Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
EAP (Extensible Authentication Protocol) är ett autentiseringsramverk som gör det möjligt att använda olika autentiseringsmetoder för säker nätverksåtkomstteknik. Exempel på dessa tekniker är trådlös åtkomst med IEEE 802.1X, trådbunden åtkomst med IEEE 802.1X och PPP-anslutningar (Point-to-Point Protocol) som VPN (Virtual Private Networking). EAP är inte en specifik autentiseringsmetod som MS-CHAP v2, utan snarare ett ramverk som gör det möjligt för nätverksleverantörer att utveckla och installera nya autentiseringsmetoder, så kallade EAP-metoder, på åtkomstklienten och autentiseringsservern. EAP-ramverket definieras ursprungligen av RFC 3748 och utökas av olika andra RFC:er och standarder.
Autentiseringsmetoder
EAP-autentiseringsmetoder som används i tunnlade EAP-metoder är ofta kända som inre metoder eller EAP-typer. Metoder som har ställts in som inre metoder har samma konfigurationsinställningar som de skulle ha när de används som en yttre metod. Den här artikeln innehåller konfigurationsinformation som är specifik för följande autentiseringsmetoder i EAP.
EAP-Transport Layer Security (EAP-TLS) : Standardbaserad EAP-metod som använder TLS med certifikat för ömsesidig autentisering. Visas som smartkort eller annat certifikat (EAP-TLS) i Windows. EAP-TLS kan distribueras som en inre metod för en annan EAP-metod eller som en fristående EAP-metod.
Tips/Råd
EAP-metoder som använder EAP-TLS, som är certifikatbaserade, erbjuder i allmänhet den högsta säkerhetsnivån. Till exempel är EAP-TLS den enda tillåtna EAP-metoden för WPA3-Enterprise 192-bitarsläge.
EAP-Microsoft Challenge Handshake Authentication Protocol version 2 (EAP-MSCHAP v2):Microsoft-definierad EAP-metod som kapslar in autentiseringsprotokollet MSCHAP v2, som använder användarnamn och lösenord, för autentisering. Visas som Säkert lösenord (EAP-MSCHAP v2) i Windows. EAP-MSCHAPv2 kan användas som en fristående metod för VPN, men bara som en inre metod för trådbundet/trådlöst.
Varning
MSCHAPv2-baserade anslutningar utsätts för liknande attacker som för NTLMv1. Windows 11 Enterprise, version 22H2 (build 22621) aktiverar Windows Defender Credential Guard som kan orsaka problem med MSCHAPv2-baserade anslutningar.
Skyddad EAP (PEAP):Microsoft-definierad EAP-metod som kapslar in EAP i en TLS-tunnel. TLS-tunneln skyddar den inre EAP-metoden, som annars kan vara oskyddad. Windows stöder EAP-TLS och EAP-MSCHAP v2 som inre metoder.
EAP-Tunneled Transport Layer Security (EAP-TTLS): Beskrivs av RFC 5281 och kapslar in en TLS-session som utför ömsesidig autentisering med hjälp av en annan inre autentiseringsmekanism. Den här inre metoden kan vara antingen ett EAP-protokoll, till exempel EAP-MSCHAP v2, eller ett icke-EAP-protokoll, till exempel Password Authentication Protocol (PAP). I Windows Server 2012 ger införandet av EAP-TTLS endast stöd på klientsidan (i Windows 8). NPS stöder inte EAP-TTLS just nu. Klientstödet möjliggör samverkan med ofta distribuerade RADIUS-servrar som stöder EAP-TTLS.
EAP-Subscriber Identity Module (EAP-SIM), EAP-Authentication and Key Agreement (EAP-AKA) och EAP-AKA Prime (EAP-AKA'): Beskrivs av olika RFC:er, möjliggör autentisering med hjälp av SIM-kort och implementeras när en kund köper ett abonnemang för trådlöst bredband från en mobiloperatör. Som en del av planen får kunden vanligtvis en trådlös profil som är förkonfigurerad för SIM-autentisering.
Tunnel EAP (TEAP): Beskrivs av RFC 7170, tunnlad EAP-metod som upprättar en säker TLS-tunnel och kör andra EAP-metoder i tunneln. Stöder EAP-länkning – autentisering av datorn och användaren inom en autentiseringssession. I Windows Server 2022 ger inkluderingen av TEAP endast stöd för klientsidan – Windows 10 version 2004 (version 19041). NPS har för närvarande inte stöd för TEAP. Klientsupporten möjliggör samverkan med ofta distribuerade RADIUS-servrar som stöder TEAP. Windows stöder EAP-TLS och EAP-MSCHAP v2 som inre metoder.
I följande tabell visas några vanliga EAP-metoder och deras IANA-tilldelade metodtypnummer.
| EAP-metoden | IANA tilldelat typnummer | Inbyggt Windows-stöd |
|---|---|---|
| MD5-Challenge (EAP-MD5) | 4 | ❌ |
| One-Time Lösenord (EAP-OTP) | 5 | ❌ |
| Generisk Token-kort (EAP-GTC) | 6 | ❌ |
| EAP-TLS | tretton | ✅ |
| EAP-SIM | 18 | ✅ |
| EAP-TTLS | 21 | ✅ |
| EAP-AKA | 23 | ✅ |
| PEAP | 25 | ✅ |
| EAP-MSCHAP v2 | 26 | ✅ |
| Lösenord för skyddade One-Time (EAP-POTP) | 32 | ❌ |
| EAP-FAST | 43 | ❌ |
| I förväg delad nyckel (EAP-PSK) | 47 | ❌ |
| EAP-IKEv2 | 49 | ❌ |
| EAP-AKA" | 50 | ✅ |
| EAP-EKE | 53 | ❌ |
| TEAP (på engelska) | 55 | ✅ |
| EAP-NOOB | 56 | ❌ |
Konfigurera EAP-egenskaper
Du kan komma åt EAP-egenskaperna för 802.1X-autentiserad kabelbunden och trådlös åtkomst på följande sätt:
- Konfigurera tilläggen Principer för kabelanslutna nätverk (IEEE 802.3) och Principer för trådlösa nätverk (IEEE 802.11) i Grupprincip.
- Datorkonfiguration>Politik>Windows-inställningar>Säkerhetsinställningar
- Använda programvara för hantering av mobila enheter (MDM), till exempel Intune (Wi-Fi/Wired)
- Konfigurera kabelanslutna eller trådlösa anslutningar manuellt på klientdatorer.
Du kan komma åt EAP-egenskaperna för VPN-anslutningar (Virtual Private Network) på följande sätt:
- Använda MDM-programvara (Mobile Device Management), till exempel Intune
- Konfigurera VPN-anslutningar manuellt på klientdatorer.
- Använda Administration av Anslutningshanteraren (CMAK) för att konfigurera VPN-anslutningar.
Mer information om hur du konfigurerar EAP-egenskaper finns i Konfigurera EAP-profiler och inställningar i Windows.
XML-profiler för EAP
Profilerna som används för olika anslutningstyper är XML-filer som innehåller konfigurationsalternativen för den anslutningen. Varje anslutningstyp följer ett specifikt schema:
Men när det är konfigurerat för att använda EAP har varje profilschema ett underordnat element EapHostConfig-element .
- Trådbunden/trådlös:
EapHostConfigär ett underordnat element till EAPConfig-elementet . MSM-säkerhet > (trådbunden/,trådlös), >OneX> EAPConfig - VPN:
EapHostConfigär ett underordnat element i NativeProfile > Authentication > Eap > Configuration
Den här konfigurationssyntaxen definieras i specifikationen Grupprincip: Trådlöst/trådbundet protokolltillägg .
Anmärkning
De olika konfigurationsgränssnitten visar inte alltid alla tekniskt möjliga alternativ. Windows Server 2019 och tidigare kan till exempel inte konfigurera TEAP i användargränssnittet. Det är dock ofta möjligt att importera en befintlig XML-profil som tidigare har konfigurerats.
Resten av artikeln är avsedd att ge en mappning mellan de EAP-specifika delarna av användargränssnittet för grupprincip/kontrollpanelen och XML-konfigurationsalternativen, samt att ge en beskrivning av inställningen.
Mer information om hur du konfigurerar XML-profiler finns i XML-profiler. Ett exempel på hur du använder en XML-profil som innehåller EAP-inställningar finns i Etablera en Wi-Fi profil via en webbplats.
Säkerhetsinställningar
I följande tabell förklaras de konfigurerbara säkerhetsinställningarna för en profil som använder 802.1X. De här inställningarna mappas till OneX.
| Inställning | XML-element | Beskrivning |
|---|---|---|
| Välj en metod för nätverksautentisering: | EAPConfig | Gör att du kan välja vilken EAP-metod som ska användas för autentisering. Se Konfigurationsinställningar för autentiseringsmetod och Konfigurationsinställningar för mobilautentisering |
| Egenskaper | Öppnar egenskapsdialogen för den valda EAP-metoden. | |
| Autentiseringsläge | authMode | Anger vilken typ av autentiseringsuppgifter som används för autentisering. Följande värden stöds: 1. Autentisering av användare eller dator 2. Autentisering av dator 3. Autentisering av användare 4. Autentisering av gäster "Dator" betyder i det här sammanhanget "Maskin" i andra referenser. machineOrUser är standard i Windows. |
| Maximalt antal autentiseringsfel | maxAuthFailures (maxAuthFailures) | Anger det maximala antalet autentiseringsfel som tillåts för en uppsättning autentiseringsuppgifter, med 1standardvärdet . |
| Cachelagra användarinformation för efterföljande anslutningar till det här nätverket | cacheUserData (cacheAnvändardata) | Anger om användarens autentiseringsuppgifter ska cachelagras för efterföljande anslutningar till samma nätverk, med truestandardvärdet . |
Avancerade säkerhetsinställningar > IEEE 802.1X
Om Tillämpa avancerade 802.1X-inställningar är markerat kommer alla följande inställningar att konfigureras. Om den är avmarkerad gäller standardinställningarna. I XML är alla element valfria, med standardvärdena som används om de inte finns.
| Inställning | XML-element | Beskrivning |
|---|---|---|
| Max Eapol-Start Msgs | maxStart | Anger det maximala antalet EAPOL-Start meddelanden som kan skickas till autentiseraren (RADIUS-servern) innan den bedjande (Windows-klienten) antar att det inte finns någon autentiserare, vilket är 3standardvärdet . |
| Startperiod (sekunder) | startperiod | Anger hur lång tid (i sekunder) som ska vänta innan ett EAPOL-Start meddelande skickas för att starta 802.1X-autentiseringsprocessen, med standardvärdet .5 |
| Hållen period (sekunder) | heldPeriod | Anger den tidsperiod (i sekunder) som ska vänta efter ett misslyckat autentiseringsförsök för att försöka autentisera igen, med standardvärdet 1. |
| Autentiseringsperiod (sekunder) | authPeriod | Anger den tidsperiod (i sekunder) som ska vänta på ett svar från autentiseraren (RADIUS-servern) innan man antar att det inte finns någon autentiserare, med standardvärdet 18. |
| Eapol-Start Meddelande | supplicantMode | Anger vilken överföringsmetod som används för EAPOL-Start meddelanden. Följande värden stöds: 1. Sänd inte ( inhibitTransmission)2. Sänd ( includeLearning)3. Sändning enligt IEEE 802.1X ( compliant)"Dator" betyder i det här sammanhanget "Maskin" i andra referenser. compliant är standard i Windows och är det enda giltiga alternativet för trådlösa profiler. |
Avancerade säkerhetsinställningar > Enkel inloggning
I följande tabell beskrivs inställningarna för enkel inloggning (SSO), som tidigare kallades Pre-Logon Access Provider (PLAP).
| Inställning | XML-element | Beskrivning |
|---|---|---|
| Aktivera enkel inloggning för det här nätverket | singleSignOn | Anger om enkel inloggning är aktiverat för det här nätverket, med falsestandardvärdet . Använd singleSignOn inte i en profil om nätverket inte kräver det. |
| Utför omedelbart före användaren Utför omedelbart efter användaren |
typ | Anger när enkel inloggning ska utföras – antingen före eller efter att användaren har loggat in. |
| Max fördröjning för anslutning (sekunder) | maxfördröjning | Anger den maximala fördröjningen (i sekunder) innan SSO-försöket misslyckas, med 10standardvärdet . |
| Tillåt att ytterligare dialogrutor visas under enkel inloggning | allowAdditionalDialogs | Angav om EAP-dialogrutor skulle tillåtas att visas under enkel inloggning, med false. |
| Det här nätverket använder olika VLAN för autentisering med dator- och användarautentiseringsuppgifter | userBasedVirtualLan | Anger om det virtuella LAN (VLAN) som används av enheten ändras baserat på användarens autentiseringsuppgifter, med false. |
Konfigurationsinställningar för autentiseringsmetod
Försiktighet
Om en nätverksåtkomstserver är konfigurerad för att tillåta samma typ av autentiseringsmetod för en tunnlad EAP-metod (t.ex. PEAP) och en icke-tunnlad EAP-metod (t.ex. EAP-MSCHAP v2) finns det en potentiell säkerhetsrisk. När du distribuerar både en tunnlad EAP-metod och EAP (som inte är skyddad) ska du inte använda samma autentiseringstyp. Om du till exempel distribuerar PEAP-TLS ska du inte även distribuera EAP-TLS. Detta beror på att om du behöver skydd av tunneln, tjänar det inget syfte att tillåta att metoden utförs även utanför tunneln.
I följande tabell förklaras de konfigurerbara inställningarna för varje autentiseringsmetod.
De EAP-TLS inställningarna i användargränssnittet mappas till EapTlsConnectionPropertiesV1, som utökas av EapTlsConnectionPropertiesV2 och EapTlsConnectionPropertiesV3.
| Inställning | XML-element | Beskrivning |
|---|---|---|
| Använd mitt smartkort | CredentialsSource (AutentiseringsuppgifterKälla)>SmartCard-kort | Anger att klienter som gör autentiseringsbegäranden måste presentera ett smartkortscertifikat för nätverksautentisering. |
| Använda ett certifikat på den här datorn | CredentialsSource (AutentiseringsuppgifterKälla)>CertificateStore (på engelska) | Anger att autentiserande klienter måste använda ett certifikat som finns i certifikatarkiven Aktuell användare eller Lokal dator. |
| Använd enkelt certifikatval (rekommenderas) | SimpleCertSelection (på engelska) | Anger om Windows automatiskt väljer ett certifikat för autentisering utan användarinteraktion (om möjligt) eller om Windows visar en listruta där användaren kan välja ett certifikat. |
| Avancerad | Öppnar dialogrutan Konfigurera val av certifikat . | |
| Alternativ för servervalidering | ||
| Använd ett annat användarnamn för anslutningen | OlikaAnvändarnamn | Anger om ett användarnamn ska användas för autentisering som skiljer sig från användarnamnet i certifikatet. |
Nedan visas konfigurationsinställningarna för Konfigurera certifikatval. De här inställningarna definierar de kriterier som en klient använder för att välja lämpligt certifikat för autentisering. Det här användargränssnittet mappar till TLSExtensions>FilteringInfo.
| Inställning | XML-element | Beskrivning |
|---|---|---|
| Utfärdare av certifikat |
CAHashListaEnabled="true" |
Anger om filtrering av certifikatutfärdare är aktiverat. Om både certifikatutfärdare och utökad nyckelanvändning (EKU) är aktiverade anses endast de certifikat som uppfyller båda villkoren vara giltiga för att autentisera klienten till servern. |
| Rotcertifikatutfärdare | IssuerHash (på engelska) | Visar namnen på alla utfärdare för vilka det finns motsvarande certifikat från certifikatutfärdare (CA) i certifikatarkivet Betrodda rotcertifikatutfärdare eller Mellanliggande certifikatutfärdare för det lokala datorkontot. Detta omfattar: 1. Alla rotcertifikatutfärdare och mellanliggande certifikatutfärdare. I XML är detta SHA-1-tumavtrycket (hashen) för certifikatet. |
| Utökad nyckelanvändning (EKU) | Gör att du kan välja Alla syften, Klientautentisering, AnyPurpose eller en kombination av dessa. Anger att när en kombination väljs betraktas alla certifikat som uppfyller minst ett av de tre villkoren som giltiga certifikat för autentisering av klienten till servern. Om EKU-filtrering är aktiverat måste ett av alternativen väljas, annars avmarkeras kryssrutan Extended Key Usage (EKU). | |
| Alla ändamål | AllPurposeEnabled | När det här alternativet är markerat anger det att certifikat som har EKU för alla ändamål betraktas som giltiga certifikat för autentisering av klienten till servern. Objektidentifieraren (OID) för alla ändamål är 0 eller tom. |
| Klientautentisering |
ClientAuthEKUListEnabled="true"> ( EKUMapInList > EKUName) |
Anger att certifikat som har EKU för klientautentisering och den angivna listan över EKU:er anses vara giltiga certifikat för autentisering av klienten till servern. Objektidentifieraren (OID) för klientautentisering är 1.3.6.1.5.5.7.3.2. |
| Vilket syfte som helst |
AnyPurposeEKUListEnabled="true"> ( EKUMapInList > EKUName) |
Anger att alla certifikat som har AnyPurpose EKU och den angivna listan över EKU:er anses vara giltiga certifikat för autentisering av klienten till servern. Objektidentifieraren (OID) för AnyPurpose är 1.3.6.1.4.1.311.10.12.1. |
| Lägg till | EKUMapping > EKUMap > EKUName/EKUOID | Öppnar dialogrutan Välj EKU:er där du kan lägga till standard-, anpassade eller leverantörsspecifika EKU:er i listan Klientautentisering eller AnyPurpose . Om du väljer Lägg till eller Redigera i dialogrutan Välj EKU:er öppnas dialogrutan Lägg till/redigera EKU , som innehåller två alternativ: Om du till exempel anger |
| Redigera | Gör att du kan redigera anpassade EKU:er som du har lagt till. Det går inte att redigera fördefinierade standard-EKU:er. | |
| Ta bort | Tar bort den markerade EKU:n från listan Klientautentisering eller AnyPurpose . |
Validering av server
Många EAP-metoder innehåller ett alternativ för klienten att validera serverns certifikat. Om servercertifikatet inte verifieras kan klienten inte vara säker på att den kommunicerar med rätt server. Detta utsätter klienten för säkerhetsrisker, inklusive möjligheten att klienten omedvetet kan ansluta till ett falskt nätverk.
Anmärkning
Windows kräver att servercertifikatet har serverautentiserings-EKU . Objektidentifieraren (OID) för denna EKU är 1.3.6.1.5.5.7.3.1.
I följande tabell visas de servervalideringsalternativ som gäller för varje EAP-metod. Windows 11 uppdaterade servervalideringslogiken för att vara mer konsekvent (se Uppdaterat beteende för validering av servercertifikat i Windows 11). Om de står i konflikt beskriver beskrivningarna i följande tabell beteendet för Windows 10 och tidigare.
| Inställning | XML-element | Beskrivning |
|---|---|---|
| Verifiera serverns identitet genom att validera certifikatet | EAP-TLS: PerformServerValidation (PerformServerValidation) PÅLE: PerformServerValidation (PerformServerValidation) |
Det här objektet anger att klienten verifierar att servercertifikat som presenteras för klientdatorn har rätt signaturer, inte har upphört att gälla och har utfärdats av en betrodd rotcertifikatutfärdare (CA). Om du inaktiverar den här kryssrutan kommer klientdatorerna inte att kunna verifiera servrarnas identitet under autentiseringsprocessen. Om serverautentisering inte sker utsätts användarna för allvarliga säkerhetsrisker, inklusive möjligheten att användare omedvetet kan ansluta till ett falskt nätverk. |
| Anslut till dessa servrar | EAP-TLS: Validering> av serverServernamn PÅLE: Validering> av serverServernamn EAP-TTLS: Validering av server> Servernamn TEAP: Validering av server> Servernamn |
Gör att du kan ange namnet på RADIUS-servrar (Remote Authentication Dial-In User Service) som tillhandahåller nätverksautentisering och auktorisering. Du måste skriva namnet exakt som det står i ämnesfältet för varje RADIUS-servercertifikat eller använda reguljära uttryck (regex) för att ange servernamnet. Den fullständiga syntaxen för det reguljära uttrycket kan användas för att ange servernamnet, men om du vill skilja ett reguljärt uttryck från den literala strängen måste du använda minst ett i den angivna strängen Du kan också inkludera en Om inga RADIUS-servrar anges verifierar klienten endast att RADIUS-servercertifikatet har utfärdats av en betrodd rotcertifikatutfärdare. |
| Betrodda rotcertifikatutfärdare | EAP-TLS: Validering> av serverTrustedRootCA PÅLE: Validering> av serverTrustedRootCA EAP-TTLS: Validering av server> TrustedRootCAHashes TEAP: Validering av server> TrustedRootCAHashes |
Visar en lista över betrodda rotcertifikatutfärdare. Listan skapas av de betrodda rotcertifikatutfärdare som är installerade på datorn och i användarnas certifikatarkiv. Du kan ange vilka betrodda rotcertifikatutfärdarcertifikat som supplikanter använder för att avgöra om de litar på dina servrar, till exempel din server som kör NPS (Network Policy Server) eller din provisioneringsserver. Om inga betrodda rotcertifikatutfärdare har valts verifierar 802.1X-klienten att RADIUS-serverns datorcertifikat har utfärdats av en installerad betrodd rotcertifikatutfärdare. Om en eller flera betrodda rotcertifikatutfärdare väljs verifierar 802.1X-klienten att RADIUS-serverns datorcertifikat har utfärdats av en vald betrodd rotcertifikatutfärdare. Om inga betrodda rotcertifikatutfärdare har valts verifierar klienten att RADIUS-servercertifikatet har utfärdats av en betrodd rotcertifikatutfärdare. Om du har en PKI (Public Key Infrastructure) i nätverket och använder certifikatutfärdaren för att utfärda certifikat till RADIUS-servrarna, läggs certifikatutfärdarcertifikatet automatiskt till i listan över betrodda rotcertifikatutfärdare. Du kan också köpa ett CA-certifikat från en leverantör som inte kommer från Microsoft. Vissa betrodda rotcertifikatutfärdare som inte kommer från Microsoft tillhandahåller programvara med ditt köpta certifikat som automatiskt installerar det köpta certifikatet i certifikatarkivet för betrodda rotcertifikatutfärdare . I det här fallet visas den betrodda rotcertifikatutfärdaren automatiskt i listan över betrodda rotcertifikatutfärdare. Ange inte ett certifikat för betrodd rotcertifikatutfärdare som inte redan finns med i klientdatorernas certifikatarkiv Betrodda rotcertifikatutfärdare för aktuell användare och lokal dator. Om du anger ett certifikat som inte är installerat på klientdatorer misslyckas autentiseringen. I XML är detta SHA-1-tumavtrycket (hashen) för certifikatet (eller SHA-256 för TEAP). |
Användarprompt för servervalidering
I följande tabell visas de alternativ för användarprompter för servervalidering som gäller för varje EAP-metod. Dessa alternativ skulle användas, om det finns ett ej betrott servercertifikat, för att antingen:
- omedelbart misslyckas med anslutningen, eller
- Tillåt användaren att manuellt acceptera eller avvisa anslutningen.
| Inställning | XML-element |
|---|---|
| Uppmana inte användaren att auktorisera nya servrar eller betrodda certifikatutfärdare | Validering> av serverDisableUserPromptForServerValidation |
Förhindrar att användaren uppmanas att lita på ett servercertifikat om certifikatet är felaktigt konfigurerat, inte redan är betrott eller både och (om det är aktiverat). För att förenkla användarupplevelsen och förhindra att användare av misstag litar på en server som distribueras av en angripare rekommenderar vi att du markerar den här kryssrutan.
Konfigurationsinställningar för mobilautentisering
Följande listar konfigurationsinställningarna för EAP-SIM, EPA-AKA respektive EPA-AKA.
EAP-SIM definieras i RFC 4186. EAP Subscriber Identity Module (SIM) används för autentisering och distribution av sessionsnycklar med hjälp av 2:a generationens mobilnätverk Global System for Mobile Communications (GSM) Subscriber Identity Module (SIM).
De EAP-SIM inställningarna i användargränssnittet mappas till EapSimConnectionPropertiesV1.
| Objekt | XML-element | Beskrivning |
|---|---|---|
| Använd starka chiffernycklar | UseStrongCipherKeys (Använda StrongCipherKeys | Anger att om du väljer det här alternativet använder profilen stark kryptering. |
| Avslöja inte den riktiga identiteten för servern när pseudonymidentiteten är tillgänglig | DontRevealPermanentID | När det här alternativet är aktiverat tvingas klienten att misslyckas med autentiseringen om servern begär permanent identitet trots att klienten har en pseudonym identitet med sig. Pseudonyma identiteter används för identitetssekretess så att en användares faktiska eller permanenta identitet inte avslöjas under autentiseringen. |
| ProviderName (Leverantörsnamn) | Endast tillgängligt i XML, en sträng som anger det providernamn som tillåts för autentisering. | |
| Aktivera användning av sfärer |
Rike=true |
Här kan du skriva in sfärens namn. Om det här fältet lämnas tomt med Aktivera användning av sfärer markerat, härleds sfären från IMSI (International Mobile Subscriber Identity) med hjälp av sfären 3gpp.org, enligt beskrivningen i 3GPP-standarden (3rd Generation Partnership Project) 23.003 V6.8.0. |
| Ange en sfär | Rike | Här kan du skriva in namnet på en sfär. Om Aktivera användning av sfärer är aktiverat används den här strängen. Om det här fältet är tomt används den härledda sfären. |
WPA3-Enterprise 192-bitarsläge
WPA3-Enterprise 192-bitarsläge är ett speciellt läge för WPA3-Enterprise som ställer vissa höga säkerhetskrav på den trådlösa anslutningen för att ge minst 192 bitars säkerhet. Dessa krav överensstämmer med Commercial National Security Algorithm (CNSA) Suite, CNSSP 15, som är en uppsättning kryptografiska algoritmer som är godkända för att skydda klassificerad och topphemlig information av USA:s National Security Agency (NSA). 192-bitarsläge kan ibland kallas "Suite B-läge", vilket är en referens till NSA Suite B Cryptography-specifikationen, som ersattes av CNSA 2016.
Både WPA3-Enterprise- och WPA3-Enterprise 192-bitarsläge är tillgängliga från och med Windows 10 version 2004 (version 19041) och Windows Server 2022. WPA3-Enterprise pekades dock ut som en separat autentiseringsalgoritm i Windows 11. I XML anges detta i authEncryption-elementet .
I följande tabell visas de algoritmer som krävs av CNSA Suite.
| Algoritm | Beskrivning | Parameterar |
|---|---|---|
| Avancerad krypteringsstandard (AES) | Symmetriskt blockchiffer som används för kryptering | 256-bitars nyckel (AES-256) |
| Utbyte av ECDH-nycklar för elliptisk kurva Diffie-Hellman | Asymmetrisk algoritm som används för att upprätta en delad hemlighet (nyckel) | 384-bitars primtalsmodulkurva (P-384) |
| Elliptisk kurva digital signaturalgoritm (ECDSA) | Asymmetrisk algoritm som används för digitala signaturer | 384-bitars primtalsmodulkurva (P-384) |
| Säker Hashalgoritm (SHA) | Kryptografisk hash-funktion | SHA-384 |
| Utbyte av Diffie-Hellman (DH) nycklar | Asymmetrisk algoritm som används för att upprätta en delad hemlighet (nyckel) | 3072-bitars modul |
| Riv-Shamir-Adleman (RSA) | Asymmetrisk algoritm som används för digitala signaturer eller nyckeletablering | 3072-bitars modul |
I enlighet med CNSA kräver WPA3-Enterprise 192-bitarsläge att EAP-TLS används med följande chiffersviter med begränsningar:
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384- ECDHE och ECDSA med 384-bitars primtalsmodulkurva P-384
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384/TLS_DHE_RSA_AES_256_GCM_SHA384- ECDHE med hjälp av 384-bitars primtalsmodulkurvan P-384
- RSA >= 3072-bitars modul
Anmärkning
P-384 är också känd som secp384r1 or nistp384. Andra elliptiska kurvor, såsom P-521 är inte tillåtna.
SHA-384 ingår i SHA-2-familjen av hashfunktioner. Andra algoritmer och varianter, till exempel SHA-512 eller SHA3-384, är inte tillåtna.
Windows stöder endast sviterna TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 och TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 chiffer för WPA3-Enterprise 192-bitarsläge. Chiffersviten TLS_DHE_RSA_AES_256_GCM_SHA384 stöds inte.
TLS 1.3 använder nya förenklade TLS-sviter, som endast TLS_AES_256_GCM_SHA384 är kompatibla med WPA3-Enterprise 192-bitarsläge. Eftersom TLS 1.3 kräver (EC)DHE och tillåter ECDSA- eller RSA-certifikat, tillsammans med AES-256 AEAD- och SHA384-hash TLS_AES_256_GCM_SHA384 , motsvarar TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 och TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384.
RFC 8446 kräver dock att TLS 1.3-kompatibla program stöder P-256, vilket är förbjudet enligt CNSA. Därför kan WPA3-Enterprise 192-bitarsläge inte vara helt kompatibelt med TLS 1.3. Det finns dock inga kända interoperabilitetsproblem med TLS 1.3 och WPA3-Enterprise 192-bitarsläge.
Om du vill konfigurera ett nätverk för WPA3-Enterprise 192-bitarsläge EAP-TLS måste Windows användas med ett certifikat som uppfyller de krav som beskrivits tidigare i Windows.