PEAP-MS-CHAP v2-verificatie implementeren voor VPN-verbindingen met Microsoft PPTP

MS-CHAp v2 (Microsoft Challenge Handshake Authentication Protocol, versie 2) is een met wachtwoord beveiligd verificatieprotocol dat veel wordt gebruikt als verificatiemethode in VPN-verbindingen met PPTP (Point to Point Tunneling Protocol). Microsoft waarschuwt dat organisaties die MS-CHAP v2 zonder inkapseling gebruiken in combinatie met PPTP-tunnels voor VPN-verbindingen mogelijk een onveilige configuratie hebben.

INLEIDING

Microsoft raadt organisaties die MS-CHAP v2/PPTP gebruiken aan om PEAP (Protected Extensible Authentication Protocol) in hun netwerken te implementeren. Hierdoor wordt het MS-CHAP v2-verificatieverkeer in TLS ingekapseld.

PPTP instellen op het gebruik van PEAP-MS-CHAP v2 voor verificatie

PEAP-MS-CHAP v2

Het gebruik van PEAP met MS-CHAP v2 als clientmethode voor verificatie is een van de manieren om VPN-verificatie beter te beveiligen. Het gebruik van PEAP op clientplatforms kan worden afgedwongen door RRAS-servers (Windows Routing and Remote Access Server) zodanig in te stellen dat uitsluitend verbindingen met PEAP-verificatie worden toegestaan en dat verbindingen vanaf clients met MS-CHAP v2 of EAP-MS-CHAP v2 worden geweigerd. Beheerders moeten de corresponderende verificatiemethode-opties op de RRAS-server en de NPS-server (Network Policy Server) controleren.

Beheerders moeten ook zorgen voor het volgende:

  • De validatie van het servercertificaat moet zijn ingeschakeld. (Deze instelling is standaard ingeschakeld.)

  • De validatie van het servernaam moet zijn ingeschakeld. (Deze instelling is standaard ingeschakeld.) De juiste servernaam moet zijn gespecificeerd.

  • Het basiscertificaat vanwaaruit het servercertificaat is verleend, is correct in het clientsysteemarchief geïnstalleerd en ingeschakeld. (Altijd ingeschakeld).

  • In Windows 7, Windows Vista en Windows XP moet het selectievakje Gebruiker niet vragen om nieuwe servers of vertrouwde certificeringsinstanties te verifiëren in het PEAP-eigenschappenvenster ingeschakeld zijn. Dit is standaard uitgeschakeld.

De RRAS-server instellen op de PEAP-MS-CHAP v2-verificatiemethode

In de volgende stappen wordt kort beschreven hoe u de PEAP-MS-CHAP v2-verificatiemethode inschakelt voor de RRAS-server en hoe u de minder betrouwbare methoden MS-CHAP v2 en EAP-MS-CHAP v2 uitschakelt.

De verificatiemethode voor RRAS instellen

Hiertoe gaat u als volgt te werk:

  1. Open in het beheervenster voor de RRAS-server het dialoogvenster Eigenschappen en klik op het tabblad Beveiliging.

  2. Klik op Verificatiemethoden.

  3. Zorg dat het selectievakje EAP is ingeschakeld en dat het selectievakje MS-CHAP v2 is uitgeschakeld.

Verbindingen voor NPS instellen

Stel NPS (Network Policy Server) zodanig in dat uitsluitend verbindingen vanaf clients waarop gebruik wordt gemaakt van de verificatiemethode PEAP-MS-CHAP v2 worden toegestaan. Ga als volgt te werk om NPS zodanig in te stellen:

  1. Open de NPS-gebruikersinterface, klik op Beleidsregels en klik vervolgens op Netwerkbeleid.

  2. Klik met de rechtermuisknop op Verbindingen met Microsoft RAS-server en selecteer Eigenschappen.

  3. Open de gebruikersinterface Eigenschappen en klik op het tabblad Beperkingen.

  4. Selecteer in het linkerdeelvenster van Beperkingen het veld Verificatiemethoden en schakel de selectievakjes voor de methoden MS-CHAP en MS-CHAP-v2 uit.

  5. Verwijder EAP-MS-CHAP v2 uit de lijst met EAP-typen.

  6. Klik op Toevoegen, selecteerPEAP-verificatiemethode en klik vervolgens op OK.


    Opmerking Voordat u de NPS-verbinding instelt, moet in het archief 'Persoonlijk' een geldig servercertificaat zijn geïnstalleerd en moet in het archief 'Vertrouwde basis-CA' van de server moet een geldig basiscertificaat zijn geïnstalleerd.

  7. Klik op Bewerken en selecteer EAP-MS-CHAP v2 als de verificatiemethode.

De RRAS-client instellen op de verificatiemethode PEAP-MS-CHAP v2

Windows VPN-clients kunnen worden ingesteld op het gebruik van de verificatiemethode PEAP-MS-CHAP v2 door de corresponderende methode te selecteren vanuit het eigenschappenvenster voor de VPN-verbinding en door het juiste basiscertificaat op het clientsysteem te installeren.

Aanbevelingen

Meer hulp nodig?

Uw vaardigheden uitbreiden
Training verkennen
Als eerste nieuwe functies krijgen
Deelnemen aan Microsoft insiders

Was deze informatie nuttig?

Bedankt voor uw feedback.

Hartelijk dank voor uw feedback! Het lijkt ons een goed idee om u in contact te brengen met een van onze Office-ondersteuningsagenten.

×