O Microsoft Challenge Handshake Authentication Protocol versão 2 (MS-CHAP v2) é um protocolo de autenticação baseado em palavra-passe, utilizado frequentemente como método de autenticação em VPNs baseados em PPTP (Point to Point Tunneling Protocol). A Microsoft adverte que quaisquer organizações que utilizem o MS-CHAP v2 sem encapsulamento em conjunto com túneis PPTP para conectividade VPN estão a funcionar com uma configuração potencialmente não segura. 

INTRODUÇÃO

A Microsoft sugere que as organizações que utilizem o MS-CHAP v2/PPTP implementem o Protocolo de Autenticação Extensível Protegida (PEAP) nas respectivas redes. Isto mitiga esta técnica ao encapsular o tráfego de autenticação MS-CHAP v2 em TLS.

Configurar o PPTP para utilizar o PEAP-MS-CHAP v2 para autenticação

PEAP-MS-CHAP v2

O PEAP com o MS-CHAP v2 como método de autenticação de cliente é uma forma para ajudar a proteger a autenticação VPN. Para reforçar a utilização do PEAP em plataformas cliente, os servidores do Windows Routing and Remote Access Server (RRAS) deverão ser configurados para permitir apenas ligações que utilizem a autenticação PEAP e para recusar ligações de clientes que utilizem o MS-CHAP v2 ou EAP-MS-CHAP v2. Os administradores têm de verificar as opções do método de autenticação correspondente no servidor RRAS e no Servidor de Políticas de Rede (NPS). Os administradores têm também de confirmar o seguinte:

  • A validação de certificados do servidor está ACTIVADA. (O comportamento predefinido é ACTIVADO.)

  • A validação do Nome do Servidor está ACTIVADA. (O comportamento predefinido é ACTIVADO.) O nome correcto do servidor tem de estar especificado.

  • O certificado de raiz a partir do qual o certificado do Servidor foi emitido está instalado correctamente no arquivo do sistema cliente e ACTIVADO. (Sempre ACTIVADO).

  • No Windows 7, Windows Vista e Windows XP, a caixa de verificação Não perguntar ao utilizador para autorizar novos servidores ou autoridades de certificação fiáveis na janela de propriedades PEAP deverá estar marcada. Por predefinição, está desmarcada.

Configurar o Servidor RRAS para o método de autenticação PEAP-MS-CHAP v2

O procedimento para configurar o método de autenticação PEAP-MS-CHAP v2 para o servidor RRAS e para desactivar os métodos menos seguros MS-CHAP v2 e EAP-MS-CHAP v2 é brevemente descrito nos passos seguintes. Configurar o método de autenticação para RRASPara tal, siga estes passos:

  1. Na janela Gestão do Servidor RRAS, abra a caixa de diálogo Propriedades do Servidor e, em seguida, clique no separador Segurança.

  2. Clique em Métodos de Autenticação.

  3. Certifique-se de que a caixa de verificação EAP está seleccionada e de que a caixa de verificação MS-CHAP v2 não está seleccionada.

Configurar ligações para NPSConfigure o Servidor de Políticas de Rede (NPS) para permitir apenas ligações a partir de clientes que utilizem o método de autenticação PEAP-MS-CHAP v2. Para configurar o NPS, siga estes passos:

  1. Abra a IU do NPS, clique em Políticas e, em seguida, clique em Políticas de Rede.

  2. Clique com o botão direito do rato em Ligações ao servidor de 'Encaminhamento e acesso remoto' da Microsoft e clique em Propriedades.

  3. Na IU Propriedades, clique no separador Restrições.

  4. No painel Restrições esquerdo, seleccione Métodos de Autenticação e, em seguida, clique para desmarcar as caixas de verificação para os métodos MS-CHAP e MS-CHAP-v2.

  5. Remova EAP-MS-CHAP v2 da lista Tipos de EAP.

  6. Clique em Adicionar, seleccione Método de autenticação PEAP e, em seguida, clique em OK.Nota Tem de estar instalado um certificado de Servidor válido no arquivo "Pessoal" e um certificado de raiz válido no arquivo "AC de raiz confiável" do servidor antes de configurar a ligação NPS.

  7. Clique em Editar e, em seguida, seleccione EAP-MS-CHAP v2 como o método de autenticação.

Configurar o Cliente RRAS para método de autenticação PEAP-MS-CHAP v2

Os clientes VPN do Windows podem ser configurados para utilizar o método de autenticação PEAP-MS-CHAP v2 ao seleccionar o método correspondente a partir da IU de propriedades de ligação VPN e ao instalar o certificado de raiz adequado no sistema cliente.

Recomendações

Facebook LinkedIn E-mail

Precisa de mais ajuda?

Quer mais opções?

Descobrir Comunidade

Explore os benefícios da subscrição, navegue em cursos de formação, saiba como proteger o seu dispositivo e muito mais.

Benefícios da subscrição do Microsoft 365

Formação do Microsoft 365

Segurança da Microsoft

Centro de acessibilidade

As comunidades ajudam-no a colocar e a responder perguntas, a dar feedback e a ouvir especialistas com conhecimentos abrangentes.

Pergunte à Comunidade Microsoft

Microsoft Tech Community (Comunidade Tecnológica Microsoft)

Utilizadores do Windows Insider

Microsoft 365 Insiders