Resolução de Problemas de Conetividade à Internet no Windows 11 Após a Atualização

Este guia fornece uma referência técnica definitiva para líderes de TI sobre como resolver falhas de conetividade à Internet relacionadas com a atualização do Windows 11, causadas pela remoção das definições de autenticação com fios 802.1X. Disponibiliza um processo passo a passo de resolução de problemas e remediação, abrangendo a Política de Grupo, o Microsoft Intune e métodos de recuperação manual, juntamente com medidas preventivas e análise de ROI para garantir um acesso à rede estável e em conformidade em ambientes empresariais.

📖 7 min de leitura📝 1,719 palavras🔧 2 exemplos práticos❓ 3 perguntas de prática📚 9 definições principais

Ouça este guia

Ver transcrição do podcast

Bem-vindo ao Purple Technical Briefing. Hoje vamos abordar um problema crítico que está a afetar as equipas de TI empresariais a nível global: a perda de conectividade de internet por cabo em dispositivos após uma atualização local para o Windows 11. Se tem tido utilizadores que subitamente ficaram impossibilitados de se ligarem à sua rede segura pós-atualização, saiba que não está sozinho. Este não é um bug aleatório. Trata-se de uma falha específica na forma como a atualização lida com as definições de autenticação 802.1X. Nos próximos dez minutos, vou explicar-lhe por que razão isto acontece, como corrigir e como evitar que este problema prejudique as suas operações.

Comecemos pelo contexto técnico. O problema de atualização do Windows 11 que estamos a discutir não é novo. Tem sido documentado em ambientes empresariais desde as primeiras atualizações de funcionalidades, e tornou-se mais proeminente com o ciclo de atualização de 23H2 para 25H2. O problema central é este: quando uma atualização local do Windows 11 é executada, pode remover ou corromper silenciosamente os ficheiros de configuração XML que gerem a autenticação 802.1X por cabo. O resultado é que os dispositivos arrancam após a atualização, ligam-se fisicamente à rede, mas falham a autenticação ao nível da porta. O switch, a cumprir corretamente a sua função, ou bloqueia o dispositivo ou atribui-o a uma VLAN de convidados restrita.

Agora, vamos aprofundar o funcionamento técnico. O serviço Configuração Automática com Fios, conhecido internamente como dot3svc, é o componente do Windows responsável pela gestão do 802.1X em interfaces Ethernet. Este serviço lê a partir de um perfil XML guardado para saber como iniciar o handshake de autenticação com o switch de rede. Este perfil define tudo: o método EAP (seja PEAP com MSCHAPv2 ou EAP-TLS com certificados), as autoridades de certificação fidedignas e a forma como o cliente se deve identificar. Quando o processo de atualização é executado, pode repor a configuração deste serviço ou eliminar o perfil por completo. Sem o perfil, o dot3svc não tem instruções. Não consegue iniciar o processo de autenticação e a porta do switch permanece fechada.

Para diagnosticar isto numa máquina específica, não precisa de ferramentas complexas. Abra uma linha de comandos com privilégios de administrador e execute: netsh lan show profiles. Se o resultado estiver vazio ou se o perfil esperado estiver em falta, confirmou a causa raiz. Pode também abrir o Visualizador de Eventos do Windows e navegar para Registos de Aplicações e Serviços, depois Microsoft, depois Windows, depois Wired-AutoConfig e, finalmente, o registo Operacional. Irá encontrar eventos de erro explícitos registados no momento de cada tentativa de ligação falhada. Estes eventos dir-lhe-ão precisamente o que correu mal, quer seja a falta de um perfil, uma falha de confiança no certificado ou um problema de dependência do serviço.

Agora, vamos falar sobre os três caminhos principais de resolução. A escolha certa para a sua organização depende da sua infraestrutura de gestão.

A primeira e mais robusta opção para ambientes tradicionais e locais (on-premises) é a Group Policy. Se os seus dispositivos estiverem associados ao domínio, pode criar uma Wired Network IEEE 802.3 Policy sob Computer Configuration, Policies, Windows Settings, Security Settings. Dentro desta política, define as definições de 802.1X: o tipo de EAP, o método de autenticação e a configuração de fidedignidade do certificado. Assim que este GPO estiver associado às Unidades Organizacionais apropriadas e for aplicado às máquinas afetadas, as definições corretas serão impostas e reaplicadas automaticamente, mesmo que uma atualização futura tente removê-las. A principal armadilha a evitar aqui é a filtragem de GPO. Garanta que a sua filtragem de segurança e os filtros WMI estão configurados corretamente para que a política chegue efetivamente às máquinas de destino. Um erro comum é criar a política, mas não verificar o seu âmbito de aplicação.

A segunda opção, e a melhor prática para ambientes modernos geridos na nuvem, é o Microsoft Intune. Se os seus dispositivos estiverem associados ao Azure AD ou em modo híbrido e forem geridos através do Intune, deve criar um Configuration Profile utilizando o modelo Wired Network para Windows 10 e posterior. A forma mais eficiente de preencher este perfil é exportar primeiro o XML de trabalho de uma máquina configurada corretamente usando o comando: netsh lan export profile folder equals dot interface equals Ethernet. Isto fornece-lhe o XML simples que define as definições de 802.1X. Pode então importar este XML diretamente para o perfil do Intune. Atribua o perfil a um grupo de dispositivos que contenha as suas máquinas afetadas, e o Intune enviará a configuração. Esta é uma abordagem altamente escalável, particularmente para organizações distribuídas, como cadeias de retalho ou grupos hoteleiros com centenas de locais.

A terceira opção é a correção manual, que é apropriada para situações urgentes e pontuais. Numa máquina que esteja a funcionar corretamente, exporte o perfil com netsh lan export. Transfira o ficheiro XML resultante para a máquina avariada através de USB ou de uma partilha de rede que esteja acessível a partir da VLAN de convidados. Depois, na máquina avariada, execute: netsh lan add profile filename equals your profile dot xml interface equals Ethernet. Isto restaura imediatamente as definições de autenticação. O dispositivo deverá autenticar-se com sucesso na próxima tentativa de ligação. Esta é uma correção rápida e eficaz para um único utilizador, mas não é escalável. Se der por si a fazer isto repetidamente, é um forte sinal de que precisa de implementar uma política gerida centralmente.

Vamos agora abordar as melhores práticas para prevenir este problema no futuro. O princípio mais importante é este: nunca confie que uma configuração manual irá sobreviver a uma atualização do SO local. Trate o seu perfil 802.1X como uma política que deve ser imposta por uma autoridade central, e não como uma definição estática em cada dispositivo. Esta simples mudança de mentalidade poupará à sua equipa tempo e esforço significativos.

Na prática, isto significa garantir que a sua configuração 802.1X faz parte do build padrão dos seus dispositivos. Quer utilize o MDT, o SCCM ou o Windows Autopilot, o perfil de rede deve ser implementado como parte do processo de provisionamento. Deve também ser imposto por uma política persistente, seja GPO ou Intune, para que, mesmo que a configuração local seja removida, seja automaticamente restaurada.

Para as organizações que gerem implementações de atualização em grande escala, considere adicionar etapas pré-instalação e pós-instalação às suas sequências de tarefas de atualização. Antes de a atualização ser executada, um script pode fazer uma cópia de segurança do perfil 802.1X atual para um local na rede. Após a conclusão da atualização, uma etapa de verificação pode comprovar se o perfil está presente e, caso não esteja, restaurá-lo a partir da cópia de segurança. Esta abordagem de dupla segurança oferece uma rede de salvaguarda adicional.

Do ponto de vista da conformidade, esta questão tem implicações diretas para o PCI DSS e ISO 27001. O requisito 1.2.1 do PCI DSS exige que o tráfego entre o ambiente de dados do titular do cartão e outras redes seja restrito. O 802.1X é um controlo fundamental para impor esta segmentação. Se os dispositivos perderem a sua configuração 802.1X e caírem numa rede não segmentada, poderá estar a infringir este requisito. Garantir que as suas definições 802.1X são geridas centralmente e resistentes a atualizações não é, portanto, apenas uma preocupação operacional; é um imperativo de conformidade.

Agora, algumas perguntas de resposta rápida que surgem frequentemente nas conversas com os clientes.

Isto também afeta o Wi-Fi? Sim, o mesmo problema pode afetar os perfis wireless, embora o problema com fios tenha sido reportado com maior frequência. A abordagem de resolução de problemas é análoga, utilizando comandos netsh wlan em vez de netsh lan.

Isto está associado a um fornecedor de hardware específico? Não. Trata-se de um problema de software e gestão de configuração do Windows. Afeta dispositivos de todos os principais fabricantes.

Posso evitar que o perfil seja eliminado durante a atualização? Se estiver a utilizar um processo de atualização gerido via SCCM ou Intune, pode adicionar etapas de remediação pós-atualização. Para atualizações não geridas, a melhor mitigação é ter uma política em vigor que volte a aplicar a configuração automaticamente após a conclusão da atualização.

E se o perfil estiver presente mas a autenticação continuar a falhar? Neste caso, o problema pode estar na cadeia de certificados. Após uma atualização, o certificado da máquina ou a autoridade de certificação raiz fidedigna podem ter sido afetados. Verifique o repositório de certificados da máquina e confirme se o certificado raiz do servidor RADIUS está presente e é fidedigno.

Para resumir os pontos-chave do briefing de hoje. As atualizações in-place do Windows 11 podem remover silenciosamente os perfis XML utilizados pelo serviço Wired AutoConfig, causando falhas na autenticação 802.1X. Os passos imediatos de diagnóstico passam por executar netsh lan show profiles e verificar o registo operacional Wired-AutoConfig no Visualizador de Eventos. Os três caminhos de correção são a Política de Grupo para dispositivos associados ao domínio, o Microsoft Intune para dispositivos geridos na cloud e a importação manual de perfis netsh para correções urgentes e pontuais. A solução a longo prazo consiste em impor as definições do 802.1X através de uma política gerida centralmente, tratando-a como uma configuração persistente e não como uma definição estática. Esta é também uma preocupação de conformidade para ambientes PCI DSS e ISO 27001.

A sua tarefa para esta semana é simples. Audite a sua abordagem atual de gestão do 802.1X. Se as suas definições forem configuradas manualmente nos endpoints sem uma política de imposição central, esse é um risco que precisa de abordar antes do seu próximo ciclo de atualização. Crie o perfil do Intune ou a GPO, teste-o num grupo piloto e implemente-o. O investimento é mínimo. A mitigação do risco é significativa.

Obrigado por se juntar ao Purple Technical Briefing. Para obter mais recursos sobre gestão de redes empresariais e inteligência de WiFi, visite purple dot ai.

Principais Conclusões

✓As atualizações in-place do Windows 11 — particularmente o ciclo de atualização de funcionalidades de 23H2 para 25H2 — podem apagar silenciosamente os perfis de configuração XML utilizados pelo serviço Wired AutoConfig (dot3svc), causando falhas imediatas de autenticação 802.1X em redes com fios.
✓A falha manifesta-se através da colocação dos dispositivos numa VLAN de convidado restrita ou no bloqueio total da porta do switch, resultando na perda de acesso aos recursos internos, embora mantendo potencialmente o acesso à internet.
✓Diagnostique o problema executando `netsh lan show profiles` (para verificar se o perfil está em falta) e revendo o registo Wired-AutoConfig Operational no Visualizador de Eventos do Windows (para códigos de erro explícitos).
✓Restaure a conectividade em escala utilizando uma política de Rede com Fios de Política de Grupo (para dispositivos associados a um domínio) ou um Perfil de Configuração do Microsoft Intune (para dispositivos associados ao Azure AD ou híbridos), ambos aplicando as definições corretas de forma persistente.
✓Para correções urgentes e pontuais, exporte o perfil funcional de uma máquina operacional (`netsh lan export`) e importe-o no dispositivo afetado (`netsh lan add profile`).
✓Evite ocorrências futuras tornando a configuração do 802.1X parte da compilação padrão do dispositivo e impondo-a através de uma política central — nunca confie que as configurações aplicadas manualmente sobrevivam a uma atualização do SO.
✓Este problema tem implicações diretas de conformidade para o PCI DSS (segmentação de rede) e ISO 27001 (gestão de configuração); uma estratégia 802.1X centralizada e resiliente é um imperativo tanto operacional como de conformidade.

Resumo Executivo

A transição para o Windows 11, embora proporcione melhorias significativas de segurança e produtividade, introduziu um problema operacional crítico para os ambientes de rede empresariais: a eliminação silenciosa das configurações de autenticação com fios 802.1X durante as atualizações locais. Para gestores de TI, arquitetos de rede e CTOs que supervisionam grandes frotas de dispositivos em hotéis, cadeias de retalho, estádios, centros de conferências e organizações do setor público, isto traduz-se diretamente em perda de produtividade, custos de suporte elevados e potencial exposição a riscos de conformidade. A causa raiz é a corrupção ou remoção completa de perfis de configuração XML essenciais para o serviço Wired AutoConfig (dot3svc), deixando os dispositivos incapazes de realizar o controlo de acesso à rede baseado em portas, conforme definido pelo IEEE 802.1X. Este guia fornece uma metodologia autoritária e passo a passo para diagnosticar, restaurar e prevenir este problema. Cobrimos os fundamentos técnicos da falha, as três principais vias de remediação — Política de Grupo, Microsoft Intune e importação manual de perfis XML — e uma estrutura para criar resiliência em futuros ciclos de implementação do SO. Analisamos também o impacto comercial e o ROI de uma estratégia proativa de gestão de 802.1X, com referência às obrigações de conformidade PCI DSS, ISO 27001 e GDPR.

Análise Técnica Detalhada

O cerne do problema reside na forma como o processo de atualização local do Windows 11 lida com os perfis de configuração de rede. O serviço Wired AutoConfig (dot3svc) é o serviço do Windows responsável pela gestão da autenticação IEEE 802.1X em interfaces Ethernet. Quando uma máquina se liga a uma porta de switch, este serviço lê a partir de um perfil XML guardado para iniciar o handshake de autenticação, utilizando protocolos como EAP-TLS ou PEAP-MSCHAPv2. O processo de atualização — particularmente o ciclo de atualização de funcionalidades da versão 23H2 para a 25H2 — pode corromper este perfil ou repor totalmente as dependências do serviço, deixando efetivamente o dispositivo sem a configuração necessária para se autenticar. O resultado é que a porta do switch, configurada para impor o 802.1X, nega o acesso, colocando frequentemente o dispositivo por predefinição numa VLAN de convidados restrita ou bloqueando completamente o tráfego.

Não se trata de um problema de controlador ou de compatibilidade de hardware. É uma perda do perfil de configuração específico que dita o método de autenticação, a fidedignidade do servidor e a identidade do cliente. A distinção é importante porque altera totalmente a abordagem de resolução de problemas. Um administrador pode verificar o problema executando netsh lan show profiles numa linha de comandos com privilégios elevados. Se o perfil esperado estiver ausente, a causa raiz está confirmada. Para uma análise mais aprofundada, o Visualizador de Eventos do Windows fornece dados de diagnóstico explícitos em Applications and Services Logs > Microsoft > Windows > Wired-AutoConfig > Operational, onde as falhas de autenticação são registadas com códigos de erro e descrições específicas.

O próprio fluxo de autenticação segue o modelo standard 802.1X. O dispositivo Windows funciona como o supplicant, iniciando uma mensagem EAPOL (EAP over LAN) para o comutador. O comutador, atuando como o authenticator, encaminha o pedido para um servidor RADIUS central (como o Microsoft NPS ou Cisco ISE). O servidor RADIUS valida as credenciais — seja um certificado, nome de utilizador e palavra-passe, ou identidade da máquina — e devolve uma resposta Access-Accept ou Access-Reject. O comutador abre ou fecha a porta em conformidade. Quando o perfil XML está em falta, o supplicant nunca inicia este handshake, e a porta permanece num estado não autorizado.

Guia de Implementação

A resolução da falha de autenticação 802.1X pós-atualização envolve três métodos principais, selecionados com base na infraestrutura de gestão da organização.

Método 1: Remediação por Política de Grupo (GPO). Para dispositivos associados ao domínio num ambiente tradicional de Active Directory, a solução mais escalável é impor as definições 802.1X via GPO. Navegue até Computer Configuration > Policies > Windows Settings > Security Settings > Wired Network (IEEE 802.3) Policies. Crie uma nova política, especificando o tipo de EAP — por exemplo, Microsoft: Protected EAP (PEAP) — e configure as suas propriedades, incluindo as autoridades de certificação raiz fidedignas e o método de autenticação interna (ex: EAP-MSCHAP v2). Esta política irá reaplicar automaticamente as definições corretas a todas as máquinas visadas no próximo ciclo de atualização da Política de Grupo, normalmente no prazo de 90 minutos ou no próximo início de sessão. O passo de verificação crítico é executar gpresult /r numa máquina de destino para confirmar que a política está a ser aplicada corretamente.

Método 2: Implementação com o Microsoft Intune. Para endpoints modernos e geridos na nuvem, crie um Perfil de Configuração no centro de administração do Intune para o Windows 10 e posterior, selecionando o modelo Rede com fios. A abordagem mais eficiente consiste em exportar primeiro o perfil 802.1X funcional a partir de uma máquina de referência corretamente configurada através de netsh lan export profile folder=. interface="Ethernet". Isto gera um ficheiro XML que pode ser importado diretamente no campo XML EAP do perfil do Intune. Atribua o perfil ao grupo de dispositivos Azure AD relevante. O Intune enviará a configuração no próximo ciclo de sincronização de dispositivos, restaurando as definições de autenticação sem qualquer intervenção manual no endpoint.

Método 3: Importação Manual de Perfil XML. Para dispositivos autónomos ou correções urgentes e pontuais, a configuração pode ser restaurada manualmente. Numa máquina funcional, exporte o perfil 802.1X ativo: netsh lan export profile folder=C:\temp interface="Ethernet". Transfira o ficheiro XML resultante para a máquina afetada e importe-o: netsh lan add profile filename="C:\temp\YourProfile.xml" interface="Ethernet". Volte a ligar o cabo de rede para iniciar o processo de autenticação. Este método fornece uma correção imediata, mas não é dimensionável e deve ser tratado apenas como uma medida tática.

Melhores Práticas

Para gerir de forma proativa e mitigar o risco de perda de configuração do 802.1X, as equipas de TI devem adotar uma estratégia multicamada baseada nas melhores práticas de gestão de configuração.

Incorpore a Configuração do 802.1X na Imagem Padrão. Quer utilize MDT, SCCM ou Windows Autopilot, a imagem base ou o processo de aprovisionamento deve incluir a implementação do perfil de rede com fios. Isto estabelece o estado correto desde o aprovisionamento inicial, reduzindo a margem para falhas relacionadas com atualizações.

Aproveite a Gestão Centralizada para a Aplicação. Não dependa de endpoints configurados manualmente. Utilize GPOs ou perfis do Intune como a única fonte de verdade para as definições de rede. Isto garante que, mesmo que uma atualização remova a configuração local, esta seja automaticamente restaurada no ciclo seguinte de atualização de políticas. Isto está alinhado com os princípios de gestão de configuração ITIL e com o controlo A.12.1.2 (Gestão de Alterações) do Anexo A da ISO 27001.

Implemente Verificações Prévias e Posteriores em Sequências de Tarefas de Atualização. Antes de iniciar uma atualização importante do SO através do SCCM ou do MDT, inclua uma etapa de script para exportar e efetuar uma cópia de segurança do perfil 802.1X atual para uma partilha de rede. A fase pós-atualização da sequência de tarefas deve incluir uma etapa de verificação que confirme a presença do perfil e, se estiver ausente, o restaure a partir da cópia de segurança. Esta abordagem de dupla segurança fornece uma rede de salvaguarda independente da política de gestão central.**Mantenha um Repositório de Perfis com Controlo de Versões. Mantenha um repositório centralizado e com controlo de versões de perfis XML master 802.1X para diferentes locais, níveis de segurança e ambientes de rede. Isto é inestimável para uma rápida recuperação de desastres e garante a consistência em toda a infraestrutura, um requisito fundamental para a conformidade com o PCI DSS e as obrigações de segurança de dados do GDPR.

Resolução de Problemas e Mitigação de Riscos

Quando um endpoint não se consegue ligar após uma atualização do Windows 11, o processo de resolução de problemas deve ser sistemático e baseado em evidências.

Passo 1 — Verificar a Camada Física. Confirme se o cabo Ethernet está ligado e se a porta do switch está ativa. Verifique as luzes de ligação da placa de rede (NIC).

Passo 2 — Verificar a Configuração de IP. Execute ipconfig /all. Determine se o dispositivo está a receber um endereço IP da VLAN esperada. Um endereço APIPA (169.254.x.x) indica uma falha total na obtenção de um IP, sugerindo que a porta está totalmente bloqueada. Um IP de uma sub-rede inesperada pode indicar que o dispositivo foi colocado numa VLAN de convidados devido a uma falha de autenticação.

Passo 3 — Inspecionar o Perfil 802.1X. Execute netsh lan show profiles. Se o perfil esperado estiver ausente, a atualização removeu-o. Se estiver presente mas a autenticação continuar a falhar, o perfil pode estar corrompido ou a cadeia de certificados pode estar quebrada.

Passo 4 — Analisar os Registos de Eventos. Abra o Visualizador de Eventos e navegue até Applications and Services Logs > Microsoft > Windows > Wired-AutoConfig > Operational. Procure por eventos de erro no momento da tentativa de ligação. Estes registos fornecem motivos de falha explícitos, tais como "The identity of the authentication server could not be verified" (indicando um problema de confiança no certificado) ou "The EAP authentication failed" (indicando uma incompatibilidade de credenciais ou de método).

Passo 5 — Restaurar a Configuração. Com base no diagnóstico, aplique o método de remediação adequado: GPO, Intune ou importação manual de XML.

Do ponto de vista da mitigação de riscos, a chave é a automatização e a aplicação de políticas. Um perfil 802.1X configurado manualmente é um ponto único de falha. Uma política aplicada centralmente é um controlo de autorreparação. O risco operacional de depender de configurações manuais é agravado em grandes infraestruturas, onde centenas de dispositivos podem ser atualizados em simultâneo. Um único perfil de GPO ou Intune, corretamente configurado e testado, elimina este risco à escala.

ROI e Impacto no Negócio

O impacto comercial de uma perda generalizada de conectividade após uma atualização do Windows 11 pode ser grave, variando desde a perda de produtividade dos colaboradores até à perda direta de receitas em ambientes onde o acesso à rede é operacionalmente crítico. O ROI da implementação de uma estratégia centralizada de gestão de 802.1X é medido em três dimensões: redução dos custos de suporte, mitigação do risco de conformidade e melhoria da resiliência operacional.

Redução de Custos de Suporte. Considere uma empresa com um parque de 1.000 dispositivos onde 15% dos dispositivos perdem a conectividade após um ciclo de atualização noturno. Cada incidente exige 30 minutos de tempo de suporte de TI para ser resolvido manualmente. Com um custo de £60 por hora para um técnico de Nível 2, este único evento custa à organização £4.500 em suporte reativo. Em contrapartida, a criação e implementação de um perfil de GPO ou Intune requer aproximadamente 4 horas de tempo de arquiteto (£240). O ROI é totalmente alcançado logo no primeiro incidente evitado, com cada ciclo de atualização subsequente a proporcionar a mesma poupança.

Mitigação do Risco de Conformidade. O Requisito 1.2.1 do PCI DSS exige a restrição do tráfego entre o ambiente de dados de titulares de cartões e outras redes. O 802.1X é um controlo primário para impor esta segmentação de rede. Se os dispositivos perderem a sua configuração de autenticação e caírem numa rede não segmentada, a organização pode estar a violar este requisito, expondo-se a multas, auditorias e danos à reputação. Uma estratégia de gestão de 802.1X centralizada e resiliente mitiga diretamente este risco. Da mesma forma, o Artigo 32 do GDPR exige medidas técnicas adequadas para garantir a segurança da rede; uma política de autenticação com capacidade de autorrecuperação é um controlo demonstrável.

Resiliência Operacional. Para os operadores de espaços físicos — hotéis, centros de conferências, estádios — a conectividade de rede está diretamente ligada às operações geradoras de receita. O sistema de gestão hoteleira, a infraestrutura audiovisual de um centro de conferências e os sistemas de bilhética e de ponto de venda de um estádio dependem de um acesso à rede fiável e autenticado. O custo da inatividade nestes ambientes excede largamente o custo da implementação de uma estratégia de gestão robusta. A gestão proativa de 802.1X é, neste contexto, um investimento direto na continuidade operacional.

Definições Principais

IEEE 802.1X

Uma norma IEEE para Controlo de Acesso à Rede Baseado em Porta (PNAC). Fornece um mecanismo de autenticação para dispositivos que se pretendam ligar a uma LAN ou WLAN, garantindo que apenas dispositivos autorizados possam aceder aos recursos da rede.

Quando as equipas de TI precisam de impedir que dispositivos não autorizados se liguem a redes com ou sem fios, implementam o 802.1X. É o principal guardião para o acesso à rede corporativa e é um controlo fundamental para os requisitos de segmentação de rede PCI DSS.

Wired AutoConfig (dot3svc)

O serviço Microsoft Windows responsável por realizar a autenticação IEEE 802.1X em interfaces Ethernet. Lê a partir de um perfil XML armazenado para iniciar e gerir o handshake de autenticação com o switch de rede.

Este é o serviço específico que é interrompido durante a atualização do Windows 11. Se este serviço não estiver em execução ou se o seu perfil XML estiver em falta, a autenticação 802.1X com fios falhará silenciosamente. É o foco principal da resolução de problemas para este incidente.

EAP (Extensible Authentication Protocol)

Uma estrutura de autenticação que fornece um conjunto comum de funções e um mecanismo de negociação para métodos de autenticação, conhecidos como métodos EAP. É utilizado no âmbito do 802.1X para definir como os clientes e servidores trocam credenciais.

Ao configurar o 802.1X, as equipas de TI devem escolher um método EAP. A escolha determina o nível de segurança e os requisitos de infraestrutura: o EAP-TLS requer uma infraestrutura de certificados (PKI), enquanto o PEAP-MSCHAPv2 utiliza credenciais de nome de utilizador e palavra-passe.

PEAP-MSCHAPv2

Protected Extensible Authentication Protocol com Microsoft Challenge-Handshake Authentication Protocol versão 2. Um método EAP amplamente implementado que cria um túnel TLS para proteger a troca de autenticação e, em seguida, autentica o cliente utilizando um nome de utilizador e palavra-passe.

Este é um dos métodos de autenticação mais comuns para o 802.1X em ambientes empresariais. É mais simples de implementar do que o EAP-TLS baseado em certificados, pois não requer certificados de cliente. O problema de atualização do Windows 11 afeta todos os tipos de EAP, incluindo o PEAP-MSCHAPv2.

RADIUS (Remote Authentication Dial-In User Service)

Um protocolo de rede que fornece gestão centralizada de Autenticação, Autorização e Contabilização (AAA) para utilizadores e dispositivos que se ligam a uma rede. Numa implementação 802.1X, o switch de rede encaminha os pedidos de autenticação para o servidor RADIUS.

O servidor RADIUS é a autoridade central que valida as credenciais e concede ou recusa o acesso. As implementações comuns incluem o Microsoft NPS (Network Policy Server) e o Cisco ISE. Quando o perfil 802.1X está em falta, o servidor RADIUS nunca chega a ser contactado.

Group Policy (GPO)

Uma funcionalidade do Microsoft Windows que fornece gestão e configuração centralizadas de sistemas operativos, aplicações e definições de utilizador num ambiente Active Directory.

Para dispositivos Windows integrados em domínio local, as GPOs são o método padrão para implementar e impor definições de segurança, incluindo configurações 802.1X. Uma GPO de Rede com Fios corretamente configurada voltará a aplicar o perfil 802.1X mesmo que uma atualização o remova localmente.

Microsoft Intune

Uma plataforma de gestão unificada de endpoints (UEM) baseada na nuvem da Microsoft para gerir dispositivos móveis, sistemas operativos de desktop e aplicações.

Para ambientes modernos, geridos na nuvem ou híbridos integrados no Azure AD, o Intune é o método preferido para implementar perfis 802.1X. Substitui a necessidade das GPOs tradicionais e é essencial para gerir parques de dispositivos modernos e distribuídos.

VLAN (Virtual Local Area Network)

Uma rede lógica sobreposta que agrupa um conjunto de dispositivos de diferentes segmentos físicos de LAN, criando um domínio de difusão (broadcast domain) isolado, independentemente da localização física.

O 802.1X é frequentemente utilizado para atribuir dinamicamente dispositivos a VLANs específicas com base na sua identidade autenticada. Quando a configuração 802.1X é eliminada, esta atribuição dinâmica falha e o dispositivo pode ser colocado numa VLAN de convidados restrita ou ter o acesso totalmente recusado, que é o sintoma mais comummente reportado pelos utilizadores finais.

EAPOL (EAP over LAN)

Um protocolo de encapsulamento definido na norma IEEE 802.1X que transporta mensagens EAP sobre uma rede IEEE 802, como Ethernet ou Wi-Fi.

O EAPOL é o mecanismo através do qual o suplicante (o dispositivo Windows) inicia o processo de autenticação 802.1X com o switch. A primeira mensagem enviada é uma trama EAPOL-Start. Quando o perfil XML do dot3svc está em falta, esta trama inicial nunca é enviada.

Exemplos Práticos

Uma cadeia de retalho multi-site com 500 lojas está a preparar-se para atualizar os seus terminais POS e computadores do back-office para o Windows 11. Cada loja utiliza 802.1X com PEAP-MSCHAPv2 para proteger o acesso por cabo e segmentar o tráfego de processamento de pagamentos do tráfego corporativo geral, conforme exigido pela PCI DSS. Como pode o Diretor de TI evitar interrupções massivas de conectividade durante a implementação faseada?

O Diretor de TI deve tirar partido do Microsoft Intune para a gestão centralizada em todo o parque distribuído. Passo 1: Criar um Perfil de Configuração Master. Num dispositivo de referência com Windows 11, configure e teste manualmente as definições de 802.1X para um ambiente de loja. Exporte esta configuração para um ficheiro XML utilizando netsh lan export profile folder=C:\temp interface="Ethernet". Passo 2: Construir um Perfil do Intune. No centro de administração do Intune, crie um novo Perfil de Configuração para o Windows 10 e posterior, utilizando o modelo 'Wired network'. Importe o ficheiro XML do Passo 1 para o campo XML do EAP deste perfil. Passo 3: Definir Grupos Dinâmicos de Dispositivos. Crie grupos dinâmicos de dispositivos no Azure AD que sejam preenchidos automaticamente com base nas propriedades dos dispositivos, tais como uma convenção de nomenclatura específica para terminais POS (por exemplo, dispositivos com nomes que correspondam a 'POS-*'). Isto permite a aplicação de políticas direcionadas e baseadas em funções. Passo 4: Implementação Faseada. Atribua o perfil do Intune primeiro a um grupo piloto de dispositivos não críticos de back-office numa única região. Monitorize o processo de atualização e o estado de conectividade através das análises de endpoints do Intune e dos relatórios de conformidade de dispositivos. Assim que for validado num período de observação de 48 horas, expanda a atribuição aos terminais POS e depois ao parque mais alargado numa implementação região por região. Isto garante que, mesmo que o processo de atualização remova o perfil local, o Intune forçará a sua nova aplicação na sincronização seguinte, garantindo uma conectividade sem interrupções e mantendo os controlos de segmentação de rede da PCI DSS.

Comentário do Examinador: Esta solução é robusta porque utiliza uma ferramenta de gestão moderna e nativa da nuvem, altamente adequada para ambientes multi-site distribuídos. Afasta-se da configuração manual por dispositivo e passa para um modelo declarativo baseado em políticas — uma mudança fundamental na postura operacional. O uso de grupos dinâmicos e de implementações faseadas são as melhores práticas da indústria para a mitigação de riscos, permitindo que a equipa de TI contenha quaisquer problemas imprevistos antes que estes afetem todo o parque de dispositivos. A ligação explícita à conformidade com a PCI DSS demonstra uma compreensão do contexto de negócio para além do puramente técnico. Uma alternativa para uma empresa com uma forte infraestrutura local seria utilizar a Group Policy via SCCM, mas o Intune é a escolha superior para um parque distribuído geograficamente, onde os dispositivos podem não se ligar consistentemente ao domínio corporativo.

Um grande centro de conferências acolhe múltiplos eventos simultâneos, cada um exigindo uma rede segura e isolada para organizadores e expositores. A equipa de TI local utiliza atribuição dinâmica de VLAN via 802.1X com base em credenciais de utilizador geridas no Microsoft NPS. Após a implementação de uma atualização de funcionalidades do Windows 11 durante a noite, o portátil de um organizador de eventos deixou de conseguir aceder à rede do organizador ou ao servidor de ficheiros partilhado. O evento começa em duas horas. Como deve o técnico local resolver isto?

Para uma correção tática imediata num ambiente de negócios sensível ao tempo, o técnico deve utilizar o método de importação manual de perfil XML. Passo 1: Obter um Perfil Funcional. O técnico deve utilizar o seu próprio portátil corretamente configurado ou um dispositivo de referência para exportar o perfil 802.1X para a rede do organizador. Comando: netsh lan export profile folder=C:\temp interface="Ethernet". Isto cria um ficheiro XML que contém toda a configuração de autenticação. Passo 2: Transferir o Perfil. O ficheiro XML deve ser transferido para o portátil do organizador através de uma unidade USB, uma vez que o dispositivo do organizador não tem atualmente acesso a partilhas de rede. Passo 3: Importar o Perfil. No portátil do organizador, abra uma Linha de Comandos com privilégios de administrador e execute: netsh lan add profile filename="C:\temp\Wired_Organiser_Profile.xml" interface="Ethernet". Passo 4: Verificar a Conetividade. Desligue e volte a ligar o cabo Ethernet para iniciar o processo de autenticação 802.1X. O dispositivo deverá autenticar-se com sucesso e ser colocado na VLAN correta, restaurando o acesso ao servidor de ficheiros. Passo 5: Documentar e Escalonar. O técnico deve documentar esta correção pontual no sistema de gestão de serviços de TI e criar um pedido de alteração para que a equipa central de arquitetura de TI implemente uma solução permanente baseada no Intune ou GPO, evitando a recorrência para outros utilizadores e eventos futuros.

Comentário do Examinador: Esta abordagem prioriza corretamente a rapidez de resolução numa situação de tempo crítico com impacto nas receitas. Embora não seja uma solução escalável a longo prazo, a importação manual de perfil é o método garantido mais rápido para restaurar o serviço de um único utilizador sem necessitar de acesso à rede. O passo final crítico — documentação e escalonamento — é o que distingue um processo maduro de gestão de serviços de TI de um reativo. Garante que a correção tática contribui com informação para uma solução estratégica, evitando que a equipa fique presa num ciclo de intervenções manuais repetitivas. O percurso de escalonamento também demonstra a compreensão de que os incidentes individuais são sintomas de uma lacuna sistémica na gestão de configurações.

Perguntas de Prática

Q1. É o CTO de um grande grupo hoteleiro com 3.000 dispositivos de funcionários em 45 propriedades. Uma atualização de funcionalidades do Windows 11 agendada para o período noturno foi implementada em todos os dispositivos. Na manhã seguinte, o seu helpdesk recebe 200 pedidos de suporte relatando que os PCs do back-office não conseguem aceder ao sistema de gestão de propriedades ou às partilhas de ficheiros internas. Todos os dispositivos estão associados ao domínio e são geridos via SCCM. Qual é o seu plano de resposta imediata e a sua estratégia de remediação a longo prazo?

Dica: Considere tanto o impacto operacional imediato — colocar as propriedades do hotel a funcionar — como a causa raiz, que é uma falha sistémica na gestão de configurações. A sua resposta deve abordar ambos.

Ver resposta modelo

Resposta imediata: Declarar um incidente P1 e convocar uma chamada de emergência com as equipas de arquitetura de rede e de gestão de endpoints. A prioridade é identificar o caminho mais rápido para restaurar a conectividade em escala. Dado que os dispositivos estão associados ao domínio e são geridos via SCCM, a correção escalável mais rápida é criar imediatamente uma GPO de Rede Com Fios, implementando as definições 802.1X corretas para todas as OUs afetadas. Forçar uma atualização da Group Policy nas máquinas afetadas remotamente utilizando Invoke-GPUpdate via SCCM. Para as propriedades onde isto não resolva o problema com a rapidez necessária, enviar técnicos de TI com pens USB contendo o perfil XML para importação manual nos dispositivos mais críticos (ex.: PCs da receção e de gestão de receitas). Estratégia a longo prazo: Realizar uma revisão pós-incidente para perceber por que razão as definições 802.1X já não estavam a ser impostas via GPO. Criar a GPO de Rede Com Fios como uma política permanente e obrigatória. Adicionar um passo de verificação pós-atualização à sequência de tarefas do SCCM que verifique a presença do perfil e o restaure caso esteja ausente. Documentar os perfis XML principais num repositório com controlo de versões. Rever o processo de gestão de alterações para garantir que as implementações de atualização incluem uma etapa de validação antes do lançamento total.

Q2. A rede de um campus universitário utiliza 802.1X para controlar o acesso a diferentes segmentos de rede para estudantes, professores e funcionários. Após a mais recente atualização de funcionalidades do Windows 11, um professor relata que já não consegue aceder à unidade de investigação da faculdade a partir do seu gabinete. No entanto, consegue aceder à internet pública. Qual é a causa mais provável e qual seria o primeiro comando único que executaria na sua máquina para iniciar o diagnóstico?

Dica: O utilizador tem conectividade parcial — consegue aceder à internet, mas não aos recursos internos. Este é um padrão específico que aponta para um tipo particular de falha. Pense no que controla o acesso a diferentes segmentos de rede.

Ver resposta modelo

A causa mais provável é que a autenticação 802.1X está a falhar e a porta do switch está a encaminhar o dispositivo do professor, por predefinição, para uma VLAN restrita que tem acesso à internet, mas não tem acesso a recursos internos, como a unidade de investigação da faculdade. Este é um padrão comum de design de rede onde o estado 'fail-open' fornece acesso à internet, mas não à rede interna. A atualização do Windows 11 provavelmente eliminou o perfil 802.1X específico para a rede da faculdade, pelo que o dispositivo não se está a autenticar e, consequentemente, não está a ser colocado na VLAN da faculdade. O primeiro comando a executar na máquina é netsh lan show profiles. Se o perfil de rede da faculdade estiver ausente no resultado, a causa raiz está confirmada. A solução é restaurar o perfil através do método apropriado — num ambiente universitário, este será provavelmente uma GPO ou um perfil do Intune, ou uma importação manual como correção imediata.

Q3. A sua organização está a migrar de um ambiente tradicional de Active Directory local para uma implementação totalmente nativa na nuvem com Azure AD e Intune. As suas definições 802.1X atuais são atualmente geridas via GPO. Está a ser configurado um novo escritório regional apenas com dispositivos associados ao Azure AD. Como adapta a sua estratégia de implementação de 802.1X para este novo escritório e qual é o passo específico que faz a ponte entre a sua configuração de GPO existente e a nova abordagem baseada no Intune?

Dica: As GPOs não se aplicam a dispositivos associados ao Azure AD. É necessário replicar o objetivo da GPO utilizando uma ferramenta diferente. Pense no que a GPO contém e em como essa informação pode ser transferida.

Ver resposta modelo

A estratégia atual baseada em GPO não pode ser aplicada a dispositivos associados ao Azure AD, uma vez que a Group Policy requer uma ligação a um controlador de domínio local. A abordagem correta é replicar as definições da GPO no Microsoft Intune. O passo de ligação consiste em exportar o perfil XML 802.1X de uma máquina gerida por GPO existente utilizando netsh lan export profile folder=C:\temp interface="Ethernet". Este ficheiro XML contém exatamente a mesma configuração que a GPO estava a implementar. No Intune, crie um novo Perfil de Configuração para Windows 10 e posterior, selecione o modelo 'Rede com fios' e importe este XML para o campo EAP XML. Atribua este perfil a um grupo de dispositivos do Azure AD que contenha as máquinas do novo escritório regional. Isto traduz eficazmente a lógica da GPO local numa política do Intune nativa na nuvem, garantindo o mesmo nível de segurança e de imposição de configurações para os dispositivos geridos modernamente. Esta abordagem também fornece um caminho de migração claro: à medida que mais sites migram para dispositivos associados ao Azure AD, o mesmo perfil do Intune pode ser estendido a eles, acabando por substituir a GPO por completo.

Continue a ler esta série

O que é um WLC (Wireless LAN Controller) e Será que Ainda Precisa de Um?

Este guia abrangente explora a evolução dos Wireless LAN Controllers (WLCs) e fornece uma estrutura técnica para determinar a arquitetura correta em 2026. Abrange modelos de hardware tradicional, geridos na nuvem e sem controlador, detalhando o seu impacto na conformidade, escalabilidade e experiência do visitante.

Power over Ethernet (PoE) para Access Points: Um Guia de Implementação

Este guia fornece a técnicos de infraestrutura, arquitetos de rede e decisores de TI uma referência técnica definitiva para a implementação de access points Power over Ethernet (PoE) em recintos empresariais, incluindo hotéis, redes de retalho, estádios e instalações do setor público. Abrange as normas IEEE desde a 802.3af até à 802.3bt, cálculo de orçamento de energia, requisitos de cablagem, segmentação de VLAN e conformidade de segurança, com cenários concretos de implementação e referências de ROI mensuráveis. Compreender a arquitetura PoE é fundamental para qualquer implementação de [Guest WiFi](/guest-wifi) ou [WiFi Analytics](/guest-wifi-marketing-analytics-platform), uma vez que a fiabilidade da camada física determina diretamente a qualidade da captura de dados, a experiência do utilizador e o tempo de atividade operacional.

Mesh Network vs Access Points: Qual é o Melhor para Grandes Espaços?

Este guia técnico fornece uma comparação definitiva entre redes mesh e access points com fios tradicionais para espaços de grande escala, abrangendo arquitetura, compromissos de desempenho e estratégia de implementação. Equipará gestores de TI, arquitetos de rede e CTOs com estruturas acionáveis para desenhar infraestruturas de WiFi de alto desempenho e em conformidade para os setores da hotelaria, retalho, eventos e setor público. O guia também mapeia estas decisões arquitetónicas com a plataforma de análise e guest WiFi agnóstica de hardware da Purple, demonstrando como a escolha certa de infraestrutura impulsiona resultados de negócio mensuráveis.