针对 Microsoft PPTP VPN 实施 PEAP-MS-CHAP v2 身份验证

Microsoft 质询握手身份验证协议 2 (MS-CHAP v2) 是一种基于密码的身份验证协议,它是基于 PPTP(点对点隧道协议)的 VPN 中一种广泛使用的身份验证方法。Microsoft 警告说,对于任何将未封装的 MS-CHAP v2 与用于 VPN 连接的 PPTP 隧道结合使用的组织,运行时可能会出现配置不安全的问题。

简介

Microsoft 建议使用 MS-CHAP v2/PPTP 的组织在其网络中实施受保护的可扩展身份验证协议 (PEAP)。目的是通过封装 TLS 中的 MS-CHAP v2 身份验证通信来缓解该技术。

将 PPTP 配置为使用 PEAP-MS-CHAP v2 进行身份验证

PEAP-MS-CHAP v2

将 PEAP with MS-CHAP v2 作为客户端身份验证方法可有效保护 VPN 身份验证的安全。若要在客户端平台上强制使用 PEAP,应将 Windows 路由和远程访问服务器 (RRAS) 服务器配置为仅允许使用 PEAP 身份验证的连接,并拒绝来自使用 MS-CHAP v2 或 EAP-MS-CHAP v2 客户端的连接。管理员必须检查 RRAS 服务器和网络策略服务器 (NPS) 服务器上的相应身份验证方法选项。

管理员还必须确认下列信息:

  • 服务器证书验证已启用。(默认行为是启用。)

  • 服务器名称验证已启用。(默认行为是启用。)必须指定正确的服务器名称。

  • 由其发布服务器证书的根证书已正确安装在客户端系统的存储区中,并且已启用(一直处于启用状态)。

  • 在 Windows 7、Windows Vista 和 Windows XP 上,PEAP 属性窗口中的“不提示用户授权新的服务器或受信任的证书颁发机构”复选框应处于启用状态。默认情况下,其处于禁用状态。

为 RRAS 服务器配置 PEAP-MS-CHAP v2 身份验证方法

有关为 RRAS 服务器配置 PEAP-MS-CHAP v2 身份验证方法以及关闭不太安全的 MS-CHAP v2 和 EAP-MS-CHAP v2 方法的过程简介,请参阅以下步骤。

为 RRAS 配置身份验证方法

为此,请执行以下步骤:

  1. 在“RRAS 服务器管理”窗口中,打开“属性”对话框,然后单击“安全”选项卡。

  2. 单击“身份验证方法”。

  3. 确保“EAP”复选框已选中,且“MS-CHAP v2”复选框未选中。

配置 NPS 的连接

将网络策略服务器 (NPS) 配置为仅允许来自使用 PEAP-MS-CHAP v2 身份验证方法的客户端的连接。若要配置 NPS,请执行以下步骤:

  1. 打开“NPS”UI,单击“策略”,然后单击“网络策略”。

  2. 右键单击“到 Microsoft 路由和远程访问服务器的连接”,然后选择“属性”。

  3. 在“属性”UI 中,单击“约束”选项卡。

  4. 在左侧的“约束”窗格中,选择“身份验证方法”,然后单击以清除“MS-CHAP”和“MS-CHAP-v2”方法的复选框。

  5. 从“EAP 类型”列表中删除“EAP-MS-CHAP v2”。

  6. 单击“添加”,选择“PEAP 身份验证方法”,然后单击“确定”。


    注意在配置 NPS 连接之前,有效服务器证书必须安装在服务器的“个人”存储区中,有效根证书必须安装在服务器的“受信任的根 CA”存储区中。

  7. 单击“编辑”,然后选择“EAP-MS-CHAP v2”作为身份验证方法。

为 RRAS 客户端配置 PEAP-MS-CHAP v2 身份验证方法

可以将 Windows VPN 客户端配置为使用 PEAP-MS-CHAP v2 身份验证方法,方法是从 VPN 连接属性 UI 中选择相应的方法并在客户端系统上安装相应的根证书。

建议

需要更多帮助?

扩展你的技能
了解培训
抢先获得新功能
加入 Microsoft 内部人员

此信息是否有帮助?

谢谢您的反馈意见!

谢谢你的反馈! 可能需要转接到 Office 支持专员。

×