Extensible Authentication-Protokoll (EAP) für den Netzwerkzugriff

Das Extensible Authentication Protocol (EAP) ist ein Authentifizierungsframework, das die Verwendung verschiedener Authentifizierungsmethoden für sichere Netzwerkzugriffstechnologien ermöglicht. Beispiele für diese Technologien sind drahtloser Zugriff mit IEEE 802.1X, kabelgebundener Zugriff mit IEEE 802.1X und PPP-Verbindungen (Point-to-Point Protocol) wie Virtual Private Networking (VPN). EAP ist keine bestimmte Authentifizierungsmethode wie MS-CHAP v2, sondern ein Framework, mit dem Netzwerkanbieter neue Authentifizierungsmethoden, sogenannte EAP-Methoden, auf dem Zugriffsclient und Authentifizierungsserver entwickeln und installieren können. Das EAP-Framework wurde ursprünglich durch RFC 3748 definiert und um verschiedene weitere RFCs und Standards erweitert.

Authentifizierungsmethoden

EAP-Authentifizierungsmethoden, die bei Tunnel-EAP-Methoden verwendet werden, sind als interne Methoden oder EAP-Typen bekannt. Methoden, die als interne Methoden eingerichtet sind, verfügen über die gleichen Konfigurationseinstellungen wie bei Verwendung als äußere Methode. Dieser Artikel enthält spezifische Konfigurationsinformationen für die folgenden Authentifizierungsmethoden in EAP:

EAP-Transport Layer Security (EAP-TLS):Standardbasierte EAP-Methode, die TLS mit Zertifikaten für die gegenseitige Authentifizierung verwendet. Wird in Windows als Smartcard oder anderes Zertifikat (EAP-TLS) angezeigt. EAP-TLS kann als interne Methode für eine andere EAP-Methode oder als eigenständige EAP-Methode bereitgestellt werden.

Tipp

EAP-Methoden, die EAP-TLS nutzen und zertifikatbasiert sind, bieten in der Regel das höchste Maß an Sicherheit. Beispielsweise ist EAP-TLS die einzige zulässige EAP-Methode für den WPA3-Enterprise-Modus (192 Bit).

EAP-MS-CHAP v2 (EAP-Microsoft Challenge Handshake Authentication-Protokoll, Version 2): Von Microsoft definierte EAP-Methode, die das MSCHAP v2-Authentifizierungsprotokoll kapselt und einen Benutzernamen und ein Kennwort für die Authentifizierung verwendet. Wird unter Windows als Sicheres Kennwort (EAP-MSCHAP v2) angezeigt. EAP-MSCHAPv2 kann für ein VPN als eigenständige Methode verwendet werden, für kabelgebundene Verbindungen oder Drahtlosverbindungen aber nur als interne Methode.

Warnung

Auf MSCHAPv2 basierende Verbindungen sind ähnlichen Angriffen ausgesetzt wie bei NTLMv1. In Windows 11 Enterprise, Version 22H2 (Build 22621) ist Windows Defender Credential Guard aktiviert, was zu Problemen mit MSCHAPv2-basierten Verbindungen führen kann.

Geschütztes EAP (PEAP): Von Microsoft definierte EAP-Methode, die EAP in einem TLS-Tunnel kapselt. Der TLS-Tunnel schützt die interne EAP-Methode, die andernfalls ungeschützt wäre. Windows unterstützt EAP-TLS und EAP-MSCHAP v2 als interne Methoden.

EAP-TTLS (EAP-Tunneled Transport Layer Security): Ist in RFC 5281 beschrieben und kapselt eine TLS-Sitzung, die die gegenseitige Authentifizierung mithilfe eines internen Authentifizierungsmechanismus ausführt. Diese interne Methode kann entweder ein EAP-Protokoll (z. B. EAP-MSCHAP v2) oder ein Nicht-EAP-Protokoll (z. B. PAP (Password Authentication Protocol)) sein. In Windows Server 2012 bietet die Aufnahme von EAP-TTLS nur clientseitig Unterstützung (unter Windows 8). NPS unterstützt EAP-TTLS derzeit nicht. Die Clientunterstützung ermöglicht die Zusammenarbeit mit häufig bereitgestellten RADIUS-Servern, die EAP-TTLS unterstützen.

EAP-SIM (Subscriber Identity Module), EAP-AKA (Authentication and Key Agreement) und EAP-AKA' (EAP-AKA Prime): Ist in verschiedenen RFCs beschrieben, ermöglicht die Authentifizierung mithilfe von SIM-Karten und wird implementiert, wenn ein Kunde bzw. eine Kundin einen Breitbandtarif bei einem Mobilfunkbetreiber erwirbt. Im Allgemeinen erhält der Kunde damit ein Funknetzwerkprofil, das für die SIM-Authentifizierung vorkonfiguriert ist.

Tunnel-EAP (TEAP): Wird in RFC 7170 beschrieben. EAP-Tunnelmethode, die einen sicheren TLS-Tunnel erstellt und andere EAP-Methoden innerhalb dieses Tunnels ausführt. Unterstützt EAP-Verkettung: Authentifizieren des Computers und des Benutzers innerhalb einer Authentifizierungssitzung. In Windows Server 2022 bietet die Aufnahme von TEAP nur clientseitig Unterstützung (Windows 10, Version 2004 (Build 19041)). NPS unterstützt TEAP derzeit nicht. Die Clientunterstützung ermöglicht die Zusammenarbeit mit häufig bereitgestellten RADIUS-Servern, die TEAP unterstützen. Windows unterstützt EAP-TLS und EAP-MSCHAP v2 als interne Methoden.

In der folgenden Tabelle sind einige gängige EAP-Methoden und deren von IANA zugewiesene Type-Nummer aufgeführt.

EAP-Methoden Von IANA zugewiesene Type-Nummer Native Windows-Unterstützung
MD5-Challenge (EAP-MD5) 4
Einmalkennwort (EAP-OTP) 5
Generische Tokenkarte (EAP-GTC) 6
EAP-TLS 13
EAP-SIM 18
EAP-TTLS 21
EAP-AKA 23
PEAP 25
EAP-MSCHAP v2 26
Geschütztes Einmalkennwort (EAP-POTP) 32
EAP-FAST 43
Vorinstallierter Schlüssel (EAP-PSK) 47
EAP-IKEv2 49
EAP-AKA' 50
EAP-EKE 53
TEAP 55
EAP-NOOB 56

Konfigurieren von EAP-Eigenschaften

Sie können wie folgt auf die EAP-Eigenschaften für den 802.1X-authentifizierten drahtlosen und verkabelten Zugriff zugreifen:

  • Konfigurieren der Erweiterungen „Richtlinien für Kabelnetzwerke (IEEE 802.3)“ und „Drahtlosnetzwerkrichtlinien (IEEE 802.11)“ in der Gruppenrichtlinie
    • Computerkonfiguration>Richtlinien>Windows-Einstellungen>Sicherheitseinstellungen
  • Verwenden von MDM-Software (Mobile Device Management, Verwaltung mobiler Geräte), z. B. Intune (WLAN/Kabelgebundene Verbindung)
  • Manuelles Konfigurieren von Kabel- oder Drahtlosverbindungen auf Clientcomputern

Sie können wie folgt auf die EAP-Eigenschaften für VPN-Verbindungen (virtuelles privates Netzwerk) zugreifen:

  • Verwenden von MDM-Software (Mobile Device Management, Verwaltung mobiler Geräte), z. B. Intune
  • Manuelles Konfigurieren von VPN-Verbindungen auf Clientcomputern
  • Verwenden des Verbindungs-Manager-Verwaltungskits (Connection Manager Administration Kit, CMAK) zum Konfigurieren von VPN-Verbindungen

Weitere Informationen zum Konfigurieren von EAP-Eigenschaften finden Sie unter Configure EAP profiles and settings in Windows (Konfigurieren von EAP-Profilen und -Einstellungen in Windows).

XML-Profile für EAP

Die für verschiedene Verbindungstypen verwendeten Profile sind XML-Dateien, die die Konfigurationsoptionen für diese Verbindung enthalten. Die verschiedenen Verbindungstypen folgen einem bestimmten Schema:

Wenn jedoch die Verwendung von EAP konfiguriert ist, verfügt jedes Profilschema über das untergeordnete Element EapHostConfig.

  • Kabelgebunden/drahtlos: EapHostConfig ist ein untergeordnetes Element des EAPConfig-Elements. MSM-Sicherheit (kabelgebunden/) > OneX> EAPConfig>
  • VPN: EapHostConfig ist ein untergeordnetes Element von NativeProfile > Authentifizierung > EAP > Konfiguration

Diese Konfigurationssyntax ist in der Spezifikation Group Policy: Wireless/Wired Protocol Extension definiert.

Hinweis

Auf den verschiedenen Konfigurations-GUIs werden nicht immer alle technisch möglichen Optionen angezeigt. Beispielsweise können Windows Server 2019 und frühere Versionen TEAP nicht über die Benutzeroberfläche konfigurieren. Es ist jedoch häufig möglich, ein vorhandenes XML-Profil zu importieren, das zuvor konfiguriert wurde.

Das Ziel des restlichen Artikels ist die Bereitstellung einer Zuordnung zwischen den EAP-spezifischen Teilen der Gruppenrichtlinien-/Systemsteuerungs-Benutzeroberfläche und den XML-Konfigurationsoptionen sowie einer Beschreibung der Einstellung.

Weitere Informationen zum Konfigurieren von XML-Profilen finden Sie unter XML-Profile. Ein Beispiel für die Verwendung eines XML-Profils mit EAP-Einstellungen finden Sie unter Bereitstellen eines WLAN-Profils über eine Website.

Sicherheitseinstellungen

In der folgenden Tabelle werden die konfigurierbaren Sicherheitseinstellungen für ein Profil erläutert, das 802.1X verwendet. Diese Einstellungen sind OneX zugeordnet.

Einstellung XML-Element BESCHREIBUNG
Netzwerkauthentifizierungsmethode auswählen: EAPConfig Hiermit können Sie die EAP-Methode auswählen, die für die Authentifizierung verwendet werden soll. Weitere Informationen finden Sie unter Konfigurationseinstellungen für die Authentifizierungsmethode und Konfigurationseinstellungen für die Mobilfunkauthentifizierung.
Eigenschaften Öffnet das Eigenschaftendialogfeld für die ausgewählte EAP-Methode.
Authentifizierungsmodus authMode Gibt den Typ der Anmeldeinformationen an, die für die Authentifizierung verwendet werden. Die folgenden Werte werden unterstützt:

1. Benutzer- oder Computerauthentifizierung
2. Computerauthentifizierung
3. Benutzerauthentifizierung
4. Gastauthentifizierung

Für den in diesem Kontext verwendeten Begriff „Computer“ wird in anderen Referenzen ggf. auch „Maschine“ verwendet. machineOrUser ist die Standardeinstellung in Windows.
Max. Authentifizierungsfehler maxAuthFailures Gibt die maximale Anzahl von Authentifizierungsfehlern an, die für Anmeldeinformationen zulässig sind. Standardeinstellung: 1
Benutzerinformationen für zukünftige Verbindungen mit diesem Netzwerk zwischenspeichern cacheUserData Gibt an, ob die Anmeldeinformationen des Benutzers bzw. der Benutzerin für zukünftige Verbindungen mit demselben Netzwerk zwischengespeichert werden sollen. Standardeinstellung true

Erweiterte Sicherheitseinstellungen > IEEE 802.1X

Wenn Erweiterte 802.1X-Einstellungen erzwingen aktiviert ist, werden alle folgenden Einstellungen konfiguriert. Wenn diese Option deaktiviert ist, gelten die Standardeinstellungen. In XML sind alle Elemente optional. Sind keine Elemente vorhanden, werden die Standardwerte verwendet.

Einstellung XML-Element BESCHREIBUNG
Max. EAPOL-Start-Meld. maxStart Gibt die maximale Anzahl von EAPOL-Startmeldungen an, die an den Authentifikator (RADIUS-Server) gesendet werden können, bevor der Supplicant (Windows-Client) davon ausgeht, dass kein Authentifikator vorhanden ist. Standardeinstellung: 3
Startzeitraum (Sekunden) startPeriod Gibt den Zeitraum (in Sekunden) an, der gewartet werden soll, bevor eine EAPOL-Startmeldung gesendet wird, um den 802.1X-Authentifizierungsprozess zu starten. Standardeinstellung: 5.
Wartezeitraum (Sekunden) heldPeriod Gibt den Zeitraum (in Sekunden) an, der nach einem fehlgeschlagenen Authentifizierungsversuch gewartet werden soll, um die Authentifizierung erneut zu versuchen. Standardeinstellung: 1
Authentifizierungszeitraum (Sek.) authPeriod Gibt den Zeitraum (in Sekunden) an, der auf eine Antwort vom Authentifikator (RADIUS-Server) gewartet werden soll, bevor davon ausgegangen wird, dass kein Authentifikator vorhanden ist. Standardeinstellung: 18
Eapol-Startmeldung supplicantMode Gibt die Übertragungsmethode an, die für EAPOL-Startmeldungen verwendet wird. Die folgenden Werte werden unterstützt:

1. Nicht übertragen (inhibitTransmission)
2. Übertragen (includeLearning)
3. Per IEEE 802.1X übertragen (compliant)

Für den in diesem Kontext verwendeten Begriff „Computer“ wird in anderen Referenzen ggf. auch „Maschine“ verwendet. compliant ist die Standardeinstellung in Windows und die einzige gültige Option für Funknetzwerkprofile.

Erweiterte Sicherheitseinstellungen > Single Sign-On

In der folgenden Tabelle werden die Einstellungen für Single Sign-On (SSO) erläutert, die früher als Pre-Logon-Access-Anbieter (Pre-Logon Access Provider, PLAP) bezeichnet wurde.

Einstellung XML-Element BESCHREIBUNG
Einmaliges Anmelden für dieses Netzwerk aktivieren singleSignOn Gibt an, ob SSO (Single Sign-On, einmaliges Anmelden) für dieses Netzwerk aktiviert ist. Standardeinstellung: false. Verwenden Sie singleSignOn nicht in einem Profil, wenn das Netzwerk dies nicht erfordert.
Unmittelbar vor der Benutzeranmeldung ausführen

Unmittelbar nach der Benutzeranmeldung ausführen
type Gibt an, wann einmaliges Anmelden ausgeführt werden soll – entweder vor oder nach der Anmeldung von Benutzer*innen.
Max. Verzögerung der Konnektivität (Sekunden) maxDelay Gibt die maximale Verzögerung (in Sekunden) an, bevor der SSO-Versuch fehlschlägt. Standardeinstellung: 10
Anzeige zusätzlicher Dialoge beim einmaligen Anmelden zulassen allowAdditionalDialogs Gibt an, ob EAP-Dialogfelder während des einmaligen Anmeldens angezeigt werden sollen. Standardeinstellung: false
Dieses Netzwerk verwendet ein anderes VLAN für die Authentifizierung mit Computer- und Benutzeranmeldeinformationen userBasedVirtualLan Gibt an, ob sich das vom Gerät verwendete virtuelle LAN (VLAN) basierend auf den Anmeldeinformationen von Benutzer*innen ändert. Standardeinstellung: false

Konfigurationseinstellungen für die Authentifizierungsmethode

Achtung

Wenn ein Netzwerkzugriffsserver so konfiguriert ist, dass er denselben Authentifizierungstyp für eine EAP-Tunnelmethode (z. B. PEAP) und eine EAP-Methode ohne Tunnel (z. B. EAP-MSCHAP v2) zulässt, besteht ein potenzielles Sicherheitsrisiko. Wenn Sie sowohl eine EAP-Tunnelmethode als auch EAP (nicht geschützt) bereitstellen, sollten Sie nicht denselben Authentifizierungstyp verwenden. Wenn Sie beispielsweise PEAP-TLS bereitstellen, sollten Sie nicht auch EAP-TLS bereitstellen. Der Grund dafür ist folgender: Wenn Sie den Schutz des Tunnels benötigen, nützt es nichts, wenn die Methode auch außerhalb des Tunnels ausgeführt werden kann.

In der folgenden Tabelle werden die konfigurierbaren Einstellungen für alle Authentifizierungsmethoden erläutert:

Die EAP-TLS-Einstellungen auf der Benutzeroberfläche sind dem Element EapTlsConnectionPropertiesV1 zugeordnet, das um EapTlsConnectionPropertiesV2 und EapTlsConnectionPropertiesV3 erweitert wird.

Einstellung XML-Element BESCHREIBUNG
Eigene Smartcard verwenden CredentialsSource > SmartCard Gibt an, dass Clients, die Authentifizierungsanforderungen senden, ein Smartcardzertifikat für die Netzwerkauthentifizierung vorlegen müssen.
Verwenden Sie ein Zertifikat auf diesem Computer CredentialsSource > CertificateStore Gibt an, dass Clients zur Authentifizierung ein Zertifikat in den Zertifikatspeichern Aktueller Benutzer oder Lokaler Computer verwenden müssen.
Einfache Zertifikatauswahl verwenden (empfohlen) SimpleCertSelection Gibt an, ob Windows automatisch ein Zertifikat für die Authentifizierung ohne Benutzerinteraktion (falls möglich) auswählt oder ob Windows ein Dropdownmenü für den Benutzer bzw. die Benutzerin zum Auswählen eines Zertifikats anzeigt.
Erweitert Öffnet das Dialogfeld Zertifikatauswahl konfigurieren.
Optionen für die Serverüberprüfung
Anderen Benutzernamen für die Verbindung verwenden DifferentUsername Gibt an, ob für die Authentifizierung ein anderer Benutzername verwendet werden soll als der Benutzername im Zertifikat.

Im Anschluss sind die Konfigurationseinstellungen für Zertifikatauswahl konfigurieren aufgeführt: Diese Einstellungen definieren die Kriterien, die ein Client verwendet, um das geeignete Zertifikat für die Authentifizierung auszuwählen. Diese Benutzeroberfläche ist TLSExtensions > FilteringInfo zugeordnet.

Einstellung XML-Element BESCHREIBUNG
Zertifikataussteller CAHashList Enabled="true" Gibt an, ob die Filterung für Zertifikataussteller aktiviert ist.

Wenn sowohl Zertifikataussteller als auch Erweiterte Schlüsselverwendung (Extended Key Usage, EKU) aktiviert sind, gelten nur die Zertifikate, die beide Bedingungen erfüllen, als gültige Zertifikate für die Authentifizierung des Clients beim Server.

Stammzertifizierungsstellen IssuerHash Enthält die Namen aller Aussteller, für die entsprechende Zertifizierungsstellenzertifikate (ZS-Zertifikate) im Zertifikatspeicher Vertrauenswürdige Stammzertifizierungsstellen oder Zwischenzertifizierungsstellen des lokalen Computerkontos vorhanden sind. Dies umfasst u. a.:

1. Alle Stammzertifizierungsstellen und Zwischenzertifizierungsstellen.
2. Enthält nur die Aussteller, für die entsprechende gültige Zertifikate auf dem Computer vorhanden sind (z. B. Zertifikate, die nicht abgelaufen oder gesperrt sind).
3. Die endgültige Liste der für die Authentifizierung zulässigen Zertifikate enthält nur die Zertifikate, die von einem der ausgewählten Aussteller in dieser Liste ausgestellt wurden.

In XML ist dies der SHA-1-Fingerabdruck (Hash) des Zertifikats.

Erweiterte Schlüsselverwendung (Extended Key Usage, EKU) Sie können Allzweckverwendung, Clientauthentifizierung, Verwendung für beliebigen Zweck oder eine Kombination dieser Einstellungen auswählen. Gibt an, dass bei Auswahl einer Kombination von Einstellungen alle Zertifikate, die mindestens eine der drei Bedingungen erfüllen, als gültige Zertifikate für die Authentifizierung des Clients beim Server gelten. Wenn die EKU-Filterung aktiviert ist, muss eine der Optionen ausgewählt werden. Andernfalls wird das Kontrollkästchen Erweiterte Schlüsselverwendung (Extended Key Usage, EKU) deaktiviert.
Allzweckverwendung AllPurposeEnabled Dieses Element gibt an (sofern aktiviert), dass Zertifikate mit der EKU-Einstellung Allzweckverwendung als gültige Zertifikate für die Authentifizierung des Clients beim Server gelten. Der Objektbezeichner (Object Identifier, OID) für Allzweckverwendung ist 0 oder leer.
Clientauthentifizierung ClientAuthEKUList Enabled="true" (> EKUMapInList > EKUName) Gibt an, dass Zertifikate mit der EKU-Einstellung Clientauthentifizierung und der angegebenen Liste von EKUs als gültige Zertifikate für die Authentifizierung des Clients beim Server gelten. Der Objektbezeichner (Object Identifier, OID) für Clientauthentifizierung ist 1.3.6.1.5.5.7.3.2.
Verwendung für beliebigen Zweck AnyPurposeEKUList Enabled="true" (> EKUMapInList > EKUName) Gibt an, dass alle Zertifikate mit der EKU-Einstellung Verwendung für beliebigen Zweck und der angegebenen Liste von EKUs als gültige Zertifikate für die Authentifizierung des Clients beim Server gelten. Der Objektbezeichner (Object Identifier, OID) für Verwendung für beliebigen Zweck ist 1.3.6.1.4.1.311.10.12.1.
Add (Hinzufügen) EKUMapping > EKUMap > EKUName/EKUOID Öffnet das Dialogfeld EKUs auswählen, in dem Sie in der Liste Clientauthentifizierung oder Verwendung für beliebigen Zweck standardmäßige, benutzerdefinierte oder anbieterspezifische EKUs hinzufügen können.

Wenn Sie im Dialogfeld EKUs auswählen die Option Hinzufügen oder Bearbeiten auswählen, wird das Dialogfeld EKU hinzufügen/bearbeiten angezeigt, in dem zwei Optionen verfügbar sind:
1. Geben Sie den Namen der EKU ein: Hier können Sie den Namen der benutzerdefinierten EKU eingeben.
2. Geben Sie die EKU-OID ein: Hier können Sie die OID für die EKU eingeben. Es sind nur Ziffern, Trennzeichen und Punkte (.) zulässig. Platzhalter können verwendet werden. In diesem Fall sind alle untergeordneten OIDs in der Hierarchie zulässig.

Wenn Sie 1.3.6.1.4.1.311.* eingeben, sind z. B. 1.3.6.1.4.1.311.42 und 1.3.6.1.4.1.311.42.2.1 zulässig.

Bearbeiten Ermöglicht Ihnen die Bearbeitung der von Ihnen hinzugefügten benutzerdefinierten EKUs. Die standardmäßigen vordefinierten EKUs können nicht bearbeitet werden.
Remove Entfernt die ausgewählte EKU aus der Liste Clientauthentifizierung oder Verwendung für beliebigen Zweck.

Servervalidierung

Viele EAP-Methoden enthalten eine Option für den Client, um das Zertifikat des Servers zu überprüfen. Wenn das Serverzertifikat nicht überprüft wird, kann der Client nicht sicher sein, dass er mit dem richtigen Server kommuniziert. Dies setzt den Client Sicherheitsrisiken aus und es besteht u. a. die Möglichkeit, dass der Client unwissentlich eine Verbindung mit einem nicht autorisierten Netzwerk herstellt.

Hinweis

Windows erfordert, dass das Serverzertifikat über die EKU Serverauthentifizierung verfügt. Der Objektbezeichner (Object Identifier, OID) für diese EKU ist 1.3.6.1.5.5.7.3.1.

In der folgenden Tabelle sind die Serverüberprüfungsoptionen aufgeführt, die für jede EAP-Methode gelten. In Windows 11 wurde die Servervalidierungslogik aktualisiert, um eine höhere Konsistenz zu gewährleisten (siehe Updated server certificate validation behavior in Windows 11 (Aktualisiertes Verhalten bei der Serverzertifikatüberprüfung unter Windows 11)). Sollte ein Konflikt vorliegen, gelten die Beschreibungen in der folgenden Tabelle für das Verhalten unter Windows 10 und früheren Versionen.

Einstellung XML-Element BESCHREIBUNG
Identität des Servers mittels Zertifikatprüfung überprüfen EAP-TLS:
PerformServerValidation

PEAP:
PerformServerValidation
Dieses Element gibt an, dass der Client überprüft, ob die den Clientcomputern vorgelegten Serverzertifikate über die richtigen Signaturen verfügen, noch nicht abgelaufen sind und von einer vertrauenswürdigen Stammzertifizierungsstelle ausgestellt wurden.

Wenn Sie dieses Kontrollkästchen deaktivieren, können Clientcomputer die Identität der Server während des Authentifizierungsprozesses nicht überprüfen. Findet keine Serverauthentifizierung statt, sind Benutzer ernsthaften Sicherheitsrisiken ausgesetzt. Es besteht u. a. die Möglichkeit, dass Benutzer unwissentlich eine Verbindung mit einem nicht autorisierten Netzwerk herstellen.

Verbindung mit folgenden Servern herstellen EAP-TLS:
ServerValidation > ServerNames

PEAP:
ServerValidation > ServerNames

EAP-TTLS:
ServerValidation>
ServerNames

TEAP:
ServerValidation>
ServerNames
Gibt Ihnen die Möglichkeit, den Namen der RADIUS-Server (Remote Authentication Dial-In User Service) anzugeben, die Netzwerkauthentifizierung und -autorisierung bereitstellen.

Sie müssen den Namen genau so eingeben, wie er im Feld Antragsteller des Zertifikats des jeweiligen RADIUS-Servers angezeigt wird, oder reguläre Ausdrücke (RegEx) verwenden, um den Servernamen anzugeben.

Zum Angeben des Servernamens kann die vollständige Syntax eines regulären Ausdrucks verwendet werden. Die angegebene Zeichenfolge muss jedoch mindestens ein * enthalten, um einen regulären Ausdruck von einem Zeichenfolgenliteral zu unterscheiden. Sie können beispielsweise nps.*\.example\.com angeben, um den RADIUS-Server nps1.example.com oder nps2.example.com anzugeben.

Sie können auch ein Semikolon (;) einfügen, um mehrere Server zu trennen.

Wenn keine RADIUS-Server angegeben sind, überprüft der Client nur, ob das RADIUS-Serverzertifikat von einer vertrauenswürdigen Stammzertifizierungsstelle ausgestellt wurde.

Vertrauenswürdige Stammzertifizierungsstellen EAP-TLS:
ServerValidation > TrustedRootCA

PEAP:
ServerValidation > TrustedRootCA

EAP-TTLS:
ServerValidation>
TrustedRootCAHashes

TEAP:
ServerValidation>
TrustedRootCAHashes
Listet die vertrauenswürdigen Stammzertifizierungsstellen auf. Diese Liste wird anhand der vertrauenswürdigen Stammzertifizierungsstellen erstellt, die auf dem Computer installiert und in den Benutzerzertifikatsspeichern gespeichert sind. Sie können angeben, welche Zertifikate vertrauenswürdiger Stammzertifizierungsstellen die Supplicants verwenden, um zu bestimmen, ob sie Ihren Servern vertrauen, z. B. dem Netzwerkrichtlinienserver (NPS) oder dem Bereitstellungsserver. Sind keine vertrauenswürdigen Stammzertifizierungsstellen ausgewählt, überprüft der 802.1X-Client, ob das Computerzertifikat des RADIUS-Servers von einer installierten vertrauenswürdigen Stammzertifizierungsstelle ausgestellt wurde. Sind eine oder mehrere vertrauenswürdige Stammzertifizierungsstellen ausgewählt, überprüft der 802.1X-Client, ob das Computerzertifikat des RADIUS-Servers von einer ausgewählten vertrauenswürdigen Stammzertifizierungsstelle ausgestellt wurde.

Wenn keine vertrauenswürdigen Stammzertifizierungsstellen ausgewählt sind, überprüft der Client, ob das RADIUS-Serverzertifikat von einer vertrauenswürdigen Stammzertifizierungsstelle ausgestellt wurde.

Wenn Sie in Ihrem Netzwerk eine Public Key-Infrastruktur (PKI) eingerichtet haben und ein RADIUS-Serverzertifikat verwenden, wird dieses Zertifikat automatisch der Liste vertrauenswürdiger Stammzertifizierungsstellen hinzugefügt. Sie können auch ein Zertifizierungsstellenzertifikat von einem Drittanbieter erwerben. Einige vertrauenswürdige Stammzertifizierungsstellen von anderen Anbietern stellen mit dem erworbenen Zertifikat eine Software bereit, die das Zertifikat automatisch im Zertifikatspeicher Vertrauenswürdige Stammzertifizierungsstellen installiert. In diesem Fall wird die vertrauenswürdige Stammzertifizierungsstelle automatisch in der Liste vertrauenswürdiger Stammzertifizierungsstellen angezeigt.

Geben Sie kein Zertifikat einer vertrauenswürdigen Stammzertifizierungsstelle an, das noch nicht in den Zertifikatspeichern Vertrauenswürdige Stammzertifizierungsstellen für Aktueller Benutzer und Lokaler Computer der Clientcomputer aufgeführt ist. Wenn Sie ein Zertifikat angeben, das nicht auf den Client-PCs installiert ist, schlägt die Authentifizierung fehl.

In XML ist dies der SHA-1-Fingerabdruck (Hash) des Zertifikats (bzw. SHA-256 für TEAP).

Eingabeaufforderung zur Serverüberprüfung

In der folgenden Tabelle sind die Optionen für die Eingabeaufforderung zur Serverüberprüfung aufgeführt, die für jede EAP-Methode gelten. Diese Optionen werden im Fall eines nicht vertrauenswürdigen Serverzertifikats für eine der folgenden Aktionen verwendet:

  • Sofortiges Abbrechen der Verbindung
  • Zulassen, dass der*die Benutzer*in die Verbindung manuell annehmen oder ablehnen kann
Einstellung XML-Element
Keine Benutzeraufforderung zur Autorisierung neuer Server oder vertrauenswürdiger Zertifizierungsstellen ServerValidation > DisableUserPromptForServerValidation

Verhindert (sofern aktiviert), dass der*die Benutzer*in aufgefordert wird, einem Serverzertifikat zu vertrauen, das nicht korrekt konfiguriert ist und/oder das nicht bereits als vertrauenswürdig gilt. Um die Benutzerfreundlichkeit zu vereinfachen und zu verhindern, dass Benutzer einem von einem Angreifer bereitgestellten Server versehentlich vertrauen, wird empfohlen, dieses Kontrollkästchen zu aktivieren.

Konfigurationseinstellungen für die Mobilfunkauthentifizierung

Im Anschluss sind die Konfigurationseinstellungen für EAP-SIM, EPA-AKA bzw. EPA-AKA' aufgeführt:

EAP-SIM ist in RFC 4186 definiert. EAP-SIM (Subscriber Identity Module) wird zur Authentifizierung und Sitzungsschlüsselverteilung mithilfe von SIM des GSM-Mobilfunknetzes (Global System for Mobile Communications) der zweiten Generation verwendet.

Die EAP-SIM-Einstellungen auf der Benutzeroberfläche sind EapSimConnectionPropertiesV1 zugeordnet.

Element XML-Element BESCHREIBUNG
Starke Verschlüsselungsschlüssel verwenden UseStrongCipherKeys Gibt an (sofern aktiviert), dass die starke Verschlüsselung für das Profil verwendet wird.
Bei verfügbarer Pseudonymidentität tatsächliche Identität dem Server gegenüber nicht offenlegen DontRevealPermanentID Bei Auswahl dieser Option schlägt die Authentifizierung des Clients fehl, wenn der Server eine permanente Identität anfordert, obwohl dem Client eine Pseudonymidentität zugeordnet ist. Pseudonymidentitäten werden zum Identitätsschutz verwendet, damit die tatsächliche oder permanente Identität eines Benutzers während der Authentifizierung nicht offen gelegt wird.
ProviderName Nur in XML verfügbar, eine Zeichenfolge, die den Anbieternamen angibt, der für die Authentifizierung zulässig ist.
Verwendung von Bereichen aktivieren Realm=true Hier können Sie den Bereichsnamen eingeben. Wenn Sie das Feld leer lassen und Verwendung von Bereichen aktivieren aktiviert ist, wird der Bereich von der IMSI (International Mobile Subscriber Identity) abgeleitet, wobei wie im 3GPP-Standard 23.003 V6.8.0 beschrieben der Bereich „3gpp.org“ verwendet wird.
Bereich angeben Realm Hier können Sie einen Bereichsnamen eingeben. Wenn Verwendung von Bereichen aktivieren aktiviert ist, wird diese Zeichenfolge verwendet. Ist dieses Feld leer, wird der abgeleitete Bereich verwendet.

WPA3-Enterprise-192-Bit-Modus

Der 192-Bit-Modus von WPA3-Enterprise ist ein spezieller Modus für WPA3-Enterprise, der bestimmte Anforderungen an hohe Sicherheit für Funkverbindungen erzwingt, um mindestens 192 Sicherheitsbits zu bieten. Diese Anforderungen entsprechen der CNSA Suite (Commercial National Security Algorithm), CNSSP 15, einer Reihe kryptografischer Algorithmen, die von der Nationalen Sicherheitsbehörde der USA (NSA) zum Schutz von Verschlusssachen und streng geheimen Informationen zugelassen wurden. Der 192-Bit-Modus kann manchmal als „Suite B-Modus“ bezeichnet werden. Dies ist eine Anspielung auf die Suite B Cryptography-Spezifikation der NSA, die 2016 durch CNSA ersetzt wurde.

Sowohl WPA3-Enterprise als auch der WPA3-Enterprise-192-Bit-Modus sind ab Windows 10, Version 2004 (Build 19041) und Windows Server 2022 verfügbar. WPA3-Enterprise wurde jedoch in Windows 11 als separater Authentifizierungsalgorithmus herausgestellt. In XML ist dies im authEncryption-Element angegeben.

In der folgenden Tabelle sind die für die CNSA Suite erforderlichen Algorithmen aufgeführt.

Algorithmus Beschreibung Parameter
Advanced Encryption Standard (AES) Für die Verschlüsselung verwendete symmetrische Blockchiffre 256-Bit-Schlüssel (AES-256)
ECDH-Schlüsselaustausch (Elliptic Curve Diffie-Hellman) Asymmetrischer Algorithmus zum Einrichten eines gemeinsamen Geheimnisses (Schlüssel) 384-Bit-Primmoduluskurve (P-384)
Elliptic Curve Digital Signature Algorithm (ECDSA) Asymmetrischer Algorithmus für digitale Signaturen 384-Bit-Primmoduluskurve (P-384)
Secure Hash Algorithm (SHA) Kryptografische Hashfunktion SHA-384
DH-Schlüsselaustausch (Diffie-Hellman) Asymmetrischer Algorithmus zum Einrichten eines gemeinsamen Geheimnisses (Schlüssel) 3072-Bit-Modulus
Rivest-Shamir-Adleman (RSA) Asymmetrischer Algorithmus für digitale Signaturen oder Schlüsseleinrichtung 3072-Bit-Modulus

Für die Anpassung an CNSA erfordert der WPA3-Enterprise-192-Bit-Modus, dass EAP-TLS mit den folgenden Suites mit Verschlüsselungsverfahren mit Einschränkungen verwendet wird:

  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
    • ECDHE und ECDSA mit der 384-Bit-Primmoduluskurve (P-384)
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 / TLS_DHE_RSA_AES_256_GCM_SHA384
    • ECDHE mit der 384-Bit-Primmoduluskurve (P-384)
    • RSA >= 3072-Bit-Modulus

Hinweis

P-384 wird auch als secp384r1 oder nistp384 bezeichnet. Andere elliptische Kurven wie P-521 sind nicht zulässig.

SHA-384 gehört zur SHA-2-Familie von Hashfunktionen. Andere Algorithmen und Varianten wie SHA-512 oder SHA3-384 sind nicht zulässig.

Windows unterstützt nur die Suites mit Verschlüsselungsverfahren TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 und TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 für den WPA3-Enterprise-192-Bit-Modus. Die Suites mit Verschlüsselungsverfahren TLS_DHE_RSA_AES_256_GCM_SHA384 wird nicht unterstützt.

TLS 1.3 verwendet neue vereinfachte TLS-Suites, von denen nur TLS_AES_256_GCM_SHA384 mit dem WPA3-Enterprise-192-Bit-Modus kompatibel ist. Da TLS 1.3 (EC)DHE erfordert und ECDSA- oder RSA-Zertifikate sowie den AES-256-AEAD- und SHA384-Hash zulässt, entspricht TLS_AES_256_GCM_SHA384TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 und TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384. RFC 8446 erfordert jedoch, dass TLS 1.3-konforme Anwendungen P-256 unterstützen, was gemäß CNSA untersagt ist. Daher kann der WPA3-Enterprise-192-Bit-Modus nicht vollständig mit TLS 1.3 konform sein. Es sind jedoch keine Interoperabilitätsprobleme mit TLS 1.3 und dem WPA3-Enterprise-192-Bit-Modus bekannt.

Zum Konfigurieren eines Netzwerks für den WPA3-Enterprise-192-Bit-Modus erfordert Windows, dass EAP-TLS mit einem Zertifikat verwendet wird, das die zuvor beschriebenen Anforderungen erfüllt.

Zusätzliche Ressourcen