MENU
  1. Início
  2. Windows
  3. Windows Server
  4. MPSK no NPS do Windows Server 2022: limitações, alternativas e melhores práticas

MPSK no NPS do Windows Server 2022: limitações, alternativas e melhores práticas

Windows Server

Precisa distribuir chaves Wi‑Fi diferentes por grupo e quer fazer isso com o Network Policy Server (NPS) do Windows Server 2022? Este guia explica por que o NPS não tem MPSK nativo e apresenta caminhos práticos com passos, exemplos, scripts e boas práticas.

Índice

Resumo rápido

Resposta curta: o NPS do Windows Server 2022 não oferece Multi‑Pre‑Shared Key (MPSK) de forma nativa. O NPS segue o modelo clássico de um segredo compartilhado por cliente RADIUS (por endereço IP do “NAS”/AP/controladora). Para usar MPSK você precisará recorrer a funcionalidades proprietárias de fabricantes de Wi‑Fi, a um servidor RADIUS de terceiros ou a um desenho de rede alternativo.

  • Sem MPSK nativo: um único segredo RADIUS por cliente. Não há múltiplos segredos por mesmo IP de origem.
  • Alternativas: MPSK/PPSK na controladora, RADIUS de terceiros (Cisco ISE, Aruba ClearPass, FreeRADIUS, Radiator), segmentação por SSID (vários PSKs), ou — preferencialmente — migrar para 802.1X/WPA‑Enterprise.
  • Recomendação geral: se o requisito é rastreabilidade por usuário ou grupo, implemente 802.1X (EAP‑TLS, de preferência).

Contexto: o que é MPSK (ou PPSK) e por que isso importa

MPSK (Multi‑Pre‑Shared Key) — também chamado de PPSK (“Private PSK”) por alguns fornecedores — é um recurso em que múltiplas chaves pré‑compartilhadas diferentes são aceitas para um mesmo SSID. Cada chave pode ser atribuída a um dispositivo, usuário ou grupo específico. Benefícios típicos:

  • Isolamento lógico: cada grupo usa sua própria PSK.
  • Revogação seletiva: comprometeu uma chave? Revogue apenas aquela, sem impactar todos.
  • Auditoria: melhor mapeamento “quem usou o quê”.

Em contrapartida, MPSK continua sendo “PSK‑based”: as identidades não são tão fortes quanto certificados por usuário (EAP‑TLS) e a rotação de chaves precisa de processos rígidos para evitar reuso ou vazamento.

NPS, RADIUS e PSK: entendendo as peças

Três conceitos costumam se confundir:

  1. PSK do Wi‑Fi (WPA2/WPA3‑Personal): é a senha digitada no dispositivo. Esse modelo não usa RADIUS/NPS.
  2. Segredo RADIUS entre AP/Controladora e NPS: é a “chave” usada entre equipamentos para proteger o tráfego RADIUS. O NPS aceita um segredo por “RADIUS client” (por IP).
  3. 802.1X (WPA‑Enterprise): usa EAP/PEAP/EAP‑TLS e requer RADIUS/NPS; aqui não há PSK de Wi‑Fi, e a autenticação é por usuário/dispositivo.

Ponto‑chave: quando falamos em MPSK, falamos de várias PSKs para o mesmo SSID (WPA‑Personal). Isso é gerenciado na controladora/AP. O NPS não participa desse fluxo, pois não há 802.1X nem RADIUS. Já o segredo RADIUS do NPS é outra coisa, usada exclusivamente no mundo Enterprise (802.1X).

O que o NPS faz — e o que não faz — no Windows Server 2022

  • Faz: autenticar/autorizar via 802.1X (EAP‑TLS, PEAP‑MSCHAPv2, etc.), aplicar Network Policies, entregar atributos (VLAN dinâmica, ACLs de fabricante), atuar como proxy RADIUS.
  • Não faz: não oferece MPSK; não permite múltiplos segredos RADIUS para o mesmo IP de cliente; não “gera” PSKs por usuário para redes WPA‑Personal.

Caminhos alternativos (com prós e contras)

Extensões do fabricante (MPSK/PPSK na controladora)

Diversos fabricantes implementam MPSK/PPSK no plano de controle do Wi‑Fi: você define um SSID e cadastra várias PSKs, associando cada chave a um grupo de dispositivos/usuários. Normalmente há:

  • Provisionamento centralizado de chaves (por portal, API ou integração com diretório).
  • Telemetria que mapeia a chave usada pela sessão a um identificador (dono, departamento, dispositivo).
  • Limitações/licenciamento: requer controladora/serviço com suporte e, em geral, licenças adicionais.

Servidores RADIUS de terceiros

Plataformas como Cisco ISE, Aruba ClearPass, FreeRADIUS e Radiator oferecem cenários avançados: PPSK/MPSK, guest com vouchers, device profiling, políticas condicionais ricas, portais cativos e accounting detalhado. Você pode:

  • Substituir o NPS no fluxo 802.1X.
  • Manter o NPS como proxy, encaminhando pedidos para o RADIUS externo via Connection Request Policy.

Segmentação por SSID (vários PSKs)

Sem MPSK disponível, uma alternativa simples é criar vários SSIDs (por exemplo, “Empresa‑Financeiro”, “Empresa‑TI”, “Empresa‑Convidados”), cada um com sua própria PSK. Isso não envolve o NPS (pois é WPA‑Personal), mas alcança o objetivo de compartimentar grupos.

Atenção: se você também usar 802.1X em outros SSIDs, aí sim terá NPS. Em alguns ambientes é possível dar um IP de origem (NAS) diferente por SSID na controladora, permitindo cadastrar “clientes RADIUS” distintos (e segredos diferentes) no NPS. Esse detalhe depende do fabricante — muitos APs usam o mesmo IP para todos os SSIDs, impossibilitando separar por cliente RADIUS.

Migrar para 802.1X (WPA2/WPA3‑Enterprise)

Se o objetivo é isolar por usuário, revogar acesso individualmente e auditar com precisão, 802.1X é o caminho natural. Recomendação prática:

  • EAP‑TLS (certificados por usuário/dispositivo) como padrão.
  • PEAP‑MSCHAPv2 apenas como transição, já planejando migração para certificados.
  • VLAN dinâmica e ACLs entregues via atributos RADIUS.

Tabela de decisão rápida

CenárioMelhor abordagemObservações
Pequenas redes sem controladoraVários SSIDs + PSKs únicosMenor custo; exige documentação e rotação periódica.
Redes corporativas com APs gerenciadosAtivar MPSK/PPSK na controladora ou adotar RADIUS de terceirosGestão centralizada e melhor auditoria.
Alta segurança / BYOD802.1X com EAP‑TLSIdentidade forte, revogação granular, elimina PSK.
Ambiente híbrido (legado + novo)SSIDs separados (PSK) para legado e SSID Enterprise (802.1X) para novosPlaneje migração progressiva e reduza o número de SSIDs ao final.

Dica: mesmo usando MPSK ou vários SSIDs com PSKs diferentes, mantenha política de rotação de chaves e um registro de custódia (quem recebeu qual PSK, quando e por quê) para facilitar auditorias (p. ex., LGPD e ISO 27001).

Arquiteturas de referência

Arquitetura A — Controladora com MPSK/PPSK

Um SSID “Empresa‑Dispositivos” aceita múltiplas PSKs. A controladora mapeia cada PSK a uma VLAN/ACL. O NPS só é usado em SSIDs Enterprise (se existirem). Indicado para IoT, impressoras e equipamentos sem suporte a 802.1X.

Arquitetura B — NPS como proxy para RADIUS avançado

Os APs falam com o NPS (proxy). O NPS encaminha (encapsulando/reescrevendo atributos) para uma plataforma que oferece PPSK/MPSK e políticas ricas. Útil quando o NPS precisa permanecer por requisitos internos, mas recursos avançados são necessários.

Arquitetura C — Somente SSIDs segmentados (PSK)

Sem 802.1X: três SSIDs, três PSKs, VLANs separadas, firewall entre segmentos. Simples e barato; porém, menos escalável e com maior esforço de rotação de PSKs.

Passo a passo: segmentação por SSID (sem MPSK) e coexistência com NPS

  1. Planeje a segmentação: liste grupos (Finanças, TI, Convidados), defina VLANs/ACLs e largura de banda alvo.
  2. Crie os SSIDs: um por grupo, cada qual com sua PSK forte e política de expiração (ex.: 90 dias).
  3. Mapeie redes: associe cada SSID à sua VLAN; implemente ACLs no core/firewall.
  4. QoS e isolamento: habilite cliente‑isolation no SSID Convidados; marque tráfego crítico (VoIP, ERP) nos SSIDs corporativos.
  5. Coexistência com 802.1X (opcional): mantenha um SSID Enterprise para ativos gerenciados (notebooks corporativos) com NPS/802.1X; assim, o PSK fica restrito a dispositivos sem 802.1X.
  6. Observabilidade: ative logs de associação Wi‑Fi, DHCP e Netflow. Guarde quem/onde/quando uma PSK foi usada.
  7. Rotina de rotação: documente como divulgar a nova PSK, como coletar a antiga e como invalidar chaves vazadas.

Exemplos práticos no NPS (para SSIDs Enterprise)

Quando você usa 802.1X, o NPS entra em cena. Abaixo, um exemplo de Network Policy que coloca usuários do grupo “Financeiro” na VLAN 30 ao conectarem‑se ao SSID corporativo:

Condições:
  - NAS Port Type            = Wireless - IEEE 802.11
  - Windows Groups           = DOMÍNIO\WiFi-Financeiro
  - Called-Station-ID        = *:EMPRESA-CORP   (texto do SSID no final, padrão comum em muitos APs)

Restrições:

- EAP Types                = EAP-TLS (preferencial) ou PEAP-MSCHAPv2 (transição)
- Encryption               = WPA2-Enterprise/WPA3-Enterprise conforme suportado

Configurações (Atributos RADIUS):

- Tunnel-Medium-Type       = 6   (IEEE 802)
- Tunnel-Pvt-Group-ID      = 30  (VLAN ID)
- Tunnel-Type              = 13  (VLAN)
- Filter-Id / VSA do fabricante, se usar ACLs dinâmicas

Dica: o atributo Called-Station-ID normalmente contém o BSSID seguido de “:SSID”. Você pode usá‑lo para diferenciar políticas por SSID quando vários SSIDs saem do mesmo IP do AP/controladora.

Limitações importantes do NPS a considerar

  • Um segredo por cliente RADIUS: o NPS exige um endereço IP único para cada “RADIUS client”. Não é possível ter dois segredos diferentes para o mesmo IP de AP/controladora.
  • Sem MPSK nativo: o NPS não gerencia PSKs múltiplas por SSID. Esse papel é do Wi‑Fi (controladora/AP) ou de plataformas RADIUS de terceiros com PPSK/MPSK.
  • Políticas por SSID: se o seu AP não expõe IPs distintos por SSID, use Called-Station-ID, NAS-Identifier ou atributos de fabricante nas condições das políticas.

Automação: cadastrando muitos clientes RADIUS no NPS

Se o desenho exigir vários “RADIUS clients” (ex.: múltiplas controladoras), automatize. Exemplo simples usando PowerShell + netsh nps com um CSV radius-clients.csv (colunas: Name,Address,Secret,Vendor):

# radius-clients.csv:
Name,Address,Secret,Vendor
WLC-1,10.0.10.10,SeuSegredoForte123,RADIUS Standard
WLC-2,10.0.20.10,OutroSegredo!456,RADIUS Standard

$clients = Import-Csv "C:\Temp\radius-clients.csv"
foreach ($c in $clients) {
$cmd = "add client name=""$($c.Name)"" address=$($c.Address) sharedsecret=""$($c.Secret)"" vendor=""$($c.Vendor)"""
& netsh nps $cmd
}

Boas práticas: gere segredos com alto entropia, não reutilize entre clientes, e estabeleça um ciclo de rotação (ex.: 180 dias) com janela de convivência se você usa NPS em HA.

Segurança, conformidade e auditoria

  • Inventário de chaves: em MPSK/PPSK ou múltiplos SSIDs, mantenha um livro‑razão de quem recebeu qual PSK, data e justificativa.
  • Rotação e distribuição: defina um processo seguro de divulgação (ex.: portal autenticado, QR com expiração).
  • Eventos do NPS: monitore o log de Segurança: 6272 (acesso concedido), 6273 (negado). Esses IDs ajudam a fechar o ciclo de auditoria com 802.1X.
  • LGPD/ISO 27001: documente bases legais e retenção de logs (RADIUS, DHCP, controladora, firewall).

Operação e troubleshooting

  • Mapeie atributos: confira se o SSID correto é identificado em Called-Station-ID. Se o valor não vier, ajuste o AP/controladora.
  • Contadores de falhas: observe taxa de “EAP timeout” e retransmissões RADIUS; podem indicar latência entre AP e NPS.
  • Testes de regressão: crie casos para: usuário de grupo errado, certificado revogado, VLAN inexistente, ACL não aplicada.
  • Alta disponibilidade: NPS em pares, com balanceamento na controladora/AP e sincronização de políticas.

Planejando a migração para 802.1X (recomendado)

  1. Inventarie dispositivos: separe os que suportam 802.1X dos que não suportam (IoT/legado).
  2. PKI e EAP‑TLS: prepare CA, modelos de certificado, auto‑inscrição (GPO/MDM), revogação (CRL/OCSP).
  3. Piloto controlado: grupo pequeno, duas semanas, métricas de sucesso (falhas de autenticação < 2%).
  4. VLANs dinâmicas: mova os grupos gradualmente, mantendo um SSID PSK apenas para legado.
  5. Descomissione PSKs: ao final, reduza o número de SSIDs e elimine PSKs amplas.

FAQ — perguntas frequentes

O NPS vai ganhar MPSK no futuro?
Não há suporte nativo a MPSK no NPS do Windows Server 2022. Planeje sua arquitetura assumindo essa limitação.

Posso ter mais de um segredo RADIUS para o mesmo AP?
Não. O NPS associa 1 segredo por cliente RADIUS (IP). Para múltiplos segredos, seria necessário que o equipamento originasse requisições a partir de IPs distintos ou usar proxy RADIUS.

MPSK funciona com WPA3‑Personal (SAE)?
Sim, MPSK é um conceito de múltiplas PSKs e pode conviver com WPA3‑Personal (SAE), desde que a controladora/AP suporte a funcionalidade.

Qual a diferença entre MPSK e PPSK?
São termos de mercado para a mesma ideia. Alguns fabricantes preferem “PPSK” (Private PSK), outros “MPSK”. Os detalhes e integrações variam por fornecedor.

Se eu preciso de auditoria individual, devo insistir em MPSK?
Não necessariamente. 802.1X (EAP‑TLS) entrega identidade forte por usuário/dispositivo, revogação granular e melhor trilha de auditoria, sem lidar com distribuição de PSKs.

Checklist final

  • ✅ Confirme a exigência: PSK por grupo (MPSK/PPSK) ou identidade por usuário (802.1X)?
  • ✅ Se MPSK: verifique suporte/licenciamento da controladora ou avalie RADIUS de terceiros.
  • ✅ Se vários SSIDs: projete VLANs, ACLs, isolamento e plano de rotação das PSKs.
  • ✅ Se 802.1X: prefira EAP‑TLS, defina atributos RADIUS, pilote e monitore eventos 6272/6273.
  • ✅ Documente políticas, logs e retenções para auditoria (LGPD/ISO 27001).

Conclusão

Até que a Microsoft adicione MPSK ao NPS (se isso ocorrer), você precisará escolher entre MPSK/PPSK no domínio Wi‑Fi, RADIUS de terceiros, segmentação por SSID ou — a opção mais robusta — 802.1X com EAP‑TLS. Avalie custos, complexidade operacional e requisitos de auditoria. Em ambientes corporativos, a prática mais sustentável é manter um SSID Enterprise com 802.1X para ativos gerenciados, restringindo o uso de PSK a dispositivos sem suporte a 802.1X ou a cenários bem controlados, e, quando necessário, adotar MPSK/PPSK na controladora para IoT e afins.

Windows Server
802.1X MPSK NPS RADIUS Windows Server Wi‑Fi
Índice