Microsoft 质询握手身份验证协议 2 (MS-CHAP v2) 是一种基于密码的身份验证协议,它是基于 PPTP(点对点隧道协议)的 VPN 中一种广泛使用的身份验证方法。Microsoft 警告说,对于任何将未封装的 MS-CHAP v2 与用于 VPN 连接的 PPTP 隧道结合使用的组织,运行时可能会出现配置不安全的问题。

简介

Microsoft 建议使用 MS-CHAP v2/PPTP 的组织在其网络中实施受保护的可扩展身份验证协议 (PEAP)。目的是通过封装 TLS 中的 MS-CHAP v2 身份验证通信来缓解该技术。

将 PPTP 配置为使用 PEAP-MS-CHAP v2 进行身份验证

PEAP-MS-CHAP v2

将 PEAP with MS-CHAP v2 作为客户端身份验证方法可有效保护 VPN 身份验证的安全。若要在客户端平台上强制使用 PEAP,应将 Windows 路由和远程访问服务器 (RRAS) 服务器配置为仅允许使用 PEAP 身份验证的连接,并拒绝来自使用 MS-CHAP v2 或 EAP-MS-CHAP v2 客户端的连接。管理员必须检查 RRAS 服务器和网络策略服务器 (NPS) 服务器上的相应身份验证方法选项。

管理员还必须确认下列信息:

  • 服务器证书验证已启用。(默认行为是启用。)

  • 服务器名称验证已启用。(默认行为是启用。)必须指定正确的服务器名称。

  • 由其发布服务器证书的根证书已正确安装在客户端系统的存储区中,并且已启用(一直处于启用状态)。

  • 在 Windows 7、Windows Vista 和 Windows XP 上,PEAP 属性窗口中的“不提示用户授权新的服务器或受信任的证书颁发机构”复选框应处于启用状态。默认情况下,其处于禁用状态。

为 RRAS 服务器配置 PEAP-MS-CHAP v2 身份验证方法

有关为 RRAS 服务器配置 PEAP-MS-CHAP v2 身份验证方法以及关闭不太安全的 MS-CHAP v2 和 EAP-MS-CHAP v2 方法的过程简介,请参阅以下步骤。

为 RRAS 配置身份验证方法

为此,请执行以下步骤:

  1. 在“RRAS 服务器管理”窗口中,打开“属性”对话框,然后单击“安全”选项卡。

  2. 单击“身份验证方法”。

  3. 确保“EAP”复选框已选中,且“MS-CHAP v2”复选框未选中。

配置 NPS 的连接

将网络策略服务器 (NPS) 配置为仅允许来自使用 PEAP-MS-CHAP v2 身份验证方法的客户端的连接。若要配置 NPS,请执行以下步骤:

  1. 打开“NPS”UI,单击“策略”,然后单击“网络策略”。

  2. 右键单击“到 Microsoft 路由和远程访问服务器的连接”,然后选择“属性”。

  3. 在“属性”UI 中,单击“约束”选项卡。

  4. 在左侧的“约束”窗格中,选择“身份验证方法”,然后单击以清除“MS-CHAP”和“MS-CHAP-v2”方法的复选框。

  5. 从“EAP 类型”列表中删除“EAP-MS-CHAP v2”。

  6. 单击“添加”,选择“PEAP 身份验证方法”,然后单击“确定”。


    注意在配置 NPS 连接之前,有效服务器证书必须安装在服务器的“个人”存储区中,有效根证书必须安装在服务器的“受信任的根 CA”存储区中。

  7. 单击“编辑”,然后选择“EAP-MS-CHAP v2”作为身份验证方法。

为 RRAS 客户端配置 PEAP-MS-CHAP v2 身份验证方法

可以将 Windows VPN 客户端配置为使用 PEAP-MS-CHAP v2 身份验证方法,方法是从 VPN 连接属性 UI 中选择相应的方法并在客户端系统上安装相应的根证书。

建议

Need more help?

Expand your skills
Explore Training
Get new features first
Join Microsoft Insiders

Was this information helpful?

How satisfied are you with the translation quality?
What affected your experience?

Thank you for your feedback!

×