NPS身份验证方法Word下载.docx
《NPS身份验证方法Word下载.docx》由会员分享,可在线阅读,更多相关《NPS身份验证方法Word下载.docx(45页珍藏版)》请在冰豆网上搜索。
基于密码的身份验证方法
每种身份验证方法在安全性、可用性和支持的广度方面都各有优缺点。
但基于密码的身份验证方法不提供强大的安全性,因此不推荐使用。
对于所有支持使用证书的网络访问方法,建议使用基于证书的身份验证方法。
在无线连接的情况下尤其如此,此时建议使用PEAP-MS-CHAPv2或PEAP-TLS。
所使用的身份验证方法由网络访问服务器、客户端计算机和运行网络策略服务器(NPS)的服务器上的网络策略的配置
来确定。
请查阅访问服务器文档以确定所支持的身份验证方法。
可以将NPS配置为接受多种身份验证方法。
还可以配置网络访问服务器(也称为RADIUS客户端)以尝试通过首先请求使用最安全的协议,然后使用下一个最安全协议,以此类推,直至安全性最低的协议,与客户端计算机协商建立连接。
例如,路由和远程访问服务首先尝试使用EAP,然后依次使用MS-CHAPv2、MS-CHAP、CHAP、SPAP、PAP
来尝试协商建立连接。
选择EAP作为身份验证方法时,在访问客户端和NPS服务器之间出现EAP类型的协商。
MS-CHAP版本2
Microsoft质询握手身份验证协议版本2(MS-CHAPv2)为网络访问连接提供了比其前身MS-CHAP更强的安全性。
MS-CHAPv2解决了MS-CHAP版本1中的某些问题,如下表中所述。
用于与旧版Microsoft远程访问客户端的向后兼容性的LAN管理器响应编码是弱加密的。
MS-CHAPv2不再允许LAN管理器编码响应。
密码更改的LAN管理器编码是弱加密的。
MS-CHAPv2不再允许LAN管理器编码密码更改。
只能使用单向身份验证。
远程访问客户端无法验证是拨入其组织的远程访问服务器还是一个伪装的远程访问服务器。
MS-CHAPv2提供双向身份验证,也称为相互身份验证。
远程访问客户端收到其拨入的远程访问服务器有权访问用户密码的验证。
加密密钥基于用户密码,使用40位加密。
每次用户使用相同的密码连接时,将生成相同的加密密钥。
使用MS-CHAPv2,加密密钥始终基于用户的密码和一种任意的质询字符串。
每次用户使用相同的密码连接时,将使用不同的加密密钥。
在连接中使用单一加密密钥双向发送数据。
使用MS-CHAPv2,为传输和收到的数据生成单独的加密密钥。
MS-CHAPv2是一种单向加密密码,相互身份验证过程的工作方式如下:
1.身份验证器(网络访问服务器或NPS服务器)向访问客户端发送质询,其中包含会话标识符和任意质询字符串。
2.访问客户端发送包含下列信息的响应:
.用户名。
•任意对等质询字符串。
.接收的质询字符串、对等质询字符串、会话标识符和用户密码的单向加密。
3.身份验证器检查来自客户端的响应并发送回包含下列信息的响应:
.指示连接尝试是成功还是失败。
.经过身份验证的响应,基于发送的质询字符串、对等质询字符串、加密的客户端响应和用户密码。
4.访问客户端验证身份验证响应,如果正确,则使用该连接。
如果身份验证响应不正确,访问客户端将终止该连接。
启用MS-CHAPv2
若要启用基于MS-CHAPv2的身份验证,必须执行下列操作:
2,在相应的网络策略上启用MS-CHAPv2
3,在访问客户端上启用MS-CHAPv2。
其他注意事项
MS-CHAP(版本1和版本2)是唯一的基于密码的身份验证协议,它支持在身份验证过程中更改密码。
.在NPS服务器的网络策略上启用MS-CHAPv2之前,确保您的网络访问服务器支持MS-CHAPv2。
有关详细信息,请参阅NAS文档。
MS-CHAP
Microsoft质询握手身份验证协议(MS-CHAP),也称为MS-CHAP版本1,是不可逆的加密密码身份验证协议。
质询握手过程的工作方式如下:
1,身份验证器(网络访问服务器或NPS服务器)向访问客户端发送质询,其中包含会话标识符和任意质询字符串。
2,访问客户端发送一个响应,该响应包含用户名和一个不可逆的加密质询字符串、会话标识符和密码。
3,身份验证器检查响应,如果有效,则用户的凭据通过身份验证。
如果使用MS-CHAP作为身份验证协议,则可以使用Microsoft点对点加密(MPPE)对PPP或PPTP连接上发送的数据进行加密。
MS-CHAP版本2为网络访问连接提供了比MS-CHAP更高的安全性。
应考虑使用MS-CHAP版本2而非
MS-CHAP。
启用MS-CHAP
若要启用基于MS-CHAP的身份验证,必须执行下列操作:
1,启用MS-CHAP作为远程访问服务器上的身份验证协议。
2,在NPS中的相应网络策略上启用MS-CHAP。
3,在访问客户端上启用MS-CHAP
默认情况下,Ms-chapV1的此实现不支持Lan管理器身份验证。
如果希望允许对旧版操作系统(如
WindowsNT3.5x和Windows95)使用带MS-CHAPv1的LAN管理器身份验证,必须在NPS服务器上将以下注册表值设置为1:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\RemoteAccess\Policy
\AllowLMAuthentication
.如果MS-CHAPV1用作身份验证协议,当用户的密码大于14个字符时,将无法建立40位加密的连接。
此行为会影响拨号和基于VPN的远程访问以及请求拨号连接。
!
注意
对注册表编辑不当可能会严重损坏您的系统。
在更改注册表之前,应备份计算机中任何有价值的数据。
CHAP
质询握手身份验证协议(CHAP)是一种质询-响应身份验证协议,该协议使用行业标准的MessageDigest5(MD5)
哈希方案来对响应加密。
CHAP可供各种网络访问服务器和客户端的供应商使用。
运行路由和远程访问”的服务器支持
CHAP,以便对要求使用CHAP的访问客户端进行身份验证。
由于CHAP要求使用可撤消的加密密码,所以,应考虑使用其他身份验证协议(例如MS-CHAP版本2)。
若要启用基于CHAP的身份验证,必须执行下列操作:
1.启用CHAP作为网络访问服务器上的身份验证协议。
2.在NPS中的相应网络策略上启用CHAP。
3.启用可撤消加密的用户密码存储。
可以按用户帐户启用其存储,也可以为域中的全部帐户启用存储。
4.强制重置用户密码,以使新密码采用可撤消形式加密。
启用以可撤消的加密形式存储密码时,当前密码未采用可撤消的加密形式,并且未自动更改。
必须手动更改用户密码,或将用户密码设置为在每个用户下次登录时更改。
如果将用户密码设置为在用户下次登录时更改,该用户必须使用LAN连接进行登录,并在用户尝试使用远
程访问连接登录之前,使用CHAP更改密码。
在身份验证过程中,不能使用CHAP更改密码;
否则,登录
尝试将失败。
远程访问用户的一种解决方法是暂时使用MS-CHAP登录来更改密码。
5.在访问客户端上启用CHAP°
用户密码过期时,CHAP不为其提供在身份验证过程中更改密码的功能。
验证网络访问服务器支持CHAP,然后再在运行NPS的服务器上的网络策略中启用它。
有关详细信息,请参阅NAS文档。
不能对CHAP使用Microsoft点对点加密(MPPE)。
PAP
密码身份验证协议(PAP)使用纯文本密码,是最不安全的身份验证协议。
如果访问客户端和网络访问服务器无法协商使用更安全的身份验证方法,通常协商使用此方法。
若要启用基于PAP的身份验证,必须执行下列操作:
1.启用PAP作为网络访问服务器上的身份验证协议。
2.在NPS中的相应网络策略上启用PAP。
3.在访问客户端上启用PAP。
II'
~~h
。
重要事项
启用PAP作为身份验证协议时,将以纯文本形式发送用户密码。
任何捕获到身份验证过程的数据包的用户均可以很容易地读取密码并使用该密码对您的Intranet进行XX的访问。
建议不要使用PAP,特别是对于VPN连接。
.如果部署了拨号服务器,通过在网络访问服务器上禁用PAP支持,可确保从不通过拨号客户端发送纯文本密
码。
禁用对PAP的支持可以提高身份验证的安全性,但是只支持PAP的远程访问客户端将无法连接。
用户的密码过期时,PAP不为其提供在身份验证过程中更改密码的功能。
.在NPS服务器的网络策略上启用PAP之前,确保您的网络访问服务器支持PAP。
有关详细信息,请参阅
NAS文档。
不能对PAP使用Microsoft点对点加密(MPPE)。
未经身份验证的访问
使用未经身份验证的访问,不需要用户凭据(用户名和密码)。
虽然在某些情况下,未经身份验证的访问很有用,但在
大多数情况下不推荐在组织网络中使用。
启用未经身份验证的访问时,将允许用户访问网络,而无需发送用户凭据。
此外,未经身份验证的访问客户端在建立连接过程中不协商使用公用身份验证协议,也不将用户名或密码发送到NPS。
必须使用未经身份验证的访问时,可以使用以下解决方案之一:
.DNIS授权
♦ANI/CLI身份验证
来宾身份验证
DNIS授权
被叫号码识别服务(DNIS)使您能够对由NPS尝试的连接(基于客户端计算机呼叫的号码)进行授权,以初始化该连接。
DNIS识别被呼叫到呼叫接收方的号码,由大多数电话公司提供。
例如,可以允许通过指定的免费号码连接的全部连接。
若要识别基于DNIS的连接并应用适当的连接设置,必须执行以下操作:
1.在网络访问服务器上启用未经身份验证的访问。
2.将Called-Station-Id条件设置为客户端计算机必须呼叫才能启动连接的电话号码后,在NPS服务器上为
基于DNIS的授权创建一个网络策略。
3.在NPS的网络策略中为基于DNIS的授权启用未经身份验证的访问。
.如果电话服务或硬件不支持DNIS,可以手动设置端口的电话号码。
♦NPS不支持有代理的DNIS访问请求。
ANI/CLI身份验证
自动号码识别/呼叫线路识别(ANI/CLI)身份验证是对基于呼叫方电话号码的连接尝试进行的身份