Bővíthető hitelesítési protokoll (EAP) a hálózati hozzáféréshez

Az Extensible Authentication Protocol (EAP) egy hitelesítési keretrendszer, amely lehetővé teszi különböző hitelesítési módszerek használatát a biztonságos hálózati hozzáférési technológiákhoz. Ilyen technológiák például az IEEE 802.1X használatával történő vezeték nélküli hozzáférés, az IEEE 802.1X vezetékes hozzáférés és a PPP-kapcsolatok, például a virtuális magánhálózat (VPN). Az EAP nem egy konkrét hitelesítési módszer, például a MS-CHAP v2, hanem egy keretrendszer, amely lehetővé teszi a hálózati szolgáltatók számára, hogy új hitelesítési módszereket, más néven EAP-metódusokat fejlesszenek ki és telepítsenek a hozzáférési ügyfélen és a hitelesítési kiszolgálón. Az EAP-keretrendszert eredetileg az RFC 3748 határozza meg, és számos más rfcs és szabvány bővíti.

Hitelesítési módszerek

Az bújtatott EAP-metódusok között használt EAP-hitelesítési módszereket gyakran belső metódusok vagy EAP-típusok néven ismerjük. A belső metódusként beállított metódusok konfigurációs beállításai megegyeznek a külső metódusként használt konfigurációs beállításokkal. Ez a cikk az EAP következő hitelesítési módszereire vonatkozó konfigurációs információkat tartalmazza.

EAP-Transport Layer Security (EAP-TLS): Szabványokon alapuló EAP-módszer, amely TLS-t használ tanúsítványokkal a kölcsönös hitelesítéshez. Intelligens kártyaként vagy más tanúsítványként (EAP-TLS) jelenik meg a Windows rendszerben. EAP-TLS egy másik EAP-metódus belső metódusaként vagy önálló EAP-metódusként is üzembe helyezhetők.

Tip

Az EAP-TLS-t használó EAP-módszerek tanúsítványalapúak általában a legmagasabb szintű biztonságot nyújtják. Például a EAP-TLS az egyetlen engedélyezett EAP-módszer WPA3-Enterprise 192 bites módban.

EAP-Microsoft Challenge Handshake Authentication Protocol version 2 (EAP-MSCHAP v2): A Microsoft által definiált EAP-módszer, amely beágyazza az MSCHAP v2 hitelesítési protokollt, amely felhasználónevet és jelszót használ a hitelesítéshez. Biztonságos jelszóként jelenik meg (EAP-MSCHAP v2) a Windows rendszerben. EAP-MSCHAPv2 a VPN önálló módszereként használható, de csak a vezetékes/vezeték nélküli kapcsolatok belső módszereként .

Warning

Az MSCHAPv2-alapú kapcsolatok az NTLMv1-hez hasonló támadásoknak vannak kitéve. A Windows 11 Enterprise 22H2-es verziója (22621-es build) lehetővé teszi a Windows Defender Credential Guard használatát, ami problémákat okozhat az MSCHAPv2-alapú kapcsolatokban.

Védett EAP (PEAP): A Microsoft által definiált EAP-módszer, amely az EAP-t egy TLS-alagútba ágyazza be. A TLS-alagút biztosítja a belső EAP-metódust, amely egyébként védtelen lehet. A Windows belső metódusként támogatja a EAP-TLS és a EAP-MSCHAP v2-t.

EAP-Tunneled Transport Layer Security (EAP-TTLS): Ezt az RFC 5281 ismerteti, amely egy TLS-munkamenetet foglal magában, amely kölcsönös hitelesítést végez egy másik belső hitelesítési mechanizmus használatával. Ez a belső módszer lehet EAP protokoll (például EAP-MSCHAP v2) vagy nem EAP protokoll (például PAP). A Windows Server 2012 rendszerben a EAP-TTLS beillesztése csak az ügyféloldalon nyújt támogatást (Windows 8 rendszerben). A hálózati házirend-kiszolgáló jelenleg nem támogatja a EAP-TTLS-t. Az ügyféltámogatás lehetővé teszi az EAP-TTLS támogatását támogató, általánosan telepített RADIUS-kiszolgálókkal való együttműködést.

EAP-Subscriber Identitásmodul (EAP-SIM), EAP-Authentication és kulcsszerződés (EAP-AKA), valamint EAP-AKA Prime (EAP-AKA): Ezt különböző RFC-k ismertetik, lehetővé teszik a hitelesítést SIM-kártyák használatával, és akkor implementálják, amikor az ügyfél vezeték nélküli szélessávú szolgáltatási csomagot vásárol egy mobilhálózat-üzemeltetőtől. A csomag részeként az ügyfél általában olyan vezeték nélküli profilt kap, amely előre konfigurálva van a SIM-hitelesítéshez.

Tunnel EAP (TEAP): Ezt az RFC 7170, bújtatott EAP metódus ismerteti, amely biztonságos TLS-alagutat hoz létre, és más EAP-metódusokat hajt végre az alagúton belül. Támogatja az EAP-láncolást – a készülék és a felhasználó hitelesítését egy hitelesítési munkameneten belül. A Windows Server 2022-ben a TEAP beépítése csak az ügyféloldali támogatást nyújtja - Windows 10, 2004-es verzió (build 19041). Az NPS jelenleg nem támogatja a TEAP-ot. Az ügyféltámogatás lehetővé teszi a TEAP-ot támogató, általánosan telepített RADIUS-kiszolgálókkal való együttműködést. A Windows belső metódusként támogatja a EAP-TLS és a EAP-MSCHAP v2-t.

Az alábbi táblázat felsorol néhány gyakori EAP-módszert és az IANA által hozzárendelt metódustípusszámokat.

EAP metódus IANA által hozzárendelt típusszám Natív Windows-támogatás
MD5-Challenge (EAP-MD5) 4
One-Time Jelszó (EAP-OTP) 5
Általános token kártya (EAP-GTC) 6
EAP-TLS 13
EAP-SIM 18
EAP-TTLS 21
EAP-AKA 23
PEAP 25
EAP-MSCHAP v2 26
Védett One-Time jelszó (EAP-POTP) 32
EAP-FAST 43
Előmegosztott kulcs (EAP-PSK) 47
EAP-IKEv2 49
EAP-AKA' 50
EAP-EKE 53
TEAP 55
EAP-NOOB 56

EAP-tulajdonságok konfigurálása

A 802.1X hitelesített vezetékes és vezeték nélküli hozzáférés EAP-tulajdonságait a következő módokon érheti el:

  • A Vezetékes hálózati (IEEE 802.3) házirendek és a Vezeték nélküli hálózati (IEEE 802.11) házirendek bővítmények konfigurálása a csoportházirendben.
    • Számítógép konfigurációja>Kiáltvány>Windows-beállítások>Biztonsági beállítások
  • Mobileszköz-kezelő (MDM) szoftverek, például az Intune (Wi-Fi/Wired) használata
  • Vezetékes vagy vezeték nélküli kapcsolatok manuális konfigurálása az ügyfélszámítógépeken.

A virtuális magánhálózati (VPN) kapcsolatok EAP-tulajdonságait a következő módokon érheti el:

  • Mobileszköz-kezelő (MDM) szoftverek, például az Intune használata
  • VPN-kapcsolatok manuális konfigurálása az ügyfélszámítógépeken.
  • A Csatlakozáskezelő felügyeleti csomag (CMAK) használata a VPN-kapcsolatok konfigurálásához.

Az EAP-tulajdonságok konfigurálásával kapcsolatos további információkért lásd: EAP-profilok és -beállítások konfigurálása a Windows rendszerben.

XML-profilok az EAP-hoz

A különböző kapcsolattípusokhoz használt profilok XML-fájlok, amelyek az adott kapcsolat konfigurációs beállításait tartalmazzák. Minden különböző kapcsolattípus egy adott sémát követ:

Ha azonban az EAP használatára van konfigurálva, minden profilséma rendelkezik egy EapHostConfig gyermekelemmel.

  • Vezetékes/vezeték nélküli: EapHostConfig az EAPConfig elem gyermekeleme. MSM > biztonság (vezetékes/vezeték nélküli) >OneX> EAPConfig
  • VPN: EapHostConfig a NativeProfile > Authentication > Eap > konfiguráció gyermekeleme

Ezt a konfigurációs szintaxist a Csoportházirend: Vezeték nélküli/vezetékes protokollbővítmény specifikáció határozza meg.

Note

A különböző konfigurációs grafikus felhasználói felületek nem mindig mutatnak minden technikailag lehetséges lehetőséget. A Windows Server 2019 és korábbi verziói például nem tudják konfigurálni a TEAP-ot a felhasználói felületen. A korábban konfigurált XML-profilokat azonban gyakran lehet importálni.

A cikk további része a csoportházirend/vezérlőpult felhasználói felületének EAP-specifikus részei és az XML-konfigurációs beállítások közötti leképezést, valamint a beállítás leírását hivatott biztosítani.

Az XML-profilok konfigurálásával kapcsolatos további információk az XML-profilokban találhatók. Az EAP-beállításokat tartalmazó XML-profil használatára példa a Wi-Fi profil kiépítése webhelyen keresztül című témakörben található.

Biztonsági beállítások

Az alábbi táblázat a 802.1X szabványt használó profilok konfigurálható biztonsági beállításait ismerteti. Ezek a beállítások a OneX-hez vannak megfeleltetve.

Setting XML-elem Description
Válasszon hálózati hitelesítési módszert: EAPConfig Lehetővé teszi a hitelesítéshez használt EAP-módszer kiválasztását. Lásd: Hitelesítési módszer konfigurációs beállításai és Mobilhálózati hitelesítés konfigurációs beállításai
Properties Megnyitja a kiválasztott EAP-módszer tulajdonságainak párbeszédablakát.
Hitelesítési mód authMode Megadja a hitelesítéshez használt hitelesítő adatok típusát. A következő értékek támogatottak:

1. Felhasználói vagy számítógépes hitelesítés
2. Számítógépes hitelesítés
3. Felhasználói hitelesítés
4. Vendég hitelesítés

A "számítógép" ebben az összefüggésben más hivatkozásokban "gépet" jelent. machineOrUser az alapértelmezett a Windows rendszerben.
Hitelesítési hibák maximális száma maxAuthFailures Megadja a hitelesítő adatok egy csoportjához engedélyezett hitelesítési hibák maximális számát, alapértelmezés szerint 1.
Felhasználói adatok gyorsítótárazása a hálózathoz való későbbi csatlakozásokhoz cacheUserData Megadja, hogy a felhasználó hitelesítő adatait gyorsítótárazni kell-e az ugyanahhoz a hálózathoz való későbbi csatlakozásokhoz, alapértelmezés szerint true.

Speciális biztonsági beállítások > IEEE 802.1X

Ha a speciális 802.1X-beállítások kényszerítése be van jelölve, a rendszer az alábbi beállításokat konfigurálja. Ha nincs bejelölve, az alapértelmezett beállítások érvényesek. Az XML-ben minden elem nem kötelező, és az alapértelmezett értékeket kell használni, ha nincsenek jelen.

Setting XML-elem Description
Max. Eapol-Start üzenet maxStart Megadja a hitelesítőnek (RADIUS-kiszolgálónak) küldhető EAPOL-Start üzenetek maximális számát, mielőtt a kérő (Windows-ügyfél) feltételezi, hogy nincs hitelesítő, alapértelmezés szerint 3.
Kezdési időszak (másodperc) startPeriod Megadja azt az időtartamot (másodpercben), amelyet a 802.1X hitelesítési folyamat elindításához EAPOL-Start üzenet küldése előtt kell várni, alapértelmezés szerint 5.
Tartási időszak (másodperc) heldPeriod Megadja azt az időtartamot (másodpercben), amelyet a sikertelen hitelesítési kísérlet után kell várni a hitelesítés újrakísérlésére, alapértelmezés szerint 1.
Hitelesítési időszak (másodperc) authPeriod Megadja azt az időtartamot (másodpercben), amely alatt meg kell várni a hitelesítő (RADIUS-kiszolgáló) válaszát, mielőtt feltételezné, hogy nincs hitelesítő, alapértelmezés szerint 18.
Eapol-Start üzenet supplicantMode Megadja a EAPOL-Start üzenetek átviteli módját. A következő értékek támogatottak:

1. Ne továbbítsa (inhibitTransmission)
2. Adás (includeLearning)
3. Adás IEEE 802.1X szerint (compliant)

A "számítógép" ebben az összefüggésben más hivatkozásokban "gépet" jelent. compliant az alapértelmezett a Windows rendszerben, és ez az egyetlen érvényes lehetőség a vezeték nélküli profilokhoz.

Speciális biztonsági beállítások > Egyszeri bejelentkezés

Az alábbi táblázat az egyszeri bejelentkezés (SSO) (korábbi nevén bejelentkezés előtti hozzáférés-szolgáltató (PLAP) beállításait ismerteti.

Setting XML-elem Description
Egyszeri bejelentkezés engedélyezése ehhez a hálózathoz singleSignOn Megadja, hogy az SSO engedélyezve van-e ezen a hálózaton, alapértelmezés szerint false. Ne használja singleSignOn profilban, ha a hálózat nem igényli.
Közvetlenül a felhasználó előtt hajtsa végre

Közvetlenül a felhasználó után hajtsa végre		 type Megadja, hogy mikor kell egyszeri bejelentkezést végrehajtani – a felhasználó bejelentkezése előtt vagy után.
A csatlakozás maximális késleltetése (másodperc) maxDelay Megadja az egyszeri bejelentkezési kísérlet sikertelensége előtti maximális késleltetést (másodpercben), alapértelmezés szerint .10
További párbeszédpanelek megjelenítésének engedélyezése az egyszeri bejelentkezés során allowAdditionalDialogs Megadta, hogy engedélyezi-e az EAP-párbeszédpanelek megjelenítését az egyszeri bejelentkezés során, alapértelmezés szerint false.
Ez a hálózat különböző VLAN-t használ a számítógép és a felhasználó hitelesítő adataival történő hitelesítéshez userBasedVirtualLan Megadja, hogy az eszköz által használt virtuális LAN (VLAN) megváltozzon-e a felhasználó hitelesítő adatai alapján, alapértelmezés szerint false.

Hitelesítési módszer konfigurációs beállításai

Caution

Ha egy hálózati hozzáférési kiszolgáló úgy van konfigurálva, hogy az alagutat használó EAP-metódushoz (például PEAP) és egy nem bújtatott EAP-metódushoz (például EAP-MSCHAP v2) ugyanazt a hitelesítési módszert engedélyezze, biztonsági rés léphet fel. Ha bújtatott EAP-módszert és EAP-t is telepít (amely nem védett), ne használja ugyanazt a hitelesítési típust. Ha például a PEAP-TLS-t telepíti, ne helyezzen üzembe EAP-TLS, mert ha az alagút védelmére van szükség, az nem szolgál arra a célra, hogy a metódust az alagúton kívül is végrehajthassa.

Az alábbi táblázat az egyes hitelesítési módszerek konfigurálható beállításait ismerteti.

Az EapTlsConnectionPropertiesV1 felhasználói felületi térképének EAP-TLS beállításai, amelyeket az EapTlsConnectionPropertiesV2 és az EapTlsConnectionPropertiesV3 bővít.

Setting XML-elem Description
Az intelligens kártya használata Hitelesítő adatokforrás>SmartCard Megadja, hogy a hitelesítést kérelmező ügyfeleknek intelligens kártyatanúsítványt kell bemutatniuk a hálózati hitelesítéshez.
Tanúsítvány használata ezen a számítógépen Hitelesítő adatokforrás>CertificateStore Megadja, hogy a hitelesítő ügyfeleknek az Aktuális felhasználó vagy a Helyi számítógép tanúsítványtárolóban található tanúsítványt kell használniuk.
Egyszerű tanúsítványválasztás használata (ajánlott) SimpleCertSelection Megadja, hogy a Windows automatikusan kiválasztja-e a hitelesítéshez szükséges tanúsítványt felhasználói beavatkozás nélkül (ha lehetséges), vagy ha a Windows egy legördülő menüt jelenít meg a felhasználó számára a tanúsítvány kiválasztásához.
Advanced Megnyitja a Tanúsítvány kiválasztásának konfigurálása párbeszédpanelt.
Kiszolgálóérvényesítési beállítások
Használjon másik felhasználónevet a kapcsolathoz DifferentUsername Megadja, hogy a tanúsítványban szereplő felhasználónévtől eltérő felhasználónevet használjon-e a hitelesítéshez.

Az alábbiakban a Tanúsítvány kiválasztásának konfigurálása konfigurációs beállításait soroljuk fel. Ezek a beállítások határozzák meg azokat a feltételeket, amelyek alapján az ügyfél kiválasztja a megfelelő tanúsítványt a hitelesítéshez. Ez a felhasználói felület a TLSExtensions>FilteringInfo-hoz lesz leképezésre.

Setting XML-elem Description
Tanúsítványkibocsátó CAHashListEnabled="true" Megadja, hogy engedélyezve van-e a tanúsítványkibocsátó szűrése.

Ha a tanúsítványkibocsátó és a kiterjesztett kulcshasználat (EKU) is engedélyezve van, a rendszer csak azokat a tanúsítványokat tekinti érvényesnek, amelyek megfelelnek mindkét feltételnek az ügyfél kiszolgálóhoz való hitelesítéséhez.
Legfelső szintű hitelesítésszolgáltatók IssuerHash Felsorolja az összes olyan kibocsátó nevét, amelyeknek megfelelő hitelesítésszolgáltatói tanúsítványai megtalálhatók a helyi számítógépfiók megbízható legfelső szintű hitelesítésszolgáltatók vagy köztes hitelesítésszolgáltatók tanúsítványtárolójában. Ez a következőket foglalja magában:

  • Az összes fő hitelesítésszolgáltató és köztes hitelesítésszolgáltató.
  • Csak azokat a kiállítókat tartalmazza, amelyekhez megfelelő érvényes tanúsítványok találhatók a számítógépen (például nem lejárt vagy nem visszavont tanúsítványok).
  • A hitelesítésre engedélyezett tanúsítványok végleges listája csak azokat a tanúsítványokat tartalmazza, amelyeket a listában kiválasztott kiállítók állítottak ki.

    • XML-ben ez a tanúsítvány SHA-1 ujjlenyomata (kivonata).
    Kiterjesztett kulcshasználat (EKU) Lehetővé teszi a Minden cél, az Ügyfélhitelesítés, az AnyPurpose vagy ezek bármilyen kombinációjának kiválasztását. Megadja, hogy egy kombináció kiválasztásakor a három feltétel közül legalább egynek megfelelő összes tanúsítvány érvényes tanúsítványnak minősül az ügyfél kiszolgálóval való hitelesítéséhez. Ha az EKU-szűrés engedélyezve van, az egyik lehetőséget ki kell jelölni, ellenkező esetben a Kiterjesztett kulcshasználat (EKU) jelölőnégyzet nem lesz bejelölve.
    Minden célra AllPurposeEnabled Ha be van jelölve, ez az elem azt határozza meg, hogy a minden célú EKU-t tartalmazó tanúsítványok érvényes tanúsítványnak minősülnek az ügyfél kiszolgálóhoz való hitelesítéséhez. A minden célra vonatkozó objektumazonosító (OID) üres 0 vagy üres.
    Ügyfél-hitelesítés ClientAuthEKUListEnabled="true" (> EKUMapInList > EKUName) Megadja, hogy az ügyfél-hitelesítési EKU-val és az EKU-k megadott listájával rendelkező tanúsítványok érvényes tanúsítványnak minősülnek az ügyfél kiszolgálóhoz való hitelesítéséhez. Az ügyfél-hitelesítés objektumazonosítója (OID) az 1.3.6.1.5.5.7.3.2.
    AnyPurpose AnyPurposeEKUListEnabled="true" (> EKUMapInList > EKUName) Megadja, hogy az AnyPurpose EKU-val és az EKU-k megadott listájával rendelkező összes tanúsítvány érvényes tanúsítványnak minősül az ügyfél kiszolgálóhoz való hitelesítéséhez. Az AnyPurpose objektumazonosítója (OID) az 1.3.6.1.4.1.311.10.12.1.
    Add EKUMapping > EKUMap > EKUName/EKUOID Megnyitja az EKUs kiválasztása párbeszédpanelt, amellyel szabványos, egyéni vagy szállítóspecifikus EKU-kat vehet fel az Ügyfélhitelesítés vagy az AnyPurpose listára.

    Ha a Hozzáadás vagy Szerkesztés lehetőséget választja az EKUs kiválasztása párbeszédpanelen, megnyílik az EKU hozzáadása/szerkesztése párbeszédpanel, amely két lehetőséget kínál:

    1. Adja meg az EKU nevét - Helyet biztosít az egyéni kibővített kulcshasználat nevének beírásához.
    2. Adja meg az EKU OID-t - Helyet biztosít az EKU OID-jának beírásához. Csak numerikus számjegyek, elválasztók és engedélyezettek . . A helyettesítő karakterek engedélyezettek, ebben az esetben a hierarchiában lévő összes gyermek OID engedélyezett.

    Például a beírás 1.3.6.1.4.1.311.* lehetővé teszi 1.3.6.1.4.1.311.42 a és a 1.3.6.1.4.1.311.42.2.1.
    Edit Lehetővé teszi a hozzáadott egyéni EKU-k szerkesztését. Az alapértelmezett, előre definiált kibővített kulcshasználatok nem szerkeszthetők.
    Remove Eltávolítja a kijelölt termékváltozatot az ügyfél-hitelesítés vagy az AnyPurpose listából.

    Kiszolgálótanúsítvány érvényesítése

    Számos EAP-módszer tartalmaz lehetőséget arra, hogy az ügyfél érvényesítse a kiszolgáló tanúsítványát. Ha a kiszolgálói tanúsítvány nincs érvényesítve, az ügyfél nem lehet biztos abban, hogy a megfelelő kiszolgálóval kommunikál. Ez biztonsági kockázatoknak teszi ki az ügyfelet, beleértve annak lehetőségét, hogy az ügyfél tudtán kívül csatlakozhat egy szélhámos hálózathoz.

    Note

    A Windows megköveteli, hogy a kiszolgálótanúsítvány rendelkezik a kiszolgálóhitelesítési termékváltozattal. Az EKU objektumazonosítója (OID) a következő: 1.3.6.1.5.5.7.3.1.

    Az alábbi táblázat az egyes EAP-módszerekre vonatkozó kiszolgálóérvényesítési beállításokat sorolja fel. A Windows 11 konzisztensebbre frissítette a kiszolgáló érvényesítési logikáját. További információ: Frissített kiszolgálótanúsítvány-érvényesítési viselkedés a Windows 11-ben. Ha ütköznek, az alábbi táblázatban található leírások a Windows 10 és korábbi verziók viselkedését ismertetik.

    Setting XML-elem Description
    A kiszolgáló identitásának ellenőrzése a tanúsítvány érvényesítésével EAP-TLS:
    PerformServerValidation

    PEAP:
    PerformServerValidation    		 Ez az elem azt határozza meg, hogy az ügyfél ellenőrzi, hogy az ügyfélszámítógépnek bemutatott kiszolgálói tanúsítványok rendelkeznek-e a következőkkel:

  • A megfelelő aláírások
  • Az aláírások nem lejártak
  • Megbízható legfelső szintű hitelesítésszolgáltató (CA) adta ki

    • Ha letiltja ezt a jelölőnégyzetet, az ügyfélszámítógépek nem tudják ellenőrizni a kiszolgálók identitását a hitelesítési folyamat során. Ha a kiszolgáló hitelesítése nem történik meg, a felhasználók súlyos biztonsági kockázatoknak vannak kitéve, beleértve annak lehetőségét, hogy a felhasználók tudtukon kívül csatlakozhatnak egy szélhámos hálózathoz.
    Csatlakozás ezekhez a kiszolgálókhoz EAP-TLS:
    ServerValidation>ServerNames

    PEAP:
    ServerValidation>ServerNames

    EAP-TTLS:
    ServerValidation>
    ServerNames

    TEAP:
    ServerValidation>
    ServerNames
    		 Lehetővé teszi a hálózati hitelesítést és engedélyezést biztosító RADIUS-kiszolgálók nevének megadását.

    A nevet pontosan úgy kell beírnia, ahogyan az az egyes RADIUS-kiszolgálói tanúsítványok tárgymezőjében megjelenik, vagy a kiszolgáló nevének megadásához regex kifejezéseket (regex) kell használnia.

    A reguláris kifejezés teljes szintaxisa használható a kiszolgáló nevének megadására, de a reguláris kifejezés literál karakterlánctól való megkülönböztetéséhez legalább egyet * kell használnia a megadott karakterláncban. Megadhatja nps.*\.example\.com például a RADIUS-kiszolgáló nps1.example.com vagy a nps2.example.com. Több kiszolgáló elkülönítéséhez is hozzáadhat egy ; kiszolgálót.

    Ha nincs megadva RADIUS-kiszolgáló, az ügyfél csak azt ellenőrzi, hogy a RADIUS-kiszolgáló tanúsítványát megbízható legfelső szintű hitelesítésszolgáltató állította-e ki.
    Megbízható legfelső szintű hitelesítésszolgáltatók EAP-TLS:
    ServerValidation>TrustedRootCA

    PEAP:
    ServerValidation>TrustedRootCA

    EAP-TTLS:
    ServerValidation>
    TrustedRootCAHashes

    TEAP:
    ServerValidation>
    TrustedRootCAHashes    		 Felsorolja a megbízható legfelső szintű hitelesítésszolgáltatókat. A lista a számítógépre és a felhasználói tanúsítványtárolókba telepített megbízható legfelső szintű hitelesítésszolgáltatókból épül fel. Megadhatja, hogy a kérelmezők mely megbízható legfelső szintű hitelesítésszolgáltatói tanúsítványok alapján állapítsák meg, hogy megbíznak-e a kiszolgálókban, például a hálózati házirend-kiszolgálót futtató kiszolgálóban vagy a létesítési kiszolgálóban. Ha nincs kijelölve megbízható legfelső szintű hitelesítésszolgáltató, a 802.1X-ügyfél ellenőrzi, hogy a RADIUS-kiszolgáló számítógép-tanúsítványát egy telepített megbízható legfelső szintű hitelesítésszolgáltató állítja-e ki. Ha egy vagy több megbízható legfelső szintű hitelesítésszolgáltató van kiválasztva, a 802.1X-ügyfél ellenőrzi, hogy a RADIUS-kiszolgáló számítógép-tanúsítványát egy kijelölt megbízható legfelső szintű hitelesítésszolgáltató állítja-e ki.

    Ha nincs megbízható legfelső szintű hitelesítésszolgáltató kiválasztva, az ügyfél ellenőrzi, hogy a RADIUS-kiszolgáló tanúsítványát megbízható legfelső szintű hitelesítésszolgáltató állította-e ki.

    Ha nyilvános kulcsú infrastruktúrával (PKI) rendelkezik a hálózaton, és a hitelesítésszolgáltatóval állítja ki a tanúsítványokat a RADIUS-kiszolgálóknak, a hitelesítésszolgáltatói tanúsítvány automatikusan felkerül a megbízható legfelső szintű hitelesítésszolgáltatók listájára. Hitelesítésszolgáltatói tanúsítványt nem a Microsoft gyártójától is vásárolhat. Egyes nem a Microsoft által gyártott megbízható legfelső szintű hitelesítésszolgáltatók olyan szoftvert biztosítanak a megvásárolt tanúsítvánnyal, amely automatikusan telepíti a megvásárolt tanúsítványt a megbízható legfelső szintű hitelesítésszolgáltatók tanúsítványtárolójába. Ebben az esetben a megbízható legfelső szintű hitelesítésszolgáltató automatikusan megjelenik a megbízható legfelső szintű hitelesítésszolgáltatók listájában.

    Ne adjon meg olyan megbízható legfelső szintű hitelesítésszolgáltatói tanúsítványt, amely még nem szerepel az ügyfélszámítógépek megbízható legfelső szintű hitelesítésszolgáltatók tanúsítványtárolóiban az aktuális felhasználó és a helyi számítógép számára. Ha olyan tanúsítványt jelöl ki, amely nincs telepítve az ügyfélszámítógépeken, a hitelesítés meghiúsul.

    XML-ben ez a tanúsítvány (vagy TEAP esetén SHA-256) SHA-1 ujjlenyomata (kivonata).

    Kiszolgálóérvényesítési felhasználói kérés

    Az alábbi táblázat az egyes EAP-metódusokhoz elérhető kiszolgálóérvényesítési felhasználói parancssori beállításokat ismerteti. Ha egy kiszolgálótanúsítvány nem megbízható, ezek a beállítások határozzák meg, hogy:

    • A kapcsolat azonnal meghiúsul.
    • A rendszer arra kéri a felhasználót, hogy fogadja el vagy utasítsa el manuálisan a kapcsolatot.
    Setting XML-elem
    Ne kérje a felhasználót új kiszolgálók vagy megbízható hitelesítésszolgáltatók engedélyezésére ServerValidation>DisableUserPromptForServerValidation

    Megakadályozza, hogy a rendszer kérje a felhasználót, hogy bízzon meg egy kiszolgálói tanúsítványban, ha a tanúsítvány helytelenül van konfigurálva, még nem megbízható, vagy mindkettő (ha engedélyezve van). A felhasználói élmény egyszerűsítése és annak megakadályozása érdekében, hogy a felhasználók tévedésből megbízzanak egy támadó által telepített kiszolgálóban, javasoljuk, hogy jelölje be ezt a jelölőnégyzetet.

    Mobilhálózati hitelesítés konfigurációs beállításai

    Az alábbiakban az EAP-SIM, EPA-AKA és EPA-AKA' konfigurációs beállításait soroljuk fel.

    EAP-SIM az RFC 4186-ban van definiálva. Az EAP előfizetői azonosító modul (SIM) a hitelesítésre és a munkamenetkulcs-elosztásra szolgál a 2. generációs mobilhálózat globális mobilkommunikációs rendszerének (GSM) előfizetői azonosító moduljának (SIM) használatával.

    Az EapSimConnectionPropertiesV1 felhasználói felületi térképének EAP-SIM beállításai.

    Item XML-elem Description
    Erős titkosítási kulcsok használata UseStrongCipherKeys Megadja, hogy ha be van jelölve, a profil erős titkosítást használjon.
    Ne fedje fel a valódi személyazonosságot a szervernek, ha álnév identitás elérhető DontRevealPermanentID Ha engedélyezve van, arra kényszeríti az ügyfelet, hogy meghiúsuljon a hitelesítés, ha a kiszolgáló állandó identitást kér, bár az ügyfél álnévi identitással rendelkezik. Az álnevesített identitások az identitás adatvédelmére szolgálnak, így a felhasználó tényleges vagy állandó identitása nem derül ki a hitelesítés során.
    ProviderName Csak XML-ben érhető el, amely a hitelesítéshez engedélyezett szolgáltató nevét jelzi.
    Tartományok használatának engedélyezése Birodalom=true Megadja a tartomány nevének beírásának helyét. Ha ez a mező üresen marad, és a tartományok használatának engedélyezése van kiválasztva, akkor a tartomány a nemzetközi mobil-előfizetői identitásból (IMSI) származik a tartomány 3gpp.org használatával, a 3. generációs partnerségi projekt (3GPP) 23.003 V6.8.0 szabványában leírtak szerint.
    Tartomány megadása Realm Helyet biztosít a tartománynév beírásához. Ha a tartományok használatának engedélyezése engedélyezve van, a rendszer ezt a sztringet használja. Ha ez a mező üres, a rendszer a származtatott tartományt használja.

    WPA3-Enterprise 192 bites mód

    WPA3-Enterprise 192 bites mód egy speciális mód a WPA3-Enterprise számára, amely bizonyos magas biztonsági követelményeket érvényesít a vezeték nélküli kapcsolattal szemben, hogy legalább 192 bites biztonságot nyújtson. Ezek a követelmények összhangban vannak a Commercial National Security Algorithm (CNSA) Suite (CNSSP 15) csomaggal, amely az Egyesült Államok Nemzetbiztonsági Ügynöksége (NSA) által minősített és szigorúan titkos információk védelmére jóváhagyott titkosítási algoritmusok összessége. A 192 bites módot néha "Suite B módnak" is nevezhetjük, amely az NSA Suite B kriptográfiai specifikációjára utal, amelyet 2016-ban a CNSA váltott fel.

    A WPA3-Enterprise és WPA3-Enterprise 192 bites mód is elérhető a Windows 10 2004-es verziójától (19041-es build) és a Windows Server 2022-től. A WPA3-Enterprise azonban külön hitelesítési algoritmusként emelték ki a Windows 11 rendszerben. Az XML-ben ez az authEncryption elemben van megadva.

    Az alábbi táblázat felsorolja a CNSA Suite által igényelt algoritmusokat.

    Algorithm Description Parameters
    Fejlett titkosítási szabvány (AES) Titkosításhoz használt szimmetrikus blokktitkosítás 256 bites kulcs (AES-256)
    Elliptikus görbe Diffie-Hellman (ECDH) kulcscsere Közös titok (kulcs) létrehozásához használt aszimmetrikus algoritmus 384 bites prímmodulus görbe (P-384)
    Elliptikus görbe digitális aláírási algoritmusa (ECDSA) Digitális aláírásokhoz használt aszimmetrikus algoritmus 384 bites prímmodulus görbe (P-384)
    Biztonságos kivonatoló algoritmus (SHA) Kriptográfiai kivonat függvény SHA-384
    Diffie-Hellman (DH) kulcscsere Közös titok (kulcs) létrehozásához használt aszimmetrikus algoritmus 3072 bites modulus
    Rivest-Shamir-Adleman (RSA) Digitális aláíráshoz vagy kulcslétesítéshez használt aszimmetrikus algoritmus 3072 bites modulus

    A CNSA-követelményeknek való megfelelés érdekében WPA3-Enterprise 192 bites mód a EAP-TLS használatát írja elő az alábbi korlátozott titkosítási csomagokkal:

    • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

      • ECDHE és ECDSA a P-384 384 bites prímmodulus görbével

    • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 / TLS_DHE_RSA_AES_256_GCM_SHA384

      • ECDHE a P-384 384 bites prímmodulus-görbével

      • RSA >= 3072 bites modulus

    Note

    A P-384 más néven secp384r1 vagy .nistp384 Más háromliptikus görbék, például a P-521 nem engedélyezettek.

    Az SHA-384 az SHA-2 hash függvények családjába tartozik. Más algoritmusok és változatok, például az SHA-512 vagy az SHA3-384 nem engedélyezettek.

    A Windows csak a TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 192 bites módban WPA3-Enterprise és a TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 titkosítási csomagokat támogatja. A TLS_DHE_RSA_AES_256_GCM_SHA384 titkosítási csomag nem támogatott.

    A TLS 1.3 új, egyszerűsített TLS-csomagokat használ, amelyek közül csak TLS_AES_256_GCM_SHA384 WPA3-Enterprise 192 bites móddal kompatibilis. Mivel a TLS 1.3 megköveteli az (EC)DHE-t, és lehetővé teszi az ECDSA vagy RSA tanúsítványokat, valamint az AES-256 AEAD és az SHA384 hash-t, egyenértékű TLS_AES_256_GCM_SHA384 a TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 és .TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 Az RFC 8446 azonban megköveteli, hogy a TLS 1.3-kompatibilis alkalmazások támogassák a P-256-ot, amelyet a CNSA tilt. Ezért WPA3-Enterprise 192 bites mód nem lehet teljes mértékben kompatibilis a TLS 1.3-mal. A TLS 1.3 és WPA3-Enterprise 192 bites móddal kapcsolatban azonban nincsenek ismert együttműködési problémák.

    A hálózat 192 bites módra való konfigurálásához WPA3-EnterpriseEAP-TLS Windows rendszert olyan tanúsítvánnyal kell használni amely megfelel a korábban ismertetett követelményeknek.

    Lásd még

    • Last updated on