Microsoft Challenge Handshake Authentication Protocol version 2 (MS-CHAP v2) הוא פרוטוקול אימות המבוסס על סיסמה שנמצא בשימוש נרחב כשיטת אימות ברשתות פרטיות וירטואליות המבוססות על PPTP (Point to Point Tunneling Protocol). Microsoft מזהירה שכל ארגון שמשתמש ב- MS-CHAP v2 ללא עטיפת נתונים ביחד עם מנהרות PPTP לקישוריות VPN פועל בתצורה שעלולה להיות לא מאובטחת. 

מבוא

Microsoft מציעה לארגונים שמשתמשים ב- MS-CHAP v2/PPTP ליישם את Protected Extensible Authentication Protocol (PEAP) ברשתות שלהם. ניתן למזער טכניקה זו על ידי כמיסת תנועת האימות של MS-CHAP v2 ב- TLS.

קביעת התצורה של PPTP להשתמש ב- PEAP-MS-CHAP v2 לאימות

PEAP-MS-CHAP v2

PEAP עם MS-CHAP v2 כשיטה לאימות לקוחות היא דרך אחת לסייע באבטחת אימות VPN. כדי לאכוף את השימוש ב- PEAP בפלטפורמות לקוח, יש לקבוע את התצורה של שרתי Windows Routing and Remote Access Server (RRAS) לאפשר רק חיבורים שעושים שימוש באימות PEAP, ולסרב לחיבורים מלקוחות שמשתמשים ב- MS-CHAP v2 או EAP-MS-CHAP v2. מנהלי מערכות חייבים לבדוק את האפשרויות המתאימות של שיטות אימות בשרת ה- RRAS ואת שרתי Network Policy Server (NPS). מנהלי מערכות חייבים לאשר גם את הבאים:

  • אימות אישורי שרת מופעל. (אופן הפעולה המוגדר כברירת מחדל הוא 'פועל'.)

  • אימות שם השרת מופעל. (אופן הפעולה המוגדר כברירת מחדל הוא 'פועל'.) חובה לציין את שם השרת הנכון.

  • אישור הבסיס שממנו הונפק אישור השרת מותקן כראוי במאגר של מערכת הלקוח והוא מופעל. (תמיד פועל).

  • ב- Windows 7, Windows Vista ו- Windows XP, תיבת הסימון אל תבקש מהמשתמש לאשר שרתים חדשים או רשויות אישורים מהימנות בחלון מאפייני ה- PEAP צריכה להיות זמינה. כברירת מחדל היא לא זמינה.

קבע את התצורה של שרת RRAS לשיטת האימות PEAP-MS-CHAP v2

הנוהל לקביעת התצורה של שיטת האימות PEAP-MS-CHAP v2 עבור שרת RRAS ולכיבוי השיטות הבטוחות פחות MS-CHAP v2 ו- EAP-MS-CHAP v2 מתואר בקצרה בשלבים הבאים. קביעת התצורה של שיטת האימות עבור RRASלשם כך, בצע את הפעולות הבאות:

  1. בחלון 'ניהול שרת RRAS', פתח את תיבת השירות מאפייני שרת ולאחר מכן לחץ על הכרטיסייה אבטחה.

  2. לחץ על שיטות אימות.

  3. ודא שתיבת הסימון EAP נבחרה ושתיבת הסימון MS-CHAP v2 לא נבחרה.

קביעת התצורה של חיבורים עבור NPSקבע את התצורה של Network Policy Server (NPS) לאפשר רק חיבורים מלקוחות שמשתמשים בשיטת האימות PEAP-MS-CHAP v2. כדי לקבוע את התצורה של NPS, בצע את הפעולות הבאות:

  1. פתח את ממשק המשתמש NPS, לחץ על מדיניות ולאחר מכן לחץ על מדיניות רשת.

  2. לחץ באמצעות לחצן העכבר הימני על חיבורים ל- Microsoft Routing and Remote Access Server ולאחר מכן לחץ על מאפיינים.

  3. בממשק המשתמש מאפיינים, לחץ על הכרטיסייה מגבלות.

  4. בחלונית השמאלית מגבלות, בחר שיטות אימות ולאחר מכן לחץ כדי לנקות את תיבות הסימון של השיטות MS-CHAP ו- MS-CHAP-v2.

  5. הסר את EAP-MS-CHAP v2 מהרשימה סוגי EAP.

  6. לחץ על הוסף, בחר שיטת אימות PEAP ולאחר מכן לחץ על אישור.הערה חובה להתקין אישור שרת חוקי במאגר "אישי", וחובה להתקין אישור בסיס במאגר "רשות אישורים עליונה מהימנה" של השרת לפני קביעת התצורה של חיבורי NPS.

  7. לחץ על עריכה ולאחר מכן בחר את EAP-MS-CHAP v2 כשיטת האימות.

קביעת התצורה של לקוח RRAS עבור שיטת אימות PEAP-MS-CHAP v2

לקוחות VPN של Windows ניתנים להגדרה לשימוש בשיטת האימות PEAP-MS-CHAP v2 על-ידי בחירה בשיטה המתאימה ממשק מאפייני חיבור VPN ועל-ידי התקנת אישור הבסיס המתאים במערכת הלקוח.

המלצות

זקוק לעזרה נוספת?

מעוניין באפשרויות נוספות?

גלה את יתרונות המנוי, עיין בקורסי הדרכה, למד כיצד לאבטח את המכשיר שלך ועוד.

קהילות עוזרות לך לשאול שאלות ולהשיב עליהן, לתת משוב ולשמוע ממומחים בעלי ידע עשיר.