Extensible Authentication Protocol (EAP) voor netwerktoegang

Het Extensible Authentication Protocol (EAP) is een authenticatiekader dat het gebruik van verschillende authenticatiemethoden voor veilige netwerktoegangstechnologieën mogelijk maakt. Voorbeelden van deze technologieën zijn draadloze toegang met IEEE 802.1X, bekabelde toegang met IEEE 802.1X en PPP-verbindingen (Point-to-Point Protocol) zoals Virtual Private Networking (VPN). EAP is geen specifieke verificatiemethode, zoals MS-CHAP v2, maar een framework waarmee netwerkleveranciers nieuwe verificatiemethoden kunnen ontwikkelen en installeren, ook wel EAP-methoden genoemd op de toegangsclient en verificatieserver. Het EAP-framework is oorspronkelijk gedefinieerd door RFC 3748 en uitgebreid door verschillende andere RFC's en standaarden.

Verificatiemethoden

EAP-verificatiemethoden die worden gebruikt binnen getunnelde EAP-methoden worden ook wel interne methoden of EAP-typen genoemd. Methoden die als interne methoden zijn ingesteld, hebben dezelfde configuratie-instellingen als bij gebruik als een buitenste methode. Dit artikel bevat configuratie-informatie die specifiek is voor de volgende verificatiemethoden in EAP.

EAP-Transport Layer Security (EAP-TLS): op standaarden gebaseerde EAP-methode die gebruikmaakt van TLS met certificaten voor wederzijdse verificatie. Wordt weergegeven als smartcard of ander certificaat (EAP-TLS) in Windows. EAP-TLS kan worden geïmplementeerd als een interne methode voor een andere EAP-methode of als een zelfstandige EAP-methode.

Tip

EAP-methoden die gebruikmaken van EAP-TLS, omdat ze op certificaten zijn gebaseerd, bieden over het algemeen het hoogste beveiligingsniveau. EAP-TLS is bijvoorbeeld de enige toegestane EAP-methode voorWPA3-Enterprise 192-bits modus.

EAP-Microsoft Challenge Handshake Authentication Protocol versie 2 (EAP-MSCHAP v2):door Microsoft gedefinieerde EAP-methode die het MSCHAP v2-verificatieprotocol, dat gebruikmaakt van gebruikersnaam en wachtwoord, omvat voor verificatie. Wordt weergegeven als Beveiligd wachtwoord (EAP-MSCHAP v2) in Windows. EAP-MSCHAPv2 kan worden gebruikt als een zelfstandige methode voor VPN, maar alleen als een binnenste methode voor bekabelde/draadloze verbindingen.

Warning

Op MSCHAPv2 gebaseerde verbindingen zijn onderhevig aan vergelijkbare aanvallen als voor NTLMv1. Windows 11 Enterprise, versie 22H2 (build 22621) maakt Windows Defender Credential Guard mogelijk, wat problemen kan veroorzaken met MSCHAPv2-verbindingen.

Protected EAP (PEAP):door Microsoft gedefinieerde EAP-methode die EAP inkapselt in een TLS-tunnel. De TLS-tunnel beveiligt de interne EAP-methode, die anders onbeschermd zou kunnen zijn. Windows ondersteunt EAP-TLS en EAP-MSCHAP v2 als interne methoden.

EAP-Tunneled Transport Layer Security (EAP-TTLS): dit wordt beschreven door RFC 5281 en bevat een TLS-sessie die wederzijdse verificatie uitvoert met behulp van een ander mechanisme voor interne verificatie. Deze interne methode kan een EAP-protocol zijn, zoals EAP-MSCHAP v2, of een niet-EAP-protocol, zoals Password Authentication Protocol (PAP). In Windows Server 2012 biedt de opname van EAP-TTLS alleen ondersteuning aan de clientzijde (in Windows 8). NPS biedt op dit moment geen ondersteuning voor EAP-TTLS. De clientondersteuning maakt interoperabiliteit mogelijk met veelgebruikte RADIUS-servers die EAP-TTLS ondersteunen.

EAP-Subscriber Identity Module (EAP-SIM), EAP-Authentication en Key Agreement (EAP-AKA) en EAP-AKA Prime (EAP-AKA): dit wordt beschreven door verschillende RFC's, maakt verificatie mogelijk met behulp van SIM-kaarten en wordt geïmplementeerd wanneer een klant een draadloos breedbandserviceabonnement koopt bij een provider van een mobiel netwerk. Als onderdeel van het abonnement ontvangt de klant gewoonlijk een draadloos profiel dat vooraf is geconfigureerd voor SIM-verificatie.

Tunnel EAP (TEAP):dit wordt beschreven door RFC 7170, tunneled EAP-methode waarmee een beveiligde TLS-tunnel wordt vastgesteld en andere EAP-methoden in die tunnel worden uitgevoerd. Ondersteunt EAP-chaining - authenticatie van de machine en de gebruiker binnen één authenticatiesessie. In Windows Server 2022 biedt de opname van TEAP alleen ondersteuning voor de clientzijde - Windows 10, versie 2004 (build 19041). NPS biedt op dit moment geen ondersteuning voor TEAP. De clientondersteuning maakt interoperabiliteit mogelijk met veelgebruikte RADIUS-servers die TEAP ondersteunen. Windows ondersteunt EAP-TLS en EAP-MSCHAP v2 als interne methoden.

De volgende tabel bevat een aantal veelgebruikte EAP-methoden en de aan IANA toegewezen methodetypenummers.

EAP-methode	IANA toegewezen typenummer	Native Windows-ondersteuning
MD5-Challenge (EAP-MD5)	4	❌
One-Time Wachtwoord (EAP-OTP)	5	❌
Generieke tokenkaart (EAP-GTC)	6	❌
EAP-TLS	13	✅
EAP-SIM	18	✅
EAP-TTLS	21	✅
EAP-AKA	23	✅
PEAP	25	✅
EAP-MSCHAP v2	26	✅
Beveiligd One-Time Wachtwoord (EAP-POTP)	32	❌
EAP-FAST	43	❌
Vooraf gedeelde sleutel (EAP-PSK)	47	❌
EAP-IKEv2	49	❌
EAP-AKA'	50	✅
EAP-EKE	53	❌
TEAP	55	✅
EAP-NOOB	56	❌

EAP-eigenschappen configureren

U kunt op de volgende manieren toegang krijgen tot de EAP-eigenschappen voor 802.1X-geverifieerde bekabelde en draadloze toegang:

• Het configureren van de extensies voor bekabeld netwerk (IEEE 802.3) en draadloos netwerk (IEEE 802.11) in groepsbeleid.
  • Computerconfiguratie>Beleid>Windows-instellingen>Beveiligingsinstellingen
• Mdm-software (Mobile Device Management) gebruiken, zoals Intune (Wi-Fi/Wired)
  • Wi-Fi CSP
  • WiredNetwork CSP
• Handmatig configureren van bekabelde of draadloze verbindingen op clientcomputers.

U kunt op de volgende manieren toegang krijgen tot de EAP-eigenschappen voor VPN-verbindingen (Virtual Private Network):

• Mdm-software (Mobile Device Management) gebruiken, zoals Intune
  • VPNv2 CSP
  • OPTIES voor VPN-profiel
• VPN-verbindingen handmatig configureren op clientcomputers.
• De Connection Manager Administration Kit (CMAK) gebruiken om VPN-verbindingen te configureren.

Zie EAP-profielen en -instellingen configureren in Windows voor meer informatie over het configureren van EAP-eigenschappen.

XML-profielen voor EAP

De profielen die voor de verschillende soorten verbindingen worden gebruikt, zijn XML-bestanden die de configuratieopties voor die verbinding bevatten. Elk afzonderlijk verbindingstype volgt een specifiek schema:

• Wi-Fi (WLAN) profielen
• Bekabelde netwerkprofielen (Ethernet)
• VPN-profielen

Wanneer het profielschema echter is geconfigureerd voor het gebruik van EAP, heeft elk profielschema een onderliggend element EapHostConfig-element .

• Bekabeld/draadloos: EapHostConfig is een onderliggend element van het EAPConfig-element . MSM-beveiliging > (bedraad/draadloos) >OneX> EAPConfig
• VPN: EapHostConfig is een onderliggend element van NativeProfile > Authentication > Eap > Configuration

Deze configuratiesyntaxis is gedefinieerd in de specificatie Groepsbeleid: Draadloos/bekabeld protocol Extensie .

Note

De verschillende configuratie-GUI's tonen niet altijd elke technisch mogelijke optie. Windows Server 2019 en eerder kunnen bijvoorbeeld TEAP niet configureren in de gebruikersinterface. Het is echter vaak mogelijk om een bestaand XML-profiel te importeren dat eerder is geconfigureerd.

De rest van het artikel is bedoeld om een toewijzing te bieden tussen de EAP-specifieke gedeelten van de gebruikersinterface van het Groepsbeleid/Configuratiescherm en de XML-configuratieopties, en het verstrekken van een beschrijving van de instelling.

Meer informatie over het configureren van XML-profielen vindt u in XML-profielen. Een voorbeeld van het gebruik van een XML-profiel met EAP-instellingen vindt u in Een Wi-Fi profiel inrichten via een website.

Beveiligingsinstellingen

In de volgende tabel worden de configureerbare beveiligingsinstellingen uitgelegd voor een profiel dat gebruikmaakt van 802.1X. Deze instellingen zijn toegewezen aan OneX.

Setting	XML element	Description
Selecteer een netwerkverificatiemethode:	EAPConfig	Hiermee kunt u de EAP-methode selecteren die u wilt gebruiken voor verificatie. Zie Configuratie-instellingen voor verificatiemethode en Configuratie-instellingen voor mobiele verificatie
Properties		Hiermee opent u het eigenschappenvenster voor de geselecteerde EAP-methode.
Verificatiemodus	authMode	Hiermee geeft u het type referenties op dat wordt gebruikt voor verificatie. De volgende waarden worden ondersteund: 1. Authenticatie van gebruikers of computers 2. Computer-authenticatie 3. Authenticatie van de gebruiker 4. Authenticatie van gasten "Computer" betekent in deze context "Machine" in andere verwijzingen. machineOrUser is de standaard in Windows.
Maximale authenticatiefouten	maxAuthFailures	Hiermee geeft u het maximum aantal verificatiefouten op dat is toegestaan voor een set referenties, standaard op 1.
Gebruikersgegevens in de cache opslaan voor volgende verbindingen met dit netwerk	cacheUserData	Hiermee geeft u op of de referenties van de gebruiker in de cache moeten worden opgeslagen voor volgende verbindingen met hetzelfde netwerk, standaard op true.

Geavanceerde beveiligingsinstellingen > IEEE 802.1X

Als geavanceerde 802.1X-instellingen afdwingen is ingeschakeld, worden alle volgende instellingen geconfigureerd. Als dit selectievakje niet is aangevinkt, zijn de standaardinstellingen van toepassing. In XML zijn alle elementen optioneel, waarbij de standaardwaarden worden gebruikt als ze niet aanwezig zijn.

Setting	XML element	Description
Max. Eapol-Start Berichten	maxStart	Hiermee geeft u het maximale aantal EAPOL-Start berichten op dat naar de verificator (RADIUS-server) kan worden verzonden voordat de aanvrager (Windows-client) ervan uitgaat dat er geen verifiator aanwezig is, standaard op 3.
Startperiode (seconden)	startPeriod	Hiermee geeft u de periode (in seconden) op die moet worden gewacht voordat een EAPOL-Start bericht wordt verzonden om het 802.1X-verificatieproces te starten, standaard op 5.
Vastgehouden periode (seconden)	heldPeriod	Hiermee geeft u de periode (in seconden) op die moet wachten na een mislukte verificatiepoging om opnieuw te verifiëren, standaard ingesteld op 1.
Verificatieperiode (seconden)	authPeriod	Hiermee geeft u de tijdsperiode (in seconden) op die moet wachten op een reactie van de verifiator (RADIUS-server) voordat wordt aangenomen dat er geen verifiator aanwezig is, standaard op 18.
Eapol-Start bericht	supplicantMode	Hiermee geeft u de verzendmethode op die wordt gebruikt voor EAPOL-Start berichten. De volgende waarden worden ondersteund: 1. Niet verzenden (inhibitTransmission) 2. Verzenden (includeLearning) 3. Verzenden volgens IEEE 802.1X (compliant) "Computer" betekent in deze context "Machine" in andere verwijzingen. compliant is de standaard in Windows en is de enige geldige optie voor draadloze profielen.

Geavanceerde beveiligingsinstellingen > Single Sign On

In de volgende tabel worden de instellingen voor Single Sign On (SSO) uitgelegd, voorheen bekend als Pre-Logon Access Provider (PLAP).

Setting	XML element	Description
Single Sign On inschakelen voor dit netwerk	singleSignOn	Hiermee geeft u op of SSO is ingeschakeld voor dit netwerk, standaard ingesteld op false. Niet gebruiken singleSignOn in een profiel als het netwerk dit niet vereist.
Voer onmiddellijk voor de gebruiker uit Voer onmiddellijk na gebruiker uit	type	Geeft aan wanneer eenmalige aanmelding moet worden uitgevoerd, voor of nadat de gebruiker zich heeft aangemeld.
Maximale vertraging voor connectiviteit (seconden)	maxDelay	Hiermee geeft u de maximale vertraging (in seconden) op voordat de SSO-poging mislukt, standaard ingesteld op 10.
Toestaan dat extra dialoogvensters worden weergegeven tijdens eenmalige aanmelding	allowAdditionalDialogs	Er is opgegeven of EAP-dialoogvensters moeten worden weergegeven tijdens SSO, standaard op false.
Dit netwerk gebruikt verschillende VLAN's voor authenticatie met machine- en gebruikersgegevens	userBasedVirtualLan	Hiermee geeft u op of het virtuele LAN (VLAN) dat door het apparaat wordt gebruikt, wordt gewijzigd op basis van de referenties van de gebruiker, standaard op false.

Configuratie-instellingen voor verificatiemethode

Caution

Als een netwerktoegangsserver is geconfigureerd om hetzelfde type verificatiemethode toe te staan voor een getunnelde EAP-methode (zoals PEAP) en een niet-tunnelende EAP-methode (zoals EAP-MSCHAP v2), is er een mogelijk beveiligingsprobleem. Wanneer u zowel een getunnelde EAP-methode als EAP (die niet is beveiligd) implementeert, gebruikt u niet hetzelfde verificatietype. Als u bijvoorbeeld PEAP-TLS implementeert, implementeer dan niet ook EAP-TLS, omdat als u bescherming van de tunnel vereist, het geen zin heeft de methode ook buiten de tunnel toe te staan.

In de volgende tabel worden de configureerbare instellingen voor elke verificatiemethode uitgelegd.

EAP-TLS

De EAP-TLS-instellingen in de gebruikersinterfacetoewijzing naar EapTlsConnectionPropertiesV1, die wordt uitgebreid door EapTlsConnectionPropertiesV2 en EapTlsConnectionPropertiesV3.

Setting	XML element	Description
Mijn smartcard gebruiken	CredentialsSource>SmartCard	Hiermee geeft u op dat clients die verificatieaanvragen indienen, een smartcardcertificaat moeten overleggen voor netwerkverificatie.
Een certificaat gebruiken op deze computer	CredentialsSource>CertificateStore	Hiermee geeft u op dat voor verificatieclients een certificaat moet worden gebruikt dat zich in het certificaatarchief Huidige gebruiker of Lokale computer bevindt.
Eenvoudige certificaatselectie gebruiken (aanbevolen)	SimpleCertSelection	Hiermee geeft u op of Windows automatisch een certificaat selecteert voor verificatie zonder tussenkomst van de gebruiker (indien mogelijk) of dat Windows een vervolgkeuzelijst weergeeft voor de gebruiker om een certificaat te selecteren.
Advanced		Hiermee opent u het dialoogvenster Certificaatselectie configureren .
Opties voor servervalidatie
Gebruik een andere gebruikersnaam voor de verbinding	DifferentUsername	Hiermee geeft u op of voor verificatie een gebruikersnaam moet worden gebruikt die afwijkt van de gebruikersnaam in het certificaat.

Hieronder vindt u de configuratie-instellingen voor Certificaatselectie configureren. Deze instellingen definiëren de criteria die een client gebruikt om het juiste certificaat voor verificatie te selecteren. Deze gebruikersinterface wordt toegewezen aan TLSExtensions>FilteringInfo.

Setting	XML element	Description
Certificaatverlener	CAHashListEnabled="true"	Hiermee geeft u op of het filteren van certificaatverlener is ingeschakeld. Als zowel Certificaatverlener als Extended Key Usage (EKU) zijn ingeschakeld, worden alleen de certificaten die aan beide voorwaarden voldoen, beschouwd als geldig voor het verifiëren van de client op de server.
Basiscertificeringsinstanties	IssuerHash	Bevat de namen van alle verleners waarvoor overeenkomstige certificeringsinstantiecertificaten (CA) aanwezig zijn in het certificaatarchief van vertrouwde basiscertificeringsinstanties of tussenliggende certificeringsinstanties van het lokale computeraccount. Dit omvat: Alle basiscertificeringsinstanties en tussenliggende certificeringsinstanties. Bevat alleen de verleners waarvoor geldige certificaten aanwezig zijn op de computer (bijvoorbeeld certificaten die niet zijn verlopen of niet zijn ingetrokken). De definitieve lijst met certificaten die zijn toegestaan voor verificatie, bevat alleen certificaten die zijn uitgegeven door een van de verleners die in deze lijst zijn geselecteerd. In XML is dit de SHA-1 vingerafdruk (hash) van het certificaat.
Uitgebreid sleutelgebruik (EKU)		Hiermee kunt u All Purpose, Client Authentication, AnyPurpose of een combinatie hiervan selecteren. Hiermee geeft u aan dat wanneer een combinatie is geselecteerd, alle certificaten die aan ten minste één van de drie voorwaarden voldoen, worden beschouwd als geldige certificaten voor het verifiëren van de client bij de server. Als EKU-filtering is ingeschakeld, moet een van de opties worden geselecteerd, anders wordt het selectievakje Uitgebreide-sleutelgebruik (EKU) uitgeschakeld.
Alle doeleinden	AllPurposeEnabled	Als dit item is geselecteerd, geeft dit item aan dat certificaten met de EKU voor alle doeleinden als geldige certificaten worden beschouwd voor het verifiëren van de client op de server. De object-id (OID) voor Alle doeleinden is 0 of leeg.
Clientverificatie	ClientAuthEKUListEnabled="true" (> EKUMapInList > EKUName)	Hiermee geeft u op dat certificaten met de EKU clientverificatie en de opgegeven lijst met EKU's als geldige certificaten worden beschouwd voor het verifiëren van de client op de server. De object-id (OID) voor clientverificatie is 1.3.6.1.5.5.7.3.2.
AnyPurpose	AnyPurposeEKUListEnabled="true" (> EKUMapInList > EKUName)	Hiermee geeft u op dat alle certificaten met AnyPurpose EKU en de opgegeven lijst met EKU's worden beschouwd als geldige certificaten voor het verifiëren van de client op de server. De object-id (OID) voor AnyPurpose is 1.3.6.1.4.1.311.10.12.1.
Add	EKUMapping > EKUMap > EKUName/EKUOID	Hiermee opent u het dialoogvenster EKU's selecteren, waarmee u standaard-, aangepaste of leverancierspecifieke EKU's kunt toevoegen aan de lijst Clientverificatie of AnyPurpose . Als u Toevoegen of Bewerken selecteert in het dialoogvenster EKU's selecteren , wordt het dialoogvenster EKU toevoegen/bewerken geopend. Dit biedt twee opties: 1. Voer de naam van de EKU in - Biedt een plaats om de naam van de aangepaste EKU te typen. 2. Voer de EKU OID in - Biedt een plaats om de OID voor de EKU te typen. Alleen numerieke cijfers, scheidingstekens en . zijn toegestaan. Jokertekens zijn toegestaan, in welk geval alle onderliggende OID's in de hiërarchie zijn toegestaan. Als u bijvoorbeeld invoert1.3.6.1.4.1.311.*, staat u en 1.3.6.1.4.1.311.42.1.3.6.1.4.1.311.42.2.1
Edit		Hiermee kunt u aangepaste EKU's bewerken die u hebt toegevoegd. De standaard, vooraf gedefinieerde EKU's kunnen niet worden bewerkt.
Remove		Hiermee verwijdert u de geselecteerde EKU uit de lijst Clientverificatie of AnyPurpose .

PEAP

De PEAP-instellingen in de gebruikersinterface worden toegewezen aan MsPeapConnectionPropertiesV1, die wordt uitgebreid door MsPeapConnectionPropertiesV2.

Setting	XML element	Description
Opties voor servervalidatie
Selecteer authenticatiemethode		Hiermee kunt u het EAP-type selecteren dat u wilt gebruiken met PEAP voor netwerkverificatie. Er zijn twee EAP-typen beschikbaar: Veilig wachtwoord (EAP-MSCHAP v2) en Smartcard of ander certificaat (EAP-TLS).
Configure	EAP-MSCHAP v2: UseWinLogonCredentials EAP-TLS: Zie EAP-TLS tabblad, schema	Dit item biedt toegang tot eigenschapsinstellingen voor het opgegeven EAP-type. Als Veilig wachtwoord (EAP-MSCHAP v2) is ingeschakeld, is het selectievakje Mijn Windows-aanmeldingsnaam en -wachtwoord (en eventueel domein) automatisch gebruiken , beschikbaar, waarmee wordt aangegeven dat de huidige Windows-aanmeldingsnaam en het huidige Windows-wachtwoord worden gebruikt als netwerkverificatiereferenties. Als smartcard of ander certificaat (EAP-TLS) is geselecteerd, wordt het dialoogvenster Smartcard of andere certificaateigenschappen geopend voor verdere configuratie van dit EAP-type.
Snel opnieuw verbinden mogelijk maken	FastReconnect	Maakt het mogelijk om efficiënter en met een kleiner aantal retourzendingen een nieuwe of vernieuwde beveiligingskoppeling te maken als er eerder een beveiligingskoppeling is opgericht. Voor VPN-verbindingen maakt snelle herverbinding gebruik van IKEv2-technologie om naadloze en consistente VPN-connectiviteit te bieden wanneer gebruikers tijdelijk hun internetverbinding verliezen. Deze functie is vooral handig voor gebruikers die verbinding maken via draadloos mobiel breedband, omdat wanneer een internetverbinding afneemt, snel opnieuw verbinding maken, automatisch actieve VPN-verbindingen naadloos en transparant opnieuw tot stand brengen voor gebruikers.
Verbreek de verbinding als de server geen cryptobinding TLV presenteert	RequireCryptoBinding	Hiermee geeft u op dat het verbinden van clients het netwerkverificatieproces moet beëindigen als de RADIUS-server geen cryptobinding Type-Length-Value (TLV) vertoont. Cryptobinding TLV is een beveiligingsfunctie die de beveiliging van de TLS-tunnel in PEAP verbetert. Het doet dit door de interne en externe methode-authenticatie te combineren, waardoor het voor aanvallers moeilijk wordt om man-in-the-middle-aanvallen uit te voeren door een MS-CHAP v2-authenticatie om te leiden via het PEAP-kanaal.
Identiteitsprivacy inschakelen	IdentityPrivacy>EnableIdentityPrivacy/AnonymousUserName	Hiermee geeft u op dat clients zo zijn geconfigureerd dat ze hun identiteit niet kunnen verzenden voordat de client de RADIUS-server heeft geverifieerd en biedt u optioneel een plek om een anonieme identiteitswaarde in te typen. Als u Identiteitsprivacy inschakelen selecteert en vervolgens typt anonymous als de waarde voor anonieme identiteit, is het identiteitsantwoord voor een gebruiker met identiteit alice@example .anonymous@example Als u Identiteitsprivacy inschakelen maar geen anonieme identiteitswaarde opgeeft, selecteert alice@exampleu de identiteitsreactie voor de gebruiker @example .

EAP-TTLS

De EAP-TTLS-instellingen in de gebruikersinterface worden toegewezen aan EapTtlsConnectionPropertiesV1.

Setting	XML element	Description
Identiteitsprivacy inschakelen	Phase1Identity> IdentityPrivacy> AnonymousIdentity	Hiermee geeft u op dat clients zo zijn geconfigureerd dat ze hun identiteit niet kunnen verzenden voordat de client de RADIUS-server heeft geverifieerd en biedt u optioneel een plek om een anonieme identiteitswaarde in te typen. Als u Identiteitsprivacy inschakelen selecteert en vervolgens typt anonymous als de waarde voor anonieme identiteit, is het identiteitsantwoord voor een gebruiker met identiteit alice@example .anonymous@example Als u Identiteitsprivacy inschakelen maar geen anonieme identiteitswaarde opgeeft, selecteert alice@exampleu de identiteitsreactie voor de gebruiker @example .
Opties voor servervalidatie
Selecteer een niet-EAP-methode voor verificatie	Phase2Authentication> Een van de volgende: PAPAuthentication CHAPAuthentication MSCHAPAuthentication MSCHAPv2Authentication	Hiermee geeft u aan of een niet-EAP- of een EAP-type wordt gebruikt voor verificatie. Als Selecteer een niet-EAP-methode voor verificatie is geselecteerd, is vervolgens Een EAP-methode voor verificatie selecteren uitgeschakeld. Dit zijn de beschikbare authenticatie-opties: 1. Onversleuteld wachtwoord (PAP) 2. Daag Handshake-verificatieprotocol (CHAP) uit 3. Microsoft CHAP (MS-CHAP) 4. Microsoft CHAP versie 2 (MS-CHAP v2).
De naam en het wachtwoord van mijn Windows-aanmelding automatisch gebruiken	UseWinlogonCredentials	Als dit item is ingeschakeld, worden aanmeldingsreferenties van Windows gebruikt en is dit alleen beschikbaar als MS-CHAP v2 is geselecteerd in de vervolgkeuzelijst Een niet-EAP-methode selecteren voor verificatie . Automatisch mijn Windows-aanmeldingsnaam en wachtwoord gebruiken is uitgeschakeld voor PAP-, CHAP- en MS-CHAP-verificatietypen .
Selecteer een EAP-methode voor verificatie	Phase2Authentication> EapHostConfig	Hiermee geeft u op of een EAP-type of een niet-EAP-type wordt gebruikt voor verificatie. Als Selecteer een EAP-methode voor verificatie is geselecteerd, is Selecteer een niet-EAP-methode voor verificatie uitgeschakeld. Dit zijn de beschikbare authenticatie-opties: 1. Microsoft: smartcard of ander certificaat (EAP-TLS) 2. Microsoft: beveiligd wachtwoord (EAP-MSCHAP v2) In de vervolgkeuzelijst worden alle EAP-methoden opgesomd die op de server zijn geïnstalleerd, met uitzondering van PEAP - en FAST-tunnelmethoden . De EAP-typen worden weergegeven in de volgorde waarin ze door de computer zijn ontdekt.
Configure		Hiermee opent u het eigenschappendialoogvenster van de opgegeven EAP-methode.

TEAP

De TEAP-instellingen in de gebruikersinterface worden toegewezen aan EapTeapConnectionPropertiesV1. TEAP is beschikbaar vanaf Windows 10, versie 2004 (build 19041) en Windows Server 2022.

Setting	XML element	Description
Identiteitsprivacy	Fase1Identiteit > IdentiteitPrivacy > AnoniemIdentiteit	Hiermee geeft u op dat clients zo zijn geconfigureerd dat ze hun identiteit niet kunnen verzenden voordat de client de RADIUS-server heeft geverifieerd en biedt u optioneel een plek om een anonieme identiteitswaarde in te typen. Als u Identiteitsprivacy inschakelen selecteert en vervolgens typt anonymous als de waarde voor anonieme identiteit, is het identiteitsantwoord voor een gebruiker met identiteit alice@example .anonymous@example Als u Identiteitsprivacy inschakelen maar geen anonieme identiteitswaarde opgeeft, selecteert alice@exampleu de identiteitsreactie voor de gebruiker @example .
Opties voor servervalidatie
Selecteer een {primaire/secundaire} EAP-methode voor verificatie	Phase2Authentication (> InnerMethodConfig > EapHostConfig)	Hiermee kan de gebruiker een primaire/secundaire verificatiemethode kiezen tussen Microsoft: smartcard of ander certificaat (EAP-TLS) en Microsoft: beveiligd wachtwoord (EAP-MSCHAP v2). Het is toegestaan om elke combinatie van innerlijke methoden te hebben. De interne methode kan bijvoorbeeld worden EAP-TLS met machinereferenties, gevolgd door EAP-TLS met gebruikersreferenties.
Configure		Als Microsoft: Smartcard of ander certificaat (EAP-TLS) is geselecteerd, wordt het dialoogvenster Smartcard of andere certificaateigenschappen geopend. Als Microsoft: Beveiligd wachtwoord (EAP-MSCHAP v2) is ingeschakeld, wordt het selectievakje Mijn Windows-aanmeldingsnaam en -wachtwoord (en eventueel domein) automatisch gebruiken , beschikbaar om aan te geven dat de huidige Windows-aanmeldingsnaam en het huidige wachtwoord op basis van de gebruiker worden gebruikt als netwerkverificatiereferenties.

Validatie van servercertificaat

Veel EAP-methoden bevatten een optie voor de client om het certificaat van de server te valideren. Als het servercertificaat niet is gevalideerd, kan de client er niet zeker van zijn dat deze met de juiste server communiceert. Dit stelt de client bloot aan beveiligingsrisico's, waaronder de mogelijkheid dat de client onbewust verbinding maakt met een malafide netwerk.

Note

Windows vereist dat het servercertificaat de serververificatie-EKU heeft. De object-ID (OID) voor deze EKU is 1.3.6.1.5.5.7.3.1.

In de volgende tabel vindt u de opties voor servervalidatie die van toepassing zijn op elke EAP-methode. Windows 11 heeft de servervalidatielogica bijgewerkt zodat deze consistenter is. Zie Het validatiegedrag van bijgewerkte servercertificaten in Windows 11 voor meer informatie. Mochten ze conflicteren, dan beschrijven de beschrijvingen in de volgende tabel het gedrag voor Windows 10 en eerder.

Setting	XML element	Description
De identiteit van de server verifiëren door het certificaat te valideren	EAP-TLS: PerformServerValidation PEAP: PerformServerValidation	Dit item geeft aan dat de client controleert of de servercertificaten die aan de clientcomputer worden voorgelegd: De juiste handtekeningen De handtekeningen zijn niet verlopen Zijn uitgegeven door een vertrouwde basiscertificeringsinstantie (CA) Als u dit selectievakje uitschakelt, kunnen clientcomputers de identiteit van uw servers niet verifiëren tijdens het verificatieproces. Als serververificatie niet plaatsvindt, worden gebruikers blootgesteld aan ernstige beveiligingsrisico's, waaronder de mogelijkheid dat gebruikers onbewust verbinding maken met een malafide netwerk.
Maak verbinding met deze servers	EAP-TLS: ServerValidation>Servernamen PEAP: ServerValidation>Servernamen EAP-TTLS: ServerValidation> ServerNames TEAP: ServerValidation> ServerNames	Hiermee kunt u de naam opgeven voor RADIUS-servers (Remote Authentication Dial-In User Service) die netwerkverificatie en -autorisatie bieden. U moet de naam precies typen zoals deze wordt weergegeven in het onderwerpveld van elk RADIUS-servercertificaat of reguliere expressies (regex) gebruiken om de servernaam op te geven. De volledige syntaxis van de reguliere expressie kan worden gebruikt om de servernaam op te geven, maar als u een reguliere expressie wilt onderscheiden van de letterlijke tekenreeks, moet u ten minste één * van de opgegeven tekenreeks gebruiken. U kunt bijvoorbeeld opgeven dat u de RADIUS-server nps.*\.example\.comnps1.example.com of nps2.example.com. U kunt ook een ; toevoegen om meerdere servers te scheiden. Als er geen RADIUS-servers zijn opgegeven, controleert de client alleen of het RADIUS-servercertificaat is uitgegeven door een vertrouwde basis-CA.
Vertrouwde basiscertificeringsinstanties	EAP-TLS: ServerValidation>TrustedRootCA PEAP: ServerValidation>TrustedRootCA EAP-TTLS: ServerValidation> TrustedRootCAHashes TEAP: ServerValidation> TrustedRootCAHashes	Geeft een overzicht van de vertrouwde basiscertificeringsinstanties. De lijst is samengesteld uit de vertrouwde basis-CA's die op de computer zijn geïnstalleerd en in de gebruikerscertificaatarchieven. U kunt opgeven welke aanvragers van vertrouwde basis-CA-certificaten gebruiken om te bepalen of ze uw servers vertrouwen, zoals uw server waarop NPS (Network Policy Server) wordt uitgevoerd of uw inrichtingsserver. Als er geen vertrouwde basis-CA's zijn geselecteerd, controleert de 802.1X-client of het computercertificaat van de RADIUS-server wordt uitgegeven door een geïnstalleerde vertrouwde basis-CA. Als een of meer vertrouwde basis-CA's zijn geselecteerd, controleert de 802.1X-client of het computercertificaat van de RADIUS-server wordt uitgegeven door een geselecteerde vertrouwde basis-CA. Als er geen vertrouwde basis-CA's zijn geselecteerd, controleert de client of het RADIUS-servercertificaat is uitgegeven door een vertrouwde basis-CA. Als u een openbare-sleutelinfrastructuur (PKI) in uw netwerk hebt en u uw CA gebruikt om certificaten uit te geven aan uw RADIUS-servers, wordt uw CA-certificaat automatisch toegevoegd aan de lijst met vertrouwde basis-CA's. U kunt ook een CA-certificaat aanschaffen bij een leverancier die niet van Microsoft is. Sommige niet-Microsoft vertrouwde basiscertificeringsinstanties leveren software met het aangeschafte certificaat waarmee het aangeschafte certificaat automatisch wordt geïnstalleerd in het certificaatarchief van vertrouwde basiscertificeringsinstanties . In dit geval wordt de vertrouwde basis-CA automatisch weergegeven in de lijst met vertrouwde basis-CA's. Geef geen vertrouwd basis-CA-certificaat op dat nog niet is opgenomen in de certificaatarchieven van vertrouwde basiscertificeringsinstanties van clientcomputers voor huidige gebruiker en lokale computer. Als u een certificaat aanwijst dat niet is geïnstalleerd op clientcomputers, mislukt de verificatie. In XML is dit de SHA-1 vingerafdruk (hash) van het certificaat (of SHA-256 voor TEAP).

Prompt voor servervalidatie

In de volgende tabel worden de opties voor de gebruikersprompt voor servervalidatie beschreven die beschikbaar zijn voor elke EAP-methode. Wanneer een servercertificaat niet wordt vertrouwd, bepalen deze opties of:

• De verbinding mislukt onmiddellijk.
• De gebruiker wordt gevraagd de verbinding handmatig te accepteren of te weigeren.

EAP-TLS

Setting	XML element
Vraag de gebruiker niet om nieuwe servers of vertrouwde certificeringsinstanties te autoriseren	ServerValidation>DisableUserPromptForServerValidation

Hiermee voorkomt u dat de gebruiker wordt gevraagd een servercertificaat te vertrouwen als dat certificaat onjuist is geconfigureerd, nog niet wordt vertrouwd of beide (indien ingeschakeld). Om de gebruikerservaring te vereenvoudigen en te voorkomen dat gebruikers per ongeluk een server vertrouwen die door een aanvaller is geïmplementeerd, is het raadzaam dit selectievakje in te schakelen.

PEAP

Setting	XML element
Meldingen voordat u verbinding maakt	ServerValidation> 1. DisableUserPromptForServerValidation=true 2. DisableUserPromptForServerValidation=false 3. DisableUserPromptForServerValidation=false, PeapExtensionsV2>AllowPromptingWhenServerCANotFound

Hiermee geeft u op of de gebruiker op de hoogte wordt gesteld als de servernaam of het basiscertificaat niet is opgegeven of als de identiteit van de server niet kan worden geverifieerd. Dit zijn de beschikbare opties om uit te kiezen en wat elk specificeert:

1. Vraag de gebruiker geen nieuwe servers of vertrouwde CA's te autoriseren . Als de servernaam niet in de lijst Verbinding maken met deze servers staat of als het basiscertificaat wordt gevonden, maar niet is geselecteerd in de lijst met vertrouwde basiscertificeringsinstanties in PEAP-eigenschappen of als het basiscertificaat niet op de computer wordt gevonden, wordt de gebruiker niet gewaarschuwd en mislukt de verbindingspogingen.

2. De gebruiker op de hoogte stellen als de servernaam of het basiscertificaat niet is opgegeven : als de servernaam niet voorkomt in de lijst Verbinding maken met deze servers , of als het basiscertificaat wel is gevonden, maar niet is geselecteerd in de lijst met vertrouwde basiscertificeringsinstanties in PEAP-eigenschappen, wordt de gebruiker gevraagd of hij het basiscertificaat moet accepteren. Als de gebruiker het certificaat accepteert, wordt de verificatie voortgezet. Als de gebruiker het certificaat weigert, mislukt de verbindingspoging. Als met deze optie het basiscertificaat niet aanwezig is op de computer, wordt de gebruiker niet op de hoogte gesteld en mislukt de verbindingspoging.

3. Laat de gebruiker weten of de identiteit van de server niet kan worden geverifieerd . Als de servernaam niet in de lijst Verbinding maken met deze servers staat of als het basiscertificaat wordt gevonden, maar niet is geselecteerd in de lijst met vertrouwde basiscertificeringsinstanties in PEAP-eigenschappen of als het basiscertificaat niet op de computer wordt gevonden, wordt de gebruiker gevraagd of het basiscertificaat moet worden geaccepteerd. Als de gebruiker het certificaat accepteert, wordt de verificatie voortgezet. Als de gebruiker het certificaat weigert, mislukt de verbindingspoging.

EAP-TTLS

Setting	XML element
Vraag de gebruiker niet als de server niet kan worden geautoriseerd	ServerValidation> DisableUserPromptForServerValidation

Als deze optie niet is geselecteerd en validatie van servercertificaten om een van de volgende redenen mislukt, wordt de gebruiker gevraagd de server te accepteren of te weigeren:

• Een basiscertificaat voor het servercertificaat wordt niet gevonden of niet geselecteerd in de lijst met vertrouwde basiscertificeringsinstanties .

• Een of meer van de tussenliggende basiscertificaten in de certificaatketen worden niet gevonden.

• De naam van het onderwerp in het servercertificaat komt niet overeen met een van de servers die zijn opgegeven in de lijst Verbinding maken met deze servers .

TEAP

Setting	XML element
Vraag de gebruiker niet als de server niet kan worden geautoriseerd	ServerValidation>DisablePrompt

Als deze optie niet is geselecteerd en validatie van servercertificaten om een van de volgende redenen mislukt, wordt de gebruiker gevraagd de server te accepteren of te weigeren:

• Een basiscertificaat voor het servercertificaat wordt niet gevonden of niet geselecteerd in de lijst met vertrouwde basiscertificeringsinstanties .

• Een of meer van de tussenliggende basiscertificaten in de certificaatketen worden niet gevonden.

• De naam van het onderwerp in het servercertificaat komt niet overeen met een van de servers die zijn opgegeven in de lijst Verbinding maken met deze servers .

Configuratie-instellingen voor mobiele verificatie

Hieronder vindt u de configuratie-instellingen voor respectievelijk EAP-SIM, EPA-AKA en EPA-AKA'.

EAP-SIM

EAP-SIM wordt gedefinieerd in RFC 4186. EAP Subscriber Identity Module (SIM) wordt gebruikt voor verificatie en distributie van sessiesleutels met behulp van het 2e generatie mobiele netwerk Global System for Mobile Communications (GSM) Subscriber Identity Module (SIM).

De EAP-SIM-instellingen in de gebruikersinterfacetoewijzing aan EapSimConnectionPropertiesV1.

Item	XML element	Description
Gebruik sterke coderingssleutels	UseStrongCipherKeys	Geeft aan dat als het profiel is geselecteerd, het sterke versleuteling gebruikt.
Maak de echte identiteit niet bekend aan de server wanneer de pseudoniemidentiteit beschikbaar is	DontRevealPermanentID	Als deze optie is ingeschakeld, wordt de client gedwongen de verificatie te mislukken als de server om een permanente identiteit vraagt, hoewel de client een pseudoniemidentiteit bij zich heeft. Pseudoniemidentiteiten worden gebruikt voor identiteitsprivacy, zodat de werkelijke of permanente identiteit van een gebruiker niet wordt onthuld tijdens de verificatie.
	ProviderName	Alleen beschikbaar in XML, een tekenreeks die de providernaam aangeeft die is toegestaan voor authenticatie.
Gebruik van realms inschakelen	Rijk=true	Biedt een plaats om de realmnaam te typen. Als dit veld leeg wordt gelaten en Gebruik van realms inschakelen is geselecteerd, wordt de realm afgeleid van de International Mobile Subscriber Identity (IMSI) met behulp van de realm 3gpp.org, zoals beschreven in de 3rd Generation Partnership Project (3GPP)-standaard 23.003 V6.8.0.
Een realm opgeven	Realm	Biedt een plaats om een realm-naam te typen. Als Gebruik van realms inschakelen is ingeschakeld, wordt deze tekenreeks gebruikt. Als dit veld leeg is, wordt het afgeleide realm gebruikt.

EAP-AKA

EAP-AKA wordt gedefinieerd in RFC 4187. EAP-verificatie en sleutelovereenkomst (AKA) wordt gebruikt voor verificatie en distributie van sessiesleutels met behulp van het AKA-mechanisme. AKA wordt gebruikt in de 3e generatie mobiele netwerken, Universal Mobile Telecommunications System (UMTS) en CDMA2000. AKA is gebaseerd op symmetrische sleutels en wordt meestal uitgevoerd in een Subscriber Identity Module (SIM).

De EAP-AKA-instellingen in de gebruikersinterfacetoewijzing aan EapAkaConnectionPropertiesV1.

Item	XML element	Description
Maak de echte identiteit niet bekend aan de server wanneer de pseudoniemidentiteit beschikbaar is	DontRevealPermanentID	Als deze optie is ingeschakeld, wordt de client gedwongen de verificatie te mislukken als de server om een permanente identiteit vraagt, hoewel de client een pseudoniemidentiteit bij zich heeft. Pseudoniemidentiteiten worden gebruikt voor identiteitsprivacy, zodat de werkelijke of permanente identiteit van een gebruiker niet wordt onthuld tijdens de verificatie.
	ProviderName	Alleen beschikbaar in XML, een tekenreeks die de providernaam aangeeft die is toegestaan voor authenticatie.
Gebruik van realms inschakelen	Rijk=true	Biedt een plaats om de realmnaam te typen. Als dit veld leeg wordt gelaten en Gebruik van realms inschakelen is geselecteerd, wordt de realm afgeleid van de International Mobile Subscriber Identity (IMSI) met behulp van de realm 3gpp.org, zoals beschreven in de 3rd Generation Partnership Project (3GPP)-standaard 23.003 V6.8.0.
Een realm opgeven	Realm	Biedt een plaats om een realm-naam te typen. Als Gebruik van realms inschakelen is ingeschakeld, wordt deze tekenreeks gebruikt. Als dit veld leeg is, wordt het afgeleide realm gebruikt.

EAP-AKA'

EAP-AKA' wordt gedefinieerd in RFC 5448 en RFC 9048. EAP-AKA Prime (AKA') is een aangepaste versie van EAP-AKA die een nieuwe sleutelafleidingsfunctie toevoegt om de toegang tot de op 3rd-Generation Partnership Project (3GPP) gebaseerde netwerken te vergemakkelijken door gebruik te maken van niet-3GPP-standaarden, zoals:

• Wi-Fi
• Evolution-Data geoptimaliseerd (EVDO)
• Wereldwijde interoperabiliteit voor microgolftoegang (WiMax)

De instellingen van EAP-AKA in de gebruikersinterface worden toegewezen aan EapAkaPrimeConnectionPropertiesV1.

Item	XML element	Description
Maak de echte identiteit niet bekend aan de server wanneer de pseudoniemidentiteit beschikbaar is	DontRevealPermanentID	Als deze optie is ingeschakeld, wordt de client gedwongen de verificatie te mislukken als de server om een permanente identiteit vraagt, hoewel de client een pseudoniemidentiteit bij zich heeft. Pseudoniemidentiteiten worden gebruikt voor identiteitsprivacy, zodat de werkelijke of permanente identiteit van een gebruiker niet wordt onthuld tijdens de verificatie.
	ProviderName	Alleen beschikbaar in XML, een tekenreeks die de providernaam aangeeft die is toegestaan voor authenticatie.
Gebruik van realms inschakelen	Rijk=true	Biedt een plaats om de realmnaam te typen. Als dit veld leeg wordt gelaten en Gebruik van realms inschakelen is geselecteerd, wordt de realm afgeleid van de International Mobile Subscriber Identity (IMSI) met behulp van de realm 3gpp.org, zoals beschreven in de 3rd Generation Partnership Project (3GPP)-standaard 23.003 V6.8.0.
Een realm opgeven	Realm	Biedt een plaats om een realm-naam te typen. Als Gebruik van realms inschakelen is ingeschakeld, wordt deze tekenreeks gebruikt. Als dit veld leeg is, wordt het afgeleide realm gebruikt.
Niet-overeenkomende netwerknaam negeren	IgnoreNetworkNameMismatch	De client vergelijkt de naam van het netwerk dat bij hem bekend is, met de naam die tijdens de verificatie door de RADIUS-server is verzonden. Als er een niet-overeenkomende optie is, wordt deze genegeerd als deze optie is geselecteerd. Als deze optie niet is geselecteerd, mislukt de verificatie.
Snelle herverificatie inschakelen	EnableFastReauth	Geeft aan dat snelle herverificatie is ingeschakeld. Snelle herverificatie is handig wanneer SIM-verificatie vaak plaatsvindt. De encryptiesleutels die zijn afgeleid van volledige authenticatie worden hergebruikt. Als gevolg hiervan is het SIM-algoritme niet nodig om voor elke authenticatiepoging te worden uitgevoerd en wordt het aantal netwerkbewerkingen dat het gevolg is van frequente authenticatiepogingen verminderd.

WPA3-Enterprise 192-bits modus

WPA3-Enterprise 192-bits modus is een speciale modus voor WPA3-Enterprise die bepaalde hoge beveiligingsvereisten voor de draadloze verbinding afdwingt om minimaal 192 bits beveiliging te bieden. Deze vereisten zijn in overeenstemming met de Commercial National Security Algorithm (CNSA) Suite, CNSSP 15, een set cryptografische algoritmen die is goedgekeurd om geclassificeerde en uiterst geheime informatie te beschermen door de National Security Agency (NSA) van de Verenigde Staten. De 192-bits modus kan soms worden aangeduid als "Suite B-modus", wat een verwijzing is naar de NSA Suite B-cryptografiespecificatie, die in 2016 werd vervangen door CNSA.

Zowel WPA3-Enterprise als WPA3-Enterprise 192-bits modus zijn beschikbaar vanaf Windows 10, versie 2004 (build 19041) en Windows Server 2022. WPA3-Enterprise werd echter uitgekozen als een afzonderlijk authenticatie-algoritme in Windows 11. In XML wordt dit opgegeven in het element authEncryption .

De volgende tabel geeft een overzicht van de algoritmen die nodig zijn voor de CNSA Suite.

Algorithm	Description	Parameters
Geavanceerde coderingsstandaard (AES)	Symmetrisch blokcijfer gebruikt voor versleuteling	256-bits sleutel (AES-256)
Elliptische Curve Diffie-Hellman (ECDH) Sleuteluitwisseling	Asymmetrisch algoritme dat wordt gebruikt om een gedeeld geheim (sleutel) vast te stellen	384-bits priemmoduluscurve (P-384)
Algoritme voor Digitale Handtekening met Elliptische Curven (ECDSA)	Asymmetrisch algoritme dat wordt gebruikt voor digitale handtekeningen	384-bits priemmoduluscurve (P-384)
Secure Hash Algorithm (SHA)	Cryptografische hash-functie	SHA-384
Diffie-Hellman (DH) Sleuteluitwisseling	Asymmetrisch algoritme dat wordt gebruikt om een gedeeld geheim (sleutel) vast te stellen	3072-bits modulus
Klinknagel-Shamir-Adleman (RSA)	Asymmetrisch algoritme dat wordt gebruikt voor digitale handtekeningen of het vaststellen van sleutels	3072-bits modulus

Om te voldoen aan de CNSA-vereisten, schrijft de WPA3-Enterprise 192 bits-modus het gebruik van EAP-TLS voor met deze beperkte coderingssuites:

• TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

  • ECDHE en ECDSA met behulp van de 384-bits priemmoduluscurve P-384

• TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 / TLS_DHE_RSA_AES_256_GCM_SHA384

  • ECDHE met behulp van de 384-bits priemmoduluscurve P-384

  • RSA >= 3072-bits modulus

Note

P-384 is ook bekend als secp384r1 of nistp384. Andere elliptische curven, zoals P-521, zijn niet toegestaan.

SHA-384 maakt deel uit van de SHA-2-familie van hashfuncties. Andere algoritmen en varianten, zoals SHA-512 of SHA3-384, zijn niet toegestaan.

Windows ondersteunt alleen de TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 en TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 coderingssuites voor WPA3-Enterprise 192-bits modus. De TLS_DHE_RSA_AES_256_GCM_SHA384 coderingssuite wordt niet ondersteund.

TLS 1.3 maakt gebruik van nieuwe vereenvoudigde TLS-suites, waarvan alleen TLS_AES_256_GCM_SHA384 compatibel is met WPA3-Enterprise 192-bits modus. Aangezien TLS 1.3 (EC)DHE vereist en ECDSA- of RSA-certificaten toestaat, samen met de AES-256 AEAD- en SHA384-hash, TLS_AES_256_GCM_SHA384 is gelijk aan TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 en TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384. RFC 8446 vereist echter dat TLS 1.3-compatibele toepassingen P-256 ondersteunen. Dit is verboden door CNSA. Daarom kan WPA3-Enterprise 192-bits modus niet volledig compatibel zijn met TLS 1.3. Er zijn echter geen interoperabiliteitsproblemen bekend met TLS 1.3 en WPA3-Enterprise 192-bits modus.

Als u een netwerk wilt configureren voor WPA3-Enterprise 192-bits modus, moet Windows worden gebruikt EAP-TLS een certificaat dat voldoet aan de eerder beschreven vereisten.

Zie ook

• Instellingen voor het nieuwe draadloze netwerk (IEEE 802.11) beheren

• Instellingen voor het nieuwe bekabelde netwerk (IEEE 802.3) beheren

• Geavanceerde beveiligingsinstellingen voor beleid voor bekabelde en draadloze netwerken