A versão 2 do Protocolo CHAP (Challenge Handshake Authentication Protocol) da Microsoft é um protocolo baseado em senha amplamente usado como um método de autenticação nos VPNs baseados em PPTP (Point to Point Tunneling Protocol). A Microsoft recomenda que qualquer organização que usa o MS-CHAP v2 sem encapsulamento em conjunção com túneis PPTP para conectividade VPN estão executando uma configuração potencialmente não segura.
INTRODUÇÃO
A Microsoft sugere que as organizações que usam o MS-CHAP v2/PPTP implementem o PEAP (EAP protegido) em suas redes. Isto atenua esta técnica através do encapsulamento do tráfego de autenticação do MS-CHAP v2 no TLS.
Configure o PPTP para usar o PEAP-MS-CHAP v2 para autenticação
PEAP-MS-CHAP v2
O PEAP com MS-CHAP v2 como o método de autenticação de cliente é uma maneira de ajudar a proteger a autenticação VPN. Para impor o uso do PEAP em plataformas de cliente, os servidores do roteamento do Windows e do Servidor de acesso remoto (RRAS) devem ser configurados para permitir somente conexões que usam a autenticação PEAP e recusam as conexões de clientes que usam o MS-CHAP v2 ou EAP-MS-CHAP v2. Os administradores devem verificar as opções do método de autenticação correspondente no servidor RRAS e no servidor NPS (Servidor de Políticas de Rede).
Os administradores também devem confirmar o seguinte:
-
A validação do certificado do servidor está ativada. (O comportamento padrão é ativada.)
-
A validação do nome do servidor está ativada. (O comportamento padrão é ativada.) O nome correto do servidor deve ser especificado.
-
O certificado raiz no qual o certificado do Servidor foi emitido está instalado corretamente no repositório do sistema cliente e está ativado. (Sempre Ativado).
-
No Windows 7, Windows Vista e Windows XP, a caixa de seleção Não solicitar ao usuário autorização para novos servidores ou autoridades de certificação confiáveis. na janela propriedades PEAP deve estar habilitada. Por padrão, está desabilitada.
Configure o Servidor RRAS para o método de autenticação PEAP-MS-CHAP v2
O procedimento para configurar o método de autenticação PEAP-MS-CHAP v2 para o servidor RRAS e para desativar os métodos menos seguros MS-CHAP v2 e EAP-MS-CHAP v2 estão descritos brevemente nas seguintes etapas.
Configure o método de autenticação para o RRAS
Para fazer isto, siga estas etapas:
-
Na janela de Gerenciamento do Servidor RRAS, abra a caixa de diálogo Propriedades do servidor e clique na guia Segurança.
-
Clique em Métodos de autenticação.
-
Certifique-se de que a caixa de seleção EAP esteja marcada e que a caixa de seleção MS-CHAP v2 não esteja marcada.
Configure as conexões para NPS
Configure o NPS (Servidor de Políticas de Rede) para apenas permitir conexões de clientes que usam o método de autenticação PEAP-MS-CHAP v2. Para configurar o NPS, siga estas etapas:
-
Abra o NPS UI, clique em Políticas e em Políticas de Rede.
-
Clique com o botão direito do mouse em Conexões com o servidor de Roteamento e Acesso Remoto da Microsoft e selecione Propriedades.
-
Em Propriedades UI, clique na guia Restrições .
-
No painel esquerdo Restrições, selecione Métodos de autenticação e clique para desmarcar as caixas de seleção para os métodos MS-CHAP e MS-CHAP-v2.
-
Remova o EAP-MS-CHAP v2 da lista Tipos de EAP .
-
Clique em Adicionar, selecione o método de autenticação PEAP e clique em OK.
Observação Um certificado de servidor válido deve estar instalado no repositório "Pessoal" e um certificado raiz válido deve estar instalado no repositório "CA raiz confiável" do servidor antes de configurar a conexão NPS. -
Clique em Editar e selecione EAP-MS-CHAP v2 como o método de autenticação.
Configure o cliente RRAS para o método de autenticação PEAP-MS-CHAP v2
Os clientes VPN do Windows podem ser configurados para usar o método de autenticação PEAP-MS-CHAP v2 ao selecionar o método correspondente das propriedades UI da conexão VPN e ao instalar o certificado raiz apropriado no sistema cliente.
