Exportieren (0) Drucken
Alle erweitern

Extensible Authentication-Protokolleinstellungen (EAP) für den Netzwerkzugriff

Letzte Aktualisierung: Mai 2012

Betrifft: Windows 8, Windows Server 2012



Dieses Thema enthält Informationen zu den EAP-Standardeinstellungen (Extensible Authentication-Protokoll, EAP), die Sie zum Konfigurieren von Computern mit Windows® 8, Windows® 7 und Windows Vista® verwenden können.

Dieses Thema enthält spezifische Konfigurationsinformationen für die folgenden Authentifizierungsmethoden in EAP.

Sie können wie folgt auf die EAP-Eigenschaften für den 802.1X-authentifizierten drahtlosen und verkabelten Zugriff zugreifen:

  • Durch Konfigurieren der Erweiterungen %%amp;quot;Richtlinien für Kabelnetzwerke (IEEE 802.3)%%amp;quot; und %%amp;quot;Drahtlosnetzwerkrichtlinien (IEEE 802.11)%%amp;quot; in der Gruppenrichtlinie

  • Durch manuelles Konfigurieren von Kabel- oder Drahtlosverbindungen auf Client-PCs

Sie können wie folgt auf die EAP-Eigenschaften für VPN-Verbindungen (virtuelles privates Netzwerk) zugreifen:

  • Mit dem Verbindungs-Manager-Verwaltungskit (CMAK) zum Konfigurieren von VPN-Verbindungen

  • Durch manuelles Konfigurieren von VPN-Verbindungen auf Client-PCs

Standardmäßig können Sie EAP-Einstellungen für die folgenden Netzwerkauthentifizierungsmethoden für 802.1X-authentifizierten verkabelten Zugriff, 802.1X-authentifizierten drahtlosen Zugriff und VPN konfigurieren:

  • Microsoft: Smartcard oder anderes Zertifikat (EAP-TLS)

  • Microsoft: Geschütztes EAP (PEAP)

  • Microsoft: EAP-TTLS

Außerdem ist die Netzwerkauthentifizierungsmethode MS-CHAP-V2 standardmäßig für VPN verfügbar.

ImportantWichtig
Wenn die gleiche Authentifizierungsmethode für PEAP und EAP bereitgestellt wird, entsteht dadurch ein Sicherheitsrisiko. Verwenden Sie nicht den gleichen Authentifizierungstyp, wenn Sie sowohl PEAP als auch EAP (was nicht geschützt ist) bereitstellen. Wenn Sie z. B. PEAP-TLS bereitstellen, sollten Sie nicht auch EAP-TLS bereitstellen.

 

Element Details

Identität des Servers mittels Zertifikatprüfung überprüfen

Gibt an, dass der Client überprüft, ob die den Client-PCs vorgelegten Serverzertifikate über die richtigen Signaturen verfügen, noch nicht abgelaufen sind und von einer vertrauenswürdigen Stammzertifizierungsstelle ausgestellt wurden.

ImportantWichtig
Wenn Sie dieses Kontrollkästchen deaktivieren, können Client-PCs die Identität der Server während des Authentifizierungsprozesses nicht überprüfen. Findet keine Serverauthentifizierung statt, sind Benutzer ernsthaften Sicherheitsrisiken ausgesetzt. Es besteht u. a. die Möglichkeit, dass Benutzer unwissentlich eine Verbindung mit einem nicht autorisierten Netzwerk herstellen.

Standardeinstellung = Aktiviert

Verbindung mit folgenden Servern herstellen

Gibt Ihnen die Möglichkeit, den Namen der RADIUS-Server (Remote Authentication Dial-In User Service) anzugeben, die Netzwerkauthentifizierung und -autorisierung bereitstellen.

noteHinweis
Sie müssen den Namen genau so eingeben, wie er im Feld Antragsteller des Zertifikats des jeweiligen RADIUS-Servers angezeigt wird, oder reguläre Ausdrücke verwenden, um den Servernamen anzugeben. Zum Angeben des Servernamens kann die vollständige Syntax eines regulären Ausdrucks verwendet werden. Die angegebene Zeichenfolge muss jedoch mindestens ein * enthalten, um einen regulären Ausdruck von einem Zeichenfolgenliteral zu unterscheiden. Sie können z. B. nps*.example.com eingeben, um den RADIUS-Server %%amp;quot;nps1.example.com %%amp;quot; oder %%amp;quot;nps2.example.com%%amp;quot; anzugeben.

Standardeinstellungen:

  • Verkabelt und Drahtlos = nicht aktiviert

  • VPN = aktiviert

noteHinweis
Auch wenn keine RADIUS-Server angegeben sind, überprüft der Client, ob das RADIUS-Serverzertifikat von einer vertrauenswürdigen Stamm-CA ausgestellt wurde.

Vertrauenswürdige Stammzertifizierungsstellen

Listet die vertrauenswürdigen Stammzertifizierungsstellen auf. Die Liste der vertrauenswürdigen Stammzertifizierungsstellen wird aus den vertrauenswürdigen Stamm-CAs erstellt, die auf dem PC und in den Benutzerzertifikatspeichern installiert sind. Sie können angeben, welche Zertifikate vertrauenswürdiger Stamm-CAs die Supplicants verwenden, um zu bestimmen, ob sie Ihren Servern vertrauen, z. B. dem Netzwerkrichtlinienserver (NPS) oder dem Bereitstellungsserver. Sind keine vertrauenswürdigen Stamm-CAs ausgewählt, überprüft der 802.1X-Client, ob das Computerzertifikat des RADIUS-Servers von einer installierten vertrauenswürdigen Stamm-CA ausgestellt wurde. Sind eine oder mehrere vertrauenswürdige Stamm-CAs ausgewählt, überprüft der 802.1X-Client, ob das Computerzertifikat des RADIUS-Servers von einer ausgewählten vertrauenswürdigen Stamm-CA ausgestellt wurde.

Wenn Sie in Ihrem Netzwerk eine Public Key-Infrastruktur (PKI) eingerichtet haben und ein RADIUS-Serverzertifikat verwenden, wird dieses Zertifikat automatisch der Liste vertrauenswürdiger Stamm-CAs hinzugefügt.

Sie können auch ein Zertifizierungsstellenzertifikat von einem Drittanbieter erwerben. Einige vertrauenswürdige Stamm-CAs von anderen Anbietern stellen mit dem erworbenen Zertifikat eine Software bereit, die das Zertifikat automatisch im Zertifikatspeicher Vertrauenswürdige Stammzertifizierungsstellen installiert. In diesem Fall wird die vertrauenswürdige Stamm-CA automatisch in der Liste vertrauenswürdiger Stamm-CAs angezeigt.

noteHinweis
Geben Sie kein Zertifikat einer vertrauenswürdigen Stamm-CAs an, das noch nicht in den Zertifikatspeichern Vertrauenswürdige Stammzertifizierungsstellen für Aktueller Benutzer und Lokaler Computer der Client-PCs aufgeführt ist.

Wenn Sie ein Zertifikat angeben, das nicht auf den Client-PCs installiert ist, schlägt die Authentifizierung fehl.

Standardeinstellung = Nicht aktiviert, keine vertrauenswürdigen Stamm-CAs ausgewählt

noteHinweis
Auch wenn keine vertrauenswürdigen Stamm-CAs ausgewählt sind, überprüft der Client, ob das RADIUS-Serverzertifikat von einer vertrauenswürdigen Stamm-CA ausgestellt wurde.

Benachrichtigungen vor der Verbindungsherstellung

Gibt an, ob der Benutzer benachrichtigt wird, wenn der Servername oder das Stammzertifikat nicht angegeben ist, oder ob die Identität des Servers nicht überprüft werden kann.

Standardmäßig sind folgende Optionen verfügbar:

  • Fall 1: Benutzer nicht zum Autorisieren neuer Server oder vertrauenswürdiger Zertifizierungsstellen auffordern gibt Folgendes an:

    1. Wenn der Servername nicht in der Liste Verbindung mit folgenden Servern herstellen enthalten ist

    2. oder das Stammzertifikat gefunden wird, aber nicht in der Liste Vertrauenswürdige Stammzertifizierungsstellen in PEAP-Eigenschaften enthalten ist,

    3. oder das Stammzertifikat nicht auf dem PC gefunden wird,

    wird der Benutzer nicht benachrichtigt, und der Verbindungsversuch schlägt fehl.



  • Fall 2: Benutzer benachrichtigen, wenn kein Servername oder Stammzertifikat angegeben wurde gibt Folgendes an:

    1. Wenn der Servername nicht in der Liste Verbindung mit folgenden Servern herstellen enthalten ist

    2. oder das Stammzertifikat gefunden wird, aber nicht in der Liste Vertrauenswürdige Stammzertifizierungsstellen in PEAP-Eigenschaften enthalten ist,

    wird der Benutzer aufgefordert, das Stammzertifikat zu akzeptieren. Akzeptiert der Benutzer das Zertifikat, wird die Authentifizierung fortgesetzt. Lehnt der Benutzer das Zertifikat ab, schlägt der Verbindungsversuch fehl.

    noteHinweis
    Wenn das Stammzertifikat bei Verwendung dieser Option nicht auf dem PC vorhanden ist, wird der Benutzer nicht benachrichtigt, und die Verbindungsversuche schlagen fehl.

  • Fall 3: Benutzer benachrichtigen, wenn die Serveridentität nicht überprüft werden konnte gibt Folgendes an:

    1. Wenn der Servername nicht in der Liste Verbindung mit folgenden Servern herstellen enthalten ist

    2. oder das Stammzertifikat gefunden wird, aber nicht in der Liste Vertrauenswürdige Stammzertifizierungsstellen in PEAP-Eigenschaften enthalten ist,

    3. oder das Stammzertifikat nicht auf dem PC gefunden wird,

    wird der Benutzer aufgefordert, das Stammzertifikat zu akzeptieren. Akzeptiert der Benutzer das Zertifikat, wird die Authentifizierung fortgesetzt. Lehnt der Benutzer das Zertifikat ab, schlägt der Verbindungsversuch fehl.

Authentifizierungsmethode auswählen

Ermöglicht Ihnen das Auswählen des EAP-Typs, der mit PEAP zur Netzwerkauthentifizierung verwendet werden soll.

noteHinweis
Standardmäßig sind zwei EAP-Typen verfügbar: Gesichertes Kennwort (EAP-MSCHAP v2) und Smartcard- oder anderes Zertifikat (EAP-TLS). Bei EAP handelt es sich aber um ein flexibles Protokoll, das die Integration zusätzlicher EAP-Methoden zulässt und nicht auf diese beiden Typen beschränkt ist.

Weitere Informationen zu den Konfigurationseinstellungen Gesichertes Kennwort (EAP-MSCHAP v2) oder Smartcard- oder anderes Zertifikat (EAP-TLS) finden Sie in folgenden Themen:

Standardeinstellung = Gesichertes Kennwort (EAP-MSCHAP v2)

Konfigurieren

Bietet Zugriff auf Eigenschaftseinstellungen für den angegebenen EAP-Typ.

Schnelle Wiederherstellung der Verbindung aktivieren

Bietet die Möglichkeit, eine neue oder aktualisierte Sicherheitszuordnung effizienter bzw. mit einer geringeren Anzahl von Roundtrips zu erstellen, wenn eine Sicherheitszuordnung zuvor eingerichtet wurde.

Bei VPN-Verbindungen sorgt die schnelle Verbindungswiederherstellung mithilfe von IKEv2-Technologie für nahtlose und konsistente VPN-Konnektivität, wenn die Internetverbindungen von Benutzern vorübergehend unterbrochen werden. Für Benutzer, die eine Verbindung über mobiles Drahtlosbreitband herstellen, stellt diese Funktion den größten Vorteil dar.

Das folgende gängige Szenario veranschaulicht diesen Vorteil: Ein Benutzer stellt auf dem Weg zur Arbeit in der Bahn mit einer mobilen Drahtlosbreitbandkarte eine Verbindung mit dem Internet her und stellt anschließend im Unternehmensnetzwerk eine VPN-Verbindung her.

Beim Fahren durch einen Tunnel wird die Internetverbindung unterbrochen. Nachdem der Zug den Tunnel verlassen hat, wird die mobile Drahtlosbreitbandkarte automatisch erneut mit dem Internet verbunden.

In Clientversionen vor Windows 7 wird die VPN-Verbindung nicht automatisch wiederhergestellt. Der Benutzer muss den mehrere Schritte umfassenden Vorgang zum Herstellen einer Verbindung mit dem VPN jedes Mal wiederholen, wenn die Internetverbindung unterbrochen wird. Mobile Benutzer mit unbeständiger Konnektivität kann dies schnell viel Zeit kosten.

In Windows 8 stellt die schnelle Verbindungswiederherstellung aktive VPN-Verbindungen automatisch wieder her, wenn die Internetverbindung erneut hergestellt wird. Die erneute Herstellung der Verbindung kann zwar einige Sekunden dauern, erfolgt aber transparent für Benutzer.

Standardeinstellung = Aktiviert

Netzwerkzugriffsschutz erzwingen

Gibt an, dass für EAP-Supplicants Systemintegritätsprüfungen ausgeführt werden, um vor dem Zulassen von Verbindungen mit einem Netzwerk zu bestimmen, ob die Anforderungen an die Systemintegrität erfüllt werden.

Standardeinstellung = Nicht aktiviert

Verbindung trennen, wenn Server kein Kryptografiebindungs-TLV vorweist

Gibt an, dass Clients, von denen eine Verbindung hergestellt wird, den Netzwerkauthentifizierungsprozess beenden müssen, wenn der RADIUS-Server kein Kryptografiebindungs-TLV (Type-Length-Value) vorweist.

noteHinweis
Kryptografiebindungs-TLV erhöht die Sicherheit des TLS-Tunnels in PEAP, indem interne und externe Authentifizierungsmethoden kombiniert werden: Angreifer können keine Man-in-the-Middle-Angriffe mehr ausführen, indem sie eine MS-CHAP v2-Authentifizierung durch den PEAP-Kanal umleiten.

Standardeinstellung = Nicht aktiviert

Identitätsschutz aktivieren

Gibt an, dass die Clients so konfiguriert sind, dass sie ihre Identität erst senden können, nachdem der RADIUS-Server vom Client authentifiziert wurde, und stellt optional ein Feld zur Eingabe eines anonymen Identitätswerts bereit. Wenn Sie Identitätsschutz aktivieren auswählen und den Wert %%amp;quot;guest%%amp;quot; für die anonyme Identität eingeben, lautet die Identitätsantwort für einen Benutzer mit der Identität alice@realm z. B. guest@realm. Wenn Sie Identitätsschutz aktivieren auswählen, ohne einen Wert für die anonyme Identität anzugeben, ist @example die Identitätsantwort für den Benutzer alice@example.

Diese Einstellung gilt nur für PCs unter Windows 7und Windows 8.

Standardeinstellung = Nicht aktiviert

Gesichertes Kennwort (EAP-MS-CHAP v2) ist ein EAP-Typ, der mit PEAP zur kennwortbasierten Netzwerkauthentifizierung verwendet wird. EAP-MsCHAPv2 kann für ein VPN auch als eigenständige Methode verwendet werden, für Drahtlosverbindungen aber nur als interne PEAP-Methode.

 

Element Details

Automatisch eigenen Windows-Anmeldenamen und Kennwort (und Domäne, falls vorhanden) verwenden

Gibt an, dass der aktuelle benutzerbasierte Windows-Anmeldename und das Windows-Kennwort als Anmeldeinformationen für die Netzwerkauthentifizierung verwendet werden.

Standardeinstellungen:

  • Authentifizierter verkabelter und drahtloser Zugriff = aktiviert

  • VPN = nicht aktiviert

 

Element Details

Eigene Smartcard verwenden

Gibt an, dass Clients, die Authentifizierungsanforderungen senden, ein Smartcardzertifikat für die Netzwerkauthentifizierung vorlegen müssen.

Standardeinstellungen:

  • Verkabelt und Drahtlos = nicht aktiviert

  • VPN = aktiviert

Zertifikat auf diesem Computer verwenden

Gibt an, dass Clients zur Authentifizierung ein Zertifikat in den Zertifikatspeichern Aktueller Benutzer oder Lokaler Computer verwenden müssen.

Standardeinstellungen:

  • Verkabelt und Drahtlos = aktiviert

  • VPN = nicht aktiviert

Einfache Zertifikatauswahl verwenden (empfohlen)

Gibt an, ob Windows Zertifikate herausfiltert, die den Authentifizierungsanforderungen wahrscheinlich nicht entsprechen. Dadurch wird die Liste verfügbarer Zertifikate begrenzt, wenn der Benutzer zur Auswahl eines Zertifikats aufgefordert wird.

Standardeinstellungen:

  • Verkabelt und Drahtlos = aktiviert

  • VPN = nicht aktiviert

Erweitert

Öffnet das Dialogfeld Zertifikatauswahl konfigurieren. Weitere Informationen zum Dialogfeld Zertifikatauswahl konfigurieren finden Sie unter Zertifikatauswahl konfigurieren – Konfigurationselemente.

Identität des Servers mittels Zertifikatprüfung überprüfen

Gibt an, dass der Client überprüft, ob die den Client-PCs vorgelegten Serverzertifikate über die richtigen Signaturen verfügen, noch nicht abgelaufen sind und von einer vertrauenswürdigen Stammzertifizierungsstelle ausgestellt wurden.

ImportantWichtig
Sie sollten dieses Kontrollkästchen nicht deaktivieren, da Client-PCs andernfalls die Identität der Server während des Authentifizierungsprozesses nicht überprüfen können. Findet keine Serverauthentifizierung statt, sind Benutzer ernsthaften Sicherheitsrisiken ausgesetzt. Es besteht u. a. die Möglichkeit, dass Benutzer unwissentlich eine Verbindung mit einem nicht autorisierten Netzwerk herstellen.

Standardeinstellung = Aktiviert

Verbindung mit folgenden Servern herstellen

Gibt Ihnen die Möglichkeit, den Namen von RADIUS-Servern anzugeben, die Netzwerkauthentifizierung und -autorisierung bereitstellen.

noteHinweis
Sie müssen den Namen genau so eingeben, wie er im Feld Antragsteller des Zertifikats des jeweiligen RADIUS-Servers angezeigt wird, oder reguläre Ausdrücke verwenden, um den Servernamen anzugeben. Zum Angeben des Servernamens kann die vollständige Syntax eines regulären Ausdrucks verwendet werden. Die angegebene Zeichenfolge muss jedoch mindestens ein * enthalten, um einen regulären Ausdruck von einem Zeichenfolgenliteral zu unterscheiden. Sie können z. B. nps*.example.com eingeben, um den RADIUS-Server %%amp;quot;nps1.example.com %%amp;quot; oder %%amp;quot;nps2.example.com%%amp;quot; anzugeben.

Standardeinstellungen:

  • Verkabelt und Drahtlos = nicht aktiviert

  • VPN = aktiviert

noteHinweis
Auch wenn keine RADIUS-Server angegeben sind, überprüft der Client, ob das RADIUS-Serverzertifikat von einer vertrauenswürdigen Stamm-CA ausgestellt wurde.

Vertrauenswürdige Stammzertifizierungsstellen

Die Liste in Vertrauenswürdige Stammzertifizierungsstellen wird aus den vertrauenswürdigen Stamm-CAs erstellt, die auf dem PC und in den Benutzerzertifikatspeichern installiert sind. Sie können angeben, welche Zertifikate vertrauenswürdiger Stamm-CAs die Supplicants verwenden, um zu bestimmen, ob sie Ihren Servern vertrauen, z. B. dem Netzwerkrichtlinienserver (NPS) oder dem Bereitstellungsserver. Sind keine vertrauenswürdigen Stamm-CAs ausgewählt, überprüft der 802.1X-Client, ob das Computerzertifikat des RADIUS-Servers von einer installierten vertrauenswürdigen Stamm-CA ausgestellt wurde. Sind eine oder mehrere vertrauenswürdige Stamm-CAs ausgewählt, überprüft der 802.1X-Client, ob das Computerzertifikat des RADIUS-Servers von einer ausgewählten vertrauenswürdigen Stamm-CA ausgestellt wurde.

Wenn Sie in Ihrem Netzwerk eine Public Key-Infrastruktur (PKI) eingerichtet haben und ein RADIUS-Serverzertifikat verwenden, wird dieses Zertifikat automatisch der Liste vertrauenswürdiger Stamm-CAs hinzugefügt.

Sie können auch ein Zertifizierungsstellenzertifikat von einem Drittanbieter erwerben. Einige vertrauenswürdige Stamm-CAs von anderen Anbietern stellen mit dem erworbenen Zertifikat eine Software bereit, die das Zertifikat automatisch im Zertifikatspeicher Vertrauenswürdige Stammzertifizierungsstellen installiert. In diesem Fall wird die vertrauenswürdige Stamm-CA automatisch in der Liste vertrauenswürdiger Stamm-CAs angezeigt.

Geben Sie kein Zertifikat einer vertrauenswürdigen Stamm-CAs an, das noch nicht in den Zertifikatspeichern Vertrauenswürdige Stammzertifizierungsstellen für Aktueller Benutzer und Lokaler Computer der Client-PCs aufgeführt ist.

noteHinweis
Wenn Sie ein Zertifikat angeben, das nicht auf den Client-PCs installiert ist, schlägt die Authentifizierung fehl.

Standardeinstellung = Nicht aktiviert, keine vertrauenswürdigen Stamm-CAs ausgewählt

noteHinweis
Auch wenn keine vertrauenswürdigen Stamm-CAs ausgewählt sind, überprüft der Client, ob das RADIUS-Serverzertifikat von einer vertrauenswürdigen Stamm-CA ausgestellt wurde.

Zertifikat anzeigen

Dient zum Anzeigen der Eigenschaften des ausgewählten Zertifikats.

Keine Benutzeraufforderung zur Autorisierung neuer Server oder vertrauenswürdiger Zertifizierungsstellen

Verhindert (sofern aktiviert), dass der Benutzer aufgefordert wird, einem Serverzertifikat zu vertrauen, das nicht korrekt konfiguriert ist und/oder das nicht bereits als vertrauenswürdig gilt. Sie sollten dieses Kontrollkästchen aktivieren, um die Handhabung für Benutzer zu vereinfachen und Benutzer daran zu hindern, versehentlich einem Server zu vertrauen, der durch einen Angreifer bereitgestellt wird.

Standardeinstellung = Nicht aktiviert

Anderen Benutzernamen für die Verbindung verwenden

Gibt an, ob für die Authentifizierung ein anderer Benutzername verwendet werden soll als der Benutzername im Zertifikat.

Standardeinstellung = Nicht aktiviert

Verwenden Sie Neue Zertifikatauswahl, um die Kriterien zu konfigurieren, anhand derer Client-PCs automatisch das richtige Zertifikat auf dem Client-PC für die Authentifizierung auswählen. Wenn die Konfiguration über die Richtlinien für Kabelnetzwerke (IEEE 802.3), die Drahtlosnetzwerkrichtlinien (IEEE 802.11) oder das Verbindungs-Manager-Verwaltungskit (CMAK) für VPN für Netzwerkclient-PCs bereitgestellt wird, werden Clients automatisch mit den angegebenen Authentifizierungskriterien bereitgestellt.

 

Element Details

Zertifikataussteller

Gibt an, ob die Filterung für Zertifikataussteller aktiviert ist.

Standardeinstellung = Nicht ausgewählt

Liste Zertifikataussteller

Wird verwendet, um einen oder mehrere Zertifikataussteller für die Zertifikate anzugeben.

Enthält die Namen aller Aussteller, für die entsprechende Zertifizierungsstellenzertifikate (ZS-Zertifikate) im Zertifikatspeicher Vertrauenswürdige Stammzertifizierungsstellen oder Zwischenzertifizierungsstellen des lokalen Computerkontos vorhanden sind.



    • Enthält alle Stammzertifizierungsstellen und Zwischenzertifizierungsstellen.

    • Enthält nur die Aussteller, für die entsprechende gültige Zertifikate auf dem PC vorhanden sind (z. B. Zertifikate, die nicht abgelaufen oder gesperrt sind).

Die endgültige Liste der für die Authentifizierung zulässigen Zertifikate enthält nur die Zertifikate, die von einem der ausgewählten Aussteller in dieser Liste ausgestellt wurden.

Standardeinstellung = Nicht ausgewählt

Erweiterte Schlüsselverwendung (Extended Key Usage, EKU)

Sie können Allzweckverwendung, Clientauthentifizierung, Verwendung für beliebigen Zweck oder eine Kombination dieser Einstellungen auswählen. Gibt an, dass bei Auswahl einer Kombination von Einstellungen alle Zertifikate, die mindestens eine der drei Bedingungen erfüllen, als gültige Zertifikate für die Authentifizierung des Clients beim Server gelten. Wenn die EKU-Filterung aktiviert ist, muss eine der Optionen ausgewählt werden. Andernfalls ist das Befehlssteuerelement OK deaktiviert.

Standardeinstellung = Nicht aktiviert

Allzweckverwendung

Gibt an (sofern aktiviert), dass Zertifikate mit der EKU-Einstellung Allzweckverwendung als gültige Zertifikate für die Authentifizierung des Clients beim Server gelten.

Standardeinstellung = ausgewählt, wenn Erweiterte Schlüsselverwendung (Extended Key Usage, EKU) aktiviert ist

Clientauthentifizierung

Gibt an (sofern aktiviert), dass Zertifikate mit der EKU-Einstellung Clientauthentifizierung und der angegebenen Liste von EKUs als gültige Zertifikate für die Authentifizierung des Clients beim Server gelten.

Standardeinstellung = ausgewählt, wenn Erweiterte Schlüsselverwendung (Extended Key Usage, EKU) aktiviert ist

Hinzufügen

Öffnet das Dialogfeld EKUs auswählen, in dem Sie der Liste Clientauthentifizierung standardmäßige, benutzerdefinierte oder anbieterspezifische EKUs hinzufügen können.

Standardeinstellung = keine EKUs aufgelistet

Entfernen

Entfernt das ausgewählte EKU-Element aus der Liste Clientauthentifizierung.

Standardeinstellung = Nicht zutreffend

Verwendung für beliebigen Zweck

Gibt an (sofern aktiviert), dass alle Zertifikate mit der EKU-Einstellung Verwendung für beliebigen Zweck und der angegebenen Liste von EKUs als gültige Zertifikate für die Authentifizierung des Clients beim Server gelten.

Standardeinstellung = ausgewählt, wenn Erweiterte Schlüsselverwendung (Extended Key Usage, EKU) aktiviert ist

Hinzufügen

Öffnet das Dialogfeld EKUs auswählen, in dem Sie der Liste Verwendung für beliebigen Zweck standardmäßige, benutzerdefinierte oder anbieterspezifische EKUs hinzufügen können.

Standardeinstellung = keine EKUs aufgelistet

Entfernen

Entfernt das ausgewählte EKU-Element aus der Liste Verwendung für beliebigen Zweck.

Standardeinstellung = Nicht zutreffend

noteHinweis
Wenn sowohl Zertifikataussteller als auch Erweiterte Schlüsselverwendung (Extended Key Usage, EKU) aktiviert sind, gelten nur die Zertifikate, die beide Bedingungen erfüllen, als gültige Zertifikate für die Authentifizierung des Clients beim Server.

Sie können ein EKU-Element in der Liste auswählen oder ein neues EKU-Element hinzufügen.

 

Element Details

Hinzufügen

Öffnet das Dialogfeld EKU hinzufügen/bearbeiten, in dem Sie benutzerdefinierte EKUs definieren und hinzufügen können. Wählen Sie unter Wählen Sie die EKUs in der folgenden Liste aus ein EKU-Element in der Liste aus, und klicken Sie dann auf OK, um es der Liste Clientauthentifizierung oder Verwendung für beliebigen Zweck hinzuzufügen.

Bearbeiten

Öffnet das Dialogfeld EKU hinzufügen/bearbeiten, in dem Sie von Ihnen hinzugefügte benutzerdefinierte EKUs bearbeiten können. Die standardmäßigen, vordefinierten EKUs können nicht bearbeitet werden.

Entfernen

Entfernt das ausgewählte benutzerdefinierte EKU-Element aus der Liste der EKUs im Dialogfeld %%amp;quot;EKUs auswählen%%amp;quot;. Die standardmäßigen, vordefinierten EKUs können nicht entfernt werden.

 

Element Details

Geben Sie den Namen der EKU ein

Hier können Sie den Namen der benutzerdefinierten EKU eingeben.

Geben Sie die EKU-OID ein

Hier können Sie die OID für die EKU eingeben.

Es sind nur numerische Zeichen, Trennzeichen und Punkte (.) zulässig. Platzhalter können verwendet werden. In diesem Fall sind alle untergeordneten OIDs in der Hierarchie zulässig. Wenn Sie 1.3.6.1.4.1.311.* eingeben, sind z. B. 1.3.6.1.4.1.311.42 und 1.3.6.1.4.1.311.42.2.1 zulässig.

EAP-TTLS ist eine standardbasierte EAP-Tunnelingmethode, die gegenseitige Authentifizierung unterstützt und einen sicheren Tunnel für die Clientauthentifizierung mit EAP-Methoden und anderen Vorgängerprotokollen bereitstellt. Die Verwendung von EAP-TTLS in Windows Server 2012 bietet nur clientseitige Unterstützung und soll die Interoperabilität mit den am häufigsten bereitgestellten RADIUS-Servern ermöglichen, die EAP-TTLS unterstützen.

 

Element Beschreibung

Identitätsschutz aktivieren

Gibt an, dass die Clients so konfiguriert sind, dass sie ihre Identität erst senden können, nachdem der RADIUS-Server vom Client authentifiziert wurde, und stellt optional ein Feld zur Eingabe eines anonymen Identitätswerts bereit. Wenn Sie Identitätsschutz aktivieren auswählen und den Wert %%amp;quot;guest%%amp;quot; für die anonyme Identität eingeben, lautet die Identitätsantwort für einen Benutzer mit der Identität alice@realm z. B. guest@realm. Wenn Sie Identitätsschutz aktivieren auswählen, ohne einen Wert für die anonyme Identität anzugeben, ist @example die Identitätsantwort für den Benutzer alice@example.

Diese Einstellung gilt nur für PCs unter Windows 8.

Standardeinstellung = Nicht aktiviert

Verbindung mit folgenden Servern herstellen

Gibt Ihnen die Möglichkeit, den Namen von RADIUS-Servern anzugeben, die Netzwerkauthentifizierung und -autorisierung bereitstellen.

noteHinweis
Sie müssen den Namen genau so eingeben, wie er im Feld Antragsteller des Zertifikats des jeweiligen RADIUS-Servers angezeigt wird, oder reguläre Ausdrücke verwenden, um den Servernamen anzugeben. Zum Angeben des Servernamens kann die vollständige Syntax eines regulären Ausdrucks verwendet werden. Die angegebene Zeichenfolge muss jedoch mindestens ein * enthalten, um einen regulären Ausdruck von einem Zeichenfolgenliteral zu unterscheiden. Sie können z. B. nps*.example.com eingeben, um den RADIUS-Server %%amp;quot;nps1.example.com %%amp;quot; oder %%amp;quot;nps2.example.com%%amp;quot; anzugeben.

Standardeinstellungen: = Keiner

noteHinweis
Auch wenn keine RADIUS-Server angegeben sind, überprüft der Client, ob das RADIUS-Serverzertifikat von einer vertrauenswürdigen Stamm-CA ausgestellt wurde.

Vertrauenswürdige Stammzertifizierungsstellen

Die Liste in Vertrauenswürdige Stammzertifizierungsstellen wird aus den vertrauenswürdigen Stamm-CAs erstellt, die auf dem PC und in den Benutzerzertifikatspeichern installiert sind. Sie können angeben, welche Zertifikate vertrauenswürdiger Stamm-CAs die Supplicants verwenden, um zu bestimmen, ob sie Ihren Servern vertrauen, z. B. dem Netzwerkrichtlinienserver (NPS) oder dem Bereitstellungsserver. Sind keine vertrauenswürdigen Stamm-CAs ausgewählt, überprüft der 802.1X-Client, ob das Computerzertifikat des RADIUS-Servers von einer installierten vertrauenswürdigen Stamm-CA ausgestellt wurde. Sind eine oder mehrere vertrauenswürdige Stamm-CAs ausgewählt, überprüft der 802.1X-Client, ob das Computerzertifikat des RADIUS-Servers von einer ausgewählten vertrauenswürdigen Stamm-CA ausgestellt wurde.

Wenn Sie in Ihrem Netzwerk eine Public Key-Infrastruktur (PKI) eingerichtet haben und ein RADIUS-Serverzertifikat verwenden, wird dieses Zertifikat automatisch der Liste vertrauenswürdiger Stamm-CAs hinzugefügt. Bei Auswahl dieser Option wird das Stamm-CA auf einem Client-PC installiert, wenn die PCs der Domäne hinzugefügt werden.

Sie können auch ein Zertifizierungsstellenzertifikat von einem Drittanbieter erwerben. Einige vertrauenswürdige Stamm-CAs von anderen Anbietern stellen mit dem erworbenen Zertifikat eine Software bereit, die das Zertifikat automatisch im Zertifikatspeicher Vertrauenswürdige Stammzertifizierungsstellen installiert. In diesem Fall wird die vertrauenswürdige Stamm-CA automatisch in der Liste vertrauenswürdiger Stamm-CAs angezeigt.

Geben Sie kein Zertifikat einer vertrauenswürdigen Stamm-CAs an, das noch nicht in den Zertifikatspeichern Vertrauenswürdige Stammzertifizierungsstellen für Aktueller Benutzer und Lokaler Computer der Client-PCs aufgeführt ist.

noteHinweis
Wenn Sie ein Zertifikat angeben, das nicht auf den Client-PCs installiert ist, schlägt die Authentifizierung fehl.

Standardeinstellung = Nicht aktiviert, keine vertrauenswürdigen Stamm-CAs ausgewählt

noteHinweis
Auch wenn keine vertrauenswürdigen Stamm-CAs ausgewählt sind, überprüft der Client, ob das RADIUS-Serverzertifikat von einer vertrauenswürdigen Stamm-CA ausgestellt wurde.

Keine Benutzeraufforderung, wenn der Server nicht autorisiert werden kann

Gibt an (sofern nicht aktiviert), dass der Benutzer aufgefordert wird, den Server zu akzeptieren oder abzulehnen, wenn die Validierung des Serverzertifikats aus einem der folgenden Gründe fehlschlägt:

  • Es wurde kein Stammzertifikat für das Serverzertifikat gefunden, oder es ist kein solches Zertifikat in der Liste Vertrauenswürdige Stammzertifizierungsstellen ausgewählt.

  • Mindestens eines der Zwischenstammzertifikate in der Zertifikatkette wurde nicht gefunden.

  • Der Name des Antragstellers im Serverzertifikat entspricht keinem der Server in der Liste Verbindung mit folgenden Servern herstellen.

Standardeinstellung = Nicht ausgewählt

EAP-fremde Authentifizierungsmethode auswählen

Gibt an, ob ein Nicht-EAP-Typ oder ein EAP-Typ für die Authentifizierung verwendet wird. Wenn EAP-fremde Authentifizierungsmethode auswählen aktiviert ist, ist EAP Authentifizierungsmethode auswählen deaktiviert. Bei Auswahl von EAP-fremde Authentifizierungsmethode auswählen enthält die Dropdownliste die folgenden EAP-fremden Authentifizierungstypen:

  • PAP

  • CHAP

  • MS-CHAP

  • MS-CHAP v2

Standardeinstellungen:

  • EAP-fremde Authentifizierungsmethode auswählen = aktiviert

  • EAP-fremde Methode = PAP

Automatisch eigenen Windows-Anmeldenamen und Kennwort verwenden

Wenn diese Option aktiviert ist, werden die Windows-Anmeldeinformationen verwendet. Dieses Kontrollkästchen ist nur aktiviert, wenn MS-CHAP v2 in der Dropdownliste EAP-fremde Authentifizierungsmethode auswählen ausgewählt wurde. Automatisch eigenen Windows-Anmeldenamen und Kennwort verwenden ist für die Authentifizierungstypen PAP, CHAP und MS-CHAP deaktiviert.

EAP-Authentifizierungsmethode auswählen

Gibt an, ob ein EAP-Typ oder ein Nicht-EAP-Typ für die Authentifizierung verwendet wird. Wenn EAP-Authentifizierungsmethode auswählen aktiviert ist, ist EAP-fremde Authentifizierungsmethode auswählen deaktiviert. Bei Auswahl von EAP-fremde Authentifizierungsmethode auswählen enthält die Dropdownliste standardmäßig die folgenden EAP-fremden Authentifizierungstypen:

  • Microsoft: Smartcard- oder anderes Zertifikat

  • Microsoft: MS-CHAP v2

  • MS-CHAP

  • MS-CHAP v2

noteHinweis
Die Dropdownliste EAP-Authentifizierungsmethode auswählen enthält alle auf dem Server installierten EAP-Methoden, mit Ausnahme der PEAP- und FAST-Tunnelmethoden. Die EAP-Typen werden in der Reihenfolge angezeigt, in der sie vom PC gefunden werden.

Konfigurieren

Öffnet das Eigenschaftendialogfeld des angegebenen EAP-Typs. Ausführliche Informationen zu den standardmäßigen EAP-Typen finden Sie unter Smartcard- oder andere Zertifikateigenschaften – Konfigurationselemente oder Eigenschaften für gesichertes Kennwort (EAP-MSCHAP v2) – Konfigurationselemente.

Die folgenden Tabellen enthalten die Konfigurationseinstellungen für:

EAP-SIM (Subscriber Identity Module) wird zur Authentifizierung und Sitzungsschlüsselverteilung für das Global System for Mobile Communications (GSM) verwendet. EAP-SIM ist in RFC 4186 definiert.

EAP-SIM-Eigenschaften

 

Element Beschreibung

Starke Verschlüsselungsschlüssel verwenden

Gibt an (sofern aktiviert), dass die starke Verschlüsselung für das Profil verwendet wird.

Bei verfügbarer Pseudonymidentität tatsächliche Identität dem Server gegenüber nicht offenlegen

Bei Auswahl dieser Option schlägt die Authentifizierung des Clients fehl, wenn der Server eine permanente Identität anfordert, obwohl dem Client eine Pseudonymidentität zugeordnet ist.

Pseudonymidentitäten werden zum Identitätsschutz verwendet, damit die tatsächliche oder permanente Identität eines Benutzers während der Authentifizierung nicht offen gelegt wird.

Verwendung von Bereichen aktivieren

Hier können Sie den Bereichsnamen eingeben. Wenn Sie das Feld leer lassen und Verwendung von Bereichen aktivieren aktiviert ist, wird der Bereich von der IMSI (International Mobile Subscriber Identity) abgeleitet, wobei wie im 3GPP-Standard 23.003 V6.8.0 beschrieben der Bereich %%amp;quot;3gppnetwork.org%%amp;quot; verwendet wird.

Bereich angeben:

Hier können Sie den Bereichsnamen eingeben.

EAP-AKA (Authentication and Key Agreement) für UMTS (Universal Mobile Telecommunications System) wird zur Authentifizierung und Sitzungsschlüsselverteilung mit USIM (UMTS Universal Subscriber Identity Module) verwendet. EAP-AKA ist in RFC 4187 definiert.

EAP-AKA-Eigenschaften

 

Element Beschreibung

Bei verfügbarer Pseudonymidentität tatsächliche Identität dem Server gegenüber nicht offenlegen

Bei Auswahl dieser Option schlägt die Authentifizierung des Clients fehl, wenn der Server eine permanente Identität anfordert, obwohl dem Client eine Pseudonymidentität zugeordnet ist.

Pseudonymidentitäten werden zum Identitätsschutz verwendet, damit die tatsächliche oder permanente Identität eines Benutzers während der Authentifizierung nicht offen gelegt wird.

Verwendung von Bereichen aktivieren

Hier können Sie den Bereichsnamen eingeben. Wenn Sie das Feld leer lassen und Verwendung von Bereichen aktivieren aktiviert ist, wird der Bereich von der IMSI (International Mobile Subscriber Identity) abgeleitet, wobei wie im 3GPP-Standard 23.003 V6.8.0 beschrieben der Bereich %%amp;quot;3gppnetwork.org%%amp;quot; verwendet wird.

Bereich angeben

Hier können Sie den Bereichsnamen eingeben.

EA-AKA' (Prime) ist eine geänderte Version von EAP-AKA, mit der der Zugriff auf 3GPP-basierte Netzwerke mit Nicht-3GPP-Standards ermöglicht wird. Dazu zählen z. B. folgende Standards:

  • WiFi (auch bezeichnet als Wireless Fidelity)

  • EVDO (Evolution-Data Optimized)

  • WiMax (Worldwide Interoperability for Microwave Access)

EAP-AKA' ist in RFC 5448 definiert.

EAP-AKA'-Eigenschaften

 

Element Beschreibung

Bei verfügbarer Pseudonymidentität tatsächliche Identität dem Server gegenüber nicht offenlegen

Bei Auswahl dieser Option schlägt die Authentifizierung des Clients fehl, wenn der Server eine permanente Identität anfordert, obwohl dem Client eine Pseudonymidentität zugeordnet ist.

Pseudonymidentitäten werden zum Identitätsschutz verwendet, damit die tatsächliche oder permanente Identität eines Benutzers während der Authentifizierung nicht offen gelegt wird.

Verwendung von Bereichen aktivieren

Hier können Sie den Bereichsnamen eingeben. Wenn Sie das Feld leer lassen und Verwendung von Bereichen aktivieren aktiviert ist, wird der Bereich von der IMSI (International Mobile Subscriber Identity) abgeleitet, wobei wie im 3GPP-Standard 23.003 V6.8.0 beschrieben der Bereich %%amp;quot;3gppnetwork.org%%amp;quot; verwendet wird.

Bereich angeben

Hier können Sie den Bereichsnamen eingeben.

Nicht übereinstimmenden Netzwerknamen ignorieren

Der Client vergleicht den ihm bekannten Netzwerknamen mit dem Namen, der während der Authentifizierung vom RADIUS-Server gesendet wird. Im Fall eines Namenskonflikts geschieht Folgendes:

  • Wenn die Option aktiviert ist, wird der Konflikt ignoriert.

  • Wenn die Option nicht aktiviert ist, schlägt die Authentifizierung fehl.

Schnelle erneute Authentifizierung aktivieren

Gibt an, dass die schnelle erneute Authentifizierung aktiviert ist.

Die schnelle erneute Authentifizierung ist hilfreich, wenn häufig SIM-Authentifizierungen ausgeführt werden. Die von der vollständigen Authentifizierung abgeleiteten Verschlüsselungsschlüssel werden wiederverwendet. Daher muss der SIM-Algorithmus nicht bei jedem Authentifizierungsversuch ausgeführt werden, und die Anzahl von Netzwerkvorgängen aufgrund häufiger Authentifizierungsversuche wird reduziert.

Zusätzliche Informationen zu authentifizierten Drahtloseinstellungen in den Gruppenrichtlinien finden Sie unter Verwalten der Einstellungen für die neue Drahtlosnetzwerkrichtlinie (IEEE 802.11).

Zusätzliche Informationen zu authentifizierten kabelgebundenen Einstellungen in den Gruppenrichtlinien finden Sie unter Verwalten der Richtlinieneinstellungen für verkabelte Netzwerke (IEEE 802.3).

Zusätzliche Informationen zu erweiterten Einstellungen für den authentifizierten kabelgebundenen Zugriff und den authentifizierten Drahtloszugriff finden Sie unter Erweiterte Sicherheitseinstellungen für Richtlinien für Kabel- und Drahtlosnetzwerke.

Extensible Authentication-Protokoll (EAP)

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

HINZUFÜGEN
Anzeigen:
© 2015 Microsoft