Microsoft Challenge Handshake 驗證通訊協定,第 2 版 (MS-CHAP v2) 是一種密碼驗證通訊協定,廣泛運用為 PPTP (點對點通道通訊協定) VPN 的驗證方法。Microsoft 警告,任何使用未經封裝搭配使用 PPTP VPN 連線通道來使用 MS-CHAP v2 的組織可能正在執行不安全的設定。
簡介
Microsoft 建議使用 MS-CHAP v2/PPTP 的組織在網路中實作受保護的可延伸驗證通訊協定 (PEAP)。這藉由封裝 MS-CHAP v2 在 TLS 中的驗證流量來減輕此技術。
將 PPTP 設定為使用 PEAP-MS-CHAP v2 驗證
PEAP-MS-CHAP v2
以 PEAP 及 MS-CHAP v2 作為用戶端驗證方法是一種協助保護 VPN 驗證的方式。如要強制在用戶端平台上使用 PEAP,您需要設定 Windows 路由及遠端存取伺服器 (RRAS) 僅允許使用 PEAP 驗證的連線,以及拒絕使用 MS-CHAP v2 或 EAP-MS-CHAP v2 用戶端的連線。系統管理員必須檢查 RRAS 伺服器以及網路原則伺服器 (NPS) 上的對應驗證方法選項。
系統管理員也必須先確認下列事項:
-
伺服器憑證驗證已開啟。(預設行為是開啟)。
-
伺服器憑證驗證已開啟。(預設行為是開啟)。必須指定正確的伺服器名稱。
-
發行伺服器憑證的根憑證已經在用戶端的系統存放區上正確安裝且已經開啟。(永遠開啟)。
-
在 Windows 7、Windows Vista 以及 Windows XP 上,您可以啟用位於 PEAP 屬性視窗中 [不要提示使用者授權新伺服器或信任的憑證授權] 核取方塊。根據預設,該核取方塊為停用。
設定 RRAS 伺服器以便使用 PEAP-MS-CHAP v2 驗證方法
設定 RRAS 伺服器以便使用 PEAP-MS-CHAP v2 驗證方法,以及設定 RRAS 伺服器以便關閉較不安全的 MS-CHAP v2 及 EAP-MS-CHAP v2 方法的程序,將以下列步驟簡短描述。
設定 RRAS 的驗證方法
如果要執行這項操作,請依照下列步驟執行:
-
在 RRAS 伺服器管理視窗中,開啟伺服器 [屬性] 對話方塊,然後按一下 [安全性] 索引標籤。
-
按一下 [驗證方法]。
-
請確定 [EAP]核取方塊已選取且 [MS-CHAP v2]核取方塊未選取。
設定 NPS 的連線
將網路原則伺服器 (NPS) 設定為僅允許使用 PEAP-MS-CHAP v2 驗證方法的連線。如要設定網路原則伺服器,請依照下列步驟執行:
-
開啟 NPS 的使用者介面,按一下 [ [原則],然後按一下 [網路原則]。
-
以滑鼠右鍵按一下 [至 Microsoft 路由及遠端存取伺服器的連線],然後選取 [屬性]。
-
在 [屬性] 使用者介面,按一下 [條件約束] 索引標籤。
-
在左側的 [條件約束] 窗格中選取 [驗證方法],然後按一下以取消選取 MS-CHAP 以及 MS-CHAP-v2 方法核取方塊。
-
從 EAP 類型清單中移除 EAP-MS-CHAP v2。
-
按一下 [新增],選取 [PEAP 驗證方法],然後按一下 [確定]。
注意 有效的伺服器憑證必須先安裝在「個人」存放區,而有效的根憑證則必須安裝在「可信任的根 CA」存放區,才能設定 NPS 連線。 -
按一下 [編輯],然後選取 [EAP-MS-CHAP v2] 做為驗證方法。
設定 RRAS 用戶端以便使用 PEAP-MS-CHAP v2 驗證方法
您可藉由從 VPN 連線屬性使用者介面選取對應方法,以及在用戶端系統上安裝適當的根憑證將 Windows VPN 用戶端設定為使用 PEAP-MS-CHAP v2 驗證方法。
