A Microsoft Challenge Handshake Authentication Protocol 2. verziója (MS-CHAP v2) egy jelszóalapú hitelesítési protokoll, amelyet széles körben használnak a PPTP-alapú VPN kapcsolatok hitelesítési módjaként. A Microsoft felhívja a figyelmet arra, hogy a VPN kapcsolatokhoz beágyazás nélküli MS-CHAP v2 protokollt és PPTP-alagutakat használó szervezetek konfigurációja potenciálisan nem biztonságos.
BEVEZETÉS
A Microsoft az MS-CHAP v2/PPTP kapcsolatot használó szervezetek számára a PEAP protokollt megvalósítását javasolja a hálózatokban. Ez orvosolja a technika hibáit azáltal, hogy az MS-CHAP v2 hitelesítési forgalmat a TLS protokollba ágyazza be.
PPTP beállítása a PEAP-MS-CHAP v2 hitelesítés használatára
PEAP-MS-CHAP v2
A PEAP és a MS-CHAP v2 ügyfél-hitelesítési módként való használata a biztonságos VPN-hitelesítés biztosításának egyik módja. A PEAP ügyfélplatformokon való használatának kényszerítése érdekében, a Windows útválasztási és távelérési kiszolgálókat (RRAS) úgy kell beállítani, hogy csak a PEAP hitelesítést használó kapcsolatokat engedélyezzék, és hogy elutasítsák az MS-CHAP v2 vagy EAP-MS-CHAP v2 kapcsolatot használó ügyfelek kapcsolódását. A rendszergazdáknak ellenőrizniük kell a hitelesítési módok megfelelő beállításait az útválasztási és távelérési kiszolgálón kiszolgálón és a hálózati házirend-kiszolgálón (NPS).
A rendszergazdáknak a következőkről is meg kell győződniük:
-
A kiszolgálói tanúsítvány érvényesítése BE van kapcsolva. (Az alapértelmezett érték BE.)
-
A kiszolgálói név érvényesítése BE van kapcsolva. (Az alapértelmezett érték BE.) A megfelelő kiszolgálónevet kell megadni.
-
A főtanúsítvány, amelyből a kiszolgáló tanúsítványa származik, megfelelően telepítve van az ügyfélrendszer tárában, és BE van kapcsolva. (Mindig BE).
-
Windows 7, Windows Vista és Windows XP rendszeren a be kell jelölni a Ne kérje a felhasználót új kiszolgálók vagy megbízható hitelesítésszolgáltatók engedélyezésére jelölőnégyzetet a PEAP-tulajdonságok ablakban. A jelölőnégyzet alapértelmezés szerint nincs bejelölve.
Az útválasztási és távelérési kiszolgáló beállítása a PEAP-MS-CHAP v2 hitelesítési mód használatára
A következő lépésekben arról olvashat rövid ismertetést, hogyan állíthatja be a PEAP-MS-CHAP v2 hitelesítési módot az útválasztási és távelérési kiszolgálón, illetve hogyan kapcsolhatja ki a kevésbé biztonságos MS-CHAP v2 és EAP-MS-CHAP v2 módot.
Az útválasztási és távelérési kiszolgáló hitelesítési módjának beállítása
Ehhez hajtsa végre a következő lépéseket:
-
Az Útválasztási és távelérési kiszolgáló kezelése ablakban nyissa meg a Tulajdonságok párbeszédpanelt, és kattintson a Biztonság fülre.
-
Kattintson a Hitelesítési módszerek lehetőségre.
-
Győződjön meg róla, hogy az EAP jelölőnégyzet be van jelölve, az MS-CHAP v2 jelölőnégyzet pedig nincs bejelölve.
Hálózati házirend-kiszolgáló kapcsolatainak beállítása
Állítsa be hálózati házirend-kiszolgálót, hogy csak a PEAP-MS-CHAP v2 hitelesítési módot használó ügyfelek kapcsolatait engedélyezze. A hálózati házirend-kiszolgáló beállításához hajtsa végre a következő lépéseket:
-
Nyissa meg a hálózati házirend-kiszolgáló felhasználói felületét, kattintson a Házirendek lehetőségre, majd a Hálózat Házirendek elemre.
-
Kattintson a jobb gombbal a Kapcsolatok a Microsoft Útválasztás és távelérés szolgáltatását futtató kiszolgálóval lehetőségre, majd válassza a Tulajdonságok elemet.
-
A Tulajdonságok felhasználói felületen kattintson a Korlátozások fülre.
-
A bal oldali Korlátozások panelen válassza a Hitelesítési módok lehetőséget, majd kattintson az MS-CHAP és az MS-CHAP-v2 módok jelölőnégyzetére a jelölésük törléséhez.
-
Távolítsa el az EAP-MS-CHAP v2 elemet az EAP-típusok listából.
-
Kattintson a Hozzáadás gombra, jelölje ki a PEAP hitelesítési módot, majd kattintson az OK gombra.
Megjegyzés: A hálózati házirend-kiszolgáló kapcsolatának beállítása előtt a „Személyes” tárban egy érvényes kiszolgálói tanúsítványnak, a kiszolgáló „Megbízható legfelsőbb szintű hitelesítésszolgáltató” tárban pedig egy érvényes gyökértanúsítványnak kell telepítve lennie. -
Kattintson a Szerkesztés elemre, majd válassza az EAP-MS-CHAP v2 lehetőséget a hitelesítés módjaként.
Az útválasztási és távelérési kiszolgáló ügyfélprogramjának beállítása a PEAP-MS-CHAP v2 hitelesítési módhoz
A Windows VPN-ügyfelek úgy állíthatók be a PEAP-MS-CHAP v2 hitelesítési módot használatára, ha a VPN-kapcsolat tulajdonságai felhasználói felületen kiválasztja a megfelelő módszert, illetve telepíti a megfelelő főtanúsítványt az ügyfélrendszeren.