远程访问身份验证方法.docx

引用： 远程访问身份验证方法 应用到: Windows Server 2008 · 比较身份验证方法 · EAP · MS-CHAP v2 · CHAP · PAP · 未经身份验证的访问 比较身份验证方法 应用到: Windows Server 2008 PPP 身份验证协议 Windows Server® 2008 中的远程访问支持下表中列出的点对点协议 (PPP) 身份验证协议。   协议 说明 安全级别 PAP（密码身份验证协议） 使用纯文本密码。如果远程访问客户端和远程访问服务器无法协商更安全的验证形式，则通常使用 PAP。 最不安全的身份验证协议。 不抵御重播攻击、远程客户端模拟和远程服务器模拟。 CHAP（质询握手身份验证协议） 一种质询-响应身份验证协议，使用行业标准的 Message Digest 5 (MD5) 哈希方案来对响应加密。 优于 PAP 的是不会通过 PPP 链路发送密码。 要求使用纯文本版本的密码来验证质询响应。 不抵御远程服务器模拟。 MS-CHAP v2（Microsoft 质询握手身份验证协议第 2 版） MS-CHAP 的升级。 提供双向身份验证，也称为相互身份验证。远程访问客户端收到其拨入的远程访问服务器有权访问用户密码的验证。 安全性强于 CHAP。 EAP（可扩展的身份验证协议） 允许使用身份验证方案（称为 EAP 类型）对远程访问连接进行随意身份验证。 可以最灵活地改变身份验证，安全性最强。 EAP 应用到: Windows Server 2008 任意身份验证机制可以通过可扩展的身份验证协议 (EAP) 对远程访问连接进行身份验证。要使用的确切身份验证方案由远程访问客户端与身份验证器（远程访问服务器或远程身份验证拨入用户服务 [RADIUS] 服务器）进行协商。默认情况下，“路由和远程访问”包含对 EAP-TLS 的支持。可以将其他 EAP 模块插入运行“路由和远程访问”的服务器，以提供其他 EAP 方法。 EAP 允许在远程访问客户端与身份验证器之间进行开放式对话。对话包括身份验证器对身份验证信息的请求以及来自远程访问客户端的响应。例如，EAP 与安全令牌卡一起使用时，身份验证器可以单独在远程访问客户端中查询名称、PIN 和卡令牌值。随着每个查询的问答，远程访问客户端进入另一个身份验证级别。所有问题均得到满意的解答后，远程访问客户端即完成身份验证。 EAP 身份验证方案称为 EAP 类型。只有远程访问客户端与身份验证器支持相同的 EAP 类型时，才能成功地进行身份验证。 EAP-TLS EAP 传输层安全 (EAP-TLS) 是在基于证书的安全环境中使用的 EAP 类型。如果使用智能卡进行远程访问身份验证，必须使用 EAP-TLS 身份验证方法。EAP-TLS 消息交换在远程访问客户端与身份验证器之间提供相互身份验证、加密方法协商以及加密密钥确定。EAP-TLS 提供最强大的身份验证方法和密钥确定方法。 只有运行“路由和远程访问”的服务器、配置为使用 Windows 身份验证或 RADIUS 的服务器以及作为域成员的服务器支持 EAP-TLS。运行独立服务器的远程访问服务器或作为工作组成员的远程访问服务器不支持 EAP-TLS。 EAP-RADIUS EAP-RADIUS 不是 EAP 类型，而是通过身份验证器将任意 EAP 类型的 EAP 消息传递给 RADIUS 服务器进行身份验证。例如，对于配置为进行 RADIUS 身份验证的远程访问服务器，在远程访问客户端与远程访问服务器之间发送的 EAP 消息在远程访问服务器与 RADIUS 服务器之间封装并格式化为 RADIUS 消息。 EAP-RADIUS 在 RADIUS 是身份验证提供程序的环境中使用。使用 EAP-RADIUS 的优势是不必在每台远程访问服务器上安装 EAP 类型，只需要在 RADIUS 服务器上安装。如果是运行网络策略服务器 (NPS) 的服务器，则只需要在 NPS 服务器上安装 EAP 类型。 在 EAP-RADIUS 的典型用法中，将运行“路由和远程访问”的服务器配置为使用 EAP 并使用 NPS 服务器进行身份验证。建立连接后，远程访问客户端与远程访问服务器协商 EAP 的使用。客户端向远程访问服务器发送 EAP 消息后，远程访问服务器将 EAP 消息封装为 RADIUS 消息并将其发送到已配置的 NPS 服务器。NPS 服务器处理 EAP 消息并将 RADIUS 封装的 EAP 消息发送回远程访问服务器。然后，远程访问服务器将 EAP 消息转发到远程访问客户端。在此配置中，远程访问服务器是唯一的传递设备。对 EAP 消息的所有处理均在远程访问客户端和 NPS 服务器上进行。 可以将“路由和远程访问”配置为在本地进行身份验证，或向 RADIUS 服务器进行身份验证。如果将“路由和远程访问”配置为在本地进行身份验证，所有 EAP 方法均将在本地进行身份验证。如果将“路由和远程访问”配置为向 RADIUS 服务器进行身份验证，所有 EAP 消息均将使用 EAP-RADIUS 转发到 RADIUS 服务器。 启用 EAP 若要启用基于 EAP 的身份验证，必须执行下列操作： 1. 启用 EAP 作为远程访问服务器上的身份验证协议。 2. 启用 EAP，如果需要，在相应的网络策略上配置 EAP 类型。 3. 在远程访问客户端上启用并配置 EAP。 其他注意事项 · 在 NPS 服务器的网络策略上启用 EAP 之前，确保您的网络访问服务器 (NAS) 支持 EAP。有关详细信息，请参阅 NAS 文档。 MS-CHAP v2 应用到: Windows Server 2008 Microsoft 质询握手身份验证协议 (MS-CHAP v2) 是一个通过单向加密密码进行的相互身份验证过程，工作流程如下： 1. 身份验证器（远程访问服务器或 NPS 服务器）向远程访问客户端发送质询，其中包含会话标识符和任意质询字符串。 2. 远程访问客户端发送包含下列信息的响应： · 用户名。 · 任意对等质询字符串。 · 接收的质询字符串、对等质询字符串、会话标识符和用户密码的单向加密。 3. 身份验证器检查来自客户端的响应并发送回包含下列信息的响应： · 指示连接尝试是成功还是失败。 · 经过身份验证的响应，基于发送的质询字符串、对等质询字符串、加密的客户端响应和用户密码。 4. 远程访问客户端验证身份验证响应，如果正确，则使用该连接。如果身份验证响应不正确，远程访问客户端将终止该连接。 启用 MS-CHAP v2 若要启用基于 MS-CHAP v2 的身份验证，必须执行下列操作： 1. 启用 MS-CHAP v2 作为远程访问服务器上的身份验证协议。 2. 在相应的网络策略上启用 MS-CHAP v2。默认情况下启用 MS-CHAP v2。 3. 在远程访问客户端上启用 MS-CHAP v2。 其他注意事项 · MS-CHAP v2 是随 Windows Server® 2008 系列提供的、唯一支持在身份验证过程中更改密码的身份验证协议。 · 在 NPS 服务器的网络策略上启用 MS-CHAP v2 之前，确保您的网络访问服务器 (NAS) 支持 MS-CHAP v2。有关详细信息，请参阅 NAS 文档。 CHAP 应用到: Windows Server 2008 质询握手身份验证协议 (CHAP) 是一种质询-响应身份验证协议，使用行业标准的 Message Digest 5 (MD5) 哈希方案来对响应加密。CHAP 可供各种网络访问服务器和客户端的供应商使用。运行“路由和远程访问”的服务器支持 CHAP，以便对要求使用 CHAP 的远程访问客户端进行身份验证。由于 CHAP 要求使用可撤消的加密密码，所以，应考虑使用其他身份验证协议（例如 MS-CHAP 版本 2）。 若要启用基于 CHAP 的身份验证，必须执行下列操作： 1. 启用 CHAP 作为远程访问服务器上的身份验证协议。默认情况下禁用 CHAP。 2. 在相应的网络策略上启用 CHAP。 3. 启用以可撤消的加密形式存储用户密码。 可以对每个用户帐户以可撤消的加密形式存储用户密码，也可以对域中的所有帐户以可撤消的加密形式存储用户密码。 4. 强制重置用户密码，以使新密码采用可撤消的加密形式。 启用以可撤消的加密形式存储密码时，当前密码未采用可撤消的加密形式，并且未自动更改。必须重置用户密码，或将用户密码设置为在每个用户下次登录时更改。 如果将用户密码设置为在用户下次登录时更改，该用户必须使用局域网 (LAN) 连接进行登录，并在用户尝试使用远程访问连接登录之前，使用 CHAP 更改密码。在身份验证过程中，不能使用 CHAP 更改密码；否则，登录尝试将失败。远程访问用户的一种解决方法是暂时使用 MS-CHAP 登录来更改密码。 5. 在远程访问客户端上启用 CHAP。 其他注意事项 · 如果密码已过期，CHAP 无法在身份验证过程中更改密码。 · 在 NPS 服务器的网络策略上启用 CHAP 之前，确保您的网络访问服务器 (NAS) 支持 CHAP。有关详细信息，请参阅 NAS 文档。 · 不能对 CHAP 使用 Microsoft 点对点加密 (MPPE)。 PAP 应用到: Windows Server 2008 密码身份验证协议 (PAP) 使用纯文本密码，是最不安全的身份验证协议。如果远程访问客户端和远程访问服务器无法协商更安全的验证形式，则通常协商 PAP。 PAP 包含在 Windows Server® 2008 中，以便： · 运行 Windows 32 位操作系统的远程访问客户端可以连接到不支持安全身份验证协议的旧版远程访问服务器。 · 运行不支持安全远程访问协议的 Microsoft 操作系统的远程访问客户端可以连接到运行 Windows 32 位操作系统的远程访问服务器。 若要启用基于 PAP 的身份验证，必须执行下列操作： 1. 启用 PAP 作为远程访问服务器上的身份验证协议。默认情况下禁用 PAP。 2. 在相应的网络策略上启用 PAP。默认情况下禁用 PAP。 3. 在远程访问客户端上启用 PAP。 重要事项 启用 PAP 作为身份验证协议时，将以纯文本形式发送用户密码。任何捕获到身份验证过程的数据包的用户均可以很容易地读取密码并使用该密码对您的 Intranet 进行未经授权的访问。强烈建议您不要使用 PAP，对于虚拟专用网络 (VPN) 连接尤其如此。 其他注意事项 · 通过在远程访问服务器上禁用对 PAP 的支持，拨号客户端将不再发送纯文本密码。禁用对 PAP 的支持可以提高身份验证的安全性，但是只支持 PAP 的远程访问客户端将无法连接。 · 如果密码已过期，PAP 无法在身份验证过程中更改密码。 · 在运行网络策略服务器 (NPS) 的服务器的网络策略上启用 PAP 之前，确保您的网络访问服务器 (NAS) 支持 PAP。有关详细信息，请参阅 NAS 文档。 · 不能对 PAP 使用 Microsoft 点对点加密 (MPPE)。 未经身份验证的访问 应用到: Windows Server 2008 Windows Server® 2008 系列支持未经身份验证的访问，这意味着不需要提供用户凭据（用户名和密码）。有时会需要进行未经身份验证的访问。有关详细信息，请参阅 Unauthenticated access ( Windows Server 2003 中支持的未经身份验证的访问。） 重要事项 启用了未经身份验证的访问后，远程访问用户不必发送用户凭据即可建立连接。未经身份验证的远程访问客户端在建立连接的过程中不协商使用公用的身份验证协议，也不发送用户名或密码。 远程访问客户端配置的身份验证协议与远程访问服务器上配置的身份验证协议不匹配时，远程访问客户端可能会进行未经身份验证的访问。在这种情况下，不协商使用公用的身份验证协议，远程访问客户端也不发送用户名或密码。