A versão 2 do Protocolo CHAP (Challenge Handshake Authentication Protocol) da Microsoft é um protocolo baseado em senha amplamente usado como um método de autenticação nos VPNs baseados em PPTP (Point to Point Tunneling Protocol). A Microsoft recomenda que qualquer organização que usa o MS-CHAP v2 sem encapsulamento em conjunção com túneis PPTP para conectividade VPN estão executando uma configuração potencialmente não segura. 

INTRODUÇÃO

A Microsoft sugere que as organizações que usam o MS-CHAP v2/PPTP implementem o PEAP (EAP protegido) em suas redes. Isto atenua esta técnica através do encapsulamento do tráfego de autenticação do MS-CHAP v2 no TLS.

Configure o PPTP para usar o PEAP-MS-CHAP v2 para autenticação

PEAP-MS-CHAP v2

O PEAP com MS-CHAP v2 como o método de autenticação de cliente é uma maneira de ajudar a proteger a autenticação VPN. Para impor o uso do PEAP em plataformas de cliente, os servidores do roteamento do Windows e do Servidor de acesso remoto (RRAS) devem ser configurados para permitir somente conexões que usam a autenticação PEAP e recusam as conexões de clientes que usam o MS-CHAP v2 ou EAP-MS-CHAP v2. Os administradores devem verificar as opções do método de autenticação correspondente no servidor RRAS e no servidor NPS (Servidor de Políticas de Rede). 

Os administradores também devem confirmar o seguinte:

  • A validação do certificado do servidor está ativada. (O comportamento padrão é ativada.)

  • A validação do nome do servidor está ativada. (O comportamento padrão é ativada.) O nome correto do servidor deve ser especificado.

  • O certificado raiz no qual o certificado do Servidor foi emitido está instalado corretamente no repositório do sistema cliente e está ativado. (Sempre Ativado).

  • No Windows 7, Windows Vista e Windows XP, a caixa de seleção Não solicitar ao usuário autorização para novos servidores ou autoridades de certificação confiáveis. na janela propriedades PEAP deve estar habilitada. Por padrão, está desabilitada.

Configure o Servidor RRAS para o método de autenticação PEAP-MS-CHAP v2

O procedimento para configurar o método de autenticação PEAP-MS-CHAP v2 para o servidor RRAS e para desativar os métodos menos seguros MS-CHAP v2 e EAP-MS-CHAP v2 estão descritos brevemente nas seguintes etapas. 

Configure o método de autenticação para o RRAS

Para fazer isto, siga estas etapas:

  1. Na janela de Gerenciamento do Servidor RRAS, abra a caixa de diálogo Propriedades do servidor e clique na guia Segurança.

  2. Clique em Métodos de autenticação.

  3. Certifique-se de que a caixa de seleção EAP esteja marcada e que a caixa de seleção MS-CHAP v2 não esteja marcada.

Configure as conexões para NPS

Configure o NPS (Servidor de Políticas de Rede) para apenas permitir conexões de clientes que usam o método de autenticação PEAP-MS-CHAP v2. Para configurar o NPS, siga estas etapas:

  1. Abra o NPS UI, clique em Políticas e em Políticas de Rede.

  2. Clique com o botão direito do mouse em Conexões com o servidor de Roteamento e Acesso Remoto da Microsoft e selecione Propriedades.

  3. Em Propriedades UI, clique na guia Restrições .

  4. No painel esquerdo Restrições, selecione Métodos de autenticação e clique para desmarcar as caixas de seleção para os métodos MS-CHAP e MS-CHAP-v2.

  5. Remova o EAP-MS-CHAP v2 da lista Tipos de EAP .

  6. Clique em Adicionar, selecione o método de autenticação PEAP e clique em OK.


    Observação Um certificado de servidor válido deve estar instalado no repositório "Pessoal" e um certificado raiz válido deve estar instalado no repositório "CA raiz confiável" do servidor antes de configurar a conexão NPS.

  7. Clique em Editar e selecione EAP-MS-CHAP v2 como o método de autenticação.

Configure o cliente RRAS para o método de autenticação PEAP-MS-CHAP v2

Os clientes VPN do Windows podem ser configurados para usar o método de autenticação PEAP-MS-CHAP v2 ao selecionar o método correspondente das propriedades UI da conexão VPN e ao instalar o certificado raiz apropriado no sistema cliente.

Recomendações

Precisa de mais ajuda?

Expanda suas habilidades
Explore o treinamento
Obtenha novos recursos primeiro
Ingressar no Microsoft Insider

Estas informações foram úteis?

Qual é o seu grau de satisfação com a qualidade da tradução?

O que afetou sua experiência?

Algum comentário adicional? (Opcional)

Obrigado por seus comentários!

×