Поделиться через


Параметры проверки подлинности для VPN

В дополнение к старым и менее безопасным методам проверки подлинности с паролем (которых следует избегать), встроенное решение VPN использует протокол EAP для безопасной проверки подлинности на основе сертификатов и на основе имени пользователя и пароля. Вы можете настроить проверку подлинности на основе EAP, только выбрав встроенный тип VPN (IKEv2, L2TP, PPTP или автоматический).

Windows поддерживает различные методы проверки подлинности EAP.

  • протокол проверки подлинности EAP-Microsoft challenge Handshake Authentication Protocol версии 2 (EAP-MSCHAPv2):

    • Проверка подлинности на основе имени пользователя и пароля
    • Учетные данные Winlogon — можно настроить проверку подлинности с помощью учетных данных компьютера
  • безопасность уровня EAP-Transport (EAP-TLS):

    • Поддерживает следующие типы проверки подлинности сертификатов:

      • Сертификат с ключами в программном поставщике хранилища ключей (KSP)
      • Сертификат с ключами в KSP доверенного платформенного модуля (TPM)
      • Сертификаты смарт-карта
      • Сертификат Windows Hello для бизнеса
    • Фильтрация сертификатов:

      • Фильтрацию сертификатов можно включить для поиска определенного сертификата, который будет использоваться для проверки подлинности
      • Фильтрация может быть на основе издателя или расширенного использования ключа (EKU)
    • Проверка сервера— при использовании ПРОТОКОЛА TLS проверка сервера может быть включена или отключена:

      • Имя сервера — укажите сервер для проверки
      • Сертификат сервера — доверенный корневой сертификат для проверки подлинности сервера
      • Уведомление — укажите, увидит ли пользователь уведомление с вопросом о том, нужно ли доверять серверу
  • Защищенный протокол расширенной проверки подлинности (PEAP):

    • Проверка сервера— с помощью PEAP проверка сервера может быть включена или отключена:

      • Имя сервера — укажите сервер для проверки
      • Сертификат сервера — доверенный корневой сертификат для проверки подлинности сервера
      • Уведомление — укажите, увидит ли пользователь уведомление с вопросом о том, нужно ли доверять серверу
    • Внутренний метод — внешний метод создает защищенный туннель внутри, а внутренний метод используется для завершения проверки подлинности:

      • EAP-MSCHAPv2
      • EAP-TLS
    • Быстрое переподключение: сокращает задержку между запросом на проверку подлинности клиента и ответом сервера политики сети (NPS) или другого сервера RADIUS. Это снижает требования к ресурсам для клиента и сервера, а также уменьшает число запросов учетных данных у пользователей.

    • Шифрование. Наследуя и обменяя значениями из материала ключа этапа 1 PEAP (ключ туннеля) и из материала ключа внутреннего ключа метода PEAP этапа 2 EAP (внутренний ключ сеанса), можно доказать, что две проверки подлинности завершаются в одних и том же двух сущностях (одноранговый сервер PEAP и сервер PEAP). Этот процесс называется "привязкой с шифрованием" и используется для защиты согласования PEAP от атак типа "злоумышленник в середине".

  • Протокол TTLS

    • Внутренний метод
      • Не EAP
        • Протокол PAP
        • CHAP
        • MSCHAP
        • MSCHAPv2
      • EAP
        • MSChapv2
        • TLS
    • Проверка сервера: в TTLS сервер должен быть проверен. Следующие параметры можно настроить.
      • Имя сервера
      • Доверенный корневой сертификат для сертификата сервера
      • Следует ли отправлять уведомление о проверке сервера

Для подключаемого модуля UWP VPN поставщик приложения управляет используемым методом проверки подлинности. Можно использовать следующие типы учетных данных:

  • смарт-карта;
  • сертификат;
  • Windows Hello для бизнеса;
  • имя пользователя и пароль;
  • одноразовый пароль;
  • пользовательский тип учетных данных.

Настройка проверка подлинности

Конфигурацию XML для EAP см. в разделе Конфигурация EAP.

Примечание.

Чтобы настроить проверку подлинности Windows Hello для бизнеса, выполните действия, описанные в разделе Конфигурация EAP для создания сертификата смарт-карты. Дополнительные сведения о Windows Hello для бизнеса..

На следующем изображении показано поле для EAP XML в профиле VPN решения Microsoft Intune. Поле EAP XML отображается только при выборе встроенного типа подключения (автоматический, IKEv2, L2TP, PPTP).

Снимок экрана: конфигурация EAP XML в Intune профиле.