The Cable GuyConfigurações da Diretiva de Grupo sem fio para Windows Vista

Joseph Davies

Esta coluna inclui informações de pré-lançamento sobre o Windows Server "Longhorn" que estão sujeitas a alterações.

Como um administrador, provavelmente o seu trabalho seja um pouco mais fácil se você puder configurar e distribuir centralmente configurações de rede sem fio em todos os computadores na sua rede do Active Directory. Felizmente, o Windows oferece suporte a uma extensão especial da Diretiva de Grupo para Configuração de Computador que permite que você faça isso. Ela é

chamada de extensão de Políticas de Rede Sem Fio (IEEE 802.11), com suporte em computadores executando o Windows Vista™, o Windows® XP, o Windows Server® 2003 e a próxima versão do Windows Server, cujo codinome é “Longhorn”.

Veja como funciona. Seja ao participar do domínio ou ao iniciar (em uma base contínua depois disso), esses sistemas operacionais baixam automaticamente as configurações sem fio nessa extensão da Diretiva de Grupo e as aplica. Você pode configurar as políticas sem fio para um objeto da Diretiva de Grupo a partir do nó a seguir no snap-in do Editor de Objeto de Diretiva de Grupo: Configuração do Computador | Configurações do Windows | Configurações de Segurança | Diretivas de Rede Sem Fio (IEEE 802.11).

A Figura 1 mostra a localização do nó das Diretivas de Rede Sem Fio (IEEE 802.11) para um domínio do Windows Server cujo codinome é "Longhorn" ou para um domínio do Windows Server 2003, que já tenha tudo seu esquema ampliado com os arquivos de extensão 802.11Schema.ldf e 802.3Schema.ldf (descritos no site microsoft.com/technet/network/wifi/vista_ad_ext.mspx).

Figura 1** Nó das Diretivas de Rede Sem Fio (IEEE 802.11) **(Clique na imagem para aumentar a exibição)

Por padrão, não há Diretivas de Rede Sem Fio (IEEE 802.11). Para criar uma nova diretiva, clique com o botão direito do mouse em Diretivas de Rede Sem Fio (IEEE 802.11) na árvore do console e, em seguida, clique em Criar uma nova diretiva do XP ou clique em Criar uma nova diretiva do Windows Vista. Para cada tipo de diretiva, você pode criar somente uma única diretiva, mas cada diretiva pode conter configurações para várias redes sem fio.

Para a diretiva do Windows XP, as configurações de diretiva são muito semelhantes às descritas na minha coluna em julho de 2003. No entanto, há novas opções para redes sem fio sem difusão, métodos de autenticação WPA2 (Wi-Fi Protected Access) e configurações de roaming rápido para autenticação de WPA2. Para oferecer suporte a essas novas configurações, os computadores executando o Windows XP Service Pack 2 (SP2) devem instalar o Atualização para Cliente com Conexão sem Fio do Windows XP SP2 localizada no site support.microsoft.com/kb/917021.

A diretiva do Windows Vista contém configurações de diretiva específicas para clientes sem fio do Windows Vista e do Windows Server “Longhorn”. Se ambos os tipos de diretivas sem fio estiverem configurados, os clientes sem fio do Windows XP e do Windows Vista utilizarão somente as suas próprias configurações. Não há configurações de diretiva do Windows Vista, os clientes sem fio do Windows Vista utilizarão as configurações do Windows XP. Este artigo descreve as configurações que podem ser configuradas com a diretiva sem fio do Windows Vista.

Na guia Geral de uma diretiva de rede sem fio do Windows Vista, você pode configurar um nome e uma descrição para a diretiva, especificar se o serviço de Configuração Automática de WLAN está habilitado e configurar a lista de perfis de rede sem fio e suas configurações na ordem preferida (consulte a Figura 2). Você também pode exportar um perfil como um arquivo XML ao selecionar o perfil e clicar em Exportar. Para importar um arquivo XML como um perfil sem fio, clique em Importar e especifique a localização do arquivo.

Figura 2** Propriedades da diretiva de rede sem fio **(Clique na imagem para aumentar a exibição)

A Figura 3 mostra a guia Permissões de rede para uma diretiva de rede sem fio do Windows Vista com suas configurações padrão. Essa guia é nova para o Windows Vista e permite que você especifique redes sem fio pelo nome e se deseja permitir ou negar acesso a elas. Por exemplo, você pode criar uma Lista de permissão contendo nomes de redes sem fio, também conhecida como Identificadores de conjunto de serviço (SSID, Service Set Identifiers) para os quais um cliente sem fio do Windows Vista têm permissão para estabelecer uma conexão. Isso é útil para administradores de rede que querem que computadores laptop da organização sejam conectados a um conjunto específico de redes sem fio, que pode incluir a rede sem fio da organização e provedores de serviços de Internet.

Figura 3** Guia Permissões de rede **(Clique na imagem para aumentar a exibição)

Com uma lista de negações, é possível especificar por nome o conjunto de redes sem fio, para as quais o cliente sem fio não tem permissão para se conectar. Isso é útil para evitar que computadores laptop gerenciados se conectem a outras redes sem fio que estejam dentro do alcance – por exemplo, quando uma organização ocupa um andar de um edifício e há outras redes sem fio de outras organizações nos andares vizinhos. Você também pode impedir que computadores laptop gerenciados se conectem a redes sem fio não protegidas conhecidas usando uma lista de negação. Para criar uma lista ou especificar as redes sem fio individuais que terão acesso concedido ou negado, clique em Adicionar para acrescentar uma rede sem fio por nome e especificar se será permitida ou negada.

Na guia Permissões de rede, também há configurações para impedir conexões a redes ad hoc ou sem fio no modo de infra-estrutura. Você também pode permitir que usuários visualizem as redes sem fio configuradas como negadas, bem como habilitar que qualquer usuário crie um perfil para todos os usuários. Um perfil para todos os usuários pode ser usado para conectar-se a uma rede sem fio específica por qualquer usuário com uma conta no computador. Se essa configuração estiver desabilitada, somente os usuários no grupo Administradores da rede ou Operadores da rede podem criar perfis sem fio para todos os usuários no computador.

Propriedades do perfil de rede sem fio

Para gerenciar um perfil de rede sem fio a partir da guia Geral da diretiva de rede sem fio do Windows Vista, selecione um perfil existente e clique em Editar, ou clique em Adicionar e especifique se o novo perfil sem fio será para uma rede ad hoc ou sem fio no modo de infra-estrutura.

Para criar um novo perfil sem fio, comece pela guia Conexão nomeando o perfil e criando uma lista de nomes de rede sem fio às quais ele se aplica (consulte a Figura 4). Você pode adicionar novos nomes digitando o nome em Nome(s) de rede (SSID) e clicando em Adicionar. Você também pode especificar se o cliente sem fio usando esse perfil tentará automaticamente se conectar às redes sem fio nomeadas no perfil quando no intervalo (sujeito à ordem de preferência da lista dos perfis sem fio na guia Geral da diretiva do Windows Vista). Além disso, você pode indicar se deseja desconectar-se automaticamente da rede sem fio se uma rede sem mais preferida for disponibilizada, e indicar se as redes sem fio nesse perfil são redes sem difusão (também conhecidas como redes ocultas).

Figura 4** Guia Conexão **(Clique na imagem para aumentar a exibição)

Na guia Segurança, mostrada na Figura 5, você pode configurar os métodos de autenticação e criptografia para as redes sem fio no perfil. A seleção dos métodos de criptografia depende da sua escolha do método de autenticação. As opções para cada um são apresentadas na Figura 6.

Figure 6 Métodos de segurança

Figura 5** Guia Segurança **(Clique na imagem para aumentar a exibição)

Se decidir selecionar WPA-Enterprise, WPA2-Enterprise ou Open with 802.1X como o método de autenticação, você também pode configurar o método de autenticação de rede (o tipo EAP [Extensible Authentication Protocol]), o modo de autenticação (reautenticação do usuário, autenticação do computador, autenticação do usuário ou de convidado), o número de vezes que as tentativas de autenticação podem falhar se abandonada e se é possível armazenar em cache as informações do usuário para conexões subseqüentes. A última configuração especifica que os dados de credencial do usuário sejam removidos do Registro quando ele fizer logoff. Isso fará com que as credenciais do usuário sejam solicitadas (como o nome de usuário e a senha) quando ele fizer logon novamente.

Para configurar as definições avançadas de segurança para os métodos de autenticação WPA-Enterprise, WPA2-Enterprise ou Open with 802.1X, clique em Avançado. A Figura 7 mostra a caixa de diálogo das configurações avançadas de segurança padrão.

Figura 7** Caixa de diálogo Configurações avançadas de segurança **(Clique na imagem para aumentar a exibição)

Na seção IEEE 802.1X, você pode especificar o número de mensagens de início EAP sobre LAN (EAPOL) sucessivas enviadas quando não houver resposta inicial das mensagens de início-EAPOL recebidas, bem como o intervalo de tempo entre a retransmissão de mensagens de início-EAPOL quando não houver resposta à mensagem de início-EAPOL enviada anteriormente que foi recebida. Você também pode definir o período para o qual o cliente sendo autenticado não executará qualquer atividade de autenticação 802.1X depois de ter recebido uma indicação de falha de autenticação do autenticador, além do intervalo para o qual o cliente sendo autenticado deverá aguardar para retransmitir quaisquer solicitações 802.1X depois que a autenticação 802.1X fim a fim tiver sido iniciada.

O SSO (Single sign-on, logon único) permite que você configure quando a autenticação 802.1X ocorrerá em relação ao logon do usuário, bem como para integrar o logon do usuário e as credenciais de autenticação 802.1X no servidor de logon do Windows. Na seção de SSO, há configurações para executar a autenticação sem fio imediatamente antes ou depois do processo de logon do usuário, bem como para especificar o número de segundos de atraso da conectividade antes de o processo iniciar. Você também pode indicar se deseja solicitar ao usuário campos adicionais de entrada, caso o método de autenticação requeira que o usuário digite credenciais adicionais e por quanto tempo exibir esses campos, bem como se as redes sem fio desse perfil utilizarão uma LAN virtual (VLAN) para a autenticação do computador ou usuário.

Na seção Roaming rápido, você pode configurar as opções de pré-autenticação e cache PMK (Pairwise Master Key, chave mestre de paridade). A seção Roaming rápido aparece somente quando você selecionar WPA2-Enterprise como o método de autenticação. Com o cache PMK, os clientes sem fio e pontos de acesso sem fio (APs, access points) armazenam em cache os resultados das autenticações 802.1X. Portanto, o acesso é muito mais rápido quando um cliente sem fio efetua roam de volta para um AP sem fio, para o qual o cliente já foi autenticado. Você pode configurar um tempo máximo para manter uma entrada no cache PMK e o número máximo de entradas. Com a pré-autenticação, um cliente sem fio pode executar uma autenticação 802.1X com outros APs sem fio no seu intervalo enquanto ainda estiver conectado no seu atual AP sem fio. Se o cliente sem fio efetuar roam em um AP sem fio, o qual já sido pré-autenticado, o tempo de acesso será substancialmente maior. Você pode configurar o número máximo de vezes para tentativas de pré-autenticação com um AP sem fio.

Para obter mais informações sobre o suporte sem fio no Windows, consulte microsoft.com/wifi. Para obter mais informações sobre a Diretiva de Grupo do Windows, consulte os recursos no site microsoft.com/gp.

Joseph Davies é redator técnico da Microsoft, e vem ensinando e escrevendo sobre tópicos de sistema de redes Windows desde 1992. Escreveu cinco livros para a Microsoft Press e é autor da coluna mensal The Cable Guy da Technet (em inglês).

© 2008 Microsoft Corporation e CMP Media, LLC. Todos os direitos reservados. A reprodução parcial ou completa sem autorização é proibida..