Se connecter avec Microsoft
S'identifier ou créer un compte.
Bonjour,
Sélectionnez un autre compte.
Vous avez plusieurs comptes
Choisissez le compte avec lequel vous voulez vous connecter.

Le protocole MS-CHAP v2 (Microsoft Challenge Handshake Authentication Protocol version 2) est un protocole d'authentification par mot de passe fréquemment utilisé comme méthode d'identification dans les VPN PPTP (Point to Point Tunneling Protocol). Microsoft tient à mettre en garde les organisations qui utilisent MS-CHAP v2 sans encapsulation en association avec des tunnels PPTP pour une connexion VPN : elles utilisent une configuration potentiellement non sécurisée. 

INTRODUCTION

Microsoft suggère que les organisations qui utilisent MS-CHAP v2/PPTP implémentent le protocole d'authentification PEAP (Protected Extensible Authentication Protocol) sur leurs réseaux. Cela permet d'atténuer cette technique en encapsulant le trafic de l'authentification MS-CHAP v2 dans TLS.

Configuration de PPTP pour qu'il utilise l'authentification PEAP-MS-CHAP v2

PEAP-MS-CHAP v2

PEAP associé à la méthode d'authentification de client MS-CHAP v2 constitue l'une des solutions permettant de sécuriser l'authentification VPN. Pour appliquer l'utilisation de PEAP sur les plateformes clientes, les serveurs de routage et d'accès à distance de Windows (RRAS) doivent être configurés de manière à n'autoriser que les connexions qui utilisent l'authentification PEAP, et à refuser les connexions de clients qui utilisent MS-CHAP v2 ou EAP-MS-CHAP v2. Les administrateurs doivent vérifier les options concernant la méthode d'authentification correspondante sur le serveur de routage et d'accès à distance (RRAS) ainsi que sur le serveur de stratégie réseau (NPS). 

Les administrateurs doivent également contrôler les éléments suivants :

  • La validation de certificat du serveur est activée. (Le comportement par défaut est : activée.)

  • La validation de nom du serveur est activée. (Le comportement par défaut est : activée.) Le nom de serveur correct doit être spécifié.

  • Le certificat racine à partir duquel le certificat de serveur a été émis est installé correctement sur le système client et est activé. (Toujours activé).

  • Sous Windows 7, Windows Vista et Windows XP, la case à cocher Ne pas demander à l'utilisateur d'autoriser de nouveaux serveurs ou des autorités de certification approuvées se trouvant dans la fenêtre des propriétés PEAP doit être activée. Par défaut, elle est désactivée.

Configuration du serveur de routage et d'accès à distance (RRAS) pour la méthode d'authentification PEAP-MS-CHAP v2

La procédure de configuration de la méthode d'authentification PEAP-MS-CHAP v2 pour le serveur de routage et d'accès à distance, et de désactivation des méthodes moins sécurisées MS-CHAP v2 et EAP-MS-CHAP v2 est brièvement décrite ci-dessous. 

Configuration de la méthode d'authentification pour le serveur de routage et d'accès à distance

Pour cela, procédez comme suit :

  1. Dans la fenêtre de gestion du serveur de routage et d'accès à distance, ouvrez la boîte de dialogue Propriétés du serveur, puis cliquez sur l'onglet Sécurité.

  2. Cliquez sur Méthodes d'authentification.

  3. Vérifiez que la case à cocher EAP est activée et que la case à cocher MS-CHAP v2 est désactivée.

Configuration des connexions pour le serveur de stratégie réseau (NPS)

Configurez le serveur de stratégie réseau (NPS) de manière à ce qu'il n'autorise que les connexions de clients qui utilisent la méthode d'authentification PEAP-MS-CHAP v2. Pour configurer le serveur de stratégie réseau, procédez comme suit :

  1. Ouvrez l'interface utilisateur du serveur de stratégie réseau, cliquez sur Stratégies, puis sur Stratégies réseau.

  2. Cliquez avec le bouton droit sur Connexions au serveur d'accès à distance et de routage Microsoft, puis sélectionnez Propriétés.

  3. Dans l'interface utilisateur Propriétés, cliquez sur l'onglet Contraintes.

  4. Dans le volet Contraintes situé à gauche, sélectionnez Méthodes d'authentification, puis désactivez les cases à cocher des méthodes MS-CHAP et MS-CHAP-v2.

  5. Supprimez EAP-MS-CHAP v2 de la liste Types EAP.

  6. Cliquez sur Ajouter, sélectionnez Méthode d'authentification PEAP, puis cliquez sur OK.


    Remarque Un certificat de serveur valide doit être installé dans la banque personnelle et un certificat racine valide doit être installé dans la banque « AC racine de confiance » du serveur avant de configurer la connexion du serveur de stratégie réseau.

  7. Cliquez sur Modifier, puis sélectionnez la méthode d'authentification EAP-MS-CHAP v2.

Configuration du client du serveur de routage et d'accès à distance pour la méthode d'authentification PEAP-MS-CHAP v2

Les clients VPN Windows peuvent être configurés de manière à utiliser la méthode d'authentification PEAP-MS-CHAP v2 en sélectionnant la méthode correspondante dans l'interface utilisateur des propriétés de connexion VPN et en installant le certificat racine approprié sur le système client.

Recommandations

Facebook LinkedIn E-mail

Besoin d’aide ?

Vous voulez plus d’options ?

Découvrir Communauté

Explorez les avantages de l’abonnement, parcourez les cours de formation, découvrez comment sécuriser votre appareil, etc.

Avantages de l’abonnement Microsoft 365

Formation Microsoft 365

Sécurité Microsoft

Centre d’accessibilité

Les communautés vous permettent de poser des questions et d'y répondre, de donner vos commentaires et de bénéficier de l'avis d'experts aux connaissances approfondies.

Demandez à la Communauté Microsoft

Communauté technique Microsoft

Windows Insiders

Microsoft 365 Insiders

Ces informations vous ont-elles été utiles ?

Dans quelle mesure êtes-vous satisfait(e) de la qualité de la langue ?
Qu’est-ce qui a affecté votre expérience ?
En cliquant sur Envoyer, vos commentaires seront utilisés pour améliorer les produits et services de Microsoft. Votre administrateur informatique sera en mesure de collecter ces données. Déclaration de confidentialité.

Nous vous remercions de vos commentaires.

×