Opções de autenticação VPN
Além dos métodos de autenticação baseada em senha mais antigos e menos seguros (que devem ser evitados), a solução VPN interna usa o protocolo EAP (Extensible Authentication Protocol) para fornecer autenticação segura usando os métodos baseados em nome de usuário e senha e em certificado. Somente é possível configurar a autenticação baseada em EAP se você selecionar um tipo de VPN interno (IKEv2, L2TP, PPTP ou Automático).
O Windows oferece suporte a vários métodos de autenticação EAP.
EAP-Microsoft Challenge Handshake Authentication Protocol versão 2 (EAP-MSCHAPv2):
- Autenticação com nome de usuário e senha
- Credenciais do Winlogon – podem especificar a autenticação com credenciais de entrada do computador
EAP-Transport Segurança de Camada (EAP-TLS):
Dá suporte aos seguintes tipos de autenticação de certificado:
- Certificados com chaves no KSP (Provedor de Armazenamento de Chaves) do software
- Certificados com chaves no KSP do Trusted Platform Module (TPM)
- Certificados de cartão inteligentes
- Certificado do Windows Hello para Empresas
Filtragem de certificado:
- A filtragem de certificado pode ser habilitada para procurar um determinado certificado para ser usado na autenticação
- A filtragem pode ser baseada em EKU (uso de chave estendida ou baseada em emissor)
Validação do servidor – com o TLS, a validação do servidor pode ser alternada ativada ou desativada:
- Nome do servidor – especifique o servidor a ser validado
- Certificado do servidor – certificado raiz confiável para validar o servidor
- Notificação – especifique se o usuário deve receber uma notificação perguntando se é para confiar no servidor ou não
Protocolo de Autenticação Extensível Protegido (PEAP):
Validação do servidor – com PEAP, a validação do servidor pode ser alternada ativada ou desativada:
- Nome do servidor – especifique o servidor a ser validado
- Certificado do servidor – certificado raiz confiável para validar o servidor
- Notificação – especifique se o usuário deve receber uma notificação perguntando se é para confiar no servidor ou não
Método interno – o método externo cria um túnel seguro dentro enquanto o método interno é usado para concluir a autenticação:
- EAP-MSCHAPv2
- EAP-TLS
Reconexão Rápida: reduz o atraso entre uma solicitação de autenticação de um cliente e a resposta do NPS (Servidor de Política de Rede) ou outro servidor RADIUS. Isso reduz os requisitos de recursos para o cliente e o servidor e minimiza o número de vezes que os usuários são solicitados a inserir as credenciais.
Criptografia: ao derivar e trocar valores do material chave da fase 1 do PEAP (Tunnel Key) e do material chave de método EAP interno da fase 2 do PEAP (Chave de Sessão Interna), é possível provar que as duas autenticações terminam nas mesmas duas entidades (par PEAP e servidor PEAP). Esse processo, chamado "cryptobinding", é usado para proteger a negociação PEAP contra ataques "Man in the Middle".
TTLS (Tunneled Transport Layer Security)
- Método interno
- Não EAP
- Protocolo PAP
- CHAP
- MSCHAP
- MSChapv2
- EAP
- MSChapv2
- TLS
- Não EAP
- Validação do servidor: no TTLS, o servidor deve ser validado. Os parâmetros a seguir podem ser configurados:
- Nome do servidor
- Certificado raiz confiável para o certificado do servidor
- Se deve haver uma notificação de validação do servidor
- Método interno
Para um plug-in de VPN UWP, o fornecedor do aplicativo controla o método de autenticação a ser usado. Os seguintes tipos de credenciais podem ser usados:
- Cartão inteligente
- Certificado
- Windows Hello para Empresas
- Nome de usuário e senha
- Senha de uso único
- Tipo de credencial personalizada
Configurar autenticação
Consulte Configuração do EAP para saber a configuração XML do protocolo EAP.
Observação
Para configurar a autenticação do Windows Hello para Empresas, siga as etapas em Configuração do EAP para criar um certificado de cartão inteligente. Saiba mais sobre Windows Hello para Empresas..
A imagem a seguir mostra o campo para XML do EAP em um perfil de VPN do Microsoft Intune. O campo XML do EAP só aparece quando você seleciona um tipo de conexão interno (automático, IKEv2, L2TP, PPTP).
