Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Genişletilebilir Kimlik Doğrulama Protokolü (EAP), güvenli ağ erişim teknolojileri için farklı kimlik doğrulama yöntemlerinin kullanılmasına izin veren bir kimlik doğrulama çerçevesidir. Bu teknolojilere örnek olarak IEEE 802.1X kullanan kablosuz erişim, IEEE 802.1X kullanan kablolu erişim ve Sanal Özel Ağ (VPN) gibi Noktadan Noktaya Protokolü (PPP) bağlantıları verilebilir. EAP, MS-CHAP v2 gibi belirli bir kimlik doğrulama yöntemi değil, ağ satıcılarının erişim istemcisinde ve kimlik doğrulama sunucusunda EAP yöntemleri olarak bilinen yeni kimlik doğrulama yöntemleri geliştirmesini ve yüklemesini sağlayan bir çerçevedir. EAP çerçevesi başlangıçta RFC 3748 tarafından tanımlanır ve diğer çeşitli RFC'ler ve standartlar tarafından genişletilir.
Kimlik doğrulama yöntemleri
Tünellenmiş EAP yöntemleri içinde kullanılan EAP kimlik doğrulama yöntemleri genellikle iç yöntemler veya EAP türleri olarak bilinir. İç yöntemler olarak ayarlanan yöntemler, dış yöntem olarak kullanıldığındaki yapılandırma ayarlarıyla aynı yapılandırma ayarlarına sahiptir. Bu makale, EAP'de aşağıdaki kimlik doğrulama yöntemlerine özgü yapılandırma bilgilerini içerir.
EAP-Transport Katmanı Güvenliği (EAP-TLS): Karşılıklı kimlik doğrulama için sertifikalarla TLS kullanan standart tabanlı EAP yöntemi. Windows'ta Akıllı Kart veya başka bir Sertifika (EAP-TLS) olarak görünür. EAP-TLS başka bir EAP yöntemi için iç yöntem olarak veya tek başına bir EAP yöntemi olarak dağıtılabilir.
Tip
Sertifika tabanlı olan EAP-TLS kullanan EAP yöntemleri genellikle en yüksek güvenlik düzeyini sunar. Örneğin, EAP-TLS 192 bit modu için izin verilen tek EAP yöntemiWPA3-Enterprise.
EAP-Microsoft Sorgulama El Sıkışma Kimlik Doğrulama Protokolü sürüm 2 (EAP-MSCHAP v2): Kimlik doğrulaması için kullanıcı adı ve parola kullanan MSCHAP v2 kimlik doğrulama protokolünü kapsülleyen Microsoft tanımlı EAP yöntemi. Windows'ta Güvenli parola (EAP-MSCHAP v2) olarak görünür. EAP-MSCHAPv2 VPN için tek başına bir yöntem olarak kullanılabilir, ancak yalnızca kablolu/kablosuz bağlantılar için iç yöntem olarak kullanılabilir.
Warning
MSCHAPv2 tabanlı bağlantılar, NTLMv1 ile benzer saldırılara maruz kalır. Windows 11 Enterprise, sürüm 22H2 (derleme 22621) Windows Defender Credential Guard'ı etkinleştirir ve bu da MSCHAPv2 tabanlı bağlantılarla ilgili sorunlara neden olabilir.
Korumalı EAP (PEAP): EAP'ı bir TLS tüneli içinde kapsülleyen Microsoft tanımlı EAP yöntemi. TLS tüneli, aksi takdirde korumasız olabilecek iç EAP yönteminin güvenliğini sağlar. Windows, iç yöntemler olarak EAP-TLS ve EAP-MSCHAP v2'yi destekler.
EAP-Tunneled Aktarım Katmanı Güvenliği (EAP-TTLS): Bu , RFC 5281 tarafından açıklanmıştır, başka bir iç kimlik doğrulama mekanizması kullanarak karşılıklı kimlik doğrulaması gerçekleştiren bir TLS oturumu kapsüller. Bu iç yöntem, EAP-MSCHAP v2 gibi bir EAP protokolü veya Parola Doğrulama Protokolü (PAP) gibi EAP olmayan bir protokol olabilir. Windows Server 2012'de, EAP-TTLS'ın eklenmesi yalnızca istemci tarafında (Windows 8'de) destek sağlar. NPS şu anda EAP-TTLS desteklememektedir. İstemci desteği, EAP-TTLS'yi destekleyen, yaygın olarak dağıtılan RADIUS sunucularıyla birlikte çalışmayı sağlar.
EAP-Subscriber Kimlik Modülü (EAP-SIM), EAP-Authentication ve Anahtar Sözleşmesi (EAP-AKA) ve EAP-AKA Prime (EAP-AKA'): Bu, çeşitli RFC'ler tarafından açıklanır, SIM kartları kullanılarak kimlik doğrulamasına olanak tanır ve bir müşteri bir cep telefonu operatöründen kablosuz geniş bant hizmet planı satın aldığı zaman uygulanır. Planın bir parçası olarak, müşteri genellikle SIM kimlik doğrulaması için önceden yapılandırılmış bir kablosuz profil alır.
Tunnel EAP (TEAP): Bu, güvenli bir TLS tüneli oluşturan ve bu tünel içinde diğer EAP yöntemlerini yürüten rfc 7170 tünelli EAP yöntemi tarafından açıklanmıştır. EAP zincirlemeyi destekler - tek bir kimlik doğrulama oturumunda makinenin ve kullanıcının kimliğini doğrular. Windows Server 2022'de TEAP'in dahil edilmesi yalnızca istemci tarafı için destek sağlar - Windows 10, sürüm 2004 (derleme 19041). NPS şu anda TEAP'i desteklememektedir. İstemci desteği, TEAP'yi destekleyen yaygın olarak dağıtılan RADIUS sunucularıyla birlikte çalışmayı sağlar. Windows, iç yöntemler olarak EAP-TLS ve EAP-MSCHAP v2'yi destekler.
Aşağıdaki tabloda, bazı yaygın EAP yöntemleri ve bunların IANA tarafından atanan yöntem Türü numaraları listelenmektedir.
| EAP yöntemi | IANA tarafından atanan Tür numarası | Yerel Windows desteği |
|---|---|---|
| MD5-Challenge (EAP-MD5) | 4 | ❌ |
| One-Time Şifre (EAP-OTP) | 5 | ❌ |
| Jenerik Token Kartı (EAP-GTC) | 6 | ❌ |
| EAP-TLS | 13 | ✅ |
| EAP-SIM | 18 | ✅ |
| EAP-TTLS | 21 | ✅ |
| EAP-AKA | 23 | ✅ |
| PEAP | 25 | ✅ |
| EAP-MSCHAP v2 | 26 | ✅ |
| Korumalı One-Time Şifresi (EAP-POTP) | 32 | ❌ |
| EAP-FAST | 43 | ❌ |
| Ön Paylaşımlı Anahtar (EAP-PSK) | 47 | ❌ |
| EAP-IKEv2 | 49 | ❌ |
| EAP-AKA' | 50 | ✅ |
| EAP-EKE | 53 | ❌ |
| TEAP | 55 | ✅ |
| EAP-NOOB | 56 | ❌ |
EAP özelliklerini yapılandırma
802.1X kimlik doğrulamalı kablolu ve kablosuz erişim için EAP özelliklerine aşağıdaki yollarla erişebilirsiniz:
- Grup İlkesi'nde Kablolu Ağ (IEEE 802.3) İlkeleri'ni ve Kablosuz Ağ (IEEE 802.11) İlkeleri uzantılarını yapılandırma.
- Bilgisayar Yapılandırması>Koşullarıdır>Windows Ayarları>Güvenlik Ayarları
- Intune (Wi-Fi/Kablolu) gibi Mobil Cihaz Yönetimi (MDM) yazılımını kullanma
- İstemci bilgisayarlarda kablolu veya kablosuz bağlantıları el ile yapılandırma.
Sanal özel ağ (VPN) bağlantıları için EAP özelliklerine aşağıdaki yollarla erişebilirsiniz:
- Intune gibi Mobil Cihaz Yönetimi (MDM) yazılımını kullanma
- İstemci bilgisayarlarda VPN bağlantılarını el ile yapılandırma.
- VPN bağlantılarını yapılandırmak için Bağlantı Yöneticisi Yönetim Paketi'ni (CMAK) kullanma.
EAP özelliklerini yapılandırma hakkında daha fazla bilgi için bkz: Windows'ta EAP profillerini ve ayarlarını yapılandırma.
EAP için XML profilleri
Farklı bağlantı türleri için kullanılan profiller, bu bağlantı için yapılandırma seçeneklerini içeren XML dosyalarıdır. Her farklı bağlantı türü belirli bir şemayı izler:
Ancak, EAP kullanmak üzere yapılandırıldığında, her profil şemasının bir alt öğesi EapHostConfig öğesi vardır.
- Wired/Wireless:
EapHostConfigEAPConfig öğesinin alt öğesidir. MSM > güvenliği (Kablolu/,Kablosuz) >OneX> EAPConfig - VPN:
EapHostConfigNativeProfile > Kimlik Doğrulaması Eap > Yapılandırması'nın > alt öğesidir
Bu yapılandırma sözdizimi, Grup İlkesi: Kablosuz/Kablolu Protokol Uzantısı belirtiminde tanımlanmıştır.
Note
Çeşitli yapılandırma GUI'leri her zaman teknik olarak mümkün olan her seçeneği göstermez. Örneğin, Windows Server 2019 ve önceki sürümler kullanıcı arabiriminde TEAP'i yapılandıramaz. Ancak, daha önce yapılandırılmış olan bir XML profilini içeri aktarmak genellikle mümkündür.
Makalenin geri kalanında, Grup İlkesi/Denetim Masası kullanıcı arabiriminin EAP'ye özgü bölümleri ile XML yapılandırma seçenekleri arasında bir eşleme sağlamak ve ayarın açıklamasını sağlamak amaçlanmıştır.
XML profillerini yapılandırma hakkında daha fazla bilgi XML Profilleri'nde bulunabilir. EAP ayarlarını içeren bir XML profili kullanma örneği , Web sitesi aracılığıyla Wi-Fi profili sağlama bölümünde bulunabilir.
Güvenlik ayarları
Aşağıdaki tabloda, 802.1X kullanan bir profil için yapılandırılabilir güvenlik ayarları açıklanmaktadır. Bu ayarlar OneX ile eşlenmiştir.
| Setting | XML element | Description |
|---|---|---|
| Bir ağ kimlik doğrulama yöntemi seçin: | EAPConfig | Kimlik doğrulaması için kullanılacak EAP yöntemini seçmenizi sağlar. Bkz. Kimlik doğrulama yöntemi konfigürasyon ayarları ve Hücresel kimlik doğrulama konfigürasyon ayarları |
| Properties | Seçili EAP yöntemi için özellikler iletişim kutusunu açar. | |
| Kimlik Doğrulama Modu | authMode | Kimlik doğrulaması için kullanılan kimlik bilgilerinin türünü belirtir. Aşağıdaki değerler desteklenir: 1. Kullanıcı veya bilgisayar kimlik doğrulaması 2. Bilgisayar kimlik doğrulaması 3. Kullanıcı kimlik doğrulaması 4. Misafir kimlik doğrulaması "Bilgisayar", bu bağlamda, diğer referanslarda "Makine" anlamına gelir. machineOrUser Windows'ta varsayılandır. |
| En fazla kimlik doğrulama hatası | maxAuthFailures | Bir kimlik bilgileri kümesi için izin verilen en fazla kimlik doğrulama hatası sayısını belirtir (varsayılan olarak 1. |
| Bu ağa daha sonraki bağlantılar için kullanıcı bilgilerini önbelleğe alın | cacheUserData | Kullanıcının kimlik bilgilerinin, aynı ağa yapılan sonraki bağlantılar için önbelleğe alınıp alınmayacağını belirtir (varsayılan olarak true. |
Gelişmiş güvenlik ayarları > IEEE 802.1X
Gelişmiş 802.1X ayarlarını zorla seçeneği işaretliyse, aşağıdaki ayarların tümü yapılandırılır. İşaretli değilse, varsayılan ayarlar geçerli olur. XML'de, tüm öğeler isteğe bağlıdır ve mevcut olmadıklarında varsayılan değerler kullanılır.
| Setting | XML element | Description |
|---|---|---|
| Maksimum Eapol-Start Mesaj | maxStart | İstek sahibi (Windows istemcisi) kimlik doğrulayıcı olmadığını varsaymadan önce kimlik doğrulayıcıya (RADIUS sunucusu) gönderilebilecek en fazla EAPOL-Start iletisi sayısını belirtir (varsayılan olarak 3. |
| Başlangıç Dönemi (saniye) | startPeriod | 802.1X kimlik doğrulama işlemini başlatmak için bir EAPOL-Start iletisi gönderilmeden önce beklenecek süreyi (saniye cinsinden) belirtir (varsayılan 5olarak . |
| Bekletme Süresi (saniye) | heldPeriod | Başarısız bir kimlik doğrulama girişiminden sonra kimlik doğrulamayı yeniden denemek için beklenecek süreyi (saniye cinsinden) belirtir (varsayılan 1olarak . |
| Yetkilendirme Süresi (saniye) | authPeriod | Kimlik doğrulayıcı olmadığını varsaymadan önce kimlik doğrulayıcıdan (RADIUS sunucusu) yanıt beklenecek süreyi (saniye cinsinden) belirtir (varsayılan 18olarak . |
| İletiyi Eapol-Start | supplicantMode | EAPOL-Start iletiler için kullanılan iletim yöntemini belirtir. Aşağıdaki değerler desteklenir: 1. İletme ( inhibitTransmission)2. İletim ( includeLearning)3. IEEE 802.1X'e göre iletim ( compliant)"Bilgisayar", bu bağlamda, diğer referanslarda "Makine" anlamına gelir. compliant Windows'ta varsayılan ayardır ve kablosuz profiller için tek geçerli seçenektir. |
Gelişmiş güvenlik ayarları > Çoklu Oturum Açma
Aşağıdaki tabloda , daha önce Oturum Açma Öncesi Erişim Sağlayıcısı (PLAP) olarak bilinen Çoklu Oturum Açma (SSO) ayarları açıklanmaktadır.
| Setting | XML element | Description |
|---|---|---|
| Bu ağ için Çoklu Oturum Açma'yı etkinleştir | singleSignOn | SSO'nun bu ağ için etkinleştirilip etkinleştirilmediğini belirtir (varsayılan olarak false. Ağ gerektirmiyorsa bir profilde kullanmayın singleSignOn . |
| Kullanıcıdan hemen önce gerçekleştirin Kullanıcıdan hemen sonra gerçekleştirin |
type | SSO'nun ne zaman gerçekleştirilmesi gerektiğini belirtir - kullanıcı oturum açmadan önce veya sonra. |
| Bağlantı için maksimum gecikme (saniye) | maxDelay | SSO girişimi başarısız olmadan önceki en uzun gecikmeyi (saniye cinsinden) belirtir ve varsayılan olarak 10. |
| Çoklu Oturum Açma sırasında ek iletişim kutularının görüntülenmesine izin ver | allowAdditionalDialogs | SSO sırasında EAP iletişim kutularının görüntülenmesine izin verilip verilmeyeceği belirtildi ve varsayılan olarak false. |
| Bu ağ, makine ve kullanıcı kimlik bilgileriyle kimlik doğrulama için farklı VLAN kullanır | userBasedVirtualLan | Cihaz tarafından kullanılan sanal LAN'ın (VLAN) kullanıcının kimlik bilgilerine göre değişip değişmediğini belirtir (varsayılan olarak false. |
Kimlik doğrulama yöntemi yapılandırma ayarları
Caution
Ağ Erişim Sunucusu, tünellenmiş bir EAP yöntemi (PEAP gibi) ve tünellenmemiş bir EAP yöntemi (EAP-MSCHAP v2 gibi) için aynı kimlik doğrulama yöntemi türüne izin verecek şekilde yapılandırılmışsa olası bir güvenlik açığı vardır. Hem tünellenmiş bir EAP yöntemini hem de EAP'yi (korumalı olmayan) dağıttığınızda, aynı kimlik doğrulama türünü kullanmayın. Örneğin, PEAP-TLS dağıtırsanız, EAP-TLS de dağıtmayın çünkü tünelin korunmasına ihtiyacınız varsa, yöntemin tünelin dışında yürütülmesine de izin verme amacı yoktur.
Aşağıdaki tabloda, her kimlik doğrulama yöntemi için yapılandırılabilir ayarlar açıklanmaktadır.
Kullanıcı arabirimindeki EAP-TLS ayarları, EapTlsConnectionPropertiesV2 ve EapTlsConnectionPropertiesV3 tarafından genişletilen EapTlsConnectionPropertiesV1 ile eşlenir.
| Setting | XML element | Description |
|---|---|---|
| Akıllı kartımı kullan | CredentialsSource>SmartCard | Kimlik doğrulama isteğinde bulunan istemcilerin ağ kimlik doğrulaması için bir akıllı kart sertifikası sunması gerektiğini belirtir. |
| Bu bilgisayarda bir sertifika kullan | CredentialsSource>CertificateStore | Kimlik doğrulama istemcilerinin Geçerli Kullanıcı veya Yerel Bilgisayar sertifika depolarında bulunan bir sertifika kullanması gerektiğini belirtir. |
| Basit sertifika seçimi kullan (Önerilen) | SimpleCertSelection | Windows'un kullanıcı etkileşimi olmadan kimlik doğrulaması için otomatik olarak bir sertifika seçeceğini (mümkünse) veya Windows'un kullanıcının sertifika seçmesi için bir açılan liste gösterip göstermediğini belirtir. |
| Advanced | Sertifika Seçimini Yapılandır iletişim kutusunu açar. | |
| Sunucu doğrulama seçenekleri | ||
| Bağlantı için farklı bir kullanıcı adı kullanın | DifferentUsername | Kimlik doğrulaması için sertifikadaki kullanıcı adından farklı bir kullanıcı adı kullanılıp kullanılmayacağını belirtir. |
Aşağıda, Sertifika Seçimini Yapılandır için yapılandırma ayarları listelenmiştir. Bu ayarlar, istemcinin kimlik doğrulaması için uygun sertifikayı seçmek için kullandığı ölçütleri tanımlar. Bu kullanıcı arabirimi TLSExtensions>FilteringInfo ile eşleniyor.
| Setting | XML element | Description |
|---|---|---|
| Sertifika Veren |
CAHashListEnabled="true" |
Sertifika Veren filtrelemesinin etkinleştirilip etkinleştirilmediğini belirtir. Hem Sertifika Veren hem de Genişletilmiş Anahtar Kullanımı (EKU) etkinse, istemcinin sunucuya kimliğini doğrulamak için yalnızca her iki koşulu karşılayan sertifikalar geçerli kabul edilir. |
| Kök Sertifika Yetkilileri | IssuerHash | Yerel bilgisayar hesabının Güvenilen Kök Sertifika Yetkilileri veya Ara Sertifika Yetkilileri sertifika deposunda karşılık gelen sertifika yetkilisi (CA) sertifikalarının bulunduğu tüm sertifika verenlerin adlarını listeler. Buna şunlar dahildir: XML'de bu, sertifikanın SHA-1 parmak izidir (karma). |
| Genişletilmiş Anahtar Kullanımı (EKU) | Tüm Amaçlı, İstemci Kimlik Doğrulaması, AnyPurpose veya bunların herhangi bir bileşimini seçmenize olanak tanır. Bir birleşim seçildiğinde, üç koşuldan en az birini karşılayan tüm sertifikaların, istemcinin sunucuda kimliğini doğrulamak için geçerli sertifikalar olarak kabul edileceğini belirtir. EKU filtreleme etkinleştirildiyse, seçeneklerden biri seçilmelidir, aksi takdirde Genişletilmiş Anahtar Kullanımı (EKU) onay kutusu işaretsiz hale gelir. | |
| Tüm Amaçlar | AllPurposeEnabled | Bu öğe seçildiğinde, Tüm Amaçlı EKU'ya sahip sertifikaların istemcinin sunucuya kimliğini doğrulamak için geçerli sertifikalar olarak kabul edildiğini belirtir.
Tüm Amaçlar0 için Nesne Tanımlayıcısı (OID) veya boş. |
| İstemci Kimlik Doğrulaması |
ClientAuthEKUListEnabled="true" (> EKUMapInList > EKUName) |
İstemci Kimlik Doğrulaması EKU'sunun olduğu sertifikaların ve belirtilen EKU listesinin istemcinin sunucuya kimliğini doğrulamak için geçerli sertifikalar olarak kabul edildiğini belirtir.
İstemci Kimlik Doğrulaması için Nesne Tanımlayıcısı (OID) şeklindedir1.3.6.1.5.5.7.3.2. |
| AnyPurpose |
AnyPurposeEKUListEnabled="true" (> EKUMapInList > EKUName) |
AnyPurpose EKU'ya ve belirtilen EKU listesine sahip tüm sertifikaların, istemcinin sunucuya kimliğini doğrulamak için geçerli sertifikalar olarak kabul edildiğini belirtir.
AnyPurpose için Nesne Tanımlayıcısı (OID) şeklindedir1.3.6.1.4.1.311.10.12.1. |
| Add | EKUMapping > EKUMap > EKUName/EKUOID |
İstemci Kimlik Doğrulaması veya AnyPurpose listesine standart, özel veya satıcıya özgü EKU'lar eklemenize olanak tanıyan EKU'ları seçin iletişim kutusunu açar. EKU Seç iletişim kutusunda Ekle veya Düzenle'yi seçtiğinizde, eku ekle/düzenle iletişim kutusu açılır ve iki seçenek sağlanır: 1. EKU'nun adını girin - Özel EKU'nun adını yazmak için bir yer sağlar. 2. EKU OID'yi girin - EKU için OID'nin yazılacağı bir yer sağlar. Yalnızca sayısal rakamlara, ayırıcılara ve . izin verilir. Joker karakterlere izin verilir ve bu durumda hiyerarşideki tüm alt OID'lere izin verilir. Örneğin, girmek 1.3.6.1.4.1.311.* ve 1.3.6.1.4.1.311.42için 1.3.6.1.4.1.311.42.2.1 izin verir. |
| Edit | Eklediğiniz özel EKU'ları düzenlemenizi sağlar. Varsayılan, önceden tanımlanmış EKU'lar düzenlenemez. | |
| Remove | Seçilen EKU'ları İstemci Kimlik Doğrulaması veya Herhangi BiriPopolar listesinden kaldırır. |
Sunucu sertifikası doğrulaması
Birçok EAP yöntemi, istemcinin sunucunun sertifikasını doğrulaması için bir seçenek içerir. Sunucu sertifikası doğrulanmamışsa, istemci doğru sunucuyla iletişim kurduğundan emin olamaz. Bu, istemciyi bilmeden hileli bir ağa bağlanma olasılığı da dahil olmak üzere güvenlik risklerine maruz bırakır.
Note
Windows için sunucu sertifikasının Sunucu Kimlik Doğrulaması EKU'sunun olması gerekir. Bu EKU için nesne tanımlayıcısı (OID) şudur: 1.3.6.1.5.5.7.3.1.
Aşağıdaki tabloda, her EAP yöntemi için geçerli olan sunucu doğrulama seçenekleri listelenmektedir. Windows 11, sunucu doğrulama mantığını daha tutarlı olacak şekilde güncelleştirdi. Daha fazla bilgi edinmek için bkz. Windows 11'de güncelleştirilmiş sunucu sertifikası doğrulama davranışı. Çakışmaları durumunda, aşağıdaki tabloda yer alan açıklamalar Windows 10 ve önceki sürümlerin davranışını açıklar.
| Setting | XML element | Description |
|---|---|---|
| Sertifikayı doğrulayarak sunucunun kimliğini doğrulayın | EAP-TLS: PerformServerValidation PEAP: PerformServerValidation |
Bu öğe, istemcinin istemci bilgisayara sunulan sunucu sertifikalarının aşağıdakilere sahip olduğunu doğruladığını belirtir: Bu onay kutusunun devre dışı bırakılması, istemci bilgisayarların kimlik doğrulama işlemi sırasında sunucularınızın kimliğini doğrulayamamasına neden olur. Sunucu kimlik doğrulaması gerçekleşmezse, kullanıcılar, bilmeden sahte bir ağa bağlanma olasılığı da dahil olmak üzere ciddi güvenlik risklerine maruz kalır. |
| Bu sunuculara bağlanın | EAP-TLS: ServerValidation>Sunucu Adları PEAP: ServerValidation>Sunucu Adları EAP-TTLS: ServerValidation> ServerNames TEAP: ServerValidation> ServerNames |
Ağ kimlik doğrulaması ve yetkilendirmesi sağlayan Uzaktan Kimlik Doğrulama Arayan Kullanıcı Hizmeti (RADIUS) sunucularının adını belirtmenizi sağlar. Adı , her RADIUS sunucu sertifikasının konu alanında göründüğü gibi yazmanız veya sunucu adını belirtmek için normal ifadeleri (regex) kullanmanız gerekir. Normal ifadenin tam sözdizimi, sunucu adını belirtmek için kullanılabilir, ancak normal bir ifadeyi değişmez değer dizesiyle ayırt etmek için, belirtilen dizede en az bir * tane kullanmanız gerekir. Örneğin, nps.*\.example\.com RADIUS sunucusunu nps1.example.com veya nps2.example.com. Birden çok sunucuyu ayırmak için bir ; sunucu da ekleyebilirsiniz.Hiçbir RADIUS sunucusu belirtilmezse, istemci yalnızca RADIUS sunucu sertifikasının güvenilen bir kök CA tarafından verildiğini doğrular. |
| Güvenilen Kök Sertifika Yetkilileri | EAP-TLS: ServerValidation>TrustedRootCA PEAP: ServerValidation>TrustedRootCA EAP-TTLS: ServerValidation> TrustedRootCAHashes TEAP: ServerValidation> TrustedRootCAHashes |
Güvenilen kök sertifika yetkililerini listeler. Liste, bilgisayarda ve kullanıcı sertifikası depolarında yüklü olan güvenilen kök CA'lardan oluşturulur. İstek sahiplerinin, Ağ İlkesi Sunucusu (NPS) çalıştıran sunucunuz veya sağlama sunucunuz gibi sunucularınıza güvenip güvenmediklerini belirlemek için hangi güvenilen kök CA sertifikalarını kullanacağını belirtebilirsiniz. Güvenilen kök CA'lar seçilmezse, 802.1X istemcisi RADIUS sunucusunun bilgisayar sertifikasının yüklü bir güvenilen kök CA tarafından verildiğini doğrular. Bir veya birden çok güvenilen kök CA seçilirse, 802.1X istemcisi RADIUS sunucusunun bilgisayar sertifikasının seçili bir güvenilen kök CA tarafından verildiğini doğrular. Güvenilen kök CA seçilmezse, istemci RADIUS sunucu sertifikasının herhangi bir güvenilen kök CA tarafından verildiğini doğrular. Ağınızda bir ortak anahtar altyapısı (PKI) varsa ve RADIUS sunucularınıza sertifika vermek için CA'nızı kullanıyorsanız, CA sertifikanız otomatik olarak güvenilen kök CA'lar listesine eklenir. CA sertifikasını, Microsoft dışı bir satıcıdan da satın alabilirsiniz. Microsoft'a ait olmayan bazı güvenilen kök CA'lar, satın aldığınız sertifikayla birlikte satın alınan sertifikayı Güvenilen Kök Sertifika Yetkilileri sertifika deposuna otomatik olarak yükleyen bir yazılım sağlar. Bu durumda, güvenilen kök CA otomatik olarak güvenilen kök CA'lar listesinde görünür. İstemci bilgisayarların Geçerli Kullanıcı ve Yerel Bilgisayar için Güvenilen Kök Sertifika Yetkilileri sertifika depolarında listelenmeyen bir güvenilen kök CA sertifikası belirtmeyin. İstemci bilgisayarlarda yüklü olmayan bir sertifika belirlerseniz, kimlik doğrulaması başarısız olur. XML'de bu, sertifikanın (veya TEAP için SHA-256) SHA-1 parmak izidir (karma). |
Sunucu doğrulama kullanıcı istemi
Aşağıdaki tabloda, her EAP yöntemi için kullanılabilen sunucu doğrulama kullanıcı istemi seçenekleri açıklanmaktadır. Bir sunucu sertifikasına güvenilmezse, bu seçenekler şunların yapılıp yapılmayacağını belirler:
- Bağlantı hemen başarısız olur.
- Kullanıcıdan bağlantıyı el ile kabul etme veya reddetmesi istenir.
| Setting | XML element |
|---|---|
| Kullanıcıdan yeni sunucuları veya güvenilen sertifika yetkililerini yetkilendirmesini isteme | ServerValidation>DisableUserPromptForServerValidation |
Sertifika yanlış yapılandırılmışsa, zaten güvenilmiyorsa veya her ikisi de (etkinleştirilmişse) bir sunucu sertifikasına güvenmesinin istenmesini engeller. Kullanıcı deneyimini basitleştirmek ve kullanıcıların bir saldırgan tarafından dağıtılan bir sunucuya yanlışlıkla güvenmesini önlemek için bu onay kutusunu seçmeniz önerilir.
Hücresel kimlik doğrulama konfigürasyon ayarları
Aşağıda sırasıyla EAP-SIM, EPA-AKA ve EPA-AKA' için yapılandırma ayarları listelenmiştir.
EAP-SIM RFC 4186'da tanımlanır. EAP Abone Kimlik Modülü (SIM), 2. nesil mobil ağ Global System for Mobile Communications (GSM) Abone Kimlik Modülü (SIM) kullanılarak kimlik doğrulama ve oturum anahtarı dağıtımı için kullanılır.
Kullanıcı arabirimindeki EAP-SIM ayarları EapSimConnectionPropertiesV1 ile eşlenir.
| Item | XML element | Description |
|---|---|---|
| Güçlü şifre anahtarları kullanın | UseStrongCipherKeys | Seçilirse, profilin güçlü şifreleme kullanacağını belirtir. |
| Takma ad kimliği mevcut olduğunda sunucuya gerçek kimliği açıklamayın | DontRevealPermanentID | Etkinleştirildiğinde, istemcinin yanında bir takma ad kimliği olmasına rağmen sunucu kalıcı kimlik isterse, istemciyi kimlik doğrulamasında başarısız olmaya zorlar. Takma ad kimlikleri, kimlik gizliliği için kullanılır, böylece bir kullanıcının gerçek veya kalıcı kimliği kimlik doğrulaması sırasında ortaya çıkmaz. |
| ProviderName | Yalnızca XML'de, kimlik doğrulaması için izin verilen sağlayıcı adını belirten bir dize olarak kullanılabilir. | |
| Bölgelerin kullanımını etkinleştirme |
Bölge=true |
Bölge adının yazılacağı bir yer sağlar. Bu alan Bölgelerin kullanımını etkinleştir seçiliyken boş bırakılırsa, bölge, 3. Nesil Ortaklık Projesi (3GPP) standardı 23.003 V6.8.0'da açıklandığı gibi bölge 3gpp.org kullanılarak Uluslararası Mobil Abone Kimliği'nden (IMSI) türetilir. |
| Bir bölge belirtin | Realm | Bölge adı yazmak için bir yer sağlar. Bölgelerin kullanımını etkinleştir etkinleştirilirse, bu dize kullanılır. Bu alan boşsa, türetilmiş bölge kullanılır. |
WPA3-Enterprise 192 bit modu
WPA3-Enterprise 192 bit modu, en az 192 bit güvenlik sağlamak için kablosuz bağlantıda belirli yüksek güvenlik gereksinimlerini zorlayan WPA3-Enterprise için özel bir moddur. Bu gereksinimler, Amerika Birleşik Devletleri Ulusal Güvenlik Ajansı (NSA) tarafından gizli ve çok gizli bilgileri korumak için onaylanan bir dizi şifreleme algoritması olan Ticari Ulusal Güvenlik Algoritması (CNSA) Paketi, CNSSP 15 ile uyumludur. 192 bit modu bazen, 2016 yılında CNSA tarafından değiştirilen NSA Suite B Kriptografi spesifikasyonuna bir referans olan "Suite B modu" olarak adlandırılabilir.
Hem WPA3-Enterprise hem de WPA3-Enterprise 192 bit modu, Windows 10, sürüm 2004 (derleme 19041) ve Windows Server 2022'den itibaren kullanılabilir. Ancak WPA3-Enterprise, Windows 11'de ayrı bir kimlik doğrulama algoritması olarak seçildi. XML'de bu, authEncryption öğesinde belirtilir.
Aşağıdaki tabloda, CNSA Suite için gereken algoritmalar listelenmektedir.
| Algorithm | Description | Parameters |
|---|---|---|
| Gelişmiş Şifreleme Standardı (AES) | Şifreleme için kullanılan simetrik blok şifresi | 256 bit anahtar (AES-256) |
| Eliptik Eğri Diffie-Hellman (ECDH) Anahtar Değişimi | Paylaşılan bir sır (anahtar) oluşturmak için kullanılan asimetrik algoritma | 384 bit asal modül eğrisi (P-384) |
| Eliptik Eğri Dijital İmza Algoritması (ECDSA) | Dijital imzalar için kullanılan asimetrik algoritma | 384 bit asal modül eğrisi (P-384) |
| Güvenli Karma Algoritması (SHA) | Kriptografik hash fonksiyonu | SHA-384 |
| Diffie-Hellman (DH) Anahtar Değişimi | Paylaşılan bir sır (anahtar) oluşturmak için kullanılan asimetrik algoritma | 3072 bit modül |
| Rivest-Shamir-Adleman (RSA) | Dijital imzalar veya anahtar oluşturma için kullanılan asimetrik algoritma | 3072 bit modül |
CNSA gereksinimlerine uymak için WPA3-Enterprise 192 bit modu, bu kısıtlı şifreleme paketleriyle EAP-TLS kullanımını zorunlu kıldı:
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384- 384 bit asal modül eğrisi P-384 kullanan ECDHE ve ECDSA
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384/TLS_DHE_RSA_AES_256_GCM_SHA384384 bit asal modül eğrisi P-384 kullanan ECDHE
RSA >= 3072 bit modülü
Note
P-384 ayrıca veya secp384r1olarak nistp384 da bilinir. P-521 gibi diğer üç nokta eğrilerine izin verilmez.
SHA-384, SHA-2 hash fonksiyonları ailesindendir. SHA-512 veya SHA3-384 gibi diğer algoritmalara ve değişkenlere izin verilmez.
Windows, WPA3-Enterprise 192 bit modu için yalnızca TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 ve TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 şifre paketlerini destekler. Şifre TLS_DHE_RSA_AES_256_GCM_SHA384 paketi desteklenmiyor.
TLS 1.3, yalnızca TLS_AES_256_GCM_SHA384 WPA3-Enterprise 192 bit moduyla uyumlu olan yeni basitleştirilmiş TLS paketlerini kullanır. TLS 1.3, (EC)DHE gerektirdiğinden ve AES-256 AEAD ve SHA384 karması ile birlikte ECDSA veya RSA sertifikalarına izin verdiğinden, TLS_AES_256_GCM_SHA384 ve TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384ile TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 eşdeğerdir. Ancak RFC 8446 , TLS 1.3 uyumlu uygulamaların CNSA tarafından yasaklanan P-256'yı desteklemesini gerektirir. Bu nedenle, WPA3-Enterprise 192 bit modu TLS 1.3 ile tam olarak uyumlu olamaz. Ancak, TLS 1.3 ve WPA3-Enterprise 192 bit modunda bilinen bir birlikte çalışabilirlik sorunu yoktur.
Bir ağı 192 bit moduna WPA3-Enterprise yapılandırmak için, WindowsEAP-TLS daha önce açıklanan gereksinimleri karşılayan bir sertifikayla kullanılması gerekir.