MS-CHAP v2 (Microsoft Challenge Handshake Authentication Protocol version 2) to oparty na hasłach protokół uwierzytelniania, który jest popularną metodą uwierzytelniania w sieciach VPN opartych na protokole PPTP (Point to Point Tunneling Protocol). Firma Microsoft przestrzega organizacje korzystające z łączności VPN zabezpieczanej protokołem MS-CHAP v2 bez hermetyzacji z tunelami PPTP, że ta konfiguracja nie jest w pełni bezpieczna.

WPROWADZENIE

Firma Microsoft zaleca organizacjom używającym technologii MS-CHAP v2/PPTP wdrożenie w ich sieciach protokołu PEAP (Protected Extensible Authentication Protocol). Ogranicza to zagrożenia, hermetyzując ruch uwierzytelniania MS-CHAP v2 w protokole TLS.

Konfigurowanie uwierzytelniania PEAP-MS-CHAP v2 dla protokołu PPTP

PEAP-MS-CHAP v2

Jedną z metod zabezpieczenia uwierzytelniania w sieci VPN jest zastosowanie jako metody uwierzytelniania klienta protokołu PEAP z protokołem MS-CHAP v2. Aby wyegzekwować stosowanie protokołu PEAP na platformach klienckich, na serwerach usługi routingu i dostępu zdalnego (RRAS, Routing and Remote Access Server) systemu Windows należy skonfigurować zezwalanie tylko na połączenia z uwierzytelnianiem PEAP i odrzucanie połączeń z klientami używającymi protokołu MS-CHAP v2 lub EAP-MS-CHAP v2. Administratorzy muszą sprawdzić odpowiednie opcje metod uwierzytelniania na serwerze RRAS i serwerze zasad sieciowych (NPS, Network Policy Server).Administratorzy muszą też potwierdzić następujące ustawienia:

  • Weryfikacja certyfikatów serwerów jest WŁĄCZONA. (Działanie domyślne: WŁĄCZONA).

  • Weryfikacja nazw serwerów jest WŁĄCZONA. (Działanie domyślne: WŁĄCZONA). Musi być określona właściwa nazwa serwera.

  • Certyfikat główny, za pomocą którego wystawiono certyfikat serwera, jest poprawnie zainstalowany w magazynie systemu klienckiego i jest zawsze WŁĄCZONY. (Zawsze WŁĄCZONY).

  • W systemach Windows 7, Windows Vista i Windows XP w oknie właściwości protokołu PEAP powinno być włączone pole wyboru Nie monituj użytkownika o autoryzowanie nowych serwerów lub zaufanych urzędów certyfikacji. Domyślnie jest wyłączone.

Konfigurowanie metody uwierzytelniania PEAP-MS-CHAP v2 na serwerze RRAS

Poniżej krótko opisano czynności wchodzące w skład procedury konfigurowania metody uwierzytelniania PEAP-MS-CHAP v2 na serwerze RRAS i wyłączania mniej bezpiecznych metod MS-CHAP v2 i EAP-MS-CHAP v2.Konfigurowanie metody uwierzytelniania na serwerze RRASW tym celu wykonaj następujące czynności:

  1. W oknie zarządzania serwerem RRAS otwórz okno dialogowe Właściwości serwera i kliknij kartę Zabezpieczenia.

  2. Kliknij pozycję Metody uwierzytelniania.

  3. Upewnij się, że jest zaznaczone pole wyboru EAP i że jest wyczyszczone pole wyboru MS-CHAP v2.

Konfigurowanie połączeń serwera NPSNależy skonfigurować na serwerze zasad sieciowych zezwalanie tylko na połączenia z klientami używającymi metody uwierzytelniania PEAP-MS-CHAP v2. Aby skonfigurować serwer NPS, wykonaj następujące czynności:

  1. Otwórz interfejs użytkownika serwera NPS, kliknij pozycję Zasady, a następnie kliknij pozycję Zasady sieciowe.

  2. Kliknij prawym przyciskiem myszy pozycję Połączenia z serwerem usługi routingu i dostępu zdalnego firmy Microsoft, a następnie kliknij pozycję Właściwości.

  3. W interfejsie użytkownika Właściwości kliknij kartę Ograniczenia.

  4. W lewym okienku Ograniczenia wybierz pozycję Metody uwierzytelniania, a następnie wyczyść kliknięciami pola wyboru metod MS-CHAP i MS-CHAP-v2.

  5. Usuń pozycję EAP-MS-CHAP v2 z listy Typy protokołu EAP.

  6. Kliknij pozycję Dodaj, wybierz pozycję Metoda uwierzytelniania PEAP, a następnie kliknij przycisk OK.Uwaga Przed skonfigurowaniem połączenia serwera NPS w magazynie osobistych musi być zainstalowany ważny certyfikat serwera, a w magazynie zaufanych głównych urzędów certyfikacji serwera musi być zainstalowany ważny certyfikat główny.

  7. Kliknij pozycję Edytuj, a następnie wybierz jako metodę uwierzytelniania pozycję EAP-MS-CHAP v2.

Konfigurowanie metody uwierzytelniania PEAP-MS-CHAP v2 na kliencie RRAS

Na klientach sieci VPN z systemem Windows można skonfigurować używanie metody uwierzytelniania PEAP-MS-CHAP v2, wybierając odpowiednią metodę w interfejsie użytkownika właściwości połączenia VPN i instalując odpowiedni certyfikat główny w systemie klienckim.

Zalecenia

Facebook LinkedIn Adres e-mail

Potrzebujesz dalszej pomocy?

Chcesz uzyskać więcej opcji?

Poznaj korzyści z subskrypcji, przeglądaj kursy szkoleniowe, dowiedz się, jak zabezpieczyć urządzenie i nie tylko.

Korzyści z subskrypcji platformy Microsoft 365

Szkolenia dotyczące platformy Microsoft 365

Rozwiązania dotyczące zabezpieczeń firmy Microsoft

Centrum ułatwień dostępu