O Papel do SCEP e do NAC na Infraestrutura de MDM Moderna
Este guia fornece uma análise técnica detalhada de como o SCEP e o NAC se integram com as plataformas de MDM para fornecer acesso seguro à rede com provisionamento automático (zero-touch) à escala empresarial. Abrange toda a arquitetura, desde a emissão de certificados até à aplicação de 802.1X, com cenários de implementação reais dos setores da hotelaria e do retalho. Concebido para líderes de TI em grandes espaços que necessitam de eliminar vulnerabilidades de passwords, automatizar o provisionamento de dispositivos e cumprir requisitos de conformidade este trimestre.
Ouça este guia
Ver transcrição do podcast
- Resumo Executivo
- Análise Técnica Detalhada
- A Arquitetura de Três Camadas
- Como o SCEP Automatiza a PKI à Escala
- NAC e 802.1X EAP-TLS: A Camada de Aplicação de Políticas
- Segregação da Rede de Convidados
- Guia de Implementação
- Passo 1: Preparação de PKI e SCEP
- Passo 2: Configuração do MDM
- Passo 3: Configuração do NAC e RADIUS
- Passo 4: Integração da Infraestrutura de Rede
- Passo 5: Implementação em Paralelo e Transição Direta
- Melhores Práticas
- Resolução de Problemas e Mitigação de Riscos
- ROI e Impacto no Negócio

Resumo Executivo
Para recintos empresariais - desde estádios com 80.000 lugares a cadeias de retalho multi-site - a segurança da periferia da rede avançou decisivamente para lá das chaves pré-partilhadas e da gestão manual de credenciais. A proliferação de dispositivos corporativos, dispositivos BYOD e infraestrutura IoT exige uma arquitetura zero-trust que dimensione sem sobrecarregar o suporte técnico de TI.
Este guia detalha a arquitetura técnica para integrar o Simple Certificate Enrolment Protocol (SCEP) e o Network Access Control (NAC) com a infraestrutura de Mobile Device Management (MDM). Ao tirar partido do SCEP para automatizar a distribuição de certificados X.509, e do NAC para impor a autenticação IEEE 802.1X EAP-TLS, as organizações podem alcançar o aprovisionamento zero-touch, eliminar vias de roubo de credenciais e impor o acesso dinâmico à rede com base na postura do dispositivo. Enquanto o acesso público é gerido através de uma solução dedicada de Guest WiFi , esta arquitetura protege as operações críticas de back-of-house que mantêm o recinto em funcionamento. O resultado é uma redução drástica nos custos indiretos de TI, uma conformidade mais forte ao abrigo do PCI-DSS e GDPR, e princípios zero-trust aplicados proativamente na periferia da rede.
Análise Técnica Detalhada
A Arquitetura de Três Camadas
A segurança de rede moderna baseia-se na identidade criptográfica e não no conhecimento do utilizador. A pilha SCEP-NAC-MDM opera em três camadas principais:
| Camada | Componentes | Função |
|---|---|---|
| Gestão de dispositivos | MDM / UEM | Autoridade central para configuração, conformidade e ciclo de vida do dispositivo |
| Identidade e emissão | PKI / SCEP / CA | Gera, emite e gere certificados digitais |
| Aplicação de acesso | NAC / RADIUS | Avalia os certificados e a postura do dispositivo antes de conceder acesso à rede |
Estas camadas não são sequenciais - operam num ciclo de feedback contínuo. O MDM informa o NAC sobre o estado de conformidade em tempo real, enquanto o NAC pode acionar fluxos de trabalho de remediação do MDM quando um dispositivo falha numa verificação de postura.

Como o SCEP Automatiza a PKI à Escala
A implementação manual de certificados é operacionalmente impossível à escala. Um parque de 500 dispositivos exigiria que um administrador de TI gerasse, assinasse e instalasse um certificado X.509 individual em cada dispositivo - um processo que demora vários minutos por dispositivo e introduz um risco significativo de erro humano. O SCEP elimina isto por completo.
Quando um dispositivo se regista no MDM, o MDM envia um perfil de configuração que contém um payload SCEP. O payload instrui o dispositivo a gerar um par de chaves localmente - crucialmente, a chave privada nunca sai do dispositivo - e a submeter um Certificate Signing Request (CSR) ao servidor SCEP. O servidor SCEP (normalmente o Network Device Enrolment Service (NDES) da Microsoft ou um equivalente baseado na nuvem) valida o pedido junto do MDM para confirmar que o dispositivo está autorizado. Em seguida, encaminha o CSR para a Autoridade de Certificação (CA), que emite o certificado X.509 assinado. O certificado é devolvido ao dispositivo e instalado na sua área de armazenamento segura ou repositório de chaves do sistema.
Todo o processo ocorre de forma silenciosa, por via sem fios (over-the-air), sem qualquer interação do utilizador. Para uma implementação de 1.000 dispositivos, todo o parque de certificados pode ser aprovisionado em poucas horas após a conclusão do registo no MDM.
NAC e 802.1X EAP-TLS: A Camada de Aplicação de Políticas
Assim que um dispositivo possui um certificado válido, tenta ligar-se ao SSID corporativo ou à porta com fios utilizando o IEEE 802.1X. O ponto de acesso ou switch atua como o autenticador, encaminhando o pedido para um servidor RADIUS gerido pelo motor de políticas do NAC. O método EAP mais seguro é o EAP-TLS, que exige autenticação mútua - tanto o cliente como o servidor RADIUS devem apresentar certificados válidos, evitando ataques do tipo man-in-the-middle através de pontos de acesso fraudulentos. O NAC realiza várias verificações críticas em sequência:
- Validação criptográfica: O certificado é matematicamente válido e assinado por uma CA raiz fidedigna?
- Verificação de revogação: O certificado está listado numa Lista de Revogação de Certificados (CRL) ou sinalizado através do Online Certificate Status Protocol (OCSP)?
- Avaliação de postura: Consultando o MDM via API, o NAC questiona: O dispositivo está em conformidade? O sistema operativo tem o nível de patch exigido? A encriptação do disco está ativada?
Se todas as verificações passarem, o NAC envia uma mensagem RADIUS Access-Accept, que normalmente transporta atributos específicos do fornecedor (VSAs) que atribuem dinamicamente o dispositivo a uma VLAN específica ou aplicam listas de controlo de acesso (ACLs). Os dispositivos que não estão em conformidade são colocados numa VLAN de remediação com permissões limitadas - normalmente apenas o suficiente para acionar fluxos de trabalho de remediação baseados em MDM.

Segregação da Rede de Convidados
Em qualquer ambiente de espaço físico, a infraestrutura corporativa deve ser rigorosamente segregada das redes públicas. A plataforma de Guest WiFi opera inteiramente em SSIDs e VLANs separadas, sem rotas de encaminhamento para os recursos corporativos. A arquitetura SCEP-NAC governa o nível corporativo; o nível de convidados é controlado por autenticação de Captive Portal e fluxos de trabalho de captura de dados. Para espaços que implementam WiFi Analytics , esta segregação é um pré-requisito - os dados analíticos fluem através da rede de convidados, enquanto os dados operacionais fluem através da rede corporativa autenticada por certificado. Para mais informações sobre a arquitetura de RF subjacente que suporta ambas as redes, consulte Wi-Fi Frequencies: A 2026 Guide to Wi-Fi Frequencies .
Guia de Implementação
A implementação desta arquitetura requer uma sequenciação cuidadosa para evitar o bloqueio de utilizadores legítimos durante a transição.
Passo 1: Preparação de PKI e SCEP
Estabeleça uma PKI interna robusta ou utilize um serviço de PKI gerida na nuvem (mPKI). Implemente e proteja o servidor SCEP - se utilizar o Microsoft NDES, garanta que este corre num servidor dedicado e não partilhado com a CA. Configure o servidor SCEP para utilizar palavras-passe de desafio dinâmicas geradas por dispositivo pelo MDM, em vez de um segredo estático partilhado. Isto evita pedidos de certificado não autorizados caso o URL do SCEP seja descoberto.
Passo 2: Configuração do MDM
Crie o payload SCEP na sua plataforma MDM. Defina cuidadosamente os campos Subject Alternative Name (SAN) - o SAN deve conter identificadores únicos (como o número de série do dispositivo ou o UPN do utilizador) que o NAC utilizará para as decisões de políticas. Envie o perfil primeiro para um grupo piloto de dispositivos da equipa de TI e valide todo o fluxo de registo antes de qualquer implementação mais alargada.
Passo 3: Configuração do NAC e RADIUS
Configure o seu NAC para confiar na CA raiz que emitiu os certificados de cliente. Instale um certificado de servidor no servidor RADIUS para autenticação mútua EAP-TLS. Defina políticas de acesso com base nos atributos do certificado e no estado de conformidade do MDM. Implemente regras de atribuição dinâmica de VLAN: dispositivos corporativos em conformidade para a VLAN corporativa, dispositivos não conformes para a VLAN de remediação e dispositivos IoT para uma VLAN dedicada com restrição de internet.
Passo 4: Integração da Infraestrutura de Rede
Configure os switches e os pontos de acesso sem fios para 802.1X. Para cenários com hardware de ponto de venda legado em ambientes de retail , ou controladores de quartos inteligentes em espaços de hospitality , implemente o MAC Authentication Bypass (MAB) como alternativa para dispositivos que não suportam EAP-TLS. Restrinja o MAB a portas de switch específicas e garanta que a base de dados de endereços MAC é rigorosamente controlada. Para ambientes de healthcare e transport , configure regras de avaliação de postura para cumprir os requisitos de conformidade específicos do setor.
Passo 5: Implementação em Paralelo e Transição Direta
Nunca faça a transição imediata. Transmita o novo SSID 802.1X em paralelo com a rede existente. Envie o novo perfil de WiFi através do MDM. Monitorize a adoção e resolva falhas de registo. Assim que mais de 95% dos dispositivos estiverem a autenticar-se com sucesso no novo SSID, desative a rede antiga.
-
Melhores Práticas
Exija EAP-TLS. Nunca aceite EAP-PEAP ou EAP-TTLS como o método de autenticação principal para dispositivos corporativos. Estes métodos dependem de credenciais de utilizador/palavra-passe dentro de um túnel TLS e continuam vulneráveis à recolha de credenciais. O EAP-TLS elimina totalmente essa superfície de ataque.
Implemente a revogação em tempo real. Os downloads agendados de CRL criam janelas de exposição. Configure o NAC para realizar verificações OCSP em tempo real. Quando um dispositivo é reportado como perdido ou roubado, revogue o certificado na CA e o dispositivo perderá o acesso à rede na próxima tentativa de autenticação - ou imediatamente, se o Change of Authorisation (CoA) estiver implementado.
Defina períodos de validade de certificado sensatos. Um período de validade de um ano, com renovação automatizada de SCEP acionada 30 dias antes do vencimento, é o padrão do setor. Uma validade mais longa aumenta a janela de exposição se um certificado for comprometido; uma validade mais curta aumenta o risco de falhas de renovação causarem interrupções.
Segregue agressivamente a IoT. Os dispositivos IoT nunca devem partilhar uma VLAN com endpoints corporativos. Utilize o NAC para aplicar ACLs estritas na VLAN de IoT, permitindo apenas os protocolos e destinos específicos que cada classe de dispositivo exige. Para locais que implementam serviços de localização, consulte Indoor WiFi Positioning Systems: How They Work and How to Deploy Them para saber como a infraestrutura de posicionamento se integra com a arquitetura de rede mais ampla.
Alinhe com o WPA3. Onde o hardware o suportar, configure os SSIDs corporativos para utilizarem WPA3-Enterprise, que exige Protected Management Frames (PMF) e fornece uma proteção criptográfica mais forte do que o WPA2. Para mais detalhes sobre como isto se enquadra no panorama mais amplo de conectividade empresarial, consulte SD-WAN vs MPLS: A 2026 Guide to Enterprise Networking .
-
Resolução de Problemas e Mitigação de Riscos
| Modo de falha | Causa raiz | Mitigação |
|---|---|---|
| Dispositivos falham EAP-TLS após renovação de certificado | Renovação SCEP a falhar silenciosamente | Monitorize os registos do servidor SCEP; defina alertas para envios de CSR falhados |
| Validação de certificado falha devido a desvio de relógio | Desconfiguração de NTP | Force a sincronização de NTP em todos os endpoints e infraestruturas |
| Dispositivos IoT não conseguem autenticar-se | Sem suplicante 802.1X | Implemente MAB com controlos estritos de endereço MAC e uma VLAN isolada |
| Bloqueio em massa de dispositivos após migração de CA | CA raiz antiga não é confiada pelo NAC | Planeie as migrações de CA por etapas; adicione a nova CA raiz ao repositório de confiança do NAC antes de revogar a antiga |
| Dispositivos revogados mantêm acesso à rede | Revogação apenas por CRL com longos intervalos de download | Implemente OCSP e CoA para revogação em tempo real |
Para dispositivos IoT específicos baseados em BLE, a arquitetura de autenticação difere dos endpoints ligados por WiFi. Consulte BLE Low Energy Explicado para Empresas para obter as considerações de segurança específicas que se aplicam à infraestrutura Bluetooth Low Energy.
ROI e Impacto no Negócio
O caso de negócio para a integração SCEP-NAC-MDM é simples quando medido em relação ao custo das alternativas.
| Métrica | Antes da implementação | Após a implementação |
|---|---|---|
| Pedidos de suporte de TI (acesso à rede) | Elevado - reposições de palavras-passe, rotações de chaves | Quase zero - ciclo de vida do certificado automatizado |
| Tempo médio para revogar um dispositivo comprometido | Horas (processo manual) | Segundos (OCSP + CoA) |
| Conformidade de controlo de acesso PCI DSS | Manual, intensivo em auditorias | Automatizado, aplicado continuamente |
| Tempo de integração de BYOD | 15 a 30 minutos por dispositivo | Menos de 5 minutos com zero envolvimento de TI |
Para um parque de 500 dispositivos, a eliminação da gestão manual de certificados e de pedidos de suporte relacionados com palavras-passe reduz normalmente os custos indiretos de suporte de TI relacionados com a rede em 25-35%. O valor de mitigação de risco - evitar uma única falha de segurança baseada em credenciais - excede habitualmente o custo total de implementação. Para organizações do setor público e da saúde vinculadas ao GDPR, a capacidade de demonstrar um controlo de acesso automatizado e auditável é um ativo de conformidade significativo.
Definições Principais
SCEP (Simple Certificate Enrollment Protocol)
Um protocolo que automatiza a emissão e revogação de certificados digitais para dispositivos sem a intervenção do utilizador, agindo como a camada de comunicação entre a plataforma MDM e a Autoridade de Certificação.
Utilizado por plataformas MDM para implementar de forma simplificada certificados X.509 em milhares de terminais em grande escala. As equipas de TI encontram o SCEP ao configurar perfis MDM para autenticação WiFi 802.1X.
NAC (Network Access Control)
Uma solução de segurança que aplica políticas em dispositivos que procuram aceder à infraestrutura de rede, avaliando as credenciais de autenticação, a validade do certificado e a postura de conformidade do dispositivo antes de conceder o acesso.
Atua como o guardião no limite da rede. As equipas de TI configuram as políticas NAC para definir quais os dispositivos que acedem a quais VLANs com base nos seus atributos de certificado e estado de conformidade do MDM.
MDM (Mobile Device Management)
Software utilizado pelos departamentos de TI para monitorizar, gerir e proteger os terminais dos colaboradores em vários sistemas operativos, servindo como a fonte central de verdade para a identidade e conformidade dos dispositivos.
O iniciador do processo de inscrição SCEP e a origem dos dados de postura consultados pelo NAC. Sem a integração do MDM, o NAC não pode realizar o controlo de acesso baseado na postura.
IEEE 802.1X
Um padrão IEEE para Network Access Control baseado em portas que fornece um mecanismo de autenticação para dispositivos que desejam ligar-se a uma LAN ou WLAN, exigindo uma autenticação bem-sucedida antes de a porta ser aberta.
O protocolo subjacente que força os dispositivos a autenticarem-se antes de o switch ou ponto de acesso permitir a passagem de qualquer tráfego. Configurado tanto na infraestrutura de rede como no suplicante 802.1X do dispositivo.
EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)
O padrão EAP mais seguro, que exige autenticação mútua onde tanto o dispositivo do cliente como o servidor RADIUS devem apresentar certificados digitais válidos, eliminando ataques a credenciais baseadas em palavras-passe.
O padrão de excelência para a segurança sem fios empresarial. Os arquitetos de TI devem exigir EAP-TLS em vez de PEAP ou TTLS sempre que existir uma infraestrutura de certificados de dispositivos.
CSR (Certificate Signing Request)
Um bloco de texto codificado gerado por um dispositivo que contém a sua chave pública e detalhes de identidade, submetido à Autoridade de Certificação para solicitar um certificado X.509 assinado.
Gerado automaticamente pelo dispositivo durante o processo de inscrição SCEP. A chave privada correspondente ao CSR nunca sai do dispositivo, garantindo que o certificado não possa ser duplicado.
MAB (MAC Authentication Bypass)
Um método de autenticação de contingência em que a rede utiliza o endereço MAC de hardware do dispositivo como a sua credencial, utilizado para dispositivos que não possuem capacidade de suplicante 802.1X.
Utilizado para dispositivos IoT legados, tais como impressoras, sensores e controladores de salas inteligentes que não podem participar em EAP-TLS. Deve resultar sempre na atribuição a uma VLAN altamente restrita.
OCSP (Online Certificate Status Protocol)
Um protocolo de internet utilizado para obter o estado de revogação de um certificado digital X.509 em tempo real, fornecendo uma alternativa à transferência e análise de Listas de Revogação de Certificados.
Crítico para sistemas NAC que precisam de bloquear imediatamente o acesso à rede quando um dispositivo é comprometido ou reportado como roubado. O OCSP fornece o estado em tempo real; as transferências de CRL criam uma janela de revogação.
CoA (Change of Authorization)
Uma extensão RADIUS (RFC 5176) que permite ao NAC modificar ou terminar dinamicamente uma sessão de rede ativa sem ter de esperar que a sessão expire ou que o dispositivo se autentique novamente.
Utilizado para desligar imediatamente um dispositivo quando o seu certificado é revogado ou o seu estado de conformidade MDM se altera. Essencial para a aplicação de zero-trust em tempo real.
Exemplos Práticos
Um resort de luxo com 500 quartos precisa de proteger a sua rede de operações internas. O pessoal utiliza tablets partilhados para a gestão do serviço de quartos e a gerência utiliza computadores portáteis corporativos. A rede WPA2-PSK atual teve a chave pré-partilhada exposta várias vezes, resultando em dois incidentes de segurança no último ano. Como deve a equipa de TI transitar para a autenticação baseada em certificados sem interromper as operações?
Fase 1 - Preparação (Semanas 1 e 2): Implementar uma solução de RADIUS/NAC baseada na cloud e integrá-la com o MDM existente. Configurar um perfil SCEP no MDM para enviar certificados baseados no dispositivo para todos os tablets e computadores portáteis. Utilizar certificados baseados no dispositivo (associados ao número de série do dispositivo) em vez de certificados baseados no utilizador, para que os tablets partilhados se autentiquem automaticamente, independentemente do funcionário que os esteja a utilizar. Fase 2 - Implementação Paralela (Semanas 3 e 4): Transmitir um novo SSID oculto configurado para 802.1X EAP-TLS. Enviar o novo perfil de WiFi via MDM para todos os dispositivos inscritos. Monitorizar o painel do NAC para verificar as autenticações bem-sucedidas. Fase 3 - Transição (Semana 5): Assim que mais de 95% dos dispositivos estiverem ligados ao novo SSID, desativar a rede WPA2-PSK antiga. Revogar a PSK antiga de toda a documentação e pontos de acesso.
Uma cadeia de retalho nacional está a implementar 3.000 novos terminais de Ponto de Venda em 150 lojas. A equipa de segurança exige uma segmentação de rede rigorosa em conformidade com o PCI-DSS e um acesso zero-trust. O prazo de implementação é de 8 semanas. Como é que o SCEP e o NAC facilitam isto em escala sem exigir pessoal de TI em cada loja?
Pré-implementação: O fornecedor do POS pré-inscreve todos os 3.000 dispositivos no MDM do retalhista utilizando o programa de inscrição zero-touch do fornecedor. O MDM é configurado com um perfil SCEP que será ativado automaticamente no primeiro arranque. Implementação: Quando um terminal POS é ligado na loja, liga-se a um SSID de ativação temporário (apenas internet, sem acesso corporativo). O perfil MDM é enviado, o payload do SCEP é ativado e o dispositivo solicita e recebe o seu certificado X.509 da CA. O MDM envia então o perfil de WiFi corporativo. Acesso à Rede: Quando o POS se liga à porta do comutador (switch) da loja, o switch inicia o 802.1X. O NAC valida o certificado, consulta o MDM para confirmar que o POS está em conformidade (encriptação ativada, agente MDM ativo, sem deteção de jailbreak) e atribui dinamicamente a porta do switch à VLAN do PCI-DSS. O POS está agora operacional. Não foi necessária a presença de pessoal de TI na loja.
Perguntas de Prática
Q1. A sua organização está a migrar de WPA2-Enterprise usando PEAP-MSCHAPv2 para EAP-TLS. Durante o piloto, os portáteis Windows e os iPhones ligam-se com sucesso, mas 200 scanners de códigos de barras do armazém falham a autenticação. Os scanners suportam 802.1X mas não conseguem processar o payload SCEP do MDM — correm um SO embutido proprietário sem suporte para agente MDM. Qual é a solução arquitetural mais segura que mantém a segmentação de rede sem exigir a substituição dos scanners?
Dica: Considere mecanismos alternativos de entrega de certificados que não exijam um agente MDM, e quais os controlos de segmentação de rede que se devem aplicar a dispositivos que não podem participar numa avaliação de postura completa.
Ver resposta modelo
Como os scanners suportam 802.1X mas não SCEP ou registo no MDM, a abordagem mais segura é provisionar manualmente os certificados dos dispositivos utilizando um modelo de certificado dedicado com um perfil de utilização de chave restrito. Os certificados são instalados uma única vez durante uma janela de manutenção. O NAC é configurado para aceitar estes certificados, mas atribui os scanners a uma VLAN dedicada para operações de armazém com ACLs rigorosas — não a VLAN corporativa completa — porque a avaliação de postura não é possível. Alternativamente, se o provisionamento manual de certificados for operacionalmente inviável de escalar, configure o MAB como fallback especificamente para os OUIs de MAC do hardware do scanner, com o NAC a atribuí-los à mesma VLAN restrita. Documente isto como uma exceção conhecida no seu registo de riscos e agende a substituição dos scanners no próximo ciclo de renovação de hardware.
Q2. Um gestor de segurança de rede nota que quando um colaborador reporta um portátil como roubado, o MDM envia um comando de eliminação remota, mas o dispositivo permanece ligado ao WiFi corporativo por até 12 horas — o tempo limite de sessão RADIUS atual. Durante esta janela, o dispositivo poderia ser utilizado para exfiltrar dados. Como deve a arquitetura ser modificada para terminar o acesso à rede imediatamente após um dispositivo ser reportado como roubado?
Dica: O NAC precisa de ser informado da alteração de estado instantaneamente, em vez de esperar pelo próximo ciclo de autenticação. Considere tanto o mecanismo de terminação de sessão como o mecanismo de prevenção de nova autenticação.
Ver resposta modelo
Implemente dois controlos complementares. Primeiro, configure o MDM para enviar um webhook para o NAC imediatamente após um dispositivo ser marcado como perdido ou roubado. O NAC envia então uma mensagem RADIUS Change of Authorization (CoA) Disconnect-Request para o ponto de acesso específico ou porta do switch, terminando a sessão ativa imediatamente. Segundo, revogue o certificado do dispositivo na CA e garanta que o NAC está configurado para verificação OCSP em tempo real, em vez de revogação baseada em CRL. Isto significa que, mesmo que o dispositivo se volte a ligar antes de o CoA ser processado, a autenticação EAP-TLS irá falhar na verificação OCSP. Ambos os controlos em conjunto reduzem a janela de exposição de 12 horas para menos de 60 segundos.
Q3. Durante uma auditoria de segurança à rede de um grande centro de congressos, descobre-se que o servidor SCEP está exposto à internet pública utilizando uma palavra-passe de desafio estática para permitir o registo remoto de dispositivos. O auditor assinala isto como uma vulnerabilidade crítica. Como deve o processo de registo SCEP ser reestruturado para manter a capacidade de registo remoto enquanto elimina o risco da palavra-passe estática?
Dica: O servidor SCEP necessita de uma forma de verificar se o dispositivo que solicita um certificado é realmente autorizado pelo MDM, sem depender de um segredo partilhado que possa ser extraído de um dispositivo ou intercetado.
Ver resposta modelo
Substitua a palavra-passe de desafio estática por palavras-passe de desafio dinâmicas e de utilização única por dispositivo, geradas pelo MDM. O fluxo de trabalho torna-se: (1) O MDM gera uma palavra-passe de desafio única e com limite de tempo para cada dispositivo durante a inscrição. (2) O MDM inclui este desafio no payload SCEP enviado para o dispositivo. (3) O dispositivo inclui o desafio no seu CSR. (4) O servidor SCEP valida o desafio junto do MDM via API antes de encaminhar o CSR para a CA. (5) O desafio é invalidado imediatamente após a utilização. Isto garante que apenas dispositivos geridos pelo MDM podem obter um certificado com sucesso e que, mesmo que o URL do SCEP seja descoberto, um atacante não consegue gerar certificados válidos sem um desafio de utilização única válido. Adicionalmente, restrinja o servidor SCEP apenas a HTTPS e implemente a criação de listas de permissões de IP para os IPs de saída do MDM, sempre que possível.
Continue a ler esta série
Staff WiFi vs. Guest WiFi: Melhores Práticas de Segmentação de Rede Corporativa
Um guia técnico abrangente para líderes de TI sobre como segmentar redes WiFi de funcionários e convidados. Abrange arquitetura de VLAN, autenticação 802.1X, políticas de firewall e o impacto comercial de um design de rede seguro.
Soluções de WiFi para apartamentos: um guia completo para empresas
Este guia aborda a arquitetura, a implementação e o caso de negócio para soluções de WiFi em apartamentos em empreendimentos Build to Rent e edifícios multifamiliares. Explica como a tecnologia Identity Pre-Shared Key (iPSK) cria bolhas de rede seguras e isoladas para cada residente, ao mesmo tempo que suporta dispositivos inteligentes e IoT. Promotores imobiliários, proprietários e operadores de BTR encontrarão orientações práticas de implementação, dados de ROI e cenários reais de implementação.
Cox business managed WiFi: um guia completo para empresas
Este guia detalha como os promotores imobiliários e operadores de BTR podem implementar redes escaláveis e seguras utilizando o Cox Business managed WiFi. Abrange a arquitetura de rede, a implementação de hardware neutro em termos de fornecedor e o impacto empresarial de transformar a conectividade de uma dor de cabeça operacional numa infraestrutura fiável.