Extensible Authentication Protocol (EAP) untuk akses jaringan

Berlaku untuk: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows 11, Windows 10, Windows 8.1

Extensible Authentication Protocol (EAP) adalah kerangka kerja autentikasi yang memungkinkan penggunaan metode autentikasi yang berbeda untuk teknologi akses jaringan yang aman. Contoh teknologi ini termasuk akses nirkabel menggunakan IEEE 802.1X, akses kabel menggunakan koneksi IEEE 802.1X, dan Point-to-Point Protocol (PPP) seperti Virtual Private Networking (VPN). EAP bukan metode autentikasi tertentu seperti MS-CHAP v2, melainkan kerangka kerja yang memungkinkan vendor jaringan untuk mengembangkan dan menginstal metode autentikasi baru, yang dikenal sebagai metode EAP, di klien akses dan server autentikasi. Kerangka kerja EAP awalnya didefinisikan oleh RFC 3748 dan diperluas oleh berbagai RFC dan standar lainnya.

Metode autentikasi

Metode autentikasi EAP yang digunakan dalam metode EAP terowongan umumnya dikenal sebagai metode dalam atau jenis EAP. Metode yang disiapkan sebagai metode dalam memiliki pengaturan konfigurasi yang sama seperti saat digunakan sebagai metode luar. Artikel ini berisi informasi konfigurasi khusus untuk metode autentikasi berikut di EAP.

EAP-Transport Layer Security (EAP-TLS): Metode EAP berbasis standar yang menggunakan TLS dengan sertifikat untuk autentikasi bersama. Muncul sebagai Kartu Pintar atau Sertifikat lainnya (EAP-TLS) di Windows. EAP-TLS dapat disebarkan sebagai metode dalam untuk metode EAP lain atau sebagai metode EAP mandiri.

Tip

Metode EAP yang menggunakan EAP-TLS, berbasis sertifikat, umumnya menawarkan tingkat keamanan tertinggi. Misalnya, EAP-TLS adalah satu-satunya metode EAP yang diizinkan untuk mode WPA3-Enterprise 192-bit.

Protokol Autentikasi Jabat Tangan EAP-Microsoft Challenge versi 2 (EAP-MSCHAP v2): Metode EAP yang ditentukan Microsoft yang merangkum protokol autentikasi MSCHAP v2, yang menggunakan nama pengguna dan kata sandi, untuk autentikasi. Muncul sebagai Kata sandi aman (EAP-MSCHAP v2) di Windows. EAP-MSCHAPv2 dapat digunakan sebagai metode mandiri untuk VPN, tetapi hanya sebagai metode dalam untuk kabel/nirkabel.

Peringatan

Koneksi berbasis MSCHAPv2 tunduk pada serangan serupa seperti untuk NTLMv1. Windows 11 Enterprise, versi 22H2 (build 22621) memungkinkan Windows Defender Credential Guard yang dapat menyebabkan masalah dengan koneksi berbasis MSCHAPv2.

EAP terlindungi (PEAP): Metode EAP yang ditentukan Microsoft yang merangkum EAP dalam terowongan TLS. Terowongan TLS mengamankan metode EAP dalam, yang dapat tidak terlindungi jika tidak. Windows mendukung EAP-TLS dan EAP-MSCHAP v2 sebagai metode dalam.

Keamanan Lapisan Transportasi Terowongan EAP (EAP-TTLS): Dijelaskan oleh RFC 5281, merangkum sesi TLS yang melakukan autentikasi bersama menggunakan mekanisme autentikasi dalam lainnya. Metode dalam ini dapat berupa protokol EAP, seperti EAP-MSCHAP v2, atau protokol non-EAP, seperti Protokol Autentikasi Kata Sandi (PAP). Di Windows Server 2012, penyertaan EAP-TTLS hanya menyediakan dukungan di sisi klien (di Windows 8). NPS saat ini tidak mendukung EAP-TTLS. Dukungan klien memungkinkan interoperatasi dengan server RADIUS yang umum disebarkan yang mendukung EAP-TTLS.

Modul Identitas Pelanggan EAP (EAP-SIM), EAP-Authentication and Key Agreement (EAP-AKA), dan EAP-AKA Prime (EAP-AKA'): Dijelaskan oleh berbagai RFC, memungkinkan autentikasi dengan menggunakan kartu SIM, dan diterapkan ketika pelanggan membeli paket layanan broadband nirkabel dari operator jaringan seluler. Sebagai bagian dari paket, pelanggan biasanya menerima profil nirkabel yang telah dikonfigurasi sebelumnya untuk autentikasi SIM.

Tunnel EAP (TEAP): Dijelaskan oleh RFC 7170, metode EAP terowongan yang membangun terowongan TLS yang aman dan menjalankan metode EAP lainnya di dalam terowongan itu. Mendukung penautan EAP - mengautentikasi komputer dan pengguna dalam satu sesi autentikasi. Di Windows Server 2022, penyertaan TEAP hanya menyediakan dukungan untuk sisi klien - Windows 10, versi 2004 (build 19041). NPS saat ini tidak mendukung TEAP. Dukungan klien memungkinkan interoperatasi dengan server RADIUS yang umum disebarkan yang mendukung TEAP. Windows mendukung EAP-TLS dan EAP-MSCHAP v2 sebagai metode dalam.

Tabel berikut mencantumkan beberapa metode EAP umum dan nomor Jenis metode yang ditetapkan IANA.

Metode EAP	Nomor Jenis yang ditetapkan IANA	Dukungan Windows asli
MD5-Challenge (EAP-MD5)	4	❌
Kata Sandi Satu Kali (EAP-OTP)	5	❌
Kartu Token Generik (EAP-GTC)	6	❌
EAP-TLS	13	✅
EAP-SIM	18	✅
EAP-TTLS	21	✅
EAP-AKA	23	✅
PEAP	25	✅
EAP-MSCHAP v2	26	✅
Kata sandi satu kali yang dilindungi (EAP-POTP)	32	❌
EAP-FAST	43	❌
Kunci Pra-Berbagi (EAP-PSK)	47	❌
EAP-IKEv2	49	❌
EAP-AKA'	50	✅
EAP-EKE	53	❌
TEAP	55	✅
EAP-NOOB	56	❌

Mengonfigurasi properti EAP

Anda dapat mengakses properti EAP untuk akses kabel dan nirkabel terautentikasi 802.1X dengan cara berikut:

• Mengonfigurasi kebijakan Jaringan Berkabel (IEEE 802.3) dan ekstensi Kebijakan Jaringan Nirkabel (IEEE 802.11) dalam Kebijakan Grup.
  • Kebijakan>Konfigurasi>Komputer Pengaturan>Keamanan Windows
• Menggunakan perangkat lunak Mobile Manajemen Perangkat (MDM), seperti Intune (Wi-Fi/Wired)
  • Wi-Fi CSP
  • WiredNetwork CSP
• Mengonfigurasi koneksi kabel atau nirkabel secara manual pada komputer klien.

Anda dapat mengakses properti EAP untuk koneksi jaringan privat virtual (VPN) dengan cara berikut:

• Menggunakan perangkat lunak Mobile Manajemen Perangkat (MDM), seperti Intune
  • VPNv2 CSP
  • Opsi profil VPN
• Mengonfigurasi koneksi VPN secara manual pada komputer klien.
• Menggunakan Pengelola Sambungan Administration Kit (CMAK) untuk mengonfigurasi koneksi VPN.

Untuk informasi selengkapnya tentang mengonfigurasi properti EAP, lihat Mengonfigurasi profil dan pengaturan EAP di Windows.

Profil XML untuk EAP

Profil yang digunakan untuk jenis koneksi yang berbeda adalah file XML yang berisi opsi konfigurasi untuk koneksi tersebut. Setiap jenis koneksi yang berbeda mengikuti skema tertentu:

• Profil Wi-Fi (WLAN)
• Profil jaringan berkabel (Ethernet)
• Profil VPN

Namun, ketika dikonfigurasi untuk menggunakan EAP, setiap skema profil memiliki elemen turunan EapHostConfig .

• Kabel/Nirkabel: EapHostConfig adalah elemen turunan dari elemen EAPConfig . MSM > security (Wired/Wireless) > OneX > EAPConfig
• VPN: EapHostConfig adalah elemen turunan dari Konfigurasi Eap > Autentikasi > NativeProfile >

Sintaks konfigurasi ini didefinisikan dalam spesifikasi Kebijakan Grup: Ekstensi Protokol Nirkabel/Berkabel.

Catatan

Berbagai GUI konfigurasi tidak selalu menampilkan setiap opsi yang memungkinkan secara teknis. Misalnya, Windows Server 2019 dan yang lebih lama tidak dapat mengonfigurasi TEAP di UI. Namun, sering kali dimungkinkan untuk mengimpor profil XML yang sudah ada yang sebelumnya telah dikonfigurasi.

Sisa artikel ini dimaksudkan untuk memberikan pemetaan antara bagian spesifik EAP dari UI Kebijakan Grup/Panel Kontrol dan opsi konfigurasi XML, serta memberikan deskripsi pengaturan.

Informasi selengkapnya tentang mengonfigurasi profil XML dapat ditemukan di Profil XML. Contoh penggunaan profil XML yang berisi pengaturan EAP dapat ditemukan di Memprovisikan profil Wi-Fi melalui situs web.

Pengaturan keamanan

Tabel berikut menjelaskan pengaturan keamanan yang dapat dikonfigurasi untuk profil yang menggunakan 802.1X. Pengaturan ini memetakan ke OneX.

Pengaturan	Elemen XML	Deskripsi
Pilih metode autentikasi jaringan:	EAPConfig	Memungkinkan Anda memilih metode EAP yang akan digunakan untuk autentikasi. Lihat Pengaturan konfigurasi metode autentikasi dan Pengaturan konfigurasi autentikasi seluler
Properti		Membuka dialog properti untuk metode EAP yang dipilih.
Mode Autentikasi	authMode	Menentukan jenis kredensial yang digunakan untuk autentikasi. Nilai berikut ini didukung: 1. Autentikasi pengguna atau komputer 2. Autentikasi komputer 3. Autentikasi pengguna 4. Autentikasi tamu "Komputer", dalam konteks ini, berarti "Mesin" dalam referensi lain. machineOrUser adalah default di Windows.
Kegagalan Autentikasi Maks	maxAuthFailures	Menentukan jumlah maksimum kegagalan autentikasi yang diizinkan untuk sekumpulan kredensial, default ke 1.
Cache informasi pengguna untuk koneksi berikutnya ke jaringan ini	cacheUserData	Menentukan apakah kredensial pengguna harus di-cache untuk koneksi berikutnya ke jaringan yang sama, default ke true.

Pengaturan > keamanan tingkat lanjut IEEE 802.1X

Jika Terapkan pengaturan 802.1X tingkat lanjut dicentang, semua pengaturan berikut akan dikonfigurasi. Jika tidak dicentang, pengaturan default akan berlaku. Di XML, semua elemen bersifat opsional, dengan nilai default yang digunakan jika tidak ada.

Pengaturan	Elemen XML	Deskripsi
Maks Eapol-Start Msgs	maxStart	Menentukan jumlah maksimum pesan EAPOL-Start yang dapat dikirim ke pengautentikasi (server RADIUS) sebelum supplicant (klien Windows) mengasumsikan tidak ada pengautentikasi yang ada, default ke 3.
Periode Mulai (detik)	startPeriod	Menentukan periode waktu (dalam detik) untuk menunggu sebelum pesan EAPOL-Start dikirim untuk memulai proses autentikasi 802.1X, default ke 5.
Periode Yang Ditahan (detik)	heldPeriod	Menentukan periode waktu (dalam detik) untuk menunggu setelah upaya autentikasi yang gagal untuk memasang ulang autentikasi, default ke 1.
Periode Autentikasi (detik)	authPeriod	Menentukan periode waktu (dalam detik) untuk menunggu respons dari pengautentikasi (server RADIUS) sebelum mengasumsikan tidak ada pengautentikasi yang ada, default ke 18.
Pesan Eapol-Start	supplicantMode	Menentukan metode transmisi yang digunakan untuk pesan EAPOL-Start. Nilai berikut ini didukung: 1. Jangan mengirimkan (inhibitTransmission) 2. Kirim (includeLearning) 3. Kirim per IEEE 802.1X (compliant) "Komputer", dalam konteks ini, berarti "Mesin" dalam referensi lain. compliant adalah default di Windows, dan merupakan satu-satunya opsi yang valid untuk profil nirkabel.

Pengaturan > keamanan tingkat lanjut Akses Menyeluruh

Tabel berikut menjelaskan pengaturan untuk Akses Menyeluruh (SSO), yang sebelumnya dikenal sebagai Penyedia Akses Masuk Sebelumnya (PLAP).

Pengaturan	Elemen XML	Deskripsi
Aktifkan Akses Menyeluruh untuk jaringan ini	singleSignOn	Menentukan apakah SSO diaktifkan untuk jaringan ini, default ke false. Jangan gunakan singleSignOn di profil jika jaringan tidak memerlukannya.
Lakukan segera sebelum Pengguna Lakukan segera setelah Pengguna	jenis	Menentukan kapan SSO harus dilakukan - baik sebelum atau sesudah pengguna masuk.
Penundaan maksimum untuk konektivitas (detik)	maxDelay	Menentukan penundaan maksimum (dalam detik) sebelum upaya SSO gagal, default ke 10.
Perbolehkan dialog tambahan ditampilkan selama Akses Menyeluruh	allowAdditionalDialogs	Ditentukan apakah akan mengizinkan dialog EAP ditampilkan selama SSO, default ke false.
Jaringan ini menggunakan VLAN yang berbeda untuk autentikasi dengan kredensial komputer dan pengguna	userBasedVirtualLan	Menentukan apakah LAN virtual (VLAN) yang digunakan oleh perangkat berubah berdasarkan kredensial pengguna, default ke false.

Pengaturan konfigurasi metode autentikasi

Perhatian

Jika Server Akses Jaringan dikonfigurasi untuk mengizinkan jenis metode autentikasi yang sama untuk metode EAP terowongan (misalnya PEAP) dan metode EAP yang tidak terowongan (misalnya EAP-MSCHAP v2), ada potensi kerentanan keamanan. Saat Anda menyebarkan metode EAP terowongan dan EAP (yang tidak dilindungi), jangan gunakan jenis autentikasi yang sama. Misalnya, jika Anda menyebarkan PEAP-TLS, jangan juga menyebarkan EAP-TLS. Ini karena jika Anda memerlukan perlindungan terowongan, tidak ada tujuan untuk mengizinkan metode dijalankan di luar terowongan juga.

Tabel berikut menjelaskan pengaturan yang dapat dikonfigurasi untuk setiap metode autentikasi.

EAP-TLS

Pengaturan EAP-TLS di peta UI ke EapTlsConnectionPropertiesV1, yang diperluas oleh EapTlsConnectionPropertiesV2 dan EapTlsConnectionPropertiesV3.

Pengaturan	Elemen XML	Deskripsi
Gunakan kartu pintar saya	CredentialsSource > SmartCard	Menentukan bahwa klien yang membuat permintaan autentikasi harus menunjukkan sertifikat kartu pintar untuk autentikasi jaringan.
Gunakan sertifikat pada komputer ini	CredentialsSource > CertificateStore	Menentukan bahwa mengautentikasi klien harus menggunakan sertifikat yang terletak di penyimpanan sertifikat Pengguna Saat Ini atau Komputer Lokal.
Gunakan pilihan sertifikat sederhana (Disarankan)	SimpleCertSelection	Menentukan apakah Windows akan secara otomatis memilih sertifikat untuk autentikasi tanpa interaksi pengguna (jika memungkinkan) atau jika Windows akan menampilkan dropdown bagi pengguna untuk memilih sertifikat.
Maju		Membuka kotak dialog Konfigurasi Pemilihan Sertifikat.
Opsi validasi server
Gunakan nama pengguna yang berbeda untuk koneksi	DifferentUsername	Menentukan apakah akan menggunakan nama pengguna untuk autentikasi yang berbeda dari nama pengguna dalam sertifikat.

Berikut ini mencantumkan pengaturan konfigurasi untuk Mengonfigurasi Pilihan Sertifikat. Pengaturan ini menentukan kriteria yang digunakan klien untuk memilih sertifikat yang sesuai untuk autentikasi. UI ini memetakan ke TLSExtensions > FilteringInfo.

Pengaturan	Elemen XML	Deskripsi
Penerbit Sertifikat	CAHashList Enabled="true"	Menentukan apakah pemfilteran Penerbit Sertifikat diaktifkan. Jika Penerbit Sertifikat dan Penggunaan Kunci Diperpanjang (EKU) diaktifkan, hanya sertifikat yang memenuhi kedua kondisi yang dianggap valid untuk mengautentikasi klien ke server.
Otoritas Sertifikasi Akar	IssuerHash	Mencantumkan nama semua penerbit yang sertifikat otoritas sertifikasi (CA) terkait ada di Otoritas Sertifikasi Akar Tepercaya atau penyimpanan sertifikat Otoritas Sertifikasi Menengah akun komputer lokal. Drive ini termasuk: 1. Semua otoritas sertifikasi akar dan otoritas sertifikasi menengah. 2. Hanya berisi penerbit yang ada sertifikat valid yang sesuai yang ada di komputer (misalnya, sertifikat yang tidak kedaluwarsa atau tidak dicabut). 3. Daftar akhir sertifikat yang diizinkan untuk autentikasi hanya berisi sertifikat yang dikeluarkan oleh salah satu penerbit yang dipilih dalam daftar ini. Di XML, ini adalah thumbprint SHA-1 (hash) sertifikat.
Penggunaan Kunci yang Diperluas (EKU)		Memungkinkan Anda memilih Semua Tujuan, Autentikasi Klien, AnyPurpose, atau kombinasi apa pun dari ini. Menentukan bahwa ketika kombinasi dipilih, semua sertifikat yang memenuhi setidaknya salah satu dari tiga kondisi dianggap sebagai sertifikat yang valid untuk mengautentikasi klien ke server. Jika pemfilteran EKU diaktifkan, salah satu pilihan harus dipilih, jika tidak , kotak centang Penggunaan Kunci Diperpanjang (EKU) akan tidak dicentang.
Semua Tujuan	AllPurposeEnabled	Ketika dipilih, item ini menentukan bahwa sertifikat yang memiliki EKU Semua Tujuan dianggap sebagai sertifikat yang valid untuk mengautentikasi klien ke server. Pengidentifikasi Objek (OID) untuk Semua Tujuan adalah 0 atau kosong.
Autentikasi Klien	ClientAuthEKUList Enabled="true" (> EKUMapInList > EKUName)	Menentukan bahwa sertifikat yang memiliki EKU Autentikasi Klien, dan daftar EKUs yang ditentukan dianggap sebagai sertifikat yang valid untuk mengautentikasi klien ke server. Pengidentifikasi Objek (OID) untuk Autentikasi Klien adalah 1.3.6.1.5.5.7.3.2.
AnyPurpose	AnyPurposeEKUList Enabled="true" (> EKUMapInList > EKUName)	Menentukan bahwa semua sertifikat yang memiliki EKU AnyPurpose dan daftar EKUs yang ditentukan dianggap sebagai sertifikat yang valid untuk mengautentikasi klien ke server. Pengidentifikasi Objek (OID) untuk AnyPurpose adalah 1.3.6.1.4.1.311.10.12.1.
Tambahkan	EKUMapping > EKUMap > EKUName/EKUOID	Membuka kotak dialog Pilih EKUs, yang memungkinkan Anda menambahkan EKUs standar, kustom, atau khusus vendor ke daftar Autentikasi Klien atau AnyPurpose . Memilih Tambahkan atau Edit dalam kotak dialog Pilih EKUs akan membuka kotak dialog Tambahkan/Edit EKU, yang menyediakan dua opsi: 1. Masukkan nama EKU - Menyediakan tempat untuk mengetik nama EKU kustom. 2. Masukkan EKU OID - Menyediakan tempat untuk mengetik OID untuk EKU. Hanya digit numerik, pemisah, dan . yang diizinkan. Kartubebas diizinkan, dalam hal ini semua OKID anak dalam hierarki diizinkan. Misalnya, memasukkan 1.3.6.1.4.1.311.* memungkinkan dan 1.3.6.1.4.1.311.42 1.3.6.1.4.1.311.42.2.1.
Mengedit		Memungkinkan Anda mengedit EKUs kustom yang telah Anda tambahkan. EKUs default yang telah ditentukan sebelumnya tidak dapat diedit.
Hapus		Menghapus EKU yang dipilih dari daftar Autentikasi Klien atau AnyPurpose .

PEAP

Pengaturan PEAP di peta UI ke MsPeapConnectionPropertiesV1, yang diperluas oleh MsPeapConnectionPropertiesV2.

Pengaturan	Elemen XML	Deskripsi
Opsi validasi server
Pilih metode autentikasi		Memungkinkan Anda memilih jenis EAP yang akan digunakan dengan PEAP untuk autentikasi jaringan. Ada dua jenis EAP yang tersedia, Kata sandi aman (EAP-MSCHAP v2) dan Kartu pintar atau sertifikat lainnya (EAP-TLS).
Konfigurasikan	EAP-MSCHAP v2: UseWinLogonCredentials EAP-TLS: Lihat tab EAP-TLS, skema	Item ini menyediakan akses ke pengaturan properti untuk jenis EAP yang ditentukan. Jika Kata sandi aman (EAP-MSCHAP v2) dipilih, kotak centang Secara otomatis gunakan nama masuk dan kata sandi Windows saya (dan domain jika ada), yang menentukan bahwa nama masuk dan kata sandi Windows berbasis pengguna saat ini digunakan sebagai kredensial autentikasi jaringan. Jika Kartu pintar atau sertifikat lain (EAP-TLS) dipilih, kartu pintar atau kotak dialog Properti Sertifikat lainnya untuk konfigurasi lebih lanjut dari jenis EAP ini.
Aktifkan koneksi ulang yang cepat	FastReconnect	Memungkinkan kemampuan untuk membuat asosiasi keamanan baru atau yang disegarkan lebih efisien dan dengan jumlah perjalanan pulang pergi yang lebih kecil jika asosiasi keamanan sebelumnya dibuat. Untuk koneksi VPN, koneksi ulang yang cepat menggunakan teknologi IKEv2 untuk menyediakan konektivitas VPN yang mulus dan konsisten ketika pengguna kehilangan koneksi Internet untuk sementara waktu. Fitur ini sangat berguna bagi pengguna yang terhubung melalui broadband seluler nirkabel seperti ketika koneksi Internet turun, koneksi ulang yang cepat akan secara otomatis membangun kembali koneksi VPN aktif dengan mulus dan transparan kepada pengguna.
Putuskan sambungan jika server tidak menyajikan TLV kriptobinding	RequireCryptoBinding	Menentukan bahwa menghubungkan klien harus mengakhiri proses autentikasi jaringan jika server RADIUS tidak menyajikan cryptobinding Type-Length-Value (TLV). Cryptobinding TLV adalah fitur keamanan yang meningkatkan keamanan terowongan TLS di PEAP. Ini dilakukan dengan menggabungkan autentikasi metode dalam dan luar, sehingga sulit bagi penyerang untuk melakukan serangan man-in-the-middle dengan mengalihkan autentikasi MS-CHAP v2 melalui saluran PEAP.
Mengaktifkan privasi identitas	IdentityPrivacy > EnableIdentityPrivacy/AnonymousUserName	Menentukan bahwa klien dikonfigurasi sehingga mereka tidak dapat mengirim identitas mereka sebelum klien mengautentikasi server RADIUS, dan secara opsional, menyediakan tempat untuk mengetik nilai identitas anonim. Jika Anda memilih Aktifkan privasi identitas lalu ketik anonymous sebagai nilai identitas anonim, respons identitas untuk pengguna dengan identitas alice@example adalah anonymous@example. Jika Anda memilih Aktifkan privasi identitas tetapi tidak memberikan nilai identitas anonim, respons identitas untuk pengguna alice@example adalah @example.

EAP-TTLS

Pengaturan EAP-TTLS di peta UI ke EapTtlsConnectionPropertiesV1.

Pengaturan	Elemen XML	Deskripsi
Mengaktifkan privasi identitas	Phase1Identity> IdentityPrivacy> AnonimIdentitas	Menentukan bahwa klien dikonfigurasi sehingga mereka tidak dapat mengirim identitas mereka sebelum klien mengautentikasi server RADIUS, dan secara opsional, menyediakan tempat untuk mengetik nilai identitas anonim. Jika Anda memilih Aktifkan privasi identitas lalu ketik anonymous sebagai nilai identitas anonim, respons identitas untuk pengguna dengan identitas alice@example adalah anonymous@example. Jika Anda memilih Aktifkan privasi identitas tetapi tidak memberikan nilai identitas anonim, respons identitas untuk pengguna alice@example adalah @example.
Opsi validasi server
Pilih metode non-EAP untuk autentikasi	Phase2Authentication> Salah satu hal berikut ini: PAPAuthentication CHAPAuthentication MSCHAPAuthentication MSCHAPv2Authentication	Menentukan apakah jenis non-EAP atau EAP digunakan untuk autentikasi. Jika Pilih metode non-EAP untuk autentikasi dipilih, maka Pilih metode EAP untuk autentikasi dinonaktifkan. Berikut ini adalah opsi autentikasi yang tersedia: 1. Kata sandi tidak terenkripsi (PAP) 2. Tantang Protokol Autentikasi Jabat Tangan (CHAP) 3. Microsoft CHAP (MS-CHAP) 4. Microsoft CHAP Versi 2 (MS-CHAP v2).
Secara otomatis menggunakan nama masuk dan kata sandi Windows saya	GunakanWinlogonCredentials	Jika diaktifkan, item ini menggunakan kredensial masuk Windows dan hanya tersedia jika MS-CHAP v2 dipilih dalam daftar drop-down Pilih metode non-EAP untuk autentikasi . Secara otomatis menggunakan nama dan kata sandi masuk Windows saya dinonaktifkan untuk jenis autentikasi PAP, CHAP, dan MS-CHAP .
Pilih metode EAP untuk autentikasi	Phase2Authentication> EapHostConfig	Menentukan apakah jenis EAP atau jenis non-EAP digunakan untuk autentikasi. Jika Pilih metode EAP untuk autentikasi dipilih, maka Pilih metode non-EAP untuk autentikasi dinonaktifkan. Berikut ini adalah opsi autentikasi yang tersedia: 1. Microsoft: Smart Card atau sertifikat lainnya (EAP-TLS) 2. Microsoft: Kata sandi aman (EAP-MSCHAP v2) Daftar drop-down menghitung semua metode EAP yang diinstal di server, kecuali untuk metode terowongan PEAP dan FAST . Jenis EAP tercantum dalam urutan penemuannya oleh komputer.
Konfigurasikan		Membuka kotak dialog properti dari metode EAP yang ditentukan.

TEAP

Pengaturan TEAP di peta UI ke EapTeapConnectionPropertiesV1. TEAP tersedia mulai windows 10, versi 2004 (build 19041) dan Windows Server 2022.

Pengaturan	Elemen XML	Deskripsi
Privasi identitas	Phase1Identity > IdentityPrivacy > AnonymousIdentity	Menentukan bahwa klien dikonfigurasi sehingga mereka tidak dapat mengirim identitas mereka sebelum klien mengautentikasi server RADIUS, dan secara opsional, menyediakan tempat untuk mengetik nilai identitas anonim. Jika Anda memilih Aktifkan privasi identitas lalu ketik anonymous sebagai nilai identitas anonim, respons identitas untuk pengguna dengan identitas alice@example adalah anonymous@example. Jika Anda memilih Aktifkan privasi identitas tetapi tidak memberikan nilai identitas anonim, respons identitas untuk pengguna alice@example adalah @example.
Opsi validasi server
Pilih metode EAP {primer/sekunder} untuk autentikasi	Phase2Authentication (> InnerMethodConfig > EapHostConfig)	Memungkinkan pengguna memilih metode autentikasi primer/sekunder antara Microsoft: Kartu pintar atau sertifikat lain (EAP-TLS) dan Microsoft: Kata sandi aman (EAP-MSCHAP v2). Ini diperbolehkan untuk memiliki kombinasi metode dalam. Misalnya, metode dalam bisa menjadi EAP-TLS dengan kredensial mesin, diikuti oleh EAP-TLS dengan kredensial pengguna.
Konfigurasikan		Jika Microsoft: Kartu pintar atau sertifikat lain (EAP-TLS) dipilih, kartu pintar akan membuka kotak dialog Kartu Pintar atau Properti Sertifikat lainnya. Jika Microsoft: Kata sandi aman (EAP-MSCHAP v2) dipilih, kotak centang Secara otomatis menggunakan nama masuk dan kata sandi Windows saya (dan domain jika ada) tersedia, yang menentukan bahwa nama masuk dan kata sandi Windows berbasis pengguna saat ini digunakan sebagai kredensial autentikasi jaringan.

Validasi server

Banyak metode EAP menyertakan opsi bagi klien untuk memvalidasi sertifikat server. Jika sertifikat server tidak divalidasi, klien tidak dapat memastikan bahwa sertifikat berkomunikasi dengan server yang benar. Ini mengekspos klien terhadap risiko keamanan, termasuk kemungkinan bahwa klien mungkin secara tidak sadar terhubung ke jaringan nakal.

Catatan

Windows memerlukan sertifikat server yang memiliki EKU Autentikasi Server. Pengidentifikasi objek (OID) untuk EKU ini adalah 1.3.6.1.5.5.7.3.1.

Tabel berikut mencantumkan opsi validasi server yang berlaku untuk setiap metode EAP. Windows 11 memperbarui logika validasi server agar lebih konsisten (lihat Perilaku validasi sertifikat server yang diperbarui di Windows 11). Jika berkonflik, deskripsi dalam tabel berikut menjelaskan perilaku untuk Windows 10 dan yang lebih lama.

Pengaturan	Elemen XML	Deskripsi
Verifikasi identitas server dengan memvalidasi sertifikat	EAP-TLS: PerformServerValidation PEAP: PerformServerValidation	Item ini menentukan bahwa klien memverifikasi bahwa sertifikat server yang disajikan ke komputer klien memiliki tanda tangan yang benar, belum kedaluwarsa, dan dikeluarkan oleh otoritas sertifikasi akar tepercaya (CA). Menonaktifkan kotak centang ini menyebabkan komputer klien tidak dapat memverifikasi identitas server Anda selama proses autentikasi. Jika autentikasi server tidak terjadi, pengguna terkena risiko keamanan yang parah, termasuk kemungkinan bahwa pengguna mungkin tanpa sadar terhubung ke jaringan nakal.
Sambungkan ke server ini	EAP-TLS: ServerValidation > ServerNames PEAP: ServerValidation > ServerNames EAP-TTLS: ServerValidation> ServerNames TEAP: ServerValidation> ServerNames	Memungkinkan Anda menentukan nama untuk server Layanan Pengguna Dial-In Autentikasi Jarak Jauh (RADIUS) yang menyediakan autentikasi dan otorisasi jaringan. Anda harus mengetikkan nama persis seperti yang muncul di bidang subjek setiap sertifikat server RADIUS atau menggunakan ekspresi reguler (regex) untuk menentukan nama server. Sintaks lengkap ekspresi reguler dapat digunakan untuk menentukan nama server, tetapi untuk membedakan ekspresi reguler dengan string literal, Anda harus menggunakan setidaknya satu * dalam string yang ditentukan. Misalnya, Anda dapat menentukan nps.*\.example\.com untuk menentukan server nps1.example.com RADIUS atau nps2.example.com. Anda juga dapat menyertakan ; untuk memisahkan beberapa server. Jika tidak ada server RADIUS yang ditentukan, klien hanya memverifikasi bahwa sertifikat server RADIUS dikeluarkan oleh CA akar tepercaya.
Otoritas Sertifikasi Akar Tepercaya	EAP-TLS: ServerValidation > TrustedRootCA PEAP: ServerValidation > TrustedRootCA EAP-TTLS: ServerValidation> TrustedRootCAHashes TEAP: ServerValidation> TrustedRootCAHashes	Mencantumkan otoritas sertifikasi akar tepercaya. Daftar ini dibangun dari CA akar tepercaya yang diinstal di komputer dan di penyimpanan sertifikat pengguna. Anda dapat menentukan supplikasi sertifikat OS akar tepercaya mana yang digunakan untuk menentukan apakah mereka mempercayai server Anda, seperti server Anda yang menjalankan Server Kebijakan Jaringan (NPS) atau server provisi Anda. Jika tidak ada CA akar tepercaya yang dipilih, klien 802.1X memverifikasi bahwa sertifikat komputer server RADIUS dikeluarkan oleh CA akar tepercaya yang diinstal. Jika satu atau beberapa CA akar tepercaya dipilih, klien 802.1X memverifikasi bahwa sertifikat komputer server RADIUS dikeluarkan oleh CA akar tepercaya yang dipilih. Jika tidak ada CA akar tepercaya yang dipilih, klien memverifikasi bahwa sertifikat server RADIUS dikeluarkan oleh CA akar tepercaya. Jika Anda memiliki infrastruktur kunci publik (PKI) di jaringan Anda, dan Anda menggunakan CA untuk menerbitkan sertifikat ke server RADIUS Anda, sertifikat CA Anda secara otomatis ditambahkan ke daftar CA akar tepercaya. Anda juga dapat membeli sertifikat CA dari vendor non-Microsoft. Beberapa CA akar tepercaya non-Microsoft menyediakan perangkat lunak dengan sertifikat yang Anda beli yang secara otomatis menginstal sertifikat yang dibeli ke penyimpanan sertifikat Otoritas Sertifikasi Akar Tepercaya. Dalam hal ini, CA akar tepercaya secara otomatis muncul dalam daftar CA akar tepercaya. Jangan tentukan sertifikat OS akar tepercaya yang belum tercantum dalam penyimpanan sertifikat Otoritas Sertifikasi Akar Tepercaya komputer klien untuk Pengguna Saat Ini dan Komputer Lokal. Jika Anda menunjuk sertifikat yang tidak diinstal pada komputer klien, autentikasi akan gagal. Di XML, ini adalah thumbprint SHA-1 (hash) sertifikat (atau SHA-256 untuk TEAP).

Permintaan pengguna validasi server

Tabel berikut mencantumkan opsi permintaan pengguna validasi server yang berlaku untuk setiap metode EAP. Opsi ini akan digunakan, dalam kasus sertifikat server yang tidak tepercaya, untuk:

• segera gagal koneksi, atau
• izinkan pengguna untuk menerima atau menolak koneksi secara manual.

EAP-TLS

Pengaturan	Elemen XML
Jangan meminta pengguna untuk mengotorisasi server baru atau otoritas sertifikasi tepercaya	ServerValidation > DisableUserPromptForServerValidation

Mencegah pengguna diminta untuk mempercayai sertifikat server jika sertifikat tersebut salah dikonfigurasi, belum tepercaya, atau keduanya (jika diaktifkan). Untuk menyederhanakan pengalaman pengguna dan mencegah pengguna salah mempercayai server yang disebarkan oleh penyerang, disarankan agar Anda memilih kotak centang ini.

PEAP

Pengaturan	Elemen XML
Pemberitahuan sebelum menyambungkan	ServerValidation > 1. DisableUserPromptForServerValidation=true 2. DisableUserPromptForServerValidation=false 3. DisableUserPromptForServerValidation=false, PeapExtensionsV2 > AllowPromptingWhenServerCANotFound

Menentukan apakah pengguna diberi tahu jika nama server atau sertifikat akar tidak ditentukan, atau apakah identitas server tidak dapat diverifikasi. Berikut adalah opsi yang tersedia untuk dipilih dan apa yang ditentukan masing-masing:

1. Jangan minta pengguna untuk mengotorisasi server baru atau CA tepercaya - Jika nama server tidak ada dalam daftar Sambungkan ke server ini, atau sertifikat akar ditemukan tetapi tidak dipilih dalam daftar Otoritas Sertifikasi Akar Tepercaya di Properti PEAP, atau sertifikat akar tidak ditemukan di komputer, maka pengguna tidak diberi tahu dan upaya koneksi gagal.
2. Beri tahu pengguna apakah nama server atau sertifikat akar tidak ditentukan - Jika nama server tidak ada dalam daftar Sambungkan ke server ini, atau sertifikat akar ditemukan tetapi tidak dipilih dalam daftar Otoritas Sertifikasi Akar Tepercaya di Properti PEAP, maka pengguna akan diminta apakah akan menerima sertifikat akar. Jika pengguna menerima sertifikat, autentikasi akan berlanjut. Jika pengguna menolak sertifikat, upaya koneksi gagal. Dengan opsi ini, jika sertifikat akar tidak ada di komputer, pengguna tidak diberi tahu dan upaya koneksi gagal.
3. Beri tahu pengguna jika identitas server tidak dapat diverifikasi - Jika nama server tidak ada dalam daftar Sambungkan ke server ini, atau sertifikat akar ditemukan tetapi tidak dipilih dalam daftar Otoritas Sertifikasi Akar Tepercaya di Properti PEAP, atau sertifikat akar tidak ditemukan di komputer, maka pengguna akan diminta apakah akan menerima sertifikat akar. Jika pengguna menerima sertifikat, autentikasi akan berlanjut. Jika pengguna menolak sertifikat, upaya koneksi gagal.

EAP-TTLS

Pengaturan	Elemen XML
Jangan minta pengguna jika tidak dapat mengotorisasi server	ServerValidation> DisableUserPromptForServerValidation

Menentukan, ketika tidak dipilih, bahwa jika validasi sertifikat server gagal karena salah satu alasan berikut, pengguna diminta untuk menerima atau menolak server:

• Sertifikat akar untuk sertifikat server tidak ditemukan atau tidak dipilih dalam daftar Otoritas Sertifikasi Akar Tepercaya .
• Satu atau beberapa sertifikat akar perantara dalam rantai sertifikat tidak ditemukan.
• Nama subjek dalam sertifikat server tidak cocok dengan server apa pun yang ditentukan dalam daftar Sambungkan ke server ini.

TEAP

Pengaturan	Elemen XML
Jangan minta pengguna jika tidak dapat mengotorisasi server	ServerValidation>DisablePrompt

Menentukan, ketika tidak dipilih, bahwa jika validasi sertifikat server gagal karena salah satu alasan berikut, pengguna diminta untuk menerima atau menolak server:

• Sertifikat akar untuk sertifikat server tidak ditemukan atau tidak dipilih dalam daftar Otoritas Sertifikasi Akar Tepercaya .
• Satu atau beberapa sertifikat akar perantara dalam rantai sertifikat tidak ditemukan.
• Nama subjek dalam sertifikat server tidak cocok dengan server apa pun yang ditentukan dalam daftar Sambungkan ke server ini.

Pengaturan konfigurasi autentikasi seluler

Berikut ini mencantumkan pengaturan konfigurasi untuk EAP-SIM, EPA-AKA, dan EPA-AKA' masing-masing.

EAP-SIM

EAP-SIM didefinisikan dalam RFC 4186. Modul Identitas Pelanggan (SIM) EAP digunakan untuk autentikasi dan distribusi kunci sesi menggunakan Jaringan seluler generasi ke-2 Global System for Mobile Communications (GSM) Subscriber Identity Module (SIM).

Pengaturan EAP-SIM di peta UI ke EapSimConnectionPropertiesV1.

Item	Elemen XML	Deskripsi
Gunakan kunci cipher yang kuat	UseStrongCipherKeys	Menentukan bahwa jika dipilih, profil menggunakan enkripsi yang kuat.
Jangan ungkap identitas nyata ke server saat identitas nama pengguna tersedia	DontRevealPermanentID	Ketika diaktifkan, memaksa klien untuk gagal autentikasi jika server meminta identitas permanen meskipun klien memiliki identitas nama samar dengannya. Identitas pseudonym digunakan untuk privasi identitas sehingga identitas aktual atau permanen pengguna tidak terungkap selama autentikasi.
	ProviderName	Hanya tersedia di XML, string yang menunjukkan nama penyedia yang diizinkan untuk autentikasi.
Mengaktifkan penggunaan realm	Ranah=true	Menyediakan tempat untuk mengetik nama realm. Jika bidang ini dibiarkan kosong dengan Aktifkan penggunaan realm yang dipilih, ranah berasal dari International Mobile Subscriber Identity (IMSI) menggunakan realm 3gpp.org, seperti yang dijelaskan dalam standar 3rd Generation Partnership Project (3GPP) 23.003 V6.8.0.
Tentukan realm	Ranah	Menyediakan tempat untuk mengetik nama realm. Jika Aktifkan penggunaan realm diaktifkan, string ini akan digunakan. Jika bidang ini kosong, ranah turunan digunakan.

EAP-AKA

EAP-AKA didefinisikan dalam RFC 4187. Autentikasi EAP dan Perjanjian Kunci (AKA) digunakan untuk autentikasi dan distribusi kunci sesi dengan menggunakan mekanisme AKA. AKA digunakan dalam jaringan seluler generasi ke-3 Universal Mobile Telecommunications System (UMTS) dan CDMA2000. AKA didasarkan pada kunci konten dan biasanya berjalan dalam Modul Identitas Pelanggan (SIM).

Pengaturan EAP-AKA di peta UI ke EapAkaConnectionPropertiesV1.

Item	Elemen XML	Deskripsi
Jangan ungkap identitas nyata ke server saat identitas nama pengguna tersedia	DontRevealPermanentID	Ketika diaktifkan, memaksa klien untuk gagal autentikasi jika server meminta identitas permanen meskipun klien memiliki identitas nama samar dengannya. Identitas pseudonym digunakan untuk privasi identitas sehingga identitas aktual atau permanen pengguna tidak terungkap selama autentikasi.
	ProviderName	Hanya tersedia di XML, string yang menunjukkan nama penyedia yang diizinkan untuk autentikasi.
Mengaktifkan penggunaan realm	Ranah=true	Menyediakan tempat untuk mengetik nama realm. Jika bidang ini dibiarkan kosong dengan Aktifkan penggunaan realm yang dipilih, ranah berasal dari International Mobile Subscriber Identity (IMSI) menggunakan realm 3gpp.org, seperti yang dijelaskan dalam standar 3rd Generation Partnership Project (3GPP) 23.003 V6.8.0.
Tentukan realm	Ranah	Menyediakan tempat untuk mengetik nama realm. Jika Aktifkan penggunaan realm diaktifkan, string ini akan digunakan. Jika bidang ini kosong, ranah turunan digunakan.

EAP-AKA'

EAP-AKA' didefinisikan dalam RFC 5448 dan RFC 9048. EAP-AKA Prime (AKA') adalah versi EAP-AKA yang dimodifikasi yang menambahkan fungsi derivasi kunci baru untuk memfasilitasi akses ke jaringan berbasis Proyek Kemitraan Generasi ke-3 (3GPP) dengan menggunakan standar non-3GPP, seperti:

• Wi-Fi
• Evolution-Data Optimized (EVDO)
• Interoperabilitas Di Seluruh Dunia untuk Akses Microwave (WiMax)

Pengaturan EAP-AKA di peta UI ke EapAkaPrimeConnectionPropertiesV1.

Item	Elemen XML	Deskripsi
Jangan ungkap identitas nyata ke server saat identitas nama pengguna tersedia	DontRevealPermanentID	Ketika diaktifkan, memaksa klien untuk gagal autentikasi jika server meminta identitas permanen meskipun klien memiliki identitas nama samar dengannya. Identitas pseudonym digunakan untuk privasi identitas sehingga identitas aktual atau permanen pengguna tidak terungkap selama autentikasi.
	ProviderName	Hanya tersedia di XML, string yang menunjukkan nama penyedia yang diizinkan untuk autentikasi.
Mengaktifkan penggunaan realm	Ranah=true	Menyediakan tempat untuk mengetik nama realm. Jika bidang ini dibiarkan kosong dengan Aktifkan penggunaan realm yang dipilih, ranah berasal dari International Mobile Subscriber Identity (IMSI) menggunakan realm 3gpp.org, seperti yang dijelaskan dalam standar 3rd Generation Partnership Project (3GPP) 23.003 V6.8.0.
Tentukan realm	Ranah	Menyediakan tempat untuk mengetik nama realm. Jika Aktifkan penggunaan realm diaktifkan, string ini akan digunakan. Jika bidang ini kosong, ranah turunan digunakan.
Abaikan ketidakcocokan nama jaringan	IgnoreNetworkNameMismatch	Klien membandingkan nama jaringan yang diketahui, dengan nama yang dikirim oleh server RADIUS selama autentikasi. Jika ada ketidakcocokan, opsi ini akan diabaikan jika dipilih. Jika tidak dipilih, autentikasi gagal.
Aktifkan Aauthentikasi Ulang Cepat	EnableFastReauth	Menentukan bahwa aatentikasi ulang cepat diaktifkan. Autentikasi Ulang Cepat berguna ketika autentikasi SIM sering terjadi. Kunci enkripsi yang berasal dari autentikasi penuh digunakan kembali. Akibatnya, algoritma SIM tidak diperlukan untuk dijalankan untuk setiap upaya autentikasi, dan jumlah operasi jaringan yang dihasilkan dari upaya autentikasi yang sering dikurangi.

Mode WPA3-Enterprise 192-bit

Mode WPA3-Enterprise 192-bit adalah mode khusus untuk WPA3-Enterprise yang memberlakukan persyaratan keamanan tinggi tertentu pada koneksi nirkabel untuk memberikan minimal keamanan 192 bit. Persyaratan ini selaras dengan Suite Algoritma Keamanan Nasional Komersial (CNSA), CNSSP 15, yang merupakan serangkaian algoritma kriptografi yang disetujui untuk melindungi informasi rahasia dan rahasia teratas oleh Amerika Serikat National Security Agency (NSA). Mode 192-bit terkadang dapat disebut sebagai "mode Suite B", yang merupakan referensi ke spesifikasi Kriptografi NSA Suite B, yang digantikan oleh CNSA pada tahun 2016.

Mode WPA3-Enterprise dan WPA3-Enterprise 192-bit tersedia mulai windows 10, versi 2004 (build 19041) dan Windows Server 2022. Namun, WPA3-Enterprise di-single out sebagai algoritma autentikasi terpisah di Windows 11. Dalam XML, ini ditentukan dalam elemen authEncryption .

Tabel berikut mencantumkan algoritma yang diperlukan oleh CNSA Suite.

Algoritma	Deskripsi	Parameter
Standar Enkripsi Tingkat Lanjut (AES)	Cipher blok konten yang digunakan untuk enkripsi	Kunci 256-bit (AES-256)
Pertukaran Kunci Kurva Elips Diffie-Hellman (ECDH)	Algoritma asimetris yang digunakan untuk membuat rahasia bersama (kunci)	Kurva modulus prime 384-bit (P-384)
Algoritma Tanda Tangan Digital Kurva Elips (ECDSA)	Algoritma asimetris yang digunakan untuk tanda tangan digital	Kurva modulus prime 384-bit (P-384)
Algoritma Hash Aman (SHA)	Fungsi hash kriptografi	SHA-384
Pertukaran Kunci Diffie-Hellman (DH)	Algoritma asimetris yang digunakan untuk membuat rahasia bersama (kunci)	Modulus 3072-bit
Rivest-Shamir-Adleman (RSA)	Algoritma asimetris yang digunakan untuk tanda tangan digital atau pembentukan kunci	Modulus 3072-bit

Menyelaraskan dengan CNSA, mode WPA3-Enterprise 192-bit mengharuskan EAP-TLS digunakan dengan suite sandi berikut dengan pembatasan:

• TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • ECDHE dan ECDSA menggunakan kurva modulus utama 384-bit P-384
• TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 / TLS_DHE_RSA_AES_256_GCM_SHA384
  • ECDHE menggunakan kurva modulus prime 384-bit P-384
  • RSA >= modulus 3072-bit

Catatan

P-384 juga dikenal sebagai secp384r1 atau nistp384. Kurva elips lainnya, seperti P-521 tidak diizinkan.

SHA-384 berada dalam keluarga FUNGSI hash SHA-2. Algoritma dan varian lain, seperti SHA-512 atau SHA3-384, tidak diizinkan.

Windows hanya TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 mendukung suite sandi dan TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 untuk mode WPA3-Enterprise 192-bit. Cipher TLS_DHE_RSA_AES_256_GCM_SHA384 suite tidak didukung.

TLS 1.3 menggunakan suite TLS baru yang disederhanakan, yang hanya TLS_AES_256_GCM_SHA384 kompatibel dengan mode WPA3-Enterprise 192-bit. Karena TLS 1.3 memerlukan (EC)DHE dan memungkinkan sertifikat ECDSA atau RSA, bersama dengan hash AES-256 AEAD dan SHA384, TLS_AES_256_GCM_SHA384 setara TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 dengan dan TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384. Namun, RFC 8446 mengharuskan aplikasi yang mematuhi TLS 1.3 mendukung P-256, yang dilarang oleh CNSA. Oleh karena itu, mode WPA3-Enterprise 192-bit tidak dapat sepenuhnya mematuhi TLS 1.3. Namun, tidak ada masalah interoperabilitas yang diketahui dengan mode TLS 1.3 dan WPA3-Enterprise 192-bit.

Untuk mengonfigurasi jaringan untuk mode WPA3-Enterprise 192-bit, Windows mengharuskan EAP-TLS digunakan dengan sertifikat yang memenuhi persyaratan yang dijelaskan sebelumnya.

Sumber Daya Tambahan:

• Mengelola Pengaturan Kebijakan Jaringan Nirkabel Baru (IEEE 802.11)
• Mengelola Pengaturan Kebijakan Jaringan Kabel Baru (IEEE 802.3)
• Pengaturan Keamanan Tingkat Lanjut untuk Kebijakan Jaringan Berkabel dan Nirkabel