Configuração adicional para autenticação 802.1X em sistemas Microsoft Windows legacy

Todos os equipamentos que pretendam estabelecer ligação à rede do Campus da NOVA FCT devem suportar o protocolo TLS (Transport Layer Security) na versão 1.2 nos seus sistemas operativos, sendo esta a versão que deve ser utilizada por defeito em todas as comunicações seguras.

Este requisito é fundamental porque o processo de autenticação na rede utiliza o mecanismo 802.1X, baseado em EAP (Extensible Authentication Protocol). A segurança deste método depende da utilização de protocolos de encriptação atualizados e robustos, sendo o TLS 1.2 a versão mínima obrigatória.

As versões mais recentes do sistema operativo Microsoft Windows já incluem, por omissão, o suporte ao protocolo TLS 1.2, estando este ativo e sem necessidade de configuração adicional.

Contudo, sistemas operativos Microsoft Windows considerados “Legacy” — ou seja, versões antigas, descontinuadas ou em fim de vida de suporte oficial pela Microsoft, como é o caso do Windows 7 SP1 ou do Windows 8, não dispõem de suporte nativo para TLS 1.2.

Para estes casos, a Microsoft disponibilizou atualizações específicas que permitem acrescentar compatibilidade com esta versão do protocolo, bem como instruções para configurar manualmente os sistemas, de modo a garantir a utilização correta do TLS 1.2 no processo de autenticação 802.1X/EAP.

Por motivos de conformidade e segurança, sistemas operativos que, mesmo após atualização e configuração, não suportem o protocolo TLS 1.2, não vão conseguir ligar-se na rede do Campus da Nova FCT, neste caso, através do processo de autenticação 802.1X/EAP.

Páginas de Suporte disponibilizadas pela Microsoft:

• Atualização KB3140245 - Enable TLS 1.1 and TLS 1.2 as Default Secure protocols
• Atualização KB297792 - Update for Microsoft EAP implementation that enables the use of TLS

Atualizações disponibilizadas pela Microsoft:

• Windows 7 SP1 (x86)
• Pré-requisito: Service Pack 1 instalado
• Instalar o Update KB3140245: Transferir KB3140245 (x86)
• Instalar o Update KB297792:Transferir KB297792 (x86)

• Windows 7 SP1 64 Bits (x64)
• Pré-requisito: Service Pack 1 instalado
• Instalar o Update KB3140245: Transferir KB3140245 (x64)
• Instalar o Update KB297792: Transferir KB297792 (x64)

• Windows 8 (x86)
• Instalar o Update KB3140245: Transferir KB3140245 (x86)
• Instalar o Update KB297792: Transferir KB297792 (x86)

• Windows 8 64 Bits (x64)
• Instalar o Update KB3140245: Transferir KB3140245 (x64)
• Instalar o Update KB297792: Transferir KB297792 (x64)

• Windows 8.1 (x86)
• Instalar o Update KB297792: Transferir KB297792 (x86)

• Windows 8 64 Bits (x64)
• Instalar o Update KB297792: Transferir KB297792 (x64)

Procedimento de configuração do Registo do Windows para definir o protocolo TLS 1.2 como versão predefinida, para a implementação EAP.

As alterações ao registo do Windows devem ser realizadas por utilizadores experientes. Faça sempre cópia de segurança antes de alterar configurações do sistema.
Caso necessite de apoio na realização das configurações contacte a Divisão de Aplicações e Desenvolvimento.

1. Clicar em Iniciar, Executar, digitar "Regedit" na caixa Abrir e clique em OK.

2. Configuração dos componentes SCHANNEL

2.1. Localize a seguinte sub-chave no registo:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols

2.2. Crie a sub-chave: 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2

• Clicar com o botão direito do rato na sub-chave "Protocols", no menu apontar para "Novo" e clicar em "Chave".

• Definir o nome da nova chave para "TLS 1.2"

2.3. Criar a sub-chave: 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client

• Clicar com o botão direito do rato na sub-chave "TLS 1.2", no menu apontar para "Novo" e clicar em "Chave".

• Definir o nome da nova chave para "Client"

2.4. Criar um Valor DWORD (32 Bit) "DisabledByDefault" e defini-lo para 0 na sub-chave criada no passo anterior:

Nome DWORD: DisabledByDefault
Valor DWORD: 0

•  No quadro de valores da sub-chave "Client" (à direita), clicar com o botão direito do rato, no menu apontar para "Novo" e clicar em "Valor DWORD (32 Bits)".

• Definir o Nome do novo valor para "DisabledByDefault", não será necessário alterar os Dados do valor DWORD, por defeito é 0.

3. Configuração do componente RasMan, EAP

3.1. Localizar a seguinte sub-chave no registo:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13

3.2. Criar um Valor DWORD (32 Bit) "TlsVersion" e defini-lo para usar a versão 1.2 do protocolo TLS

Nome DWORD: TlsVersion

Valor DWORD: 0xC00

• No quadro de valores (à direita) da sub-chave "13", clicar com o botão direito do rato, no menu apontar para "Novo" e clicar em "Valor DWORD (32 Bits)".

• Definir o Nome do novo Valor DWORD para "TlsVersion" e premir Enter.

• Clicar com o botão direito do rato em "TlsVersion" e no menu selecionar a opção "Modificar".

• Na caixa "Editar valor DWORD (32 Bits)", introduzir os "dados do valor" abaixo indicados, confirmar a "base" selecionada e clicar em OK.
  

Nome do valor: TlsVersion

Dados do valor: C00

Base: Hexadecimal

• Confirmar a alteração do valor 

4. Fechar a ferramenta de edição do Registo do Windows
5 .Reiniciar o sistema e configurar o acesso 802.1x conforme descrito na página de apoio à configuração nos sistemas Windows.