Megosztás a következőn keresztül:

Bővíthető hitelesítési protokoll (EAP) a hálózati hozzáféréshez

Az Extensible Authentication Protocol (EAP) egy hitelesítési keretrendszer, amely lehetővé teszi különböző hitelesítési módszerek használatát a biztonságos hálózati hozzáférési technológiákhoz. Ilyen technológiák például az IEEE 802.1X használatával történő vezeték nélküli hozzáférés, az IEEE 802.1X vezetékes hozzáférés és a PPP-kapcsolatok, például a virtuális magánhálózat (VPN). Az EAP nem egy adott hitelesítési módszer, mint például a MS-CHAP v2, hanem egy keretrendszer, amely lehetővé teszi a hálózati szállítók számára, hogy új hitelesítési módszereket, más néven EAP-módszereket fejlesszenek ki és telepítsenek a hozzáférési ügyfélre és a hitelesítési kiszolgálóra. Az EAP keretrendszert eredetileg az RFC 3748 határozta meg, és számos más RFC és szabvány bővítette.

Hitelesítési módszerek

A bújtatott EAP-módszerekben használt EAP-hitelesítési módszereket általában belső metódusoknak vagy EAP-típusoknak nevezik. A belső metódusként beállított metódusok konfigurációs beállításai megegyeznek a külső metódusként való használattal. Ez a cikk az EAP következő hitelesítési módszereire vonatkozó konfigurációs információkat tartalmazza.

EAP-Transport Layer Security (EAP-TLS): Szabványokon alapuló EAP-módszer, amely TLS-t használ tanúsítványokkal a kölcsönös hitelesítéshez. Intelligens kártyaként vagy más tanúsítványként (EAP-TLS) jelenik meg a Windows rendszerben. EAP-TLS üzembe helyezhető egy másik EAP-metódus belső metódusaként vagy önálló EAP-metódusként.

Jótanács

Az EAP-TLS-t használó EAP-módszerek tanúsítványalapúak általában a legmagasabb szintű biztonságot nyújtják. Például a EAP-TLS az egyetlen engedélyezett EAP-módszer WPA3-Enterprise 192 bites módban.

EAP-Microsoft Challenge Handshake Authentication Protocol version 2 (EAP-MSCHAP v2): A Microsoft által definiált EAP-módszer, amely beágyazza az MSCHAP v2 hitelesítési protokollt, amely felhasználónevet és jelszót használ a hitelesítéshez. Biztonságos jelszóként jelenik meg (EAP-MSCHAP v2) a Windows rendszerben. EAP-MSCHAPv2 használható önálló módszerként a VPN-hez, de csak belső módszerként vezetékes/vezeték nélkülihez.

Figyelmeztetés

Az MSCHAPv2-alapú kapcsolatok az NTLMv1-hez hasonló támadásoknak vannak kitéve. A Windows 11 Enterprise 22H2-es verziója (22621-es build) lehetővé teszi a Windows Defender Credential Guardot , amely problémákat okozhat az MSCHAPv2-alapú kapcsolatokban.

Védett EAP (PEAP): A Microsoft által definiált EAP-módszer, amely az EAP-t egy TLS-alagútba ágyazza be. A TLS-alagút biztosítja a belső EAP-metódust, amely egyébként védtelen lehet. A Windows belső metódusként támogatja a EAP-TLS és a EAP-MSCHAP v2-t.

EAP-Tunneled Transport Layer Security (EAP-TTLS): Az RFC 5281 által leírt TLS-munkamenetet foglal magában, amely kölcsönös hitelesítést hajt végre egy másik belső hitelesítési mechanizmussal. Ez a belső módszer lehet EAP protokoll (például EAP-MSCHAP v2) vagy nem EAP protokoll (például PAP). A Windows Server 2012 rendszerben a EAP-TTLS beillesztése csak az ügyféloldalon nyújt támogatást (Windows 8 rendszerben). A hálózati házirend-kiszolgáló jelenleg nem támogatja a EAP-TTLS-t. Az ügyféltámogatás lehetővé teszi az EAP-TTLS támogatását támogató, általánosan telepített RADIUS-kiszolgálókkal való együttműködést.

EAP-Subscriber Identity Module (EAP-SIM), EAP-Authentication és Key Agreement (EAP-AKA) és EAP-AKA Prime (EAP-AKA'): Különböző RFC-k írják le, lehetővé teszi a SIM-kártyákkal történő hitelesítést, és akkor valósul meg, amikor az ügyfél vezeték nélküli szélessávú szolgáltatási csomagot vásárol egy mobilhálózat-üzemeltetőtől. A csomag részeként az ügyfél általában olyan vezeték nélküli profilt kap, amely előre konfigurálva van a SIM-hitelesítéshez.

Alagút EAP (TEAP): Az RFC 7170 által leírt bújtatott EAP-módszer, amely biztonságos TLS-alagutat hoz létre, és más EAP-metódusokat hajt végre az alagúton belül. Támogatja az EAP-láncolást – a készülék és a felhasználó hitelesítését egy hitelesítési munkameneten belül. A Windows Server 2022-ben a TEAP beépítése csak az ügyféloldali támogatást nyújtja - Windows 10, 2004-es verzió (build 19041). Az NPS jelenleg nem támogatja a TEAP-ot. Az ügyféltámogatás lehetővé teszi a TEAP-ot támogató, általánosan telepített RADIUS-kiszolgálókkal való együttműködést. A Windows belső metódusként támogatja a EAP-TLS és a EAP-MSCHAP v2-t.

Az alábbi táblázat felsorol néhány gyakori EAP-módszert és az IANA által hozzárendelt metódustípusszámokat.

EAP módszer IANA hozzárendelt típusszám Natív Windows-támogatás
MD5-Challenge (EAP-MD5) 4
One-Time Jelszó (EAP-OTP) 5
Általános token kártya (EAP-GTC) 6
EAP-TLS 13
EAP-SIM 18
EAP-TTLS 21
EAP-AKA 23
FEJFEJ 25
EAP-MSCHAP v2 26
Védett One-Time jelszó (EAP-POTP) 32
EAP-FAST 43
Előmegosztott kulcs (EAP-PSK) 47
EAP-IKEv2 49
EAP-AKA" 50
EAP-EKE 53
TEAP 55
EAP-NOOB 56

EAP-tulajdonságok konfigurálása

A 802.1X hitelesített vezetékes és vezeték nélküli hozzáférés EAP-tulajdonságait a következő módokon érheti el:

  • A Vezetékes hálózati (IEEE 802.3) házirendek és a Vezeték nélküli hálózati (IEEE 802.11) házirendek bővítmények konfigurálása a csoportházirendben.
    • Számítógép konfigurációja>Kiáltvány>Windows beállítások>Biztonsági beállítások
  • Mobileszköz-kezelő (MDM) szoftverek, például Intune (Wi-Fi/vezetékes) használata
  • Vezetékes vagy vezeték nélküli kapcsolatok manuális konfigurálása az ügyfélszámítógépeken.

A virtuális magánhálózati (VPN) kapcsolatok EAP-tulajdonságait a következő módokon érheti el:

  • Mobileszköz-kezelő (MDM) szoftverek, például az Intune használata
  • VPN-kapcsolatok manuális konfigurálása az ügyfélszámítógépeken.
  • A Csatlakozáskezelő felügyeleti csomag (CMAK) használata a VPN-kapcsolatok konfigurálásához.

Az EAP-tulajdonságok konfigurálásával kapcsolatos további információkért lásd: EAP-profilok és -beállítások konfigurálása a Windows rendszerben.

XML-profilok az EAP-hoz

A különböző kapcsolattípusokhoz használt profilok XML-fájlok, amelyek az adott kapcsolat konfigurációs beállításait tartalmazzák. Minden különböző kapcsolattípus egy adott sémát követ:

Ha azonban az EAP használatára van konfigurálva, minden profilséma rendelkezik egy gyermekelemmel EapHostConfig elem.

  • Vezetékes/vezeték nélküli: EapHostConfig az EAPConfig elem gyermekeleme. MSM > biztonság (vezetékes/vezeték nélküli) >OneX> EAPConfig
  • VPN: EapHostConfig a NativeProfile > Authentication > Eap > konfiguráció gyermekeleme

Ezt a konfigurációs szintaxist a Csoportházirend: Vezeték nélküli/vezetékes protokollbővítmény specifikáció határozza meg.

Megjegyzés:

A különböző konfigurációs grafikus felhasználói felületek nem mindig mutatnak minden technikailag lehetséges lehetőséget. A Windows Server 2019 és korábbi verziói például nem tudják konfigurálni a TEAP-ot a felhasználói felületen. Gyakran azonban lehetséges egy korábban konfigurált meglévő XML-profil importálása.

A cikk további részében a Csoportházirend/Vezérlőpult felhasználói felületének EAP-specifikus részei és az XML konfigurációs beállításai közötti leképezést kívánja nyújtani, valamint ismerteti a beállítást.

Az XML-profilok konfigurálásáról további információt az XML-profilok című témakörben talál. Az EAP-beállításokat tartalmazó XML-profil használatára példa a Wi-Fi profil kiépítése webhelyen keresztül című témakörben található.

Biztonsági beállítások

Az alábbi táblázat a 802.1X szabványt használó profilok konfigurálható biztonsági beállításait ismerteti. Ezek a beállítások a OneX-re vannak leképezve.

Beállítás XML-elem Leírás
Válasszon hálózati hitelesítési módszert: EAPConfig Lehetővé teszi a hitelesítéshez használt EAP-módszer kiválasztását. Lásd: Hitelesítési módszer konfigurációs beállításai és Mobilhálózati hitelesítés konfigurációs beállításai
Tulajdonságok Megnyitja a kiválasztott EAP-módszer tulajdonságainak párbeszédablakát.
Hitelesítési mód authMode Megadja a hitelesítéshez használt hitelesítő adatok típusát. A következő értékek támogatottak:

1. Felhasználói vagy számítógépes hitelesítés
2. Számítógépes hitelesítés
3. Felhasználói hitelesítés
4. Vendég hitelesítés

A "számítógép" ebben az összefüggésben más hivatkozásokban "gépet" jelent. machineOrUser az alapértelmezett a Windows rendszerben.
Hitelesítési hibák maximális száma maxAuthFailures Megadja a hitelesítő adatok egy csoportjához engedélyezett hitelesítési hibák maximális számát, alapértelmezés szerint 1.
Felhasználói adatok gyorsítótárazása a hálózathoz való későbbi csatlakozásokhoz cacheUserData Megadja, hogy a felhasználó hitelesítő adatait gyorsítótárazni kell-e az ugyanahhoz a hálózathoz való későbbi csatlakozásokhoz, alapértelmezés szerint true.

Speciális biztonsági beállítások > IEEE 802.1X

Ha a Speciális 802.1X beállítások kényszerítése be van jelölve, az alábbi beállítások mindegyike konfigurálva lesz. Ha nincs bejelölve, az alapértelmezett beállítások érvényesek. Az XML-ben minden elem nem kötelező, és az alapértelmezett értékeket kell használni, ha nincsenek jelen.

Beállítás XML-elem Leírás
Max. Eapol-Start üzenet maxStart Megadja a hitelesítőnek (RADIUS-kiszolgálónak) küldhető EAPOL-Start üzenetek maximális számát, mielőtt a kérő (Windows-ügyfél) feltételezi, hogy nincs hitelesítő, alapértelmezés szerint 3.
Kezdési időszak (másodperc) startPeriod Megadja azt az időtartamot (másodpercben), amelyet a 802.1X hitelesítési folyamat elindításához EAPOL-Start üzenet küldése előtt kell várni, alapértelmezés szerint 5.
Tartási időszak (másodperc) tartottIdőszak Megadja azt az időtartamot (másodpercben), amelyet a sikertelen hitelesítési kísérlet után kell várni a hitelesítés újrakísérlésére, alapértelmezés szerint 1.
Hitelesítési időszak (másodperc) authIdőszak Megadja azt az időtartamot (másodpercben), amely alatt meg kell várni a hitelesítő (RADIUS-kiszolgáló) válaszát, mielőtt feltételezné, hogy nincs hitelesítő, alapértelmezés szerint 18.
Eapol-Start üzenet könyörgőMode Megadja a EAPOL-Start üzenetek átviteli módját. A következő értékek támogatottak:

1. Ne küldjön (inhibitTransmission)
2. Adás (includeLearning)
3. Adás IEEE 802.1X szerint (compliant)

A "számítógép" ebben az összefüggésben más hivatkozásokban "gépet" jelent. compliant az alapértelmezett a Windows rendszerben, és ez az egyetlen érvényes lehetőség a vezeték nélküli profilokhoz.

Speciális biztonsági beállítások > Egyszeri bejelentkezés

Az alábbi táblázat az egyszeri bejelentkezés (SSO) (korábbi nevén bejelentkezés előtti hozzáférés-szolgáltató (PLAP) beállításait ismerteti.

Beállítás XML-elem Leírás
Egyszeri bejelentkezés engedélyezése ehhez a hálózathoz singleSignOn Megadja, hogy az SSO engedélyezve van-e ezen a hálózaton, alapértelmezés szerint false. Ne használja singleSignOn profilban, ha a hálózat nem igényli.
Közvetlenül a felhasználó előtt hajtsa végre

Közvetlenül a felhasználó után hajtsa végre		 típus Megadja, hogy mikor kell egyszeri bejelentkezést végrehajtani – a felhasználó bejelentkezése előtt vagy után.
A csatlakozás maximális késleltetése (másodperc) maxkésleltetés Megadja az egyszeri bejelentkezési kísérlet sikertelensége előtti maximális késleltetést (másodpercben), alapértelmezés szerint .10
További párbeszédpanelek megjelenítésének engedélyezése az egyszeri bejelentkezés során allowAdditionalDialogs Megadta, hogy engedélyezi-e az EAP-párbeszédpanelek megjelenítését az egyszeri bejelentkezés során, alapértelmezés szerint false.
Ez a hálózat különböző VLAN-t használ a számítógép és a felhasználó hitelesítő adataival történő hitelesítéshez userBasedVirtualLan Megadja, hogy az eszköz által használt virtuális LAN (VLAN) megváltozzon-e a felhasználó hitelesítő adatai alapján, alapértelmezés szerint false.

Hitelesítési módszer konfigurációs beállításai

Figyelmeztetés

Ha egy hálózatelérési kiszolgáló úgy van beállítva, hogy engedélyezze ugyanazt a típusú hitelesítési módszert a bújtatott EAP-módszerhez (pl. PEAP) és a nem bújtatott EAP-módszerhez (pl. EAP-MSCHAP v2), akkor biztonsági rés állhat fenn. Ha bújtatott EAP-módszert és EAP-t is telepít (amely nem védett), ne használja ugyanazt a hitelesítési típust. Ha például PEAP-TLS-t telepít, ne telepítse az EAP-TLS-t is. Ennek az az oka, hogy ha az alagút védelmére van szükség, akkor nem szolgál értelmet, hogy a metódus az alagúton kívül is végrehajtható legyen.

Az alábbi táblázat az egyes hitelesítési módszerek konfigurálható beállításait ismerteti.

A felhasználói felület EAP-TLS beállításai az EapTlsConnectionPropertiesV1-re vannak leképezve, amelyet az EapTlsConnectionPropertiesV2 és az EapTlsConnectionPropertiesV3 bővít.

Beállítás XML-elem Leírás
Az intelligens kártya használata Hitelesítő adatok forrása>Intelligens kártya Megadja, hogy a hitelesítést kérelmező ügyfeleknek intelligens kártyatanúsítványt kell bemutatniuk a hálózati hitelesítéshez.
Tanúsítvány használata ezen a számítógépen Hitelesítő adatok forrása>Tanúsítványtároló Megadja, hogy a hitelesítő ügyfeleknek az Aktuális felhasználó vagy a Helyi számítógép tanúsítványtárolóban található tanúsítványt kell használniuk.
Egyszerű tanúsítványválasztás használata (ajánlott) SimpleCertSelection Megadja, hogy a Windows automatikusan kiválaszt-e egy tanúsítványt a hitelesítéshez felhasználói beavatkozás nélkül (ha lehetséges), vagy a Windows megjelenítsen egy legördülő menüt, ahol a felhasználó kiválaszthatja a tanúsítványt.
Haladó Megnyitja a Tanúsítvány kiválasztásának konfigurálása párbeszédpanelt.
Kiszolgálóérvényesítési beállítások
Használjon másik felhasználónevet a kapcsolathoz KülönbözőFelhasználónév Megadja, hogy a tanúsítványban szereplő felhasználónévtől eltérő felhasználónevet használjon-e a hitelesítéshez.

Az alábbiakban a Tanúsítvány kiválasztásának konfigurálása konfigurációs beállításait soroljuk fel. Ezek a beállítások határozzák meg azokat a feltételeket, amelyek alapján az ügyfél kiválasztja a megfelelő tanúsítványt a hitelesítéshez. Ez a felhasználói felület a TLSExtensions>FilteringInfo fájlra van leképezve.

Beállítás XML-elem Leírás
Tanúsítvány kibocsátója CAHashListEnabled="true" Megadja, hogy engedélyezve van-e a tanúsítványkibocsátó szűrése.

Ha a tanúsítványkibocsátó és a kiterjesztett kulcshasználat (EKU) is engedélyezve van, csak azok a tanúsítványok tekinthetők érvényesnek az ügyfél kiszolgálón történő hitelesítéséhez, amelyek mindkét feltételnek megfelelnek.
Legfelső szintű hitelesítésszolgáltatók Kibocsátói kivonat Felsorolja az összes olyan kibocsátó nevét, amelyeknek megfelelő hitelesítésszolgáltatói tanúsítványai megtalálhatók a helyi számítógépfiók megbízható legfelső szintű hitelesítésszolgáltatók vagy köztes hitelesítésszolgáltatók tanúsítványtárolójában. Ez a következőket foglalja magában:

1. Az összes legfelső szintű tanúsító hatóság és a közbenső tanúsító hatóság.
2. Csak azokat a kiállítókat tartalmazza, amelyeknek megfelelő érvényes tanúsítványai vannak a számítógépen (például nem lejárt vagy vissza nem vont tanúsítványok).
3. A hitelesítésre engedélyezett tanúsítványok végleges listája csak azokat a tanúsítványokat tartalmazza, amelyeket a listán kiválasztott kibocsátók bármelyike kiállított.

XML-ben ez a tanúsítvány SHA-1 ujjlenyomata (kivonata).
Kiterjesztett kulcshasználat (EKU) Lehetővé teszi az Összes cél, az Ügyfél-hitelesítés, az AnyPurpose vagy ezek bármely kombinációjának kiválasztását. Megadja, hogy egy kombináció kiválasztásakor a három feltétel közül legalább egynek megfelelő összes tanúsítvány érvényes tanúsítványnak minősül az ügyfél kiszolgálóval való hitelesítéséhez. Ha az EKU-szűrés engedélyezve van, az egyik lehetőséget ki kell jelölni, különben a Kiterjesztett kulcshasználat (EKU) jelölőnégyzet törlődik.
Teljes célú AllPurposeEnabled Ha be van jelölve, ez az elem azt adja meg, hogy az Összes célú kibővített kulcsegységgel rendelkező tanúsítványok érvényes tanúsítványnak minősülnek az ügyfél kiszolgálón történő hitelesítéséhez. Az objektumazonosító (OID) minden célra vagy 0 üres.
Ügyfél-hitelesítés ClientAuthEKUListEnabled="true" (> EKUMapInList > EKUName) Megadja, hogy az ügyfél-hitelesítési kulcsegységgel és a kibővített kulcshasználat-egységek megadott listájával rendelkező tanúsítványok érvényes tanúsítványnak minősüljenek az ügyfél kiszolgálón történő hitelesítéséhez. Az ügyfél-hitelesítés objektumazonosítója (OID) a következő: 1.3.6.1.5.5.7.3.2.
Bármilyen cél AnyPurposeEKUListEnabled="true" (> EKUMapInList > EKUName) Megadja, hogy az AnyPurpose EKU-val és a kibővített kulcshasználat megadott listájával rendelkező összes tanúsítvány érvényes tanúsítványnak minősül az ügyfél kiszolgálón történő hitelesítéséhez. Az AnyPurpose objektumazonosítója (OID) .1.3.6.1.4.1.311.10.12.1
Adj hozzá EKUMapping > EKUMap > EKUName/EKUOID Megnyitja a Kibővített kulcshasználat kiválasztása párbeszédpanelt, amely lehetővé teszi szabványos, egyéni vagy szállítóspecifikus kibővített kulcsegységek hozzáadását az Ügyfél-hitelesítés vagy az AnyPurpose listához.

A Hozzáadás vagy a Szerkesztés lehetőség kiválasztása a Kibővített kulcshasználat kiválasztása párbeszédpanelen megnyitja az EKU hozzáadása/szerkesztése párbeszédpanelt, amely két lehetőséget kínál:
1. Adja meg az EKU nevét - Helyet biztosít az egyéni kibővített kulcshasználat nevének beírásához.
2. Adja meg az EKU OID-t - Helyet biztosít az EKU OID-jának beírásához. Csak numerikus számjegyek, elválasztók és engedélyezettek . . A helyettesítő karakterek engedélyezettek, ebben az esetben a hierarchiában lévő összes gyermek OID engedélyezett.

Például a beírás 1.3.6.1.4.1.311.* lehetővé teszi 1.3.6.1.4.1.311.42 a és a 1.3.6.1.4.1.311.42.2.1.
Szerkeszt Lehetővé teszi a hozzáadott egyéni EKU-k szerkesztését. Az alapértelmezett, előre definiált kibővített kulcshasználatok nem szerkeszthetők.
távolítsa el Eltávolítja a kijelölt kibővített kulcshasználatot az Ügyfél-hitelesítés vagy az AnyPurpose listából.

Kiszolgáló ellenőrzése

Számos EAP-módszer tartalmaz lehetőséget arra, hogy az ügyfél érvényesítse a kiszolgáló tanúsítványát. Ha a kiszolgálói tanúsítvány nincs érvényesítve, az ügyfél nem lehet biztos abban, hogy a megfelelő kiszolgálóval kommunikál. Ez biztonsági kockázatoknak teszi ki az ügyfelet, beleértve annak lehetőségét, hogy az ügyfél tudtán kívül csatlakozhat egy szélhámos hálózathoz.

Megjegyzés:

A Windows megköveteli, hogy a kiszolgálói tanúsítvány rendelkezzen kiszolgálói hitelesítési EKU-val. Az EKU objektumazonosítója (OID) a következő: 1.3.6.1.5.5.7.3.1.

Az alábbi táblázat az egyes EAP-módszerekre vonatkozó kiszolgálóérvényesítési beállításokat sorolja fel. Windows 11 frissítette a kiszolgálóérvényesítési logikát, hogy konzisztensebb legyen (lásd: Frissített kiszolgálói tanúsítvány-érvényesítési viselkedés a Windows 11-ben). Ha ütköznek, az alábbi táblázatban található leírások a Windows 10 és korábbi verziók viselkedését ismertetik.

Beállítás XML-elem Leírás
A kiszolgáló identitásának ellenőrzése a tanúsítvány érvényesítésével EAP-TLS:
PerformServerValidation

FEJFEJ:
PerformServerValidation		 Ez az elem azt adja meg, hogy az ügyfél ellenőrzi, hogy az ügyfélszámítógépnek bemutatott kiszolgálói tanúsítványok megfelelő aláírással rendelkeznek-e, nem jártak-e le, és megbízható legfelső szintű hitelesítésszolgáltató állította-e ki őket.

Ha letiltja ezt a jelölőnégyzetet, az ügyfélszámítógépek nem tudják ellenőrizni a kiszolgálók identitását a hitelesítési folyamat során. Ha a kiszolgáló hitelesítése nem történik meg, a felhasználók súlyos biztonsági kockázatoknak vannak kitéve, beleértve annak lehetőségét, hogy a felhasználók tudtukon kívül csatlakozhatnak egy szélhámos hálózathoz.
Csatlakozás ezekhez a kiszolgálókhoz EAP-TLS:
Kiszolgáló érvényesítése>Kiszolgálónevek

FEJFEJ:
Kiszolgáló érvényesítése>Kiszolgálónevek

EAP-TTLS:
Kiszolgáló érvényesítése>
Kiszolgálónevek

TEAP:
Kiszolgáló érvényesítése>
Kiszolgálónevek
 Lehetővé teszi a hálózati hitelesítést és engedélyezést biztosító RADIUS-kiszolgálók nevének megadását.

A nevet pontosan úgy kell beírni, ahogy az az egyes RADIUS-kiszolgálótanúsítványok tárgymezőjében megjelenik, vagy reguláris kifejezéseket (regex) kell használnia a kiszolgáló nevének megadásához.

A reguláris kifejezés teljes szintaxisa használható a kiszolgáló nevének megadására, de a reguláris kifejezés literál karakterlánctól való megkülönböztetéséhez legalább egyet * kell használnia a megadott karakterláncban. Megadhatja nps.*\.example\.com például a RADIUS-kiszolgáló nps1.example.com vagy a nps2.example.com.

Több kiszolgáló elkülönítéséhez is hozzáadhat egy ; kiszolgálót.

Ha nincs megadva RADIUS-kiszolgáló, az ügyfél csak azt ellenőrzi, hogy a RADIUS-kiszolgáló tanúsítványát megbízható legfelső szintű hitelesítésszolgáltató állította-e ki.
Megbízható legfelső szintű hitelesítésszolgáltatók EAP-TLS:
Kiszolgáló érvényesítése>TrustedRootCA

FEJFEJ:
Kiszolgáló érvényesítése>TrustedRootCA

EAP-TTLS:
Kiszolgáló érvényesítése>
TrustedRootCAHashes

TEAP:
Kiszolgáló érvényesítése>
TrustedRootCAHashes		 Felsorolja a megbízható legfelső szintű hitelesítésszolgáltatókat. A lista a számítógépre és a felhasználói tanúsítványtárolókba telepített megbízható legfelső szintű hitelesítésszolgáltatókból épül fel. Megadhatja, hogy a kérelmezők mely megbízható legfelső szintű hitelesítésszolgáltatói tanúsítványok alapján állapítsák meg, hogy megbíznak-e a kiszolgálókban, például a hálózati házirend-kiszolgálót futtató kiszolgálóban vagy a létesítési kiszolgálóban. Ha nincs megbízható legfelső szintű hitelesítésszolgáltató kiválasztva, a 802.1X-ügyfél ellenőrzi, hogy a RADIUS-kiszolgáló számítógép-tanúsítványát telepített megbízható legfelső szintű hitelesítésszolgáltató állította-e ki. Ha egy vagy több megbízható legfelső szintű hitelesítésszolgáltató van kiválasztva, a 802.1X-ügyfél ellenőrzi, hogy a RADIUS-kiszolgáló számítógép-tanúsítványát egy kiválasztott megbízható legfelső szintű hitelesítésszolgáltató állította-e ki.

Ha nincs megbízható legfelső szintű hitelesítésszolgáltató kiválasztva, az ügyfél ellenőrzi, hogy a RADIUS-kiszolgáló tanúsítványát megbízható legfelső szintű hitelesítésszolgáltató állította-e ki.

Ha nyilvános kulcsú infrastruktúrával (PKI) rendelkezik a hálózaton, és a hitelesítésszolgáltatóval állítja ki a tanúsítványokat a RADIUS-kiszolgálóknak, a hitelesítésszolgáltatói tanúsítvány automatikusan felkerül a megbízható legfelső szintű hitelesítésszolgáltatók listájára. Hitelesítésszolgáltatói tanúsítványt nem a Microsoft gyártójától is vásárolhat. Egyes nem a Microsoft által gyártott megbízható legfelső szintű hitelesítésszolgáltatók olyan szoftvert biztosítanak a megvásárolt tanúsítvánnyal, amely automatikusan telepíti a megvásárolt tanúsítványt a megbízható legfelső szintű hitelesítésszolgáltatók tanúsítványtárolójába. Ebben az esetben a megbízható legfelső szintű hitelesítésszolgáltató automatikusan megjelenik a megbízható legfelső szintű hitelesítésszolgáltatók listájában.

Ne adjon meg olyan megbízható legfelső szintű hitelesítésszolgáltatói tanúsítványt, amely még nem szerepel az ügyfélszámítógépek megbízható legfelső szintű hitelesítésszolgáltatók tanúsítványtárolóiban az aktuális felhasználó és a helyi számítógép számára. Ha olyan tanúsítványt jelöl ki, amely nincs telepítve az ügyfélszámítógépekre, a hitelesítés sikertelen lesz.

XML-ben ez a tanúsítvány (vagy TEAP esetén SHA-256) SHA-1 ujjlenyomata (kivonata).

Kiszolgálóérvényesítési felhasználói kérés

Az alábbi táblázat felsorolja az egyes EAP-módszerekre vonatkozó kiszolgálóérvényesítési felhasználói kérési beállításokat. Nem megbízható kiszolgálói tanúsítvány esetén ezeket a beállításokat a következőkre használják:

  • azonnal megszakad a kapcsolat, vagy
  • Lehetővé teszi a felhasználó számára a kapcsolat manuális elfogadását vagy elutasítását.
Beállítás XML-elem
Ne kérje a felhasználót új kiszolgálók vagy megbízható hitelesítésszolgáltatók engedélyezésére Kiszolgáló érvényesítése>DisableUserPromptForServerValidation

Megakadályozza, hogy a rendszer kérje a felhasználót, hogy bízzon meg egy kiszolgálói tanúsítványban, ha a tanúsítvány helytelenül van konfigurálva, még nem megbízható, vagy mindkettő (ha engedélyezve van). A felhasználói élmény egyszerűsítése és annak megakadályozása érdekében, hogy a felhasználók tévedésből megbízzanak egy támadó által telepített kiszolgálóban, javasoljuk, hogy jelölje be ezt a jelölőnégyzetet.

Mobilhálózati hitelesítés konfigurációs beállításai

Az alábbiakban az EAP-SIM, EPA-AKA és EPA-AKA' konfigurációs beállításait soroljuk fel.

EAP-SIM az RFC 4186-ban van meghatározva. Az EAP előfizetői azonosító modul (SIM) a hitelesítésre és a munkamenetkulcs-elosztásra szolgál a 2. generációs mobilhálózat globális mobilkommunikációs rendszerének (GSM) előfizetői azonosító moduljának (SIM) használatával.

A felhasználói felület EAP-SIM beállításai az EapSimConnectionPropertiesV1-re vannak leképezve.

Termék XML-elem Leírás
Erős titkosítási kulcsok használata UseStrongCipherKeys Megadja, hogy ha be van jelölve, a profil erős titkosítást használjon.
Ne fedje fel a valódi személyazonosságot a szervernek, ha álnév identitás elérhető DontRevealPermanentID Ha engedélyezve van, arra kényszeríti az ügyfelet, hogy meghiúsuljon a hitelesítés, ha a kiszolgáló állandó identitást kér, bár az ügyfél álnévi identitással rendelkezik. Az álnevesített identitások az identitás adatvédelmére szolgálnak, így a felhasználó tényleges vagy állandó identitása nem derül ki a hitelesítés során.
Szolgáltatónév Csak XML-ben érhető el, amely a hitelesítéshez engedélyezett szolgáltató nevét jelzi.
Tartományok használatának engedélyezése Birodalom=true Megadja a tartomány nevének beírásának helyét. Ha ez a mező üresen marad, és a tartományok használatának engedélyezése van kiválasztva, akkor a tartomány a nemzetközi mobil-előfizetői identitásból (IMSI) származik a tartomány 3gpp.org használatával, a 3. generációs partnerségi projekt (3GPP) 23.003 V6.8.0 szabványában leírtak szerint.
Tartomány megadása Tartomány Helyet biztosít a tartománynév beírásához. Ha a tartományok használatának engedélyezése engedélyezve van, a rendszer ezt a sztringet használja. Ha ez a mező üres, a rendszer a származtatott tartományt használja.

WPA3-Enterprise 192 bites mód

WPA3-Enterprise 192 bites mód egy speciális mód a WPA3-Enterprise számára, amely bizonyos magas biztonsági követelményeket érvényesít a vezeték nélküli kapcsolattal szemben, hogy legalább 192 bites biztonságot nyújtson. Ezek a követelmények összhangban vannak a Commercial National Security Algorithm (CNSA) Suite (CNSSP 15) csomaggal, amely az Egyesült Államok Nemzetbiztonsági Ügynöksége (NSA) által minősített és szigorúan titkos információk védelmére jóváhagyott titkosítási algoritmusok összessége. A 192 bites módot néha "Suite B módnak" is nevezhetjük, amely az NSA Suite B kriptográfiai specifikációjára utal, amelyet 2016-ban a CNSA váltott fel.

A WPA3-Enterprise és WPA3-Enterprise 192 bites mód is elérhető a Windows 10 2004-es verziójától (19041-es build) és a Windows Server 2022-től. A WPA3-Enterprise azonban külön hitelesítési algoritmusként emelték ki a Windows 11 rendszerben. XML-ben ez az authEncryption elemben van megadva.

Az alábbi táblázat felsorolja a CNSA Suite által igényelt algoritmusokat.

Algoritmus Leírás Paraméterek
Fejlett titkosítási szabvány (AES) Titkosításhoz használt szimmetrikus blokktitkosítás 256 bites kulcs (AES-256)
Elliptikus görbe Diffie-Hellman (ECDH) kulcscsere Közös titok (kulcs) létrehozásához használt aszimmetrikus algoritmus 384 bites prímmodulus görbe (P-384)
Elliptikus görbe digitális aláírási algoritmusa (ECDSA) Digitális aláírásokhoz használt aszimmetrikus algoritmus 384 bites prímmodulus görbe (P-384)
Biztonságos kivonatoló algoritmus (SHA) Kriptográfiai kivonat függvény SHA-384
Diffie-Hellman (DH) kulcscsere Közös titok (kulcs) létrehozásához használt aszimmetrikus algoritmus 3072 bites modulus
Rivest-Shamir-Adleman (RSA) Digitális aláíráshoz vagy kulcslétesítéshez használt aszimmetrikus algoritmus 3072 bites modulus

A CNSA-hoz igazodva WPA3-Enterprise 192 bites módhoz a EAP-TLS a következő titkosítási csomagokkal kell használni, korlátozásokkal:

  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
    • ECDHE és ECDSA a P-384 384 bites prímmodulus görbével
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 / TLS_DHE_RSA_AES_256_GCM_SHA384
    • ECDHE a P-384 384 bites prímmodulus-görbével
    • RSA >= 3072 bites modulus

Megjegyzés:

A P-384 más néven secp384r1 vagy .nistp384 Más elliptikus görbék, például a P-521 nem megengedettek.

Az SHA-384 az SHA-2 hash függvények családjába tartozik. Más algoritmusok és változatok, például az SHA-512 vagy az SHA3-384 nem engedélyezettek.

A Windows csak a TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 192 bites módban WPA3-Enterprise és a TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 titkosítási csomagokat támogatja. A TLS_DHE_RSA_AES_256_GCM_SHA384 titkosítási csomag nem támogatott.

A TLS 1.3 új, egyszerűsített TLS-csomagokat használ, amelyek közül csak TLS_AES_256_GCM_SHA384 WPA3-Enterprise 192 bites móddal kompatibilis. Mivel a TLS 1.3 megköveteli az (EC)DHE-t, és lehetővé teszi az ECDSA vagy RSA tanúsítványokat, valamint az AES-256 AEAD és az SHA384 hash-t, egyenértékű TLS_AES_256_GCM_SHA384 a TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 és .TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 Az RFC 8446 azonban megköveteli, hogy a TLS 1.3-kompatibilis alkalmazások támogassák a P-256-ot, amit a CNSA tilt. Ezért WPA3-Enterprise 192 bites mód nem lehet teljes mértékben kompatibilis a TLS 1.3-mal. A TLS 1.3 és WPA3-Enterprise 192 bites móddal kapcsolatban azonban nincsenek ismert együttműködési problémák.

A hálózat 192 bites módra való konfigurálásához WPA3-EnterpriseEAP-TLS Windows rendszert olyan tanúsítvánnyal kell használni amely megfelel a korábban ismertetett követelményeknek.

További erőforrások