The Cable GuyAutenticação com fio IEEE 802.1X

Joseph Davies

Este artigo se baseia em uma versão de pré-lançamento do Windows Server 2008. Os detalhes deste artigo estão sujeitos a alterações.

Com o aumento na popularidade da autenticação IEEE 802.1X para redes sem fio IEEE 802.11, os administradores de rede também podem desejar usar esse padrão para suas conexões de rede com fio. Assim como um cliente sem fio deve enviar um conjunto de credenciais a serem validadas antes de permitir que quadros sem fio sejam encaminhados para a intranet, um

cliente com fio IEEE 802.1X deve executar uma autenticação antes de poder usar sua porta do comutador. A autenticação IEEE 802.1X fornece uma barreira de segurança adicional para a sua intranet – você pode impedir que computadores convidados, não autorizados ou não gerenciados que não executem uma autenticação bem-sucedida conectem-se à sua intranet.

A autenticação IEEE 802.1X provavelmente já é compatível com os seus comutadores com fio e apenas precisa ser habilitada e configurada. Para a autenticação e a autorização de uma conexão com fio, os computadores compatíveis com 802.1X geralmente utilizam o protocolo RADIUS (Remote Authentication Dial-In User Service) para enviar informações de solicitação de conexão para um servidor RADIUS, como NPS (Servidor de diretivas de rede) baseado no Windows Server® 2008 ou um servidor de IAS (Serviço de autenticação da Internet) do Windows Server 2003.

Depois que configurar seus comutadores para RADIUS mas antes de exigir a autenticação 802.1X, você precisará habilitar e configurar a autenticação 802.1X nos seus computadores com fio. A autenticação IEEE 802.1X para conexões de rede com fio é compatível com o Microsoft® Windows® desde o Windows XP. No entanto, você deve definir manualmente as configurações de autenticação 802.1X no Windows XP e Windows Server 2003 em cada cliente com fio individual (a partir da guia Autenticação das propriedades de uma conexão de rede na pasta Conexões de rede). Infelizmente, não há como configurar centralmente ou criptografar configurações 802.1X com fio para esses sistemas operacionais anteriores.

Felizmente, o suporte a configurações com fio na Diretiva de grupo e o suporte a script com a ferramenta Netsh no Windows Vista® e no Windows Server 2008 significam que a implantação de configurações com fio 802.1X é muito mais simples do que antes.

Configurações de rede com fio na diretiva de grupo

Como usar o serviço AutoConfig com fio

No Windows XP e no Windows Server 2003, o comportamento de 802.1X em conexões com fio é controlado pelo serviço Configuração zero sem Fio. Nesses sistemas operacionais, esse serviço foi habilitado por padrão e conexões de rede com fio foram colocadas em um modo de escuta passivo, aguardando para que o comutador inicie a autenticação.

Em contraste, no Windows Vista e no Windows Server 2008, o serviço AutoConfig com rede controla o comportamento 802.1X em conexões com fio, mas é desabilitado por padrão. Portanto, a guia Autenticação das propriedades de conexões de rede não aparece até que o serviço AutoConfig com fio seja iniciado.

Para um cliente com fio individual executando o Windows Vista ou Windows Server 2008, você pode usar o snap-in Serviços para iniciar o serviço AutoConfig com fio e configurá-lo para inicialização automática. Quando o serviço AutoConfig com fio for iniciado, as conexões de rede com fio operam em um modo de escuta ativo no qual a conexão de rede tenta iniciar a autenticação com o comutador.

Para um domínio Active Directory, você pode usar a Diretiva de grupo para configurar o serviço AutoConfig com rede para inicialização automática. Usando o snap-in Editor de gerenciamento da diretiva de grupo, define a Configuração do Computador | Configurações de Segurança | Serviços do Sistema | configuração AutoConfig com fio como modo de inicialização Automático.

Para centralizar e automatizar a definição de configurações de rede com fio, os serviços de domínio do Windows Server 2008 e do Windows Server 2003 Active Directory® são compatíveis com as configurações de diretiva com fio na Diretiva de grupo. Essas definições permitem que você defina configurações de rede com fio como parte da Diretiva de grupo de configuração do computador para um objeto da diretiva de grupo com base em domínio.

Com essas configurações de diretiva com fio, você pode especificar o método de autenticação e outras configurações de 802.1X para clientes com fio executando o Windows Server 2008 ou o Windows Vista. Ao ingressar no domínio, inicializar ou periodicamente depois de iniciar, esses sistemas operacionais baixam automaticamente as configurações da Diretiva de grupo com fio e as aplicam. Apenas observe que um domínio Active Directory do Windows 2003 deve ser ampliado para que seja compatível com essas novas diretivas. Para obter mais informações sobre como ampliar um domínio Active Directory do Windows Server 2003, consulte technet.microsoft.com/bb727029.

Você pode configurar diretivas com fio a partir do nó Configuração do Computador | Configurações do Windows | Configurações de Segurança | Diretivas de Rede com Fio (IEEE 802.3) no snap-in Editor de gerenciamento da diretiva de grupo. Por padrão, não há diretivas de rede com fio (IEEE 802.3). Para criar uma nova diretiva, clique com o botão direito do mouse em Diretivas de Rede com Fio (IEEE 802.3) na árvore de console e clique em Criar uma nova diretiva do Windows Vista.

A caixa de diálogo de propriedades de uma diretiva com fio do Windows Vista consiste em uma guia Geral e uma guia Segurança. A Figura 1 mostra a guia Geral padrão. Na guia Geral, você pode configurar um nome e uma descrição para a diretiva e especificar se é necessário usar o serviço AutoConfig com fio, que controla o comportamento 802.1X em conexões com fio. Para obter mais informações, consulte a barra lateral "Como usar o serviço AutoConfig com fio" desta coluna.

Figura 1** A guia Geral padrão de uma diretiva com fio do Windows Vista **

A Figura 2 mostra a guia Segurança padrão de uma diretiva com fio do Windows Vista. Na guia Segurança, você pode habilitar ou desabilitar a autenticação 802.1X, selecionar e configurar o método de autenticação EAP (Extensible Authentication Protocol), selecionar o modo de autenticação (reautenticação do usuário, somente computador, autenticação do usuário ou autenticação de convidado), configurar o número de vezes de tentativas de autenticação com falha antes de a autenticação ser abandonada, bem como configurar se as informações do usuário devem ser armazenadas em cache para conexões subseqüentes. Quando o armazenamento em cache estiver desabilitado, o Windows removerá os dados de credenciais do usuário do Registro quando o usuário fizer logoff. Isso fará com que as credenciais do usuário sejam solicitadas (como o nome de usuário e a senha) quando ele fizer logon novamente.

Figura 2** A guia Segurança padrão de uma diretiva com fio do Windows Vista **

Quando você clicar no botão Avançado, na guia Segurança, poderá definir as configurações avançadas para 802.1X e Logon único. A Figura 3 mostra a caixa de diálogo de configurações de segurança Avançadas de uma diretiva com fio do Windows Vista. Da caixa de diálogo de configurações de segurança Avançadas, você poderá definir as configurações de 802.1X exibidas na Figura 4.

Figure 4 Configurações de 802.1X na caixa de diálogo configurações de segurança Avançadas

Figura 3** A caixa de diálogo de configurações de segurança Avançadas de uma diretiva com fio do Windows Vista. **

Os clientes com fio executando o Windows Server 2008 são compatíveis com o Logon único para conexões com fio. Esse recurso também está previsto para o próximo lançamento do Windows Vista Service Pack 1. Mais informações estão disponíveis online em technetmagazine.com/issues/2007/11/CableGuy.

Há configurações de logon único disponíveis para realizar a autenticação de 802.1X no nível de usuário antes ou logo após o processo de logon do usuário e aguardar o número configurado de segundos para que a autenticação de 802.1X seja concluída antes do início do processo de logon do usuário. Também é possível determinar se caixas de diálogo devem ou não ser exibidas para a autenticação no nível de usuário além da consolidação dos campos de entrada na tela de logon do Windows. Por exemplo, caso um tipo de EAP queira que o usuário confirme o certificado enviado do serviço RADIUS durante a autenticação, o tipo de EAP pode exibir a caixa de diálogo.

Além disso, você pode especificar se, depois da autenticação no nível de usuário, o sistema deve iniciar a renovação do protocolo DHCP (Dynamic Host Configuration Protocol) da configuração TCP/IP do adaptador com fio. Selecione essa opção caso haja VLANs (LANs virtuais) separadas para clientes sem fio autenticados no nível de computador e usuário e se essas VLANs forem sub-redes IPv4 ou IPv6 diferentes.

Suporte a script com a ferramenta Netsh

O Windows Server 2008 e o Windows Vista são compatíveis com comandos no contexto netsh lan da ferramenta para a definição de configurações com fio ou exportação ou importação de um perfil com fio, que é um conjunto nomeado de configurações com fio no formato XML. Com a configuração da linha de comando das configurações com fio, você poderá implantar mais facilmente redes com fio ao criar scripts automatizados para configurações com fio sem usar a Diretiva de grupo. As configurações da Diretiva de grupo da rede com fio (IEEE 802.3) aplicam-se somente ao domínio Active Directory. Para um ambiente sem uma infra-estrutura de Diretiva de grupo, um script que automatiza a configuração de conexões com fio com um perfil com fio pode ser executado manual ou automaticamente, inclusive como parte do script de logon.

Para executar a configuração da linha de comando de clientes com fio executando o Windows Vista ou o Windows Server 2008, execute comandos netsh lan com os parâmetros apropriados. Por exemplo, o seguinte comando habilita o Logon único da conexão de rede nomeado “Conexão de área local” e configura o logon único para que execute a autenticação do usuário antes do logon do usuário:

netsh lan set profileparameter interface="Local Area Connection" ssomode=prelogon 

Para obter mais informações sobre a sintaxe do comando netsh lan, consulte technet.microsoft.com/aa905084.

Os perfis XML com fio podem ser exportados a partir de um cliente com fio do Windows Server 2008 ou Windows Vista e então importados para um cliente com fio do Windows Server 2008 ou Windows Vista usando a ferramenta Netsh. Para exportar um perfil com fio, use o comando de perfil de exportação netsh lan. Se você quiser importar um perfil com fio, use o comando de perfil de acréscimo netsh lan. Para obter alguns exemplos úteis de perfis com fio, consulte msdn2.microsoft.com/aa816372.

Com a linha de comando e o suporte a perfil XML, você pode inicializar um cliente com fio na rede com fio autenticada com 802.1X da organização. Um computador cliente com fio que não for membro do domínio não poderá se conectar à rede com fio usando credenciais do computador. Além disso, um computador não pode ingressar no domínio até que tenha se conectado com êxito à rede com fio. No entanto, a linha de comando e o suporte a perfil XML permitem que um computador com fio se conecte à rede com fio da organização usando credenciais de usuário e, em seguida, ingresse o computador no domínio. Para obter mais informações, consulte technet.microsoft.com/bb727031.

Joseph Davies é redator técnico da Microsoft. Além disso, ensina e escreve sobre assuntos relacionados a sistemas de rede do Windows desde 1992. Ele tem cinco livros publicados pela Microsoft Press e é autor da coluna mensal online da TechNet, The Cable Guy.

© 2008 Microsoft Corporation e CMP Media, LLC. Todos os direitos reservados. A reprodução parcial ou completa sem autorização é proibida..