Przejdź do głównej zawartości
Pomoc techniczna
Zaloguj się
Zaloguj się przy użyciu konta Microsoft
Zaloguj się lub utwórz konto.
Witaj,
Wybierz inne konto.
Masz wiele kont
Wybierz konto, za pomocą którego chcesz się zalogować.

MS-CHAP v2 (Microsoft Challenge Handshake Authentication Protocol version 2) to oparty na hasłach protokół uwierzytelniania, który jest popularną metodą uwierzytelniania w sieciach VPN opartych na protokole PPTP (Point to Point Tunneling Protocol). Firma Microsoft przestrzega organizacje korzystające z łączności VPN zabezpieczanej protokołem MS-CHAP v2 bez hermetyzacji z tunelami PPTP, że ta konfiguracja nie jest w pełni bezpieczna.

WPROWADZENIE

Firma Microsoft zaleca organizacjom używającym technologii MS-CHAP v2/PPTP wdrożenie w ich sieciach protokołu PEAP (Protected Extensible Authentication Protocol). Ogranicza to zagrożenia, hermetyzując ruch uwierzytelniania MS-CHAP v2 w protokole TLS.

Konfigurowanie uwierzytelniania PEAP-MS-CHAP v2 dla protokołu PPTP

PEAP-MS-CHAP v2

Jedną z metod zabezpieczenia uwierzytelniania w sieci VPN jest zastosowanie jako metody uwierzytelniania klienta protokołu PEAP z protokołem MS-CHAP v2. Aby wyegzekwować stosowanie protokołu PEAP na platformach klienckich, na serwerach usługi routingu i dostępu zdalnego (RRAS, Routing and Remote Access Server) systemu Windows należy skonfigurować zezwalanie tylko na połączenia z uwierzytelnianiem PEAP i odrzucanie połączeń z klientami używającymi protokołu MS-CHAP v2 lub EAP-MS-CHAP v2. Administratorzy muszą sprawdzić odpowiednie opcje metod uwierzytelniania na serwerze RRAS i serwerze zasad sieciowych (NPS, Network Policy Server).

Administratorzy muszą też potwierdzić następujące ustawienia:

  • Weryfikacja certyfikatów serwerów jest WŁĄCZONA. (Działanie domyślne: WŁĄCZONA).

  • Weryfikacja nazw serwerów jest WŁĄCZONA. (Działanie domyślne: WŁĄCZONA). Musi być określona właściwa nazwa serwera.

  • Certyfikat główny, za pomocą którego wystawiono certyfikat serwera, jest poprawnie zainstalowany w magazynie systemu klienckiego i jest zawsze WŁĄCZONY. (Zawsze WŁĄCZONY).

  • W systemach Windows 7, Windows Vista i Windows XP w oknie właściwości protokołu PEAP powinno być włączone pole wyboru Nie monituj użytkownika o autoryzowanie nowych serwerów lub zaufanych urzędów certyfikacji. Domyślnie jest wyłączone.

Konfigurowanie metody uwierzytelniania PEAP-MS-CHAP v2 na serwerze RRAS

Poniżej krótko opisano czynności wchodzące w skład procedury konfigurowania metody uwierzytelniania PEAP-MS-CHAP v2 na serwerze RRAS i wyłączania mniej bezpiecznych metod MS-CHAP v2 i EAP-MS-CHAP v2.

Konfigurowanie metody uwierzytelniania na serwerze RRAS

W tym celu wykonaj następujące czynności:

  1. W oknie zarządzania serwerem RRAS otwórz okno dialogowe Właściwości serwera i kliknij kartę Zabezpieczenia.

  2. Kliknij pozycję Metody uwierzytelniania.

  3. Upewnij się, że jest zaznaczone pole wyboru EAP i że jest wyczyszczone pole wyboru MS-CHAP v2.

Konfigurowanie połączeń serwera NPS

Należy skonfigurować na serwerze zasad sieciowych zezwalanie tylko na połączenia z klientami używającymi metody uwierzytelniania PEAP-MS-CHAP v2. Aby skonfigurować serwer NPS, wykonaj następujące czynności:

  1. Otwórz interfejs użytkownika serwera NPS, kliknij pozycję Zasady, a następnie kliknij pozycję Zasady sieciowe.

  2. Kliknij prawym przyciskiem myszy pozycję Połączenia z serwerem usługi routingu i dostępu zdalnego firmy Microsoft, a następnie kliknij pozycję Właściwości.

  3. W interfejsie użytkownika Właściwości kliknij kartę Ograniczenia.

  4. W lewym okienku Ograniczenia wybierz pozycję Metody uwierzytelniania, a następnie wyczyść kliknięciami pola wyboru metod MS-CHAP i MS-CHAP-v2.

  5. Usuń pozycję EAP-MS-CHAP v2 z listy Typy protokołu EAP.

  6. Kliknij pozycję Dodaj, wybierz pozycję Metoda uwierzytelniania PEAP, a następnie kliknij przycisk OK.


    Uwaga Przed skonfigurowaniem połączenia serwera NPS w magazynie osobistych musi być zainstalowany ważny certyfikat serwera, a w magazynie zaufanych głównych urzędów certyfikacji serwera musi być zainstalowany ważny certyfikat główny.

  7. Kliknij pozycję Edytuj, a następnie wybierz jako metodę uwierzytelniania pozycję EAP-MS-CHAP v2.

Konfigurowanie metody uwierzytelniania PEAP-MS-CHAP v2 na kliencie RRAS

Na klientach sieci VPN z systemem Windows można skonfigurować używanie metody uwierzytelniania PEAP-MS-CHAP v2, wybierając odpowiednią metodę w interfejsie użytkownika właściwości połączenia VPN i instalując odpowiedni certyfikat główny w systemie klienckim.

Zalecenia

Facebook LinkedIn Adres e-mail

Potrzebujesz dalszej pomocy?

Chcesz uzyskać więcej opcji?

Odkryj Społeczność

Poznaj korzyści z subskrypcji, przeglądaj kursy szkoleniowe, dowiedz się, jak zabezpieczyć urządzenie i nie tylko.

Korzyści z subskrypcji platformy Microsoft 365

Szkolenia dotyczące platformy Microsoft 365

Rozwiązania dotyczące zabezpieczeń firmy Microsoft

Centrum ułatwień dostępu

Społeczności pomagają zadawać i odpowiadać na pytania, przekazywać opinie i słuchać ekspertów z bogatą wiedzą.

Zapytaj społeczność firmy Microsoft

Społeczność techniczna firmy Microsoft

Niejawny program testów systemu Windows

Microsoft 365 Insiders

Czy te informacje były pomocne?

Jaka jest jakość języka?
Co wpłynęło na Twoje wrażenia?
Jeśli naciśniesz pozycję „Wyślij”, Twoja opinia zostanie użyta do ulepszania produktów i usług firmy Microsoft. Twój administrator IT będzie mógł gromadzić te dane. Oświadczenie o ochronie prywatności.

Dziękujemy za opinię!

×