Sdílet prostřednictvím

Protokol EAP (Extensible Authentication Protocol) pro přístup k síti

Protokol EAP (Extensible Authentication Protocol) je ověřovací rámec, který umožňuje použití různých metod ověřování pro technologie zabezpečeného přístupu k síti. Mezi příklady těchto technologií patří bezdrátový přístup pomocí IEEE 802.1X, kabelový přístup pomocí IEEE 802.1X a připojení PPP (Point-to-Point Protocol), jako je virtuální privátní síť (VPN). Protokol EAP není konkrétní metoda ověřování jako MS-CHAP v2, ale spíše rámec, který umožňuje dodavatelům sítí vyvíjet a instalovat nové metody ověřování, známé jako metody EAP, na přístupovém klientovi a ověřovacím serveru. Rámec EAP je původně definován v RFC 3748 a rozšířen různými dalšími RFC a standardy.

Metody ověřování

Metody ověřování EAP, které se používají v rámci tunelových metod EAP, se běžně označují jako vnitřní metody nebo typy EAP. Metody, které jsou nastaveny jako vnitřní metody , mají stejné nastavení konfigurace, jako kdyby byly použity jako vnější metoda. Tento článek obsahuje informace o konfiguraci specifické pro následující metody ověřování v protokolu EAP.

Zabezpečení vrstvyEAP-Transport (EAP-TLS): Metoda EAP založená na standardech , která používá protokol TLS s certifikáty pro vzájemné ověřování. Zobrazí se jako čipová karta nebo jiný certifikát (EAP-TLS) v systému Windows. EAP-TLS lze nasadit jako vnitřní metodu pro jinou metodu EAP nebo jako samostatnou metodu EAP.

Návod

Metody EAP, které používají protokol EAP-TLS, jsou založeny na certifikátech a obecně nabízejí nejvyšší úroveň zabezpečení. Například EAP-TLS je jedinou povolenou metodou EAP pro WPA3-Enterprise 192bitový režim.

EAP-Microsoft Challenge Handshake Authentication Protocol verze 2 (EAP-MSCHAP v2): Metoda EAP definovaná společností Microsoft , která zapouzdřuje ověřovací protokol MSCHAP v2, který k ověřování používá uživatelské jméno a heslo. Zobrazuje se jako Zabezpečené heslo (EAP-MSCHAP v2) v systému Windows. EAP-MSCHAPv2 lze použít jako samostatnou metodu pro VPN, ale pouze jako vnitřní metodu pro kabelové/bezdrátové.

Výstraha

Připojení založená na protokolu MSCHAPv2 jsou vystavena podobným útokům jako připojení NTLMv1. Windows 11 Enterprise, verze 22H2 (build 22621) povoluje ochranu Windows Defender Credential Guard , která může způsobovat problémy s připojeními založenými na MSCHAPv2.

Protected EAP (PEAP): Metoda EAPdefinovaná společností Microsoft , která zapouzdřuje protokol EAP do tunelu TLS. Tunel TLS zabezpečuje vnitřní metodu EAP, která by jinak mohla být nechráněná. Systém Windows podporuje EAP-TLS a EAP-MSCHAP v2 jako vnitřní metody.

EAP-Tunneled Transport Layer Security (EAP-TTLS): Popsáno v RFC 5281, zapouzdřuje relaci TLS, která provádí vzájemné ověřování pomocí jiného vnitřního mechanismu ověřování. Tato vnitřní metoda může být buď protokol EAP, například EAP-MSCHAP v2, nebo protokol bez protokolu EAP, například protokol PAP (Password Authentication Protocol). V systému Windows Server 2012 poskytuje zahrnutí EAP-TTLS podporu pouze na straně klienta (v systému Windows 8). NPS v současné době nepodporuje EAP-TTLS. Podpora klientů umožňuje spolupráci s běžně nasazovanými RADIUS servery, které podporují protokol EAP-TTLS.

EAP-Subscriber Identity Module (EAP-SIM), EAP-Authentication a klíčová smlouva (EAP-AKA) a EAP-AKA Prime (EAP-AKA'): Je popsán v různých dokumentech RFC, umožňuje autentizaci pomocí SIM karet a je implementován, když si zákazník zakoupí plán bezdrátových širokopásmových služeb od operátora mobilní sítě. V rámci plánu zákazník běžně obdrží profil bezdrátové sítě, který je předem nakonfigurován pro ověřování pomocí SIM karty.

Tunel EAP (TEAP): Popsán v RFC 7170, tunelová metoda EAP, která vytváří zabezpečený tunel TLS a spouští další metody EAP uvnitř tohoto tunelu. Podporuje řetězení EAP - ověření stroje a uživatele v rámci jedné ověřovací relace. V systému Windows Server 2022 poskytuje zahrnutí TEAP podporu pouze pro stranu klienta - Windows 10, verze 2004 (sestavení 19041). Server NPS v současné době nepodporuje protokol TEAP. Podpora klientů umožňuje spolupráci s běžně nasazovanými RADIUS servery, které podporují TEAP. Systém Windows podporuje EAP-TLS a EAP-MSCHAP v2 jako vnitřní metody.

V následující tabulce jsou uvedeny některé běžné metody protokolu EAP a čísla typů metod přiřazených organizací IANA.

Metoda EAP IANA přiřazeno Typové číslo Nativní podpora systému Windows
MD5-Challenge (EAP-MD5) 4
One-Time heslo (EAP-OTP) 5
Generická tokenová karta (EAP-GTC) 6
EAP-TLS 13
EAP-SIM 18
EAP-TTLS 21
EAP-AKA dvacet tři
Protokol PEAP 25
EAP-MSCHAP v2 26
Chráněné heslo One-Time (EAP-POTP) 32
EAP-FAST 43
Předsdílený klíč (EAP-PSK) 47
EAP-IKEv2 49
EAP-AKA' 50
EAP-EKE 53
TEAP 55
EAP-NOOB 56

Konfigurace vlastností protokolu EAP

K vlastnostem protokolu EAP pro drátový a bezdrátový přístup ověřený protokolem 802.1X můžete přistupovat následujícími způsoby:

  • Konfigurace rozšíření zásad drátové sítě (IEEE 802.3) a zásad bezdrátové sítě (IEEE 802.11) v zásadách skupiny.
    • Konfigurace> počítačePolitiky>Nastavení> systému WindowsNastavení zabezpečení
  • Použití softwaru pro správu mobilních zařízení (MDM), jako je Intune (Wi-Fi/Wired)
  • Ruční konfigurace kabelového nebo bezdrátového připojení v klientských počítačích.

K vlastnostem protokolu EAP pro připojení virtuální privátní sítě (VPN) můžete přistupovat následujícími způsoby:

Další informace o konfiguraci vlastností protokolu EAP naleznete v tématu Konfigurace profilů a nastavení protokolu EAP v systému Windows.

Profily XML pro protokol EAP

Profily používané pro různé typy připojení jsou soubory XML, které obsahují konfigurační možnosti pro dané připojení. Každý jiný typ připojení se řídí specifickým schématem:

Pokud je však nakonfigurováno pro použití protokolu EAP, má každé schéma profilu podřízený element EapHostConfig .

  • Kabelové/bezdrátové: EapHostConfig je podřízený prvek elementu EAPConfig . MSM > zabezpečení (Wired/Wireless) >OneX> EAPConfig
  • VPN: EapHostConfig je podřízený prvek konfigurace NativeProfile > Authentication > EAP >

Tato syntaxe konfigurace je definována v zásadách skupiny: Specifikace rozšíření bezdrátových/drátových protokolů .

Poznámka:

Různá konfigurační GUI ne vždy zobrazují všechny technicky možné možnosti. Například Windows Server 2019 a starší verze nemohou nakonfigurovat TEAP v uživatelském rozhraní. Často je ale možné importovat existující profil XML, který byl dříve nakonfigurován.

Zbývající část článku je určena k poskytnutí mapování mezi částmi uživatelského rozhraní Zásady skupiny/Ovládacích panelů specifickými pro protokol EAP a možnostmi konfigurace XML a také k popisu nastavení.

Další informace o konfiguraci profilů XML naleznete v části Profily XML. Příklad použití profilu XML obsahujícího nastavení protokolu EAP naleznete v části Zřízení profilu Wi-Fi prostřednictvím webu.

Nastavení zabezpečení

V následující tabulce jsou vysvětlena konfigurovatelná nastavení zabezpečení pro profil, který používá standard 802.1X. Tato nastavení jsou mapována na OneX.

Nastavení XML prvek Popis
Vyberte metodu ověření v síti: EAPConfig Umožňuje vybrat metodu EAP, která se má použít k ověření. Viz Nastavení konfigurace metody ověřování a Nastavení konfigurace mobilního ověřování
Vlastnosti Otevře dialogové okno vlastností pro vybranou metodu EAP.
Režim ověřování Režim authMode Určuje typ přihlašovacích údajů používaných k ověřování. Podporovány jsou následující hodnoty:

1. Ověření uživatele nebo počítače
2. Ověřování počítače
3. Ověření uživatele
4. Autentizace hosta

"Počítač" v tomto kontextu znamená v jiných odkazech "Stroj". machineOrUser je výchozí nastavení v systému Windows.
Maximální počet chyb ověření maxAuthFailures Určuje maximální počet selhání ověření povolených pro sadu pověření, výchozí hodnota je 1.
Ukládat informace o uživatelích do mezipaměti pro následná připojení k této síti cacheUserData Určuje, zda mají být pověření uživatele ukládána do mezipaměti pro následná připojení ke stejné síti, výchozí hodnota je true.

Pokročilá nastavení > zabezpečení IEEE 802.1X

Pokud je zaškrtnuto políčko Vynutit rozšířené nastavení 802.1X , budou nakonfigurována všechna následující nastavení. Pokud tato možnost není zaškrtnutá, platí výchozí nastavení. V XML jsou všechny elementy volitelné, pokud nejsou k dispozici, použijí se výchozí hodnoty.

Nastavení XML prvek Popis
Max Eapol-Start zpráv maxStart Určuje maximální počet EAPOL-Start zpráv, které mohou být odeslány ověřovateli (serveru RADIUS), než žadatel (klient Windows) předpokládá, že není přítomen žádný ověřovatel, výchozí je .3
Počáteční perioda (sekundy) startPeriod Určuje dobu čekání (v sekundách) před odesláním zprávy EAPOL-Start pro zahájení procesu ověřování 802.1X, výchozí hodnota je 5.
Doba podržení (v sekundách) heldPeriod Určuje dobu čekání (v sekundách) po neúspěšném pokusu o ověření pro opakovaný pokus o ověření, výchozí hodnota je 1.
Doba ověření (sekundy) authPeriod Určuje dobu (v sekundách) pro čekání na odpověď od ověřovatele (serveru RADIUS), než se předpokládá, že není přítomen žádný ověřovatel, výchozí hodnota je 18.
Eapol-Start zpráva supplicantMode Určuje metodu přenosu použitou pro EAPOL-Start zprávy. Podporovány jsou následující hodnoty:

1. Nevysílejte (inhibitTransmission)
2. Odeslat (includeLearning)
3. Přenos podle standardu IEEE 802.1X (compliant)

"Počítač" v tomto kontextu znamená v jiných odkazech "Stroj". compliant je výchozí v systému Windows a je jedinou platnou možností pro bezdrátové profily.

Pokročilá nastavení > zabezpečení Jednotné přihlašování

Následující tabulka vysvětluje nastavení jednotného přihlašování (SSO), dříve označovaného jako Pre-Logon Access Provider (PLAP).

Nastavení XML prvek Popis
Povolit jednotné přihlašování pro tuto síť singleSignOn Určuje, zda je pro tuto síť povoleno jednotné přihlašování, výchozí hodnota je false. Nepoužívejte singleSignOn v profilu, pokud to síť nevyžaduje.
Proveďte bezprostředně před uživatelem

Proveďte ihned po uživateli		 typ Určuje, kdy má být provedeno jednotné přihlašování – buď před, nebo po přihlášení uživatele.
Maximální zpoždění připojení (v sekundách) maxZpoždění Určuje maximální prodlevu (v sekundách) před selháním pokusu o jednotné přihlašování, výchozí hodnota je 10.
Povolit zobrazení dalších dialogových oken během jednotného přihlašování allowAdditionalDialogs Zadané, zda se má povolit zobrazení dialogových oken protokolu EAP během jednotného přihlašování, výchozí hodnota je false.
Tato síť používá různé VLAN pro ověřování pomocí přihlašovacích údajů počítače a uživatele VirtualLan založená na uživateli Určuje, zda se virtuální síť LAN (VLAN) používaná zařízením mění na základě přihlašovacích údajů uživatele, výchozí je .false

Nastavení konfigurace metody ověřování

Upozornění

Pokud je server pro přístup k síti nakonfigurován tak, aby umožňoval stejný typ metody ověřování pro metodu tunelového propojení EAP (např. PEAP) a metodu netunelového ověřování EAP (např. EAP-MSCHAP v2), existuje potenciální chyba zabezpečení. Pokud nasadíte metodu EAP s tunelovým propojením i protokol EAP (který není chráněný), nepoužívejte stejný typ ověřování. Pokud například nasadíte protokol PEAP-TLS, nenasadíte také protokol EAP-TLS. Je to proto, že pokud požadujete ochranu tunelu, nemá smysl umožňovat spuštění metody i mimo tunel.

Následující tabulka vysvětluje konfigurovatelná nastavení pro každou metodu ověřování.

Nastavení EAP-TLS v uživatelském rozhraní se mapuje na EapTlsConnectionPropertiesV1, které je rozšířeno o EapTlsConnectionPropertiesV2 a EapTlsConnectionPropertiesV3.

Nastavení XML prvek Popis
Použít moji čipovou kartu Zdroj> přihlašovacích údajůKarta SmartCard Určuje, že klienti podávající požadavky na ověření musí předložit certifikát čipové karty pro ověření v síti.
Použití certifikátu v tomto počítači Zdroj> přihlašovacích údajůÚložiště certifikátů Určuje, že ověřující klienti musí používat certifikát umístěný v úložišti certifikátů Aktuální uživatel nebo Místní počítač.
Použití jednoduchého výběru certifikátu (doporučeno) Výběr jednoduchého certifikátu Určuje, zda systém Windows automaticky vybere certifikát pro ověření bez zásahu uživatele (pokud je to možné), nebo zda systém Windows zobrazí rozevírací seznam pro uživatele pro výběr certifikátu.
Rozšířené Otevře dialogové okno Konfigurovat výběr certifikátu .
Možnosti ověření serveru
Pro připojení použijte jiné uživatelské jméno Jiné uživatelské jméno Určuje, zda se má pro ověřování použít uživatelské jméno, které se liší od uživatelského jména v certifikátu.

V následující části jsou uvedena nastavení konfigurace pro konfiguraci výběru certifikátu. Tato nastavení definují kritéria, která klient používá k výběru vhodného certifikátu pro autentizaci. Toto uživatelské rozhraní se mapuje na TLSExtensions>FilteringInfo.

Nastavení XML prvek Popis
Vydavatel certifikátu Seznam CAHashEnabled="true" Určuje, zda je povoleno filtrování vydavatele certifikátu.

Pokud je povolen vystavitel certifikátu i rozšířené použití klíče (EKU), jsou pro ověření klienta na serveru považovány za platné pouze ty certifikáty, které splňují obě podmínky.
Kořenové certifikační autority IssuerHash (hodnota IssuerHash) Uvádí názvy všech vydavatelů, jejichž certifikáty odpovídajících certifikačních autorit (CA) jsou obsaženy v úložišti certifikátů důvěryhodných kořenových certifikačních autorit nebo zprostředkujících certifikačních autorit účtu místního počítače. Sem patří:

1. Všechny kořenové certifikační autority a zprostředkující certifikační autority.
2. Obsahuje pouze ty vydavatele, pro které existují odpovídající platné certifikáty, které jsou k dispozici v počítači (například certifikáty, jejichž platnost nevypršela nebo nebyly odvolány).
3. Konečný seznam certifikátů, které jsou povoleny k ověření, obsahuje pouze ty certifikáty, které byly vydány některým z vydavatelů vybraných v tomto seznamu.

V XML se jedná o kryptografický otisk (hash) certifikátu SHA-1.
Rozšířené použití klíče (EKU) Umožňuje vybrat možnosti All Purpose, Client Authentication, AnyPurpose nebo libovolnou kombinaci těchto možností. Určuje, že když je vybrána kombinace, všechny certifikáty splňující alespoň jednu ze tří podmínek jsou považovány za platné certifikáty pro ověření klienta na serveru. Pokud je povoleno filtrování rozšířených klíčů, musí být vybrána jedna z možností, jinak políčko Rozšířené použití klíče (EKU) nebude zaškrtnuto.
Univerzální AllPurposeEnabled Pokud je tato možnost vybraná, tato položka určuje, že certifikáty s rozšířeným použitím klíče pro všechny účely jsou považovány za platné certifikáty pro ověření klienta na serveru. Identifikátor objektu (OID) pro všechny účely je 0 nebo prázdný.
Ověření klienta ClientAuthEKUListEnabled="true"> (EKUMapInList > EKUName) Určuje, že certifikáty s rozšířeným použitím klíče pro ověření klienta a zadaný seznam rozšířených použití klíče jsou považovány za platné certifikáty pro ověření klienta na serveru. Identifikátor objektu (OID) pro ověření klienta je 1.3.6.1.5.5.7.3.2.
JakýkoliÚčel AnyPurposeEKUListEnabled="true"> (EKUMapInList > EKUName) Určuje, že všechny certifikáty s rozšířeným použitím klíče AnyPurpose a zadaný seznam rozšířených použití klíče jsou považovány za platné certifikáty pro ověření klienta na serveru. Identifikátor objektu (OID) pro AnyPurpose je 1.3.6.1.4.1.311.10.12.1.
Přidat EKUMapping > EKUMap > EKUName/EKUOID Otevře dialogové okno Vybrat rozšířené použití kontejneru , které umožňuje přidat standardní, vlastní nebo rozšířené použití použití klíče specifického pro dodavatele do seznamu Ověření klienta nebo AnyPurpose .

Výběrem možnosti Přidat nebo Upravit v dialogovém okně Vybrat rozšířené použití otevřete dialogové okno Přidat/upravit rozšířené použití ok , které nabízí dvě možnosti:
1. Zadejte název rozšířeného použití produktu – Poskytuje místo pro zadání názvu vlastního rozšířeného použití produktu.
2. Zadejte identifikátor OID EKU – poskytuje místo pro zadání identifikátoru OID pro rozšířené použití aktivace. Povoleny jsou pouze číselné číslice, oddělovače a . . Zástupné znaky jsou povoleny, v takovém případě jsou povoleny všechny podřízené identifikátory OID v hierarchii.

Například zadáním 1.3.6.1.4.1.311.* povolíte a 1.3.6.1.4.1.311.421.3.6.1.4.1.311.42.2.1.
Upravit Umožňuje upravit vlastní EKU, které jste přidali. Výchozí, předdefinované EKU nelze upravovat.
Odstranit Odebere vybrané rozšířené použití klíče ze seznamu Ověření klienta nebo AnyPurpose .

Ověření serveru

Mnoho metod protokolu EAP obsahuje možnost pro klienta ověřit certifikát serveru. Pokud certifikát serveru není ověřen, klient si nemůže být jistý, že komunikuje se správným serverem. To vystavuje klienta bezpečnostním rizikům, včetně možnosti, že se klient může nevědomky připojit k podvodné síti.

Poznámka:

Systém Windows vyžaduje, aby certifikát serveru měl rozšířené použití klíče pro ověření serveru . Identifikátor objektu (OID) pro toto rozšířené použití klíče je 1.3.6.1.5.5.7.3.1.

V následující tabulce jsou uvedeny možnosti ověření serveru, které lze použít pro jednotlivé metody protokolu EAP. Windows 11 aktualizoval logiku ověřování serveru, aby byla konzistentnější (viz Aktualizované chování ověřování certifikátů serveru ve Windows 11). Pokud dojde ke konfliktu, popisy v následující tabulce popisují chování v systému Windows 10 a starších verzích.

Nastavení XML prvek Popis
Ověřte identitu serveru ověřením certifikátu EAP-TLS:
Ověření serveru Perform

PEAP:
Ověření serveru Perform		 Tato položka určuje, že klient ověří, zda certifikáty serveru předložené klientskému počítači mají správné podpisy, nevypršela jejich platnost a byly vydány důvěryhodnou kořenovou certifikační autoritou (CA).

Zrušení zaškrtnutí tohoto políčka způsobí, že klientské počítače nebudou moci během procesu ověřování ověřit identitu vašich serverů. Pokud nedojde k ověření serveru, jsou uživatelé vystaveni vážným bezpečnostním rizikům, včetně možnosti, že se uživatelé mohou nevědomky připojit k podvodné síti.
Připojte se k těmto serverům EAP-TLS:
Ověření> serveruNázvy serverů

PEAP:
Ověření> serveruNázvy serverů

EAP-TTLS:
Ověření serveru>
Názvy serverů

TEAP:
Ověření serveru>
Názvy serverů
 Umožňuje zadat název serverů RADIUS (Remote Authentication Dial-In User Service), které zajišťují ověřování a autorizaci v síti.

Název je nutné zadat přesně tak, jak je uveden v poli předmětu každého certifikátu serveru RADIUS, nebo použít regulární výrazy (regulární výraz) k určení názvu serveru.

Úplnou syntaxi regulárního výrazu lze použít k určení názvu serveru, ale k odlišení regulárního výrazu pomocí řetězce literálu je nutné použít alespoň jeden * v zadaném řetězci. Můžete například určit nps.*\.example\.com , že se má určit server nps1.example.com RADIUS nebo nps2.example.com.

Můžete také zahrnout a ; pro oddělení více serverů.

Pokud nejsou zadány žádné servery RADIUS, klient pouze ověří, zda byl certifikát serveru RADIUS vydán důvěryhodnou kořenovou certifikační autoritou.
Důvěryhodné kořenové certifikační autority EAP-TLS:
Ověření> serveruDůvěryhodná_certifikační autorita

PEAP:
Ověření> serveruDůvěryhodná_certifikační autorita

EAP-TTLS:
Ověření serveru>
TrustedRootCAHashes

TEAP:
Ověření serveru>
TrustedRootCAHashes		 Zobrazí seznam důvěryhodných kořenových certifikačních autorit. Seznam je sestaven z důvěryhodných kořenových certifikačních autorit, které jsou nainstalovány v počítači a v úložištích uživatelských certifikátů. Můžete určit, které důvěryhodné certifikáty kořenové certifikační autority žadatelé použijí k určení, zda důvěřují vašim serverům, například serveru se spuštěným serverem NPS (Network Policy Server) nebo zřizovacím serverem. Pokud nejsou vybrány žádné důvěryhodné kořenové certifikační autority, klient 802.1X ověří, zda byl certifikát počítače serveru RADIUS vydán nainstalovanou důvěryhodnou kořenovou certifikační autoritou. Pokud je vybrána jedna nebo více důvěryhodných kořenových certifikačních autorit, klient 802.1X ověří, zda byl certifikát počítače serveru RADIUS vydán vybranou důvěryhodnou kořenovou certifikační autoritou.

Pokud nejsou vybrány žádné důvěryhodné kořenové certifikační autority, klient ověří, zda byl certifikát serveru RADIUS vydán jakoukoli důvěryhodnou kořenovou certifikační autoritou.

Pokud máte v síti infrastrukturu veřejných klíčů (PKI) a používáte certifikační autoritu k vystavování certifikátů serverům RADIUS, bude certifikát certifikační autority automaticky přidán do seznamu důvěryhodných kořenových certifikačních autorit. Certifikát certifikační autority můžete zakoupit také od jiného dodavatele než od společnosti Microsoft. Některé důvěryhodné kořenové certifikační autority, které nepatří společnosti Microsoft, poskytují k zakoupenému certifikátu software, který automaticky nainstaluje zakoupený certifikát do úložiště certifikátů důvěryhodných kořenových certifikačních autorit . V takovém případě se důvěryhodná kořenová certifikační autorita automaticky zobrazí v seznamu důvěryhodných kořenových certifikačních autorit.

Nezadávejte certifikát důvěryhodné kořenové certifikační autority, který ještě není uvedený v úložištích certifikátů důvěryhodných kořenových certifikačních autorit klientských počítačů pro aktuálního uživatele a místní počítač. Pokud určíte certifikát, který není nainstalovaný v klientských počítačích, ověření se nezdaří.

V XML se jedná o kryptografický otisk (hash) certifikátu SHA-1 (nebo SHA-256 pro TEAP).

Výzva uživatele ověření serveru

V následující tabulce jsou uvedeny možnosti výzvy uživatele ověření serveru, které se vztahují na každou metodu protokolu EAP. V případě nedůvěryhodného certifikátu serveru by tyto možnosti byly použity k následujícím účelům:

  • okamžitě selže spojení, nebo
  • Umožněte uživateli ručně přijmout nebo odmítnout připojení.
Nastavení XML prvek
Nezobrazovat výzvu uživateli k autorizaci nových serverů nebo důvěryhodných certifikačních autorit Ověření> serveruDisableUserPromptForServerValidation

Zabrání tomu, aby byl uživatel vyzván k důvěřování certifikátu serveru, pokud je tento certifikát nesprávně nakonfigurován, není již důvěryhodný nebo obojí (pokud je povoleno). Chcete-li zjednodušit uživatelské prostředí a zabránit uživatelům v mylném důvěřování serveru nasazenému útočníkem, doporučujeme toto políčko zaškrtnout.

Nastavení konfigurace mobilního ověřování

V následujícím textu jsou uvedena nastavení konfigurace pro EAP-SIM, EPA-AKA a EPA-AKA'.

EAP-SIM je definován v RFC 4186. Modul SIM (EAP Subscriber Identity Module) se používá k ověřování a distribuci klíčů relací pomocí modulu SIM (Subscriber Identity Module) mobilní sítě 2. generace Global System for Mobile Communications (GSM).

Nastavení EAP-SIM v uživatelském rozhraní se mapuje na EapSimConnectionPropertiesV1.

Položka XML prvek Popis
Použití silných šifrovacích klíčů UseStrongCipherKeys Určuje, že pokud je tato možnost vybraná, profil používá silné šifrování.
Neprozrazovat serveru skutečnou identitu, pokud je k dispozici pseudonymní identita NeprozraditTrvalé ID Pokud je tato možnost povolena, vynutí, aby klient neuspěl při ověřování, pokud server požaduje trvalou identitu, i když klient má u sebe pseudonymní identitu. Pseudonymní identity se používají pro ochranu osobních údajů, aby během ověřování nebyla odhalena skutečná nebo trvalá identita uživatele.
Název poskytovatele K dispozici pouze v XML, což je řetězec označující název poskytovatele, který je povolen pro ověřování.
Povolení použití sfér Království=true Zde můžete zadat název sféry. Pokud toto pole ponecháte prázdné a je vybrána možnost Povolit použití sfér, sféra je odvozena od mezinárodní identity mobilního předplatitele (IMSI) pomocí 3gpp.org sféry, jak je popsáno ve standardu 3GPP (3rd Generation Partnership Project) 23.003 V6.8.0.
Určení sféry Království Zde můžete zadat název sféry. Pokud je povolena možnost Povolit použití sfér, použije se tento řetězec. Pokud je toto pole prázdné, použije se odvozený realm.

WPA3-Enterprise 192bitový režim

WPA3-Enterprise 192bitový režim je speciální režim pro WPA3-Enterprise, který vynucuje určité vysoké požadavky na zabezpečení bezdrátového připojení a poskytuje minimálně 192 bitů zabezpečení. Tyto požadavky jsou v souladu se sadou CNSA (Commercial National Security Algorithm) Suite, CNSSP 15, což je sada kryptografických algoritmů, která je schválena Národní bezpečnostní agenturou Spojených států amerických (NSA) k ochraně utajovaných a přísně tajných informací. 192bitový režim může být někdy označován jako "režim Suite B", což je odkaz na specifikaci kryptografie NSA Suite B, která byla v roce 2016 nahrazena CNSA.

WPA3-Enterprise i WPA3-Enterprise 192bitový režim jsou k dispozici od Windows 10 verze 2004 (sestavení 19041) a Windows Server 2022. WPA3-Enterprise však byl ve Windows 11 vybrán jako samostatný ověřovací algoritmus. V XML je to specifikováno v elementu authEncryption .

V následující tabulce jsou uvedeny algoritmy vyžadované sadou CNSA.

Algoritmus Popis Parametry
Standard pokročilého šifrování (AES) Symetrická bloková šifra používaná pro šifrování 256bitový klíč (AES-256)
Výměna klíčů Diffie-Hellman eliptických křivek (ECDH) Asymetrický algoritmus používaný k vytvoření sdíleného tajného klíče (klíče) 384-bitová křivka prvočíselného modulu (P-384)
Algoritmus digitálního podpisu eliptické křivky (ECDSA) Asymetrický algoritmus používaný pro digitální podpisy 384-bitová křivka prvočíselného modulu (P-384)
Algoritmus zabezpečeného hashování (SHA) Kryptografická funkce hash SHA-384
Diffie-Hellman (DH) výměna klíčů Asymetrický algoritmus používaný k vytvoření sdíleného tajného klíče (klíče) 3072bitový modul
Rivest-Shamir-Adleman (RSA) Asymetrický algoritmus používaný pro digitální podpisy nebo vytváření klíčů 3072bitový modul

V souladu s CNSA vyžaduje 192bitový režim, WPA3-Enterprise používá EAP-TLS s následujícími šifrovacími sadami s omezeními:

  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
    • ECDHE a ECDSA používající 384bitovou křivku prvočíselného modulu P-384
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 / TLS_DHE_RSA_AES_256_GCM_SHA384
    • ECDHE využívající 384bitovou křivku prvočíselného modulu P-384
    • RSA >= 3072bitový modul

Poznámka:

P-384 je také známý jako secp384r1 nebo nistp384. Jiné eliptické křivky, například P-521, nejsou povoleny.

SHA-384 je v rodině hashovacích funkcí SHA-2. Jiné algoritmy a varianty, například SHA-512 nebo SHA3-384, nejsou povoleny.

Systém Windows podporuje pouze šifrovací TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 sady a TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 pro WPA3-Enterprise 192bitovém režimu. Šifrovací TLS_DHE_RSA_AES_256_GCM_SHA384 sada není podporována.

Protokol TLS 1.3 používá nové zjednodušené sady TLS, z nichž jediné TLS_AES_256_GCM_SHA384 jsou kompatibilní s WPA3-Enterprise 192bitovým režimem. Protože TLS 1.3 vyžaduje (EC)DHE a povoluje certifikáty ECDSA nebo RSA spolu s hashem AES-256 AEAD a SHA384, TLS_AES_256_GCM_SHA384 je ekvivalentní TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 a TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384. RFC 8446 ale vyžaduje, aby aplikace kompatibilní s protokolem TLS 1.3 podporovaly P-256, což je CNSA zakázáno. Proto WPA3-Enterprise 192bitový režim nemůže být plně kompatibilní s protokolem TLS 1.3. Nejsou však známy žádné problémy se interoperabilitou protokolů TLS 1.3 a WPA3-Enterprise 192bitovém režimu.

Chcete-li nakonfigurovat síť pro WPA3-Enterprise 192bitový režim, EAP-TLS systém Windows vyžaduje, aby byla používána s certifikátem, který splňuje výše popsané požadavky.

Dodatečné zdroje