EAP: Änderungen in Windows 11
Windows 11 unterstützt WPA3-Enterprise. Hierbei handelt es sich um einen WLAN-Sicherheitsstandard, der eine Reihe von Anforderungen im Zusammenhang mit der Serverzertifikatüberprüfung für die EAP-Authentifizierung definiert. Windows 11 unterstützt TLS 1.3 standardmäßig. In diesem Artikel werden die Änderungen beschrieben, die sich beim EAP-Verhalten in Windows 11 aufgrund dieser Features ergeben.
Aktualisiertes Verhalten bei der Serverzertifikatüberprüfung in Windows 11
In früheren Windows-Releases (einschließlich Windows 10) variierte die Logik der Serverzertifikatüberprüfung zwischen EAP-Methoden. In Windows 11 wurden alle EAP-Methoden so angepasst, dass sie sich konsistent und planbar verhalten. Dies entspricht auch der WPA3-Enterprise-Spezifikation. Dieses neue Verhalten gilt für jede EAP-Authentifizierung mit den EAP-Erstanbietermethoden, die standardmäßig in Windows enthalten sind – einschließlich WLAN-, Ethernet- und VPN-Szenarien.
Windows vertraut dem Serverzertifikat, wenn eine der folgenden Bedingungen erfüllt ist:
- Der Fingerabdruck des Serverzertifikats wurde dem Profil hinzugefügt.
Hinweis
Wenn Benutzer*innen eine Verbindung ohne ein vorkonfiguriertes Profil herstellen oder wenn Benutzeraufforderungen zur Serverüberprüfung im Profil aktiviert sind, wird der Fingerabdruck automatisch dem Profil hinzugefügt, wenn die Benutzer*innen den Server über die Aufforderung auf der Benutzeroberfläche akzeptieren.
- Alle der folgenden Bedingungen sind erfüllt:
- Die Serverzertifikatkette wird vom Computer oder vom Benutzer bzw. von der Benutzerin als vertrauenswürdig eingestuft.
- Diese Vertrauensstellung basiert auf dem Stammzertifikat, das im vertrauenswürdigen Stammspeicher des Computers oder des Benutzers bzw. der Benutzerin vorhanden ist – je nach OneX-Authentifizierungsmodus (authMode).
- Der Fingerabdruck des vertrauenswürdigen Stammzertifikats wurde dem Profil hinzugefügt.
- Wenn die Überprüfung des Servernamens aktiviert ist (empfohlen), entspricht der Name der Angabe im Profil.
- Weitere Informationen zum Konfigurieren der Überprüfung des Servernamens im Profil finden Sie unter Servervalidierung.
- Die Serverzertifikatkette wird vom Computer oder vom Benutzer bzw. von der Benutzerin als vertrauenswürdig eingestuft.
Potenzielle Probleme beim Upgraden von Windows 10 auf Windows 11
In Windows 10 konnten PEAP- und EAP-TLS-Authentifizierungen den Server unter bestimmten Umständen lediglich basierend auf dem Vorhandensein des vertrauenswürdigen Stammzertifikats im vertrauenswürdigen Windows-Stammspeicher überprüfen. Wenn Sie feststellen, dass eine EAP-Authentifizierung nach dem Upgrade auf Windows 11 konsistent scheitert, überprüfen Sie das Verbindungsprofil, um sicherzustellen, dass es die neuen Anforderungen für das oben beschriebene Verhalten erfüllt.
In den meisten Fällen reicht die Angabe des Fingerabdrucks des vertrauenswürdigen Stammzertifikats im Profil aus, um das Problem zu beheben – vorausgesetzt, das Stammzertifikat ist bereits im vertrauenswürdigen Stammspeicher vorhanden.
Beachten Sie außerdem, dass beim Servernamenabgleich in Windows 11, Version 21H2 (Buildnummer 22000) die Groß-/Kleinschreibung beachtet wird. Der Servernamenabgleich wurde so angepasst, dass in Windows 11, Version 22H2 (Buildnummer 22621) die Groß-/Kleinschreibung nicht beachtet wird. Stellen Sie bei Verwendung der Überprüfung des Servernamens sicher, dass der im Profil angegebene Name exakt mit dem Servernamen übereinstimmt, oder führen Sie ein Upgrade auf Windows 11, Version 22H2 oder höher durch.
Wildcardzertifikate
In Windows 11 lehnt Windows serverzertifikate, die einen Wildcard () im allgemeinen Zertifikatnamen (*CN) enthalten, nicht mehr sofort ab. Es wird jedoch empfohlen, dass der DNS-Name im Erweiterungsfeld "SubjectAltName/SAN" verwendet wird, da Windows die CN-Komponenten ignoriert, wenn die DNS-Übereinstimmung überprüft wird, wenn das SAN eine DNS-Namensauswahl enthält. Der SubjectAltName-DNS-Name unterstützt einen Wildcard in Windows 11, wie er in früheren Versionen von Windows verwendet wird.
Hinweis
Alle oben beschriebenen Bedingungen für das Vertrauen des Serverzertifikats gelten weiterhin für Wildcardzertifikate.
TOD-Richtlinien (Trust Override Disable, Deaktivieren der Außerkraftsetzung von Vertrauensstellungen) von WPA3-Enterprise
WPA3-Enterprise erfordert, dass das Gerät dem Serverzertifikat vertraut. Wenn die Serverüberprüfung nicht erfolgreich ist, wechselt Windows nicht in Phase 2 des EAP-Austauschs. Wenn das Serverzertifikat nicht vertrauenswürdig ist, werden Benutzer*innen aufgefordert, das Serverzertifikat zu akzeptieren. Dieses Verhalten wird als Außerkraftsetzung des Serverzertifikats durch Benutzer*innen (User Override of Server Certificate, UOSC) bezeichnet. Um UOSC für Computer ohne vorkonfiguriertes Profil zu deaktivieren, ist es möglich, TOD-Richtlinien für das Serverzertifikat festzulegen.
Die TOD-Richtlinien werden in der Erweiterung Zertifikatrichtlinien des Serverzertifikats durch Einschließen einer bestimmten OID angegeben. Die folgenden Richtlinien werden unterstützt:
- TOD-STRICT: Wenn das Serverzertifikat nicht vertrauenswürdig ist, werden Benutzer*innen nicht aufgefordert, das Serverzertifikat zu akzeptieren. Die Authentifizierung ist nicht erfolgreich. Diese Richtlinie verfügt über die OID
1.3.6.1.4.1.40808.1.3.1. - TOD-TOFU (Trust On First Use, bei erster Verwendung vertrauen): Wenn das Serverzertifikat nicht vertrauenswürdig ist, werden Benutzer*innen nur bei der ersten Verbindungsherstellung aufgefordert, das Serverzertifikat zu akzeptieren. Wenn Benutzer*innen das Serverzertifikat akzeptieren, wird es dem Profil hinzugefügt, und die Authentifizierung wird fortgesetzt. Nachfolgende Verbindungen erfordern jedoch, dass das Serverzertifikat vertrauenswürdig ist, und es wird keine erneute Aufforderung angezeigt. Diese Richtlinie verfügt über die OID
1.3.6.1.4.1.40808.1.3.2.
TLS 1.3
In Windows 11 wurde TLS 1.3 standardmäßig systemweit aktiviert, und von EAP-TLS wurde TLS 1.3 verwendet. Von PEAP und EAP-TTLS wurde dagegen weiterhin TLS 1.2 verwendet. In Windows 11, Version 22H2 (Buildnummer 22621) wurden diese Methoden aktualisiert, um standardmäßig TLS 1.3 zu verwenden.
Bekannte Probleme mit TLS 1.3 und Windows 11
- NPS unterstützt TLS 1.3 derzeit nicht.
- Einige ältere RADIUS-Serverversionen von Drittanbietern geben möglicherweise fälschlicherweise TLS 1.3-Unterstützung an. Sollten bei Ihnen Probleme bei der Authentifizierung von EAP-TLS mit TLS 1.3 mit Windows 11 22H2 auftreten, stellen Sie sicher, dass der RADIUS-Server gepatcht und auf dem neuesten Stand ist oder das TLS 1.3 für ihn deaktiviert ist.
- Die Sitzungsfortsetzung wird derzeit nicht unterstützt. Windows-Clients führen immer eine vollständige Authentifizierung durch.