Bei Microsoft anmelden
Melden Sie sich an, oder erstellen Sie ein Konto.
Hallo,
Wählen Sie ein anderes Konto aus.
Sie haben mehrere Konten.
Wählen Sie das Konto aus, mit dem Sie sich anmelden möchten.

Microsoft Challenge Handshake Authentication Protocol Version 2 (MS-CHAP v2) ist ein kennwortbasiertes Authentifizierungsprotokoll, das eine weit verbreitete Authentifizierungsmethode in PPTP-basierten (Point to Point Tunneling-Protokoll) VPNs ist. Microsoft weist alle Organisationen, die MS-CHAP v2 ohne Kapseln in Verbindung mit PPTP-Tunneln für die VPN-Konnektivität verwendet, darauf hin, dass sie eine potenziell unsichere Konfiguration verwenden. 

EINFÜHRUNG

Microsoft empfiehlt, dass Organisationen, die MS-CHAP v2/PPTP verenden, PEAP in ihren Netzwerken implementieren. Dies verringert diese Technik durch das Kapseln des Datenverkehrs der MS-CHAP v2-Authentifizierung in TLS.

Konfigurieren von PPTP für die Verwendung von PEAP-MS-CHAP v2 für die Authentifizierung

PEAP-MS-CHAP v2

PEAP mit MS-CHAP v2 als Methode für die Clientauthentifizierung ist eine Möglichkeit, die VPN-Authentifizierung zu sichern. Um die Verwendung von PEAP auf Clientplattformen durchzusetzen, sollten RRAS-Server (Windows Routing und Remote Access Server) so konfiguriert werden, dass sie nur Verbindungen zulassen, welche die PEAP-Authentifizierung zulassen und Verbindungen ablehnen, die MS-CHAP v2 oder EAP-MS-CHAP v2 verwenden. Administratoren müssen die entsprechenden Optionen für die Authentifizierungsmethode auf dem RRAS-Server und dem NPS-Server (Network Policy Server) überprüfen. 

Administratoren müssen zudem Folgendes bestätigen:

  • Die Überprüfung des Serverzertifikats ist aktiviert. (Das Standardverhalten ist "ON".)

  • Die Überprüfung des Servernamens ist aktiviert. (Das Standardverhalten ist "ON".) Der richtige Servername muss angegeben werden.

  • Das Stammzertifikat, von dem das Serverzertifikat ausgegeben wurde, ist im Speicher des Clientsystems ordnungsgemäß installiert und aktiviert. (Immer "ON").

  • Unter Windows 7, Windows Vista und Windows XP sollte das Kontrollkästchen Keine Benutzeraufforderung zur Autorisierung neuer Server oder vertrauenswürdiger Zertifizierungsstellen im PEAP-Eigenschaftenfenster aktiviert sein. Die Funktion ist standardmäßig deaktiviert.

Konfigurieren des RRAS-Servers für die PEAP-MS-CHAP v2-Authentifizierungsmethode

Das Verfahren für das Konfigurieren der PEAP-MS-CHAP v2-Authentifizierungsmethode für den RRAS-Server und für das Deaktivieren der weniger sicheren Methoden MS-CHAP v2 und EAP-MS-CHAP v2 ist in den folgenden Schritten kurz beschrieben. 

Konfigurieren der Authentifizierungsmethode für RRAS

Gehen Sie hierzu folgendermaßen vor:

  1. Öffnen Sie im Fenster "RRAS Server Management" das Dialogfeld Servereigenschaften, und klicken Sie dann auf die Registerkarte Sicherheit.

  2. Klicken Sie auf Authentifizierungsmethoden.

  3. Stellen Sie sicher, dass das Kontrollkästchen EAP aktiviert und das Kontrollkästchen MS-CHAP v2 deaktiviert ist.

Konfigurieren der Verbindungen für NPS

Konfigurieren Sie den Network Policy Server (NPS) so, dass nur Verbindungen von Clients zugelassen werden, welche die PEAP-MS-CHAP v2-Authentifizierungsmethode verwenden. Gehen Sie wie folgt vor, um den NPS zu konfigurieren:

  1. Öffnen Sie das Dialogfeld NPS, klicken Sie auf Richtlinien und dann auf Netzwerk Richtlinien.

  2. Klicken Sie mit der rechten Maustaste auf Verbindungen mit dem Microsoft Routing- und RAS-Server, und klicken Sie auf Eigenschaften.

  3. Klicken Sie im Dialogfeld Eigenschaften auf die Registerkarte Einschränkungen.

  4. Wählen Sie im linken Bereich Einschränkungen die Option Authentifizierungsmethoden, und deaktivieren Sie dann die Kontrollkästchen für die Methoden MS-CHAP und MS-CHAP-v2.

  5. Entfernen Sie EAP-MS-CHAP v2 aus der Liste EAP-Typen.

  6. Klicken Sie auf Hinzufügen, wählen Sie PEAP-Authentifizierungsmethode, und klicken Sie dann auf OK.


    Hinweis Vor dem Konfigurieren der NPS-Verbindung muss im privaten Speicher ein gültiges Serverzertifikat und im Speicher "Vertrauenswürdige Stammzertifizierungsstelle" muss ein gültiges Stammzertifikat installiert sein.

  7. Klicken Sie auf Bearbeiten, und wählen Sie dann EAP-MS-CHAP v2 als Authentifizierungsmethode.

Konfigurieren des RRAS-Clients für die PEAP-MS-CHAP v2-Authentifizierungsmethode

Windows-VPN-Clients können für die Verwendung der PEAP-MS-CHAP v2-Authentifizierungsmethode konfiguriert werden, indem die entsprechende Methode im Dialogfeld für die Eigenschaften der VPN-Verbindung ausgewählt und das entsprechende Stammzertifikat auf dem Clientsystem installiert wird.

Empfehlungen

Facebook LinkedIn E-Mail

Benötigen Sie weitere Hilfe?

Möchten Sie weitere Optionen?

Entdecken Community

Erkunden Sie die Abonnementvorteile, durchsuchen Sie Trainingskurse, erfahren Sie, wie Sie Ihr Gerät schützen und vieles mehr.

Vorteile des Microsoft 365-Abonnements

Microsoft 365-Training

Microsoft Security

Barrierefreiheitscenter

In den Communities können Sie Fragen stellen und beantworten, Feedback geben und von Experten mit umfassendem Wissen hören.

Fragen Sie die Microsoft Community

Microsoft Tech Community

Windows-Insider

Microsoft 365 Insider

War diese Information hilfreich?

Wie zufrieden sind Sie mit der Sprachqualität?
Was hat Ihre Erfahrung beeinflusst?
Wenn Sie auf "Absenden" klicken, wird Ihr Feedback zur Verbesserung von Produkten und Diensten von Microsoft verwendet. Ihr IT-Administrator kann diese Daten sammeln. Datenschutzbestimmungen.

Vielen Dank für Ihr Feedback!

×