Eigenschaften der EAP-Methode

Wird von Unterstützungs- und Authentifikatoren verwendet, um die EAP-Methoden zu bestimmen, die mit einer bestimmten Unterstützung oder einem Authentifikator verwendet werden sollen. Methodeneigenschaften geben auch die Konfiguration einer Methode an.

Beispielsweise erfordert die 802.1X-Supplizierung möglicherweise, dass Methoden bestimmte Eigenschaften für die Verwendung mit der 802.1X-Supplikation aufweisen. Schlüsselmaterial ist z. B. eine Anforderung.

Die von EAP-Methoden unterstützten Eigenschaften werden aufgeführt. Eigenschaften werden als Registrierungsschlüsselwerte gespeichert. Weitere Informationen finden Sie im Abschnitt EAP-Peermethoden-DLL-Registrierungsschlüssel des Themas Registrierungskonfiguration für EAP-Methoden.

eapPropCipherSuiteNegotiation

0x00000001

Mit der -Methode kann die Verschlüsselungssammlung zum Zweck der Datenverschlüsselung ausgehandelt werden. Windows Server 2008 unterstützt die folgenden 3DES-Verschlüsselungssammlungen:

  • TLS _ RSA _ MIT _ 3DES _ EDE _ CBC SHA _ (TLS & SSL 3)
  • TLS _ DHE _ DSS _ MIT _ 3DES _ EDE _ CBC SHA _ (TLS & SSL 3)
  • SSL _ CK _ DES _ 192 _ EDE3 _ CBC WITH _ _ MD5 (SSL 2, falls aktiviert)

Weitere Informationen zum TLS 1.0-Sicherheitsprotokoll finden Sie unter RFC 2246.

eapPropMutualAuth

0x00000002

Die -Methode stellt einen Austausch bereit, bei dem der Authentifikator den Peer authentifiziert und umgekehrt.

eapPropIntegrity

0x00000004

Die -Methode bietet datenursprungsbasierte Authentifizierung und Schutz vor nicht autorisierten Änderungen von Informationen für EAP-Pakete, einschließlich EAP-Anforderungen und -Antworten. Beim Erstellen dieses Anspruchs muss eine Methodenspezifikation die geschützten EAP-Pakete und geschützten Felder in EAP-Paketen angeben.

eapPropReplayProtection

0x00000008

Die -Methode kann vor der Wiedergabe einer EAP-Methode oder ihrer Nachrichten schützen. Erfolgs- und Fehlerergebnishinweise können nicht wiedergegeben werden.

eapPropConfidentiality

0x00000010

Die -Methode kann EAP-Nachrichten verschlüsseln. EAP-Anforderungen, EAP-Antworten, Erfolgsergebnisanzeigen und Fehlerergebnisanzeigen werden verschlüsselt. Eine Methode, die diesen Anspruch stellt, muss identitätsschutz unterstützen.

eapPropKeyDerivation

0x00000020

Die -Methode kann exportierbares Schlüsselmaterial ableiten, z. B. den Mastersitzungsschlüssel (Master Session Key, MSK) und den erweiterten Mastersitzungsschlüssel (Extended Master Session Key, EMSK). Das MSK wird nur für die weitere Schlüsselableitung verwendet, nicht direkt zum Schutz der EAP-Konversation oder nachfolgender Daten. Die Verwendung des EMSK ist reserviert.

eapPropKeyStrength64

0x00000040

Die von der EAP-Methode unterstützte Mindestschlüssellänge beträgt 64 Bits.

eapPropKeyStrength128

0x00000080

Die von der EAP-Methode unterstützte Mindestschlüssellänge beträgt 128 Bits.

eapPropKeyStrength256

0x00000100

Die von der EAP-Methode unterstützte Mindestschlüssellänge beträgt 256 Bit.

eapPropKeyStrength512

0x00000200

Die von der EAP-Methode unterstützte Mindestschlüssellänge beträgt 512 Bits.

eapPropKeyStrength1024

0x00000400

Die von der EAP-Methode unterstützte Mindestschlüssellänge beträgt 1024 Bits.

eapPropDictionaryAngriffResistance

0x00000800

Die -Methode lässt keinen Offlineangriff zu, der basierend auf der Anzahl der Kennwörter im Wörterbuch eines Angreifers einen Arbeitsfaktor aufwies. Wenn die Kennwortauthentifizierung verwendet wird, werden Kennwörter häufig aus einer kleinen Gruppe ausgewählt (im Vergleich zu einem Satz von N-Bit-Schlüsseln), was zu Bedenken bei Wörterbuchangriffen führt. Eine Methode kann als Schutz vor Wörterbuchangriffen bezeichnet werden, wenn sie ein Kennwort als Geheimnis verwendet, lässt die Methode keinen Offlineangriff zu, der basierend auf der Anzahl von Kennwörtern im Wörterbuch eines Angreifers einen Arbeitsfaktor hat.

eapPropFastReconnect

0x00001000

Die -Methode hat die Möglichkeit, für den Fall, dass zuvor eine Sicherheitszuordnung eingerichtet wurde, eine neue oder aktualisierte Sicherheitszuordnung effizienter oder in einer kleineren Anzahl von Roundtrips zu erstellen.

eapPropCryptoBinding

0x00002000

Die -Methode zeigt dem EAP-Server, dass eine einzelne Entität als EAP-Peer für alle Methoden fungiert, die innerhalb einer Tunnelmethode ausgeführt werden. Die Bindung kann auch implizieren, dass der EAP-Server dem Peer zeigt, dass eine einzelne Entität als EAP-Server für alle Methoden fungiert, die innerhalb einer Tunnelmethode ausgeführt werden. Bei ordnungsgemäßer Ausführung dient die Bindung dazu, Man-in-the-Middle-Sicherheitsrisiken zu minimieren.

eapPropSessionIndependence

0x00004000

Die -Methode zeigt, dass passive Angriffe (z. B. die Erfassung der EAP-Konversation) oder aktive Angriffe (einschließlich kompromittieren des MSK oder EMSK) nachfolgende oder vorherige MSKs oder EMSKs nicht gefährden.

eapPropFragmentation

0x00008000

Die -Methode kann Fragmentierung und Neuassembly unterstützen, wenn EAP-Pakete die minimale MTU (maximale Übertragungseinheit) von 1.020 Oktetten überschreiten.

eapPropChannelBinding

0x00010000

Die -Methode kann integritätsgeschützte Kanaleigenschaften kommunizieren, z. B. Endpunktbezeichner, die mithilfe von Out-of-Band-Mechanismen wie Authentifizierung, Autorisierung und Buchhaltung (AAA) oder dem Protokoll der unteren Ebene verglichen werden können.

eapPropNap

0x00020000

Die -Methode unterstützt Network Access Protection (NAP).

eapPropStandalone

0x00040000

Die -Methode kann auf einem eigenständigen Computer verwendet werden.

eapPropMppeEncryption

0x00080000

Die -Methode unterstützt die MPPE-Protokollverschlüsselung (Point-to-Point Encryption) von Microsoft.

eapPropTunnelMethod

0x00100000

Die -Methode unterstützt das Tunneln anderer EAP-Methoden.

eapPropSupportsConfig

0x00200000

Die -Methode unterstützt konfigurierbare Eigenschaften und verfügt über eine Benutzeroberfläche.

eapPropCertifiedMethod

0x00400000

Die Methode wurde vom EAP-Zertifizierungsprogramm zertifiziert. Dieses Bit sollte nur von EAP-Methoden gesendet werden, die die Zertifizierung bestanden haben.

eapPropmachineAuth

0x01000000

Windows 7 oder höher: Die -Methode kann verwendet werden, um einen Computer in einem Netzwerk mithilfe der Computeranmeldeinformationen zu authentifizieren.

eapPropUserAuth

0x02000000

Windows 7 oder höher: Die -Methode kann verwendet werden, um einen Benutzer mithilfe der Benutzeranmeldeinformationen bei einem Netzwerk zu authentifizieren.

eapPropIdentityPrivacy

0x04000000

Windows 7 oder höher: Die -Methode unterstützt das Senden der Benutzeridentität in einem geschützten Kanal.

eapPropMethodChaining

0x08000000

Windows 7 oder höher: Die Methode ist eine Tunnelmethode und unterstützt die EAP-Methodenkette innerhalb des Tunnels.

eapPropSharedStateEquivalence

0x10000000

Windows 7 oder höher: Die -Methode unterstützt gemeinsam genutzte Statusäquivalenz gemäß RFC 4017.

eapPropReserved

0x80000000

Reserviert. Wird nicht verwendet.

Requirements (Anforderungen)

Anforderung Wert
Unterstützte Mindestversion (Client)
Windows [Nur Vista-Desktop-Apps]
Unterstützte Mindestversion (Server)
Windows Nur Server [ 2008-Desktop-Apps]
Header
Eaptypes.h

Weitere Informationen

Registrierungsschlüssel für EAP-Methoden

Allgemeine EAPHost-Konstanten