Eigenschaften der EAP-Methode
Wird von Unterstützungs- und Authentifikatoren verwendet, um die EAP-Methoden zu bestimmen, die mit einer bestimmten Unterstützung oder einem Authentifikator verwendet werden sollen. Methodeneigenschaften geben auch die Konfiguration einer Methode an.
Beispielsweise erfordert die 802.1X-Supplizierung möglicherweise, dass Methoden bestimmte Eigenschaften für die Verwendung mit der 802.1X-Supplikation aufweisen. Schlüsselmaterial ist z. B. eine Anforderung.
Die von EAP-Methoden unterstützten Eigenschaften werden aufgeführt. Eigenschaften werden als Registrierungsschlüsselwerte gespeichert. Weitere Informationen finden Sie im Abschnitt EAP-Peermethoden-DLL-Registrierungsschlüssel des Themas Registrierungskonfiguration für EAP-Methoden.
-
eapPropCipherSuiteNegotiation
-
-
0x00000001
-
Mit der -Methode kann die Verschlüsselungssammlung zum Zweck der Datenverschlüsselung ausgehandelt werden. Windows Server 2008 unterstützt die folgenden 3DES-Verschlüsselungssammlungen:
- TLS _ RSA _ MIT _ 3DES _ EDE _ CBC SHA _ (TLS & SSL 3)
- TLS _ DHE _ DSS _ MIT _ 3DES _ EDE _ CBC SHA _ (TLS & SSL 3)
- SSL _ CK _ DES _ 192 _ EDE3 _ CBC WITH _ _ MD5 (SSL 2, falls aktiviert)
Weitere Informationen zum TLS 1.0-Sicherheitsprotokoll finden Sie unter RFC 2246.
-
-
eapPropMutualAuth
-
-
0x00000002
-
Die -Methode stellt einen Austausch bereit, bei dem der Authentifikator den Peer authentifiziert und umgekehrt.
-
-
eapPropIntegrity
-
-
0x00000004
-
Die -Methode bietet datenursprungsbasierte Authentifizierung und Schutz vor nicht autorisierten Änderungen von Informationen für EAP-Pakete, einschließlich EAP-Anforderungen und -Antworten. Beim Erstellen dieses Anspruchs muss eine Methodenspezifikation die geschützten EAP-Pakete und geschützten Felder in EAP-Paketen angeben.
-
-
eapPropReplayProtection
-
-
0x00000008
-
Die -Methode kann vor der Wiedergabe einer EAP-Methode oder ihrer Nachrichten schützen. Erfolgs- und Fehlerergebnishinweise können nicht wiedergegeben werden.
-
-
eapPropConfidentiality
-
-
0x00000010
-
Die -Methode kann EAP-Nachrichten verschlüsseln. EAP-Anforderungen, EAP-Antworten, Erfolgsergebnisanzeigen und Fehlerergebnisanzeigen werden verschlüsselt. Eine Methode, die diesen Anspruch stellt, muss identitätsschutz unterstützen.
-
-
eapPropKeyDerivation
-
-
0x00000020
-
Die -Methode kann exportierbares Schlüsselmaterial ableiten, z. B. den Mastersitzungsschlüssel (Master Session Key, MSK) und den erweiterten Mastersitzungsschlüssel (Extended Master Session Key, EMSK). Das MSK wird nur für die weitere Schlüsselableitung verwendet, nicht direkt zum Schutz der EAP-Konversation oder nachfolgender Daten. Die Verwendung des EMSK ist reserviert.
-
-
eapPropKeyStrength64
-
-
0x00000040
-
Die von der EAP-Methode unterstützte Mindestschlüssellänge beträgt 64 Bits.
-
-
eapPropKeyStrength128
-
-
0x00000080
-
Die von der EAP-Methode unterstützte Mindestschlüssellänge beträgt 128 Bits.
-
-
eapPropKeyStrength256
-
-
0x00000100
-
Die von der EAP-Methode unterstützte Mindestschlüssellänge beträgt 256 Bit.
-
-
eapPropKeyStrength512
-
-
0x00000200
-
Die von der EAP-Methode unterstützte Mindestschlüssellänge beträgt 512 Bits.
-
-
eapPropKeyStrength1024
-
-
0x00000400
-
Die von der EAP-Methode unterstützte Mindestschlüssellänge beträgt 1024 Bits.
-
-
eapPropDictionaryAngriffResistance
-
-
0x00000800
-
Die -Methode lässt keinen Offlineangriff zu, der basierend auf der Anzahl der Kennwörter im Wörterbuch eines Angreifers einen Arbeitsfaktor aufwies. Wenn die Kennwortauthentifizierung verwendet wird, werden Kennwörter häufig aus einer kleinen Gruppe ausgewählt (im Vergleich zu einem Satz von N-Bit-Schlüsseln), was zu Bedenken bei Wörterbuchangriffen führt. Eine Methode kann als Schutz vor Wörterbuchangriffen bezeichnet werden, wenn sie ein Kennwort als Geheimnis verwendet, lässt die Methode keinen Offlineangriff zu, der basierend auf der Anzahl von Kennwörtern im Wörterbuch eines Angreifers einen Arbeitsfaktor hat.
-
-
eapPropFastReconnect
-
-
0x00001000
-
Die -Methode hat die Möglichkeit, für den Fall, dass zuvor eine Sicherheitszuordnung eingerichtet wurde, eine neue oder aktualisierte Sicherheitszuordnung effizienter oder in einer kleineren Anzahl von Roundtrips zu erstellen.
-
-
eapPropCryptoBinding
-
-
0x00002000
-
Die -Methode zeigt dem EAP-Server, dass eine einzelne Entität als EAP-Peer für alle Methoden fungiert, die innerhalb einer Tunnelmethode ausgeführt werden. Die Bindung kann auch implizieren, dass der EAP-Server dem Peer zeigt, dass eine einzelne Entität als EAP-Server für alle Methoden fungiert, die innerhalb einer Tunnelmethode ausgeführt werden. Bei ordnungsgemäßer Ausführung dient die Bindung dazu, Man-in-the-Middle-Sicherheitsrisiken zu minimieren.
-
-
eapPropSessionIndependence
-
-
0x00004000
-
Die -Methode zeigt, dass passive Angriffe (z. B. die Erfassung der EAP-Konversation) oder aktive Angriffe (einschließlich kompromittieren des MSK oder EMSK) nachfolgende oder vorherige MSKs oder EMSKs nicht gefährden.
-
-
eapPropFragmentation
-
-
0x00008000
-
Die -Methode kann Fragmentierung und Neuassembly unterstützen, wenn EAP-Pakete die minimale MTU (maximale Übertragungseinheit) von 1.020 Oktetten überschreiten.
-
-
eapPropChannelBinding
-
-
0x00010000
-
Die -Methode kann integritätsgeschützte Kanaleigenschaften kommunizieren, z. B. Endpunktbezeichner, die mithilfe von Out-of-Band-Mechanismen wie Authentifizierung, Autorisierung und Buchhaltung (AAA) oder dem Protokoll der unteren Ebene verglichen werden können.
-
-
eapPropNap
-
-
0x00020000
-
Die -Methode unterstützt Network Access Protection (NAP).
-
-
eapPropStandalone
-
-
0x00040000
-
Die -Methode kann auf einem eigenständigen Computer verwendet werden.
-
-
eapPropMppeEncryption
-
-
0x00080000
-
Die -Methode unterstützt die MPPE-Protokollverschlüsselung (Point-to-Point Encryption) von Microsoft.
-
-
eapPropTunnelMethod
-
-
0x00100000
-
Die -Methode unterstützt das Tunneln anderer EAP-Methoden.
-
-
eapPropSupportsConfig
-
-
0x00200000
-
Die -Methode unterstützt konfigurierbare Eigenschaften und verfügt über eine Benutzeroberfläche.
-
-
eapPropCertifiedMethod
-
-
0x00400000
-
Die Methode wurde vom EAP-Zertifizierungsprogramm zertifiziert. Dieses Bit sollte nur von EAP-Methoden gesendet werden, die die Zertifizierung bestanden haben.
-
-
eapPropmachineAuth
-
-
0x01000000
-
Windows 7 oder höher: Die -Methode kann verwendet werden, um einen Computer in einem Netzwerk mithilfe der Computeranmeldeinformationen zu authentifizieren.
-
-
eapPropUserAuth
-
-
0x02000000
-
Windows 7 oder höher: Die -Methode kann verwendet werden, um einen Benutzer mithilfe der Benutzeranmeldeinformationen bei einem Netzwerk zu authentifizieren.
-
-
eapPropIdentityPrivacy
-
-
0x04000000
-
Windows 7 oder höher: Die -Methode unterstützt das Senden der Benutzeridentität in einem geschützten Kanal.
-
-
eapPropMethodChaining
-
-
0x08000000
-
Windows 7 oder höher: Die Methode ist eine Tunnelmethode und unterstützt die EAP-Methodenkette innerhalb des Tunnels.
-
-
eapPropSharedStateEquivalence
-
-
0x10000000
-
Windows 7 oder höher: Die -Methode unterstützt gemeinsam genutzte Statusäquivalenz gemäß RFC 4017.
-
-
eapPropReserved
-
-
0x80000000
-
Reserviert. Wird nicht verwendet.
-
Requirements (Anforderungen)
| Anforderung | Wert |
|---|---|
| Unterstützte Mindestversion (Client) |
Windows [Nur Vista-Desktop-Apps] |
| Unterstützte Mindestversion (Server) |
Windows Nur Server [ 2008-Desktop-Apps] |
| Header |
|