Udostępnij za pomocą

Protokół uwierzytelniania rozszerzonego (EAP) dla dostępu do sieci

Protokół uwierzytelniania rozszerzonego (EAP) to struktura uwierzytelniania, która umożliwia korzystanie z różnych metod uwierzytelniania dla technologii bezpiecznego dostępu do sieci. Przykładami takich technologii są dostęp bezprzewodowy przy użyciu standardu IEEE 802.1X, dostęp przewodowy przy użyciu standardu IEEE 802.1X oraz połączenia PPP (Point-to-Point Protocol), takie jak wirtualna sieć prywatna (VPN). Protokół EAP nie jest konkretną metodą uwierzytelniania, np. MS-CHAP v2, ale raczej strukturą, która umożliwia dostawcom sieci opracowywanie i instalowanie nowych metod uwierzytelniania, znanych jako metody protokołu EAP na serwerze klienta dostępu i uwierzytelniania. Struktura protokołu EAP jest pierwotnie definiowana przez RFC 3748 i rozszerzana przez różne inne normy i rFC.

Metody uwierzytelniania

Metody uwierzytelniania protokołu EAP używane w tunelowanych metodach protokołu EAP są powszechnie nazywane metodami wewnętrznymi lub typami protokołu EAP. Metody skonfigurowane jako metody wewnętrzne mają takie same ustawienia konfiguracji, jak w przypadku użycia jako metody zewnętrznej. Ten artykuł zawiera informacje konfiguracyjne specyficzne dla następujących metod uwierzytelniania w protokole EAP.

EAP-Transport Layer Security (EAP-TLS) — metoda protokołu EAP oparta na standardach , która używa protokołu TLS z certyfikatami do wzajemnego uwierzytelniania. Pojawia się jako karta inteligentna lub inny certyfikat (EAP-TLS) w systemie Windows. EAP-TLS można wdrożyć jako metodę wewnętrzną innej metody protokołu EAP lub jako autonomiczną metodę protokołu EAP.

Tip

Metody EAP korzystające z protokołu EAP-TLS, oparte na certyfikatach, zazwyczaj zapewniają najwyższy poziom zabezpieczeń. Na przykład EAP-TLS jest jedyną dozwoloną metodą EAP dla WPA3-Enterprise trybie 192-bitowym.

EAP-Microsoft Challenge Handshake Authentication Protocol version 2 (EAP-MSCHAP v2):zdefiniowana przez firmę Microsoft metoda EAP, która hermetyzuje protokół uwierzytelniania MSCHAP v2, który używa nazwy użytkownika i hasła do uwierzytelniania. Pojawia się jako Bezpieczne hasło (EAP-MSCHAP v2) w systemie Windows. EAP-MSCHAPv2 może służyć jako metoda autonomiczna dla sieci VPN, ale tylko jako metoda wewnętrzna dla połączeń przewodowych/bezprzewodowych.

Warning

Połączenia oparte na protokole MSCHAPv2 są narażone na podobne ataki, jak w przypadku protokołu NTLMv1. System Windows 11 Enterprise w wersji 22H2 (kompilacja 22621) włącza funkcję Windows Defender Credential Guard, co może powodować problemy z połączeniami opartymi na protokole MSCHAPv2.

Chroniony protokół EAP (PEAP):zdefiniowana przez firmę Microsoft metoda protokołu EAP, która hermetyzuje protokół EAP w tunelu TLS. Tunel TLS zabezpiecza wewnętrzną metodę EAP, która w przeciwnym razie mogłaby nie być chroniona. System Windows obsługuje metody EAP-TLS i EAP-MSCHAP v2 jako metody wewnętrzne.

EAP-Tunneled Transport Layer Security (EAP-TTLS): Jest to opisane przez RFC 5281, hermetyzuje sesję protokołu TLS, która wykonuje wzajemne uwierzytelnianie przy użyciu innego wewnętrznego mechanizmu uwierzytelniania. Ta metoda wewnętrzna może być protokołem EAP, takim jak EAP-MSCHAP v2, lub protokołem innym niż EAP, takim jak protokół uwierzytelniania haseł (PAP). W systemie Windows Server 2012 dołączenie EAP-TTLS zapewnia obsługę tylko po stronie klienta (w systemie Windows 8). Serwer NPS nie obsługuje obecnie EAP-TTLS. Obsługa klienta umożliwia współdziałanie z powszechnie wdrażanymi serwerami RADIUS obsługującymi protokół EAP-TTLS.

EAP-Subscriber Identity Module (EAP-SIM), EAP-Authentication i Key Agreement (EAP-AKA) i EAP-AKA Prime (EAP-AKA'): jest to opisane przez różne RFC, umożliwia uwierzytelnianie przy użyciu kart SIM i jest implementowane, gdy klient kupuje bezprzewodowy plan usługi szerokopasmowej od operatora sieci komórkowej. W ramach planu klient często otrzymuje profil sieci bezprzewodowej, który jest wstępnie skonfigurowany do uwierzytelniania za pomocą karty SIM.

Tunnel EAP (TEAP): jest to opisane przez RFC 7170, tunelowaną metodę protokołu EAP, która ustanawia bezpieczny tunel TLS i wykonuje inne metody protokołu EAP wewnątrz tego tunelu. Obsługuje łańcuch EAP - uwierzytelnianie maszyny i użytkownika w ramach jednej sesji uwierzytelniania. W systemie Windows Server 2022 włączenie protokołu TEAP zapewnia obsługę tylko po stronie klienta — Windows 10, wersja 2004 (kompilacja 19041). Serwer NPS nie obsługuje obecnie protokołu TEAP. Obsługa klienta umożliwia współdziałanie z powszechnie wdrażanymi serwerami RADIUS, które obsługują protokół TEAP. System Windows obsługuje metody EAP-TLS i EAP-MSCHAP v2 jako metody wewnętrzne.

W poniższej tabeli wymieniono niektóre popularne metody protokołu EAP i przypisane im numery typów metod IANA.

EAP, metoda Przypisany numer typu IANA Natywna obsługa systemu Windows
MD5-Challenge (EAP-MD5) 4
One-Time Hasło (EAP-OTP) 5
Ogólna karta żetonowa (EAP-GTC) 6
EAP-TLS 13
EAP-SIM 18
EAP-TTLS 21
EAP-AKA 23
PEAP 25
EAP-MSCHAP w wersji 2 26
Chronione hasło One-Time (EAP-POTP) 32
EAP-FAST 43
Klucz wstępny (EAP-PSK) 47
EAP-IKEv2 49
EAP-AKA' 50
EAP-EKE 53
TEAP 55
EAP-NOOB 56

Konfigurowanie właściwości protokołu EAP

Dostęp do właściwości protokołu EAP dla dostępu przewodowego i bezprzewodowego uwierzytelnionego metodą 802.1X można uzyskać w następujący sposób:

  • Konfigurowanie rozszerzeń Zasady sieci przewodowej (IEEE 802.3) i Zasady sieci bezprzewodowej (IEEE 802.11) w przystawce Zasady grupy.
    • Konfiguracja> komputeraManifest>Ustawienia systemu> WindowsUstawienia zabezpieczeń
  • Korzystanie z oprogramowania do zarządzania urządzeniami przenośnymi (MDM), takiego jak usługa Intune (przewodowa sieć Wi-Fi/)
  • Ręczne konfigurowanie połączeń przewodowych lub bezprzewodowych na komputerach klienckich.

Dostęp do właściwości protokołu EAP dla połączeń wirtualnej sieci prywatnej (VPN) można uzyskać w następujący sposób:

  • Korzystanie z oprogramowania do zarządzania urządzeniami przenośnymi (MDM), takiego jak usługa Intune
  • Ręczne konfigurowanie połączeń sieci VPN na komputerach klienckich.
  • Konfigurowanie połączeń sieci VPN za pomocą Zestawu administracyjnego Menedżera połączeń (CMAK, Connection Manager Administration Kit).

Aby uzyskać więcej informacji na temat konfigurowania właściwości protokołu EAP, zobacz Konfigurowanie profilów i ustawień protokołu EAP w systemie Windows.

Profile XML dla protokołu EAP

Profile używane dla różnych typów połączeń są plikami XML, które zawierają opcje konfiguracyjne dla danego połączenia. Każdy inny typ połączenia jest zgodny z określonym schematem:

Jednak w przypadku skonfigurowania używania protokołu EAP każdy schemat profilu ma element podrzędny EapHostConfig .

  • Przewodowy/bezprzewodowy: EapHostConfig jest elementem podrzędnym elementu EAPConfig . Zabezpieczenia MSM > (przewodowa/sieć bezprzewodowa) >OneX> EAPConfig
  • VPN: EapHostConfig jest elementem podrzędnym konfiguracji uwierzytelniania NativeProfile > Eap >>

Ta składnia konfiguracji jest zdefiniowana w specyfikacji Zasady grupy: Rozszerzenie protokołu bezprzewodowego/przewodowego .

Note

Różne graficzne interfejsy konfiguracyjne nie zawsze pokazują wszystkie technicznie możliwe opcje. Na przykład system Windows Server 2019 i starsze nie mogą skonfigurować protokołu TEAP w interfejsie użytkownika. Jednak często można zaimportować istniejący profil XML, który został wcześniej skonfigurowany.

Pozostała część artykułu ma na celu mapowanie konkretnych części EAP w interfejsie użytkownika zasad grupy oraz panelu sterowania z opcjami konfiguracji XML, oferując jednocześnie opis tych ustawień.

Więcej informacji na temat konfigurowania profilów XML można znaleźć w temacie Profile XML. Przykład użycia profilu XML zawierającego ustawienia protokołu EAP można znaleźć w temacie Udostępnianie profilu Wi-Fi za pośrednictwem serwisu internetowego.

Ustawienia zabezpieczeń

W poniższej tabeli wyjaśniono konfigurowalne ustawienia zabezpieczeń dla profilu korzystającego ze standardu 802.1X. Te ustawienia są mapowanie na onex.

Setting element XML Description
Wybierz metodę uwierzytelniania sieciowego: EAPConfig Umożliwia wybranie metody protokołu EAP, która ma być używana do uwierzytelniania. Zobacz Ustawienia konfiguracji metody uwierzytelniania i Ustawienia konfiguracji uwierzytelniania komórkowego
Properties Otwiera okno dialogowe właściwości wybranej metody EAP.
Tryb uwierzytelniania authMode Określa typ poświadczeń używanych do uwierzytelniania. Obsługiwane są następujące wartości:

1. Uwierzytelnianie użytkownika lub komputera
2. Uwierzytelnianie komputera
3. Uwierzytelnianie użytkownika
4. Uwierzytelnianie gościa

"Komputer" w tym kontekście oznacza "Maszynę" w innych odniesieniach. machineOrUser jest wartością domyślną w systemie Windows.
Maksymalna liczba niepowodzeń uwierzytelniania maxAuthFailures Określa maksymalną dozwoloną liczbę niepowodzeń uwierzytelniania dla zestawu poświadczeń, domyślnie 1.
Buforuj informacje o użytkowniku dla kolejnych połączeń z tą siecią cacheUserData Określa, czy poświadczenia użytkownika powinny być buforowane dla kolejnych połączeń z tą samą siecią, domyślnie true.

Zaawansowane ustawienia > zabezpieczeń IEEE 802.1X

Jeśli zaznaczono opcję Wymuszaj zaawansowane ustawienia 802.1X , wszystkie poniższe ustawienia są skonfigurowane. Jeśli ta opcja nie jest zaznaczona, stosowane są ustawienia domyślne. W języku XML wszystkie elementy są opcjonalne, a jeśli ich nie ma, używane są wartości domyślne.

Setting element XML Description
Maksimum Eapol-Start wiadomości maxStart Określa maksymalną liczbę wiadomości EAPOL-Start, które mogą zostać wysłane do wystawcy uwierzytelnienia (serwera RADIUS), zanim suplikant (klient systemu Windows) założy, że nie ma żadnego wystawcy uwierzytelnienia, domyślnie ustawiając wartość 3.
Okres początkowy (w sekundach) startPeriod Określa okres (w sekundach) oczekiwania na wysłanie wiadomości EAPOL-Start w celu rozpoczęcia procesu uwierzytelniania metodą 802.1X (domyślnie 5jest to .
Wstrzymany okres (sekundy) heldPeriod Określa okres (w sekundach), w którym należy oczekiwać na ponowną próbę uwierzytelnienia po nieudanej próbie uwierzytelnienia, domyślnie 1.
Okres uwierzytelniania (sekundy) authPeriod Określa czas (w sekundach), w którym należy oczekiwać na odpowiedź od wystawcy uwierzytelnienia (serwera RADIUS) przed założeniem, że nie ma wystawcy uwierzytelnienia (wartość domyślna to 18.
komunikat Eapol-Start supplicantMode Określa metodę transmisji używaną dla komunikatów EAPOL-Start. Obsługiwane są następujące wartości:

1. Nie przesyłaj (inhibitTransmission)
2. Transmisja (includeLearning)
3. Transmisja według IEEE 802.1X (compliant)

"Komputer" w tym kontekście oznacza "Maszynę" w innych odniesieniach. compliant jest domyślną opcją w systemie Windows i jest jedyną prawidłową opcją dla profilów sieci bezprzewodowej.

Zaawansowane ustawienia > zabezpieczeń Logowanie jednokrotne

W poniższej tabeli wyjaśniono ustawienia logowania jednokrotnego (SSO), wcześniej znanego jako dostawca dostępu przed logowaniem (PLAP).

Setting element XML Description
Włącz logowanie jednokrotne dla tej sieci singleSignOn Określa, czy logowanie jednokrotne jest włączone dla tej sieci, domyślnie false. Nie używaj singleSignOn go w profilu, jeśli sieć tego nie wymaga.
Wykonaj bezpośrednio przed użytkownikiem

Wykonaj natychmiast po użyciu		 type Określa, kiedy powinno być wykonywane logowanie jednokrotne — przed lub po zalogowaniu się użytkownika.
Maksymalne opóźnienie łączności (w sekundach) maxDelay Określa maksymalne opóźnienie (w sekundach) przed niepowodzeniem próby logowania jednokrotnego, domyślnie 10.
Zezwalaj na wyświetlanie dodatkowych okien dialogowych podczas logowania jednokrotnego allowAdditionalDialogs Określono, czy okna dialogowe protokołu EAP mają być wyświetlane podczas logowania jednokrotnego, domyślnie .false
Ta sieć używa różnych sieci VLAN do uwierzytelniania za pomocą poświadczeń komputera i użytkownika userBasedVirtualLan Określa, czy wirtualna sieć LAN (VLAN) używana przez urządzenie zmienia się w zależności od poświadczeń użytkownika, domyślnie falsena .

Ustawienia konfiguracji metody uwierzytelniania

Caution

Jeśli serwer dostępu do sieci jest skonfigurowany tak, aby zezwalał na ten sam typ metody uwierzytelniania dla tunelowanej metody protokołu EAP (takiej jak PEAP) i nie tunelowanej metody protokołu EAP (takiej jak EAP-MSCHAP v2), istnieje potencjalna luka w zabezpieczeniach. W przypadku wdrażania zarówno tunelowanej metody protokołu EAP, jak i protokołu EAP (który nie jest chroniony), nie należy używać tego samego typu uwierzytelniania. Jeśli na przykład wdrożysz protokół PEAP-TLS, nie wdrażaj również EAP-TLS, ponieważ jeśli wymagasz ochrony tunelu, nie ma celu zezwolenia na wykonywanie metody poza tunelem.

W poniższej tabeli wyjaśniono konfigurowalne ustawienia dla każdej metody uwierzytelniania.

Ustawienia EAP-TLS w mapie interfejsu użytkownika na EapTlsConnectionPropertiesV1, które zostały rozszerzone przez EapTlsConnectionPropertiesV2 i EapTlsConnectionPropertiesV3.

Setting element XML Description
Korzystanie z karty inteligentnej CredentialsSource>Karta inteligentna Określa, że klienci wysyłający żądania uwierzytelnienia muszą przedstawić certyfikat karty inteligentnej w celu uwierzytelnienia sieciowego.
Używanie certyfikatu na tym komputerze CredentialsSource>Magazyn certyfikatów Określa, że klienci uwierzytelniający muszą używać certyfikatu znajdującego się w magazynie certyfikatów bieżącego użytkownika lub komputera lokalnego.
Użyj prostego wyboru certyfikatu (zalecane) SimpleCertSelection Określa, czy system Windows automatycznie wybierze certyfikat do uwierzytelniania bez interakcji użytkownika (jeśli to możliwe), czy system Windows wyświetli listę rozwijaną, aby użytkownik wybrał certyfikat.
Advanced Otwiera okno dialogowe Konfiguruj wybór certyfikatu .
Opcje sprawdzania poprawności serwera
Użyj innej nazwy użytkownika dla połączenia DifferentUsername Określa, czy do uwierzytelniania ma być używana nazwa użytkownika, która różni się od nazwy użytkownika w certyfikacie.

Poniżej znajduje się lista ustawień konfiguracyjnych dla opcji Konfiguruj wybór certyfikatu. Te ustawienia definiują kryteria, których klient używa do wybierania odpowiedniego certyfikatu do uwierzytelnienia. Ten interfejs użytkownika mapuje na wartość TLSExtensions>FilteringInfo.

Setting element XML Description
Wystawca certyfikatu CAHashListEnabled="true" Określa, czy jest włączone filtrowanie wystawcy certyfikatu.

Jeśli zarówno wystawca certyfikatu , jak i rozszerzone użycie klucza (EKU) są włączone, tylko te certyfikaty spełniające oba warunki są uznawane za prawidłowe do uwierzytelniania klienta na serwerze.
Główne urzędy certyfikacji IssuerHash Wyświetla listę nazw wszystkich wystawców, dla których odpowiednie certyfikaty urzędów certyfikacji (CA) znajdują się w magazynie certyfikatów zaufanych głównych urzędów certyfikacji lub pośrednich urzędów certyfikacji konta komputera lokalnego. Obejmuje to:

  • Wszystkie główne urzędy certyfikacji i pośrednie urzędy certyfikacji.
  • Zawiera tylko tych wystawców, dla których istnieją odpowiednie prawidłowe certyfikaty, które znajdują się na komputerze (na przykład certyfikaty, które nie wygasły lub nie zostały odwołane).
  • Ostateczna lista certyfikatów dozwolonych do uwierzytelniania zawiera tylko te certyfikaty, które zostały wystawione przez dowolnego wystawcę wybranego na tej liście.

    • W formacie XML jest to odcisk palca (skrót) SHA-1 certyfikatu.
    Rozszerzone użycie klucza (EKU) Umożliwia wybranie opcji Wszystkie przeznaczenie, Uwierzytelnianie klienta, DowolnePurpose lub dowolną kombinację tych opcji. Określa, że po wybraniu kombinacji wszystkie certyfikaty spełniające co najmniej jeden z trzech warunków są uznawane za ważne certyfikaty uwierzytelniania klienta na serwerze. Jeśli filtrowanie EKU jest włączone, należy wybrać jedną z opcji, w przeciwnym razie pole wyboru Rozszerzone użycie klucza (EKU) stanie się niezaznaczone.
    Wszystkie przeznaczenie AllPurposeEnabled Po wybraniu tego elementu określa, że certyfikaty mające klucz EKU all purpose są uznawane za prawidłowe certyfikaty do uwierzytelniania klienta na serwerze. Identyfikator obiektu (OID) dla wszystkich celów jest 0 lub jest pusty.
    Uwierzytelnianie klienta ClientAuthEKUListEnabled="true" (> EKUMapInList > EKUName) Określa, że certyfikaty z EKU uwierzytelniania klienta , a określona lista jednostek EKU są uznawane za prawidłowe certyfikaty do uwierzytelniania klienta na serwerze. Identyfikator obiektu (OID) dla uwierzytelniania klienta to 1.3.6.1.5.5.7.3.2.
    AnyPurpose AnyPurposeEKUListEnabled="true" (> EKUMapInList > EKUName) Określa, że wszystkie certyfikaty o dowolnympurpose EKU i określonej liście jednostek EKU są uznawane za prawidłowe certyfikaty do uwierzytelniania klienta na serwerze. Identyfikator obiektu (OID) dla anyPurpose to 1.3.6.1.4.1.311.10.12.1.
    Add EKUMapping > EKUMap > EKUName/EKUOID Otwiera okno dialogowe Wybieranie jednostek EKU , które umożliwia dodawanie standardowych, niestandardowych lub specyficznych dla dostawcy jednostek EKU do listy Uwierzytelnianie klienta lub Dowolnapurpose .

    Wybranie pozycji Dodaj lub Edytuj w oknie dialogowym Wybieranie jednostek EKU powoduje otwarcie okna dialogowego Dodawanie/edytowanie EKU , które udostępnia dwie opcje:

    1. Wprowadź nazwę jednostki EKU — zapewnia miejsce, w którym można wpisać nazwę niestandardowej jednostki EKU.
    2. Wprowadź identyfikator OID EKU — zapewnia miejsce, w którym można wpisać identyfikator OID dla EKU. Dozwolone są tylko cyfry, separatory i . znaki numeryczne. Symbole wieloznaczne są dozwolone, w takim przypadku dozwolone są wszystkie podrzędne identyfikatory OID w hierarchii.

    Na przykład wprowadzenie 1.3.6.1.4.1.311.* pozwala na 1.3.6.1.4.1.311.42 i 1.3.6.1.4.1.311.42.2.1.
    Edit Umożliwia edytowanie niestandardowych EKU, które dodano. Nie można edytować domyślnych, wstępnie zdefiniowanych jednostek EKU.
    Remove Usuwa wybrane EKU z listy Uwierzytelnianie klienta lub Dowolnapurpose .

    Weryfikacja certyfikatu serwera

    Wiele metod protokołu EAP zawiera opcję sprawdzania poprawności certyfikatu serwera przez klienta. Jeśli certyfikat serwera nie zostanie zweryfikowany, klient nie może być pewien, że komunikuje się z właściwym serwerem. Naraża to klienta na zagrożenia bezpieczeństwa, w tym na możliwość, że klient może nieświadomie połączyć się z nieautoryzowaną siecią.

    Note

    System Windows wymaga, aby certyfikat serwera miał EKU uwierzytelniania serwera . Identyfikatorem obiektu (OID) dla tego EKU jest 1.3.6.1.5.5.7.3.1.

    W poniższej tabeli wymieniono opcje sprawdzania poprawności serwera mające zastosowanie do każdej metody protokołu EAP. System Windows 11 zaktualizował logikę walidacji serwera, aby była bardziej spójna. Aby dowiedzieć się więcej, zobacz Aktualizowanie zachowania weryfikacji certyfikatu serwera w systemie Windows 11. W przypadku konfliktu opisy w poniższej tabeli opisują zachowanie systemu Windows 10 i starszych.

    Setting element XML Description
    Zweryfikuj tożsamość serwera, weryfikując certyfikat EAP-TLS:
    PerformServerValidation

    PEAP:
    PerformServerValidation    		 Ten element określa, że klient sprawdza, czy certyfikaty serwera przedstawione na komputerze klienckim mają:

  • Prawidłowe podpisy
  • Podpisy nie wygasły
  • Zostały wystawione przez zaufane główne centrum certyfikacji (CA)

    • Wyłączenie tego pola wyboru powoduje, że komputery klienckie nie będą mogły zweryfikować tożsamości serwerów podczas procesu uwierzytelniania. Jeśli uwierzytelnianie serwera nie nastąpi, użytkownicy są narażeni na poważne zagrożenia bezpieczeństwa, w tym na możliwość, że użytkownicy mogą nieświadomie połączyć się z fałszywą siecią.
    Połącz się z tymi serwerami EAP-TLS:
    ServerValidation>Nazwy serwera

    PEAP:
    ServerValidation>Nazwy serwera

    EAP-TTLS:
    ServerValidation>
    ServerNames

    TEAP:
    ServerValidation>
    ServerNames
    		 Umożliwia określenie nazwy serwerów usługi RADIUS (Remote Authentication Dial-In User Service), które zapewniają uwierzytelnianie i autoryzację sieci.

    Musisz wpisać nazwę dokładnie tak, jak jest wyświetlana w polu podmiotu każdego certyfikatu serwera RADIUS lub użyć wyrażeń regularnych (regex), aby określić nazwę serwera.

    Pełna składnia wyrażenia regularnego może być użyta do określenia nazwy serwera, ale aby odróżnić wyrażenie regularne od ciągu literału, należy użyć co najmniej jednego * w określonym ciągu. Można na przykład określić nps.*\.example\.com , aby określić serwer nps1.example.com RADIUS lub nps2.example.com. Możesz również dołączyć a ; , aby oddzielić wiele serwerów.

    Jeśli nie określono żadnych serwerów usługi RADIUS, klient sprawdza tylko, czy certyfikat serwera usługi RADIUS został wystawiony przez zaufany główny urząd certyfikacji.
    Zaufane główne urzędy certyfikacji EAP-TLS:
    ServerValidation>TrustedRootCA

    PEAP:
    ServerValidation>TrustedRootCA

    EAP-TTLS:
    ServerValidation>
    TrustedRootCAHashes

    TEAP:
    ServerValidation>
    TrustedRootCAHashes    		 Wyświetla listę zaufanych głównych urzędów certyfikacji. Lista jest tworzona na podstawie zaufanych głównych urzędów certyfikacji, które są zainstalowane na komputerze i w magazynach certyfikatów użytkowników. Można określić, które certyfikaty zaufanych głównych urzędów certyfikacji są używane przez suplikantów w celu określenia, czy ufają serwerom, takim jak serwer z uruchomionym serwerem zasad sieciowych (NPS) lub serwer zastrzegania. Jeśli nie wybrano zaufanych głównych urzędów certyfikacji, klient 802.1X sprawdza, czy certyfikat komputera serwera RADIUS jest wystawiany przez zainstalowany zaufany główny urząd certyfikacji. Jeśli wybrano co najmniej jeden zaufany główny urzęd certyfikacji, klient 802.1X sprawdza, czy certyfikat komputera serwera RADIUS jest wystawiany przez wybrany zaufany główny urząd certyfikacji.

    Jeśli nie wybrano żadnych zaufanych głównych urzędów certyfikacji, klient sprawdza, czy certyfikat serwera RADIUS został wystawiony przez dowolny zaufany główny urząd certyfikacji.

    Jeśli w sieci znajduje się infrastruktura kluczy publicznych (PKI), a urząd certyfikacji jest używany do wystawiania certyfikatów serwerom usługi RADIUS, certyfikat urzędu certyfikacji jest automatycznie dodawany do listy zaufanych głównych urzędów certyfikacji. Certyfikat urzędu certyfikacji można również zakupić od dostawcy innego niż Microsoft. Niektóre zaufane główne urzędy certyfikacji firm innych niż Microsoft udostępniają oprogramowanie z zakupionym certyfikatem, które automatycznie instaluje zakupiony certyfikat w magazynie certyfikatów zaufanych głównych urzędów certyfikacji . W takim przypadku zaufany główny urząd certyfikacji automatycznie pojawia się na liście zaufanych głównych urzędów certyfikacji.

    Nie należy określać certyfikatu zaufanego głównego urzędu certyfikacji, który nie jest jeszcze wymieniony w magazynach certyfikatów zaufanych głównych urzędów certyfikacji komputerów klienckich dla bieżącego użytkownika i komputera lokalnego. Jeśli wyznaczysz certyfikat, który nie jest zainstalowany na komputerach klienckich, uwierzytelnianie zakończy się niepowodzeniem.

    W formacie XML jest to odcisk palca (skrót) SHA-1 certyfikatu (lub SHA-256 w przypadku TEAP).

    Monit użytkownika dotyczący sprawdzania poprawności serwera

    W poniższej tabeli opisano opcje powiadomienia użytkownika weryfikacji serwera dostępne dla każdej metody EAP. Gdy certyfikat serwera jest niezaufany, te opcje określają, czy:

    • Połączenie natychmiast się nie udaje.
    • Użytkownik jest monitowany o ręczne akceptowanie lub odrzucanie połączenia.
    Setting element XML
    Nie monituj użytkownika o autoryzację nowych serwerów lub zaufanych urzędów certyfikacji ServerValidation>DisableUserPromptForServerValidation

    Zapobiega monitowaniu użytkownika o zaufanie do certyfikatu serwera, jeśli ten certyfikat jest niepoprawnie skonfigurowany, nie jest jeszcze zaufany lub oba te certyfikaty (jeśli są włączone). Aby uprościć środowisko użytkownika i zapobiec błędnemu zaufaniu serwera wdrożonego przez osobę atakującą, zaleca się zaznaczenie tego pola wyboru.

    Ustawienia konfiguracji uwierzytelniania komórkowego

    Poniżej wymieniono ustawienia konfiguracyjne odpowiednio dla EAP-SIM, EPA-AKA i EPA-AKA'.

    EAP-SIM jest definiowana w dokumencie RFC 4186. Moduł tożsamości abonenta (SIM) protokołu EAP służy do uwierzytelniania i dystrybucji kluczy sesji przy użyciu modułu SIM (SIM) sieci komórkowej Global System for Mobile Communications (GSM) Subscriber Identity Module.

    Ustawienia EAP-SIM na mapie interfejsu użytkownika na EapSimConnectionPropertiesV1.

    Item element XML Description
    Używanie silnych kluczy szyfrowania UseStrongCipherKeys Określa, że jeśli ta opcja jest wybrana, profil używa silnego szyfrowania.
    Nie ujawniaj prawdziwej tożsamości serwerowi, gdy dostępna jest tożsamość pseudonimowa DontRevealPermanentID Gdy ta opcja jest włączona, wymusza niepowodzenie uwierzytelniania klienta, jeśli serwer żąda trwałej tożsamości, mimo że klient ma z nim tożsamość pseudonimową. Tożsamości pseudonimowe są używane do ochrony prywatności, dzięki czemu rzeczywista lub trwała tożsamość użytkownika nie jest ujawniana podczas uwierzytelniania.
    ProviderName Dostępne tylko w formacie XML ciąg wskazujący nazwę dostawcy, który jest dozwolony do uwierzytelniania.
    Włączanie korzystania z obszarów Obszaru=true Zapewnia miejsce, w którym można wpisać nazwę obszaru. Jeśli to pole pozostanie puste z zaznaczoną opcją Włącz korzystanie z serwerów , obszar zostanie utworzony na podstawie identyfikatora IMSI (International Mobile Subscriber Identity) przy użyciu 3gpp.org obszaru, zgodnie z opisem w standardzie 3rd Generation Partnership Project (3GPP) 23.003 V6.8.0.
    Określanie obszaru Realm Udostępnia miejsce, w którym można wpisać nazwę obszaru. Jeśli opcja Włącz korzystanie z obszarów jest włączona, używany jest ten ciąg. Jeśli to pole jest puste, używany jest obszar pochodny.

    WPA3-Enterprise trybie 192-bitowym

    WPA3-Enterprise Tryb 192-bitowy to specjalny tryb przeznaczony dla WPA3-Enterprise, który wymusza pewne wysokie wymagania dotyczące zabezpieczeń połączenia bezprzewodowego w celu zapewnienia co najmniej 192 bitów zabezpieczeń. Wymagania te są zgodne z pakietem Commercial National Security Algorithm (CNSA) Suite, CNSSP 15, który jest zestawem algorytmów kryptograficznych zatwierdzonych do ochrony informacji niejawnych i ściśle tajnych przez Agencję Bezpieczeństwa Narodowego Stanów Zjednoczonych (NSA). Tryb 192-bitowy może być czasami określany jako "tryb Suite B", co jest odniesieniem do specyfikacji kryptograficznej NSA Suite B, która została zastąpiona przez CNSA w 2016 roku.

    Zarówno WPA3-Enterprise, jak i WPA3-Enterprise trybie 192-bitowym są dostępne począwszy od systemu Windows 10 w wersji 2004 (kompilacja 19041) i Windows Server 2022. Jednak WPA3-Enterprise został wyróżniony jako osobny algorytm uwierzytelniania w systemie Windows 11. W pliku XML jest to określone w elemencryption elementu authEncryption .

    W poniższej tabeli wymieniono algorytmy wymagane przez pakiet CNSA.

    Algorithm Description Parameters
    Zaawansowany standard szyfrowania (AES) Symetryczny szyfr blokowy używany do szyfrowania Klucz 256-bitowy (AES-256)
    Wymiana kluczy Diffie-Hellman krzywej eliptycznej (ECDH) Algorytm asymetryczny używany do ustanawiania wspólnego hasła (klucza) 384-bitowa krzywa modułu pierwszego (P-384)
    Algorytm podpisu cyfrowego krzywej eliptycznej (ECDSA) Algorytm asymetryczny używany do podpisów cyfrowych 384-bitowa krzywa modułu pierwszego (P-384)
    Bezpieczny algorytm wyznaczania skrótu (SHA) Kryptograficzna funkcja skrótu SHA-384
    Diffie-Hellman (DH) Wymiana kluczy Algorytm asymetryczny używany do ustanawiania wspólnego hasła (klucza) Modulo 3072-bitowe
    Rivest —Shamir-Adleman (RSA) Algorytm asymetryczny używany do podpisów cyfrowych lub ustanawiania kluczy Modulo 3072-bitowe

    Aby spełnić wymagania CNSA, tryb 192-bitowy WPA3-Enterprise wymaga używania EAP-TLS z tymi ograniczonymi zestawami szyfrowania.

    • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

      • ECDHE i ECDSA przy użyciu 384-bitowej krzywej modułu pierwszego P-384

    • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 / TLS_DHE_RSA_AES_256_GCM_SHA384

      • ECDHE przy użyciu 384-bitowej krzywej modułu pierwszego P-384

      • RSA >= moduł 3072-bitowy

    Note

    P-384 jest również znany jako secp384r1 lub nistp384. Inne krzywe eliptyczne, takie jak P-521, nie są dozwolone.

    SHA-384 należy do rodziny funkcji skrótu SHA-2. Inne algorytmy i warianty, takie jak SHA-512 lub SHA3-384, nie są dozwolone.

    System Windows obsługuje tylko TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 zestawy szyfrowania i TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 WPA3-Enterprise trybie 192-bitowym. Zestaw TLS_DHE_RSA_AES_256_GCM_SHA384 szyfrowania nie jest obsługiwany.

    Protokół TLS 1.3 korzysta z nowych uproszczonych pakietów TLS, z których tylko TLS_AES_256_GCM_SHA384 jest zgodny z WPA3-Enterprise trybem 192-bitowym. Ponieważ protokół TLS 1.3 wymaga (EC)DHE i zezwala na certyfikaty ECDSA lub RSA, wraz z AES-256 AEAD i skrótem SHA384, TLS_AES_256_GCM_SHA384 jest równoważny TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 i TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384. Jednak RFC 8446 wymaga, aby aplikacje zgodne z protokołem TLS 1.3 obsługiwały protokół P-256, który jest zabroniony przez CNSA. W związku z tym tryb 192-bitowy WPA3-Enterprise może nie być w pełni zgodny z protokołem TLS 1.3. Nie ma jednak żadnych znanych problemów ze współdziałaniem z protokołem TLS 1.3 i WPA3-Enterprise trybie 192-bitowym.

    Aby skonfigurować sieć WPA3-Enterprise trybie 192-bitowym, system Windows wymaga, EAP-TLS być używany z certyfikatem spełniającym opisane wcześniej wymagania.

    Zobacz także

    • Last updated on