Extensible Authentication-Protokoll (EAP) für den Netzwerkzugriff

Artikel
06/20/2023

Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows 11, Windows 10, Windows 8.1

Das Extensible Authentication Protocol (EAP) ist ein Authentifizierungsframework, das die Verwendung verschiedener Authentifizierungsmethoden für sichere Netzwerkzugriffstechnologien ermöglicht. Beispiele für diese Technologien sind drahtloser Zugriff mit IEEE 802.1X, kabelgebundener Zugriff mit IEEE 802.1X und PPP-Verbindungen (Point-to-Point Protocol) wie Virtual Private Networking (VPN). EAP ist keine bestimmte Authentifizierungsmethode wie MS-CHAP v2, sondern ein Framework, mit dem Netzwerkanbieter neue Authentifizierungsmethoden, sogenannte EAP-Methoden, auf dem Zugriffsclient und Authentifizierungsserver entwickeln und installieren können. Das EAP-Framework wurde ursprünglich durch RFC 3748 definiert und um verschiedene weitere RFCs und Standards erweitert.

Authentifizierungsmethoden

EAP-Authentifizierungsmethoden, die bei Tunnel-EAP-Methoden verwendet werden, sind als interne Methoden oder EAP-Typen bekannt. Methoden, die als interne Methoden eingerichtet sind, verfügen über die gleichen Konfigurationseinstellungen wie bei Verwendung als äußere Methode. Dieser Artikel enthält spezifische Konfigurationsinformationen für die folgenden Authentifizierungsmethoden in EAP:

EAP-Transport Layer Security (EAP-TLS):Standardbasierte EAP-Methode, die TLS mit Zertifikaten für die gegenseitige Authentifizierung verwendet. Wird in Windows als Smartcard oder anderes Zertifikat (EAP-TLS) angezeigt. EAP-TLS kann als interne Methode für eine andere EAP-Methode oder als eigenständige EAP-Methode bereitgestellt werden.

Tipp

EAP-Methoden, die EAP-TLS nutzen und zertifikatbasiert sind, bieten in der Regel das höchste Maß an Sicherheit. Beispielsweise ist EAP-TLS die einzige zulässige EAP-Methode für den WPA3-Enterprise-Modus (192 Bit).

EAP-MS-CHAP v2 (EAP-Microsoft Challenge Handshake Authentication-Protokoll, Version 2): Von Microsoft definierte EAP-Methode, die das MSCHAP v2-Authentifizierungsprotokoll kapselt und einen Benutzernamen und ein Kennwort für die Authentifizierung verwendet. Wird unter Windows als Sicheres Kennwort (EAP-MSCHAP v2) angezeigt. EAP-MSCHAPv2 kann für ein VPN als eigenständige Methode verwendet werden, für kabelgebundene Verbindungen oder Drahtlosverbindungen aber nur als interne Methode.

Warnung

Auf MSCHAPv2 basierende Verbindungen sind ähnlichen Angriffen ausgesetzt wie bei NTLMv1. In Windows 11 Enterprise, Version 22H2 (Build 22621) ist Windows Defender Credential Guard aktiviert, was zu Problemen mit MSCHAPv2-basierten Verbindungen führen kann.

Geschütztes EAP (PEAP): Von Microsoft definierte EAP-Methode, die EAP in einem TLS-Tunnel kapselt. Der TLS-Tunnel schützt die interne EAP-Methode, die andernfalls ungeschützt wäre. Windows unterstützt EAP-TLS und EAP-MSCHAP v2 als interne Methoden.

EAP-TTLS (EAP-Tunneled Transport Layer Security): Ist in RFC 5281 beschrieben und kapselt eine TLS-Sitzung, die die gegenseitige Authentifizierung mithilfe eines internen Authentifizierungsmechanismus ausführt. Diese interne Methode kann entweder ein EAP-Protokoll (z. B. EAP-MSCHAP v2) oder ein Nicht-EAP-Protokoll (z. B. PAP (Password Authentication Protocol)) sein. In Windows Server 2012 bietet die Aufnahme von EAP-TTLS nur clientseitig Unterstützung (unter Windows 8). NPS unterstützt EAP-TTLS derzeit nicht. Die Clientunterstützung ermöglicht die Zusammenarbeit mit häufig bereitgestellten RADIUS-Servern, die EAP-TTLS unterstützen.

EAP-SIM (Subscriber Identity Module), EAP-AKA (Authentication and Key Agreement) und EAP-AKA' (EAP-AKA Prime): Ist in verschiedenen RFCs beschrieben, ermöglicht die Authentifizierung mithilfe von SIM-Karten und wird implementiert, wenn ein Kunde bzw. eine Kundin einen Breitbandtarif bei einem Mobilfunkbetreiber erwirbt. Im Allgemeinen erhält der Kunde damit ein Funknetzwerkprofil, das für die SIM-Authentifizierung vorkonfiguriert ist.

Tunnel-EAP (TEAP): Wird in RFC 7170 beschrieben. EAP-Tunnelmethode, die einen sicheren TLS-Tunnel erstellt und andere EAP-Methoden innerhalb dieses Tunnels ausführt. Unterstützt EAP-Verkettung: Authentifizieren des Computers und des Benutzers innerhalb einer Authentifizierungssitzung. In Windows Server 2022 bietet die Aufnahme von TEAP nur clientseitig Unterstützung (Windows 10, Version 2004 (Build 19041)). NPS unterstützt TEAP derzeit nicht. Die Clientunterstützung ermöglicht die Zusammenarbeit mit häufig bereitgestellten RADIUS-Servern, die TEAP unterstützen. Windows unterstützt EAP-TLS und EAP-MSCHAP v2 als interne Methoden.

In der folgenden Tabelle sind einige gängige EAP-Methoden und deren von IANA zugewiesene Type-Nummer aufgeführt.

EAP-Methoden	Von IANA zugewiesene Type-Nummer	Native Windows-Unterstützung
MD5-Challenge (EAP-MD5)	4	❌
Einmalkennwort (EAP-OTP)	5	❌
Generische Tokenkarte (EAP-GTC)	6	❌
EAP-TLS	13	✅
EAP-SIM	18	✅
EAP-TTLS	21	✅
EAP-AKA	23	✅
PEAP	25	✅
EAP-MSCHAP v2	26	✅
Geschütztes Einmalkennwort (EAP-POTP)	32	❌
EAP-FAST	43	❌
Vorinstallierter Schlüssel (EAP-PSK)	47	❌
EAP-IKEv2	49	❌
EAP-AKA'	50	✅
EAP-EKE	53	❌
TEAP	55	✅
EAP-NOOB	56	❌

Konfigurieren von EAP-Eigenschaften

Sie können wie folgt auf die EAP-Eigenschaften für den 802.1X-authentifizierten drahtlosen und verkabelten Zugriff zugreifen:

Konfigurieren der Erweiterungen „Richtlinien für Kabelnetzwerke (IEEE 802.3)“ und „Drahtlosnetzwerkrichtlinien (IEEE 802.11)“ in der Gruppenrichtlinie
- Computerkonfiguration>Richtlinien>Windows-Einstellungen>Sicherheitseinstellungen
Verwenden von MDM-Software (Mobile Device Management, Verwaltung mobiler Geräte), z. B. Intune (WLAN/Kabelgebundene Verbindung)
- WLAN-CSP
- WiredNetwork-CSP
Manuelles Konfigurieren von Kabel- oder Drahtlosverbindungen auf Clientcomputern

Sie können wie folgt auf die EAP-Eigenschaften für VPN-Verbindungen (virtuelles privates Netzwerk) zugreifen:

Verwenden von MDM-Software (Mobile Device Management, Verwaltung mobiler Geräte), z. B. Intune
- VPNv2-Konfigurationsdienstanbieter
- VPN-Profiloptionen
Manuelles Konfigurieren von VPN-Verbindungen auf Clientcomputern
Verwenden des Verbindungs-Manager-Verwaltungskits (Connection Manager Administration Kit, CMAK) zum Konfigurieren von VPN-Verbindungen

Weitere Informationen zum Konfigurieren von EAP-Eigenschaften finden Sie unter Configure EAP profiles and settings in Windows (Konfigurieren von EAP-Profilen und -Einstellungen in Windows).

XML-Profile für EAP

Die für verschiedene Verbindungstypen verwendeten Profile sind XML-Dateien, die die Konfigurationsoptionen für diese Verbindung enthalten. Die verschiedenen Verbindungstypen folgen einem bestimmten Schema:

Wenn jedoch die Verwendung von EAP konfiguriert ist, verfügt jedes Profilschema über das untergeordnete Element EapHostConfig.

Kabelgebunden/drahtlos: EapHostConfig ist ein untergeordnetes Element des EAPConfig-Elements. MSM > Sicherheit (Kabelgebunden/Drahtlos) >OneX> EAPConfig
VPN: EapHostConfig ist ein untergeordnetes Element von NativeProfile > Authentifizierung > EAP > Konfiguration

Diese Konfigurationssyntax ist in der Spezifikation Group Policy: Wireless/Wired Protocol Extension definiert.

Hinweis

Auf den verschiedenen Konfigurations-GUIs werden nicht immer alle technisch möglichen Optionen angezeigt. Beispielsweise können Windows Server 2019 und frühere Versionen TEAP nicht über die Benutzeroberfläche konfigurieren. Es ist jedoch häufig möglich, ein vorhandenes XML-Profil zu importieren, das zuvor konfiguriert wurde.

Das Ziel des restlichen Artikels ist die Bereitstellung einer Zuordnung zwischen den EAP-spezifischen Teilen der Gruppenrichtlinien-/Systemsteuerungs-Benutzeroberfläche und den XML-Konfigurationsoptionen sowie einer Beschreibung der Einstellung.

Weitere Informationen zum Konfigurieren von XML-Profilen finden Sie unter XML-Profile. Ein Beispiel für die Verwendung eines XML-Profils mit EAP-Einstellungen finden Sie unter Bereitstellen eines WLAN-Profils über eine Website.

Sicherheitseinstellungen

In der folgenden Tabelle werden die konfigurierbaren Sicherheitseinstellungen für ein Profil erläutert, das 802.1X verwendet. Diese Einstellungen sind OneX zugeordnet.

Einstellung	XML-Element	BESCHREIBUNG
Netzwerkauthentifizierungsmethode auswählen:	EAPConfig	Hiermit können Sie die EAP-Methode auswählen, die für die Authentifizierung verwendet werden soll. Weitere Informationen finden Sie unter Konfigurationseinstellungen für die Authentifizierungsmethode und Konfigurationseinstellungen für die Mobilfunkauthentifizierung.
Eigenschaften		Öffnet das Eigenschaftendialogfeld für die ausgewählte EAP-Methode.
Authentifizierungsmodus	authMode	Gibt den Typ der Anmeldeinformationen an, die für die Authentifizierung verwendet werden. Die folgenden Werte werden unterstützt: 1. Benutzer- oder Computerauthentifizierung 2. Computerauthentifizierung 3. Benutzerauthentifizierung 4. Gastauthentifizierung Für den in diesem Kontext verwendeten Begriff „Computer“ wird in anderen Referenzen ggf. auch „Maschine“ verwendet. `machineOrUser` ist die Standardeinstellung in Windows.
Max. Authentifizierungsfehler	maxAuthFailures	Gibt die maximale Anzahl von Authentifizierungsfehlern an, die für Anmeldeinformationen zulässig sind. Standardeinstellung: `1`
Benutzerinformationen für zukünftige Verbindungen mit diesem Netzwerk zwischenspeichern	cacheUserData	Gibt an, ob die Anmeldeinformationen des Benutzers bzw. der Benutzerin für zukünftige Verbindungen mit demselben Netzwerk zwischengespeichert werden sollen. Standardeinstellung `true`

Erweiterte Sicherheitseinstellungen > IEEE 802.1X

Wenn Erweiterte 802.1X-Einstellungen erzwingen aktiviert ist, werden alle folgenden Einstellungen konfiguriert. Wenn diese Option deaktiviert ist, gelten die Standardeinstellungen. In XML sind alle Elemente optional. Sind keine Elemente vorhanden, werden die Standardwerte verwendet.

Einstellung	XML-Element	BESCHREIBUNG
Max. EAPOL-Start-Meld.	maxStart	Gibt die maximale Anzahl von EAPOL-Startmeldungen an, die an den Authentifikator (RADIUS-Server) gesendet werden können, bevor der Supplicant (Windows-Client) davon ausgeht, dass kein Authentifikator vorhanden ist. Standardeinstellung: `3`
Startzeitraum (Sekunden)	startPeriod	Gibt den Zeitraum (in Sekunden) an, der gewartet werden soll, bevor eine EAPOL-Startmeldung gesendet wird, um den 802.1X-Authentifizierungsprozess zu starten. Standardeinstellung: `5`.
Wartezeitraum (Sekunden)	heldPeriod	Gibt den Zeitraum (in Sekunden) an, der nach einem fehlgeschlagenen Authentifizierungsversuch gewartet werden soll, um die Authentifizierung erneut zu versuchen. Standardeinstellung: `1`
Authentifizierungszeitraum (Sek.)	authPeriod	Gibt den Zeitraum (in Sekunden) an, der auf eine Antwort vom Authentifikator (RADIUS-Server) gewartet werden soll, bevor davon ausgegangen wird, dass kein Authentifikator vorhanden ist. Standardeinstellung: `18`
Eapol-Startmeldung	supplicantMode	Gibt die Übertragungsmethode an, die für EAPOL-Startmeldungen verwendet wird. Die folgenden Werte werden unterstützt: 1. Nicht übertragen (`inhibitTransmission`) 2. Übertragen (`includeLearning`) 3. Per IEEE 802.1X übertragen (`compliant`) Für den in diesem Kontext verwendeten Begriff „Computer“ wird in anderen Referenzen ggf. auch „Maschine“ verwendet. `compliant` ist die Standardeinstellung in Windows und die einzige gültige Option für Funknetzwerkprofile.

Erweiterte Sicherheitseinstellungen > Single Sign-On

In der folgenden Tabelle werden die Einstellungen für Single Sign-On (SSO) erläutert, die früher als Pre-Logon-Access-Anbieter (Pre-Logon Access Provider, PLAP) bezeichnet wurde.

Einstellung	XML-Element	BESCHREIBUNG
Einmaliges Anmelden für dieses Netzwerk aktivieren	singleSignOn	Gibt an, ob SSO (Single Sign-On, einmaliges Anmelden) für dieses Netzwerk aktiviert ist. Standardeinstellung: `false`. Verwenden Sie `singleSignOn` nicht in einem Profil, wenn das Netzwerk dies nicht erfordert.
Unmittelbar vor der Benutzeranmeldung ausführen Unmittelbar nach der Benutzeranmeldung ausführen	type	Gibt an, wann einmaliges Anmelden ausgeführt werden soll – entweder vor oder nach der Anmeldung von Benutzer*innen.
Max. Verzögerung der Konnektivität (Sekunden)	maxDelay	Gibt die maximale Verzögerung (in Sekunden) an, bevor der SSO-Versuch fehlschlägt. Standardeinstellung: `10`
Anzeige zusätzlicher Dialoge beim einmaligen Anmelden zulassen	allowAdditionalDialogs	Gibt an, ob EAP-Dialogfelder während des einmaligen Anmeldens angezeigt werden sollen. Standardeinstellung: `false`
Dieses Netzwerk verwendet ein anderes VLAN für die Authentifizierung mit Computer- und Benutzeranmeldeinformationen	userBasedVirtualLan	Gibt an, ob sich das vom Gerät verwendete virtuelle LAN (VLAN) basierend auf den Anmeldeinformationen von Benutzer*innen ändert. Standardeinstellung: `false`

Konfigurationseinstellungen für die Authentifizierungsmethode

Achtung

Wenn ein Netzwerkzugriffsserver so konfiguriert ist, dass er denselben Authentifizierungstyp für eine EAP-Tunnelmethode (z. B. PEAP) und eine EAP-Methode ohne Tunnel (z. B. EAP-MSCHAP v2) zulässt, besteht ein potenzielles Sicherheitsrisiko. Wenn Sie sowohl eine EAP-Tunnelmethode als auch EAP (nicht geschützt) bereitstellen, sollten Sie nicht denselben Authentifizierungstyp verwenden. Wenn Sie beispielsweise PEAP-TLS bereitstellen, sollten Sie nicht auch EAP-TLS bereitstellen. Der Grund dafür ist folgender: Wenn Sie den Schutz des Tunnels benötigen, nützt es nichts, wenn die Methode auch außerhalb des Tunnels ausgeführt werden kann.

In der folgenden Tabelle werden die konfigurierbaren Einstellungen für alle Authentifizierungsmethoden erläutert:

Die EAP-TLS-Einstellungen auf der Benutzeroberfläche sind dem Element EapTlsConnectionPropertiesV1 zugeordnet, das um EapTlsConnectionPropertiesV2 und EapTlsConnectionPropertiesV3 erweitert wird.

Einstellung	XML-Element	BESCHREIBUNG
Eigene Smartcard verwenden	CredentialsSource>SmartCard	Gibt an, dass Clients, die Authentifizierungsanforderungen senden, ein Smartcardzertifikat für die Netzwerkauthentifizierung vorlegen müssen.
Verwenden Sie ein Zertifikat auf diesem Computer	CredentialsSource>CertificateStore	Gibt an, dass Clients zur Authentifizierung ein Zertifikat in den Zertifikatspeichern Aktueller Benutzer oder Lokaler Computer verwenden müssen.
Einfache Zertifikatauswahl verwenden (empfohlen)	SimpleCertSelection	Gibt an, ob Windows automatisch ein Zertifikat für die Authentifizierung ohne Benutzerinteraktion (falls möglich) auswählt oder ob Windows ein Dropdownmenü für den Benutzer bzw. die Benutzerin zum Auswählen eines Zertifikats anzeigt.
Erweitert		Öffnet das Dialogfeld Zertifikatauswahl konfigurieren.
Optionen für die Serverüberprüfung
Anderen Benutzernamen für die Verbindung verwenden	DifferentUsername	Gibt an, ob für die Authentifizierung ein anderer Benutzername verwendet werden soll als der Benutzername im Zertifikat.

Im Anschluss sind die Konfigurationseinstellungen für Zertifikatauswahl konfigurieren aufgeführt: Diese Einstellungen definieren die Kriterien, die ein Client verwendet, um das geeignete Zertifikat für die Authentifizierung auszuwählen. Diese Benutzeroberfläche ist TLSExtensions>FilteringInfo zugeordnet.

Einstellung	XML-Element	BESCHREIBUNG
Zertifikataussteller	CAHashList`Enabled="true"`	Gibt an, ob die Filterung für Zertifikataussteller aktiviert ist. Wenn sowohl Zertifikataussteller als auch Erweiterte Schlüsselverwendung (Extended Key Usage, EKU) aktiviert sind, gelten nur die Zertifikate, die beide Bedingungen erfüllen, als gültige Zertifikate für die Authentifizierung des Clients beim Server.
Stammzertifizierungsstellen	IssuerHash	Enthält die Namen aller Aussteller, für die entsprechende Zertifizierungsstellenzertifikate (ZS-Zertifikate) im Zertifikatspeicher Vertrauenswürdige Stammzertifizierungsstellen oder Zwischenzertifizierungsstellen des lokalen Computerkontos vorhanden sind. Dies umfasst u. a.: 1. Alle Stammzertifizierungsstellen und Zwischenzertifizierungsstellen. 2. Enthält nur die Aussteller, für die entsprechende gültige Zertifikate auf dem Computer vorhanden sind (z. B. Zertifikate, die nicht abgelaufen oder gesperrt sind). 3. Die endgültige Liste der für die Authentifizierung zulässigen Zertifikate enthält nur die Zertifikate, die von einem der ausgewählten Aussteller in dieser Liste ausgestellt wurden. In XML ist dies der SHA-1-Fingerabdruck (Hash) des Zertifikats.
Erweiterte Schlüsselverwendung (Extended Key Usage, EKU)		Sie können Allzweckverwendung, Clientauthentifizierung, Verwendung für beliebigen Zweck oder eine Kombination dieser Einstellungen auswählen. Gibt an, dass bei Auswahl einer Kombination von Einstellungen alle Zertifikate, die mindestens eine der drei Bedingungen erfüllen, als gültige Zertifikate für die Authentifizierung des Clients beim Server gelten. Wenn die EKU-Filterung aktiviert ist, muss eine der Optionen ausgewählt werden. Andernfalls wird das Kontrollkästchen Erweiterte Schlüsselverwendung (Extended Key Usage, EKU) deaktiviert.
Allzweckverwendung	AllPurposeEnabled	Dieses Element gibt an (sofern aktiviert), dass Zertifikate mit der EKU-Einstellung Allzweckverwendung als gültige Zertifikate für die Authentifizierung des Clients beim Server gelten. Der Objektbezeichner (Object Identifier, OID) für Allzweckverwendung ist `0` oder leer.
Clientauthentifizierung	ClientAuthEKUList`Enabled="true"` (> EKUMapInList > EKUName)	Gibt an, dass Zertifikate mit der EKU-Einstellung Clientauthentifizierung und der angegebenen Liste von EKUs als gültige Zertifikate für die Authentifizierung des Clients beim Server gelten. Der Objektbezeichner (Object Identifier, OID) für Clientauthentifizierung ist `1.3.6.1.5.5.7.3.2`.
Verwendung für beliebigen Zweck	AnyPurposeEKUList`Enabled="true"` (> EKUMapInList > EKUName)	Gibt an, dass alle Zertifikate mit der EKU-Einstellung Verwendung für beliebigen Zweck und der angegebenen Liste von EKUs als gültige Zertifikate für die Authentifizierung des Clients beim Server gelten. Der Objektbezeichner (Object Identifier, OID) für Verwendung für beliebigen Zweck ist `1.3.6.1.4.1.311.10.12.1`.
Add (Hinzufügen)	EKUMapping > EKUMap > EKUName/EKUOID	Öffnet das Dialogfeld EKUs auswählen, in dem Sie in der Liste Clientauthentifizierung oder Verwendung für beliebigen Zweck standardmäßige, benutzerdefinierte oder anbieterspezifische EKUs hinzufügen können. Wenn Sie im Dialogfeld EKUs auswählen die Option Hinzufügen oder Bearbeiten auswählen, wird das Dialogfeld EKU hinzufügen/bearbeiten angezeigt, in dem zwei Optionen verfügbar sind: 1. Geben Sie den Namen der EKU ein: Hier können Sie den Namen der benutzerdefinierten EKU eingeben. 2. Geben Sie die EKU-OID ein: Hier können Sie die OID für die EKU eingeben. Es sind nur Ziffern, Trennzeichen und Punkte (`.`) zulässig. Platzhalter können verwendet werden. In diesem Fall sind alle untergeordneten OIDs in der Hierarchie zulässig. Wenn Sie `1.3.6.1.4.1.311.*` eingeben, sind z. B. `1.3.6.1.4.1.311.42` und `1.3.6.1.4.1.311.42.2.1` zulässig.
Bearbeiten		Ermöglicht Ihnen die Bearbeitung der von Ihnen hinzugefügten benutzerdefinierten EKUs. Die standardmäßigen vordefinierten EKUs können nicht bearbeitet werden.
Remove		Entfernt die ausgewählte EKU aus der Liste Clientauthentifizierung oder Verwendung für beliebigen Zweck.

Die PEAP-Einstellungen auf der Benutzeroberfläche sind dem Element MsPeapConnectionPropertiesV1 zugeordnet, das um MsPeapConnectionPropertiesV2 erweitert wird.

Einstellung	XML-Element	BESCHREIBUNG
Optionen für die Serverüberprüfung
Authentifizierungsmethode auswählen		Ermöglicht Ihnen das Auswählen des EAP-Typs, der mit PEAP zur Netzwerkauthentifizierung verwendet werden soll. Zwei EAP-Typen sind verfügbar: Sicheres Kennwort (EAP-MSCHAP v2) und Smartcard oder anderes Zertifikat (EAP-TLS).
Konfigurieren	EAP-MSCHAP v2: UseWinLogonCredentials EAP-TLS: Siehe Registerkarte „EAP-TLS“, Schema	Dieses Element bietet Zugriff auf die Eigenschaftseinstellungen für den angegebenen EAP-Typ. Wenn Sicheres Kennwort (EAP-MSCHAP v2) aktiviert ist, ist das Kontrollkästchen Automatisch eigenen Windows-Anmeldenamen und Kennwort (und Domäne, falls vorhanden) verwenden verfügbar. Dieses Kontrollkästchen gibt an, dass der aktuelle benutzerbasierte Windows-Anmeldename und das aktuelle Kennwort als Anmeldeinformationen für die Netzwerkauthentifizierung verwendet werden. Wenn Smartcard oder anderes Zertifikat (EAP-TLS) ausgewählt wird, wird das Dialogfeld Eigenschaften von Smartcard oder anderem Zertifikat für die weitere Konfiguration dieses EAP-Typs geöffnet.
Schnelle Wiederherstellung der Verbindung aktivieren	FastReconnect	Bietet die Möglichkeit, eine neue oder aktualisierte Sicherheitszuordnung effizienter und mit einer geringeren Anzahl von Roundtrips zu erstellen, wenn zuvor eine Sicherheitszuordnung eingerichtet wurde. Bei VPN-Verbindungen sorgt die schnelle Verbindungswiederherstellung mithilfe von IKEv2-Technologie für nahtlose und konsistente VPN-Konnektivität, wenn die Internetverbindungen von Benutzerinnen vorübergehend unterbrochen werden. Dieses Feature ist besonders nützlich für Benutzerinnen, die eine Verbindung über drahtloses mobiles Breitband herstellen. Wenn eine Internetverbindung unterbrochen wird, werden mit der schnellen Verbindungswiederherstellung nämlich automatisch aktive VPN-Verbindungen nahtlos und transparent für Benutzer*innen wiederhergestellt.
Verbindung trennen, wenn Server kein Kryptografiebindungs-TLV vorweist	RequireCryptoBinding	Gibt an, dass Clients, von denen eine Verbindung hergestellt wird, den Netzwerkauthentifizierungsprozess beenden müssen, wenn der RADIUS-Server kein Kryptografiebindungs-TLV (Type-Length-Value) vorweist. Cryptobinding TLV ist eine Sicherheitsfunktion, die die Sicherheit des TLS-Tunnels in PEAP erhöht. Dies geschieht durch die Kombination der Authentifizierungen der inneren und äußeren Methoden, was es Angreifern erschwert, Man-in-the-Middle-Angriffe durchzuführen, indem sie eine MS-CHAP v2-Authentifizierung über den PEAP-Kanal umleiten.
Identitätsschutz aktivieren	IdentityPrivacy>EnableIdentityPrivacy/AnonymousUserName	Gibt an, dass die Clients so konfiguriert sind, dass sie ihre Identität erst senden können, nachdem der RADIUS-Server vom Client authentifiziert wurde, und stellt optional ein Feld zur Eingabe eines anonymen Identitätswerts bereit. Wenn Sie Identitätsschutz aktivieren auswählen und den Wert `anonymous` für die anonyme Identität eingeben, lautet die Identitätsantwort für einen Benutzerin mit der Identität `alice@exampleanonymous@example`. Wenn Sie Identitätsschutz aktivieren auswählen, ohne einen Wert für die anonyme Identität anzugeben, ist `alice@example` die Identitätsantwort für dendie Benutzerin `@example`.

Die EAP-TTLS-Einstellungen auf der Benutzeroberfläche sind EapTtlsConnectionPropertiesV1 zugeordnet.

Einstellung	XML-Element	BESCHREIBUNG
Identitätsschutz aktivieren	Phase1Identity> IdentityPrivacy> AnonymousIdentity	Gibt an, dass die Clients so konfiguriert sind, dass sie ihre Identität erst senden können, nachdem der RADIUS-Server vom Client authentifiziert wurde, und stellt optional ein Feld zur Eingabe eines anonymen Identitätswerts bereit. Wenn Sie Identitätsschutz aktivieren auswählen und den Wert `anonymous` für die anonyme Identität eingeben, lautet die Identitätsantwort für einen Benutzerin mit der Identität `alice@exampleanonymous@example`. Wenn Sie Identitätsschutz aktivieren auswählen, ohne einen Wert für die anonyme Identität anzugeben, ist `alice@example` die Identitätsantwort für dendie Benutzerin `@example`.
Optionen für die Serverüberprüfung
EAP-fremde Authentifizierungsmethode auswählen	Phase2Authentication> Eines der folgenden Elemente: PAPAuthentication CHAPAuthentication MSCHAPAuthentication MSCHAPv2Authentication	Gibt an, ob ein Nicht-EAP-Typ oder ein EAP-Typ für die Authentifizierung verwendet wird. Wenn EAP-fremde Authentifizierungsmethode auswählen aktiviert ist, ist EAP-Authentifizierungsmethode auswählen deaktiviert. Im Folgenden finden Sie die verfügbaren Authentifizierungsoptionen: 1. Unverschlüsseltes Kennwort (PAP) 2. Challenge Handshake Authentication-Protokoll (CHAP) 3. Microsoft CHAP (MS-CHAP) 4. Microsoft CHAP, Version 2 (MS-CHAP v2)
Automatisch eigenen Windows-Anmeldenamen und Kennwort verwenden	UseWinlogonCredentials	Wenn diese Option aktiviert ist, verwendet dieses Element Anmeldeinformationen für Windows und ist nur verfügbar, wenn MS-CHAP v2 in der Dropdownliste EAP-fremde Authentifizierungsmethode auswählen ausgewählt ist. Automatisch eigenen Windows-Anmeldenamen und Kennwort verwenden ist für die Authentifizierungstypen PAP, CHAP und MS-CHAP deaktiviert.
EAP-Authentifizierungsmethode auswählen	Phase2Authentication> EapHostConfig	Gibt an, ob ein EAP-Typ oder ein Nicht-EAP-Typ für die Authentifizierung verwendet wird. Wenn EAP-Authentifizierungsmethode auswählen aktiviert ist, ist EAP-fremde Authentifizierungsmethode auswählen deaktiviert. Im Folgenden finden Sie die verfügbaren Authentifizierungsoptionen: 1. Microsoft: Smartcard oder anderes Zertifikat (EAP-TLS) 2. Microsoft: Sicheres Kennwort (EAP-MSCHAP v2) Die Dropdownliste enthält alle auf dem Server installierten EAP-Methoden, mit Ausnahme der PEAP- und FAST-Tunnelmethoden. Die EAP-Typen werden in der Reihenfolge angezeigt, in der sie vom Computer gefunden werden.
Konfigurieren		Öffnet das Eigenschaftendialogfeld der angegebenen EAP-Methode.

Die TEAP-Einstellungen auf der Benutzeroberfläche sind EapTeapConnectionPropertiesV1 zugeordnet. TEAP ist ab Windows 10, Version 2004 (Build 19041) und Windows Server 2022 verfügbar.

Einstellung	XML-Element	BESCHREIBUNG
Identitätsschutz	Phase1Identity > IdentityPrivacy > AnonymousIdentity	Gibt an, dass die Clients so konfiguriert sind, dass sie ihre Identität erst senden können, nachdem der RADIUS-Server vom Client authentifiziert wurde, und stellt optional ein Feld zur Eingabe eines anonymen Identitätswerts bereit. Wenn Sie Identitätsschutz aktivieren auswählen und den Wert `anonymous` für die anonyme Identität eingeben, lautet die Identitätsantwort für einen Benutzerin mit der Identität `alice@exampleanonymous@example`. Wenn Sie Identitätsschutz aktivieren auswählen, ohne einen Wert für die anonyme Identität anzugeben, ist `alice@example` die Identitätsantwort für dendie Benutzerin `@example`.
Optionen für die Serverüberprüfung
{primäre/sekundäre} EAP-Authentifizierungsmethode auswählen	Phase2Authentication (> InnerMethodConfig > EapHostConfig)	Ermöglicht es dem Benutzer bzw. der Benutzerin, eine primäre/sekundäre Authentifizierungsmethode (Microsoft: Smartcard oder anderes Zertifikat (EAP-TLS) oder Microsoft: Sicheres Kennwort (EAP-MSCHAP v2)) auszuwählen. Eine beliebige Kombination von internen Methoden ist zulässig. Die interne Methode kann z. B. EAP-TLS mit Computeranmeldeinformationen gefolgt von EAP-TLS mit Benutzeranmeldeinformationen sein.
Konfigurieren		Wenn Microsoft: Smartcard oder anderes Zertifikat (EAP-TLS) ausgewählt wird, wird das Dialogfeld Eigenschaften von Smartcard oder anderem Zertifikat geöffnet. Wenn Microsoft: Sicheres Kennwort (EAP-MSCHAP v2) aktiviert ist, wird das Kontrollkästchen Automatisch eigenen Windows-Anmeldenamen und Kennwort (und Domäne, falls vorhanden) verwenden verfügbar. Dieses Kontrollkästchen gibt an, dass der aktuelle benutzerbasierte Windows-Anmeldename und das aktuelle Kennwort als Anmeldeinformationen für die Netzwerkauthentifizierung verwendet werden.

Servervalidierung

Viele EAP-Methoden enthalten eine Option für den Client, um das Zertifikat des Servers zu überprüfen. Wenn das Serverzertifikat nicht überprüft wird, kann der Client nicht sicher sein, dass er mit dem richtigen Server kommuniziert. Dies setzt den Client Sicherheitsrisiken aus und es besteht u. a. die Möglichkeit, dass der Client unwissentlich eine Verbindung mit einem nicht autorisierten Netzwerk herstellt.

Hinweis

Windows erfordert, dass das Serverzertifikat über die EKU Serverauthentifizierung verfügt. Der Objektbezeichner (Object Identifier, OID) für diese EKU ist 1.3.6.1.5.5.7.3.1.

In der folgenden Tabelle sind die Serverüberprüfungsoptionen aufgeführt, die für jede EAP-Methode gelten. In Windows 11 wurde die Servervalidierungslogik aktualisiert, um eine höhere Konsistenz zu gewährleisten (siehe Updated server certificate validation behavior in Windows 11 (Aktualisiertes Verhalten bei der Serverzertifikatüberprüfung unter Windows 11)). Sollte ein Konflikt vorliegen, gelten die Beschreibungen in der folgenden Tabelle für das Verhalten unter Windows 10 und früheren Versionen.

Einstellung XML-Element BESCHREIBUNG

Einstellung	XML-Element	BESCHREIBUNG
Identität des Servers mittels Zertifikatprüfung überprüfen	EAP-TLS: PerformServerValidation PEAP: PerformServerValidation	Dieses Element gibt an, dass der Client überprüft, ob die den Clientcomputern vorgelegten Serverzertifikate über die richtigen Signaturen verfügen, noch nicht abgelaufen sind und von einer vertrauenswürdigen Stammzertifizierungsstelle ausgestellt wurden. Wenn Sie dieses Kontrollkästchen deaktivieren, können Clientcomputer die Identität der Server während des Authentifizierungsprozesses nicht überprüfen. Findet keine Serverauthentifizierung statt, sind Benutzer ernsthaften Sicherheitsrisiken ausgesetzt. Es besteht u. a. die Möglichkeit, dass Benutzer unwissentlich eine Verbindung mit einem nicht autorisierten Netzwerk herstellen.
Verbindung mit folgenden Servern herstellen	EAP-TLS: ServerValidation>ServerNames PEAP: ServerValidation>ServerNames EAP-TTLS: ServerValidation> ServerNames TEAP: ServerValidation> ServerNames	Gibt Ihnen die Möglichkeit, den Namen der RADIUS-Server (Remote Authentication Dial-In User Service) anzugeben, die Netzwerkauthentifizierung und -autorisierung bereitstellen. Sie müssen den Namen genau so eingeben, wie er im Feld Antragsteller des Zertifikats des jeweiligen RADIUS-Servers angezeigt wird, oder reguläre Ausdrücke (RegEx) verwenden, um den Servernamen anzugeben. Zum Angeben des Servernamens kann die vollständige Syntax eines regulären Ausdrucks verwendet werden. Die angegebene Zeichenfolge muss jedoch mindestens ein `` enthalten, um einen regulären Ausdruck von einem Zeichenfolgenliteral zu unterscheiden. Sie können beispielsweise `nps.\.example\.com` angeben, um den RADIUS-Server `nps1.example.com` oder `nps2.example.com` anzugeben. Sie können auch ein Semikolon (`;`) einfügen, um mehrere Server zu trennen. Wenn keine RADIUS-Server angegeben sind, überprüft der Client nur, ob das RADIUS-Serverzertifikat von einer vertrauenswürdigen Stammzertifizierungsstelle ausgestellt wurde.
Vertrauenswürdige Stammzertifizierungsstellen	EAP-TLS: ServerValidation>TrustedRootCA PEAP: ServerValidation>TrustedRootCA EAP-TTLS: ServerValidation> TrustedRootCAHashes TEAP: ServerValidation> TrustedRootCAHashes	Listet die vertrauenswürdigen Stammzertifizierungsstellen auf. Diese Liste wird anhand der vertrauenswürdigen Stammzertifizierungsstellen erstellt, die auf dem Computer installiert und in den Benutzerzertifikatsspeichern gespeichert sind. Sie können angeben, welche Zertifikate vertrauenswürdiger Stammzertifizierungsstellen die Supplicants verwenden, um zu bestimmen, ob sie Ihren Servern vertrauen, z. B. dem Netzwerkrichtlinienserver (NPS) oder dem Bereitstellungsserver. Sind keine vertrauenswürdigen Stammzertifizierungsstellen ausgewählt, überprüft der 802.1X-Client, ob das Computerzertifikat des RADIUS-Servers von einer installierten vertrauenswürdigen Stammzertifizierungsstelle ausgestellt wurde. Sind eine oder mehrere vertrauenswürdige Stammzertifizierungsstellen ausgewählt, überprüft der 802.1X-Client, ob das Computerzertifikat des RADIUS-Servers von einer ausgewählten vertrauenswürdigen Stammzertifizierungsstelle ausgestellt wurde. Wenn keine vertrauenswürdigen Stammzertifizierungsstellen ausgewählt sind, überprüft der Client, ob das RADIUS-Serverzertifikat von einer vertrauenswürdigen Stammzertifizierungsstelle ausgestellt wurde. Wenn Sie in Ihrem Netzwerk eine Public Key-Infrastruktur (PKI) eingerichtet haben und ein RADIUS-Serverzertifikat verwenden, wird dieses Zertifikat automatisch der Liste vertrauenswürdiger Stammzertifizierungsstellen hinzugefügt. Sie können auch ein Zertifizierungsstellenzertifikat von einem Drittanbieter erwerben. Einige vertrauenswürdige Stammzertifizierungsstellen von anderen Anbietern stellen mit dem erworbenen Zertifikat eine Software bereit, die das Zertifikat automatisch im Zertifikatspeicher Vertrauenswürdige Stammzertifizierungsstellen installiert. In diesem Fall wird die vertrauenswürdige Stammzertifizierungsstelle automatisch in der Liste vertrauenswürdiger Stammzertifizierungsstellen angezeigt. Geben Sie kein Zertifikat einer vertrauenswürdigen Stammzertifizierungsstelle an, das noch nicht in den Zertifikatspeichern Vertrauenswürdige Stammzertifizierungsstellen für Aktueller Benutzer und Lokaler Computer der Clientcomputer aufgeführt ist. Wenn Sie ein Zertifikat angeben, das nicht auf den Client-PCs installiert ist, schlägt die Authentifizierung fehl. In XML ist dies der SHA-1-Fingerabdruck (Hash) des Zertifikats (bzw. SHA-256 für TEAP).

Identität des Servers mittels Zertifikatprüfung überprüfen

EAP-TLS:
PerformServerValidation

PEAP:
PerformServerValidation

Dieses Element gibt an, dass der Client überprüft, ob die den Clientcomputern vorgelegten Serverzertifikate über die richtigen Signaturen verfügen, noch nicht abgelaufen sind und von einer vertrauenswürdigen Stammzertifizierungsstelle ausgestellt wurden.

Wenn Sie dieses Kontrollkästchen deaktivieren, können Clientcomputer die Identität der Server während des Authentifizierungsprozesses nicht überprüfen. Findet keine Serverauthentifizierung statt, sind Benutzer ernsthaften Sicherheitsrisiken ausgesetzt. Es besteht u. a. die Möglichkeit, dass Benutzer unwissentlich eine Verbindung mit einem nicht autorisierten Netzwerk herstellen.

Verbindung mit folgenden Servern herstellen

EAP-TLS:
ServerValidation>ServerNames

PEAP:
ServerValidation>ServerNames

EAP-TTLS:
ServerValidation>
ServerNames

TEAP:
ServerValidation>
ServerNames

Gibt Ihnen die Möglichkeit, den Namen der RADIUS-Server (Remote Authentication Dial-In User Service) anzugeben, die Netzwerkauthentifizierung und -autorisierung bereitstellen.

Sie müssen den Namen genau so eingeben, wie er im Feld Antragsteller des Zertifikats des jeweiligen RADIUS-Servers angezeigt wird, oder reguläre Ausdrücke (RegEx) verwenden, um den Servernamen anzugeben.

Zum Angeben des Servernamens kann die vollständige Syntax eines regulären Ausdrucks verwendet werden. Die angegebene Zeichenfolge muss jedoch mindestens ein * enthalten, um einen regulären Ausdruck von einem Zeichenfolgenliteral zu unterscheiden. Sie können beispielsweise nps.*\.example\.com angeben, um den RADIUS-Server nps1.example.com oder nps2.example.com anzugeben.

Sie können auch ein Semikolon (;) einfügen, um mehrere Server zu trennen.

Wenn keine RADIUS-Server angegeben sind, überprüft der Client nur, ob das RADIUS-Serverzertifikat von einer vertrauenswürdigen Stammzertifizierungsstelle ausgestellt wurde.

Vertrauenswürdige Stammzertifizierungsstellen

EAP-TLS:
ServerValidation>TrustedRootCA

PEAP:
ServerValidation>TrustedRootCA

EAP-TTLS:
ServerValidation>
TrustedRootCAHashes

TEAP:
ServerValidation>
TrustedRootCAHashes

Listet die vertrauenswürdigen Stammzertifizierungsstellen auf. Diese Liste wird anhand der vertrauenswürdigen Stammzertifizierungsstellen erstellt, die auf dem Computer installiert und in den Benutzerzertifikatsspeichern gespeichert sind. Sie können angeben, welche Zertifikate vertrauenswürdiger Stammzertifizierungsstellen die Supplicants verwenden, um zu bestimmen, ob sie Ihren Servern vertrauen, z. B. dem Netzwerkrichtlinienserver (NPS) oder dem Bereitstellungsserver. Sind keine vertrauenswürdigen Stammzertifizierungsstellen ausgewählt, überprüft der 802.1X-Client, ob das Computerzertifikat des RADIUS-Servers von einer installierten vertrauenswürdigen Stammzertifizierungsstelle ausgestellt wurde. Sind eine oder mehrere vertrauenswürdige Stammzertifizierungsstellen ausgewählt, überprüft der 802.1X-Client, ob das Computerzertifikat des RADIUS-Servers von einer ausgewählten vertrauenswürdigen Stammzertifizierungsstelle ausgestellt wurde.

Wenn keine vertrauenswürdigen Stammzertifizierungsstellen ausgewählt sind, überprüft der Client, ob das RADIUS-Serverzertifikat von einer vertrauenswürdigen Stammzertifizierungsstelle ausgestellt wurde.

Wenn Sie in Ihrem Netzwerk eine Public Key-Infrastruktur (PKI) eingerichtet haben und ein RADIUS-Serverzertifikat verwenden, wird dieses Zertifikat automatisch der Liste vertrauenswürdiger Stammzertifizierungsstellen hinzugefügt. Sie können auch ein Zertifizierungsstellenzertifikat von einem Drittanbieter erwerben. Einige vertrauenswürdige Stammzertifizierungsstellen von anderen Anbietern stellen mit dem erworbenen Zertifikat eine Software bereit, die das Zertifikat automatisch im Zertifikatspeicher Vertrauenswürdige Stammzertifizierungsstellen installiert. In diesem Fall wird die vertrauenswürdige Stammzertifizierungsstelle automatisch in der Liste vertrauenswürdiger Stammzertifizierungsstellen angezeigt.

Geben Sie kein Zertifikat einer vertrauenswürdigen Stammzertifizierungsstelle an, das noch nicht in den Zertifikatspeichern Vertrauenswürdige Stammzertifizierungsstellen für Aktueller Benutzer und Lokaler Computer der Clientcomputer aufgeführt ist. Wenn Sie ein Zertifikat angeben, das nicht auf den Client-PCs installiert ist, schlägt die Authentifizierung fehl.

In XML ist dies der SHA-1-Fingerabdruck (Hash) des Zertifikats (bzw. SHA-256 für TEAP).

Eingabeaufforderung zur Serverüberprüfung

In der folgenden Tabelle sind die Optionen für die Eingabeaufforderung zur Serverüberprüfung aufgeführt, die für jede EAP-Methode gelten. Diese Optionen werden im Fall eines nicht vertrauenswürdigen Serverzertifikats für eine der folgenden Aktionen verwendet:

Sofortiges Abbrechen der Verbindung
Zulassen, dass der*die Benutzer*in die Verbindung manuell annehmen oder ablehnen kann

Einstellung	XML-Element
Keine Benutzeraufforderung zur Autorisierung neuer Server oder vertrauenswürdiger Zertifizierungsstellen	ServerValidation>DisableUserPromptForServerValidation

Verhindert (sofern aktiviert), dass der*die Benutzer*in aufgefordert wird, einem Serverzertifikat zu vertrauen, das nicht korrekt konfiguriert ist und/oder das nicht bereits als vertrauenswürdig gilt. Um die Benutzerfreundlichkeit zu vereinfachen und zu verhindern, dass Benutzer einem von einem Angreifer bereitgestellten Server versehentlich vertrauen, wird empfohlen, dieses Kontrollkästchen zu aktivieren.

Einstellung XML-Element

Einstellung	XML-Element
Benachrichtigungen vor der Verbindungsherstellung	ServerValidation> 1. DisableUserPromptForServerValidation=`true` 2. DisableUserPromptForServerValidation=`false` 3. DisableUserPromptForServerValidation=`false`, PeapExtensionsV2> AllowPromptingWhenServerCANotFound

Benachrichtigungen vor der Verbindungsherstellung

ServerValidation>

1. DisableUserPromptForServerValidation=true

2. DisableUserPromptForServerValidation=false

3. DisableUserPromptForServerValidation=false, PeapExtensionsV2> AllowPromptingWhenServerCANotFound

Gibt an, ob der*die Benutzer*in benachrichtigt wird, wenn der Servername oder das Stammzertifikat nicht angegeben ist, oder ob die Identität des Servers nicht überprüft werden kann. Hier finden Sie die verfügbaren Optionen, aus denen Sie wählen können, und ihre jeweilige Bedeutung:

Benutzer*innen nicht zum Autorisieren neuer Server oder vertrauenswürdiger Zertifizierungsstellen auffordern: Wenn der Servername nicht in der Liste Verbindung mit folgenden Servern herstellen enthalten ist, das Stammzertifikat gefunden, aber in der Liste der vertrauenswürdigen Stammzertifizierungsstellen unter PEAP-Eigenschaften nicht ausgewählt ist, oder wenn das Stammzertifikat nicht auf dem Computer gefunden wird, wird der*die Benutzer*in nicht benachrichtigt, und Verbindungsversuche sind nicht erfolgreich.
Benutzer*innen benachrichtigen, wenn kein Servername oder Stammzertifikat angegeben wurde: Wenn der Servername nicht in der Liste Verbindung mit folgenden Servern herstellen enthalten ist oder das Stammzertifikat gefunden, aber in der Liste der vertrauenswürdigen Stammzertifizierungsstellen unter PEAP-Eigenschaften nicht ausgewählt ist, wird der*die Benutzer*in aufgefordert, das Stammzertifikat zu akzeptieren. Akzeptiert der Benutzer das Zertifikat, wird die Authentifizierung fortgesetzt. Lehnt der Benutzer das Zertifikat ab, schlägt der Verbindungsversuch fehl. Wenn das Stammzertifikat bei Verwendung dieser Option nicht auf dem Computer vorhanden ist, wird der*die Benutzer*in nicht benachrichtigt, und der Verbindungsversuch ist nicht erfolgreich.
Benutzer*innen benachrichtigen, wenn die Serveridentität nicht überprüft werden konnte: Wenn der Servername nicht in der Liste Verbindung mit folgenden Servern herstellen enthalten ist, das Stammzertifikat gefunden, aber in der Liste der vertrauenswürdigen Stammzertifizierungsstellen unter PEAP-Eigenschaften nicht ausgewählt ist, oder wenn das Stammzertifikat auf dem Computer nicht gefunden wird, wird der*die Benutzer*in aufgefordert, das Stammzertifikat zu akzeptieren. Akzeptiert der Benutzer das Zertifikat, wird die Authentifizierung fortgesetzt. Lehnt der Benutzer das Zertifikat ab, schlägt der Verbindungsversuch fehl.

Einstellung	XML-Element
Keine Benutzeraufforderung, wenn der Server nicht autorisiert werden kann	ServerValidation> DisableUserPromptForServerValidation

Gibt an (sofern nicht aktiviert), dass der*die Benutzer*in aufgefordert wird, den Server zu akzeptieren oder abzulehnen, wenn die Überprüfung des Serverzertifikats aus einem der folgenden Gründe fehlschlägt:

Es wurde kein Stammzertifikat für das Serverzertifikat gefunden, oder es ist kein solches Zertifikat in der Liste Vertrauenswürdige Stammzertifizierungsstellen ausgewählt.
Mindestens eines der Zwischenstammzertifikate in der Zertifikatkette wurde nicht gefunden.
Der Name des Antragstellers im Serverzertifikat entspricht keinem der Server in der Liste Verbindung mit folgenden Servern herstellen.

Einstellung	XML-Element
Keine Benutzeraufforderung, wenn der Server nicht autorisiert werden kann	ServerValidation>DisablePrompt

Es wurde kein Stammzertifikat für das Serverzertifikat gefunden, oder es ist kein solches Zertifikat in der Liste Vertrauenswürdige Stammzertifizierungsstellen ausgewählt.
Mindestens eines der Zwischenstammzertifikate in der Zertifikatkette wurde nicht gefunden.
Der Name des Antragstellers im Serverzertifikat entspricht keinem der Server in der Liste Verbindung mit folgenden Servern herstellen.

Konfigurationseinstellungen für die Mobilfunkauthentifizierung

Im Anschluss sind die Konfigurationseinstellungen für EAP-SIM, EPA-AKA bzw. EPA-AKA' aufgeführt:

EAP-SIM ist in RFC 4186 definiert. EAP-SIM (Subscriber Identity Module) wird zur Authentifizierung und Sitzungsschlüsselverteilung mithilfe von SIM des GSM-Mobilfunknetzes (Global System for Mobile Communications) der zweiten Generation verwendet.

Die EAP-SIM-Einstellungen auf der Benutzeroberfläche sind EapSimConnectionPropertiesV1 zugeordnet.

Element	XML-Element	BESCHREIBUNG
Starke Verschlüsselungsschlüssel verwenden	UseStrongCipherKeys	Gibt an (sofern aktiviert), dass die starke Verschlüsselung für das Profil verwendet wird.
Bei verfügbarer Pseudonymidentität tatsächliche Identität dem Server gegenüber nicht offenlegen	DontRevealPermanentID	Bei Auswahl dieser Option schlägt die Authentifizierung des Clients fehl, wenn der Server eine permanente Identität anfordert, obwohl dem Client eine Pseudonymidentität zugeordnet ist. Pseudonymidentitäten werden zum Identitätsschutz verwendet, damit die tatsächliche oder permanente Identität eines Benutzers während der Authentifizierung nicht offen gelegt wird.
	ProviderName	Nur in XML verfügbar, eine Zeichenfolge, die den Anbieternamen angibt, der für die Authentifizierung zulässig ist.
Verwendung von Bereichen aktivieren	Realm=`true`	Hier können Sie den Bereichsnamen eingeben. Wenn Sie das Feld leer lassen und Verwendung von Bereichen aktivieren aktiviert ist, wird der Bereich von der IMSI (International Mobile Subscriber Identity) abgeleitet, wobei wie im 3GPP-Standard 23.003 V6.8.0 beschrieben der Bereich „3gpp.org“ verwendet wird.
Bereich angeben	Realm	Hier können Sie einen Bereichsnamen eingeben. Wenn Verwendung von Bereichen aktivieren aktiviert ist, wird diese Zeichenfolge verwendet. Ist dieses Feld leer, wird der abgeleitete Bereich verwendet.

EAP-AKA ist in RFC 4187 definiert. EAP Authentication and Key Agreement (AKA) wird zur Authentifizierung und Sitzungsschlüsselverteilung mithilfe des AKA-Mechanismus verwendet. AKA wird in UMTS-Mobilfunknetzen (Universal Mobile Telecommunications System) der dritten Generation und CDMA2000 verwendet. AKA basiert auf symmetrischen Schlüsseln und wird in der Regel in SIM (Subscriber Identity Module) ausgeführt.

Die EAP-AKA-Einstellungen auf der Benutzeroberfläche sind EapAkaConnectionPropertiesV1 zugeordnet.

Element	XML-Element	BESCHREIBUNG
Bei verfügbarer Pseudonymidentität tatsächliche Identität dem Server gegenüber nicht offenlegen	DontRevealPermanentID	Bei Auswahl dieser Option schlägt die Authentifizierung des Clients fehl, wenn der Server eine permanente Identität anfordert, obwohl dem Client eine Pseudonymidentität zugeordnet ist. Pseudonymidentitäten werden zum Identitätsschutz verwendet, damit die tatsächliche oder permanente Identität eines Benutzers während der Authentifizierung nicht offen gelegt wird.
	ProviderName	Nur in XML verfügbar, eine Zeichenfolge, die den Anbieternamen angibt, der für die Authentifizierung zulässig ist.
Verwendung von Bereichen aktivieren	Realm=`true`	Hier können Sie den Bereichsnamen eingeben. Wenn Sie das Feld leer lassen und Verwendung von Bereichen aktivieren aktiviert ist, wird der Bereich von der IMSI (International Mobile Subscriber Identity) abgeleitet, wobei wie im 3GPP-Standard 23.003 V6.8.0 beschrieben der Bereich „3gpp.org“ verwendet wird.
Bereich angeben	Realm	Hier können Sie einen Bereichsnamen eingeben. Wenn Verwendung von Bereichen aktivieren aktiviert ist, wird diese Zeichenfolge verwendet. Ist dieses Feld leer, wird der abgeleitete Bereich verwendet.

EAP-AKA' ist in RFC 5448 und RFC 9048 definiert. EAP-AKA Prime (AKA') ist eine geänderte Version von EAP-AKA, mit der eine neue Schlüsselableitungsfunktion hinzugefügt wird, um den Zugriff auf 3GPP-basierte Netzwerke mit Nicht-3GPP-Standards zu erleichtern. Dazu zählen z. B. folgende Standards:

WLAN
EVDO (Evolution-Data Optimized)
WiMax (Worldwide Interoperability for Microwave Access)

Die EAP-AKA'-Einstellungen auf der Benutzeroberfläche sind EapAkaPrimeConnectionPropertiesV1 zugeordnet.

Element	XML-Element	BESCHREIBUNG
Bei verfügbarer Pseudonymidentität tatsächliche Identität dem Server gegenüber nicht offenlegen	DontRevealPermanentID	Bei Auswahl dieser Option schlägt die Authentifizierung des Clients fehl, wenn der Server eine permanente Identität anfordert, obwohl dem Client eine Pseudonymidentität zugeordnet ist. Pseudonymidentitäten werden zum Identitätsschutz verwendet, damit die tatsächliche oder permanente Identität eines Benutzers während der Authentifizierung nicht offen gelegt wird.
	ProviderName	Nur in XML verfügbar, eine Zeichenfolge, die den Anbieternamen angibt, der für die Authentifizierung zulässig ist.
Verwendung von Bereichen aktivieren	Realm=`true`	Hier können Sie den Bereichsnamen eingeben. Wenn Sie das Feld leer lassen und Verwendung von Bereichen aktivieren aktiviert ist, wird der Bereich von der IMSI (International Mobile Subscriber Identity) abgeleitet, wobei wie im 3GPP-Standard 23.003 V6.8.0 beschrieben der Bereich „3gpp.org“ verwendet wird.
Bereich angeben	Realm	Hier können Sie einen Bereichsnamen eingeben. Wenn Verwendung von Bereichen aktivieren aktiviert ist, wird diese Zeichenfolge verwendet. Ist dieses Feld leer, wird der abgeleitete Bereich verwendet.
Nicht übereinstimmenden Netzwerknamen ignorieren	IgnoreNetworkNameMismatch	Der Client vergleicht den ihm bekannten Netzwerknamen mit dem Namen, der während der Authentifizierung vom RADIUS-Server gesendet wird. Wenn keine Übereinstimmung vorliegt, wird es ignoriert, wenn diese Option aktiviert ist. Wenn die Option nicht aktiviert ist, schlägt die Authentifizierung fehl.
Schnelle erneute Authentifizierung aktivieren	EnableFastReauth	Gibt an, dass die schnelle erneute Authentifizierung aktiviert ist. Die schnelle erneute Authentifizierung ist hilfreich, wenn häufig SIM-Authentifizierungen ausgeführt werden. Die von der vollständigen Authentifizierung abgeleiteten Verschlüsselungsschlüssel werden wiederverwendet. Daher muss der SIM-Algorithmus nicht bei jedem Authentifizierungsversuch ausgeführt werden, und die Anzahl von Netzwerkvorgängen aufgrund häufiger Authentifizierungsversuche wird reduziert.

WPA3-Enterprise-192-Bit-Modus

Der 192-Bit-Modus von WPA3-Enterprise ist ein spezieller Modus für WPA3-Enterprise, der bestimmte Anforderungen an hohe Sicherheit für Funkverbindungen erzwingt, um mindestens 192 Sicherheitsbits zu bieten. Diese Anforderungen entsprechen der CNSA Suite (Commercial National Security Algorithm), CNSSP 15, einer Reihe kryptografischer Algorithmen, die von der Nationalen Sicherheitsbehörde der USA (NSA) zum Schutz von Verschlusssachen und streng geheimen Informationen zugelassen wurden. Der 192-Bit-Modus kann manchmal als „Suite B-Modus“ bezeichnet werden. Dies ist eine Anspielung auf die Suite B Cryptography-Spezifikation der NSA, die 2016 durch CNSA ersetzt wurde.

Sowohl WPA3-Enterprise als auch der WPA3-Enterprise-192-Bit-Modus sind ab Windows 10, Version 2004 (Build 19041) und Windows Server 2022 verfügbar. WPA3-Enterprise wurde jedoch in Windows 11 als separater Authentifizierungsalgorithmus herausgestellt. In XML ist dies im authEncryption-Element angegeben.

In der folgenden Tabelle sind die für die CNSA Suite erforderlichen Algorithmen aufgeführt.

Algorithmus	Beschreibung	Parameter
Advanced Encryption Standard (AES)	Für die Verschlüsselung verwendete symmetrische Blockchiffre	256-Bit-Schlüssel (AES-256)
ECDH-Schlüsselaustausch (Elliptic Curve Diffie-Hellman)	Asymmetrischer Algorithmus zum Einrichten eines gemeinsamen Geheimnisses (Schlüssel)	384-Bit-Primmoduluskurve (P-384)
Elliptic Curve Digital Signature Algorithm (ECDSA)	Asymmetrischer Algorithmus für digitale Signaturen	384-Bit-Primmoduluskurve (P-384)
Secure Hash Algorithm (SHA)	Kryptografische Hashfunktion	SHA-384
DH-Schlüsselaustausch (Diffie-Hellman)	Asymmetrischer Algorithmus zum Einrichten eines gemeinsamen Geheimnisses (Schlüssel)	3072-Bit-Modulus
Rivest-Shamir-Adleman (RSA)	Asymmetrischer Algorithmus für digitale Signaturen oder Schlüsseleinrichtung	3072-Bit-Modulus

Für die Anpassung an CNSA erfordert der WPA3-Enterprise-192-Bit-Modus, dass EAP-TLS mit den folgenden Suites mit Verschlüsselungsverfahren mit Einschränkungen verwendet wird:

TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
- ECDHE und ECDSA mit der 384-Bit-Primmoduluskurve (P-384)
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 / TLS_DHE_RSA_AES_256_GCM_SHA384
- ECDHE mit der 384-Bit-Primmoduluskurve (P-384)
- RSA >= 3072-Bit-Modulus

Hinweis

P-384 wird auch als secp384r1 oder nistp384 bezeichnet. Andere elliptische Kurven wie P-521 sind nicht zulässig.

SHA-384 gehört zur SHA-2-Familie von Hashfunktionen. Andere Algorithmen und Varianten wie SHA-512 oder SHA3-384 sind nicht zulässig.

Windows unterstützt nur die Suites mit Verschlüsselungsverfahren TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 und TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 für den WPA3-Enterprise-192-Bit-Modus. Die Suites mit Verschlüsselungsverfahren TLS_DHE_RSA_AES_256_GCM_SHA384 wird nicht unterstützt.

TLS 1.3 verwendet neue vereinfachte TLS-Suites, von denen nur TLS_AES_256_GCM_SHA384 mit dem WPA3-Enterprise-192-Bit-Modus kompatibel ist. Da TLS 1.3 (EC)DHE erfordert und ECDSA- oder RSA-Zertifikate sowie den AES-256-AEAD- und SHA384-Hash zulässt, entspricht TLS_AES_256_GCM_SHA384TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 und TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384. RFC 8446 erfordert jedoch, dass TLS 1.3-konforme Anwendungen P-256 unterstützen, was gemäß CNSA untersagt ist. Daher kann der WPA3-Enterprise-192-Bit-Modus nicht vollständig mit TLS 1.3 konform sein. Es sind jedoch keine Interoperabilitätsprobleme mit TLS 1.3 und dem WPA3-Enterprise-192-Bit-Modus bekannt.

Zum Konfigurieren eines Netzwerks für den WPA3-Enterprise-192-Bit-Modus erfordert Windows, dass EAP-TLS mit einem Zertifikat verwendet wird, das die zuvor beschriebenen Anforderungen erfüllt.

Extensible Authentication-Protokoll (EAP) für den Netzwerkzugriff

Authentifizierungsmethoden

Konfigurieren von EAP-Eigenschaften

XML-Profile für EAP

Sicherheitseinstellungen

Erweiterte Sicherheitseinstellungen > IEEE 802.1X

Erweiterte Sicherheitseinstellungen > Single Sign-On

Konfigurationseinstellungen für die Authentifizierungsmethode

Servervalidierung

Eingabeaufforderung zur Serverüberprüfung

Konfigurationseinstellungen für die Mobilfunkauthentifizierung

WPA3-Enterprise-192-Bit-Modus

Zusätzliche Ressourcen

Zusätzliche Ressourcen