NPS身份验证方法Word下载.docx

1、基于密码的身份验证方法每种身份验证方法在安全性、可用性和支持的广度方面都各有优缺点。但基于密码的身份验证方法不提供强大的安全性， 因此不推荐使用。对于所有支持使用证书的网络访问方法，建议使用基于证书的身份验证方法。在无线连接的情况下尤 其如此，此时建议使用 PEAP-MS-CHAP v2 或PEAP-TLS。所使用的身份验证方法由网络访问服务器、客户端计算机和运行网络策略服务器 （NPS）的服务器上的网络策略的配置来确定。请查阅访问服务器文档以确定所支持的身份验证方法。可以将NPS配置为接受多种身份验证方法。还可以配置网络访问服务器（也称为 RADIUS客户端）以尝试通过首先 请求使用最安全的

2、协议，然后使用下一个最安全协议，以此类推，直至安全性最低的协议，与客户端计算机协商建立连 接。例如，路由和远程访问服务首先尝试使用 EAP，然后依次使用MS-CHAP v2、MS-CHAP、CHAP、SPAP、PAP来尝试协商建立连接。选择 EAP作为身份验证方法时，在访问客户端和 NPS服务器之间出现EAP类型的协商。MS-CHAP 版本 2Microsoft质询握手身份验证协议版本 2 （MS-CHAP v2） 为网络访问连接提供了比其前身 MS-CHAP更强的安全性。MS-CHAP v2 解决了 MS-CHAP版本1中的某些问题，如下表中所述。用于与旧版 Microsoft远程访问客户端

3、的向后兼 容性的LAN管理器响应编码是弱加密的。MS-CHAP v2 不再允许LAN管理器编码响应。密码更改的LAN管理器编码是弱加密的。MS-CHAP v2 不再允许LAN管理器编码密码更改。只能使用单向身份验证。远程访问客户端无法验证 是拨入其组织的远程访问服务器还是一个伪装的远 程访问服务器。MS-CHAP v2提供双向身份验证，也称为相互身份验证。 远程访问客户端收到其拨入的远程访问服务器有权访问用户 密码的验证。加密密钥基于用户密码，使用 40位加密。每次用 户使用相同的密码连接时，将生成相同的加密密钥。使用MS-CHAP v2 ,加密密钥始终基于用户的密码和一种 任意的质询字符串。

4、每次用户使用相同的密码连接时，将使 用不同的加密密钥。在连接中使用单一加密密钥双向发送数据。使用MS-CHAP v2 ,为传输和收到的数据生成单独的加密 密钥。MS-CHAP v2 是一种单向加密密码，相互身份验证过程的工作方式如下:1. 身份验证器（网络访问服务器或 NPS服务器）向访问客户端发送质询，其中包含会话标识符和任意质询字 符串。2.访问客户端发送包含下列信息的响应：. 用户名。 任意对等质询字符串。. 接收的质询字符串、对等质询字符串、会话标识符和用户密码的单向加密。3.身份验证器检查来自客户端的响应并发送回包含下列信息的响应：. 指示连接尝试是成功还是失败。. 经过身份验证的响

5、应，基于发送的质询字符串、对等质询字符串、加密的客户端响应和用户密码。4. 访问客户端验证身份验证响应，如果正确，则使用该连接。如果身份验证响应不正确，访问客户端将终止该 连接。启用 MS-CHAP v2若要启用基于MS-CHAP v2 的身份验证，必须执行下列操作：2,在相应的网络策略上启用MS-CHAP v23,在访问客户端上启用MS-CHAP v2。其他注意事项, MS-CHAP （版本1和版本2）是唯一的基于密码的身份验证协议，它支持在身份验证过程中更改密码。. 在NPS服务器的网络策略上启用 MS-CHAP v2 之前，确保您的网络访问服务器支持 MS-CHAP v2。有 关详细信息

6、，请参阅 NAS文档。MS-CHAPMicrosoft质询握手身份验证协议（MS-CHAP），也称为MS-CHAP版本1，是不可逆的加密密码身份验证协议。质 询握手过程的工作方式如下：1,身份验证器（网络访问服务器或 NPS服务器）向访问客户端发送质询，其中包含会话标识符和任意质询字 符串。2, 访问客户端发送一个响应，该响应包含用户名和一个不可逆的加密质询字符串、会话标识符和密码。3, 身份验证器检查响应，如果有效，则用户的凭据通过身份验证。如果使用MS-CHAP作为身份验证协议，则可以使用Microsoft点对点加密（MPPE）对PPP或PPTP连接上发送 的数据进行加密。MS-CHAP版

7、本2为网络访问连接提供了比 MS-CHAP更高的安全性。应考虑使用 MS-CHAP版本2而非MS-CHAP。启用 MS-CHAP若要启用基于MS-CHAP的身份验证，必须执行下列操作：1,启用MS-CHAP作为远程访问服务器上的身份验证协议。2,在NPS中的相应网络策略上启用 MS-CHAP。3,在访问客户端上启用 MS-CHAP, 默认情况下，Ms-chapV1的此实现不支持Lan管理器身份验证。如果希望允许对旧版操作系统（如Windows NT 3.5x 和 Windows 95 ）使用带MS-CHAP v1 的LAN管理器身份验证，必须在 NPS服 务器上将以下注册表值设置为 1:HKE

8、Y_LOCAL_MACHINESystemCurrentControlSetServicesRemoteAccessPolicyAllow LM Authentication. 如果MS-CHAP V1用作身份验证协议，当用户的密码大于 14个字符时，将无法建立40位加密的连接。此行为会影响拨号和基于 VPN的远程访问以及请求拨号连接。!注意对注册表编辑不当可能会严重损坏您的系统。在更改注册表之前，应备份计算机中任何有价值的数据。CHAP质询握手身份验证协议（CHAP）是一种质询-响应身份验证协议，该协议使用行业标准的 MessageDigest 5 （MD5）哈希方案来对响应加密。CHAP可

9、供各种网络访问服务器和客户端的供应商使用。运行 路由和远程访问”的服务器支持CHAP，以便对要求使用CHAP的访问客户端进行身份验证。由于 CHAP要求使用可撤消的加密密码，所以，应考虑 使用其他身份验证协议（例如 MS-CHAP版本2）。若要启用基于CHAP的身份验证，必须执行下列操作：1.启用CHAP作为网络访问服务器上的身份验证协议。2.在NPS中的相应网络策略上启用 CHAP。3.启用可撤消加密的用户密码存储。可以按用户帐户启用其存储，也可以为域中的全部帐户启用存储。4.强制重置用户密码，以使新密码采用可撤消形式加密。启用以可撤消的加密形式存储密码时，当前密码未采用可撤消的加密形式，并

10、且未自动更改。必须手动更改 用户密码，或将用户密码设置为在每个用户下次登录时更改。如果将用户密码设置为在用户下次登录时更改，该用户必须使用 LAN连接进行登录，并在用户尝试使用远程访问连接登录之前，使用 CHAP更改密码。在身份验证过程中，不能使用 CHAP更改密码；否则，登录尝试将失败。远程访问用户的一种解决方法是暂时使用 MS-CHAP登录来更改密码。5.在访问客户端上启用 CHAP , 用户密码过期时，CHAP不为其提供在身份验证过程中更改密码的功能。, 验证网络访问服务器支持 CHAP，然后再在运行NPS的服务器上的网络策略中启用它。有关详细信息，请 参阅NAS文档。, 不能对CHAP

11、使用Microsoft点对点加密（MPPE）。PAP密码身份验证协议（PAP）使用纯文本密码，是最不安全的身份验证协议。如果访问客户端和网络访问服务器无法协商 使用更安全的身份验证方法，通常协商使用此方法。若要启用基于PAP的身份验证，必须执行下列操作：1.启用PAP作为网络访问服务器上的身份验证协议。2.在NPS中的相应网络策略上启用 PAP。3.在访问客户端上启用 PAP。II h。重要事项启用PAP作为身份验证协议时，将以纯文本形式发送用户密码。任何捕获到身份验证过程的数据包的用户均可以 很容易地读取密码并使用该密码对您的 Intranet 进行XX的访问。建议不要使用PAP，特别是对于

12、VPN连 接。. 如果部署了拨号服务器，通过在网络访问服务器上禁用 PAP支持，可确保从不通过拨号客户端发送纯文本密码。禁用对PAP的支持可以提高身份验证的安全性，但是只支持 PAP的远程访问客户端将无法连接。, 用户的密码过期时，PAP不为其提供在身份验证过程中更改密码的功能。. 在NPS服务器的网络策略上启用 PAP之前，确保您的网络访问服务器支持 PAP。有关详细信息，请参阅NAS文档。, 不能对PAP使用Microsoft点对点加密（MPPE）。未经身份验证的访问使用未经身份验证的访问，不需要用户凭据（用户名和密码） 。虽然在某些情况下，未经身份验证的访问很有用，但在大多数情况下不推荐

13、在组织网络中使用。启用未经身份验证的访问时，将允许用户访问网络，而无需发送用户凭据。此外，未经身份验证的访问客户端在建立连 接过程中不协商使用公用身份验证协议，也不将用户名或密码发送到 NPS。必须使用未经身份验证的访问时，可以使用以下解决方案之一：.DNIS授权ANI/CLI身份验证, 来宾身份验证DNIS 授权被叫号码识别服务（DNIS）使您能够对由NPS尝试的连接（基于客户端计算机呼叫的号码）进行授权，以初始化该 连接。DNIS识别被呼叫到呼叫接收方的号码，由大多数电话公司提供。例如，可以允许通过指定的免费号码连接的全 部连接。若要识别基于 DNIS的连接并应用适当的连接设置，必须执行以下操作：1.在网络访问服务器上启用未经身份验证的访问。2.将Called-Station-Id 条件设置为客户端计算机必须呼叫才能启动连接的电话号码后， 在NPS服务器上为基于DNIS的授权创建一个网络策略。3.在NPS的网络策略中为基于 DNIS的授权启用未经身份验证的访问。. 如果电话服务或硬件不支持 DNIS,可以手动设置端口的电话号码。NPS不支持有代理的DNIS访问请求。ANI/CLI 身份验证自动号码识别/呼叫线路识别（ANI/CLI） 身份验证是对基于呼叫方电话号码的连接尝试进行的身份