Ferramentas do administrador

Pacotes do administrador para Windows XP*

NOTA: Para criar e exportar um pacote para um computador executando o Microsoft Windows Vista*, é necessário criá-lo em um computador executando esse mesmo sistema operacional. Não é possível criar um pacote para Windows Vista em um computador executando o Microsoft Windows XP*.

Perfis do administrador

Esses perfis são comuns ou compartilhados por todos os usuários deste computador. Entretanto, os usuários finais não podem modificar esses perfis. Os perfis só podem ser alterados na Ferramenta do administrador, que é protegida por senha.

Há dois tipos de Perfis de administrador: Persistente e Pré-login/Comum.

Perfil Persistentes

Os perfis persistentes são aplicados no período de inicialização ou quando ninguém estiver logado no computador. Após o logoff de um usuário, um perfil Persistente mantém uma conexão sem fio até que o computador seja desligado ou se um usuário diferente fizer o login.

Principais aspectos do Perfil Persistente:

• É possível criar os seguintes tipos de perfis Persistentes:
  • Todos os perfis que não exigem autenticação da 802.1X (por exemplo, Autenticação aberta com criptografia WEP, Autenticação aberta sem criptografia).
  • Todos os perfis com autenticação da 802.1X que possuem as credenciais gravadas: LEAP ou EAP-FAST.
  • Os perfis com configurações de segurança que incluem a opção "Usar o nome de usuário e senha a seguir".
  • Os perfis que usam o certificado do computador para se autenticar.
  • Os perfis WPA*-Empresa que não usam um certificado do usuário.
  • Perfis WPA-Pessoal.
• Os perfis persistentes são aplicados quando o sistema é ligado e após um logoff do usuário

NOTA: O Utilitário de Conexão WiFi tem suporte para certificados de máquina. Contudo, eles não constam nas listas de certificados.

Para criar um perfil Persistente:

1. Clique em Incluir perfis neste pacote.
2. Clique em Persistente.
3. Clique em Adicionar para abrir a página Configurações gerais.
4. Nome do perfil: Digite um nome descritivo do perfil.
5. Nome da rede sem fio (SSID): Digite o nome da rede sem fio.
6. Modo de operação: Rede (Infra-estrutura) está selecionada, por padrão.
7. Tipo de perfil do administrador: Persistente: A opção Ativo quando nenhum usuário estiver logado está selecionada.
8. Clique em Avançar.
9. Clique em Segurança corporativa para abrir as Configuração de segurança. Consulte TLS, TTLS, PEAP, LEAP ou EAP-FAST para obter informações sobre a configuração da segurança do 802.1X.
10. Clique em OK.

Pré-login/Comum

Os perfis Pré-login/Comum são aplicados antes do login do usuário. Se o suporte para Sign-on único estiver instalado, a conexão será estabelecida antes da seqüência de login no Windows (Pré-login/Comum).

Se o suporte para Sign-on único não estiver instalado, o perfil será aplicado assim que a sessão do usuário estiver ativa. Os perfis Pré-login/Comum sempre aparecem no início da Lista de perfis. Os usuários também podem priorizar os perfis que eles mesmos criaram mas não podem priorizar novamente os perfis Pré-login/Comum. Como esses perfis são posicionados no início da Lista de perfis, primeiramente o Utilitário de Conexão WiFi tenta se conectar automaticamente com os perfis do Administrador, antes de quaisquer perfis criados pelo usuário.

NOTA: Somente os administradores podem criar ou exportar perfis Pré-Login/Comum.

Os principais aspectos da Conexão pré-login são:

• A Conexão pré-login só está ativa durante o login no Windows.
• É possível criar os seguintes tipos de perfis como Pré-login/Comum:
  • Os perfis PEAP, TTLS ou EAP-FAST do 802.1X que usam as credenciais "Usar o nome de usuário e senha de login do Windows" ou "Usar o nome de usuário e senha a seguir", ao configurar as configurações de segurança do perfil.
  • Os perfis LEAP que usam as credenciais "Solicitar o nome do usuário e senha" ao configurar as configurações de segurança do perfil.
  • Os perfis PEAP ou TTLS da rede 802.1X com certificados do usuário ou do computador (o usuário deve ter direitos administrativos para usar os certificados do computador).
  • Os perfis TLS que usam certificados digitais para verificar a identidade de um cliente e servidor.
  • Os perfis EAP-SIM que usam um cartão SIM (Subscriber Identity Module) para validar suas credenciais junto à rede.
  • Todos os perfis Comuns ou Baseados no usuário não associados ao padrão 802.1X (Aberta e WEP).
• Um perfil Pré-login/Comum é aplicado durante o login do usuário no Windows.

Status da Conexão Pré-login/Comum

O suporte para perfis Pré-login/Comum é instalado durante uma instalação Personalizada do Utilitário de Conexão WiFi. Consulte Instalar ou desinstalar o recurso Sign-on único, para obter mais informações.

NOTA: Se os recursos do Sign-on único ou da Conexão Pré-Login não estiverem instalados, ainda assim o administrador poderá criar perfis de Pré-Login/Comuns para exportar para o computador de um usuário.

Os parágrafos a seguir descrevem o funcionamento do recurso Conexão pré-login ao ligar o sistema. Presume-se a existência de um perfil gravado. Esse perfil gravado possui as configurações de segurança válidas, marcadas com a opção "Usar o nome de usuário e senha de login do Windows", aplicadas durante o login no Windows.

1. Após a inicialização de um sistema, digite seu domínio, nome de usuário e senha de login no Windows.
2. Clique em OK. A página Status do perfil Pré-login/Comum indica o andamento da conexão da rede. Depois que o adaptador sem fio se conectar ao ponto de acesso da rede, a página Status se fechará e será exibido o diálogo de login do usuário do Windows.
   • Se o ponto de acesso correspondente recusar suas credenciais durante a conexão Pré-login/Comum, você será instruído a informar suas credenciais de usuário.
   • Digite suas credenciais.
   • Clique em OK. O perfil será aplicado e a página Status indicará o andamento do status da conexão até você fazer login no Windows.
   • Clique em Cancelar na página Credenciais, para selecionar outro perfil.

NOTA: Um certificado do usuário só pode ser acessado por um usuário autenticado no computador. Portanto, um usuário deve se conectar ao computador uma vez (usando uma conexão a cabo, perfil alternativo ou login local) antes de usar um perfil Pré-login/Comum que se autentica com um certificado do usuário.

Quando você fizer logoff, toda conexão sem fio será desconectada e será aplicado um perfil persistente (se estiver disponível). Em certas circunstâncias, é preferível manter a conexão atual (por exemplo, se for necessário fazer o upload de dados específicos do usuário para o servidor, depois do logoff, ou quando são usados os perfis de roaming).

Crie um perfil marcado como Pré-login/Comum e persistente, para atingir essa funcionalidade. Se esse perfil estiver ativo quando o usuário fizer logoff, a conexão será mantida.

Para criar um Perfil Pré-login/Comum:

1. Clique em Incluir perfis neste pacote.
2. Clique em Pré-login/Comum.
3. Clique em Adicionar para abrir a página Configurações gerais.
4. Nome do perfil: Digite um nome descritivo do perfil.
5. Nome da rede sem fio (SSID): Digite o identificador da rede.
6. Modo de operação: Rede (Infra-estrutura) está selecionada, por padrão.
7. Tipo de perfil do administrador: Pré-login/Comum: Ativo quando um usuário faz login. Este perfil é compartilhado por todos os usuários. Esse tipo de perfil já estará selecionado.
8. Clique em Avançar.
9. Clique em Avançado para abrir e configurar as Configurações avançadas. Consulte Configurações avançadas.
10. Clique em OK para fechar as Configurações avançadas.
11. Clique em Segurança corporativa para abrir as Configuração de segurança. Consulte EAP-SIM, TLS, TTLS, PEAP, LEAP ou EAP-FAST para obter informações sobre a configuração da segurança do 802.1X.
12. Clique em OK para salvar o perfil e adicioná-lo à lista Perfis do administrador.

NOTA: Se uma Conexão Persistente já foi estabelecida, um perfil Pré-Login/Comum será ignorado, exceto se estiver configurado com as duas opções de conexão, Pré-Login/Comum e Persistente.

Excluir redes

Os administradores podem indicar redes para serem excluídas da conexões. Assim que uma rede for excluída, somente um administrador poderá removê-la da Lista de exclusões. A rede excluída constará na tela Gerenciamento de lista de exclusões e será indicada por este ícone:

Para excluir uma rede:

1. Clique em Incluir perfis neste pacote.
2. Clique em Excluir.
3. Clique em Adicionar para abrir a página Excluir rede (SSID).
4. Nome da rede: Digite o nome da rede a ser excluída.
5. Clique em OK para adicionar o nome da rede à lista.

Para remover uma rede da exclusão:

1. Selecione o nome da rede na Lista de exclusões.
2. Clique em Remover. A rede é excluída da lista.

Conexão de Voz sobre IP (VoIP)

O Utilitário de Conexão WiFi oferece suporte para aplicativos de telefonia de Voz sobre IP, de terceiros. Os aplicativos de VoIP de terceiros aceitam codecs de voz. Geralmente, os codecs dispõem de um recurso de compactação para economizar a largura de banda da rede. O Utilitário de Conexão WiFi aceita os seguintes padrões de codecs ITU (International Telecommunications Union):

Grupos A-ID EAP-FAST

NOTA: Este recurso não estará disponível se o CCXv4 não estiver selecionado em Configurações do aplicativo, na Ferramenta do administrador

Um Identificador de Autoridade (A-ID) é o servidor RADIUS que fornece PACs (Protected Access Credentials) a Grupos A-ID. Os grupos A-ID são compartilhados por todos os usuários do computador e permitem que os perfis EAP-FAST suportem várias PACs de vários A-IDs.

Os grupos A-ID podem ser pré-configurados pelo administrador e configurados através de um Pacote do administrador no computador de um usuário. Quando um perfil de rede sem fio encontrar um servidor com um A-ID dentro do mesmo grupo do A-ID especificado no perfil da rede sem fio, ele usará essa PAC sem avisar ao usuário.

Para adicionar um Grupo A-ID:

1. Selecione Incluir grupos A-ID.
2. Clique em Adicionar.
3. Digite um novo nome de grupo A-ID.
4. Clique em OK. O grupo A-ID é adicionado à lista Grupo A-ID.

Se o grupo A-ID for bloqueado, não será possível adicionar outros A-IDs ao grupo.

Para adicionar uma A-ID a um grupo A-ID:

1. Selecione um grupo na lista Grupos A-ID.
2. Clique em Adicionar na seção A-IDs.
3. Selecione uma A-ID.
4. Clique em OK. A A-ID é incluída na lista.

Assim que um grupo A-ID for selecionado, as A-IDs serão extraídas das PACs no servidor de grupos A-ID. A lista de A-IDs é preenchida automaticamente.

Tarefas do administrador

Como obter o certificado de cliente

Se não tiver nenhum certificado para EAP-TLS (TLS) ou EAP-TTLS (TTLS), você precisará obter um certificado de cliente para que a autenticação possa ser feita.

Os certificados podem ser gerenciados no Internet Explorer ou no Painel de controle do Microsoft Windows.

Windows XP: Quando um certificado de cliente é obtido, não ative a proteção forte de chave privada. Se ativar a proteção forte de chave privada para um certificado, você precisará digitar uma senha de acesso para esse certificado sempre que ele for usado. Você precisará desativar a proteção forte de chave privada para o certificado se configurar o serviço para autenticação TLS ou TTLS. Caso contrário, o serviço do 802.1X falhará na autenticação porque não há um usuário logado para fornecer a senha necessária.

Notas sobre os smart cards

Quando um Smart Card é instalado, o certificado é instalado automaticamente no computador e escolhido no armazenamento de certificados pessoais e de certificados da raiz.

Configurar um cliente com autenticação de rede TLS

Etapa 1: Obter um certificado

Para permitir a autenticação TLS, você precisa de um certificado válido de cliente no repositório local para a conta do usuário logado.  Você precisa também de um certificado reconhecido pela AC na pasta da raiz.

As informações a seguir abordam dois métodos de obtenção de um certificado:

• Junto a uma autoridade de certificação (AC) corporativa implementada em um servidor do Windows 2000.
• Importar um certificado de um arquivo com o Assistente de importação de certificados do Internet Explorer.

Se você não sabe como obter um certificado do usuário da AC, consulte o administrador da rede para conhecer o procedimento.

Para instalar a AC no computador local:

1. Obtenha a AC e armazene-a na unidade local.
2. Clique em Importar. O Assistente de importação de certificados se abre.
3. Clique em Avançar.
4. Clique em Procurar para localizar o certificado na sua unidade local.
5. Clique no certificado exportado.
6. Clique em Abrir.
7. Clique em Avançar.
8. Clique em Colocar todos os certificados no seguinte armazenamento.
9. Clique em Procurar para abrir a página Selecionar o armazenamento de certificados.
10. Clique em Mostrar armazenamentos físicos.
11. Clique em OK.
12. Na lista de armazenamentos, role para cima e expanda Autoridades de certificação confiáveis da raiz.
13. Clique em Computador local.
14. Clique em OK.
15. Clique em Avançar.
16. Clique em Concluir para completar o processo.
17. Reinicialize o sistema após a instalação de um certificado.

Use o Microsoft* Management Console (MMC) para verificar se a AC está instalada no armazenamento da máquina.

1. No menu Iniciar, clique em Executar.
2. Digite MMC.
3. Clique em OK para abrir o Microsoft Management Console.
4. Clique em Arquivo.
5. Clique em Add/Remove Snap-in (Adicionar/remover snap-in).
6. Clique em Adicionar para abrir a página Adicionar snap-in independente.
7. Clique em Certificados.
8. Clique em Adicionar.
9. Clique em Conta do computador.
10. Clique em Avançar.
11. Clique em Concluir.
12. Clique em Fechar.
13. Clique em OK.
14. No console, clique em Certificados (Computador local).
15. Clique em Autoridades de certificação confiáveis da raiz.
16. Clique em Certificados.
17. Verifique se a AC que você acabou de instalar consta na lista.
18. Clique em Arquivo.
19. Clique em Sair para fechar o console.

Obtenha um certificado de uma autoridade de certificação do Microsoft Windows 2000*:

1. Inicie o Internet Explorer e procure um Serviço HTTP de autoridade de certificação (use um URL, como http://seuservidordedomínio.seudomínio/certsrv), sendo certsrv o comando que acessa a autoridade de certificação. Também é possível usar o endereço IP da máquina do servidor. Por exemplo, "192.0.2.12/certsrv."
2. Faça login na AC com o nome e senha da conta de usuário que você criou no servidor de autenticação. Este nome e senha não precisam ser iguais ao nome e senha de login do usuário atual no Windows.
3. Na página de abertura da CA, selecione Solicitar certificado e enviar o formulário.
4. Escolher o tipo de solicitação: Selecione Solicitação avançada.
5. Clique em Avançar.
6. Solicitações avançadas de certificados: Selecione Submeter uma solicitação de certificado a esta AC usando um formulário.
7. Clique em Enviar.
8. Solicitação avançada de certificados: Selecione Gabarito de certificado de usuário.
9. Clique em Marcar chaves como exportáveis.
10. Clique em Avançar. Usar os valores fornecidos.
11. Certificado emitido: Clique em Instalar este certificado.

NOTA: Se este for o primeiro certificado que você obtém, a autoridade de certificação perguntará se você quer instalar um certificado reconhecido pela AC na raiz. Não se trata de um certificado reconhecido pela AC. O nome que aparece no certificado pertence ao host da AC. Clique em Sim. Você precisará deste certificado para o TLS e TTLS.

12. Se o seu certificado tiver sido instalado corretamente, você verá a mensagem "Seu certificado foi instalado com sucesso".
13. Para verificar a instalação, clique em Internet Explorer > Ferramentas > Opções de Internet > Conteúdo > Certificados. O novo certificado deve estar instalado na pasta "Particular".

Importar um certificado de um arquivo

1. Abra as Propriedades de Internet (clique com o botão direito no ícone do Internet Explorer na Área de trabalho).
2. Selecione Propriedades.
3. Conteúdo: Clique em Certificados. A lista de certificados instalados é exibida.
4. Clique em Importar para abrir a página do Assistente de importação de certificados.
5. Selecione o arquivo.
6. Especifique sua senha de acesso ao arquivo. Desmarque Ativar a proteção forte de chave particular.
7. Armazenamento do certificado: Clique em Selecionar automaticamente o armazenamento de certificados com base no tipo de certificado (o certificado precisa estar no armazenamento Pessoal de contas de usuários para ser acessado).
8. Vá para Concluindo a importação de certificados e clique no botão Concluir.

Para configurar um perfil usando autenticação WPA com criptografia WEP ou TKIP usando a autenticação TLS:

NOTA: Obtenha e instale um certificado de cliente, e consulte a Etapa 1 ou o administrador.

Especifique o certificado utilizado pelo Utilitário de Conexão WiFi.

1. Na página Perfil, clique em Adicionar para abrir a página Configurações gerais.
2. Nome do perfil: Digite um nome do perfil.
3. Nome da rede sem fio (SSID): Digite o identificador da rede.
4. Modo de operação: Rede (Infra-estrutura) está selecionada, por padrão.
5. Clique em Avançar para abrir as Configurações de segurança.
6. Clique em Segurança corporativa.
7. Autenticação da rede: Selecione Aberta (recomendado).
8. Criptografia de dados: Selecione WEP.
9. 802.1X ativado: Selecionado.
10. Tipo de autenticação: Selecione TLS.

Etapa 1 de 2: Usuário TLS

1. Obter e instalar um certificado de cliente.
2. Selecione uma das seguintes opções para obter um certificado:

Nome	Descrição
Senha estática	Ao conectar, digite as credenciais do usuário.
Senha ocasional (OTP)	Obtenha a senha de um dispositivo de símbolos do hardware.
PIN (Soft Token)	Obtenha a senha de um programa de soft token.

3. Clique em Avançar.

Etapa 2 de 2: Servidor TLS

1. Selecione um dos seguintes métodos de recuperação de credenciais: Validar o certificado do servidor ou Especificar o nome do servidor ou do certificado.
2. Clique em OK. Um perfil é adicionado à Lista de perfis.
3. Clique no novo perfil no final da Lista de perfis. Use as setas para cima e para baixo para mudar a prioridade do novo perfil na lista.
4. Clique em Conectar para conectar-se à rede sem fio selecionada.
5. Clique em OK para fechar o aplicativo.

Voltar ao Início

Voltar para Conteúdo