Sdílet prostřednictvím

Protokol EAP (Extensible Authentication Protocol) pro přístup k síti

Protokol EAP (Extensible Authentication Protocol) je ověřovací rámec, který umožňuje použití různých metod ověřování pro technologie zabezpečeného přístupu k síti. Mezi příklady těchto technologií patří bezdrátový přístup pomocí IEEE 802.1X, kabelový přístup pomocí IEEE 802.1X a připojení PPP (Point-to-Point Protocol), jako je virtuální privátní síť (VPN). EAP není specifická metoda ověřování, jako je MS-CHAP v2, ale spíše architektura, která umožňuje dodavatelům sítí vyvíjet a instalovat nové metody ověřování, označované jako metody EAP na přístupovém klientovi a ověřovacím serveru. Architektura EAP je původně definována dokumentem RFC 3748 a rozšířena různými dalšími rfcs a standardy.

Metody ověřování

Metody ověřování EAP používané v tunelových metodách protokolu EAP se běžně označují jako vnitřní metody nebo typy protokolu EAP. Metody, které jsou nastaveny jako vnitřní metody mají stejné nastavení konfigurace jako při použití jako vnější metoda. Tento článek obsahuje informace o konfiguraci specifické pro následující metody ověřování v protokolu EAP.

Zabezpečení vrstvyEAP-Transport (EAP-TLS): Metoda EAP založená na standardech , která používá protokol TLS s certifikáty pro vzájemné ověřování. Zobrazí se jako čipová karta nebo jiný certifikát (EAP-TLS) v systému Windows. EAP-TLS lze nasadit jako vnitřní metodu pro jinou metodu EAP nebo jako samostatnou metodu EAP.

Tip

Metody EAP, které používají protokol EAP-TLS, jsou založeny na certifikátech a obecně nabízejí nejvyšší úroveň zabezpečení. Například EAP-TLS je jedinou povolenou metodou EAP pro WPA3-Enterprise 192bitový režim.

EAP-Microsoft Challenge Handshake Authentication Protocol verze 2 (EAP-MSCHAP v2): Metoda EAP definovaná společností Microsoft , která zapouzdřuje ověřovací protokol MSCHAP v2, který k ověřování používá uživatelské jméno a heslo. Zobrazuje se jako Zabezpečené heslo (EAP-MSCHAP v2) v systému Windows. EAP-MSCHAPv2 lze použít jako samostatnou metodu pro síť VPN, ale pouze jako vnitřní metodu pro drátová nebo bezdrátová připojení.

Warning

Připojení založená na protokolu MSCHAPv2 jsou vystavena podobným útokům jako připojení NTLMv1. Windows 11 Enterprise verze 22H2 (build 22621) umožňuje ochranu Credential Guard v programu Windows Defender, což může způsobovat problémy s připojeními založenými na MSCHAPv2.

Protected EAP (PEAP): Metoda EAPdefinovaná společností Microsoft , která zapouzdřuje protokol EAP do tunelu TLS. Tunel TLS zabezpečuje vnitřní metodu EAP, která by jinak mohla být nechráněná. Systém Windows podporuje EAP-TLS a EAP-MSCHAP v2 jako vnitřní metody.

EAP-Tunneled Transport Layer Security (EAP-TTLS): RFC 5281 zapouzdřuje TLS relaci, která provádí vzájemné ověřování pomocí jiného interního mechanismu. Tato vnitřní metoda může být buď protokol EAP, například EAP-MSCHAP v2, nebo protokol bez protokolu EAP, například protokol PAP (Password Authentication Protocol). V systému Windows Server 2012 poskytuje zahrnutí EAP-TTLS podporu pouze na straně klienta (v systému Windows 8). NPS v současné době nepodporuje EAP-TTLS. Podpora klientů umožňuje spolupráci s běžně nasazovanými RADIUS servery, které podporují protokol EAP-TTLS.

EAP-Subscriber Identity Module (EAP-SIM), EAP-Authentication a smlouva o klíči (EAP-AKA) a EAP-AKA Prime (EAP-AKA): Popisuje to různé rfcs, umožňuje ověřování pomocí SIM karet a implementuje se, když zákazník zakoupí plán bezdrátového širokopásmového připojení od operátora mobilní sítě. V rámci plánu zákazník běžně obdrží profil bezdrátové sítě, který je předem nakonfigurován pro ověřování pomocí SIM karty.

Tunnel EAP (TEAP):Toto je popsáno rfc 7170, tunelovaná metoda EAP, která vytváří zabezpečený tunel TLS a spouští jiné metody EAP uvnitř tohoto tunelu. Podporuje řetězení EAP - ověření stroje a uživatele v rámci jedné ověřovací relace. V systému Windows Server 2022 poskytuje zahrnutí TEAP podporu pouze pro stranu klienta - Windows 10, verze 2004 (sestavení 19041). Server NPS v současné době nepodporuje protokol TEAP. Podpora klientů umožňuje spolupráci s běžně nasazovanými RADIUS servery, které podporují TEAP. Systém Windows podporuje EAP-TLS a EAP-MSCHAP v2 jako vnitřní metody.

V následující tabulce jsou uvedeny některé běžné metody protokolu EAP a čísla typů metod přiřazených organizací IANA.

Metoda EAP Číslo přiřazeného typu IANA Nativní podpora systému Windows
MD5-Challenge (EAP-MD5) 4
One-Time heslo (EAP-OTP) 5
Generická tokenová karta (EAP-GTC) 6
EAP-TLS 13
EAP-SIM 18
EAP-TTLS 21
EAP-AKA 23
PEAP 25
EAP-MSCHAP v2 26
Chráněné heslo One-Time (EAP-POTP) 32
EAP-FAST 43
Předsdílený klíč (EAP-PSK) 47
EAP-IKEv2 49
EAP-AKA' 50
EAP-EKE 53
TEAP 55
EAP-NOOB 56

Konfigurace vlastností protokolu EAP

K vlastnostem protokolu EAP pro drátový a bezdrátový přístup ověřený protokolem 802.1X můžete přistupovat následujícími způsoby:

  • Konfigurace rozšíření zásad drátové sítě (IEEE 802.3) a zásad bezdrátové sítě (IEEE 802.11) v zásadách skupiny.
    • Konfigurace> počítačePolitiky>Nastavení> WindowsNastavení zabezpečení
  • Použití softwaru pro správu mobilních zařízení (MDM), jako je Intune (Wi-Fi/Wired)
  • Ruční konfigurace kabelového nebo bezdrátového připojení v klientských počítačích.

K vlastnostem protokolu EAP pro připojení virtuální privátní sítě (VPN) můžete přistupovat následujícími způsoby:

  • Použití softwaru pro správu mobilních zařízení (MDM), jako je Intune
  • Ruční konfigurace připojení VPN v klientských počítačích.
  • Použití sady Connection Manager Administration Kit (CMAK) ke konfiguraci připojení VPN.

Další informace o konfiguraci vlastností protokolu EAP naleznete v tématu Konfigurace profilů a nastavení protokolu EAP v systému Windows.

Profily XML pro protokol EAP

Profily používané pro různé typy připojení jsou soubory XML, které obsahují konfigurační možnosti pro dané připojení. Každý jiný typ připojení se řídí specifickým schématem:

Pokud je však nakonfigurováno pro použití protokolu EAP, každé schéma profilu má podřízený element EapHostConfig element.

  • Drátové/bezdrátové připojení: EapHostConfig je podřízený prvek elementu EAPConfig . MSM > zabezpečení (Wired/Wireless) >OneX> EAPConfig
  • VPN: EapHostConfig je podřízený prvek konfigurace NativeProfile > Authentication > EAP >

Tato syntaxe konfigurace je definována v zásadách skupiny: Specifikace rozšíření bezdrátových/drátových protokolů .

Note

Různá konfigurační GUI ne vždy zobrazují všechny technicky možné možnosti. Například Windows Server 2019 a starší verze nemohou nakonfigurovat TEAP v uživatelském rozhraní. Často je ale možné importovat existující profil XML, který byl dříve nakonfigurovaný.

Zbývající část článku je určena k tomu, aby poskytla mapování mezi specifickými částmi EAP uživatelského rozhraní zásad skupiny a ovládacího panelu a možnostmi konfigurace XML a zároveň poskytla popis nastavení.

Další informace o konfiguraci profilů XML najdete v profilech XML. Příklad použití profilu XML obsahujícího nastavení protokolu EAP naleznete v části Zřízení profilu Wi-Fi prostřednictvím webu.

Nastavení zabezpečení

V následující tabulce jsou vysvětlena konfigurovatelná nastavení zabezpečení pro profil, který používá standard 802.1X. Tato nastavení se mapují na OneX.

Setting element XML Description
Vyberte metodu ověření v síti: EAPConfig Umožňuje vybrat metodu EAP, která se má použít k ověření. Viz Nastavení konfigurace metody ověřování a Nastavení konfigurace mobilního ověřování
Properties Otevře dialogové okno vlastností pro vybranou metodu EAP.
Režim ověřování authMode Určuje typ přihlašovacích údajů používaných k ověřování. Podporovány jsou následující hodnoty:

1. Ověření uživatele nebo počítače
2. Ověřování počítače
3. Ověření uživatele
4. Autentizace hosta

"Počítač" v tomto kontextu znamená v jiných odkazech "Stroj". machineOrUser je výchozí nastavení v systému Windows.
Maximální počet chyb ověření maxAuthFailures Určuje maximální počet selhání ověření povolených pro sadu pověření, výchozí hodnota je 1.
Ukládat informace o uživatelích do mezipaměti pro následná připojení k této síti cacheUserData Určuje, zda mají být pověření uživatele ukládána do mezipaměti pro následná připojení ke stejné síti, výchozí hodnota je true.

Pokročilá nastavení > zabezpečení IEEE 802.1X

Pokud je zaškrtnuté políčko Vynutit upřesňující nastavení 802.1X , nakonfigurují se všechna následující nastavení. Pokud tato možnost není zaškrtnutá, platí výchozí nastavení. V XML jsou všechny elementy volitelné, pokud nejsou k dispozici, použijí se výchozí hodnoty.

Setting element XML Description
Max Eapol-Start zpráv maxStart Určuje maximální počet EAPOL-Start zpráv, které mohou být odeslány ověřovateli (serveru RADIUS), než žadatel (klient Windows) předpokládá, že není přítomen žádný ověřovatel, výchozí je .3
Počáteční perioda (sekundy) startPeriod Určuje dobu čekání (v sekundách) před odesláním zprávy EAPOL-Start pro zahájení procesu ověřování 802.1X, výchozí hodnota je 5.
Doba podržení (v sekundách) heldPeriod Určuje dobu čekání (v sekundách) po neúspěšném pokusu o ověření pro opakovaný pokus o ověření, výchozí hodnota je 1.
Doba ověření (sekundy) authPeriod Určuje dobu (v sekundách) pro čekání na odpověď od ověřovatele (serveru RADIUS), než se předpokládá, že není přítomen žádný ověřovatel, výchozí hodnota je 18.
zpráva Eapol-Start supplicantMode Určuje metodu přenosu použitou pro EAPOL-Start zprávy. Podporovány jsou následující hodnoty:

1. Nepřesílejte (inhibitTransmission)
2. Odeslat (includeLearning)
3. Přenos podle standardu IEEE 802.1X (compliant)

"Počítač" v tomto kontextu znamená v jiných odkazech "Stroj". compliant je výchozí v systému Windows a je jedinou platnou možností pro bezdrátové profily.

Pokročilá nastavení > zabezpečení Jednotné přihlašování

Následující tabulka vysvětluje nastavení jednotného přihlašování (SSO), dříve označovaného jako Pre-Logon Access Provider (PLAP).

Setting element XML Description
Povolit jednotné přihlašování pro tuto síť singleSignOn Určuje, zda je pro tuto síť povoleno jednotné přihlašování, výchozí hodnota je false. Nepoužívejte singleSignOn v profilu, pokud to síť nevyžaduje.
Proveďte bezprostředně před uživatelem

Proveďte ihned po uživateli		 type Určuje, kdy má být provedeno jednotné přihlašování – buď před, nebo po přihlášení uživatele.
Maximální zpoždění připojení (v sekundách) maxDelay Určuje maximální prodlevu (v sekundách) před selháním pokusu o jednotné přihlašování, výchozí hodnota je 10.
Povolit zobrazení dalších dialogových oken během jednotného přihlašování allowAdditionalDialogs Zadané, zda se má povolit zobrazení dialogových oken protokolu EAP během jednotného přihlašování, výchozí hodnota je false.
Tato síť používá různé VLAN pro ověřování pomocí přihlašovacích údajů počítače a uživatele userBasedVirtualLan Určuje, zda se virtuální síť LAN (VLAN) používaná zařízením mění na základě přihlašovacích údajů uživatele, výchozí je .false

Nastavení konfigurace metody ověřování

Caution

Pokud je server síťového přístupu nakonfigurovaný tak, aby umožňoval stejný typ metody ověřování pro tunelovou metodu protokolu EAP (například PEAP) a ne tunelovou metodu protokolu EAP (například EAP-MSCHAP v2), může dojít k ohrožení zabezpečení. Pokud nasadíte metodu EAP s tunelovým propojením i protokol EAP (který není chráněný), nepoužívejte stejný typ ověřování. Pokud například nasadíte PEAP-TLS, nenasazujte také EAP-TLS, protože pokud vyžadujete ochranu tunelu, nemá smysl povolit, aby se metoda spouštěla i mimo něj.

Následující tabulka vysvětluje konfigurovatelná nastavení pro každou metodu ověřování.

Nastavení EAP-TLS v mapě uživatelského rozhraní na EapTlsConnectionPropertiesV1, které je rozšířeno EapTlsConnectionPropertiesV2 a EapTlsConnectionPropertiesV3.

Setting element XML Description
Použít moji čipovou kartu CredentialsSource>Čipová karta Určuje, že klienti podávající požadavky na ověření musí předložit certifikát čipové karty pro ověření v síti.
Použití certifikátu v tomto počítači CredentialsSource>CertificateStore Určuje, že ověřující klienti musí používat certifikát umístěný v úložišti certifikátů Aktuální uživatel nebo Místní počítač.
Použití jednoduchého výběru certifikátu (doporučeno) SimpleCertSelection Určuje, jestli systém Windows automaticky vybere certifikát pro ověřování bez zásahu uživatele (pokud je to možné), nebo pokud systém Windows zobrazí rozevírací seznam pro uživatele k výběru certifikátu.
Advanced Otevře dialogové okno Konfigurovat výběr certifikátu .
Možnosti ověření serveru
Pro připojení použijte jiné uživatelské jméno DifferentUsername Určuje, zda se má pro ověřování použít uživatelské jméno, které se liší od uživatelského jména v certifikátu.

V následující části jsou uvedena nastavení konfigurace pro konfiguraci výběru certifikátu. Tato nastavení definují kritéria, která klient používá k výběru vhodného certifikátu pro autentizaci. Toto uživatelské rozhraní se mapuje na tlsExtensions>FilteringInfo.

Setting element XML Description
Vystavitel certifikátu CAHashListEnabled="true" Určuje, zda je povoleno filtrování vydavatele certifikátu.

Pokud je povolené vystavitele certifikátu i rozšířené použití klíče (EKU), považují se za platné pouze certifikáty, které splňují obě podmínky pro ověřování klienta na serveru.
Kořenové certifikační autority IssuerHash Uvádí názvy všech vydavatelů, jejichž certifikáty odpovídajících certifikačních autorit (CA) jsou obsaženy v úložišti certifikátů důvěryhodných kořenových certifikačních autorit nebo zprostředkujících certifikačních autorit účtu místního počítače. To zahrnuje:

  • Všechny kořenové certifikační autority a zprostředkující certifikační autority.
  • Obsahuje pouze ty vystavitele, pro které jsou v počítači k dispozici odpovídající platné certifikáty (například certifikáty, jejichž platnost nevypršela nebo nebyla odvolána).
  • Konečný seznam certifikátů, které jsou povoleny pro ověřování, obsahuje pouze ty certifikáty, které byly vydány některým z vystavitelů uvedených v tomto seznamu.

    • V XML se jedná o kryptografický otisk (hash) certifikátu SHA-1.
    Rozšířené použití klíče (EKU) Umožňuje vybrat možnost Všechny účely, Ověřování klientů, AnyPurpose nebo libovolnou jejich kombinaci. Určuje, že když je vybrána kombinace, všechny certifikáty splňující alespoň jednu ze tří podmínek jsou považovány za platné certifikáty pro ověření klienta na serveru. Pokud je filtrování EKU povolené, je nutné vybrat jednu z možností, jinak se zaškrtnutí políčka Rozšířené použití klíče (EKU) zruší.
    Účel – vše AllPurposeEnabled Pokud je tato položka vybrána, určuje, že certifikáty, které mají všechny účely EKU, jsou považovány za platné certifikáty pro ověřování klienta na serveru. Identifikátor objektu (OID) pro všechny účely je 0 nebo je prázdný.
    Ověřování klientů ClientAuthEKUListEnabled="true" (> EKUMapInList > EKUName) Určuje, že certifikáty s ověřováním klienta EKU a zadaný seznam EKU jsou považovány za platné certifikáty pro ověřování klienta na serveru. Identifikátor objektu (OID) pro ověřování klientů je 1.3.6.1.5.5.7.3.2.
    AnyPurpose AnyPurposeEKUListEnabled="true" (> EKUMapInList > EKUName) Určuje, že všechny certifikáty, které mají hodnotu AnyPurpose EKU a zadaný seznam EKU, se považují za platné certifikáty pro ověřování klienta na serveru. Identifikátor objektu (OID) pro AnyPurpose je 1.3.6.1.4.1.311.10.12.1.
    Add EKUMapping > EKUMap > EKUName/EKUOID Otevře dialogové okno Vybrat EKUs , které umožňuje přidat standardní, vlastní nebo dodavatele specifické EKU do seznamu Ověřování klienta nebo AnyPurpose .

    Výběrem možnosti Přidat nebo Upravit v dialogovém okně Vybrat EKU se otevře dialogové okno Přidat nebo upravit EKU , které nabízí dvě možnosti:

    1. Zadejte název rozšířeného použití produktu – Poskytuje místo pro zadání názvu vlastního rozšířeného použití produktu.
    2. Zadejte identifikátor OID EKU – poskytuje místo pro zadání identifikátoru OID pro rozšířené použití aktivace. Povoleny jsou pouze číselné číslice, oddělovače a . . Zástupné znaky jsou povoleny, v takovém případě jsou povoleny všechny podřízené identifikátory OID v hierarchii.

    Například zadáním 1.3.6.1.4.1.311.* povolíte a 1.3.6.1.4.1.311.421.3.6.1.4.1.311.42.2.1.
    Edit Umožňuje upravit vlastní EKU, které jste přidali. Výchozí, předdefinované EKU nelze upravovat.
    Remove Odebere vybranou hodnotu EKU ze seznamu Ověřování klienta nebo AnyPurpose .

    Ověření certifikátu serveru

    Mnoho metod protokolu EAP obsahuje možnost pro klienta ověřit certifikát serveru. Pokud certifikát serveru není ověřen, klient si nemůže být jistý, že komunikuje se správným serverem. To vystavuje klienta bezpečnostním rizikům, včetně možnosti, že se klient může nevědomky připojit k podvodné síti.

    Note

    Systém Windows vyžaduje, aby certifikát serveru měl ověřování serveru EKU. Identifikátor objektu (OID) pro toto rozšířené použití klíče je 1.3.6.1.5.5.7.3.1.

    V následující tabulce jsou uvedeny možnosti ověření serveru, které lze použít pro jednotlivé metody protokolu EAP. Windows 11 aktualizoval logiku ověřování serveru, aby byla konzistentnější. Další informace najdete v tématu Aktualizované chování ověřování certifikátů serveru ve Windows 11. Pokud dojde ke konfliktu, popisy v následující tabulce popisují chování v systému Windows 10 a starších verzích.

    Setting element XML Description
    Ověřte identitu serveru ověřením certifikátu EAP-TLS:
    PerformServerValidation

    PEAP:
    PerformServerValidation    		 Tato položka určuje, že klient ověřuje, že certifikáty serveru prezentované klientskému počítači mají:

  • Správné podpisy
  • Platnost podpisů nevypršela.
  • Vydaly ji důvěryhodná kořenová certifikační autorita (CA).

    • Zrušení zaškrtnutí tohoto políčka způsobí, že klientské počítače nebudou moci během procesu ověřování ověřit identitu vašich serverů. Pokud nedojde k ověření serveru, jsou uživatelé vystaveni vážným bezpečnostním rizikům, včetně možnosti, že se uživatelé mohou nevědomky připojit k podvodné síti.
    Připojte se k těmto serverům EAP-TLS:
    ServerValidation>Názvy serverů

    PEAP:
    ServerValidation>Názvy serverů

    EAP-TTLS:
    ServerValidation>
    ServerNames

    TEAP:
    ServerValidation>
    ServerNames
    		 Umožňuje zadat název serverů RADIUS (Remote Authentication Dial-In User Service), které zajišťují ověřování a autorizaci v síti.

    Název musíte zadat přesně tak, jak se zobrazí v poli předmětu každého certifikátu serveru RADIUS, nebo k zadání názvu serveru použijte regulární výrazy (regex).

    Úplnou syntaxi regulárního výrazu lze použít k určení názvu serveru, ale k odlišení regulárního výrazu pomocí řetězce literálu je nutné použít alespoň jeden * v zadaném řetězci. Můžete například určit nps.*\.example\.com , že se má určit server nps1.example.com RADIUS nebo nps2.example.com. Můžete také zahrnout a ; pro oddělení více serverů.

    Pokud nejsou zadány žádné servery RADIUS, klient pouze ověří, zda byl certifikát serveru RADIUS vydán důvěryhodnou kořenovou certifikační autoritou.
    Důvěryhodné kořenové certifikační autority EAP-TLS:
    ServerValidation>TrustedRootCA

    PEAP:
    ServerValidation>TrustedRootCA

    EAP-TTLS:
    ServerValidation>
    TrustedRootCAHashes

    TEAP:
    ServerValidation>
    TrustedRootCAHashes    		 Zobrazí seznam důvěryhodných kořenových certifikačních autorit. Seznam je sestaven z důvěryhodných kořenových certifikačních autorit, které jsou nainstalovány v počítači a v úložištích uživatelských certifikátů. Můžete určit, které důvěryhodné certifikáty kořenové certifikační autority žadatelé použijí k určení, zda důvěřují vašim serverům, například serveru se spuštěným serverem NPS (Network Policy Server) nebo zřizovacím serverem. Pokud nejsou vybrány žádné důvěryhodné kořenové certifikační autority, klient 802.1X ověří, že certifikát počítače serveru RADIUS vydává nainstalovaná důvěryhodná kořenová certifikační autorita. Pokud je vybrán jeden nebo více důvěryhodných kořenových certifikačních autorit, klient 802.1X ověří, že certifikát počítače serveru RADIUS vydává vybraná důvěryhodná kořenová certifikační autorita.

    Pokud nejsou vybrány žádné důvěryhodné kořenové certifikační autority, klient ověří, zda byl certifikát serveru RADIUS vydán jakoukoli důvěryhodnou kořenovou certifikační autoritou.

    Pokud máte v síti infrastrukturu veřejných klíčů (PKI) a používáte certifikační autoritu k vystavování certifikátů serverům RADIUS, bude certifikát certifikační autority automaticky přidán do seznamu důvěryhodných kořenových certifikačních autorit. Certifikát certifikační autority můžete zakoupit také od jiného dodavatele než od společnosti Microsoft. Některé důvěryhodné kořenové certifikační autority, které nepatří společnosti Microsoft, poskytují k zakoupenému certifikátu software, který automaticky nainstaluje zakoupený certifikát do úložiště certifikátů důvěryhodných kořenových certifikačních autorit . V takovém případě se důvěryhodná kořenová certifikační autorita automaticky zobrazí v seznamu důvěryhodných kořenových certifikačních autorit.

    Nezadávejte certifikát důvěryhodné kořenové certifikační autority, který ještě není uvedený v úložištích certifikátů důvěryhodných kořenových certifikačních autorit klientských počítačů pro aktuálního uživatele a místní počítač. Pokud určíte certifikát, který není nainstalovaný na klientských počítačích, ověřování selže.

    V XML se jedná o kryptografický otisk (hash) certifikátu SHA-1 (nebo SHA-256 pro TEAP).

    Výzva uživatele ověření serveru

    Následující tabulka popisuje možnosti výzvy uživatele pro ověření serveru dostupné pro každou metodu protokolu EAP. Pokud je certifikát serveru nedůvěryhodný, tyto možnosti určují, jestli:

    • Připojení se okamžitě nezdaří.
    • Uživateli se zobrazí výzva k ručnímu přijetí nebo odmítnutí připojení.
    Setting element XML
    Nezobrazovat výzvu uživateli k autorizaci nových serverů nebo důvěryhodných certifikačních autorit ServerValidation>DisableUserPromptForServerValidation

    Zabrání tomu, aby byl uživatel vyzván k důvěřování certifikátu serveru, pokud je tento certifikát nesprávně nakonfigurován, není již důvěryhodný nebo obojí (pokud je povoleno). Chcete-li zjednodušit uživatelské prostředí a zabránit uživatelům v mylném důvěřování serveru nasazenému útočníkem, doporučujeme toto políčko zaškrtnout.

    Nastavení konfigurace mobilního ověřování

    V následujícím textu jsou uvedena nastavení konfigurace pro EAP-SIM, EPA-AKA a EPA-AKA'.

    EAP-SIM je definován v dokumentu RFC 4186. Modul SIM (EAP Subscriber Identity Module) se používá k ověřování a distribuci klíčů relací pomocí modulu SIM (Subscriber Identity Module) mobilní sítě 2. generace Global System for Mobile Communications (GSM).

    Nastavení EAP-SIM na mapě uživatelského rozhraní na EapSimConnectionPropertiesV1.

    Item element XML Description
    Použití silných šifrovacích klíčů UseStrongCipherKeys Určuje, že pokud je tato možnost vybraná, profil používá silné šifrování.
    Neprozrazovat serveru skutečnou identitu, pokud je k dispozici pseudonymní identita DontRevealPermanentID Pokud je tato možnost povolena, vynutí, aby klient neuspěl při ověřování, pokud server požaduje trvalou identitu, i když klient má u sebe pseudonymní identitu. Pseudonymní identity se používají pro ochranu osobních údajů, aby během ověřování nebyla odhalena skutečná nebo trvalá identita uživatele.
    ProviderName K dispozici pouze v XML, což je řetězec označující název poskytovatele, který je povolen pro ověřování.
    Povolení použití sfér Království=true Zde můžete zadat název sféry. Pokud toto pole ponecháte prázdné a je vybrána možnost Povolit použití sfér, sféra je odvozena od mezinárodní identity mobilního předplatitele (IMSI) pomocí 3gpp.org sféry, jak je popsáno ve standardu 3GPP (3rd Generation Partnership Project) 23.003 V6.8.0.
    Určení sféry Realm Zde můžete zadat název sféry. Pokud je povolena možnost Povolit použití sfér, použije se tento řetězec. Pokud je toto pole prázdné, použije se odvozený realm.

    WPA3-Enterprise 192bitový režim

    WPA3-Enterprise 192bitový režim je speciální režim pro WPA3-Enterprise, který vynucuje určité vysoké požadavky na zabezpečení bezdrátového připojení a poskytuje minimálně 192 bitů zabezpečení. Tyto požadavky jsou v souladu se sadou CNSA (Commercial National Security Algorithm) Suite, CNSSP 15, což je sada kryptografických algoritmů, která je schválena Národní bezpečnostní agenturou Spojených států amerických (NSA) k ochraně utajovaných a přísně tajných informací. 192bitový režim může být někdy označován jako "režim Suite B", což je odkaz na specifikaci kryptografie NSA Suite B, která byla v roce 2016 nahrazena CNSA.

    WPA3-Enterprise i WPA3-Enterprise 192bitový režim jsou k dispozici od Windows 10 verze 2004 (sestavení 19041) a Windows Server 2022. WPA3-Enterprise však byl ve Windows 11 vybrán jako samostatný ověřovací algoritmus. Ve formátu XML se toto určuje v elementu authEncryption .

    V následující tabulce jsou uvedeny algoritmy vyžadované sadou CNSA.

    Algorithm Description Parameters
    Standard pokročilého šifrování (AES) Symetrická bloková šifra používaná pro šifrování 256bitový klíč (AES-256)
    Výměna klíčů Diffie-Hellman eliptických křivek (ECDH) Asymetrický algoritmus používaný k vytvoření sdíleného tajného klíče (klíče) 384-bitová křivka prvočíselného modulu (P-384)
    Algoritmus digitálního podpisu eliptické křivky (ECDSA) Asymetrický algoritmus používaný pro digitální podpisy 384-bitová křivka prvočíselného modulu (P-384)
    Algoritmus zabezpečeného hashování (SHA) Kryptografická funkce hash SHA-384
    Diffie-Hellman (DH) výměna klíčů Asymetrický algoritmus používaný k vytvoření sdíleného tajného klíče (klíče) 3072bitový moduls
    Rivest-Shamir-Adleman (RSA) Asymetrický algoritmus používaný pro digitální podpisy nebo vytváření klíčů 3072bitový moduls

    Pro splnění požadavků CNSA WPA3-Enterprise 192bitového režimu vyžaduje použití EAP-TLS s těmito omezenými šifrovacími sadami:

    • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

      • ECDHE a ECDSA používající 384bitovou křivku prvočíselného modulu P-384

    • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 / TLS_DHE_RSA_AES_256_GCM_SHA384

      • ECDHE využívající 384bitovou křivku prvočíselného modulu P-384

      • RSA >= 3072bitový modul

    Note

    P-384 je také známý jako secp384r1 nebo nistp384. Jiné eliptické křivky, jako například P-521, nejsou povoleny.

    SHA-384 je v rodině hashovacích funkcí SHA-2. Jiné algoritmy a varianty, například SHA-512 nebo SHA3-384, nejsou povolené.

    Systém Windows podporuje pouze šifrovací TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 sady a TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 pro WPA3-Enterprise 192bitovém režimu. Šifrovací TLS_DHE_RSA_AES_256_GCM_SHA384 sada není podporována.

    Protokol TLS 1.3 používá nové zjednodušené sady TLS, z nichž jediné TLS_AES_256_GCM_SHA384 jsou kompatibilní s WPA3-Enterprise 192bitovým režimem. Protože TLS 1.3 vyžaduje (EC)DHE a povoluje certifikáty ECDSA nebo RSA spolu s hashem AES-256 AEAD a SHA384, TLS_AES_256_GCM_SHA384 je ekvivalentní TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 a TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384. RFC 8446 však vyžaduje, aby aplikace kompatibilní s protokolem TLS 1.3 podporovaly P-256, což je zakázáno cnsa. Proto WPA3-Enterprise 192bitový režim nemůže být plně kompatibilní s protokolem TLS 1.3. Nejsou však známy žádné problémy se interoperabilitou protokolů TLS 1.3 a WPA3-Enterprise 192bitovém režimu.

    Chcete-li nakonfigurovat síť pro WPA3-Enterprise 192bitový režim, EAP-TLS systém Windows vyžaduje, aby byla používána s certifikátem, který splňuje výše popsané požadavky.

    Viz také

    • Last updated on