Параметры проверки подлинности для VPN

• Применяется к:

  ✅ Windows 11, ✅ Windows 10

В дополнение к старым и менее безопасным методам проверки подлинности с паролем (которых следует избегать), встроенное решение VPN использует протокол EAP для безопасной проверки подлинности на основе сертификатов и на основе имени пользователя и пароля. Вы можете настроить проверку подлинности на основе EAP, только выбрав встроенный тип VPN (IKEv2, L2TP, PPTP или автоматический).

Windows поддерживает различные методы проверки подлинности EAP.

• протокол проверки подлинности EAP-Microsoft challenge Handshake Authentication Protocol версии 2 (EAP-MSCHAPv2):

  • Проверка подлинности на основе имени пользователя и пароля
  • Учетные данные Winlogon — можно настроить проверку подлинности с помощью учетных данных компьютера

• безопасность уровня EAP-Transport (EAP-TLS):

  • Поддерживает следующие типы проверки подлинности сертификатов:

    • Сертификат с ключами в программном поставщике хранилища ключей (KSP)
    • Сертификат с ключами в KSP доверенного платформенного модуля (TPM)
    • Сертификаты смарт-карта
    • Сертификат Windows Hello для бизнеса

  • Фильтрация сертификатов:

    • Фильтрацию сертификатов можно включить для поиска определенного сертификата, который будет использоваться для проверки подлинности
    • Фильтрация может быть на основе издателя или расширенного использования ключа (EKU)

  • Проверка сервера— при использовании ПРОТОКОЛА TLS проверка сервера может быть включена или отключена:

    • Имя сервера — укажите сервер для проверки
    • Сертификат сервера — доверенный корневой сертификат для проверки подлинности сервера
    • Уведомление — укажите, увидит ли пользователь уведомление с вопросом о том, нужно ли доверять серверу

• Защищенный протокол расширенной проверки подлинности (PEAP):

  • Проверка сервера— с помощью PEAP проверка сервера может быть включена или отключена:

    • Имя сервера — укажите сервер для проверки
    • Сертификат сервера — доверенный корневой сертификат для проверки подлинности сервера
    • Уведомление — укажите, увидит ли пользователь уведомление с вопросом о том, нужно ли доверять серверу

  • Внутренний метод — внешний метод создает защищенный туннель внутри, а внутренний метод используется для завершения проверки подлинности:

    • EAP-MSCHAPv2
    • EAP-TLS

  • Быстрое переподключение: сокращает задержку между запросом на проверку подлинности клиента и ответом сервера политики сети (NPS) или другого сервера RADIUS. Это снижает требования к ресурсам для клиента и сервера, а также уменьшает число запросов учетных данных у пользователей.

  • Шифрование. Наследуя и обменяя значениями из материала ключа этапа 1 PEAP (ключ туннеля) и из материала ключа внутреннего ключа метода PEAP этапа 2 EAP (внутренний ключ сеанса), можно доказать, что две проверки подлинности завершаются в одних и том же двух сущностях (одноранговый сервер PEAP и сервер PEAP). Этот процесс называется "привязкой с шифрованием" и используется для защиты согласования PEAP от атак типа "злоумышленник в середине".

• Протокол TTLS

  • Внутренний метод
    • Не EAP
      • Протокол PAP
      • CHAP
      • MSCHAP
      • MSCHAPv2
    • EAP
      • MSChapv2
      • TLS
  • Проверка сервера: в TTLS сервер должен быть проверен. Следующие параметры можно настроить.
    • Имя сервера
    • Доверенный корневой сертификат для сертификата сервера
    • Следует ли отправлять уведомление о проверке сервера

Для подключаемого модуля UWP VPN поставщик приложения управляет используемым методом проверки подлинности. Можно использовать следующие типы учетных данных:

• смарт-карта;
• сертификат;
• Windows Hello для бизнеса;
• имя пользователя и пароль;
• одноразовый пароль;
• пользовательский тип учетных данных.

Настройка проверка подлинности

Конфигурацию XML для EAP см. в разделе Конфигурация EAP.

Примечание.

Чтобы настроить проверку подлинности Windows Hello для бизнеса, выполните действия, описанные в разделе Конфигурация EAP для создания сертификата смарт-карты. Дополнительные сведения о Windows Hello для бизнеса..

На следующем изображении показано поле для EAP XML в профиле VPN решения Microsoft Intune. Поле EAP XML отображается только при выборе встроенного типа подключения (автоматический, IKEv2, L2TP, PPTP).

Связанные темы

• Технический справочник по VPN
• Типы VPN-подключений
• Решения о маршрутизации для VPN
• VPN и условный доступ
• Разрешение имен VPN
• Автоматически инициируемые параметры профиля VPN
• Функции безопасности VPN
• Параметры профиля VPN
• Протокол расширенной проверки подлинности (EAP) для доступа к сети