Implementace ověřování PEAP-MS-CHAP v2 pro sítě Microsoft PPTP VPN

MS-CHAP v2 (Microsoft Challenge Handshake Authentication Protocol verze 2) je protokol ověřování na základě hesel, který je hojně využíván jako metoda ověřování v sítích VPN využívajících protokol PPTP (Point to Point Tunneling Protocol). Společnost Microsoft varuje, že organizace využívající protokol MS-CHAP v2 bez zapouzdření současně s tunely protokolu PPTP pro připojení k sítím VPN provozují potenciálně nezabezpečenou konfiguraci. 

ÚVOD

Společnost Microsoft navrhuje, aby organizace používající protokol MS-CHAP v2/PPTP implementovaly ve svých sítích protokol PEAP (Protected Extensible Authentication Protocol). Riziko této techniky se sníží zapouzdřením komunikace ověřování MS-CHAP v2 v rámci TLS.

Konfigurace protokolu PPTP pro ověřování pomocí protokolu PEAP-MS-CHAP v2

PEAP-MS-CHAP v2

Použití protokolu PEAP s protokolem MS-CHAP v2 k ověření klientů představuje jeden ze způsobů, jak napomoci zabezpečení ověřování v sítích VPN. Chcete-li vynutit použití protokolu PEAP na klientských platformách, měly by servery pro směrování a vzdálený přístup systému Windows (RRAS) být nakonfigurovány tak, aby umožňovaly pouze připojení s ověřováním PEAP a odmítaly připojení využívající protokol MS-CHAP v2 nebo EAP-MS-CHAP v2. Správci musí zkontrolovat odpovídající možnosti ověřovacích metod na serveru RRAS a na serveru NPS (Network Policy Server). 

Správci rovněž musí potvrdit následující body:

  • Je ZAPNUTO ověřování certifikátu serveru. (Toto chování je nastaveno jako výchozí.)

  • Je ZAPNUTO ověřování názvu serveru. (Toto chování je nastaveno jako výchozí.) Musí být zadán správný název serveru.

  • Kořenový certifikát, na jehož základě byl vydán certifikát serveru, je správně nainstalován v úložišti klientského systému a je ZAPNUT. (Vždy ZAPNUTO.)

  • V systémech Windows 7, Windows Vista a Windows XP by měla být v okně vlastností protokolu PEAP povolena možnost Nezobrazovat výzvu k ověření nových serverů nebo důvěryhodných certifikačních autorit. Ve výchozím nastavení je tato možnost zakázána.

Konfigurace serveru RRAS pro metodu ověřování PEAP-MS-CHAP v2

V následujících krocích je stručně popsán postup při konfiguraci metody ověřování protokolu PEAP-MS-CHAP v2 pro server RRAS a při vypnutí méně zabezpečených metod využívajících protokoly MS-CHAP v2 a EAP-MS-CHAP v2. 

Konfigurace metody ověřování pro server RRAS

Postupujte takto:

  1. V okně správy serveru RRAS otevřete dialogové okno Vlastnosti a pak klikněte na kartu Zabezpečení.

  2. Klikněte na položku Metody ověřování.

  3. Ověřte, že je zaškrtnuto políčko EAP a že není zaškrtnuto políčko MS-CHAP v2.

Konfigurace připojení pro server NPS

Nakonfigurujte server NPS (Network Policy Server) tak, aby umožňoval pouze připojení od klientů, kteří používají metodu ověřování PEAP-MS-CHAP v2. Chcete-li konfigurovat server NPS, postupujte následujícím způsobem:

  1. Otevřete uživatelské rozhraní serveru NPS, klikněte na položku Zásady a pak klikněte na položku Zásady sítě.

  2. Klikněte pravým tlačítkem myši na položku Připojení k serveru pro směrování a vzdálený přístup a pak vyberte příkaz Vlastnosti.

  3. V okně Vlastnosti klikněte na kartu Omezení.

  4. V levém podokně Omezení vyberte položku Metody ověřování a pak kliknutím zrušte zaškrtnutí políček pro metody MS-CHAP a MS-CHAP-v2.

  5. Odeberte položku EAP-MS-CHAP v2 ze seznamu Typy protokolů EAP.

  6. Klikněte na tlačítko Přidat, vyberte možnost Metoda ověřování PEAP a pak klikněte na tlačítko OK.


    Poznámka: Před zahájením konfigurace připojení serveru NPS je třeba, aby v osobním úložišti byl nainstalován platný certifikát serveru a aby byl v úložišti Důvěryhodné kořenové certifikační úřady serveru nainstalován platný kořenový certifikát.

  7. Klikněte na tlačítko Upravit a pak jako metodu ověřování vyberte EAP-MS-CHAP v2.

Konfigurace klienta RRAS pro metodu ověřování PEAP-MS-CHAP v2

U klientů Windows VPN lze použití metody ověřování PEAP-MS-CHAP v2 nakonfigurovat výběrem odpovídající metody pomocí vlastností připojení sítě VPN a následnou instalací odpovídajícího kořenového certifikátu v klientském systému.

Doporučení

Potřebujete další pomoc?

Rozšiřte své znalosti a dovednosti
Projít školení
Získejte nové funkce jako první
Připojit se k programu Microsoft Insider

Byly tyto informace užitečné?

Děkujeme za váš názor!

Děkujeme vám za váš názor! Pravděpodobně bude užitečné, když vás spojíme s některým z našich agentů podpory Office.

×