Microsoft 质询握手身份验证协议 2 (MS-CHAP v2) 是一种基于密码的身份验证协议,它是基于 PPTP(点对点隧道协议)的 VPN 中一种广泛使用的身份验证方法。Microsoft 警告说,对于任何将未封装的 MS-CHAP v2 与用于 VPN 连接的 PPTP 隧道结合使用的组织,运行时可能会出现配置不安全的问题。
简介
Microsoft 建议使用 MS-CHAP v2/PPTP 的组织在其网络中实施受保护的可扩展身份验证协议 (PEAP)。目的是通过封装 TLS 中的 MS-CHAP v2 身份验证通信来缓解该技术。
将 PPTP 配置为使用 PEAP-MS-CHAP v2 进行身份验证
PEAP-MS-CHAP v2
将 PEAP with MS-CHAP v2 作为客户端身份验证方法可有效保护 VPN 身份验证的安全。若要在客户端平台上强制使用 PEAP,应将 Windows 路由和远程访问服务器 (RRAS) 服务器配置为仅允许使用 PEAP 身份验证的连接,并拒绝来自使用 MS-CHAP v2 或 EAP-MS-CHAP v2 客户端的连接。管理员必须检查 RRAS 服务器和网络策略服务器 (NPS) 服务器上的相应身份验证方法选项。
管理员还必须确认下列信息:
-
服务器证书验证已启用。(默认行为是启用。)
-
服务器名称验证已启用。(默认行为是启用。)必须指定正确的服务器名称。
-
由其发布服务器证书的根证书已正确安装在客户端系统的存储区中,并且已启用(一直处于启用状态)。
-
在 Windows 7、Windows Vista 和 Windows XP 上,PEAP 属性窗口中的“不提示用户授权新的服务器或受信任的证书颁发机构”复选框应处于启用状态。默认情况下,其处于禁用状态。
为 RRAS 服务器配置 PEAP-MS-CHAP v2 身份验证方法
有关为 RRAS 服务器配置 PEAP-MS-CHAP v2 身份验证方法以及关闭不太安全的 MS-CHAP v2 和 EAP-MS-CHAP v2 方法的过程简介,请参阅以下步骤。
为 RRAS 配置身份验证方法
为此,请执行以下步骤:
-
在“RRAS 服务器管理”窗口中,打开“属性”对话框,然后单击“安全”选项卡。
-
单击“身份验证方法”。
-
确保“EAP”复选框已选中,且“MS-CHAP v2”复选框未选中。
配置 NPS 的连接
将网络策略服务器 (NPS) 配置为仅允许来自使用 PEAP-MS-CHAP v2 身份验证方法的客户端的连接。若要配置 NPS,请执行以下步骤:
-
打开“NPS”UI,单击“策略”,然后单击“网络策略”。
-
右键单击“到 Microsoft 路由和远程访问服务器的连接”,然后选择“属性”。
-
在“属性”UI 中,单击“约束”选项卡。
-
在左侧的“约束”窗格中,选择“身份验证方法”,然后单击以清除“MS-CHAP”和“MS-CHAP-v2”方法的复选框。
-
从“EAP 类型”列表中删除“EAP-MS-CHAP v2”。
-
单击“添加”,选择“PEAP 身份验证方法”,然后单击“确定”。
注意在配置 NPS 连接之前,有效服务器证书必须安装在服务器的“个人”存储区中,有效根证书必须安装在服务器的“受信任的根 CA”存储区中。 -
单击“编辑”,然后选择“EAP-MS-CHAP v2”作为身份验证方法。
为 RRAS 客户端配置 PEAP-MS-CHAP v2 身份验证方法
可以将 Windows VPN 客户端配置为使用 PEAP-MS-CHAP v2 身份验证方法,方法是从 VPN 连接属性 UI 中选择相应的方法并在客户端系统上安装相应的根证书。