远程访问身份验证协议

应用到: Windows Server 2008 R2

此版本 Windows 中的远程访问支持下表中列出的远程访问身份验证协议。它们按安全性递减的顺序列出。建议您使用可扩展的身份验证协议 (EAP) 和 Microsoft 质询握手身份验证协议版本 2 (MS-CHAPv2),并避免使用质询握手身份验证协议 (CHAP) 和密码身份验证协议 (PAP)。

 

协议 描述 安全级别

EAP

允许使用身份验证方案(称为 EAP 类型)对远程访问连接进行随意身份验证。

EAP 可以最灵活地改变身份验证,安全性最强。有关详细信息,请参阅 EAP(http://go.microsoft.com/fwlink/?linkid=140608)(可能为英文网页)。

MS-CHAP v2

支持双向相互身份验证。远程访问客户端收到其拨入的远程访问服务器有权访问用户密码的验证。

MS-CHAP v2 提供比 CHAP 更强的安全性。有关详细信息,请参阅 MS-CHAP v2(http://go.microsoft.com/fwlink/?linkid=140609)(可能为英文网页)。

CHAP

使用 Message Digest 5 (MD5) 哈希方案对响应加密。

CHAP 优于 PAP 的是不会通过 PPP 链接发送密码。CHAP 要求使用纯文本版本的密码来验证质询响应。CHAP 不抵御远程服务器模拟。有关详细信息,请参阅 CHAP(http://go.microsoft.com/fwlink/?linkid=140610)(可能为英文网页)。

PAP

使用纯文本密码。如果远程访问客户端和远程访问服务器无法协商更安全的验证形式,则通常使用 PAP。

PAP 是最不安全的身份验证协议。它不抵御重播攻击、远程客户端模拟和远程服务器模拟。有关详细信息,请参阅 PAP(http://go.microsoft.com/fwlink/?linkid=140611)(可能为英文网页)。

未经身份验证的访问

RRAS 还支持未经身份验证的访问,这意味着不需要提供用户凭据(用户名和密码)。有时会需要进行未经身份验证的访问。有关详细信息,请参阅未经身份验证的访问(http://go.microsoft.com/fwlink/?linkid=73649)。

security安全 注意
启用了未经身份验证的访问后,远程访问用户不必发送用户凭据即可建立连接。未经身份验证的远程访问客户端在建立连接的过程中不协商使用公用的身份验证协议,也不发送用户名或密码。

远程访问客户端配置的身份验证协议与远程访问服务器上配置的身份验证协议不匹配时,远程访问客户端可能会进行未经身份验证的访问。在这种情况下,不协商使用公用的身份验证协议,远程访问客户端也不发送用户名或密码。

其他参考

显示: