Exportar (0) Imprimir
Expandir Tudo
Expandir Minimizar

Como oferecer suporte para logon com cartão inteligente para conexões VPN de acesso remoto

Publicado em: 29 de agosto de 2006

Nesta página

Introdução
Tecnologias de cartão inteligente
Cenário de logon com cartão inteligente para VPN de acesso remoto
Resumo

Introdução

Os avanços nas tecnologias de comunicação, impulsionados pela necessidade de manter os custos baixos e permanecer competitivo em um mercado em expansão, possibilitaram às organizações não apenas manter canais de comunicação 24 horas por dia, sete dias por semana, mas também fornecer conectividade aos dados e serviços empresariais a partir de locais remotos.

A Internet oferece às organizações e aos usuários a capacidade de usar computadores para comunicar e compartilhar dados pelo mundo todo, proporcionando benefícios como acessibilidade, escalabilidade, desempenho e redução dos custos relacionados aos negócios. No entanto, a Internet é um ambiente de operação não seguro e potencialmente hostil para as organizações que enfrentam o desafio de aproveitar os benefícios oferecidos pela Internet e ao mesmo tempo manter os níveis necessários de segurança de dados e de comunicação.

As VPNs (Redes virtuais privadas) permitem que as organizações usem a Internet ao mesmo tempo que ajudam a restringir a exposição dos dados e dos canais de comunicação. Para tanto, elas fornecem uma série de recursos de segurança, incluindo mecanismos confiáveis de autenticação e criptografia.

Quem deve ler este guia

O público-alvo deste guia inclui os profissionais de Tecnologia da informação (TI) responsáveis pela implantação de um serviço VPN em seus ambientes de rede.

As informações deste guia aplicam-se às empresas de pequeno a médio porte que precisam fornecer acesso remoto confiável às suas redes.

Visão geral

Quando você configura um acesso remoto à VPN para os recursos da rede, pode usar o mesmo conjunto de credenciais usadas para acessar a rede no trabalho: nome de usuário e senha na rede. Entretanto, pode ser que essa não seja a solução mais segura. Cartões de visita e documentos comerciais costumam conter os nomes dos usuários, por exemplo. A rede também está suscetível a ataques por tentativa e erro. Se terceiros tomarem conhecimento do seu nome de usuário, então sua senha será o único mecanismo de segurança que continuará protegendo a rede da sua empresa.

Segredos únicos, como senhas, podem ser controles de segurança eficazes. Uma senha longa contendo letras, números e caracteres especiais aleatórios pode ser muito difícil de decifrar. Além disso, frases secretas oferecem mais segurança do que senhas simples.

Infelizmente, os usuários não conseguem se lembrar sempre de segredos complexos e podem acabar recorrendo a anotações. No entanto, quando você não impõe restrições à complexidade das senhas, os usuários tendem a criar senhas de fácil memorização e, portanto, fáceis de serem adivinhadas.

As soluções de nome de usuário e senha são denominadas autenticações de fator único porque somente você usa algo que você sabe para acessar a rede. Os sistemas de autenticação de vários fatores superam os problemas de autenticação de fator único por meio de uma combinação de requisitos que incluem:

  • Algo que seja de conhecimento do usuário, como uma senha ou um número de identificação pessoal (PIN).

  • Algo que o usuário tenha, como um token de hardware ou um cartão inteligente.

  • Alguma informação biométrica do usuário, como verificação de sua impressão digital ou retina.


Os cartões inteligentes e seus respectivos PINs constituem um método de autenticação de dois fatores cada vez mais conhecido, confiável e econômico. Os usuários devem ter seus cartões inteligentes e saber os PINs para obterem acesso aos recursos de rede. O requisito de dois fatores reduz consideravelmente a probabilidade de acesso não autorizado à rede da organização.

Benefícios da VPN

Quando a organização precisa conectar redes que contêm dados confidenciais e proprietários à Internet para fins de acesso remoto, o aperfeiçoamento da conectividade gera um risco significativo de segurança.

No ambiente potencialmente hostil da Internet, sua solução VPN torna-se crítica porque, além da possível economia operacional, ela ajuda a manter a segurança associada a uma infra-estrutura de rede privada. Uma solução VPN fornece segurança porque usa uma conexão segura de encapsulamento, criptografando os dados e permitindo que apenas usuários autenticados acessem a rede corporativa.

As VPNs oferecem suporte a uma grande variedade de métodos de autenticação, protocolos de encapsulamento e tecnologias de criptografia para manter a segurança dos dados empresariais.

Os métodos de autenticação VPN incluem:

  • PAP (Password Authentication Protocol).

  • CHAP (Challenge-Handshake Authentication Protocol).

  • MS-CHAP (Microsoft® Challenge-Handshake Authentication Protocol).

  • MS-CHAP v2 (MS-CHAP versão 2).

  • EAP (Extensible Authentication Protocol).


Os protocolos de encapsulamento VPN incluem:

  • PPTP (Point-to-Point Tunneling Protocol).

  • L2TP (Layer 2 Tunneling Protocol).


Os protocolos de criptografia VPN incluem:

  • MPPE (Microsoft Point-to-Point Encryption).

  • IPsec (Segurança IP).


Para oferecer suporte à maior variedade de sistemas operacionais de cliente da Microsoft, use uma versão do MS-CHAP, PPTP e MPPE.

Com o Microsoft Windows® 2000 ou posterior, você poderá oferecer níveis ainda maiores de segurança se usar o EAP, L2TP e IPsec.

Para obter mais informações sobre autenticação, encapsulamento e criptografia VPN, consulte o informe oficial Rede virtual privada: visão geral (a página pode estar em inglês) no site Microsoft TechNet em www.microsoft.com/technet/prodtechnol/windows2000serv/plan/vpnoverview.mspx.


Tecnologias de cartão inteligente

Os cartões inteligentes fornecem autenticação de dois fatores. A autenticação de dois fatores vai além da simples combinação de nome de usuário e senha e exige que o usuário envie alguma forma de token exclusivo junto com um PIN.

Os cartões inteligentes são itens de plástico do tamanho de cartões de crédito que contêm um microcomputador e uma pequena quantidade de memória. Eles proporcionam armazenamento seguro e à prova de violação para chaves privadas e certificados de segurança X.509.

Para ser autenticado em um computador ou por meio de uma conexão de acesso remoto, o usuário insere o cartão inteligente em um leitor apropriado e digita o PIN. O usuário não pode obter acesso à rede apenas com o PIN ou apenas com o cartão inteligente. Os ataques prolongados de força bruta aos PINs de cartão inteligente não são possíveis, pois o cartão inteligente é travado após várias tentativas malsucedidas de digitar o PIN.

Os cartões inteligentes executam sistemas operacionais incorporados e uma forma de sistema de arquivos em que os dados podem ser armazenados. O sistema operacional do cartão inteligente deve ser capaz de executar as seguintes tarefas:

  • armazenar chaves públicas e privadas de um usuário

  • armazenar um certificado de chave pública associado

  • recuperar o certificado de chave pública

  • executar operações de chave privada em nome do usuário


Para obter mais informações sobre os cartões inteligentes e obter uma lista de leitores de cartão inteligente compatíveis com a Microsoft, consulte o tópico Cartões inteligentes (a página pode estar em inglês) no Microsoft TechNet em www.microsoft.com/technet/security/topics/identitymanagement/scard.mspx.

Requisitos de implantação de cartão inteligente

Para oferecer suporte ao logon com cartão inteligente para VPNs de acesso remoto, seu sistema de computador requer componentes específicos de hardware e software.

Para obter mais informações sobre especificações e requisitos para a implantação de cartão inteligente, consulte o Guia de Planejamento de Acesso Seguro Usando Cartões Inteligentes (a página pode estar em inglês) no site da Microsoft TechNet em www.microsoft.com/technet/security/topics/networksecurity/securesmartcards/
default.mspx.

Requisitos de hardware cliente de cartão inteligente

Para oferecer suporte à solução VPN de cartão inteligente, os usuários precisam de um computador cliente capaz de executar o Windows XP.

Além disso, os usuários precisam de um leitor de cartão inteligente acoplado a uma interface periférica padrão, como RS-232 serial, PS/2, PC Card ou USB (Universal Serial Bus).

Requisitos de software cliente de cartão inteligente

Os clientes de acesso remoto precisam do Windows XP para oferecer suporte à solução VPN de cartão inteligente. Além disso, é recomendada a instalação do Service Pack 2 (SP2).

Cada computador cliente exigirá a instalação de um CSP (Provedor de serviços de criptografia) que ofereça suporte ao cartão inteligente escolhido. O Windows XP inclui um CSP que oferece suporte a uma série de soluções de cartão inteligente. Se preferir, o fornecedor da solução de cartão inteligente poderá providenciar um CSP. O CSP executa as seguintes funções:

  • recursos de criptografia, incluindo assinatura digital

  • gerenciamento de chaves privadas

  • comunicação segura entre o leitor de cartão inteligente do computador cliente e o cartão inteligente


Cada computador cliente exigirá a instalação de drivers de dispositivo para o leitor de cartão inteligente específico. Os drivers de dispositivo mapeiam a funcionalidade do leitor para os serviços originais fornecidos pelo Windows XP e para a infra-estrutura de cartão inteligente. O driver de dispositivo do leitor de cartão inteligente comunica os eventos de inserção e remoção do cartão e fornece recursos de comunicação de dados de/para o cartão.

O Gerenciador de conexões é um recurso padrão do Windows XP que facilita e gerencia as conexões de rede, dial-up e VPN. Além disso, você pode usar o CMAK (Kit de administração do Gerenciador de conexões) para personalizar os perfis do Gerenciador de conexões e criar um arquivo de instalação que configure automaticamente a conexão VPN que é distribuída aos clientes.

A implantação do cartão inteligente pode incluir software de gerenciamento do cartão no cliente. O software inclui ferramentas de gerenciamento, conectividade e segurança do cartão inteligente, que permitem exibir o conteúdo dos cartões inteligentes, redefinir os PINs e adicionar outros certificados.

Requisitos de hardware do servidor VPN

As conexões VPN depositam uma carga de processador adicional no servidor de acesso remoto. O logon seguro com cartão inteligente não aumenta de forma perceptível essa carga. Os servidores de acesso remoto VPN que atendem a um grande volume de conexões de entrada requerem processadores rápidos, de preferência em uma configuração de vários processadores e que ofereça suporte a uma taxa alta de transferência de rede. As organizações que usam VPNs protegidas por IPsec podem implementar placas de rede que descarregam o processo de criptografia IPsec em um processador independente localizado na placa de rede.

Requisitos de software do servidor VPN

Os requisitos de software do servidor VPN para acesso com cartão inteligente são relativamente simples. Os servidores de acesso remoto devem executar o Windows 2000 Server ou posterior, ter Roteamento e Acesso Remoto ativado e oferecer suporte ao EAP-TLS (Extensible Authentication Protocol-Transport Layer Security).

O EAP-TLS é um mecanismo de autenticação mútua desenvolvido para uso juntamente com dispositivos de segurança, como cartões inteligentes e tokens de hardware. O EAP-TLS é compatível com PPP (MPPE Protocol) e conexões VPN e permite a troca de chaves secretas compartilhadas para MPPE além de IPsec.

Os principais benefícios do EAP-TLS são sua resistência a ataques de força bruta e sua compatibilidade com autenticação mútua. Com autenticação mútua, tanto o cliente como o servidor devem provar sua identidade um ao outro. Se nenhum dos dois enviar um certificado para validar sua identidade, a conexão é terminada.

O Microsoft Windows Server™ 2003 oferece suporte ao EAP-TLS para conexões dial-up e VPN, o que permite aos usuários remotos usar cartões inteligentes. Para obter mais informações sobre o EAP-TLS, consulte o tópico EAP (Extensible Authentication Protocol) (a página pode estar em inglês) em www.microsoft.com/resources/documentation/windows/xp/all/proddocs/pt-BR/auth_eap.mspx.

Para obter mais informações sobre os requisitos de certificado EAP, consulte o artigo da Microsoft Knowledge Base "Requisitos de certificado ao usar EAP-TLS ou PEAP com EAP-TLS" (a página pode estar em inglês) em http://support.microsoft.com/default.aspx?scid=814394.

Pré-requisitos de infra-estrutura de rede para implantação de cartão inteligente

Os cartões inteligentes exigem uma infra-estrutura apropriada com suporte dos elementos do sistema operacional e de rede. Antes de começar o processo de implantação do cartão inteligente, considere a necessidade dos seguintes componentes:

  • Requisitos do usuário

  • PKI (Infra-estrutura de chave pública)

  • Modelos de certificados

  • Serviço de diretório do Active Directory®

  • Grupos de segurança

  • Estações de registro e agentes de registro


Requisitos do usuário

A identificação de usuários e grupos que exigem acesso VPN é uma parte importante do processo de implantação do cartão inteligente. Identifique essas contas no início do processo para ajudar a definir o escopo do projeto e a controlar os custos.

PKI (Infra-estrutura de chave pública)

As soluções de cartão inteligente exigem uma PKI para fornecer certificados com pares de chaves públicas/chaves privadas que possibilitam o mapeamento de contas no Active Directory. Você pode implementar essa PKI de dois modos distintos: fornecendo a infra-estrutura de certificado interna a uma organização externa ou usando os Serviços de certificados no Windows Server 2003. Para usar os Serviços de certificados no Windows Server 2003 para a solução de cartão inteligente, a CA (Autoridade de certificação) deve ser uma autoridade corporativa, que requer o Active Directory.

Para obter mais informações sobre os Serviços de certificados no Windows Server 2003, consulte o site Infra-estrutura de chave pública para o Windows Server 2003 (a página pode estar em inglês) em www.microsoft.com/windowsserver2003/technologies/pki/default.mspx.

A PKI deve ter um mecanismo que lida com a revogação de certificados. A revogação de certificados é necessária quando um certificado vence ou quando há a possibilidade de um invasor ter violado o certificado. Ao revogar um certificado, o administrador nega o acesso a qualquer pessoa que use o certificado. Cada certificado inclui o local de sua lista de certificados revogados (CRL).

Para obter mais informações sobre como gerenciar a revogação de certificados, consulte o tópico Gerenciar a revogação de certificados (a página pode estar em inglês) no Microsoft TechNet em http://technet2.microsoft.com/WindowsServer/en/library/92a5e655-3eb2-4843-b9cb-58c84c0a91d61033.mspx?mfr=true.

Use a PKI para atribuir um certificado a cada cartão inteligente da solução VPN. O certificado deve ser emitido por uma CA que o servidor VPN considere confiável. Caso use os Serviços de certificados no Windows Server 2003, verifique se o certificado raiz da PKI foi instalado no servidor VPN.

Para autenticação mútua, você deve atribuir um certificado ao servidor VPN de uma CA que o servidor VPN considere confiável. Caso use os Serviços de certificados no Windows Server 2003, verifique se o certificado raiz da PKI foi instalado no cliente VPN.

Modelos de certificados

O Windows Server 2003 fornece modelos de certificados específicos para emitir certificados digitais para uso com cartão inteligente. Os três modelos de certificados para uso com cartão inteligente são:

  • Agente de registro, que permite ao usuário autorizado solicitar certificados para outros usuários.

  • Usuário de cartão inteligente, que permite ao usuário fazer logon com um cartão inteligente e assinar email. Além disso, esse certificado fornece autenticação do cliente.

  • Logon com cartão inteligente, que permite ao usuário fazer logon com um cartão inteligente e que fornece autenticação de cliente, mas não permite assinatura de email.


Observação   A Microsoft recomenda enfaticamente a atualização da PKI do Windows Server 2003 para uma PKI do Windows Server 2003 com Service Pack 1 (SP1) para obtenção dos benefícios dos recursos de segurança aprimorados.

A solução VPN precisará de, pelo menos, um administrador com certificado de agente de registro que atribua certificados aos cartões inteligentes. Além disso, os clientes precisarão de certificados de logon com cartão inteligente em seus cartões inteligentes.

Para obter mais informações sobre modelos de certificados, consulte o tópico Modelos de certificados (a página pode estar em inglês) no TechNet em http://technet2.microsoft.com/WindowsServer/en/Library/7d82b420-10ef-4f20-a56f-17ee7ee352d21033.mspx?mfr=true.

Active Directory

O Active Directory fornece uma maneira de gerenciar as identidades e os relacionamentos que compõem os ambientes de rede e é um componente-chave para a implementação das soluções de cartão inteligente. O Active Directory do Windows Server 2003 contém suporte interno para forçar o logon com cartão inteligente e a capacidade de mapear contas para certificados. Esse recurso de mapear contas de usuário para certificados vincula a chave privada no cartão inteligente ao certificado armazenado no Active Directory.

Quando o agente de registro atribui um certificado a um cartão inteligente para um usuário em específico, o processo mapeia o certificado para a conta de usuário no Active Directory. A apresentação das credenciais de cartão inteligente no logon exige que o Active Directory associe esse cartão específico à conta de usuário, fornecendo a ele permissões e recursos relevantes na rede.

Para obter mais informações sobre o mapeamento de certificados, consulte o tópico Mapear certificados para contas de usuários (a página pode estar em inglês) no Microsoft TechNet em www.microsoft.com/resources/documentation/WindowsServ/2003/all/deployguide/pt-BR/dssch_pki_cyek.asp.

Para obter mais informações sobre o Active Directory, consulte a página Active Directory do Windows Server 2003 (a página pode estar em inglês) em www.microsoft.com/windowsserver2003/technologies/directory/activedirectory/
default.mspx.

Grupos de segurança

O processo de implantação e gerenciamento de cartão inteligente é significativamente mais fácil quando você usa grupos de segurança dentro do Active Directory para organizar os usuários. Por exemplo, uma implantação típica de cartão inteligente pode exigir a criação dos seguintes grupos de segurança:

  • Agentes de registro de cartão inteligente. Os agentes de registro de cartão inteligente são responsáveis pela distribuição de cartões inteligentes aos usuários.

  • Preparo de cartão inteligente. O grupo de preparo de cartão inteligente contém todos os usuários que receberam cartões inteligentes, mas para os quais o agente de registro ainda não registrou e ativou os cartões.

  • Usuários de cartão inteligente. O grupo de usuários de cartão inteligente contém todos os usuários que concluíram o processo de registro e cujos cartões inteligentes foram ativados. O agente de registro move o usuário do grupo de preparo de cartão inteligente para o grupo de usuários de cartão inteligente.

  • Exceções temporárias de cartão inteligente. O grupo de exceções temporárias de cartão inteligente destina-se a usuários que exigem exceções temporárias em relação aos requisitos de cartão inteligente, como, por exemplo, quando perdem seus cartões inteligentes ou quando os esquecem.

  • Exceções permanentes de cartão inteligente. O grupo de exceções permanentes de cartão inteligente inclui contas que precisam de exceções permanentes em relação aos requisitos de logon com cartão inteligente.


No mínimo, a solução VPN precisará de grupos de agentes de registro e usuários de cartão inteligente. A criação desses grupos permite gerenciar e configurar vários usuários com maior facilidade.

Estações de registro e agentes de registro

É possível usar uma interface baseada na Web para emitir ou registrar usuários para cartões inteligentes, mas esse procedimento não é recomendado. Como os usuários precisam digitar seus nomes de usuário e suas senhas para obterem seus cartões inteligentes, esse procedimento na verdade reduz a segurança do cartão inteligente aos mesmos níveis das credenciais apresentadas à interface da Web. A solução preferencial é criar estações de registro e designar um ou mais administradores como agentes de registro.

Uma estação de registro típica é um computador que possui um leitor e um gravador de cartão inteligente acoplados. O leitor permite que o agente de registro faça logon, e o gravador emite novos cartões inteligentes aos usuários. A estação de registro tem uma configuração de Diretiva de Grupo que impõe o logoff assim que o agente de registro remove o cartão inteligente.

Um administrador designado assume a função de agente de registro e usa o cartão inteligente para fazer logon na estação de registro. Em seguida, ele abre a página da Web de Serviços de certificados, verifica a identidade do usuário, registra o usuário e emite o cartão inteligente registrado. As estações de registro exigem um certificado de agente de registro e devem ter permissão para acessar os modelos de certificados.

Considerações operacionais

A solução VPN de cartão inteligente deve incluir a capacidade de monitorar a integridade operacional da solução. As ferramentas de monitoramento devem mostrar as informações que você precisa para oferecer suporte operacional. Se a solução não cumprir esse requisito, os funcionários de segurança não poderão determinar se a solução mantém conexões de acesso remoto seguras com eficácia.

As considerações operacionais incluem:

  • Testar a autenticação para aplicativos internos. O cartão inteligente deve afetar somente o logon inicial. O programa piloto deve testar e verificar a autenticação bem-sucedida para aplicativos internos.

  • Solucionar problemas de clientes remotos. Para que os problemas de clientes sejam solucionados com êxito, pode ser necessária uma cooperação próxima entre várias equipes espalhadas em diferentes fusos horários. Testes rigorosos e uma implantação piloto apropriada ajudam a reduzir chamadas ao suporte técnico.

  • Compreender cenários de acesso remoto e ameaças organizacionais. Você precisa entender os cenários de acesso remoto da sua organização, as ameaças de segurança e o equilíbrio entre eles. É preciso priorizar os itens que precisam de mais proteção e determinar o equilíbrio apropriado entre custo e risco.

  • Prever desafios técnicos. Você deve prever desafios técnicos, como rotinas de instalação e distribuição de ferramentas de gerenciamento de cartões inteligentes. Talvez você precise integrar a solução de cartão inteligente às suas ferramentas de gerenciamento empresarial existentes.

  • Monitorar e gerenciar problemas de desempenho. Você deve monitorar e gerenciar problemas de desempenho e definir as expectativas dos usuários antes da implantação.

  • Considerar os ativos pessoais. Lembre-se de que os computadores domésticos dos funcionários são propriedade pessoal e não são gerenciados pelo departamento de TI da empresa. Se um funcionário não conseguir instalar o hardware e software de suporte ao acesso remoto seguro com cartão inteligente, existem outras opções disponíveis. Por exemplo, o Microsoft Outlook® Web Access (OWA) oferece aos funcionários acesso às suas caixas de correio do Microsoft Exchange Server por meio de conexões SSL (Secure Sockets Layer) seguras criptografadas.

    Para obter mais informações sobre a segurança de email, consulte o informe "Como proteger a confidencialidade de email nos setores regulamentados" desta série em http://go.microsoft.com/fwlink/?LinkId=71176.

  • Gerenciar alterações na solução. Você deve gerenciar quaisquer alterações e aprimoramentos feitos na solução por meio de processos semelhantes aos necessários na implantação inicial.

  • Otimizar a solução. Todos os aspectos da solução de cartão inteligente necessitam de revisão e otimização periódicas. Regularmente, você precisa rever os processos de registro e a necessidade de exceções de conta com o objetivo de melhorar a segurança e a integridade.


Cenário de logon com cartão inteligente para VPN de acesso remoto

O processo definido nesta seção para configuração de logon com cartão inteligente para VPNs de acesso remoto é referente a cenários de empresas de pequeno a médio porte. A figura a seguir mostra a rede de uma empresa de médio porte; a sua própria rede pode ter alguns destes serviços mostrados ou todos eles.


Figura 1. Acesso remoto no ambiente de TI de médio porte

Figura 1. Acesso remoto no ambiente de TI de médio porte

Este processo é especificamente adequado aos cenários em que os usuários remotos precisam de acesso a dados e serviços corporativos a partir de locais externos. Para obter esse acesso, os usuários remotos criam uma conexão VPN a um servidor VPN do Windows Server 2003 e usam cartões inteligentes para autenticação.

Os procedimentos a seguir o ajudarão a preparar, implantar e configurar o suporte a cartão inteligente para VPNs de acesso remoto.

Como preparar uma CA para emitir certificados de cartão inteligente

Primeiro, você deve preparar a CA para atribuir os certificados necessários, o agente de registro e o logon com cartão inteligente.

Para preparar uma CA para emitir certificados de cartão inteligente

  1. Faça logon com direitos de administrador.

  2. Abra Sites e serviços do Active Directory.

  3. Clique no menu Exibir e, em seguida, selecione Mostrar Nó de Serviços.

  4. Expanda Serviços, clique em Serviços de Chave Pública e em Modelos de Certificados (como mostra a captura de tela a seguir).


    Sites e serviços do Active Directory

  5. Clique com o botão direito do mouse no modelo de certificado EnrollmentAgent e depois selecione Propriedades.

  6. Adicione o grupo de segurança para os agentes de registro que você criou como parte dos pré-requisitos de implantação e atribua permissões de Leitura e Registro (como mostra a captura de tela a seguir). Depois, clique em OK.


    Propriedades de EnrollmentAgent >

  7. Feche Sites e serviços do Active Directory.

  8. Abra Autoridade de Certificação.

  9. Expanda o nome do servidor e selecione Modelos de Certificados. No painel direito, você pode ver a lista de certificados que a CA pode atribuir (como mostra a captura de tela a seguir).


    Autoridade de certificação

  10. Clique com o botão direito do mouse em Modelos de Certificados, aponte para Novo e, em seguida, clique em Modelo de certificado a ser emitido.

  11. Mantenha a tecla CTRL pressionada e, na lista Ativar Modelos de Certificado, selecione Agente de Registro e Logon de cartão inteligente (como mostra a captura de tela a seguir). Depois, clique em OK.


    Ativar Modelos de Certificado

  12. Feche Autoridade de Certificação.


Como implantar certificados para cartões inteligentes

Em seguida, você poderá atribuir os certificados aos cartões inteligentes de usuários remotos. Faça logon como agente de registro no domínio em que a conta do usuário está localizada.

Para implantar certificados para cartões inteligentes

  1. Abra o Microsoft Internet Explorer®.

  2. Na barra de endereços, digite o endereço da CA que emite os certificados de logon com cartão inteligente e pressione ENTER.

  3. Clique em Solicitar um Certificado e, em seguida, em Solicitação Avançada de Certificado. Será exibida uma tela semelhante à tela a seguir.


    Serviços de certificados Microsoft

  4. Clique em Solicitar um certificado de cartão inteligente em nome de outro usuário usando a estação de registro de certificado de cartão inteligente. Se for solicitado que você aceite um controle Microsoft ActiveX®, clique em Sim. Você deve ativar o uso de controles ActiveX no Internet Explorer.

  5. Na tela Estação de Registro de Certificado de Cartão Inteligente (mostrada na captura de tela a seguir), selecione Logon de Cartão Inteligente. Além disso, você deverá ver os nomes da Autoridade de Certificação, do Provedor de Serviços de Criptografia e do Certificado de Autenticação do Administrador. Se não for possível selecionar um Certificado de Autenticação do Administrador, é porque você não atribuiu ao usuário que fez logon um certificado de Agente de Registro.


    Estação de Registro de Cartão Inteligente Microsoft

  6. Na lista suspensa Autoridade de Certificação, selecione o nome da CA que você deseja que emita o certificado de cartão inteligente.

  7. Na lista suspensa Provedor de Serviços de Criptografia, selecione o fabricante do cartão inteligente.

  8. Em Certificado de Autenticação do Administrador, digite o nome do certificado de Agente de Registro que atribuirá a solicitação de registro ou clique em Selecionar Certificado para selecionar um nome.

  9. Clique em Selecionar Usuário e selecione a conta de usuário apropriada. Clique em Registrar.

  10. Quando solicitado, insira o cartão inteligente na leitora do computador e clique em OK. Quando for solicitado um número de identificação pessoal (PIN), digite o PIN do cartão inteligente.


Como configurar servidores VPN para autenticação de cartão inteligente

Agora você pode configurar o servidor VPN.

Para configurar o serviço de Roteamento e Acesso Remoto para aceitar a autenticação EAP

  1. Inicie o snap-in Roteamento e Acesso Remoto.

  2. Clique com o botão direito do mouse na pasta <nomedoservidor> , clique em Propriedades e, em seguida, na guia Segurança.

  3. Clique em Métodos de Autenticação.

  4. Marque a caixa de seleção Protocolo EAP (Extensible authentication protocol) (como mostra a captura de tela a seguir) e clique em OK.


    Propriedades de DCI(local)

  5. Clique em OK.


Como configurar diretivas de acesso remoto para autenticação de cartão inteligente

Agora é possível ativar o protocolo EAP nas Diretivas de Acesso Remoto. O componente Diretivas de Acesso Remoto está incluído, por padrão, no snap-in Roteamento e Acesso Remoto. No entanto, se o IAS (Serviço de autenticação da Internet), também conhecido como RADIUS ou Remote Authentication Dial-in User Service, estiver instalado, o componente Diretivas de Acesso Remoto será incluído com o snap-in IAS.

Para ativar o protocolo EAP com diretivas de acesso remoto

  1. No painel esquerdo de Roteamento e Acesso Remoto, clique em Diretivas de Acesso Remoto.

  2. No painel direito, clique duas vezes em Conexões com o servidor de roteamento e acesso remoto da Microsoft. Será exibida uma tela semelhante à tela a seguir.


    Conexões com o servidor de roteamento e acesso remoto da Microsoft

  3. Clique em Editar Perfil e, na guia Autenticação, em seguida, clique em Métodos EAP (como mostra a captura de tela a seguir).

    Editar o Perfil de Discagem

  4. Se Cartão Inteligente ou outro certificado não aparecer na lista Tipos EAP, como mostra a captura de tela a seguir, clique em Adicionar, selecione Cartão inteligente ou outro certificado e, em seguida, clique em OK.


    Selecionar provedores EAP

  5. Selecione Cartão inteligente ou outro certificado e clique em Editar. Será exibida uma tela semelhante à tela a seguir.


    Propriedades de Cartão inteligente ou outro certificado

  6. Na lista suspensa, selecione o certificado a ser usado para autenticação EAP e clique três vezes em OK.

  7. Verifique se a opção Conceder permissão de acesso remoto está selecionada, clique em OK e, em seguida, feche o Roteamento e Acesso Remoto.


Como configurar clientes VPN para autenticação de cartão inteligente

O próximo passo é configurar o cliente para usar a autenticação EAP para oferecer suporte a cartões inteligentes.

Para criar uma entrada de catálogo telefônico

  1. Clique em Iniciar, aponte para Conectar e para Mostrar todas as conexões e, em seguida, na lista Tarefas da Rede, clique em Criar uma nova conexão. Depois, clique em Avançar na tela de boas vindas do Assistente para Novas Conexões. A seguinte tela será exibida.


    Assistente para Novas Conexões

  2. Selecione Conectar-me a uma rede em meu local de trabalho e clique em Avançar.

  3. Selecione Conexão VPN (rede virtual privada) e clique em Avançar.

  4. Digite um nome para a conexão na caixa Nome da Empresa e clique em Avançar. A seguinte tela será exibida.


    Assistente para Novas Conexões

  5. Se você tiver uma conexão permanente com a Internet, selecione Não discar a conexão inicial e clique em Avançar. Como alternativa, se você precisar discar uma conexão antes de criar a VPN, selecione Discar automaticamente esta conexão inicial e, na lista suspensa, selecione a conexão a ser discada e clique em Avançar.

  6. Digite o nome do servidor VPN ou o endereço IP na caixa Nome do host ou endereço IP e clique em Avançar.

  7. Selecione Usar meu cartão inteligente, clique em Avançar e, em seguida, clique em Concluir.


Após criar a entrada de catálogo telefônico, configure-a para usar o protocolo EAP.

Para configurar uma conexão atual para usar autenticação de cartão inteligente

  1. Clique com o botão direito do mouse na conexão, selecione Propriedades e, depois, a guia Segurança. A seguinte tela será exibida.


    Propriedades de MyCompany

  2. Verifique se a opção Típica (configurações recomendadas) está selecionada e, em seguida, selecione Usar cartão inteligente na lista suspensa Validar minha identidade como a seguir.

  3. Selecione Avançada (configurações personalizadas) e clique em Configurações.

  4. Clique em Cartão Inteligente ou Outro Certificado (criptografia ativada).

  5. Clique em Propriedades e em Usar meu cartão inteligente.

  6. Verifique se a opção Validar certificado do servidor está ativada.

  7. Se necessário, marque a caixa de seleção Conectar-se somente se o nome do servidor terminar em.

  8. Na caixa Autoridade de certificação raiz confiável, clique no nome da CA que emitiu o certificado a ser usado com um cartão inteligente ou do certificado de usuário que está instalado.

  9. Se necessário, marque a caixa de seleção Usar um nome de usuário diferente para a conexão.

  10. O usuário deve ter feito logon no computador para usar o EAP com um certificado de usuário.


Como configurar clientes VPN para autenticação de cartão inteligente usando o Gerenciador de Conexões

Se for preciso configurar conexões VPN para vários clientes, você poderá usar o Gerenciador de Conexões.

Para instalar o CMAK em um computador com Windows Server 2003

  1. Clique em Iniciar, selecione Painel de Controle e, em seguida, Adicionar ou Remover Programas.

  2. Na caixa de diálogo Adicionar ou Remover Programas, clique em Adicionar/Remover Componentes do Windows.

  3. Na tela Assistente de Componentes do Windows, selecione Ferramentas de Gerenciamento e Monitoramento e clique em Detalhes. Será exibida uma tela semelhante à tela a seguir.


    Ferramentas de gerenciamento e monitoramento

  4. Na caixa de diálogo Ferramentas de Gerenciamento e Monitoramento, selecione Kit de Administração do Gerenciador de Conexões, clique em OK, em Avançar e, em seguida, em Concluir.


Para usar o CMAK para criar um perfil de conexão VPN que possa ser distribuído aos seus usuários

  1. Clique em Iniciar, em Ferramentas Administrativas e, em seguida, em Kit de Administração do Gerenciador de Conexões.

  2. Na tela Bem-vindo ao Assistente do Kit de Administração do Gerenciador de Conexões, clique em Avançar.

  3. Verifique se a opção Novo perfil está selecionada e clique em Avançar.

  4. Digite um nome para o perfil na caixa Nome do Serviço e um nome para o arquivo executável que você distribui aos clientes na caixa Nome do Arquivo.

  5. A tela Nome de Território (mostrada na captura de tela a seguir) permite adicionar um nome de território ao nome do usuário. Pode ser necessário adicionar um nome de território para identificar seus usuários caso eles se conectem à VPN por meio de um servidor de acesso à rede de terceiros que use o RADIUS para transmitir credenciais de autenticação de rede aos seus servidores IAS (Serviço de autenticação da Internet).

    Selecione Não adicionar um nome de território ao nome de usuário (a não ser que seja necessário) e clique em Avançar.


    Assistente do Kit de Administração do Gerenciador de Conexões

  6. A tela Mesclando Informações de Perfil permite mesclar os perfis do Gerenciador de Conexões previamente configurados. Faça isso se precisar incorporar informações contidas em outros perfis (como números de acesso à rede) ao perfil atual. Adicione todos os perfis necessários e clique em Avançar.

  7. A tela Suporte a VPN (mostrada na captura de tela a seguir) permite criar um catálogo telefônico a partir do perfil e configurar o servidor VPN, ou servidores, para seus clientes VPN.


    Assistente do Kit de Administração do Gerenciador de Conexões

    Um catálogo telefônico contém informações como código de área, número de telefone e métodos de autenticação do usuário. O catálogo telefônico do Gerenciador de Conexões também inclui várias configurações de rede que você define ao executar o assistente do CMAK.

    Se quiser que seu cliente tenha a opção de se conectar a vários servidores VPN, é possível criar uma lista de servidores VPN em um arquivo de texto (como mostra a captura de tela a seguir). Se quiser que a conexão use uma lista de servidores VPN, selecione Permitir que o usuário escolha um servidor VPN antes de se conectar, vá até o arquivo de texto e clique em Avançar.


    vpnlist.txt-Bloco de Notas

  8. Na tela Entradas VPN, selecione o perfil que você está criando, clique em Editar e, em seguida, clique na guia Segurança. A seguinte caixa de diálogo será exibida.


    Editar Entrada de Rede Virtual Privada

  9. Na lista suspensa Configurações de segurança, selecione Usar configurações avançadas de segurança e em Configurar. A seguinte caixa de diálogo será exibida.


    Configurações de Segurança Avançadas

  10. Na lista suspensa Criptografia de dados, verifique se a opção Exigir criptografia está ativada e, na lista suspensa Estratégia VPN, verifique se você selecionou o protocolo correto de encapsulamento.

    Selecione Usar protocolo EAP (Extensible Authentication Protocol) e Cartão Inteligente ou outro certificado (criptografia ativada) na lista suspensa correspondente e clique em Propriedades. Será exibida uma tela semelhante à tela a seguir.


    Propriedades de Cartão Inteligente ou Outro Certificado

  11. Verifique se a opção Usar meu cartão inteligente está selecionada e verifique também a opção Validar certificado do servidor caso queira que o cliente confirme a validade do servidor. Além disso, você pode digitar o nome de um ou mais servidores para conexão e da autoridade de certificação raiz do certificado em relação à qual o servidor será validado. Se o cliente precisar autenticar usando um nome de usuário diferente daquele que está no certificado, selecione Usar um nome de usuário diferente para a conexão. Clique três vezes em OK e, em seguida, em Avançar.

  12. A tela Catálogo Telefônico permite incluir um arquivo adicional de catálogo telefônico com o perfil e baixar automaticamente as atualizações do catálogo telefônico. Um catálogo telefônico contém informações como código de área, número de telefone e métodos suportados de autenticação do usuário. O catálogo telefônico do Gerenciador de Conexões também inclui várias configurações de rede que você define ao executar o assistente do CMAK. Se você selecionar Download automático de atualizações do catálogo telefônico, será preciso digitar o local a partir do qual as atualizações serão baixadas. Se você não precisar baixar as atualizações do catálogo telefônico, não selecione essa opção. Clique em Avançar.

  13. Se estiver usando uma rede dial-up com a conexão, selecione a entrada e clique em Editar na tela Entradas de rede dial-up. (Se não estiver usando uma rede dial-up para a conexão, você verá como desativá-la em um procedimento subseqüente.) Após fazer a configuração necessária ou se você não precisar usar rede dial-up, clique em Avançar. As telas do assistente descritas nas tarefas 14 a 25 configuram os componentes opcionais que alteram principalmente a aparência da conexão.

  14. Você pode usar as configurações na tela Atualização de Tabela de Roteamento para configurar as informações de roteamento para a conexão. Na configuração padrão, o cliente VPN se conecta a todas as redes que não estejam diretamente conectadas por meio da interface VPN. Porém, se você não configurar o cliente VPN para usar a conexão VPN como o gateway padrão, você poderá criar entradas personalizadas na tabela de roteamento que permitam ao cliente VPN acessar sub-redes selecionadas na rede interna. Quando tiver concluído, clique em Avançar.

  15. Você pode usar as configurações na tela Configuração Automática de Proxy para forçar os clientes VPN a usarem o servidor VPN como o servidor proxy da Web. Clique em Avançar.

  16. Você pode usar as configurações na tela Ações Personalizadas para especificar os programas que devem iniciar automaticamente antes, depois ou durante a conexão VPN. Clique em Avançar.

  17. Você pode usar as configurações na tela Bitmap de Logon para criar um elemento gráfico especial a ser exibido quando o usuário abrir a conexão VPN. Se você criar um elemento gráfico personalizado, verifique se o formato é de 330 x 140 pixels. Clique em Avançar.

  18. Você pode usar as configurações na tela Bitmap de Catálogo Telefônico para criar um elemento gráfico especial a ser exibido quando o usuário abrir o catálogo telefônico. Se você criar um elemento gráfico personalizado, verifique se o formato é de 114 x 309 pixels. Clique em Avançar.

  19. Você pode usar as configurações na tela Ícones para especificar os ícones a serem exibidos na interface do usuário do Gerenciador de Conexões. Clique em Avançar.

  20. Você pode usar as configurações na tela Menu de atalho da área de notificação para adicionar itens aos menus de contexto do Gerenciador de Conexões. Clique em Avançar.

  21. Você pode usar as configurações na tela Arquivo de Ajuda para atribuir um arquivo de Ajuda personalizado para os usuários. Clique em Avançar.

  22. Você pode usar as configurações na tela Informações sobre Suporte para fornecer informações de suporte aos usuários. Clique em Avançar.

  23. Você pode revisar as configurações na tela Software do Gerenciador de Conexões. Você tem a opção de instalar o Gerenciador de Conexões versão 1.3 nos clientes que ainda não tenham esse software instalado em seus computadores. Clique em Avançar.

  24. Você pode usar as configurações na tela Contrato de Licença para incluir um contrato de licença para a conexão. Clique em Avançar.

  25. Você pode usar a tela Arquivos Adicionais para incluir arquivos adicionais no perfil do Gerenciador de Conexões. Clique em Avançar.

  26. Na tela Pronto para Criar o Perfil de Serviço, selecione Personalização Avançada e clique em Avançar.

  27. A tela Personalização Avançada (mostrada na captura de tela a seguir) permite definir valores nos arquivos de configuração do seu perfil. Para as conexões VPN ativadas para cartão inteligente, você deve desativar a configuração Dial-up definindo o valor como 0. As configurações HideDomain, HideUserName e HidePassword também devem ser ativadas.


    Assistente do Kit de Administração do Gerenciador de Conexões

  28. Os arquivos de configuração do perfil são arquivos de texto e têm as extensões de nome de arquivo .inf, .cms e .cmp. O assistente lê os arquivos padrão template.inf, template.cms e template.cmp instalados no CMAK.

    Quando o assistente for concluído, novos arquivos de configuração serão criados para o perfil como profilename.inf, profilename.cms e profilename.cmp. Você pode editar esses arquivos de modelo padrão para adicionar outras configurações que podem ser definidas por qualquer usuário do assistente.

    Para obter mais informações sobre as opções avançadas de personalização do Gerenciador de Conexões, consulte a página Opções de personalização avançadas do Gerenciador de Conexões (a página pode estar em inglês) em www.microsoft.com/resources/documentation/Windows/2000/server/reskit/pt-BR/ierk/Ch14_d.asp.

    O arquivo template.cms (mostrado na captura de tela a seguir) foi editado para incluir a capacidade de ocultar as caixas de domínio, nome do usuário e senha para que essas funcionalidades sejam incluídas quando necessário. O MPPE usa a senha do usuário no processo de criptografia; portanto, em alguns casos, a solução requer as caixas de nome do usuário e senha.


    template.cms-Bloco de Notas

  29. Após concluir todas as alterações de configuração, clique em Avançar para criar os arquivos executáveis e de configuração. Anote o local em que os arquivos serão armazenados e clique em Concluir. Você distribui o arquivo executável aos clientes por meios dos mecanismos padrão de distribuição de software. O cliente pode executar manualmente o arquivo ou você pode automatizar o processo para instalar a conexão VPN.


Como verificar a solução VPN de cartão inteligente

O objetivo do processo de verificação é identificar qualquer problema com o projeto ou a configuração da solução antes que ela seja totalmente implantada. Para verificar a solução VPN de cartão inteligente, você precisa executar os principais procedimentos da solução. Os principais procedimentos a serem verificados são:

  • atribuição de um certificado a um cartão inteligente.

  • distribuição do perfil do Gerenciador de conexões.

  • instalação do perfil do Gerenciador de conexões.

  • conexão com o servidor VPN usando autenticação de cartão inteligente.

  • acesso aos recursos internos da rede por meio da conexão VPN.


Como solucionar problemas da solução VPN de cartão inteligente

O objetivo do processo de verificação é solucionar os problemas da solução, identificar os pontos de falha do processo e concentrar os esforços nessas áreas.

A tabela a seguir mostra algumas diretrizes de solução de problemas da VPN de cartão inteligente.

Tabela 1. Diretrizes de solução de problemas da VPN de cartão inteligente

Problema

Solução

Certificados relevantes não estão disponíveis na CA.

Ative os modelos de certificados nos Serviços e sites do Active Directory.

Atribua permissões de registro.

Não é possível atribuir certificados ao cartão inteligente.

Instale o gravador de cartão inteligente.

Atribua o certificado de Agente de Registro.

O servidor VPN não consegue autenticar clientes remotos.

Configure o servidor para oferecer suporte à autenticação EAP-TLS.

Verifique se o certificado usado no servidor é considerado confiável pelo cliente.

O cliente tenta discar uma conexão antes de criar a VPN.

Configure o cliente para que ele não disque uma conexão inicial.

O cliente não tenta discar uma conexão antes de criar a VPN.

Configure o cliente para que ele disque uma conexão inicial.

Ao tentar criar a VPN, o cliente é solicitado a informar o nome de usuário, o nome de domínio e a senha.

Verifique se a conexão VPN está configurada para usar um cartão inteligente.

Verifique se as configurações HideUserName, HideDomain e HidePassword estão ativadas.

O cliente não tem um objeto de conexão nas conexões de rede.

Verifique se o perfil do Gerenciador de Conexões foi entregue ao cliente.

Verifique se o arquivo executável do perfil do Gerenciador de Conexões foi executado.

O cliente não consegue se conectar ao servidor VPN.

Verifique se a conexão do cliente está configurada com o nome de servidor VPN correto.

Verifique se o cliente está selecionando o servidor correto na lista de servidores VPN.

O cliente não consegue fazer autenticação com o servidor VPN.

Verifique se o cliente está se conectando ao servidor VPN correto.

Verifique se o cartão inteligente tem um certificado considerado confiável pelo servidor VPN.


Para obter mais informações sobre a solução de problemas gerais das conexões VPN, consulte o tópico Solução de problemas da VPN (a página pode estar em inglês) no Microsoft TechNet em http://technet2.microsoft.com/WindowsServer/en/Library/4543aff5-e10f-487c-92ad-bb5518a736201033.mspx.


Resumo

A implementação de cartões inteligentes para autenticar conexões de acesso remoto oferece maior segurança do que uma simples combinação de nome de usuário e senha. Os cartões inteligentes implementam a autenticação de dois fatores através de uma combinação de cartão inteligente e PIN. A autenticação de dois fatores é significativamente mais difícil de violar, e o PIN é mais fácil de ser lembrado por um usuário do que uma senha segura.

O fornecimento de autenticação com cartão inteligente aos usuários de acesso remoto ajuda a fornecer um método confiável e eficaz em termos de custo que aumenta a segurança da rede.



Download

Obtenha o documento Como oferecer suporte para logon com cartão inteligente para conexões VPN de acesso remoto


Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários
Mostrar:
© 2014 Microsoft