VPN-Authentifizierungsoptionen

• Gilt für::

  ✅ Windows 11, ✅ Windows 10

Zusätzlich zu älteren und weniger sicheren kennwortbasierten Authentifizierungsmethoden (die vermieden werden sollten) verwendet die integrierte VPN-Lösung zertifikatbasierte Methoden sowie das Extensible Authentication-Protokoll (EAP), um eine sichere Authentifizierung mithilfe von Benutzername und Kennwort bereitzustellen. Sie können die EAP-basierte Authentifizierung nur konfigurieren, wenn Sie einen integrierten VPN-Typ (IKEv2, L2TP, PPTP oder Automatisch) auswählen.

Windows unterstützt eine Reihe von EAP-Authentifizierungsmethoden.

• EAP-Microsoft Challenge Handshake Authentication Protocol Version 2 (EAP-MSCHAPv2):

  • Authentifizierung mit Benutzername und Kennwort
  • Anmeldeinformationen für die Windows-Anmeldung: Kann die Authentifizierung mit Computeranmeldeinformationen angeben.

• EAP-Transport Layer Security (EAP-TLS):

  • Unterstützt die folgenden Arten der Zertifikatauthentifizierung:

    • Zertifikat mit Schlüsseln im Software-Schlüsselspeicheranbieter (Key Storage Provider, KSP)
    • Zertifikat mit Schlüsseln im TPM-KSP (Trusted Platform Module)
    • Smart Karte-Zertifikate
    • Windows Hello for Business-Zertifikat

  • Zertifikatfilterung:

    • Die Zertifikatfilterung kann aktiviert werden, um nach einem bestimmten Zertifikat für die Authentifizierung zu suchen.
    • Die Filterung kann auf ausstellerbasierter oder erweiterter Schlüsselverwendung (Extended Key Usage, EKU) basieren.

  • Serverüberprüfung: Mit TLS kann die Servervalidierung aktiviert oder deaktiviert werden:

    • Servername: Geben Sie den zu überprüfenden Server an.
    • Serverzertifikat: Vertrauenswürdiges Stammzertifikat zur Überprüfung des Servers
    • Benachrichtigung: Geben Sie an, ob der Benutzer in einer Benachrichtigung gefragt werden soll, ob der Server als vertrauenswürdig eingestuft werden soll.

• Protected Extensible Authentication Protocol (PEAP):

  • Serverüberprüfung: Mit PEAP kann die Servervalidierung aktiviert oder deaktiviert werden:

    • Servername: Geben Sie den zu überprüfenden Server an.
    • Serverzertifikat: Vertrauenswürdiges Stammzertifikat zur Überprüfung des Servers
    • Benachrichtigung: Geben Sie an, ob der Benutzer in einer Benachrichtigung gefragt werden soll, ob der Server als vertrauenswürdig eingestuft werden soll.

  • Innere Methode: Die äußere Methode erstellt einen sicheren Tunnel im Inneren, während die innere Methode verwendet wird, um die Authentifizierung abzuschließen:

    • EAP-MSCHAPv2
    • EAP-TLS

  • Schnelle Wiederherstellung der Verbindung: Verringert die Verzögerung zwischen einer Authentifizierungsanforderung von einem Client und der Antwort des Netzwerkrichtlinienservers (Network Policy Server, NPS) oder einem anderen RADIUS-Server (Remote Authentication Dial-in User Service). Dadurch werden Ressourcenanforderungen für Client und Server verringert, und die Häufigkeit, mit der Benutzer zur Eingabe von Anmeldeinformationen aufgefordert werden, wird minimiert.

  • Cryptobinding: Durch Ableiten und Austauschen von Werten aus dem PEAP Phase 1-Schlüsselmaterial (Tunnelschlüssel) und aus dem inneren EAP-Methodenschlüsselmaterial der PEAP-Phase 2 (InnerEr Sitzungsschlüssel) ist es möglich, nachzuweisen, dass die beiden Authentifizierungen bei den gleichen beiden Entitäten (PEAP-Peer und PEAP-Server) enden. Dieser als Kryptografiebindung bezeichnete Prozess wird zum Schutz der PEAP-Aushandlung vor Man-in-the-Middle-Angriffen verwendet.

• Tunneled Transport Layer Security (TTLS)

  • Innere Methode
    • Nicht EAP
      • Password Authentication-Protokoll (PAP)
      • CHAP
      • MSCHAP
      • MSCHAPv2
    • EAP
      • MSCHAPv2
      • TLS
  • Serverüberprüfung: Bei TTLS muss der Server überprüft werden. Folgendes kann konfiguriert werden:
    • Servername
    • Vertrauenswürdiges Stammzertifikat für Serverzertifikat
    • Senden von Benachrichtigungen zur Serverüberprüfung

Bei einem UWP-VPN-Plug-In steuert der App-Anbieter die zu verwendende Authentifizierungsmethode. Die folgenden Arten von Anmeldeinformationen können verwendet werden:

• Smartcard
• Zertifikat
• Windows Hello for Business
• Benutzername und Kennwort
• Einmalkennwort
• Benutzerdefinierter Typ von Anmeldeinformationen

Konfigurieren der Authentifizierung

Informationen zur EAP-XML-Konfiguration finden Sie unter EAP-Konfiguration.

Hinweis

Führen Sie zum Konfigurieren der Windows Hello for Business-Authentifizierung die Schritte unter EAP-Konfiguration aus, um ein Smartcardzertifikat zu erstellen. Erfahren Sie mehr über Windows Hello for Business.

Die folgende Abbildung zeigt das Feld für EAP-XML in einem Microsoft Intune-VPN-Profil. Das Feld für EAP-XML wird nur angezeigt, wenn Sie als Typ die integrierte Verbindung (Automatisch, IKEv2, L2TP, PPTP) auswählen.

Verwandte Themen

• Technische VPN-Anleitung
• VPN-Verbindungstypen
• VPN-Routingentscheidungen
• VPN und bedingter Zugriff
• VPN-Namensauflösung
• Automatisch ausgelöste VPN-Profiloptionen
• VPN-Sicherheitsfeatures
• VPN-Profiloptionen
• Extensible Authentication Protocol (EAP) für den Netzwerkzugriff