Параметры проверки подлинности для VPN
В дополнение к старым и менее безопасным методам проверки подлинности с паролем (которых следует избегать), встроенное решение VPN использует протокол EAP для безопасной проверки подлинности на основе сертификатов и на основе имени пользователя и пароля. Вы можете настроить проверку подлинности на основе EAP, только выбрав встроенный тип VPN (IKEv2, L2TP, PPTP или автоматический).
Windows поддерживает различные методы проверки подлинности EAP.
протокол проверки подлинности EAP-Microsoft challenge Handshake Authentication Protocol версии 2 (EAP-MSCHAPv2):
- Проверка подлинности на основе имени пользователя и пароля
- Учетные данные Winlogon — можно настроить проверку подлинности с помощью учетных данных компьютера
безопасность уровня EAP-Transport (EAP-TLS):
Поддерживает следующие типы проверки подлинности сертификатов:
- Сертификат с ключами в программном поставщике хранилища ключей (KSP)
- Сертификат с ключами в KSP доверенного платформенного модуля (TPM)
- Сертификаты смарт-карта
- Сертификат Windows Hello для бизнеса
Фильтрация сертификатов:
- Фильтрацию сертификатов можно включить для поиска определенного сертификата, который будет использоваться для проверки подлинности
- Фильтрация может быть на основе издателя или расширенного использования ключа (EKU)
Проверка сервера— при использовании ПРОТОКОЛА TLS проверка сервера может быть включена или отключена:
- Имя сервера — укажите сервер для проверки
- Сертификат сервера — доверенный корневой сертификат для проверки подлинности сервера
- Уведомление — укажите, увидит ли пользователь уведомление с вопросом о том, нужно ли доверять серверу
Защищенный протокол расширенной проверки подлинности (PEAP):
Проверка сервера— с помощью PEAP проверка сервера может быть включена или отключена:
- Имя сервера — укажите сервер для проверки
- Сертификат сервера — доверенный корневой сертификат для проверки подлинности сервера
- Уведомление — укажите, увидит ли пользователь уведомление с вопросом о том, нужно ли доверять серверу
Внутренний метод — внешний метод создает защищенный туннель внутри, а внутренний метод используется для завершения проверки подлинности:
- EAP-MSCHAPv2
- EAP-TLS
Быстрое переподключение: сокращает задержку между запросом на проверку подлинности клиента и ответом сервера политики сети (NPS) или другого сервера RADIUS. Это снижает требования к ресурсам для клиента и сервера, а также уменьшает число запросов учетных данных у пользователей.
Шифрование. Наследуя и обменяя значениями из материала ключа этапа 1 PEAP (ключ туннеля) и из материала ключа внутреннего ключа метода PEAP этапа 2 EAP (внутренний ключ сеанса), можно доказать, что две проверки подлинности завершаются в одних и том же двух сущностях (одноранговый сервер PEAP и сервер PEAP). Этот процесс называется "привязкой с шифрованием" и используется для защиты согласования PEAP от атак типа "злоумышленник в середине".
Протокол TTLS
- Внутренний метод
- Не EAP
- Протокол PAP
- CHAP
- MSCHAP
- MSCHAPv2
- EAP
- MSChapv2
- TLS
- Не EAP
- Проверка сервера: в TTLS сервер должен быть проверен. Следующие параметры можно настроить.
- Имя сервера
- Доверенный корневой сертификат для сертификата сервера
- Следует ли отправлять уведомление о проверке сервера
- Внутренний метод
Для подключаемого модуля UWP VPN поставщик приложения управляет используемым методом проверки подлинности. Можно использовать следующие типы учетных данных:
- смарт-карта;
- сертификат;
- Windows Hello для бизнеса;
- имя пользователя и пароль;
- одноразовый пароль;
- пользовательский тип учетных данных.
Настройка проверка подлинности
Конфигурацию XML для EAP см. в разделе Конфигурация EAP.
Примечание.
Чтобы настроить проверку подлинности Windows Hello для бизнеса, выполните действия, описанные в разделе Конфигурация EAP для создания сертификата смарт-карты. Дополнительные сведения о Windows Hello для бизнеса..
На следующем изображении показано поле для EAP XML в профиле VPN решения Microsoft Intune. Поле EAP XML отображается только при выборе встроенного типа подключения (автоматический, IKEv2, L2TP, PPTP).
