Introdução: Muitos administradores já migraram seus desktops e notebooks para Wi‑Fi, mas permitir que colaboradores escolham qualquer rede expõe dados corporativos. Este guia mostra como bloquear conexões não autorizadas usando apenas recursos nativos do Windows Server 2019 e estações Windows 10/11.
Visão geral do desafio
Ao usar notebooks fora da rede cabeada, usuários tendem a conectar‑se a hotspots de visitantes, roteadores domésticos ou tethering de smartphones. Esses pontos de acesso não seguem as mesmas políticas de segurança da empresa e podem:
- Viabilizar Man‑in‑the‑Middle e captura de credenciais NTLM/Kerberos;
- Driblar inspeção de tráfego, proxy ou VPN corporativa;
- Favorecer vazamento acidental ou intencional de informações.
Logo, a meta é simples: só permitir que computadores ingressados no domínio se conectem ao SSID corporativo.
Pré‑requisitos e cenário
- Controlador de Domínio executando Windows Server 2019 Standard (também funciona em 2022 e 2016).
- ≈ 30 estações Windows 10/11 Pro ou Enterprise já ingressadas no AD.
- Ponto de acesso com SSID “Empresa‑WiFi”, segurança WPA2‑Enterprise ou WPA3‑Enterprise (EAP‑TLS, PEAP‑MSCHAP v2 etc.).
Por que usar Diretiva de Grupo?
O objeto de Diretiva de Grupo (GPO) é aplicado antes do logon, dificulta manipulação pelo usuário e não requer software adicional. Para organizações que ainda não adotaram MDM, trata‑se do método mais rápido e com menor custo operacional.
Guia passo a passo
| Etapa | Ação detalhada |
|---|---|
| 1 | No Controlador de Domínio, abra Group Policy Management (gpmc.msc). |
| 2 | Crie um novo GPO chamado “Restrição Wi‑Fi” e vincule‑o à raiz do domínio ou à OU que contém os computadores. |
| 3 | Edite o GPO em:Computer Configuration → Policies → Windows Settings → Security Settings → Wireless Network (IEEE 802.11) Policies. |
| 4 | Clique em Create New Wireless Network Policy > nomeie‑a “Política Wi‑Fi Empresa”. |
| 5 | Na aba Preferred Networks, clique Add, informe o SSID “Empresa‑WiFi”, escolha WPA2‑Enterprise ou WPA3‑Enterprise e selecione seu método EAP (ex.: EAP‑TLS). |
| 6 | Em Network Permissions, marque Only allow connections to networks listed below. Aproveite para bloquear redes ad‑hoc e redes sem criptografia. |
| 7 | Confirme, feche o editor e aplique com gpupdate /force ou aguarde replicação de GPO (~90 min). |
Resultado esperado
Assim que a Diretiva é processada, a interface Wi‑Fi mostrará apenas o SSID autorizado — qualquer tentativa de conexão a outro ponto falhará automaticamente.
Boas práticas adicionais
Autenticação 802.1X com NPS/RADIUS
Quando aliada ao GPO de restrição, a autenticação baseada em certificado elimina senhas compartilhadas e viabiliza acesso diferenciados (funcionários, convidados, IoT). No servidor NPS:
- Importe o certificado de CA corporativa;
- Crie uma connection request policy que aceite apenas membros do grupo “Computadores Domínio”;
- Use o mesmo certificado na aba Security da política Wi‑Fi.
Desativar Wi‑Fi Sense e Hotspot 2.0
Windows permite “conectar automaticamente a hotspots sugeridos” ou “conectar‑se a redes compartilhadas”. Desabilite estes recursos no mesmo GPO em:
Computer Configuration → Admin Templates → Network → WLAN Service → WLAN Settings
Configure:
- Allow Windows to softly connect to public hotspots → Disabled
- Allow Wi‑Fi Sense → Disabled
Política por computador vs. por usuário
Aplicar na seção Computer Configuration garante proteção pré‑logon. Se o notebook iniciar fora do escritório, ele ainda bloqueará redes não autorizadas antes de qualquer usuário efetuar logon.
Redes ocultas (hidden SSID)
Caso seu SSID não seja anunciado, marque “Connect even if the network is not broadcasting”. Cuidado: ocultar SSID não é medida de segurança, mas pode reduzir interferência em ambientes cheios de APs.
Ambientes híbridos ou Cloud Only (Intune)
Se seus dispositivos já estão registrados no Azure AD, crie um Wi‑Fi profile no Intune:
- Devices → Configuration profiles → Create, escolha Windows 10 and later > Wi‑Fi.
- Informe SSID, método de autenticação e ative “Connect automatically”.
- Na guia Enterprise, habilite “Use only this Wi‑Fi network”.
Combine com Compliance Policies para bloquear dispositivos que não recebam o perfil.
Roteiro de testes antes de produção
- Crie grupo de segurança “Piloto‑WiFi‑Restrito”.
- Vincule GPO apenas a essa coleção via Security Filtering.
- Inclua 1–2 máquinas de cada modelo de hardware.
- Verifique se drivers Wi‑Fi suportam WPA3 e 802.11k/v; atualize firmware se necessário.
- Simule perda de sinal; confirme reconexão automática ao “Empresa‑WiFi” assim que estiver ao alcance.
- Monitore
Event Viewer → Microsoft → Windows → WLAN‑AutoConfigpara logs 6102 (conectado) e 6103 (desconectado).
Solução de problemas frequentes
| Sintoma | Causa provável | Correção |
|---|---|---|
| Política não aparece | Estação está fora da OU ou denied em Security Filtering | Confira escopo e permissões; rode gpresult /r |
| Erro “Failed to connect” | Certificado de cliente ausente ou expirado | Reenrolar via autoenrollment ou certreq ‑‑new |
| Conecta a rede errado depois do sono | Placa Wi‑Fi não reprocessa GPO | Atualize driver e configure política WLAN “Block periodic scan for new networks” → Enabled |
| VPN divide rota pelo hotspot | Usuário ativou modem 4G USB | Desabilite adaptadores móveis via Device Installation Restrictions em GPO |
Perguntas rápidas (FAQ)
Funciona em Windows Home? Não. É necessário Pro, Enterprise ou Education.
Posso permitir dois SSIDs? Sim. Basta adicioná‑los em Preferred Networks. Não marque “Connect automatically” no SSID de convidados.
E se o colaborador levar o notebook em viagem? Crie perfil Intune separado ou use VLAN/WPA2‑PSK temporário entregue via checkout de TI.
Existe auditoria de tentativas bloqueadas? Ative log de eventos para Network Profiles (PolicyPak Diagnostics ajuda).
Conclusão
Bloquear redes não autorizadas é essencial na superfície de ataque moderna. O Wireless Network Policy via GPO oferece um controle robusto, de fácil implantação e sem custos extras. Ao combiná‑lo com 802.1X, NPS/RADIUS, atualização de drivers e procedimentos de teste, sua organização mantém integridade de dados e reduz o risco de violações causadas por hotspots inseguros.