exemplo, há apenas um plano e o usuário deve inserir um código pré-pago ou promocional para obter acesso à rede. Em seguida, a Implantação de Ponto de Acesso sem Fio exibe informações sobre o plano selecionado, como os termos do contrato do serviço e a declaração de privacidade.

Na última tela, o assistente solicita que os usuários forneçam suas preferências de conectividade para essa conexão. Essas preferências padrão podem ser definidas pelo provedor, mas podem ser substituídas pelo usuário. Por exemplo, se os usuários selecionarem uma assinatura mensal com dados ilimitados, provavelmente vão querer conectar-se à rede automaticamente sempre que estiverem dentro do alcance. Se os usuários escolherem um plano “pay-as-you-go” (pagamento de acordo com o uso), provavelmente vão querer controlar a conexão e escolher uma opção de conexão manual.

A segunda opção determina se o cliente mantém as informações de configuração automaticamente atualizadas. Por exemplo, se o provedor adicionar novos nomes de rede e locais ou alterar as configurações de rede ou de segurança, o cliente poderá atualizar automaticamente as informações sem que seja necessária qualquer interação do usuário durante a conexão com a rede.

Em visitas subseqüentes a pontos de acesso disponibilizados pelo provedor ou por seus parceiros móveis em locais iguais ou diferentes, se a conexão automática estiver selecionada, tudo o que o usuário precisa fazer é ligar o computador móvel ou reiniciar as operações do modo de espera para conectar-se automaticamente. Quando a conexão for estabelecida, em vez de aparecer um nome de rede criptografado ou um SSID na caixa de diálogo Escolha uma rede sem fio (que é aberta na janela de notificação Exibir Redes sem Fio Disponíveis), será mostrado um nome amigável do provedor com o seu logotipo.

Nessa caixa de diálogo, os usuários também podem procurar locais de ponto de acesso disponíveis ou exibir as informações de ajuda e suporte fornecidas pelo provedor de serviços de Internet sem fio. As informações de ajuda e de local de ponto de acesso são baixadas como parte das informações de configuração. As informações de local podem ser pesquisadas e exibidas online ou offline.

Que funcionalidade existente foi alterada no Windows Server 2003 Service Pack 1?

A interface do usuário para redes sem fio mudou – uma nova caixa de diálogo Exibir Redes sem Fio Disponíveis substituirá a caixa de diálogo existente.

Preciso alterar meu código para trabalhar com o Windows Server 2003 Service Pack 1?

O WPS não requer alterações nos aplicativos existentes. Há duas novas APIs com o WPS. Uma delas fornece adição e consultas por meio de dados XML no computador. Essa API pode ser usada para pré-configurar o cliente no site do WISP pelo usuário (usando um aplicativo autônomo), por OEMs ou por departamentos de TI.

Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários

Contribuições da comunidade

ADICIONAR
Mostrar:
© 2014 Microsoft