Μετάβαση στο κύριο περιεχόμενο
Υποστήριξη
Είσοδος
Είσοδος με Microsoft
Είσοδος ή δημιουργία λογαριασμού.
Γεια σας,
Επιλέξτε διαφορετικό λογαριασμό.
Έχετε πολλούς λογαριασμούς
Επιλέξτε τον λογαριασμό με τον οποίο θέλετε να εισέλθετε.

Η έκδοση 2 του πρωτοκόλλου Microsoft Challenge Handshake Authentication Protocol (MS-CHAP v2) είναι ένα πρωτόκολλο ελέγχου ταυτότητας βάσει κωδικού πρόσβασης που χρησιμοποιείται ευρέως ως μέθοδος ελέγχου ταυτότητας σε VPN βάσει πρωτοκόλλου PPTP (Point to Point Tunneling Protocol). Η Microsoft εφιστά την προσοχή σε όσους οργανισμούς χρησιμοποιούν MS-CHAP v2 χωρίς συμπύκνωση σε συνδυασμό με διοχετεύσεις PPTP για συνδεσιμότητα VPN ότι είναι πιθανό να πραγματοποιήσουν μη ασφαλή ρύθμιση παραμέτρων. 

ΕΙΣΑΓΩΓΗ

Η Microsoft προτείνει στους οργανισμούς που χρησιμοποιούν MS-CHAP v2/PPTP να υλοποιήσουν το πρωτόκολλο Protected Extensible Authentication Protocol (PEAP) στα δίκτυά τους. Έτσι περιορίζεται αυτή η τεχνική με τη συμπύκνωση της κυκλοφορίας ελέγχου ταυτότητας the MS-CHAP v2 σε TLS.

Η ρύθμιση παραμέτρων του PPTP για χρήση του PEAP-MS-CHAP v2 για έλεγχο ταυτότητας

PEAP-MS-CHAP v2

PEAP με MS-CHAP v2 ως μεθόδου ελέγχου ταυτότητας υπολογιστή-πελάτη αποτελεί έναν τρόπο για διασφαλιστεί ο έλεγχος ταυτότητας VPN. Για να εφαρμοστεί η χρήση του πρωτοκόλλου PEAP σε πλατφόρμες υπολογιστών-πελατών, οι διακομιστές Routing and Remote Access Server (RRAS) των Windows πρέπει να ρυθμίζονται έτσι ώστε να επιτρέπουν μόνο συνδέσεις που χρησιμοποιούν έλεγχο ταυτότητας PEAP και να μην επιτρέπουν συνδέσεις από υπολογιστές-πελάτες που χρησιμοποιούν MS-CHAP v2 ή EAP-MS-CHAP v2. Οι διαχειριστές πρέπει να ελέγχουν τις αντίστοιχες επιλογές μεθόδων ελέγχου ταυτότητας στον διακομιστή RRAS και στον διακομιστή Network Policy Server (NPS). 

Επίσης, οι διαχειριστές πρέπει να επιβεβαιώνουν τα εξής:

  • Η επικύρωση πιστοποιητικού διακομιστή είναι ΕΝΕΡΓΟΠΟΙΗΜΕΝΗ. (Η προεπιλεγμένη συμπεριφορά είναι ΕΝΕΡΓΟΠΟΙΗΜΕΝΗ.)

  • Η επικύρωση ονόματος διακομιστή είναι ΕΝΕΡΓΟΠΟΙΗΜΕΝΗ. (Η προεπιλεγμένη συμπεριφορά είναι ΕΝΕΡΓΟΠΟΙΗΜΕΝΗ.) Πρέπει να καθοριστεί το σωστό όνομα διακομιστή.

  • Το πιστοποιητικό ρίζας για το οποίο εκδόθηκε το πιστοποιητικό διακομιστή έχει εγκατασταθεί σωστά στο χώρο αποθήκευσης του συστήματος υπολογιστή-πελάτη και είναι ΕΝΕΡΓΟΠΟΙΗΜΕΝΟ. (Πάντα ΕΝΕΡΓΟΠΟΙΗΜΕΝΟ).

  • Στα Windows 7, Windows Vista και Windows XP, το πλαίσιο ελέγχου Να μην γίνεται ερώτηση για την εξουσιοδότηση νέων διακομιστών ή αξιόπιστων αρχών έκδοσης πιστοποιητικών στο παράθυρο ιδιοτήτων του πρωτοκόλλου PEAP πρέπει να είναι ενεργοποιημένο. Από προεπιλογή είναι απενεργοποιημένο.

Ρύθμιση παραμέτρων του διακομιστή RRAS για τη μέθοδο ελέγχου ταυτότητας PEAP-MS-CHAP v2

Η διαδικασία για τη ρύθμιση παραμέτρων της μεθόδου ελέγχου ταυτότητας PEAP-MS-CHAP v2 για τον διακομιστή RRAS και για την απενεργοποίηση των λιγότερο ασφαλών μεθόδων MS-CHAP v2 και EAP-MS-CHAP v2 περιγράφεται εν συντομία στα βήματα που ακολουθούν. 

Ρύθμιση παραμέτρων της μεθόδου ελέγχου ταυτότητας για RRAS

Για να το κάνετε αυτό, ακολουθήστε τα εξής βήματα:

  1. Στο παράθυρο διαχείρισης του διακομιστή RRAS, ανοίξτε το παράθυρο διαλόγου Ιδιότητες του διακομιστή και κατόπιν κάντε κλικ στην καρτέλα Ασφάλεια.

  2. Κάντε κλικ στην επιλογή Μέθοδοι ελέγχου ταυτότητας.

  3. Βεβαιωθείτε ότι το πλαίσιο ελέγχου EAP είναι επιλεγμένο και ότι το πλαίσιο ελέγχου MS-CHAP v2 δεν είναι επιλεγμένο.

Ρύθμιση παραμέτρων συνδέσεων για NPS

Ρυθμίστε τις παραμέτρους του διακομιστή Network Policy Server (NPS) για να επιτρέπει μόνο συνδέσεις από υπολογιστές-πελάτες που χρησιμοποιούν τη μέθοδο ελέγχου ταυτότητας PEAP-MS-CHAP v2. Για να ρυθμίσετε τις παραμέτρους του NPS, ακολουθήστε τα εξής βήματα:

  1. Ανοίξτε το περιβάλλον εργασίας χρήστη του NPS, κάντε κλικ στην επιλογή Πολιτικές και μετά επιλέξτε Πολιτικές δικτύου.

  2. Κάντε δεξιό κλικ στην επιλογή Συνδέσεις στον διακομιστή Routing and Remote Access Server της Microsoft και κατόπιν επιλέξτε Ιδιότητες.

  3. Στο περιβάλλον εργασίας χρήστη Ιδιότητες, κάντε κλικ στην καρτέλα Περιορισμοί.

  4. Στο αριστερό παράθυρο Περιορισμοί, επιλέξτε Μέθοδοι ελέγχου ταυτότητας και μετά κάντε κλικ για να καταργήσετε την επιλογή των πλαισίων ελέγχου για τις μεθόδους MS-CHAP και MS-CHAP-v2.

  5. Καταργήστε την επιλογή EAP-MS-CHAP v2 από τη λίστα Τύποι EAP.

  6. Κάντε κλικ στην επιλογή Προσθήκη, επιλέξτε Μέθοδος ελέγχου ταυτότητας PEAP και, στη συνέχεια, επιλέξτε OK.


    Σημείωση Στο χώρο αποθήκευσης "Προσωπικά" πρέπει να εγκατασταθεί ένα έγκυρο πιστοποιητικό διακομιστή και στο χώρο αποθήκευσης "Αξιόπιστο CA ρίζας" πρέπει να εγκατασταθεί ένα έγκυρο πιστοποιητικό ρίζας προτού ρυθμίσετε τις παραμέτρους της σύνδεσης NPS.

  7. Κάντε κλικ στην επιλογή Επεξεργασία και, στη συνέχεια, επιλέξτε EAP-MS-CHAP v2 ως μέθοδο ελέγχου ταυτότητας.

Ρύθμιση παραμέτρων του υπολογιστή-πελάτη για τη μέθοδο ελέγχου ταυτότητας PEAP-MS-CHAP v2

Οι υπολογιστές-πελάτες VPN των Windows μπορούν να διαμορφωθούν έτσι ώστε να χρησιμοποιούν τη μέθοδο ελέγχου ταυτότητας, με την επιλογή της αντίστοιχης μεθόδου από το περιβάλλον εργασίας χρήστη των ιδιοτήτων σύνδεσης VPN και με την εγκατάσταση του κατάλληλου πιστοποιητικού ρίζας στο σύστημα του υπολογιστή-πελάτη.

Προτάσεις

Facebook LinkedIn Ηλεκτρονικό ταχυδρομείο

Χρειάζεστε περισσότερη βοήθεια;

Θέλετε περισσότερες επιλογές;

Ανακαλύψτε Κοινότητα

Εξερευνήστε τα πλεονεκτήματα της συνδρομής, περιηγηθείτε σε εκπαιδευτικά σεμινάρια, μάθετε πώς μπορείτε να προστατεύσετε τη συσκευή σας και πολλά άλλα.

Πλεονεκτήματα συνδρομής Microsoft 365

Εκπαίδευση Microsoft 365

Ασφάλεια της Microsoft

Κέντρο προσβασιμότητας

Οι κοινότητες σάς βοηθούν να κάνετε και να απαντάτε σε ερωτήσεις, να δίνετε σχόλια και να ακούτε από ειδικούς με πλούσια γνώση.

Ρωτήστε την κοινότητα της Microsoft

Τεχνική Κοινότητα Microsoft

Windows Insiders

Microsoft 365 Insiders

Σας βοήθησαν αυτές οι πληροφορίες;

Πόσο ικανοποιημένοι είστε με τη γλωσσική ποιότητα;
Τι επηρέασε την εμπειρία σας;
Πατώντας "Υποβολή" τα σχόλια σας θα χρησιμοποιηθούν για τη βελτίωση των προϊόντων και των υπηρεσιών της Microsoft. Ο διαχειριστής IT θα έχει τη δυνατότητα να συλλέξει αυτά τα δεδομένα. Δήλωση προστασίας προσωπικών δεδομένων.

Σας ευχαριστούμε για τα σχόλιά σας!

×