Table of contents
TOC
Свернуть оглавление
Развернуть оглавление

Параметры проверки подлинности для VPN

J. Decker|Последнее обновление: 23.12.2016
|
1 Участник

Относится к:

  • Windows 10
  • Windows 10 Mobile

В дополнение к старым и менее безопасным методам проверки подлинности с паролем (которых следует избегать), встроенное решение VPN использует протокол EAP для безопасной проверки подлинности на основе сертификатов и на основе имени пользователя и пароля. Вы можете настроить проверку подлинности на основе EAP, только выбрав встроенный тип VPN (IKEv2, L2TP, PPTP или автоматический).

Windows поддерживает различные методы проверки подлинности EAP.

СпособПодробности
Протокол EAP-MSCHAP версии 2 (EAP-MSCHAPv2)
  • Проверка подлинности на основе имени пользователя и пароля
  • Учетные данные Winlogon — можно настроить проверку подлинности с помощью учетных данных компьютера
Протокол EAP-TLS
  • Поддерживает следующие типы проверки подлинности сертификата
    • Сертификат с ключами в программном поставщике хранилища ключей (KSP)
    • Сертификат с ключами в KSP доверенного платформенного модуля (TPM)
    • Сертификаты смарт-карты
    • Сертификат Windows Hello для бизнеса
  • Фильтрация сертификатов
    • Фильтрацию сертификатов можно включить для поиска определенного сертификата, который будет использоваться для проверки подлинности
    • Фильтрация может быть основана на издателе или улучшенном ключе (EKU)
  • Проверка сервера — при использовании TLS проверку сервера можно включить и отключить
    • Имя сервера — укажите сервер для проверки
    • Сертификат сервера — доверенный корневой сертификат для проверки подлинности сервера
    • Уведомление — укажите, увидит ли пользователь уведомление с вопросом о том, нужно ли доверять серверу
Протокол PEAP
  • Проверка сервера — при использовании PEAP проверку сервера можно включить и отключить
    • Имя сервера — укажите сервер для проверки
    • Сертификат сервера — доверенный корневой сертификат для проверки подлинности сервера
    • Уведомление — укажите, увидит ли пользователь уведомление с вопросом о том, нужно ли доверять серверу
  • Внутренний метод — внешний метод создает безопасный туннель внутри, а внутренний метод используется для выполнения проверки подлинности
    • EAP-MSCHAPv2
    • EAP-TLS
  • Быстрое переподключение: сокращает задержку между запросом на проверку подлинности клиента и ответом сервера политики сети (NPS) или другого сервера RADIUS. Это снижает требования к ресурсам для клиента и сервера, а также уменьшает число запросов учетных данных у пользователей.
  • Привязка с шифрованием: получая значения из материала ключа PEAP этапа 1 (туннельный ключ) и внутреннего материала ключа метода EAP PEAP этапа 2 (внутренний ключ сеанса), можно подтвердить, что два процесса проверки подлинности заканчиваются в одинаковых двух объектах (одноранговый элемент PEAP и сервер PEAP). Этот процесс называется "привязкой с шифрованием" и используется для защиты согласования PEAP от атак типа "злоумышленник в середине".
Протокол TTLS
  • Внутренний метод
    • Не EAP
      • Протокол PAP
      • CHAP
      • MSCHAP
      • MSCHAPv2
    • EAP
      • MSChapv2
      • TLS
  • Проверка сервера: в TTLS сервер должен быть проверен. Следующие параметры можно настроить.
    • Имя сервера
    • Доверенный корневой сертификат для сертификата сервера
    • Следует ли отправлять уведомление о проверке сервера

Для подключаемого модуля UWP VPN поставщик приложения управляет используемым методом проверки подлинности. Можно использовать следующие типы учетных данных:

  • смарт-карта;
  • сертификат;
  • Windows Hello для бизнеса;
  • имя пользователя и пароль;
  • одноразовый пароль;
  • пользовательский тип учетных данных.

Настройка проверка подлинности

Конфигурацию XML для EAP см. в разделе Конфигурация EAP.

Примечание

Чтобы настроить проверку подлинности Windows Hello для бизнеса, выполните действия, описанные в разделе Конфигурация EAP для создания сертификата смарт-карты. Подробнее о Windows Hello для бизнеса.

На следующем изображении показано поле для EAP XML в профиле VPN решения Microsoft Intune. Поле EAP XML отображается только при выборе встроенного типа подключения (автоматический, IKEv2, L2TP, PPTP).

Конфигурация EAP XML в профиле Intune

Связанные статьи

© 2017 Microsoft