Microsoft Challenge Handshake Authentication Protocol Version 2 (MS-CHAP v2) ist ein kennwortbasiertes Authentifizierungsprotokoll, das eine weit verbreitete Authentifizierungsmethode in PPTP-basierten (Point to Point Tunneling-Protokoll) VPNs ist. Microsoft weist alle Organisationen, die MS-CHAP v2 ohne Kapseln in Verbindung mit PPTP-Tunneln für die VPN-Konnektivität verwendet, darauf hin, dass sie eine potenziell unsichere Konfiguration verwenden.
EINFÜHRUNG
Microsoft empfiehlt, dass Organisationen, die MS-CHAP v2/PPTP verenden, PEAP in ihren Netzwerken implementieren. Dies verringert diese Technik durch das Kapseln des Datenverkehrs der MS-CHAP v2-Authentifizierung in TLS.
Konfigurieren von PPTP für die Verwendung von PEAP-MS-CHAP v2 für die Authentifizierung
PEAP-MS-CHAP v2
PEAP mit MS-CHAP v2 als Methode für die Clientauthentifizierung ist eine Möglichkeit, die VPN-Authentifizierung zu sichern. Um die Verwendung von PEAP auf Clientplattformen durchzusetzen, sollten RRAS-Server (Windows Routing und Remote Access Server) so konfiguriert werden, dass sie nur Verbindungen zulassen, welche die PEAP-Authentifizierung zulassen und Verbindungen ablehnen, die MS-CHAP v2 oder EAP-MS-CHAP v2 verwenden. Administratoren müssen die entsprechenden Optionen für die Authentifizierungsmethode auf dem RRAS-Server und dem NPS-Server (Network Policy Server) überprüfen.
Administratoren müssen zudem Folgendes bestätigen:
-
Die Überprüfung des Serverzertifikats ist aktiviert. (Das Standardverhalten ist "ON".)
-
Die Überprüfung des Servernamens ist aktiviert. (Das Standardverhalten ist "ON".) Der richtige Servername muss angegeben werden.
-
Das Stammzertifikat, von dem das Serverzertifikat ausgegeben wurde, ist im Speicher des Clientsystems ordnungsgemäß installiert und aktiviert. (Immer "ON").
-
Unter Windows 7, Windows Vista und Windows XP sollte das Kontrollkästchen Keine Benutzeraufforderung zur Autorisierung neuer Server oder vertrauenswürdiger Zertifizierungsstellen im PEAP-Eigenschaftenfenster aktiviert sein. Die Funktion ist standardmäßig deaktiviert.
Konfigurieren des RRAS-Servers für die PEAP-MS-CHAP v2-Authentifizierungsmethode
Das Verfahren für das Konfigurieren der PEAP-MS-CHAP v2-Authentifizierungsmethode für den RRAS-Server und für das Deaktivieren der weniger sicheren Methoden MS-CHAP v2 und EAP-MS-CHAP v2 ist in den folgenden Schritten kurz beschrieben.
Konfigurieren der Authentifizierungsmethode für RRAS
Gehen Sie hierzu folgendermaßen vor:
-
Öffnen Sie im Fenster "RRAS Server Management" das Dialogfeld Servereigenschaften, und klicken Sie dann auf die Registerkarte Sicherheit.
-
Klicken Sie auf Authentifizierungsmethoden.
-
Stellen Sie sicher, dass das Kontrollkästchen EAP aktiviert und das Kontrollkästchen MS-CHAP v2 deaktiviert ist.
Konfigurieren der Verbindungen für NPS
Konfigurieren Sie den Network Policy Server (NPS) so, dass nur Verbindungen von Clients zugelassen werden, welche die PEAP-MS-CHAP v2-Authentifizierungsmethode verwenden. Gehen Sie wie folgt vor, um den NPS zu konfigurieren:
-
Öffnen Sie das Dialogfeld NPS, klicken Sie auf Richtlinien und dann auf Netzwerk Richtlinien.
-
Klicken Sie mit der rechten Maustaste auf Verbindungen mit dem Microsoft Routing- und RAS-Server, und klicken Sie auf Eigenschaften.
-
Klicken Sie im Dialogfeld Eigenschaften auf die Registerkarte Einschränkungen.
-
Wählen Sie im linken Bereich Einschränkungen die Option Authentifizierungsmethoden, und deaktivieren Sie dann die Kontrollkästchen für die Methoden MS-CHAP und MS-CHAP-v2.
-
Entfernen Sie EAP-MS-CHAP v2 aus der Liste EAP-Typen.
-
Klicken Sie auf Hinzufügen, wählen Sie PEAP-Authentifizierungsmethode, und klicken Sie dann auf OK.
Hinweis Vor dem Konfigurieren der NPS-Verbindung muss im privaten Speicher ein gültiges Serverzertifikat und im Speicher "Vertrauenswürdige Stammzertifizierungsstelle" muss ein gültiges Stammzertifikat installiert sein. -
Klicken Sie auf Bearbeiten, und wählen Sie dann EAP-MS-CHAP v2 als Authentifizierungsmethode.
Konfigurieren des RRAS-Clients für die PEAP-MS-CHAP v2-Authentifizierungsmethode
Windows-VPN-Clients können für die Verwendung der PEAP-MS-CHAP v2-Authentifizierungsmethode konfiguriert werden, indem die entsprechende Methode im Dialogfeld für die Eigenschaften der VPN-Verbindung ausgewählt und das entsprechende Stammzertifikat auf dem Clientsystem installiert wird.