Freigeben über


VPN-Authentifizierungsoptionen

Zusätzlich zu älteren und weniger sicheren kennwortbasierten Authentifizierungsmethoden (die vermieden werden sollten) verwendet die integrierte VPN-Lösung zertifikatbasierte Methoden sowie das Extensible Authentication-Protokoll (EAP), um eine sichere Authentifizierung mithilfe von Benutzername und Kennwort bereitzustellen. Sie können die EAP-basierte Authentifizierung nur konfigurieren, wenn Sie einen integrierten VPN-Typ (IKEv2, L2TP, PPTP oder Automatisch) auswählen.

Windows unterstützt eine Reihe von EAP-Authentifizierungsmethoden.

  • EAP-Microsoft Challenge Handshake Authentication Protocol Version 2 (EAP-MSCHAPv2):

    • Authentifizierung mit Benutzername und Kennwort
    • Anmeldeinformationen für die Windows-Anmeldung: Kann die Authentifizierung mit Computeranmeldeinformationen angeben.
  • EAP-Transport Layer Security (EAP-TLS):

    • Unterstützt die folgenden Arten der Zertifikatauthentifizierung:

      • Zertifikat mit Schlüsseln im Software-Schlüsselspeicheranbieter (Key Storage Provider, KSP)
      • Zertifikat mit Schlüsseln im TPM-KSP (Trusted Platform Module)
      • Smart Karte-Zertifikate
      • Windows Hello for Business-Zertifikat
    • Zertifikatfilterung:

      • Die Zertifikatfilterung kann aktiviert werden, um nach einem bestimmten Zertifikat für die Authentifizierung zu suchen.
      • Die Filterung kann auf ausstellerbasierter oder erweiterter Schlüsselverwendung (Extended Key Usage, EKU) basieren.
    • Serverüberprüfung: Mit TLS kann die Servervalidierung aktiviert oder deaktiviert werden:

      • Servername: Geben Sie den zu überprüfenden Server an.
      • Serverzertifikat: Vertrauenswürdiges Stammzertifikat zur Überprüfung des Servers
      • Benachrichtigung: Geben Sie an, ob der Benutzer in einer Benachrichtigung gefragt werden soll, ob der Server als vertrauenswürdig eingestuft werden soll.
  • Protected Extensible Authentication Protocol (PEAP):

    • Serverüberprüfung: Mit PEAP kann die Servervalidierung aktiviert oder deaktiviert werden:

      • Servername: Geben Sie den zu überprüfenden Server an.
      • Serverzertifikat: Vertrauenswürdiges Stammzertifikat zur Überprüfung des Servers
      • Benachrichtigung: Geben Sie an, ob der Benutzer in einer Benachrichtigung gefragt werden soll, ob der Server als vertrauenswürdig eingestuft werden soll.
    • Innere Methode: Die äußere Methode erstellt einen sicheren Tunnel im Inneren, während die innere Methode verwendet wird, um die Authentifizierung abzuschließen:

      • EAP-MSCHAPv2
      • EAP-TLS
    • Schnelle Wiederherstellung der Verbindung: Verringert die Verzögerung zwischen einer Authentifizierungsanforderung von einem Client und der Antwort des Netzwerkrichtlinienservers (Network Policy Server, NPS) oder einem anderen RADIUS-Server (Remote Authentication Dial-in User Service). Dadurch werden Ressourcenanforderungen für Client und Server verringert, und die Häufigkeit, mit der Benutzer zur Eingabe von Anmeldeinformationen aufgefordert werden, wird minimiert.

    • Cryptobinding: Durch Ableiten und Austauschen von Werten aus dem PEAP Phase 1-Schlüsselmaterial (Tunnelschlüssel) und aus dem inneren EAP-Methodenschlüsselmaterial der PEAP-Phase 2 (InnerEr Sitzungsschlüssel) ist es möglich, nachzuweisen, dass die beiden Authentifizierungen bei den gleichen beiden Entitäten (PEAP-Peer und PEAP-Server) enden. Dieser als Kryptografiebindung bezeichnete Prozess wird zum Schutz der PEAP-Aushandlung vor Man-in-the-Middle-Angriffen verwendet.

  • Tunneled Transport Layer Security (TTLS)

    • Innere Methode
      • Nicht EAP
        • Password Authentication-Protokoll (PAP)
        • CHAP
        • MSCHAP
        • MSCHAPv2
      • EAP
        • MSCHAPv2
        • TLS
    • Serverüberprüfung: Bei TTLS muss der Server überprüft werden. Folgendes kann konfiguriert werden:
      • Servername
      • Vertrauenswürdiges Stammzertifikat für Serverzertifikat
      • Senden von Benachrichtigungen zur Serverüberprüfung

Bei einem UWP-VPN-Plug-In steuert der App-Anbieter die zu verwendende Authentifizierungsmethode. Die folgenden Arten von Anmeldeinformationen können verwendet werden:

  • Smartcard
  • Zertifikat
  • Windows Hello for Business
  • Benutzername und Kennwort
  • Einmalkennwort
  • Benutzerdefinierter Typ von Anmeldeinformationen

Konfigurieren der Authentifizierung

Informationen zur EAP-XML-Konfiguration finden Sie unter EAP-Konfiguration.

Hinweis

Führen Sie zum Konfigurieren der Windows Hello for Business-Authentifizierung die Schritte unter EAP-Konfiguration aus, um ein Smartcardzertifikat zu erstellen. Erfahren Sie mehr über Windows Hello for Business.

Die folgende Abbildung zeigt das Feld für EAP-XML in einem Microsoft Intune-VPN-Profil. Das Feld für EAP-XML wird nur angezeigt, wenn Sie als Typ die integrierte Verbindung (Automatisch, IKEv2, L2TP, PPTP) auswählen.

Screenshot: EAP XML-Konfiguration in Intune Profil