以下是重构后的内容:
可扩展身份验证协议(EAP)适用于Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012、Windows 11、Windows 10、Windows 8.1。它是一种身份验证框架,允许对安全网络访问技术使用不同的身份验证方法。这些技术的示例包括使用IEEE 802.1X的无线访问、使用IEEE 802.1X的有线访问,以及诸如虚拟专用网络(VPN)的点到点协议(PPP)连接。EAP不是一种特定的身份验证方法,而是一个框架,使网络供应商能够在访问客户端和身份验证服务器上开发和安装新的身份验证方法(称为EAP方法)。EAP框架最初由RFC 3748定义,并由其他各种RFC和标准扩展。
在隧道EAP方法中使用的EAP身份验证方法通常称为“内部方法”或“EAP类型”。设置为内部方法的方法的配置设置与该方法用作外部方法时的配置设置相同。本文包含EAP中下列身份验证方法特定的配置信息:
- EAP-传输层安全性(EAP-TLS):基于标准的EAP方法,它使用TLS和证书进行相互身份验证。在Windows中显示为“智能卡或其他证书(EAP-TLS)”。EAP-TLS可部署为另一种EAP方法的内部方法,也可部署为独立的EAP方法。
- EAP-Microsoft质询握手身份验证协议版本2(EAP-MSCHAP v2):Microsoft定义的EAP方法,该方法封装MSCHAP v2身份验证协议,并使用用户名和密码进行身份验证。在Windows中显示为“安全密码(EAP-MSCHAP v2)”。EAP-MSCHAPv2可用作VPN的独立方法,但对于有线/无线网络则只能用作内部方法。
- 受保护的EAP(PEAP)
以下是重构后的内容:
Microsoft 定义了 EAP 方法,用于在 TLS 隧道中封装 EAP。TLS 隧道保证内部 EAP 方法的安全,否则该方法可能不受保护。Windows 支持 EAP-TLS 和 EAP-MSCHAP v2 作为内部方法。EAP 隧道传输层安全性 (EAP-TTLS) 是 RFC 5281 中对此进行介绍的方法,用于封装使用另一个内部身份验证机制执行相互身份验证的 TLS 会话。此内部方法可以是 EAP 协议(如 EAP-MSCHAP v2),也可以是非 EAP 协议(如密码验证协议 (PAP))。在 Windows Server 2012 中,只支持在客户端包含 EAP-TTLS(在 Windows 8 中)。NPS 目前不支持 EAP-TTLS。有了此客户端支持,可与支持 EAP-TTLS 的常见部署 RADIUS 服务器进行互操作。各种 RFC 对各种 EAP 方法进行了介绍,其中包括支持使用 SIM 卡进行身份验证的 EAP-SIM、EAP-身份验证和密钥协议 (EAP-AKA) 及 EAP-AKA Prime (EAP-AKA')$。RFC 7170 对隧道 EAP (TEAP) 进行了介绍,这是隧道 EAP 方法,用于建立安全的 TLS 隧道并在该隧道内执行其他 EAP 方法。在 Windows Server 2022 中,只支持在客户端包含 TEAP(Windows $
EAP-SIM
18
✅
EAP-TTLS
21
✅
EAP-AKA
23
✅
PEAP
25
✅
EAP-MSCHAP v2
26
✅
受保护的一次性密码 (EAP-POTP)
32
❌
EAP-FAST
43
❌
预共享密钥 (EAP-PSK)
47
❌
EAP-IKEv2
49
❌
EAP-AKA'
50
✅
EAP-EKE
53
❌
TEAP
55
✅
EAP-NOOB
56
❌
配置 EAP 属性:有线和无线访问以及虚拟专用网 (VPN) 连接。您可以通过多种方式访问这些属性,包括在组策略中配置有线网络和无线网络策略扩展、使用移动设备管理 (MDM) 软件(如 Intune)、手动配置客户端计算机上的有线或无线连接以及使用连接管理器管理工具包 (CMAK)。有关详细信息,请参阅 Windows 中配置 EAP 配置文件和设置。同时,XML 配置文件是用于不同连接类型的配置文件,它包含该连接的配置选项。每个不同的连接类型都遵循一个特定的架构,但当配置为使用 EAP 时,每个配置文件架构都有一个子元素,即 EapHostConfig 元素。此配置语法已在规范中定义,并在组策略中定义了无线/有线协议扩展。有关详细信息和示例,请参阅 XML 配置文件以及通过网站预配 Wi-Fi 配置文件。最后,关于安全设置,下表说明了使用 802.1X 的配置文件的可配置安全设置,这些设置映射到 OneX。如果选中“强制实施高级 802.1X 设置”,则将配置以下所有设置。如果未选中,则应用默认设置。请注意,在 XML 中,所有元素都是可选的,如果不存在,则使用默认值。
以下是重构后的内容:
高级安全设置 - 单一登录
```
false
singleSignOn10falsefalse
```
身份验证方法配置设置
下表说明了每种身份验证方法的可配置设置。
服务器验证
许多 EAP 方法都包含客户端用于验证服务器证书的选项。 如果未验证服务器证书,则客户端无法确定它是否与正确的服务器通信。 这会使客户端面临安全风险,包括客户端可能在不知情的情况下连接到未授权网络。
下表列出了适用于每个 EAP 方法的服务器验证选项。 Windows 11 更新了服务器验证逻辑,使其更加一致(请参阅已更新 Windows 11 中的服务器证书验证行为)。 如果它们发生冲突,下表中的说明将描述 Windows 10 及更早版本的行为。
| EAP 方法 | 可配置设置 | 说明 |
| ------- | ------------------------- | -------------------------------------------------------------- |
| nps.*\.example\.com | serverCertCheck= | | | 以该域名结尾的服务器证书 | | | | | | | serverCertCheck= | | | | | | serverCertCheck= | | | | | | serverCertCheckDomainList= | | serverCertCheckType= | | serverCertCheckType= | | serverCertCheckDomainList= | nps1.example.com | serverCertCheck= | | | | | | serverCertCheckDomainList= | | serverCertCheckType= | | serverCertCheckDomainList= | nps2.example.com | serverCertCheck= | | | | | EAP-SIM | clientEapSimAuthId={ ``` 您好,从 Windows 10 版本 2004(内部版本 19041)和 Windows Server 2022 开始,WPA3-Enterprise 和 WPA3-Enterprise 192 位模式均可用。 然而,WPA3-Enterprise 在 Windows 11 中被挑选出来作为单独的认证算法。 在 XML 中,这在 authEncryption 元素中指定。 下表列出了 CNSA 套件所需的算法: | 算法 | 说明 | 参数 | | ------------ | ------------------------------------------------------------ | ---------------------------------------------------------- | | Advanced Encryption Standard (AES) | 用于加密的对称块密码 | 256 bit key (AES-256) | | Elliptic Curve Diffie-Hellman (ECDH) key exchange | 用于建立共享机密(密钥)的非对称算法 | 384 bit素模曲线 (P-384) | | Digital Signature Algorithm (ECDSA) | 用于数字签名的非对称算法 | 384 bit素模曲线 (P-384) | | Secure Hash Algorithm (SHA) | 加密哈希函数 | SHA-384 | | diffie-hellman key exchange (DH) | 用于建立共享机密(密钥)的非对称算法 | 3072 bit取模 | | Rivest-Shamir-Adleman (RSA) |用于数字签名或密钥建立的非对称算法 | 3072 bit取模 | | 该列表包含以 nps(网络协议服务)为前缀的域名 |
| “自动”模式下,如果证书不在列表中或者不受信任,则连接失败;“强制”模式下,即使证书有效且受信任,连接也会失败 |
| |
| |
