Udostępnij za pośrednictwem

Protokół uwierzytelniania rozszerzonego (EAP) dla dostępu do sieci

Protokół uwierzytelniania rozszerzonego (EAP) to struktura uwierzytelniania, która umożliwia korzystanie z różnych metod uwierzytelniania dla technologii bezpiecznego dostępu do sieci. Przykładami takich technologii są dostęp bezprzewodowy przy użyciu standardu IEEE 802.1X, dostęp przewodowy przy użyciu standardu IEEE 802.1X oraz połączenia PPP (Point-to-Point Protocol), takie jak wirtualna sieć prywatna (VPN). Protokół EAP nie jest konkretną metodą uwierzytelniania, taką jak MS-CHAP wersji 2, ale raczej strukturą, która umożliwia dostawcom sieci opracowywanie i instalowanie nowych metod uwierzytelniania, znanych jako metody EAP, na kliencie dostępu i serwerze uwierzytelniania. Struktura EAP jest pierwotnie zdefiniowana w dokumencie RFC 3748 i rozszerzona przez różne inne specyfikacje RFC i standardy.

Metody uwierzytelniania

Metody uwierzytelniania EAP, które są używane w tunelowanych metodach EAP, są powszechnie nazywane metodami wewnętrznymi lub typami protokołu EAP. Metody, które są skonfigurowane jako metody wewnętrzne , mają takie same ustawienia konfiguracji, jak w przypadku użycia jako metoda zewnętrzna. Ten artykuł zawiera informacje konfiguracyjne specyficzne dla następujących metod uwierzytelniania w protokole EAP.

EAP-Transport Layer Security (EAP-TLS) — metoda protokołu EAP oparta na standardach , która używa protokołu TLS z certyfikatami do wzajemnego uwierzytelniania. Pojawia się jako karta inteligentna lub inny certyfikat (EAP-TLS) w systemie Windows. EAP-TLS można wdrożyć jako metodę wewnętrzną dla innej metody protokołu EAP lub jako autonomiczną metodę protokołu EAP.

Wskazówka

Metody EAP korzystające z protokołu EAP-TLS, oparte na certyfikatach, zazwyczaj zapewniają najwyższy poziom zabezpieczeń. Na przykład EAP-TLS jest jedyną dozwoloną metodą EAP dla WPA3-Enterprise trybie 192-bitowym.

EAP-Microsoft Challenge Handshake Authentication Protocol version 2 (EAP-MSCHAP v2):zdefiniowana przez firmę Microsoft metoda EAP, która hermetyzuje protokół uwierzytelniania MSCHAP v2, który używa nazwy użytkownika i hasła do uwierzytelniania. Pojawia się jako Bezpieczne hasło (EAP-MSCHAP v2) w systemie Windows. EAP-MSCHAPv2 może być używany jako samodzielna metoda dla VPN, ale tylko jako metoda wewnętrzna dla sieci przewodowej/bezprzewodowej.

Ostrzeżenie

Połączenia oparte na protokole MSCHAPv2 są narażone na podobne ataki, jak w przypadku protokołu NTLMv1. Windows 11 Enterprise w wersji 22H2 (kompilacja 22621) włącza funkcję Windows Defender Credential Guard , co może powodować problemy z połączeniami opartymi na MSCHAPv2.

Chroniony protokół EAP (PEAP):zdefiniowana przez firmę Microsoft metoda protokołu EAP, która hermetyzuje protokół EAP w tunelu TLS. Tunel TLS zabezpiecza wewnętrzną metodę EAP, która w przeciwnym razie mogłaby nie być chroniona. System Windows obsługuje metody EAP-TLS i EAP-MSCHAP v2 jako metody wewnętrzne.

EAP-Tunneled Transport Layer Security (EAP-TTLS) : opisana w dokumencie RFC 5281 hermetyzuje sesję TLS, która przeprowadza wzajemne uwierzytelnianie przy użyciu innego mechanizmu uwierzytelniania wewnętrznego. Ta metoda wewnętrzna może być protokołem EAP, takim jak EAP-MSCHAP v2, lub protokołem innym niż EAP, takim jak protokół uwierzytelniania haseł (PAP). W systemie Windows Server 2012 dołączenie EAP-TTLS zapewnia obsługę tylko po stronie klienta (w systemie Windows 8). Serwer NPS nie obsługuje obecnie EAP-TTLS. Obsługa klienta umożliwia współdziałanie z powszechnie wdrażanymi serwerami RADIUS obsługującymi protokół EAP-TTLS.

EAP-Subscriber Identity Module (EAP-SIM), EAP-Authentication and Key Agreement (EAP-AKA) oraz EAP-AKA Prime (EAP-AKA'): Opisany w różnych specyfikacjach RFC, umożliwia uwierzytelnianie przy użyciu kart SIM i jest wdrażany, gdy klient kupuje plan usługi bezprzewodowej łączności szerokopasmowej od operatora sieci komórkowej. W ramach planu klient często otrzymuje profil sieci bezprzewodowej, który jest wstępnie skonfigurowany do uwierzytelniania za pomocą karty SIM.

Tunnel EAP (TEAP): Opisana w dokumencie RFC 7170 metoda tunelowanego protokołu EAP, która ustanawia bezpieczny tunel TLS i wykonuje inne metody EAP wewnątrz tego tunelu. Obsługuje łańcuch EAP - uwierzytelnianie maszyny i użytkownika w ramach jednej sesji uwierzytelniania. W systemie Windows Server 2022 włączenie protokołu TEAP zapewnia obsługę tylko po stronie klienta — Windows 10, wersja 2004 (kompilacja 19041). Serwer NPS nie obsługuje obecnie protokołu TEAP. Obsługa klienta umożliwia współdziałanie z powszechnie wdrażanymi serwerami RADIUS, które obsługują protokół TEAP. System Windows obsługuje metody EAP-TLS i EAP-MSCHAP v2 jako metody wewnętrzne.

W poniższej tabeli wymieniono niektóre popularne metody protokołu EAP i przypisane im numery typów metod IANA.

Metoda EAP Numer typu przypisany przez IANA Natywna obsługa systemu Windows
MD5-Challenge (EAP-MD5) 4
One-Time Hasło (EAP-OTP) 5
Ogólna karta żetonowa (EAP-GTC) 6
EAP-TLS 13
EAP-SIM 18
EAP-TTLS dwadzieścia jeden
EAP-AKA 23
PEAP (Protected Extensible Authentication Protocol) 25
EAP-MSCHAP wersja 2 26
Chronione hasło One-Time (EAP-POTP) 32
EAP-FAST 43
Klucz wstępny (EAP-PSK) 47
EAP-IKEv2 49
EAP-AKA' 50
EAP-EKE 53
HERBATA 55
EAP-NOOB 56

Konfigurowanie właściwości protokołu EAP

Dostęp do właściwości protokołu EAP dla dostępu przewodowego i bezprzewodowego uwierzytelnionego metodą 802.1X można uzyskać w następujący sposób:

  • Konfigurowanie rozszerzeń Zasady sieci przewodowej (IEEE 802.3) i Zasady sieci bezprzewodowej (IEEE 802.11) w przystawce Zasady grupy.
    • Konfiguracja> komputeraManifest>Ustawienia> systemu WindowsUstawienia zabezpieczeń
  • Korzystanie z oprogramowania do zarządzania urządzeniami przenośnymi (MDM), takiego jak Intune (Wi-Fi/Wired)
  • Ręczne konfigurowanie połączeń przewodowych lub bezprzewodowych na komputerach klienckich.

Dostęp do właściwości protokołu EAP dla połączeń wirtualnej sieci prywatnej (VPN) można uzyskać w następujący sposób:

  • Korzystanie z oprogramowania do zarządzania urządzeniami przenośnymi (MDM), takiego jak Intune
  • Ręczne konfigurowanie połączeń sieci VPN na komputerach klienckich.
  • Konfigurowanie połączeń sieci VPN za pomocą Zestawu administracyjnego Menedżera połączeń (CMAK, Connection Manager Administration Kit).

Aby uzyskać więcej informacji na temat konfigurowania właściwości protokołu EAP, zobacz Konfigurowanie profilów i ustawień protokołu EAP w systemie Windows.

Profile XML dla protokołu EAP

Profile używane dla różnych typów połączeń są plikami XML, które zawierają opcje konfiguracyjne dla danego połączenia. Każdy inny typ połączenia jest zgodny z określonym schematem:

Jednak po skonfigurowaniu do korzystania z protokołu EAP każdy schemat profilu ma element podrzędny EapHostConfig elementu.

  • Wired/Wireless: EapHostConfig jest elementem podrzędnym elementu EAPConfig . Zabezpieczenia MSM > (przewodowa/sieć bezprzewodowa) >OneX> EAPConfig
  • VPN: EapHostConfig jest elementem podrzędnym konfiguracji uwierzytelniania NativeProfile > Eap >>

Ta składnia konfiguracji jest zdefiniowana w specyfikacji Zasady grupy: Rozszerzenie protokołu bezprzewodowego/przewodowego .

Uwaga / Notatka

Różne graficzne interfejsy konfiguracyjne nie zawsze pokazują wszystkie technicznie możliwe opcje. Na przykład system Windows Server 2019 i starsze nie mogą skonfigurować protokołu TEAP w interfejsie użytkownika. Często jednak możliwe jest zaimportowanie istniejącego profilu XML, który został wcześniej skonfigurowany.

Pozostała część artykułu ma na celu przedstawienie mapowania między specyficznymi dla protokołu EAP częściami interfejsu użytkownika zasad grupy/Panelu sterowania a opcjami konfiguracji XML, a także przedstawienie opisu ustawienia.

Więcej informacji na temat konfigurowania profilów XML można znaleźć w temacie Profile XML. Przykład użycia profilu XML zawierającego ustawienia protokołu EAP można znaleźć w temacie Udostępnianie profilu Wi-Fi za pośrednictwem serwisu internetowego.

Ustawienia zabezpieczeń

W poniższej tabeli wyjaśniono konfigurowalne ustawienia zabezpieczeń dla profilu korzystającego ze standardu 802.1X. Te ustawienia są mapowane na OneX.

Ustawienia Element XML Opis
Wybierz metodę uwierzytelniania sieciowego: EAPConfig powiedział: Umożliwia wybranie metody protokołu EAP, która ma być używana do uwierzytelniania. Zobacz Ustawienia konfiguracji metody uwierzytelniania i Ustawienia konfiguracji uwierzytelniania komórkowego
Właściwości Otwiera okno dialogowe właściwości wybranej metody EAP.
Tryb uwierzytelniania Tryb uwierzytelniania Określa typ poświadczeń używanych do uwierzytelniania. Obsługiwane są następujące wartości:

1. Uwierzytelnianie użytkownika lub komputera
2. Uwierzytelnianie komputera
3. Uwierzytelnianie użytkownika
4. Uwierzytelnianie gościa

"Komputer" w tym kontekście oznacza "Maszynę" w innych odniesieniach. machineOrUser jest wartością domyślną w systemie Windows.
Maksymalna liczba niepowodzeń uwierzytelniania maxAuthFailures (Błędy maks.) Określa maksymalną dozwoloną liczbę niepowodzeń uwierzytelniania dla zestawu poświadczeń, domyślnie 1.
Buforuj informacje o użytkowniku dla kolejnych połączeń z tą siecią cacheUserData (dane cacheUser) Określa, czy poświadczenia użytkownika powinny być buforowane dla kolejnych połączeń z tą samą siecią, domyślnie true.

Zaawansowane ustawienia > zabezpieczeń IEEE 802.1X

Jeśli jest zaznaczona opcja Wymuszaj zaawansowane ustawienia 802.1X , zostaną skonfigurowane wszystkie poniższe ustawienia. Jeśli ta opcja nie jest zaznaczona, stosowane są ustawienia domyślne. W języku XML wszystkie elementy są opcjonalne, a jeśli ich nie ma, używane są wartości domyślne.

Ustawienia Element XML Opis
Maksimum Eapol-Start wiadomości maxStart (Góra maksymal Określa maksymalną liczbę wiadomości EAPOL-Start, które mogą zostać wysłane do wystawcy uwierzytelnienia (serwera RADIUS), zanim suplikant (klient systemu Windows) założy, że nie ma żadnego wystawcy uwierzytelnienia, domyślnie ustawiając wartość 3.
Okres początkowy (w sekundach) startOkres Określa okres (w sekundach) oczekiwania na wysłanie wiadomości EAPOL-Start w celu rozpoczęcia procesu uwierzytelniania metodą 802.1X (domyślnie 5jest to .
Wstrzymany okres (sekundy) heldPeriod (okres utrzymywania) Określa okres (w sekundach), w którym należy oczekiwać na ponowną próbę uwierzytelnienia po nieudanej próbie uwierzytelnienia, domyślnie 1.
Okres uwierzytelniania (sekundy) authPeriod, Określa czas (w sekundach), w którym należy oczekiwać na odpowiedź od wystawcy uwierzytelnienia (serwera RADIUS) przed założeniem, że nie ma wystawcy uwierzytelnienia (wartość domyślna to 18.
Eapol-Start Wiadomość suplikantTryb Określa metodę transmisji używaną dla komunikatów EAPOL-Start. Obsługiwane są następujące wartości:

1. Nie przesyłaj (inhibitTransmission)
2. Transmisja (includeLearning)
3. Transmisja według IEEE 802.1X (compliant)

"Komputer" w tym kontekście oznacza "Maszynę" w innych odniesieniach. compliant jest domyślną opcją w systemie Windows i jest jedyną prawidłową opcją dla profilów sieci bezprzewodowej.

Zaawansowane ustawienia > zabezpieczeń Logowanie jednokrotne

W poniższej tabeli wyjaśniono ustawienia logowania jednokrotnego (SSO), wcześniej znanego jako dostawca dostępu przed logowaniem (PLAP).

Ustawienia Element XML Opis
Włącz logowanie jednokrotne dla tej sieci singleSignOn (jednoczęściowy logowanie) Określa, czy logowanie jednokrotne jest włączone dla tej sieci, domyślnie false. Nie używaj singleSignOn go w profilu, jeśli sieć tego nie wymaga.
Wykonaj bezpośrednio przed użytkownikiem

Wykonaj natychmiast po użyciu		 typ Określa, kiedy powinno być wykonywane logowanie jednokrotne — przed lub po zalogowaniu się użytkownika.
Maksymalne opóźnienie łączności (w sekundach) maxDelay (maksymalne opóźnienie) Określa maksymalne opóźnienie (w sekundach) przed niepowodzeniem próby logowania jednokrotnego, domyślnie 10.
Zezwalaj na wyświetlanie dodatkowych okien dialogowych podczas logowania jednokrotnego allowAdditionalDialogs (zezwalajDodatkoweDialogi) Określono, czy okna dialogowe protokołu EAP mają być wyświetlane podczas logowania jednokrotnego, domyślnie .false
Ta sieć używa różnych sieci VLAN do uwierzytelniania za pomocą poświadczeń komputera i użytkownika userBasedVirtualLan Określa, czy wirtualna sieć LAN (VLAN) używana przez urządzenie zmienia się w zależności od poświadczeń użytkownika, domyślnie falsena .

Ustawienia konfiguracji metody uwierzytelniania

Ostrzeżenie

Jeśli serwer dostępu do sieci jest skonfigurowany w taki sposób, aby zezwalał na ten sam typ metody uwierzytelniania dla metody protokołu EAP tunelowanej (np. PEAP) i metody protokołu EAP bez tunelowania (np. EAP-MSCHAP v2), istnieje potencjalna luka w zabezpieczeniach. W przypadku wdrażania zarówno tunelowanej metody protokołu EAP, jak i protokołu EAP (który nie jest chroniony), nie należy używać tego samego typu uwierzytelniania. Na przykład w przypadku wdrożenia protokołu PEAP-TLS nie należy wdrażać protokołu EAP-TLS. Dzieje się tak dlatego, że jeśli wymagana jest ochrona tunelu, nie ma sensu zezwalać na wykonanie tej metody również poza tunelem.

W poniższej tabeli wyjaśniono konfigurowalne ustawienia dla każdej metody uwierzytelniania.

Ustawienia EAP-TLS w interfejsie użytkownika są mapowane na EapTlsConnectionPropertiesV1, który jest rozszerzany przez EapTlsConnectionPropertiesV2 i EapTlsConnectionPropertiesV3.

Ustawienia Element XML Opis
Korzystanie z karty inteligentnej CredentialsSource (Źródło >danych uwierzytelniających)Karta inteligentna Określa, że klienci wysyłający żądania uwierzytelnienia muszą przedstawić certyfikat karty inteligentnej w celu uwierzytelnienia sieciowego.
Używanie certyfikatu na tym komputerze CredentialsSource (Źródło >danych uwierzytelniających)Magazyn certyfikatów Określa, że klienci uwierzytelniający muszą używać certyfikatu znajdującego się w magazynie certyfikatów bieżącego użytkownika lub komputera lokalnego.
Użyj prostego wyboru certyfikatu (zalecane) Wybór SimpleCertSelection Określa, czy system Windows automatycznie wybierze certyfikat do uwierzytelnienia bez interakcji użytkownika (jeśli to możliwe), czy też system Windows wyświetli listę rozwijaną umożliwiającą użytkownikowi wybranie certyfikatu.
Zaawansowany Otwiera okno dialogowe Konfiguruj wybór certyfikatu .
Opcje sprawdzania poprawności serwera
Użyj innej nazwy użytkownika dla połączenia RóżnaNazwa użytkownika Określa, czy do uwierzytelniania ma być używana nazwa użytkownika, która różni się od nazwy użytkownika w certyfikacie.

Poniżej znajduje się lista ustawień konfiguracyjnych dla opcji Konfiguruj wybór certyfikatu. Te ustawienia definiują kryteria, których klient używa do wybierania odpowiedniego certyfikatu do uwierzytelnienia. Ten interfejs użytkownika jest mapowany na TLSExtensions>FilteringInfo.

Ustawienia Element XML Opis
Wystawca certyfikatu CAHashList (Lista Składników)Enabled="true" Określa, czy jest włączone filtrowanie wystawcy certyfikatu.

Jeśli jest włączony zarówno wystawca certyfikatu , jak i rozszerzone użycie klucza (EKU), tylko te certyfikaty, które spełniają oba warunki, są uznawane za ważne do uwierzytelniania klienta na serwerze.
Główne urzędy certyfikacji IssuerHash (Skrót wydawcy) Wyświetla listę nazw wszystkich wystawców, dla których odpowiednie certyfikaty urzędów certyfikacji (CA) znajdują się w magazynie certyfikatów zaufanych głównych urzędów certyfikacji lub pośrednich urzędów certyfikacji konta komputera lokalnego. Obejmuje to:

1. Wszystkie główne urzędy certyfikacji i pośrednie urzędy certyfikacji.
2. Zawiera tylko tych wystawców, dla których istnieją odpowiednie ważne certyfikaty znajdujące się na komputerze (na przykład certyfikaty, które nie wygasły ani nie zostały odwołane).
3. Ostateczna lista certyfikatów, które są dopuszczone do uwierzytelniania, zawiera tylko te certyfikaty, które zostały wydane przez któregokolwiek z wystawców wybranych w tej liście.

W formacie XML jest to odcisk palca (skrót) SHA-1 certyfikatu.
Rozszerzone użycie klucza (EKU) Umożliwia wybranie opcji Uniwersalne, Uwierzytelnianie klienta, Dowolna nazwa celu lub dowolna kombinacja tych opcji. Określa, że po wybraniu kombinacji wszystkie certyfikaty spełniające co najmniej jeden z trzech warunków są uznawane za ważne certyfikaty uwierzytelniania klienta na serwerze. Jeśli filtrowanie EKU jest włączone, należy wybrać jedną z opcji, w przeciwnym razie pole wyboru Rozszerzone użycie klucza (EKU) zostanie odznaczone.
Uniwersalny Wszechstronny Gdy ta opcja jest wybrana, ten element określa, że certyfikaty z modułem EKU ogólnego przeznaczenia są uznawane za ważne certyfikaty do uwierzytelniania klienta na serwerze. Identyfikator obiektu (OID) dla wszystkich celów to 0 lub puste.
Uwierzytelnianie klienta ClientAuthEKUListEnabled="true"> ( EKUMapInList > EKUName) Określa, że certyfikaty z modułem EKU uwierzytelniania klienta i określoną listą jednostek EKU są uznawane za ważne certyfikaty służące do uwierzytelniania klienta na serwerze. Identyfikator obiektu (OID) dla uwierzytelniania klienta to 1.3.6.1.5.5.7.3.2.
Dowolny cel AnyPurposeEKUListEnabled="true"> ( EKUMapInList > EKUName) Określa, że wszystkie certyfikaty z modułem EKU AnyPurpose i określoną listą EKU są uznawane za ważne certyfikaty do uwierzytelniania klienta na serwerze. Identyfikator obiektu (OID) dla AnyPurpose to 1.3.6.1.4.1.311.10.12.1.
Dodawać EKUMapping > EKUMap > EKUName/EKUOID Otwiera okno dialogowe Wybieranie jednostek EKU , w którym można dodać standardowe, niestandardowe lub specyficzne dla dostawcy kody EKU do listy Uwierzytelnianie klienta lub Dowolna celowość .

Wybranie opcji Dodaj lub Edytuj w oknie dialogowym Wybieranie jednostek EKU spowoduje otwarcie okna dialogowego Dodawanie/edytowanie jednostki EKU , w którym dostępne są dwie opcje:
1. Wprowadź nazwę jednostki EKU — zapewnia miejsce, w którym można wpisać nazwę niestandardowej jednostki EKU.
2. Wprowadź identyfikator OID EKU — zapewnia miejsce, w którym można wpisać identyfikator OID dla EKU. Dozwolone są tylko cyfry, separatory i . znaki numeryczne. Symbole wieloznaczne są dozwolone, w takim przypadku dozwolone są wszystkie podrzędne identyfikatory OID w hierarchii.

Na przykład wprowadzenie 1.3.6.1.4.1.311.* pozwala na 1.3.6.1.4.1.311.42 i 1.3.6.1.4.1.311.42.2.1.
Redagować Umożliwia edytowanie dodanych niestandardowych jednostek EKU. Nie można edytować domyślnych, wstępnie zdefiniowanych jednostek EKU.
Usuń Usuwa wybrane rozszerzenie EKU z listy Uwierzytelnianie klienta lub Dowolna celowość .

Walidacja serwera

Wiele metod protokołu EAP zawiera opcję sprawdzania poprawności certyfikatu serwera przez klienta. Jeśli certyfikat serwera nie zostanie zweryfikowany, klient nie może być pewien, że komunikuje się z właściwym serwerem. Naraża to klienta na zagrożenia bezpieczeństwa, w tym na możliwość, że klient może nieświadomie połączyć się z nieautoryzowaną siecią.

Uwaga / Notatka

System Windows wymaga, aby certyfikat serwera miał eku uwierzytelniania serwera . Identyfikatorem obiektu (OID) dla tego EKU jest 1.3.6.1.5.5.7.3.1.

W poniższej tabeli wymieniono opcje sprawdzania poprawności serwera mające zastosowanie do każdej metody protokołu EAP. W systemie Windows 11 zaktualizowano logikę walidacji serwera, aby była bardziej spójna (zobacz Zaktualizowane zachowanie walidacji certyfikatu serwera w systemie Windows 11). W przypadku konfliktu opisy w poniższej tabeli opisują zachowanie systemu Windows 10 i starszych.

Ustawienia Element XML Opis
Zweryfikuj tożsamość serwera, weryfikując certyfikat Protokół EAP-TLS:
PerformServerValidation

Protokół PEAP:
PerformServerValidation		 Ten element określa, że klient sprawdza, czy certyfikaty serwera przedstawione komputerowi klienckiemu mają poprawne podpisy, nie wygasły i zostały wystawione przez zaufany główny urząd certyfikacji.

Wyłączenie tego pola wyboru powoduje, że komputery klienckie nie będą mogły zweryfikować tożsamości serwerów podczas procesu uwierzytelniania. Jeśli uwierzytelnianie serwera nie nastąpi, użytkownicy są narażeni na poważne zagrożenia bezpieczeństwa, w tym na możliwość, że użytkownicy mogą nieświadomie połączyć się z fałszywą siecią.
Połącz się z tymi serwerami Protokół EAP-TLS:
Walidacja> serweraNazwy serwerów

Protokół PEAP:
Walidacja> serweraNazwy serwerów

EAP-TTLS:
Walidacja serwera>
Nazwy serwerów

HERBATA:
Walidacja serwera>
Nazwy serwerów
 Umożliwia określenie nazwy serwerów usługi RADIUS (Remote Authentication Dial-In User Service), które zapewniają uwierzytelnianie i autoryzację sieci.

Nazwę należy wpisać dokładnie w takiej postaci, w jakiej pojawia się w polu tematu każdego certyfikatu serwera RADIUS lub użyć wyrażeń regularnych (regex) w celu określenia nazwy serwera.

Pełna składnia wyrażenia regularnego może być użyta do określenia nazwy serwera, ale aby odróżnić wyrażenie regularne od ciągu literału, należy użyć co najmniej jednego * w określonym ciągu. Można na przykład określić nps.*\.example\.com , aby określić serwer nps1.example.com RADIUS lub nps2.example.com.

Możesz również dołączyć a ; , aby oddzielić wiele serwerów.

Jeśli nie określono żadnych serwerów usługi RADIUS, klient sprawdza tylko, czy certyfikat serwera usługi RADIUS został wystawiony przez zaufany główny urząd certyfikacji.
Zaufane główne urzędy certyfikacji Protokół EAP-TLS:
Walidacja> serweraTrustedRootCA

Protokół PEAP:
Walidacja> serweraTrustedRootCA

EAP-TTLS:
Walidacja serwera>
TrustedRootCAHashes

HERBATA:
Walidacja serwera>
TrustedRootCAHashes		 Wyświetla listę zaufanych głównych urzędów certyfikacji. Lista jest tworzona na podstawie zaufanych głównych urzędów certyfikacji, które są zainstalowane na komputerze i w magazynach certyfikatów użytkowników. Można określić, które certyfikaty zaufanych głównych urzędów certyfikacji są używane przez suplikantów w celu określenia, czy ufają serwerom, takim jak serwer z uruchomionym serwerem zasad sieciowych (NPS) lub serwer zastrzegania. Jeśli nie wybrano żadnych zaufanych głównych urzędów certyfikacji, klient 802.1X sprawdza, czy certyfikat komputera serwera RADIUS został wystawiony przez zainstalowany zaufany główny urząd certyfikacji. Jeśli wybrano co najmniej jeden zaufany główny urząd certyfikacji, klient 802.1X sprawdza, czy certyfikat komputera serwera RADIUS został wystawiony przez wybrany zaufany główny urząd certyfikacji.

Jeśli nie wybrano żadnych zaufanych głównych urzędów certyfikacji, klient sprawdza, czy certyfikat serwera RADIUS został wystawiony przez dowolny zaufany główny urząd certyfikacji.

Jeśli w sieci znajduje się infrastruktura kluczy publicznych (PKI), a urząd certyfikacji jest używany do wystawiania certyfikatów serwerom usługi RADIUS, certyfikat urzędu certyfikacji jest automatycznie dodawany do listy zaufanych głównych urzędów certyfikacji. Certyfikat urzędu certyfikacji można również zakupić od dostawcy innego niż Microsoft. Niektóre zaufane główne urzędy certyfikacji firm innych niż Microsoft udostępniają oprogramowanie z zakupionym certyfikatem, które automatycznie instaluje zakupiony certyfikat w magazynie certyfikatów zaufanych głównych urzędów certyfikacji . W takim przypadku zaufany główny urząd certyfikacji automatycznie pojawia się na liście zaufanych głównych urzędów certyfikacji.

Nie należy określać certyfikatu zaufanego głównego urzędu certyfikacji, który nie jest jeszcze wymieniony w magazynach certyfikatów zaufanych głównych urzędów certyfikacji komputerów klienckich dla bieżącego użytkownika i komputera lokalnego. Jeśli wyznaczysz certyfikat, który nie jest zainstalowany na komputerach klienckich, uwierzytelnianie zakończy się niepowodzeniem.

W formacie XML jest to odcisk palca (skrót) SHA-1 certyfikatu (lub SHA-256 w przypadku TEAP).

Monit użytkownika dotyczący sprawdzania poprawności serwera

W poniższej tabeli wymieniono opcje monitów użytkownika sprawdzania poprawności serwera mające zastosowanie do każdej metody protokołu EAP. W przypadku niezaufanego certyfikatu serwera opcje te będą używane w celu:

  • natychmiast nie nawiązać połączenia, lub
  • Zezwalaj użytkownikowi na ręczne akceptowanie lub odrzucanie połączenia.
Ustawienia Element XML
Nie monituj użytkownika o autoryzację nowych serwerów lub zaufanych urzędów certyfikacji Walidacja> serweraDisableUserPromptForServerValidation (Walidacja serwera)

Zapobiega monitowaniu użytkownika o zaufanie do certyfikatu serwera, jeśli ten certyfikat jest niepoprawnie skonfigurowany, nie jest jeszcze zaufany lub oba te certyfikaty (jeśli są włączone). Aby uprościć środowisko użytkownika i zapobiec błędnemu zaufaniu serwera wdrożonego przez osobę atakującą, zaleca się zaznaczenie tego pola wyboru.

Ustawienia konfiguracji uwierzytelniania komórkowego

Poniżej wymieniono ustawienia konfiguracyjne odpowiednio dla EAP-SIM, EPA-AKA i EPA-AKA'.

EAP-SIM jest zdefiniowany w dokumencie RFC 4186. Moduł tożsamości abonenta (SIM) protokołu EAP służy do uwierzytelniania i dystrybucji kluczy sesji przy użyciu modułu SIM (SIM) sieci komórkowej Global System for Mobile Communications (GSM) Subscriber Identity Module.

Ustawienia EAP-SIM w interfejsie użytkownika są mapowane na EapSimConnectionPropertiesV1.

Przedmiot Element XML Opis
Używanie silnych kluczy szyfrowania UżyjSilneKlucze szyfru Określa, że jeśli ta opcja jest wybrana, profil używa silnego szyfrowania.
Nie ujawniaj prawdziwej tożsamości serwerowi, gdy dostępna jest tożsamość pseudonimowa DontRevealPermanentID Gdy ta opcja jest włączona, wymusza niepowodzenie uwierzytelniania klienta, jeśli serwer żąda trwałej tożsamości, mimo że klient ma z nim tożsamość pseudonimową. Tożsamości pseudonimowe są używane do ochrony prywatności, dzięki czemu rzeczywista lub trwała tożsamość użytkownika nie jest ujawniana podczas uwierzytelniania.
Nazwa dostawcy Dostępne tylko w formacie XML ciąg wskazujący nazwę dostawcy, który jest dozwolony do uwierzytelniania.
Włączanie korzystania z obszarów Obszaru=true Zapewnia miejsce, w którym można wpisać nazwę obszaru. Jeśli to pole pozostanie puste z zaznaczoną opcją Włącz korzystanie z serwerów , obszar zostanie utworzony na podstawie identyfikatora IMSI (International Mobile Subscriber Identity) przy użyciu 3gpp.org obszaru, zgodnie z opisem w standardzie 3rd Generation Partnership Project (3GPP) 23.003 V6.8.0.
Określanie obszaru Obszaru Udostępnia miejsce, w którym można wpisać nazwę obszaru. Jeśli opcja Włącz korzystanie z obszarów jest włączona, używany jest ten ciąg. Jeśli to pole jest puste, używany jest obszar pochodny.

WPA3-Enterprise trybie 192-bitowym

WPA3-Enterprise Tryb 192-bitowy to specjalny tryb przeznaczony dla WPA3-Enterprise, który wymusza pewne wysokie wymagania dotyczące zabezpieczeń połączenia bezprzewodowego w celu zapewnienia co najmniej 192 bitów zabezpieczeń. Wymagania te są zgodne z pakietem Commercial National Security Algorithm (CNSA) Suite, CNSSP 15, który jest zestawem algorytmów kryptograficznych zatwierdzonych do ochrony informacji niejawnych i ściśle tajnych przez Agencję Bezpieczeństwa Narodowego Stanów Zjednoczonych (NSA). Tryb 192-bitowy może być czasami określany jako "tryb Suite B", co jest odniesieniem do specyfikacji kryptograficznej NSA Suite B, która została zastąpiona przez CNSA w 2016 roku.

Zarówno WPA3-Enterprise, jak i WPA3-Enterprise trybie 192-bitowym są dostępne począwszy od systemu Windows 10 w wersji 2004 (kompilacja 19041) i Windows Server 2022. Jednak WPA3-Enterprise został wyróżniony jako osobny algorytm uwierzytelniania w systemie Windows 11. W języku XML jest to określone w elemencie authEncryption .

W poniższej tabeli wymieniono algorytmy wymagane przez pakiet CNSA.

Algorytm Opis Parametry
Zaawansowany standard szyfrowania (AES) Symetryczny szyfr blokowy używany do szyfrowania Klucz 256-bitowy (AES-256)
Wymiana kluczy Diffie-Hellman krzywej eliptycznej (ECDH) Algorytm asymetryczny używany do ustanawiania wspólnego hasła (klucza) 384-bitowa krzywa modułu pierwszego (P-384)
Algorytm podpisu cyfrowego krzywej eliptycznej (ECDSA) Algorytm asymetryczny używany do podpisów cyfrowych 384-bitowa krzywa modułu pierwszego (P-384)
Bezpieczny algorytm wyznaczania skrótu (SHA) Kryptograficzna funkcja skrótu SHA-384 (wersja SHA-384)
Diffie-Hellman (DH) Wymiana kluczy Algorytm asymetryczny używany do ustanawiania wspólnego hasła (klucza) Moduł 3072-bitowy
Rivest-Shamir-Adleman (RSA) Algorytm asymetryczny używany do podpisów cyfrowych lub ustanawiania kluczy Moduł 3072-bitowy

Wyrównanie z CNSA WPA3-Enterprise tryb 192-bitowy wymaga, aby EAP-TLS był używany z następującymi zestawami szyfrowania z ograniczeniami:

  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
    • ECDHE i ECDSA przy użyciu 384-bitowej krzywej modułu pierwszego P-384
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 / TLS_DHE_RSA_AES_256_GCM_SHA384
    • ECDHE przy użyciu 384-bitowej krzywej modułu pierwszego P-384
    • RSA >= moduł 3072-bitowy

Uwaga / Notatka

P-384 jest również znany jako secp384r1 lub nistp384. Inne krzywe eliptyczne, takie jak P-521, są niedozwolone.

SHA-384 należy do rodziny funkcji skrótu SHA-2. Inne algorytmy i warianty, takie jak SHA-512 lub SHA3-384, są niedozwolone.

System Windows obsługuje tylko TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 zestawy szyfrowania i TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 WPA3-Enterprise trybie 192-bitowym. Zestaw TLS_DHE_RSA_AES_256_GCM_SHA384 szyfrowania nie jest obsługiwany.

Protokół TLS 1.3 korzysta z nowych uproszczonych pakietów TLS, z których tylko TLS_AES_256_GCM_SHA384 jest zgodny z WPA3-Enterprise trybem 192-bitowym. Ponieważ protokół TLS 1.3 wymaga (EC)DHE i zezwala na certyfikaty ECDSA lub RSA, wraz z AES-256 AEAD i skrótem SHA384, TLS_AES_256_GCM_SHA384 jest równoważny TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 i TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384. Jednak specyfikacja RFC 8446 wymaga, aby aplikacje zgodne z protokołem TLS 1.3 obsługiwały standard P-256, który jest zabroniony przez CNSA. W związku z tym tryb 192-bitowy WPA3-Enterprise może nie być w pełni zgodny z protokołem TLS 1.3. Nie ma jednak żadnych znanych problemów ze współdziałaniem z protokołem TLS 1.3 i WPA3-Enterprise trybie 192-bitowym.

Aby skonfigurować sieć WPA3-Enterprise trybie 192-bitowym, system Windows wymaga, EAP-TLS być używany z certyfikatem spełniającym opisane wcześniej wymagania.

Dodatkowe zasoby