Resolução de Problemas de Autenticação 802.1X no Windows 11

Este guia de referência técnica fornece um caminho definitivo de diagnóstico e resolução para falhas de autenticação 802.1X no Windows 11. Detalha como as atualizações do SO perturbam as cadeias de confiança de certificados e a aplicação do Credential Guard, oferecendo configurações de GPO acionáveis e as melhores práticas de arquitetura para equipas de TI empresariais.

📖 5 min de leitura📝 1,107 palavras🔧 2 exemplos práticos❓ 3 perguntas de prática📚 8 definições principais

Ouça este guia

Ver transcrição do podcast

[Introduction & Context]
Olá e bem-vindos a este briefing técnico da Purple. Sou o vosso anfitrião e hoje vamos abordar um problema específico e de grande impacto que tem causado dores de cabeça às equipas de TI em todo o panorama empresarial: as atualizações do Windows 11 que perturbam a autenticação sem fios 802.1X. 

Se gere uma rede corporativa—seja um campus hospitalar em expansão, uma operação de retalho multilocalização ou um grande espaço público—depende do 802.1X para proteger a sua infraestrutura sem fios. É o padrão de excelência. Mas, recentemente, registámos um pico de pedidos de suporte onde os dispositivos atualizam para o Windows 11 e, de repente, perdem a ligação ao Wi-Fi seguro. 

Hoje, vamos detalhar exatamente por que razão isto acontece, como diagnosticar o problema rapidamente e os passos que precisa de dar para o resolver e evitar que aconteça em futuras fases de implementação. Vamos a isso.

[Technical Deep-Dive]
Então, o que é que realmente falha quando uma máquina atualiza para o Windows 11? 

Para compreender a falha, temos de olhar para o handshake de autenticação. A maioria das empresas utiliza PEAP-MSCHAPv2 ou EAP-TLS nas suas redes 802.1X. Ambos dependem fortemente da confiança de certificados. Quando um cliente Windows tenta ligar-se, o servidor RADIUS—frequentemente um Network Policy Server ou NPS—apresenta o seu certificado. O cliente verifica então se confia na Autoridade de Certificação Raiz (Root CA) que emitiu o certificado do NPS.

Aqui está o cerne do problema do Windows 11: durante alguns caminhos de atualização, ou devido a predefinições de segurança mais rigorosas no Windows 11, as associações de certificados raiz fidedignos para o perfil sem fios são removidas ou não são migradas corretamente. Além disso, o Windows 11 introduziu o Credential Guard ativado por padrão em hardware compatível, o que altera a forma como as credenciais NTLM e MS-CHAPv2 são armazenadas e acedidas, quebrando por vezes as configurações PEAP legadas.

Quando o cliente não consegue validar o certificado do servidor, a ligação cai imediatamente. O utilizador apenas vê "Não é possível ligar a esta rede", mas, nos bastidores, trata-se de uma falha grave no estabelecimento do túnel TLS.

[Implementation Recommendations & Pitfalls]
Como corrigimos isto? A resolução imediata envolve a implementação de um Group Policy Object, ou GPO, atualizado nos seus endpoints. 

Primeiro, deve garantir que o certificado da sua Root CA é explicitamente implementado no arquivo de 'Autoridades de Certificação Raiz Fidedignas' em todas as máquinas clientes. 
Segundo, e este é o passo que muitos esquecem, precisa de atualizar as suas Políticas de Rede Sem Fios (IEEE 802.11) no GPO. Deve selecionar explicitamente a Root CA fidedigna nas propriedades PEAP ou EAP-TLS do perfil sem fios. Se essa caixa estiver desmarcada, o Windows 11 recusará a ligação.

Um grande erro que vemos é as equipas de TI tentarem contornar o problema desativando totalmente a validação de certificados do servidor. Não faça isso. Desativar a validação de certificados expõe a sua rede a ataques Evil Twin e à recolha de credenciais. Viola os requisitos de conformidade do PCI DSS e do GDPR. Corrija sempre a cadeia de confiança; nunca a contorne.

Para uma correção a longo prazo, especialmente se estiver a gerir uma implementação em grande escala como no [Retalho](/industries/retail) ou na [Hotelaria](/industries/hospitality), considere abandonar completamente o PEAP baseado em palavras-passe. A transição para o EAP-TLS com certificados de máquina e de utilizador é muito mais robusta contra estas alterações de credenciais ao nível do SO. Pode ler mais sobre isto no nosso guia sobre [Implementar WPA3-Enterprise para Segurança Sem Fios Avançada](/guides/implementing-wpa3-enterprise-for-enhanced-wireless-security).

[Rapid-Fire Q&A]
Vamos passar por um par de perguntas rápidas que recebemos de arquitetos de rede.

Pergunta 1: "Utilizamos uma CA pública para o nosso servidor RADIUS. Ainda precisamos de a enviar via GPO?"
Resposta: Sim. Mesmo que a CA esteja no arquivo de raiz fidedigna do Windows por predefinição, o perfil sem fios específico deve ser configurado para confiar nessa CA específica para autenticação de rede. 

Pergunta 2: "Podemos utilizar a plataforma da Purple para contornar isto?"
Resposta: A Purple destaca-se em [Guest WiFi](/guest-wifi) e na integração através de Captive Portals. Para os seus SSIDs corporativos internos que utilizam 802.1X, deve resolver a confiança do certificado subjacente no endpoint. No entanto, para acesso de BYOD ou prestadores de serviços, encaminhá-los através de um Captive Portal da Purple com OpenRoaming pode ser uma alternativa altamente eficaz à gestão de certificados locais.

[Summary & Next Steps]
Para resumir: as atualizações do Windows 11 estão a quebrar o 802.1X devido a falhas na migração da confiança de certificados e à aplicação do Credential Guard. 
O seu plano de ação: verifique os registos do WLAN-AutoConfig no Visualizador de Eventos para o Erro 11 ou 15. Atualize os seus GPOs de rede sem fios para confiar explicitamente na Root CA do seu servidor RADIUS. E planeie uma migração para EAP-TLS para uma estabilidade permanente.

Obrigado por se juntarem a este briefing técnico. Para mais análises aprofundadas sobre redes empresariais, consulte os nossos recursos em Purple.ai.

Principais Conclusões

✓As atualizações do Windows 11 perturbam frequentemente a autenticação 802.1X ao quebrarem a cadeia de confiança do certificado no perfil sem fios.
✓O Credential Guard, ativado por padrão no Windows 11, pode interferir com a autenticação de palavra-passe PEAP-MSCHAPv2 legada.
✓Diagnostique falhas verificando os registos do WLAN-AutoConfig no Visualizador de Eventos para o Erro 11 ou Erro 15.
✓Corrija o problema atualizando o GPO de Rede Sem Fios para confiar explicitamente na Root CA do servidor RADIUS.
✓Nunca desative a validação de certificados do servidor como solução de recurso; isso expõe a rede a graves riscos de segurança e viola a conformidade.
✓Para estabilidade e segurança a longo prazo, planeie uma migração de PEAP baseado em palavras-passe para EAP-TLS baseado em certificados.
✓Forneça um Captive Portal de WiFi de convidados seguro como mecanismo de recurso para dispositivos não geridos que não podem receber atualizações de GPO.

执行摘要

对于在酒店业、零售业和企业园区管理大规模部署的企业IT团队来说，Windows 11的推出对802.1X无线身份验证造成了重大干扰。核心问题源于Windows 11处理旧版凭据存储（通过Credential Guard）的方式以及无线配置文件中受信任根证书的迁移。设备升级时，预先存在的PEAP-MSCHAPv2或EAP-TLS配置通常无法验证网络策略服务器(NPS)证书，导致TLS隧道立即静默断开。

本指南提供一种供应商中立、基于架构的方法来诊断这些故障。我们详细说明了需要监控的具体事件查看器日志、恢复信任所需的特定组策略对象(GPO)修改，以及为保持PCI DSS和GDPR合规性而需要进行的向EAP-TLS的长期战略转变。对于场馆运营总监和网络架构师而言，解决此问题不仅是帮助台问题，更是维持安全吞吐量和业务连续性的关键要求。

技术深入解析

802.1X身份验证框架依赖于申请者（Windows 11终端）、认证者（无线接入点）和身份验证服务器（通常是RADIUS/NPS服务器）之间复杂的信任链。Windows 11中的故障机制主要涉及申请者无法验证认证者的身份。

证书信任崩溃

在标准PEAP（受保护的可扩展身份验证协议）部署中，服务器向客户端出示证书以建立加密的TLS隧道。客户端必须验证此证书是否由受信任的根证书颁发机构(CA)颁发。

在Windows 11升级过程中，经常发生两个关键变化：

配置文件迁移失败： 无线配置文件中明确信任RADIUS服务器根CA的特定设置经常被剥离或损坏。
Credential Guard强制启用： Windows 11在兼容硬件上默认启用Windows Defender Credential Guard。这种基于虚拟化的安全功能隔离了NTLM密码哈希和Kerberos票证授予票证。虽然它在缓解传递哈希攻击方面表现出色，但可能会干扰旧版MS-CHAPv2凭据传递给802.1X申请者的方式，导致即使证书受信任也会出现静默身份验证失败。

日志分析和错误代码

诊断此问题需要检查Windows事件查看器中的WLAN-AutoConfig操作日志。证书信任失败的最常见指示器是：

错误11： 网络停止响应。
错误15： 证书链由不受信任的颁发机构颁发。

这些错误确认在实际用户或计算机凭据可以被验证之前，TLS握手就已经失败。

实施指南

解决Windows 11 802.1X问题需要对终端管理基线进行协调更新。以下步骤概述了通过Active Directory组策略所需的修复措施。

步骤1：验证根CA部署

确保颁发NPS服务器证书的根CA证书已部署到所有客户端计算机上的受信任的根证书颁发机构存储区。这通常通过计算机配置 > 策略 > Windows设置 > 安全设置 > 公钥策略进行处理。

步骤2：重新配置无线网络(IEEE 802.11)策略

关键修复在于在无线配置文件中明确定义信任关系。

打开相关的GPO并导航至计算机配置 > 策略 > Windows设置 > 安全设置 > 无线网络(IEEE 802.11)策略。
编辑企业SSID配置文件属性。
导航到安全选项卡，并为您选择的网络身份验证方法（例如，Microsoft：受保护的EAP (PEAP)）选择属性。
在PEAP属性窗口中，选中通过验证证书来验证服务器身份复选框。
至关重要的是，在受信任的根证书颁发机构列表中，您必须明确选中颁发NPS证书的CA旁边的复选框。
确保选中启用快速重新连接以优化漫游性能。

步骤3：解决Credential Guard冲突

如果证书信任已验证但PEAP-MSCHAPv2认证仍然失败，则Credential Guard可能正在干扰。长期的架构解决方案是完全从基于密码的身份验证迁移。过渡到EAP-TLS（对计算机和用户都使用基于证书的身份验证）可以完全绕过MS-CHAPv2凭据存储问题。有关现代化安全状况的详细指导，请参阅我们的指南：实施WPA3-Enterprise以增强无线安全。

最佳实践

在管理企业无线基础设施时，尤其是在医疗保健或大规模交通枢纽等高密度环境中，遵守供应商中立的规范对于风险缓解至关重要。

永远不要禁用证书验证： IT团队采用的最常见且最危险的变通方法是取消选中“验证服务器身份”框。这会使网络暴露于邪恶双胞胎攻击和凭据收集，直接违反PCI DSS合规性。始终修复底层信任链。
实施计算机身份验证： 仅依赖用户凭据意味着设备无法在用户登录之前连接到网络，从而破坏了GPO更新和远程管理。实施计算机身份验证（使用EAP-TLS）以确保设备始终连接且可管理。
标准化EAP-TLS： 基于密码的802.1X (PEAP) 对操作系统级别的安全更改越来越脆弱。EAP-TLS提供了更强的安全性、无缝的用户体验（无密码提示）以及对Credential Guard冲突的免疫力。

故障排除与风险缓解

除了主要的证书信任问题之外，网络架构师还必须为Windows 11部署期间的次级故障模式做好准备。

RADIUS服务器过载

当大量计算机升级并随后未能通过身份验证时，它们会不断重试连接。这可能导致RADIUS风暴，使NPS服务器不堪重负，并导致整个无线网络出现拒绝服务状况。

缓解措施： 在无线LAN控制器(WLC)上实施积极的RADIUS超时和重试限制。分阶段推出操作系统升级以监控NPS服务器的CPU和内存利用率。

Captive Portal回退

对于绝对无法通过GPO修复的设备（例如，未管理的BYOD或承包商设备），提供安全的回退机制。利用强大的 Guest WiFi 解决方案和captive portal，可以让这些用户获得互联网访问，同时与内部企业网络保持隔离。这确保了在IT团队调查802.1X故障时生产力不会停止。

ROI与业务影响

解决802.1X认证问题不仅是技术上的必要，还具有直接的业务影响。

降低帮助台成本： 主动的GPO修复可以防止数百个一线支持工单，显著降低IT运营支出。
业务连续性： 在零售业等行业，移动销售点(mPOS)设备依赖安全的Wi-Fi，认证失败直接影响收入生成。
合规态势： 保持严格的证书验证可确保持续符合监管框架，避免潜在的罚款和与数据泄露相关的声誉损害。

通过解决Windows 11身份验证失败的根本原因并迁移到强大的EAP-TLS架构，IT领导者可以确保他们的无线基础设施保持安全、高性能的资产。

Definições Principais

802.1X

Uma norma IEEE para controlo de acesso à rede baseado em portas, fornecendo um mecanismo de autenticação para dispositivos que desejam ligar-se a uma LAN ou WLAN.

O protocolo de segurança fundamental para redes sem fios empresariais, garantindo que apenas dispositivos e utilizadores autorizados possam aceder aos recursos corporativos.

PEAP (Protected Extensible Authentication Protocol)

Um protocolo de autenticação que encapsula o EAP dentro de um túnel TLS encriptado e autenticado.

A implementação 802.1X legada mais comum, que depende de um certificado do lado do servidor e de palavras-passe do lado do cliente (MS-CHAPv2). É altamente suscetível a problemas de atualização do Windows 11.

EAP-TLS (Extensible Authentication Protocol-Transport Layer Security)

Um método EAP que depende de certificados de cliente e servidor para estabelecer uma ligação segura.

A norma arquitetónica recomendada para redes sem fios empresariais modernas, proporcionando o mais alto nível de segurança e imunidade a conflitos de SO relacionados com palavras-passe.

RADIUS (Remote Authentication Dial-In User Service)

Um protocolo de rede que fornece gestão centralizada de Autenticação, Autorização e Contabilização (AAA).

O componente de servidor (frequentemente o Microsoft NPS) que processa os pedidos de autenticação 802.1X provenientes dos pontos de acesso sem fios.

Supplicant

O dispositivo cliente (por exemplo, um portátil Windows 11) que tenta aceder à rede.

O endpoint que deve ser corretamente configurado via GPO para confiar no certificado do servidor RADIUS.

Authenticator

O dispositivo de rede (por exemplo, um ponto de acesso sem fios ou switch) que facilita o processo de autenticação entre o supplicant e o servidor RADIUS.

O componente de infraestrutura que aplica a política 802.1X, bloqueando o acesso até que a autenticação seja bem-sucedida.

Credential Guard

Uma funcionalidade de segurança do Windows que utiliza segurança baseada em virtualização para isolar segredos, de modo a que apenas software de sistema privilegiado possa aceder-lhes.

Uma causa comum de falhas de PEAP-MSCHAPv2 no Windows 11, pois altera a forma como as palavras-passe legadas são processadas durante o processo de autenticação.

Group Policy Object (GPO)

Uma coleção de definições que definem o aspeto de um sistema e como este se comportará para um grupo definido de utilizadores ou computadores no Active Directory.

O mecanismo principal para implementar a confiança de certificados necessária e as configurações de perfil sem fios para resolver problemas de 802.1X no Windows 11 à escala.

Exemplos Práticos

Uma grande cadeia de retalho com 500 localizações está a implementar o Windows 11 em todos os portáteis dos gerentes de loja. Após as primeiras 50 atualizações, os gerentes relatam que não conseguem ligar-se ao SSID 'Corp-Secure'. O helpdesk confirma que os dispositivos estão a receber o GPO correto, mas a ligação cai silenciosamente. Como deve o arquiteto de rede resolver isto?

O arquiteto deve primeiro verificar o erro específico nos registos do WLAN-AutoConfig num dispositivo com falha. Se o Erro 11 ou 15 estiver presente, o problema é a confiança do certificado. O arquiteto deve editar o GPO 'Wireless Network (IEEE 802.11) Policies'. Nas propriedades PEAP do perfil 'Corp-Secure', deve marcar explicitamente a caixa ao lado da Root CA específica que emitiu o certificado do servidor RADIUS. Assim que o GPO for atualizado e forçado via gpupdate /force, os portáteis irão validar o servidor com sucesso e ligar-se.

Comentário do Examinador: Esta abordagem identifica corretamente a causa raiz (falha na migração do perfil) e aplica a correção de GPO necessária. Evita a solução de recurso perigosa de desativar a validação de certificados, garantindo que a cadeia de retalho mantém a conformidade com o PCI DSS na sua rede corporativa.

Uma equipa de TI de um hospital atualizou o seu GPO para confiar explicitamente na Root CA do servidor RADIUS, mas os dispositivos Windows 11 que utilizam PEAP-MSCHAPv2 continuam a falhar na autenticação. Os registos do NPS mostram 'Falha na autenticação devido a uma incompatibilidade de credenciais de utilizador.' Qual é a causa provável e a solução recomendada a longo prazo?

A causa provável é o Windows Defender Credential Guard, que está ativado por padrão no Windows 11 e pode interferir com o processamento de credenciais MS-CHAPv2 legadas. A correção imediata é desativar o Credential Guard via GPO para esses dispositivos específicos, mas isso enfraquece a postura de segurança do endpoint. A solução arquitetónica recomendada a longo prazo é migrar a rede sem fios para EAP-TLS utilizando certificados de máquina e de utilizador. Isto elimina a dependência de palavras-passe e contorna totalmente o conflito com o Credential Guard.

Comentário do Examinador: Esta solução demonstra uma compreensão profunda da arquitetura de segurança do Windows 11. Identifica corretamente o Credential Guard como o componente em conflito e fornece uma recomendação estratégica focada na segurança (EAP-TLS) em vez de depender de uma degradação permanente das proteções do endpoint.

Perguntas de Prática

Q1. Um CTO pede-lhe para resolver imediatamente uma falha generalizada de 802.1X, desmarcando 'Verificar a identidade do servidor' no GPO para colocar a equipa de vendas novamente online. Como responde?

Dica: Considere as implicações de conformidade e segurança de desativar a validação de certificados.

Ver resposta modelo

Aconselharia contra esta abordagem. Desativar a validação de certificados expõe a rede a ataques Evil Twin e à recolha de credenciais, o que viola diretamente a conformidade com o PCI DSS e o GDPR. A abordagem correta é identificar a Root CA em falta e confiar nela explicitamente dentro do GPO. Se for necessário acesso imediato, podemos encaminhar os utilizadores afetados através de um Captive Portal de WiFi de convidados seguro como uma alternativa temporária enquanto o GPO é propagado.

Q2. Está a desenhar a arquitetura sem fios para um novo campus corporativo e deve escolher entre PEAP-MSCHAPv2 e EAP-TLS. Tendo em conta os recentes problemas de atualização do Windows 11, qual recomenda e porquê?

Dica: Avalie o impacto de funcionalidades de segurança ao nível do SO, como o Credential Guard, em métodos de autenticação legados.

Ver resposta modelo

Recomendo vivamente o EAP-TLS. Embora o PEAP-MSCHAPv2 seja mais fácil de implementar inicialmente (dependendo de palavras-passe do AD), é altamente suscetível a alterações ao nível do SO, como o Credential Guard e falhas de migração de perfil. O EAP-TLS utiliza certificados de máquina e de utilizador, eliminando vulnerabilidades relacionadas com palavras-passe, proporcionando uma experiência de utilizador fluida e garantindo estabilidade arquitetónica a longo prazo contra futuras atualizações do SO.

Q3. Após implementar o GPO correto para confiar explicitamente na Root CA, várias máquinas continuam a falhar na ligação. Nota que estas máquinas não estão na rede há várias semanas. Qual é o problema provável e como o resolve?

Dica: Considere como as atualizações de Política de Grupo são entregues aos endpoints.

Ver resposta modelo

O problema provável é que estas máquinas não receberam o GPO atualizado porque não conseguem ligar-se à rede para obter a política. Este é um problema clássico do 'ovo e da galinha'. Para o resolver, as máquinas devem ser temporariamente ligadas através de uma ligação Ethernet com fios ou de uma VPN segura para se autenticarem no domínio e executarem gpupdate /force para receberem a nova configuração do perfil sem fios.

Continue a ler esta série

Resolução de Problemas em WiFi Público: Como Corrigir 'Ligado, Sem Internet' e Falhas de Redirecionamento da Página Splash

Este guia de referência técnica autorizado explica o funcionamento subjacente da deteção de Captive Portal e detalha os seis principais modos de falha que impedem o WiFi de convidados de se ligar. Fornece aos gestores de TI e arquitetos de rede uma metodologia prática de resolução de problemas para resolver falhas de redirecionamento HTTP, conflitos de DNS e desafios de randomização de MAC.

As 10 Principais Causas de DHCP Timeouts em Redes Sem Fios de Alta Densidade

Este guia de referência técnica autoritário identifica as dez principais causas de DHCP timeouts em redes sem fios de alta densidade e fornece estratégias de remediação acionáveis e neutras em relação ao fabricante. Concebido para líderes seniores de TI, arquitetos de rede e diretores de operações de espaços, abrange princípios de engenharia aprofundados, fluxos de trabalho de implementação passo a passo e resultados de negócio mensuráveis. Saiba como eliminar estrangulamentos de ligação e otimizar a sua infraestrutura sem fios para fornecer uma conectividade contínua em ambientes empresariais exigentes.

Utilizar a Captura de Pacotes (PCAP) para Diagnosticar o Desempenho Lento do WiFi

Este guia de referência técnica fornece aos gestores de TI, arquitetos de rede e diretores de operações de espaços uma metodologia estruturada ao nível dos pacotes para diagnosticar e resolver o desempenho lento do WiFi empresarial utilizando a análise de Captura de Pacotes (PCAP). Ao dissecar tramas 802.11 brutas — incluindo taxas de retransmissão, utilização de tempo de antena e metadados da camada física — as equipas podem isolar estrangulamentos na camada de RF de problemas com fios ou de aplicações com precisão. Aplicável a espaços de alta densidade, incluindo hotéis, cadeias de retalho, estádios e centros de conferências, este guia oferece fluxos de trabalho de diagnóstico práticos, estudos de caso do mundo real e passos de remediação de configuração para recuperar a capacidade da rede e proteger a experiência do utilizador.