Extensible Authentication Protocol (EAP) für den Netzwerkzugriff

Das Extensible Authentication Protocol (EAP) ist ein Authentifizierungsframework, das die Verwendung verschiedener Authentifizierungsmethoden für sichere Netzwerkzugriffstechnologien ermöglicht. Beispiele für diese Technologien sind drahtloser Zugriff mit IEEE 802.1X, kabelgebundener Zugriff mit IEEE 802.1X und PPP-Verbindungen (Point-to-Point Protocol) wie Virtual Private Networking (VPN). EAP ist keine bestimmte Authentifizierungsmethode wie MS-CHAP v2, sondern ein Framework, mit dem Netzwerkanbieter neue Authentifizierungsmethoden, sogenannte EAP-Methoden, auf dem Zugriffsclient und Authentifizierungsserver entwickeln und installieren können. Das EAP-Framework wird ursprünglich von RFC 3748 definiert und durch verschiedene andere RFCs und Standards erweitert.

Authentifizierungsmethoden

EAP-Authentifizierungsmethoden, die in tunnelierten EAP-Methoden verwendet werden, werden häufig als innere Methoden oder EAP-Typen bezeichnet. Methoden, die als innere Methoden eingerichtet sind, weisen dieselben Konfigurationseinstellungen auf wie bei verwendung als äußere Methode. Dieser Artikel enthält spezifische Konfigurationsinformationen für die folgenden Authentifizierungsmethoden in EAP:

EAP-Transport Layer Security (EAP-TLS): Standardbasierte EAP-Methode, die TLS mit Zertifikaten für die gegenseitige Authentifizierung verwendet. Wird in Windows als Smartcard oder anderes Zertifikat (EAP-TLS) angezeigt. EAP-TLS kann als innere Methode für eine andere EAP-Methode oder als eigenständige EAP-Methode bereitgestellt werden.

Tip

EAP-Methoden, die EAP-TLS nutzen und zertifikatbasiert sind, bieten in der Regel das höchste Maß an Sicherheit. Beispielsweise ist EAP-TLS die einzige zulässige EAP-Methode für den WPA3-Enterprise-Modus (192 Bit).

EAP-MS-CHAP v2 (EAP-Microsoft Challenge Handshake Authentication-Protokoll, Version 2): Von Microsoft definierte EAP-Methode, die das MSCHAP v2-Authentifizierungsprotokoll kapselt und einen Benutzernamen und ein Kennwort für die Authentifizierung verwendet. Wird unter Windows als Sicheres Kennwort (EAP-MSCHAP v2) angezeigt. EAP-MSCHAPv2 kann als eigenständige Methode für VPN verwendet werden, aber nur als innere Methode für kabelgebundene/drahtlose Verbindungen.

Warning

Auf MSCHAPv2 basierende Verbindungen sind ähnlichen Angriffen ausgesetzt wie bei NTLMv1. In Windows 11 Enterprise, Version 22H2 (Build 22621) ist Windows Defender Credential Guard aktiviert, was zu Problemen mit MSCHAPv2-basierten Verbindungen führen kann.

Geschütztes EAP (PEAP): Von Microsoft definierte EAP-Methode, die EAP in einem TLS-Tunnel kapselt. Der TLS-Tunnel schützt die interne EAP-Methode, die andernfalls ungeschützt wäre. Windows unterstützt EAP-TLS und EAP-MSCHAP v2 als interne Methoden.

EAP-TTLS (EAP-Tunneled Transport Layer Security): Ist in RFC 5281 beschrieben und kapselt eine TLS-Sitzung, die die gegenseitige Authentifizierung mithilfe eines internen Authentifizierungsmechanismus ausführt. Diese interne Methode kann entweder ein EAP-Protokoll (z. B. EAP-MSCHAP v2) oder ein Nicht-EAP-Protokoll (z. B. PAP (Password Authentication Protocol)) sein. In Windows Server 2012 bietet die Aufnahme von EAP-TTLS nur clientseitig Unterstützung (unter Windows 8). NPS unterstützt EAP-TTLS derzeit nicht. Die Clientunterstützung ermöglicht die Zusammenarbeit mit häufig bereitgestellten RADIUS-Servern, die EAP-TTLS unterstützen.

EAP-SIM (Subscriber Identity Module), EAP-AKA (Authentication and Key Agreement) und EAP-AKA' (EAP-AKA Prime): Ist in verschiedenen RFCs beschrieben, ermöglicht die Authentifizierung mithilfe von SIM-Karten und wird implementiert, wenn ein Kunde bzw. eine Kundin einen Breitbandtarif bei einem Netzwerkbetreiber erwirbt. Im Allgemeinen erhält der Kunde damit ein Funknetzwerkprofil, das für die SIM-Authentifizierung vorkonfiguriert ist.

Tunnel-EAP (TEAP): Wird in RFC 7170 beschrieben. EAP-Tunnelmethode, die einen sicheren TLS-Tunnel erstellt und andere EAP-Methoden innerhalb dieses Tunnels ausführt. Unterstützt EAP-Verkettung: Authentifizieren des Computers und des Benutzers innerhalb einer Authentifizierungssitzung. In Windows Server 2022 bietet die Aufnahme von TEAP nur clientseitig Unterstützung (Windows 10, Version 2004 (Build 19041)). NPS unterstützt TEAP derzeit nicht. Die Clientunterstützung ermöglicht die Zusammenarbeit mit häufig bereitgestellten RADIUS-Servern, die TEAP unterstützen. Windows unterstützt EAP-TLS und EAP-MSCHAP v2 als interne Methoden.

In der folgenden Tabelle sind einige gängige EAP-Methoden und deren von IANA zugewiesene Type-Nummer aufgeführt.

EAP-Methode	IANA zugewiesene Typnummer	Native Windows-Unterstützung
MD5-Challenge (EAP-MD5)	4	❌
Einmalkennwort (EAP-OTP)	5	❌
Generische Tokenkarte (EAP-GTC)	6	❌
EAP-TLS	13	✅
EAP-SIM	18	✅
EAP-TTLS	21	✅
EAP-AKA	23	✅
PEAP	25	✅
EAP-MSCHAP v2	26	✅
Geschütztes Einmalkennwort (EAP-POTP)	32	❌
EAP-FAST	43	❌
Vorinstallierter Schlüssel (EAP-PSK)	47	❌
EAP-IKEv2	49	❌
EAP-AKA'	50	✅
EAP-EKE	53	❌
TEAP	55	✅
EAP-NOOB	56	❌

Konfigurieren von EAP-Eigenschaften

Sie können wie folgt auf die EAP-Eigenschaften für den 802.1X-authentifizierten drahtlosen und verkabelten Zugriff zugreifen:

• Konfigurieren der Erweiterungen „Richtlinien für Kabelnetzwerke (IEEE 802.3)“ und „Drahtlosnetzwerkrichtlinien (IEEE 802.11)“ in der Gruppenrichtlinie
  • Computerkonfiguration>Politik>Windows-Einstellungen>Sicherheitseinstellungen
• Verwenden von MDM-Software/ (Mobile Device Management), z. B. Intune (WLANverkabelt)
  • Wi-Fi CSP
  • WiredNetwork-Konfigurationsdienstanbieter
• Manuelles Konfigurieren von Kabel- oder Drahtlosverbindungen auf Clientcomputern

Sie können wie folgt auf die EAP-Eigenschaften für VPN-Verbindungen (virtuelles privates Netzwerk) zugreifen:

• Verwenden von MDM-Software (Mobile Device Management), z. B. Intune
  • VPNv2 CSP
  • VPN-Profiloptionen
• Manuelles Konfigurieren von VPN-Verbindungen auf Clientcomputern
• Verwenden des Verbindungs-Manager-Verwaltungskits (Connection Manager Administration Kit, CMAK) zum Konfigurieren von VPN-Verbindungen

Weitere Informationen zum Konfigurieren von EAP-Eigenschaften finden Sie unter Configure EAP profiles and settings in Windows (Konfigurieren von EAP-Profilen und -Einstellungen in Windows).

XML-Profile für EAP

Die für verschiedene Verbindungstypen verwendeten Profile sind XML-Dateien, die die Konfigurationsoptionen für diese Verbindung enthalten. Die verschiedenen Verbindungstypen folgen einem bestimmten Schema:

• WLAN-Profile
• Kabelnetzwerkprofile (Ethernet)
• VPN-Profile

Bei der Konfiguration für die Verwendung von EAP verfügt jedes Profilschema jedoch über ein untergeordnetes Element EapHostConfig-Element .

• Wired/Wireless: EapHostConfig ist ein untergeordnetes Element des EAPConfig-Elements . MSM > Sicherheit (Kabelgebunden/Drahtlos) >OneX> EAPConfig
• VPN: EapHostConfig ist ein untergeordnetes Element von NativeProfile > Authentifizierung > EAP > Konfiguration

Diese Konfigurationssyntax ist in der Spezifikation Group Policy: Wireless/Wired Protocol Extension definiert.

Note

Auf den verschiedenen Konfigurations-GUIs werden nicht immer alle technisch möglichen Optionen angezeigt. Beispielsweise können Windows Server 2019 und frühere Versionen TEAP nicht über die Benutzeroberfläche konfigurieren. Es ist jedoch häufig möglich, ein vorhandenes XML-Profil zu importieren, das zuvor konfiguriert wurde.

Das Ziel des restlichen Artikels ist die Bereitstellung einer Zuordnung zwischen den EAP-spezifischen Teilen der Gruppenrichtlinien-/Systemsteuerungs-Benutzeroberfläche und den XML-Konfigurationsoptionen sowie einer Beschreibung der Einstellung.

Weitere Informationen zum Konfigurieren von XML-Profilen finden Sie in XML-Profilen. Ein Beispiel für die Verwendung eines XML-Profils mit EAP-Einstellungen finden Sie unter Bereitstellen eines WLAN-Profils über eine Website.

Sicherheitseinstellungen

In der folgenden Tabelle werden die konfigurierbaren Sicherheitseinstellungen für ein Profil erläutert, das 802.1X verwendet. Diese Einstellungen werden OneX zugeordnet.

Setting	XML element	Description
Netzwerkauthentifizierungsmethode auswählen:	EAPConfig	Hiermit können Sie die EAP-Methode auswählen, die für die Authentifizierung verwendet werden soll. Weitere Informationen finden Sie unter Konfigurationseinstellungen für die Authentifizierungsmethode und Konfigurationseinstellungen für die Mobilfunkauthentifizierung.
Properties		Öffnet das Eigenschaftendialogfeld für die ausgewählte EAP-Methode.
Authentifizierungsmodus	authMode	Gibt den Typ der Anmeldeinformationen an, die für die Authentifizierung verwendet werden. Die folgenden Werte werden unterstützt: 1. Benutzer- oder Computerauthentifizierung 2. Computerauthentifizierung 3. Benutzerauthentifizierung 4. Gastauthentifizierung Für den in diesem Kontext verwendeten Begriff „Computer“ wird in anderen Referenzen ggf. auch „Maschine“ verwendet. machineOrUser ist die Standardeinstellung in Windows.
Max. Authentifizierungsfehler	maxAuthFailures	Gibt die maximale Anzahl von Authentifizierungsfehlern an, die für Anmeldeinformationen zulässig sind. Standardeinstellung: 1
Benutzerinformationen für zukünftige Verbindungen mit diesem Netzwerk zwischenspeichern	cacheUserData	Gibt an, ob die Anmeldeinformationen des Benutzers bzw. der Benutzerin für zukünftige Verbindungen mit demselben Netzwerk zwischengespeichert werden sollen. Standardeinstellung true

Erweiterte Sicherheitseinstellungen > IEEE 802.1X

Wenn Erweiterte 802.1X-Einstellungen erzwingen aktiviert ist, werden alle folgenden Einstellungen konfiguriert. Wenn diese Option deaktiviert ist, gelten die Standardeinstellungen. In XML sind alle Elemente optional. Sind keine Elemente vorhanden, werden die Standardwerte verwendet.

Setting	XML element	Description
Max. EAPOL-Start-Meld.	maxStart	Gibt die maximale Anzahl von EAPOL-Startmeldungen an, die an den Authentifikator (RADIUS-Server) gesendet werden können, bevor der Supplicant (Windows-Client) davon ausgeht, dass kein Authentifikator vorhanden ist. Standardeinstellung: 3
Startzeitraum (Sekunden)	startPeriod	Gibt den Zeitraum (in Sekunden) an, der gewartet werden soll, bevor eine EAPOL-Startmeldung gesendet wird, um den 802.1X-Authentifizierungsprozess zu starten. Standardeinstellung: 5.
Wartezeitraum (Sekunden)	heldPeriod	Gibt den Zeitraum (in Sekunden) an, der nach einem fehlgeschlagenen Authentifizierungsversuch gewartet werden soll, um die Authentifizierung erneut zu versuchen. Standardeinstellung: 1
Authentifizierungszeitraum (Sek.)	authPeriod	Gibt den Zeitraum (in Sekunden) an, der auf eine Antwort vom Authentifikator (RADIUS-Server) gewartet werden soll, bevor davon ausgegangen wird, dass kein Authentifikator vorhanden ist. Standardeinstellung: 18
Eapol-Start Nachricht	supplicantMode	Gibt die Übertragungsmethode an, die für EAPOL-Startmeldungen verwendet wird. Die folgenden Werte werden unterstützt: 1. Nicht übertragen (inhibitTransmission) 2. Übertragen (includeLearning) 3. Per IEEE 802.1X übertragen (compliant) Für den in diesem Kontext verwendeten Begriff „Computer“ wird in anderen Referenzen ggf. auch „Maschine“ verwendet. compliant ist die Standardeinstellung in Windows und die einzige gültige Option für Funknetzwerkprofile.

Erweiterte Sicherheitseinstellungen > Single Sign-On

In der folgenden Tabelle werden die Einstellungen für Single Sign-On (SSO) erläutert, die früher als Pre-Logon-Access-Anbieter (Pre-Logon Access Provider, PLAP) bezeichnet wurde.

Setting	XML element	Description
Einmaliges Anmelden für dieses Netzwerk aktivieren	singleSignOn	Gibt an, ob SSO (Single Sign-On, einmaliges Anmelden) für dieses Netzwerk aktiviert ist. Standardeinstellung: false. Verwenden Sie singleSignOn nicht in einem Profil, wenn das Netzwerk dies nicht erfordert.
Unmittelbar vor der Benutzeranmeldung ausführen Unmittelbar nach der Benutzeranmeldung ausführen	type	Gibt an, wann einmaliges Anmelden ausgeführt werden soll – entweder vor oder nach der Anmeldung von Benutzer*innen.
Max. Verzögerung der Konnektivität (Sekunden)	maxDelay	Gibt die maximale Verzögerung (in Sekunden) an, bevor der SSO-Versuch fehlschlägt. Standardeinstellung: 10
Anzeige zusätzlicher Dialoge beim einmaligen Anmelden zulassen	allowAdditionalDialogs	Gibt an, ob EAP-Dialogfelder während des einmaligen Anmeldens angezeigt werden sollen. Standardeinstellung: false
Dieses Netzwerk verwendet ein anderes VLAN für die Authentifizierung mit Computer- und Benutzeranmeldeinformationen	userBasedVirtualLan	Gibt an, ob sich das vom Gerät verwendete virtuelle LAN (VLAN) basierend auf den Anmeldeinformationen von Benutzer*innen ändert. Standardeinstellung: false

Konfigurationseinstellungen für die Authentifizierungsmethode

Caution

Wenn ein Netzwerkzugriffsserver so konfiguriert ist, dass er denselben Authentifizierungstyp für eine EAP-Tunnelmethode (z. B. PEAP) und eine EAP-Methode ohne Tunnel (z. B. EAP-MSCHAP v2) zulässt, besteht ein potenzielles Sicherheitsrisiko. Wenn Sie sowohl eine EAP-Tunnelmethode als auch EAP (nicht geschützt) bereitstellen, sollten Sie nicht denselben Authentifizierungstyp verwenden. Wenn Sie beispielsweise PEAP-TLS bereitstellen, sollten Sie nicht auch EAP-TLS bereitstellen, denn wenn Sie den Schutz des Tunnels benötigen, ist es sinnlos, die Methode auch außerhalb des Tunnels ausführen zu lassen.

In der folgenden Tabelle werden die konfigurierbaren Einstellungen für alle Authentifizierungsmethoden erläutert:

EAP-TLS

Die EAP-TLS Einstellungen in der Benutzeroberfläche sind EapTlsConnectionPropertiesV1 zugeordnet, die durch EapTlsConnectionPropertiesV2 und EapTlsConnectionPropertiesV3 erweitert wird.

Setting	XML element	Description
Eigene Smartcard verwenden	CredentialsSource>SmartCard	Gibt an, dass Clients, die Authentifizierungsanforderungen senden, ein Smartcardzertifikat für die Netzwerkauthentifizierung vorlegen müssen.
Ein Zertifikat auf diesem Computer verwenden	CredentialsSource>CertificateStore	Gibt an, dass Clients zur Authentifizierung ein Zertifikat in den Zertifikatspeichern Aktueller Benutzer oder Lokaler Computer verwenden müssen.
Einfache Zertifikatauswahl verwenden (empfohlen)	SimpleCertSelection	Gibt an, ob Windows automatisch ein Zertifikat für die Authentifizierung ohne Benutzerinteraktion (falls möglich) auswählt oder ob Windows ein Dropdownmenü für den Benutzer bzw. die Benutzerin zum Auswählen eines Zertifikats anzeigt.
Advanced		Öffnet das Dialogfeld Zertifikatauswahl konfigurieren.
Optionen für die Serverüberprüfung
Anderen Benutzernamen für die Verbindung verwenden	DifferentUsername	Gibt an, ob für die Authentifizierung ein anderer Benutzername verwendet werden soll als der Benutzername im Zertifikat.

Im Anschluss sind die Konfigurationseinstellungen für Zertifikatauswahl konfigurieren aufgeführt: Diese Einstellungen definieren die Kriterien, die ein Client verwendet, um das geeignete Zertifikat für die Authentifizierung auszuwählen. Diese Benutzeroberfläche ist TLSExtensions>FilteringInfo zugeordnet.

Setting	XML element	Description
Zertifikataussteller	CAHashListEnabled="true"	Gibt an, ob die Filterung für Zertifikataussteller aktiviert ist. Wenn sowohl der Zertifikataussteller als auch die erweiterte Schlüsselverwendung (Extended Key Usage, EKU) aktiviert sind, gelten nur die Zertifikate, die beide Bedingungen erfüllen, als gültig für die Authentifizierung des Clients auf dem Server.
Stammzertifizierungsstellen	IssuerHash	Enthält die Namen aller Aussteller, für die entsprechende Zertifizierungsstellenzertifikate (ZS-Zertifikate) im Zertifikatspeicher Vertrauenswürdige Stammzertifizierungsstellen oder Zwischenzertifizierungsstellen des lokalen Computerkontos vorhanden sind. Dazu gehören: Alle Stammzertifizierungsstellen und Zwischenzertifizierungsstellen. Enthält nur die Aussteller, für die entsprechende gültige Zertifikate auf dem Computer vorhanden sind (z. B. Zertifikate, die nicht abgelaufen oder gesperrt sind). Die endgültige Liste der für die Authentifizierung zulässigen Zertifikate enthält nur die Zertifikate, die von einem der ausgewählten Aussteller in dieser Liste ausgestellt wurden. In XML ist dies der SHA-1-Fingerabdruck (Hash) des Zertifikats.
Erweiterte Schlüsselverwendung (Extended Key Usage, EKU)		Ermöglicht Ihnen, "Alle Zweck", "Clientauthentifizierung", "AnyPurpose" oder eine beliebige Kombination dieser Optionen auszuwählen. Gibt an, dass bei Auswahl einer Kombination von Einstellungen alle Zertifikate, die mindestens eine der drei Bedingungen erfüllen, als gültige Zertifikate für die Authentifizierung des Clients beim Server gelten. Wenn die EKU-Filterung aktiviert ist, muss eine der Optionen ausgewählt werden. Andernfalls wird das Kontrollkästchen Erweiterte Schlüsselverwendung (Extended Key Usage, EKU) deaktiviert.
Alle Zwecke	AllPurposeEnabled	Wenn dieses Element ausgewählt ist, gibt dieses Element an, dass Zertifikate mit der EKU "All Purpose " als gültige Zertifikate für die Authentifizierung des Clients auf dem Server betrachtet werden. Der Objektbezeichner (Object Identifier, OID) für "All Purpose " ist 0 oder leer.
Clientauthentifizierung	ClientAuthEKUListEnabled="true" (> EKUMapInList > EKUName)	Gibt an, dass Zertifikate mit der Clientauthentifizierungs-EKU und die angegebene Liste der EKUs als gültige Zertifikate für die Authentifizierung des Clients auf dem Server betrachtet werden. Der Objektbezeichner (Object Identifier, OID) für die Clientauthentifizierung lautet 1.3.6.1.5.5.7.3.2.
AnyPurpose	AnyPurposeEKUListEnabled="true" (> EKUMapInList > EKUName)	Gibt an, dass alle Zertifikate mit AnyPurpose EKU und der angegebenen Liste der EKUs als gültige Zertifikate für die Authentifizierung des Clients auf dem Server gelten. Der Objektbezeichner (Object Identifier, OID) für AnyPurpose lautet 1.3.6.1.4.1.311.10.12.1.
Add	EKUMapping > EKUMap > EKUName/EKUOID	Öffnet das Dialogfeld EKUs auswählen , in dem Sie der Liste "Clientauthentifizierung oder AnyPurpose " Standard-, benutzerdefinierte oder herstellerspezifische EKUs hinzufügen können. Wenn Sie im Dialogfeld "EKUs auswählen" die Option "Hinzufügen oder Bearbeiten" auswählen, wird das Dialogfeld "EKU hinzufügen/bearbeiten" geöffnet, das zwei Optionen bietet: 1. Geben Sie den Namen der EKU ein: Hier können Sie den Namen der benutzerdefinierten EKU eingeben. 2. Geben Sie die EKU-OID ein: Hier können Sie die OID für die EKU eingeben. Es sind nur Ziffern, Trennzeichen und Punkte (.) zulässig. Platzhalter können verwendet werden. In diesem Fall sind alle untergeordneten OIDs in der Hierarchie zulässig. Wenn Sie 1.3.6.1.4.1.311.* eingeben, sind z. B. 1.3.6.1.4.1.311.42 und 1.3.6.1.4.1.311.42.2.1 zulässig.
Edit		Ermöglicht Ihnen die Bearbeitung der von Ihnen hinzugefügten benutzerdefinierten EKUs. Die standardmäßigen vordefinierten EKUs können nicht bearbeitet werden.
Remove		Entfernt die ausgewählte EKU aus der Liste " Clientauthentifizierung " oder "AnyPurpose" .

PEAP

Die PEAP-Einstellungen in der Benutzeroberfläche werden msPeapConnectionPropertiesV1 zugeordnet, die von MsPeapConnectionPropertiesV2 erweitert wird.

Setting	XML element	Description
Optionen für die Serverüberprüfung
Authentifizierungsmethode auswählen		Ermöglicht Ihnen das Auswählen des EAP-Typs, der mit PEAP zur Netzwerkauthentifizierung verwendet werden soll. Zwei EAP-Typen sind verfügbar: Sicheres Kennwort (EAP-MSCHAP v2) und Smartcard oder anderes Zertifikat (EAP-TLS).
Configure	EAP-MSCHAP v2: UseWinLogonCredentials EAP-TLS: Siehe registerkarte EAP-TLS, Schema	Dieses Element bietet Zugriff auf die Eigenschaftseinstellungen für den angegebenen EAP-Typ. Wenn Sicheres Kennwort (EAP-MSCHAP v2) aktiviert ist, ist das Kontrollkästchen Automatisch eigenen Windows-Anmeldenamen und Kennwort (und Domäne, falls vorhanden) verwenden verfügbar. Dieses Kontrollkästchen gibt an, dass der aktuelle benutzerbasierte Windows-Anmeldename und das aktuelle Kennwort als Anmeldeinformationen für die Netzwerkauthentifizierung verwendet werden. Wenn Smartcard oder anderes Zertifikat (EAP-TLS) ausgewählt wird, wird das Dialogfeld Eigenschaften von Smartcard oder anderem Zertifikat für die weitere Konfiguration dieses EAP-Typs geöffnet.
Schnelle Wiederherstellung der Verbindung aktivieren	FastReconnect	Bietet die Möglichkeit, eine neue oder aktualisierte Sicherheitszuordnung effizienter und mit einer geringeren Anzahl von Roundtrips zu erstellen, wenn zuvor eine Sicherheitszuordnung eingerichtet wurde. Bei VPN-Verbindungen verwendet die schnelle Erneute Verbindung die IKEv2-Technologie, um nahtlose und konsistente VPN-Konnektivität bereitzustellen, wenn Benutzer vorübergehend ihre Internetverbindung verlieren. Diese Funktion ist besonders nützlich für Benutzer, die über drahtloses mobiles Breitband eine Verbindung herstellen, da eine schnelle erneute Verbindung automatisch aktive VPN-Verbindungen nahtlos und transparent für Benutzer wieder herstellt.
Verbindung trennen, wenn der Server kein Kryptografiebindungs-TLV vorweist	RequireCryptoBinding	Gibt an, dass Clients, von denen eine Verbindung hergestellt wird, den Netzwerkauthentifizierungsprozess beenden müssen, wenn der RADIUS-Server kein Kryptografiebindungs-TLV (Type-Length-Value) vorweist. Cryptobinding TLV ist eine Sicherheitsfunktion, die die Sicherheit des TLS-Tunnels in PEAP erhöht. Dies geschieht durch die Kombination der Authentifizierungen der inneren und äußeren Methoden, was es Angreifern erschwert, Man-in-the-Middle-Angriffe durchzuführen, indem sie eine MS-CHAP v2-Authentifizierung über den PEAP-Kanal umleiten.
Identitätsschutz aktivieren	IdentityPrivacy>EnableIdentityPrivacy/AnonymousUserName	Gibt an, dass die Clients so konfiguriert sind, dass sie ihre Identität erst senden können, nachdem der RADIUS-Server vom Client authentifiziert wurde, und stellt optional ein Feld zur Eingabe eines anonymen Identitätswerts bereit. Wenn Sie Identitätsschutz aktivieren auswählen und den Wert anonymous für die anonyme Identität eingeben, lautet die Identitätsantwort für eine*n Benutzer*in mit der Identität alice@exampleanonymous@example. Wenn Sie Identitätsschutz aktivieren auswählen, ohne einen Wert für die anonyme Identität anzugeben, ist alice@example die Identitätsantwort für den*die Benutzer*in @example.

EAP-TTLS

Die EAP-TTLS Einstellungen in der Benutzeroberfläche werden EapTtlsConnectionPropertiesV1 zugeordnet.

Setting	XML element	Description
Identitätsschutz aktivieren	Phase1Identity> IdentityPrivacy> AnonymousIdentity	Gibt an, dass die Clients so konfiguriert sind, dass sie ihre Identität erst senden können, nachdem der RADIUS-Server vom Client authentifiziert wurde, und stellt optional ein Feld zur Eingabe eines anonymen Identitätswerts bereit. Wenn Sie Identitätsschutz aktivieren auswählen und den Wert anonymous für die anonyme Identität eingeben, lautet die Identitätsantwort für eine*n Benutzer*in mit der Identität alice@exampleanonymous@example. Wenn Sie Identitätsschutz aktivieren auswählen, ohne einen Wert für die anonyme Identität anzugeben, ist alice@example die Identitätsantwort für den*die Benutzer*in @example.
Optionen für die Serverüberprüfung
EAP-fremde Authentifizierungsmethode auswählen	Phase2Authentication> Eines der folgenden Elemente: PAPAuthentication CHAPAuthentication MSCHAPAuthentication MSCHAPv2Authentication	Gibt an, ob ein Nicht-EAP-Typ oder ein EAP-Typ für die Authentifizierung verwendet wird. Wenn EAP-fremde Authentifizierungsmethode auswählen aktiviert ist, ist EAP-Authentifizierungsmethode auswählen deaktiviert. Im Folgenden finden Sie die verfügbaren Authentifizierungsoptionen: 1. Unverschlüsseltes Kennwort (PAP) 2. Challenge Handshake Authentication-Protokoll (CHAP) 3. Microsoft CHAP (MS-CHAP) 4. Microsoft CHAP, Version 2 (MS-CHAP v2)
Automatisch eigenen Windows-Anmeldenamen und Kennwort verwenden	UseWinlogonCredentials	Wenn dieses Element aktiviert ist, verwendet dieses Element Windows-Anmeldeinformationen und ist nur verfügbar, wenn MS-CHAP v2 in der Dropdownliste für die Authentifizierung eine Nicht-EAP-Methode auswählen ausgewählt ist. Automatisch eigenen Windows-Anmeldenamen und Kennwort verwenden ist für die Authentifizierungstypen PAP, CHAP und MS-CHAP deaktiviert.
EAP-Authentifizierungsmethode auswählen	Phase2Authentication> EapHostConfig	Gibt an, ob ein EAP-Typ oder ein Nicht-EAP-Typ für die Authentifizierung verwendet wird. Wenn EAP-Authentifizierungsmethode auswählen aktiviert ist, ist EAP-fremde Authentifizierungsmethode auswählen deaktiviert. Im Folgenden finden Sie die verfügbaren Authentifizierungsoptionen: 1. Microsoft: Smartcard oder anderes Zertifikat (EAP-TLS) 2. Microsoft: Sicheres Kennwort (EAP-MSCHAP v2) In der Dropdownliste werden alle EAP-Methoden aufgelistet, die auf dem Server installiert sind, mit Ausnahme von PEAP- und FAST-Tunnelmethoden . Die EAP-Typen werden in der Reihenfolge angezeigt, in der sie vom Computer gefunden werden.
Configure		Öffnet das Eigenschaftendialogfeld der angegebenen EAP-Methode.

TEAP

Die TEAP-Einstellungen in der Benutzeroberfläche sind EapTeapConnectionPropertiesV1 zugeordnet. TEAP ist ab Windows 10, Version 2004 (Build 19041) und Windows Server 2022 verfügbar.

Setting	XML element	Description
Identitätsschutz	Phase1Identity > IdentityPrivacy > AnonymousIdentity	Gibt an, dass die Clients so konfiguriert sind, dass sie ihre Identität erst senden können, nachdem der RADIUS-Server vom Client authentifiziert wurde, und stellt optional ein Feld zur Eingabe eines anonymen Identitätswerts bereit. Wenn Sie Identitätsschutz aktivieren auswählen und den Wert anonymous für die anonyme Identität eingeben, lautet die Identitätsantwort für eine*n Benutzer*in mit der Identität alice@exampleanonymous@example. Wenn Sie Identitätsschutz aktivieren auswählen, ohne einen Wert für die anonyme Identität anzugeben, ist alice@example die Identitätsantwort für den*die Benutzer*in @example.
Optionen für die Serverüberprüfung
{primäre/sekundäre} EAP-Authentifizierungsmethode auswählen	Phase2Authentication (> InnerMethodConfig > EapHostConfig)	Ermöglicht es dem Benutzer bzw. der Benutzerin, eine primäre/sekundäre Authentifizierungsmethode (Microsoft: Smartcard oder anderes Zertifikat (EAP-TLS) oder Microsoft: Sicheres Kennwort (EAP-MSCHAP v2)) auszuwählen. Eine beliebige Kombination von internen Methoden ist zulässig. Die interne Methode kann z. B. EAP-TLS mit Computeranmeldeinformationen gefolgt von EAP-TLS mit Benutzeranmeldeinformationen sein.
Configure		Wenn Microsoft: Smartcard oder anderes Zertifikat (EAP-TLS) ausgewählt wird, wird das Dialogfeld Eigenschaften von Smartcard oder anderem Zertifikat geöffnet. Wenn Microsoft: Sicheres Kennwort (EAP-MSCHAP v2) aktiviert ist, wird das Kontrollkästchen Automatisch eigenen Windows-Anmeldenamen und Kennwort (und Domäne, falls vorhanden) verwenden verfügbar. Dieses Kontrollkästchen gibt an, dass der aktuelle benutzerbasierte Windows-Anmeldename und das aktuelle Kennwort als Anmeldeinformationen für die Netzwerkauthentifizierung verwendet werden.

Überprüfung des Serverzertifikats

Viele EAP-Methoden enthalten eine Option für den Client, um das Zertifikat des Servers zu überprüfen. Wenn das Serverzertifikat nicht überprüft wird, kann der Client nicht sicher sein, dass er mit dem richtigen Server kommuniziert. Dies setzt den Client Sicherheitsrisiken aus und es besteht u. a. die Möglichkeit, dass der Client unwissentlich eine Verbindung mit einem nicht autorisierten Netzwerk herstellt.

Note

Windows erfordert, dass das Serverzertifikat über die Serverauthentifizierungs-EKU verfügt. Der Objektbezeichner (Object Identifier, OID) für diese EKU ist 1.3.6.1.5.5.7.3.1.

In der folgenden Tabelle sind die Serverüberprüfungsoptionen aufgeführt, die für jede EAP-Methode gelten. Windows 11 hat die Logik der Servervalidierung aktualisiert, um konsistenter zu sein. Erfahren Sie mehr unter Aktualisiertes Verhalten bei der Überprüfung von Zertifikaten in Windows 11. Sollte ein Konflikt vorliegen, gelten die Beschreibungen in der folgenden Tabelle für das Verhalten unter Windows 10 und früheren Versionen.

Setting	XML element	Description
Identität des Servers mittels Zertifikatprüfung überprüfen	EAP-TLS: PerformServerValidation PEAP: PerformServerValidation	Dieses Element legt fest, dass der Client überprüft, ob die auf dem Client-Computer vorhandenen Server-Zertifikate: Die richtigen Signaturen Die Signaturen sind nicht abgelaufen Wurden von einer vertrauenswürdigen Stammzertifizierungsstelle (CA) ausgestellt Wenn Sie dieses Kontrollkästchen deaktivieren, können Clientcomputer die Identität der Server während des Authentifizierungsprozesses nicht überprüfen. Findet keine Serverauthentifizierung statt, sind Benutzer ernsthaften Sicherheitsrisiken ausgesetzt. Es besteht u. a. die Möglichkeit, dass Benutzer unwissentlich eine Verbindung mit einem nicht autorisierten Netzwerk herstellen.
Verbindung mit folgenden Servern herstellen	EAP-TLS: ServerValidation>ServerNames PEAP: ServerValidation>ServerNames EAP-TTLS: ServerValidation> ServerNames TEAP: ServerValidation> ServerNames	Gibt Ihnen die Möglichkeit, den Namen der RADIUS-Server (Remote Authentication Dial-In User Service) anzugeben, die Netzwerkauthentifizierung und -autorisierung bereitstellen. Sie müssen den Namen genau so eingeben, wie er im Betrefffeld jedes RADIUS-Serverzertifikats angezeigt wird, oder reguläre Ausdrücke (regex) verwenden, um den Servernamen anzugeben. Zum Angeben des Servernamens kann die vollständige Syntax eines regulären Ausdrucks verwendet werden. Die angegebene Zeichenfolge muss jedoch mindestens ein * enthalten, um einen regulären Ausdruck von einem Zeichenfolgenliteral zu unterscheiden. Sie können beispielsweise nps.*\.example\.com angeben, um den RADIUS-Server nps1.example.com oder nps2.example.com anzugeben. Sie können auch ein Semikolon (;) einfügen, um mehrere Server zu trennen. Wenn keine RADIUS-Server angegeben sind, überprüft der Client nur, ob das RADIUS-Serverzertifikat von einer vertrauenswürdigen Stammzertifizierungsstelle ausgestellt wurde.
Vertrauenswürdige Stammzertifizierungsstellen	EAP-TLS: ServerValidation>TrustedRootCA PEAP: ServerValidation>TrustedRootCA EAP-TTLS: ServerValidation> TrustedRootCAHashes TEAP: ServerValidation> TrustedRootCAHashes	Listet die vertrauenswürdigen Stammzertifizierungsstellen auf. Diese Liste wird anhand der vertrauenswürdigen Stammzertifizierungsstellen erstellt, die auf dem Computer installiert und in den Benutzerzertifikatsspeichern gespeichert sind. Sie können angeben, welche Zertifikate vertrauenswürdiger Stammzertifizierungsstellen die Supplicants verwenden, um zu bestimmen, ob sie Ihren Servern vertrauen, z. B. dem Netzwerkrichtlinienserver (NPS) oder dem Bereitstellungsserver. Sind keine vertrauenswürdigen Stammzertifizierungsstellen ausgewählt, überprüft der 802.1X-Client, ob das Computerzertifikat des RADIUS-Servers von einer installierten vertrauenswürdigen Stammzertifizierungsstelle ausgestellt wurde. Sind eine oder mehrere vertrauenswürdige Stammzertifizierungsstellen ausgewählt, überprüft der 802.1X-Client, ob das Computerzertifikat des RADIUS-Servers von einer ausgewählten vertrauenswürdigen Stammzertifizierungsstelle ausgestellt wurde. Wenn keine vertrauenswürdigen Stammzertifizierungsstellen ausgewählt sind, überprüft der Client, ob das RADIUS-Serverzertifikat von einer vertrauenswürdigen Stammzertifizierungsstelle ausgestellt wurde. Wenn Sie in Ihrem Netzwerk eine Public Key-Infrastruktur (PKI) eingerichtet haben und ein RADIUS-Serverzertifikat verwenden, wird dieses Zertifikat automatisch der Liste vertrauenswürdiger Stammzertifizierungsstellen hinzugefügt. Sie können auch ein Zertifizierungsstellenzertifikat von einem Drittanbieter erwerben. Einige vertrauenswürdige Stammzertifizierungsstellen von anderen Anbietern stellen mit dem erworbenen Zertifikat eine Software bereit, die das Zertifikat automatisch im Zertifikatspeicher Vertrauenswürdige Stammzertifizierungsstellen installiert. In diesem Fall wird die vertrauenswürdige Stammzertifizierungsstelle automatisch in der Liste vertrauenswürdiger Stammzertifizierungsstellen angezeigt. Geben Sie kein Zertifikat einer vertrauenswürdigen Stammzertifizierungsstelle an, das noch nicht in den Zertifikatspeichern Vertrauenswürdige Stammzertifizierungsstellen für Aktueller Benutzer und Lokaler Computer der Clientcomputer aufgeführt ist. Wenn Sie ein Zertifikat angeben, das nicht auf den Client-PCs installiert ist, schlägt die Authentifizierung fehl. In XML ist dies der SHA-1-Fingerabdruck (Hash) des Zertifikats (bzw. SHA-256 für TEAP).

Eingabeaufforderung zur Serverüberprüfung

Die folgende Tabelle beschreibt die Optionen für die Eingabeaufforderung zur Servervalidierung, die für jede EAP-Methode verfügbar sind. Wenn ein Serverzertifikat nicht vertrauenswürdig ist, bestimmen diese Optionen, ob:

• Die Verbindung schlägt sofort fehl.
• Der Benutzer wird aufgefordert, die Verbindung manuell zu akzeptieren oder abzulehnen.

EAP-TLS

Setting	XML element
Keine Benutzeraufforderung zur Autorisierung neuer Server oder vertrauenswürdiger Zertifizierungsstellen	ServerValidation>DisableUserPromptForServerValidation

Verhindert (sofern aktiviert), dass der*die Benutzer*in aufgefordert wird, einem Serverzertifikat zu vertrauen, das nicht korrekt konfiguriert ist und/oder das nicht bereits als vertrauenswürdig gilt. Um die Benutzerfreundlichkeit zu vereinfachen und zu verhindern, dass Benutzer einem von einem Angreifer bereitgestellten Server versehentlich vertrauen, wird empfohlen, dieses Kontrollkästchen zu aktivieren.

PEAP

Setting	XML element
Benachrichtigungen vor der Verbindungsherstellung	ServerValidation> 1. DisableUserPromptForServerValidation=true 2. DisableUserPromptForServerValidation=false 3. DisableUserPromptForServerValidation=false, PeapExtensionsV2>AllowPromptingWhenServerCANotFound

Gibt an, ob der*die Benutzer*in benachrichtigt wird, wenn der Servername oder das Stammzertifikat nicht angegeben ist, oder ob die Identität des Servers nicht überprüft werden kann. Hier finden Sie die verfügbaren Optionen, aus denen Sie wählen können, und ihre jeweilige Bedeutung:

1. Benutzer nicht auffordern, neue Server oder vertrauenswürdige Zertifizierungsstellen zu autorisieren - Wenn der Servername nicht in der Liste Verbinden mit diesen Servern steht oder das Stammzertifikat gefunden wird, aber nicht in der Liste Vertrauenswürdige Stammzertifizierungsstellen in PEAP-Eigenschaften ausgewählt ist oder das Stammzertifikat nicht auf dem Computer gefunden wird, wird der Benutzer nicht benachrichtigt und die Verbindungsversuche schlagen fehl.

2. Benutzende benachrichtigen, wenn kein Servername oder Stammzertifikat angegeben wurde: Wenn der Servername nicht in der Liste Verbindung mit folgenden Servern herstellen enthalten ist oder das Stammzertifikat gefunden, aber in der Liste der vertrauenswürdigen Stammzertifizierungsstellen unter PEAP-Eigenschaften nicht ausgewählt ist, werden Benutzende aufgefordert, das Stammzertifikat zu akzeptieren. Akzeptiert der Benutzer das Zertifikat, wird die Authentifizierung fortgesetzt. Lehnt der Benutzer das Zertifikat ab, schlägt der Verbindungsversuch fehl. Wenn das Stammzertifikat bei Verwendung dieser Option nicht auf dem Computer vorhanden ist, wird der*die Benutzer*in nicht benachrichtigt, und der Verbindungsversuch ist nicht erfolgreich.

3. Benutzer benachrichtigen, wenn die Identität des Servers nicht verifiziert werden kann - Wenn der Servername nicht in der Liste Verbinden mit diesen Servern steht oder das Stammzertifikat gefunden wird, aber nicht in der Liste Vertrauenswürdige Stammzertifizierungsstellen in PEAP-Eigenschaften ausgewählt ist oder das Stammzertifikat nicht auf dem Computer gefunden wird, dann wird der Benutzer gefragt, ob er das Stammzertifikat akzeptieren soll. Akzeptiert der Benutzer das Zertifikat, wird die Authentifizierung fortgesetzt. Lehnt der Benutzer das Zertifikat ab, schlägt der Verbindungsversuch fehl.

EAP-TTLS

Setting	XML element
Keine Benutzeraufforderung, wenn der Server nicht autorisiert werden kann	ServerValidation> DisableUserPromptForServerValidation

Wenn diese Option nicht ausgewählt ist und die Überprüfung des Serverzertifikats aus einem der folgenden Gründe fehlschlägt, wird der Benutzer aufgefordert, den Server zu akzeptieren oder abzulehnen:

• Es wurde kein Stammzertifikat für das Serverzertifikat gefunden, oder es ist kein solches Zertifikat in der Liste Vertrauenswürdige Stammzertifizierungsstellen ausgewählt.

• Mindestens eines der Zwischenstammzertifikate in der Zertifikatkette wurde nicht gefunden.

• Der Name des Antragstellers im Serverzertifikat entspricht keinem der Server in der Liste Verbindung mit folgenden Servern herstellen.

TEAP

Setting	XML element
Keine Benutzeraufforderung, wenn der Server nicht autorisiert werden kann	ServerValidation>DisablePrompt

Wenn diese Option nicht ausgewählt ist und die Überprüfung des Serverzertifikats aus einem der folgenden Gründe fehlschlägt, wird der Benutzer aufgefordert, den Server zu akzeptieren oder abzulehnen:

• Es wurde kein Stammzertifikat für das Serverzertifikat gefunden, oder es ist kein solches Zertifikat in der Liste Vertrauenswürdige Stammzertifizierungsstellen ausgewählt.

• Mindestens eines der Zwischenstammzertifikate in der Zertifikatkette wurde nicht gefunden.

• Der Name des Antragstellers im Serverzertifikat entspricht keinem der Server in der Liste Verbindung mit folgenden Servern herstellen.

Konfigurationseinstellungen für die Mobilfunkauthentifizierung

Im Anschluss sind die Konfigurationseinstellungen für EAP-SIM, EPA-AKA bzw. EPA-AKA' aufgeführt:

EAP-SIM

EAP-SIM ist in RFC 4186 definiert. EAP-SIM (Subscriber Identity Module) wird zur Authentifizierung und Sitzungsschlüsselverteilung mithilfe von SIM des GSM-Mobilfunknetzes (Global System for Mobile Communications) der zweiten Generation verwendet.

Die EAP-SIM Einstellungen in der Benutzeroberfläche werden EapSimConnectionPropertiesV1 zugeordnet.

Item	XML element	Description
Starke Verschlüsselungsschlüssel verwenden	UseStrongCipherKeys	Gibt an (sofern aktiviert), dass die starke Verschlüsselung für das Profil verwendet wird.
Bei verfügbarer Pseudonymidentität tatsächliche Identität dem Server gegenüber nicht offenlegen	DontRevealPermanentID	Bei Auswahl dieser Option schlägt die Authentifizierung des Clients fehl, wenn der Server eine permanente Identität anfordert, obwohl dem Client eine Pseudonymidentität zugeordnet ist. Pseudonymidentitäten werden zum Identitätsschutz verwendet, damit die tatsächliche oder permanente Identität eines Benutzers während der Authentifizierung nicht offen gelegt wird.
	ProviderName	Nur in XML verfügbar, eine Zeichenfolge, die den Anbieternamen angibt, der für die Authentifizierung zulässig ist.
Verwendung von Bereichen aktivieren	Reich=true	Hier können Sie den Bereichsnamen eingeben. Wenn Sie das Feld leer lassen und Verwendung von Bereichen aktivieren aktiviert ist, wird der Bereich von der IMSI (International Mobile Subscriber Identity) abgeleitet, wobei wie im 3GPP-Standard 23.003 V6.8.0 beschrieben der Bereich „3gpp.org“ verwendet wird.
Bereich angeben	Realm	Hier können Sie einen Bereichsnamen eingeben. Wenn Verwendung von Bereichen aktivieren aktiviert ist, wird diese Zeichenfolge verwendet. Ist dieses Feld leer, wird der abgeleitete Bereich verwendet.

EAP-AKA

EAP-AKA ist in RFC 4187 definiert. EAP Authentication and Key Agreement (AKA) wird zur Authentifizierung und Sitzungsschlüsselverteilung mithilfe des AKA-Mechanismus verwendet. AKA wird in UMTS-Mobilfunknetzen (Universal Mobile Telecommunications System) der dritten Generation und CDMA2000 verwendet. AKA basiert auf symmetrischen Schlüsseln und wird in der Regel in SIM (Subscriber Identity Module) ausgeführt.

Die EAP-AKA Einstellungen in der Benutzeroberfläche werden EapAkaConnectionPropertiesV1 zugeordnet.

Item	XML element	Description
Bei verfügbarer Pseudonymidentität tatsächliche Identität dem Server gegenüber nicht offenlegen	DontRevealPermanentID	Bei Auswahl dieser Option schlägt die Authentifizierung des Clients fehl, wenn der Server eine permanente Identität anfordert, obwohl dem Client eine Pseudonymidentität zugeordnet ist. Pseudonymidentitäten werden zum Identitätsschutz verwendet, damit die tatsächliche oder permanente Identität eines Benutzers während der Authentifizierung nicht offen gelegt wird.
	ProviderName	Nur in XML verfügbar, eine Zeichenfolge, die den Anbieternamen angibt, der für die Authentifizierung zulässig ist.
Verwendung von Bereichen aktivieren	Reich=true	Hier können Sie den Bereichsnamen eingeben. Wenn Sie das Feld leer lassen und Verwendung von Bereichen aktivieren aktiviert ist, wird der Bereich von der IMSI (International Mobile Subscriber Identity) abgeleitet, wobei wie im 3GPP-Standard 23.003 V6.8.0 beschrieben der Bereich „3gpp.org“ verwendet wird.
Bereich angeben	Realm	Hier können Sie einen Bereichsnamen eingeben. Wenn Verwendung von Bereichen aktivieren aktiviert ist, wird diese Zeichenfolge verwendet. Ist dieses Feld leer, wird der abgeleitete Bereich verwendet.

EAP-AKA'

EAP-AKA' ist in RFC 5448 und RFC 9048 definiert. EAP-AKA Prime (AKA') ist eine geänderte Version von EAP-AKA, mit der eine neue Schlüsselableitungsfunktion hinzugefügt wird, um den Zugriff auf 3GPP-basierte Netzwerke mit Nicht-3GPP-Standards zu erleichtern. Dazu zählen z. B. folgende Standards:

• Wi-Fi
• EVDO (Evolution-Data Optimized)
• WiMax (Worldwide Interoperability for Microwave Access)

Die EAP-AKA-Einstellungen in der Benutzeroberfläche sind EapAkaPrimeConnectionPropertiesV1 zugeordnet.

Item	XML element	Description
Bei verfügbarer Pseudonymidentität tatsächliche Identität dem Server gegenüber nicht offenlegen	DontRevealPermanentID	Bei Auswahl dieser Option schlägt die Authentifizierung des Clients fehl, wenn der Server eine permanente Identität anfordert, obwohl dem Client eine Pseudonymidentität zugeordnet ist. Pseudonymidentitäten werden zum Identitätsschutz verwendet, damit die tatsächliche oder permanente Identität eines Benutzers während der Authentifizierung nicht offen gelegt wird.
	ProviderName	Nur in XML verfügbar, eine Zeichenfolge, die den Anbieternamen angibt, der für die Authentifizierung zulässig ist.
Verwendung von Bereichen aktivieren	Reich=true	Hier können Sie den Bereichsnamen eingeben. Wenn Sie das Feld leer lassen und Verwendung von Bereichen aktivieren aktiviert ist, wird der Bereich von der IMSI (International Mobile Subscriber Identity) abgeleitet, wobei wie im 3GPP-Standard 23.003 V6.8.0 beschrieben der Bereich „3gpp.org“ verwendet wird.
Bereich angeben	Realm	Hier können Sie einen Bereichsnamen eingeben. Wenn Verwendung von Bereichen aktivieren aktiviert ist, wird diese Zeichenfolge verwendet. Ist dieses Feld leer, wird der abgeleitete Bereich verwendet.
Nicht übereinstimmenden Netzwerknamen ignorieren	IgnoreNetworkNameMismatch	Der Client vergleicht den ihm bekannten Netzwerknamen mit dem Namen, der während der Authentifizierung vom RADIUS-Server gesendet wird. Wenn keine Übereinstimmung vorliegt, wird es ignoriert, wenn diese Option aktiviert ist. Wenn die Option nicht aktiviert ist, schlägt die Authentifizierung fehl.
Schnelle erneute Authentifizierung aktivieren	EnableFastReauth	Gibt an, dass die schnelle erneute Authentifizierung aktiviert ist. Die schnelle erneute Authentifizierung ist hilfreich, wenn häufig SIM-Authentifizierungen ausgeführt werden. Die von der vollständigen Authentifizierung abgeleiteten Verschlüsselungsschlüssel werden wiederverwendet. Daher muss der SIM-Algorithmus nicht bei jedem Authentifizierungsversuch ausgeführt werden, und die Anzahl von Netzwerkvorgängen aufgrund häufiger Authentifizierungsversuche wird reduziert.

WPA3-Enterprise-192-Bit-Modus

Der 192-Bit-Modus von WPA3-Enterprise ist ein spezieller Modus für WPA3-Enterprise, der bestimmte Anforderungen an hohe Sicherheit für Funkverbindungen erzwingt, um mindestens 192 Sicherheitsbits zu bieten. Diese Anforderungen entsprechen der CNSA Suite (Commercial National Security Algorithm), CNSSP 15, einer Reihe kryptografischer Algorithmen, die von der Nationalen Sicherheitsbehörde der USA (NSA) zum Schutz von Verschlusssachen und streng geheimen Informationen zugelassen wurden. Der 192-Bit-Modus kann manchmal als „Suite B-Modus“ bezeichnet werden. Dies ist eine Anspielung auf die Suite B Cryptography-Spezifikation der NSA, die 2016 durch CNSA ersetzt wurde.

Sowohl WPA3-Enterprise als auch der WPA3-Enterprise-192-Bit-Modus sind ab Windows 10, Version 2004 (Build 19041) und Windows Server 2022 verfügbar. WPA3-Enterprise wurde jedoch in Windows 11 als separater Authentifizierungsalgorithmus herausgestellt. In XML wird dies im authEncryption-Element angegeben.

In der folgenden Tabelle sind die für die CNSA Suite erforderlichen Algorithmen aufgeführt.

Algorithm	Description	Parameters
Advanced Encryption Standard (AES)	Für die Verschlüsselung verwendete symmetrische Blockchiffre	256-Bit-Schlüssel (AES-256)
ECDH-Schlüsselaustausch (Elliptic Curve Diffie-Hellman)	Asymmetrischer Algorithmus zum Einrichten eines gemeinsamen Geheimnisses (Schlüssel)	384-Bit-Primmoduluskurve (P-384)
Algorithmus für digitale Signaturen mit elliptischen Kurven (ECDSA)	Asymmetrischer Algorithmus für digitale Signaturen	384-Bit-Primmoduluskurve (P-384)
Sicherer Hashalgorithmus (SHA)	Kryptografische Hashfunktion	SHA-384
DH-Schlüsselaustausch (Diffie-Hellman)	Asymmetrischer Algorithmus zum Einrichten eines gemeinsamen Geheimnisses (Schlüssel)	3072-Bit-Modul
Rivest-Shamir-Adleman (RSA)	Asymmetrischer Algorithmus für digitale Signaturen oder Schlüsseleinrichtung	3072-Bit-Modul

Um die CNSA-Anforderungen zu erfüllen, ist im WPA3-Enterprise 192-Bit-Modus die Verwendung von EAP-TLS mit diesen eingeschränkten Verschlüsselungssuiten vorgeschrieben:

• TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

  • ECDHE und ECDSA mit der 384-Bit-Primmoduluskurve (P-384)

• TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 / TLS_DHE_RSA_AES_256_GCM_SHA384

  • ECDHE mit der 384-Bit-Primmoduluskurve (P-384)

  • RSA >= 3072-Bit-Modulus

Note

P-384 wird auch als secp384r1 oder nistp384 bezeichnet. Andere elliptische Kurven wie P-521 sind nicht zulässig.

SHA-384 gehört zur SHA-2-Familie von Hashfunktionen. Andere Algorithmen und Varianten wie SHA-512 oder SHA3-384 sind nicht zulässig.

Windows unterstützt nur die Suites mit Verschlüsselungsverfahren TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 und TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 für den WPA3-Enterprise-192-Bit-Modus. Die Suites mit Verschlüsselungsverfahren TLS_DHE_RSA_AES_256_GCM_SHA384 wird nicht unterstützt.

TLS 1.3 verwendet neue vereinfachte TLS-Suites, von denen nur TLS_AES_256_GCM_SHA384 mit dem WPA3-Enterprise-192-Bit-Modus kompatibel ist. Da TLS 1.3 (EC)DHE erfordert und ECDSA- oder RSA-Zertifikate sowie den AES-256-AEAD- und SHA384-Hash zulässt, entspricht TLS_AES_256_GCM_SHA384TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 und TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384. RFC 8446 erfordert jedoch, dass TLS 1.3-kompatible Anwendungen P-256 unterstützen, was von CNSA verboten ist. Daher kann der WPA3-Enterprise-192-Bit-Modus nicht vollständig mit TLS 1.3 konform sein. Es sind jedoch keine Interoperabilitätsprobleme mit TLS 1.3 und dem WPA3-Enterprise-192-Bit-Modus bekannt.

Zum Konfigurieren eines Netzwerks für den WPA3-Enterprise-192-Bit-Modus erfordert Windows, dass EAP-TLS mit einem Zertifikat verwendet wird, das die zuvor beschriebenen Anforderungen erfüllt.

Siehe auch

• Verwalten der Einstellungen für die neue Drahtlosnetzwerkrichtlinie (IEEE 802.11)

• Verwalten der Richtlinieneinstellungen für neue Kabelnetzwerke (IEEE 802.3)

• Erweiterte Sicherheitseinstellungen für Richtlinien für Kabel- und Funknetzwerke