Eigenschaften der EAP-Methode
Wird von Bittstellern und Authentifikatoren verwendet, um die EAP-Methoden zu bestimmen, die mit einem bestimmten Supplicant oder Authenticator verwendet werden sollen. Methodeneigenschaften geben auch die Konfiguration einer Methode an.
Beispielsweise kann das 802.1X-Supplicant methoden erfordern, dass bestimmte Eigenschaften für die Verwendung mit dem 802.1X-Supplicant vorhanden sind. Das Schlüsselmaterial ist beispielsweise eine Anforderung.
Die von EAP-Methoden unterstützten Eigenschaften werden aufgeführt. Eigenschaften werden als Registrierungsschlüsselwerte gespeichert. Weitere Informationen finden Sie im Abschnitt Registrierungsschlüssel für EAP-Peermethoden-DLL des Themas Registrierungskonfiguration für EAP-Methoden.
-
eapPropCipherSuiteNegotiation
-
-
0x00000001
-
Die -Methode ermöglicht es, die Verschlüsselungssammlung zum Zweck der Datenverschlüsselung auszuhandeln. Windows Server 2008 unterstützt die folgenden 3DES-Verschlüsselungssammlungen:
- TLS_RSA_WITH_3DES_EDE_CBC_SHA (TLS & SSL 3)
- TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA (TLS & SSL 3)
- SSL_CK_DES_192_EDE3_CBC_WITH_MD5 (SSL 2, wenn aktiviert)
Weitere Informationen zum TLS 1.0-Sicherheitsprotokoll finden Sie unter RFC 2246.
-
-
eapPropMutualAuth
-
-
0x00000002
-
Die -Methode stellt einen Austausch bereit, bei dem der Authentifikator den Peer authentifiziert und umgekehrt.
-
-
eapPropIntegrity
-
-
0x00000004
-
Die -Methode bietet datenherkunftsauthentifizierung und Schutz vor nicht autorisierten Änderungen von Informationen für EAP-Pakete, einschließlich EAP-Anforderungen und -Antworten. Beim Erstellen dieses Anspruchs muss eine Methodenspezifikation die geschützten EAP-Pakete und geschützten Felder in EAP-Paketen angeben.
-
-
eapPropReplayProtection
-
-
0x00000008
-
Die -Methode kann vor der Wiedergabe einer EAP-Methode oder ihrer Nachrichten schützen. Erfolgs- und Fehlerergebnisse können nicht wiedergegeben werden.
-
-
eapPropConfidentiality
-
-
0x00000010
-
Die -Methode kann EAP-Nachrichten verschlüsseln. EAP-Anforderungen, EAP-Antworten, Erfolgsergebnisanzeigen und Fehlerergebnisanzeigen werden verschlüsselt. Eine Methode, die diesen Anspruch erhebt, muss den Identitätsschutz unterstützen.
-
-
eapPropKeyDerivation
-
-
0x00000020
-
Die -Methode kann exportierbares Schlüsselmaterial wie den Master Session Key (MSK) und den Erweiterten Mastersitzungsschlüssel (EMSK) ableiten. Der MSK wird nur für die weitere Schlüsselableitung verwendet, nicht direkt zum Schutz der EAP-Konversation oder der nachfolgenden Daten. Die Nutzung des EMSK ist reserviert.
-
-
eapPropKeyStrength64
-
-
0x00000040
-
Die von der EAP-Methode unterstützte Mindestschlüssellänge beträgt 64 Bit.
-
-
eapPropKeyStrength128
-
-
0x00000080
-
Die von der EAP-Methode unterstützte Mindestschlüssellänge beträgt 128 Bit.
-
-
eapPropKeyStrength256
-
-
0x00000100
-
Die von der EAP-Methode unterstützte Mindestschlüssellänge beträgt 256 Bits.
-
-
eapPropKeyStrength512
-
-
0x00000200
-
Die von der EAP-Methode unterstützte Mindestschlüssellänge beträgt 512 Bit.
-
-
eapPropKeyStrength1024
-
-
0x00000400
-
Die von der EAP-Methode unterstützte Mindestschlüssellänge beträgt 1024 Bits.
-
-
eapPropDictionaryAttackResistance
-
-
0x00000800
-
Die -Methode lässt keinen Offlineangriff zu, der einen Arbeitsfaktor hat, der auf der Anzahl der Kennwörter im Wörterbuch eines Angreifers basiert. Wenn die Kennwortauthentifizierung verwendet wird, werden Kennwörter häufig aus einer kleinen Gruppe (im Vergleich zu einer Reihe von N-Bit-Schlüsseln) ausgewählt, was zu Bedenken bei Wörterbuchangriffen führt. Eine Methode kann als Schutz vor Wörterbuchangriffen bezeichnet werden, wenn die Methode, wenn sie ein Kennwort als Geheimnis verwendet, keinen Offlineangriff zulässt, der einen Arbeitsfaktor hat, der auf der Anzahl der Kennwörter im Wörterbuch eines Angreifers basiert.
-
-
eapPropFastReconnect
-
-
0x00001000
-
Die -Methode hat die Möglichkeit, in fällen, in denen zuvor eine Sicherheitszuordnung eingerichtet wurde, eine neue oder aktualisierte Sicherheitszuordnung effizienter oder in einer kleineren Anzahl von Roundtrips zu erstellen.
-
-
eapPropCryptoBinding
-
-
0x00002000
-
Die -Methode zeigt dem EAP-Server, dass eine einzelne Entität als EAP-Peer für alle Methoden fungiert hat, die in einer Tunnelmethode ausgeführt werden. Bindung kann auch bedeuten, dass der EAP-Server dem Peer gegenüber demonstriert, dass eine einzelne Entität als EAP-Server für alle Methoden fungiert hat, die innerhalb einer Tunnelmethode ausgeführt werden. Bei ordnungsgemäßer Ausführung dient die Bindung dazu, Man-in-the-Middle-Sicherheitsrisiken zu mindern.
-
-
eapPropSessionIndependence
-
-
0x00004000
-
Die Methode zeigt, dass passive Angriffe (z. B. die Erfassung der EAP-Konversation) oder aktive Angriffe (einschließlich Kompromittierung des MSK oder EMSK) nachfolgende oder frühere MSKs oder EMSKs nicht kompromittieren.
-
-
eapPropFragmentation
-
-
0x00008000
-
Die -Methode kann die Fragmentierung und erneute Zusammenführung unterstützen, wenn EAP-Pakete die minimale MTU (maximale Übertragungseinheit) von 1020 Oktetten überschreiten.
-
-
eapPropChannelBinding
-
-
0x00010000
-
Die -Methode kann integritätsgeschützte Kanaleigenschaften wie Endpunktbezeichner kommunizieren, die mit Werten verglichen werden können, die mithilfe von Out-of-Band-Mechanismen wie AAA ( Authentication, Authorization, and Accounting ) oder dem Protokoll der unteren Ebene kommuniziert werden.
-
-
eapPropNap
-
-
0x00020000
-
Die -Methode unterstützt netzwerkzugriffsschutz (Network Access Protection, NAP).
-
-
eapPropStandalone
-
-
0x00040000
-
Die -Methode kann auf einem eigenständigen Computer verwendet werden.
-
-
eapPropMppeEncryption
-
-
0x00080000
-
Die -Methode unterstützt die Microsoft-MPPE-Protokollverschlüsselung (Point-to-Point Encryption).
-
-
eapPropTunnelMethod
-
-
0x00100000
-
Die -Methode unterstützt das Tunneln anderer EAP-Methoden.
-
-
eapPropSupportsConfig
-
-
0x00200000
-
Die -Methode unterstützt konfigurierbare Eigenschaften und verfügt über eine Benutzeroberfläche.
-
-
eapPropCertifiedMethod
-
-
0x00400000
-
Die Methode wurde vom EAP-Zertifizierungsprogramm zertifiziert. Dieses Bit sollte nur von EAP-Methoden gesendet werden, die die Zertifizierung bestanden haben.
-
-
eapPropmachineAuth
-
-
0x01000000
-
Windows 7 oder höher: Die -Methode kann verwendet werden, um einen Computer unter Verwendung der Computeranmeldeinformationen bei einem Netzwerk zu authentifizieren.
-
-
eapPropUserAuth
-
-
0x02000000
-
Windows 7 oder höher: Die Methode kann verwendet werden, um einen Benutzer mithilfe der Benutzeranmeldeinformationen bei einem Netzwerk zu authentifizieren.
-
-
eapPropIdentityPrivacy
-
-
0x04000000
-
Windows 7 oder höher: Die Methode unterstützt das Senden der Benutzeridentität in einem geschützten Kanal.
-
-
eapPropMethodChaining
-
-
0x08000000
-
Windows 7 oder höher: Die Methode ist eine tunnelte Methode und unterstützt die EAP-Methodenkette innerhalb des Tunnels.
-
-
eapPropSharedStateEquivalence
-
-
0x10000000
-
Windows 7 oder höher: Die Methode unterstützt die in RFC 4017 definierte Gleichwertigkeit des freigegebenen Zustands.
-
-
eapPropReserved
-
-
0x80000000
-
Reserviert. Wird nicht verwendet.
-
Anforderungen
| Anforderung | Wert |
|---|---|
| Unterstützte Mindestversion (Client) |
Windows Vista [nur Desktop-Apps] |
| Unterstützte Mindestversion (Server) |
Windows Server 2008 [nur Desktop-Apps] |
| Header |
|