Mit dem Remotezugriff in dieser Version von Windows werden die in der folgenden Tabelle aufgeführten RAS-Authentifizierungsprotokolle unterstützt. Sie werden in absteigender Reihenfolge hinsichtlich der Sicherheit aufgelistet. Es empfiehlt sich, Extensible Authentication Protocol (EAP) und MS-CHAP v2 (Microsoft Challenge Handshake Authentication-Protokoll, Version 2) zu verwenden und die Verwendung von CHAP (Challenge Handshake Authentication-Protokoll) und PAP (Password Authentication-Protokoll) zu vermeiden.

ProtokollBeschreibungSicherheitsstufe

EAP

Ermöglicht die beliebige Authentifizierung einer RAS-Verbindung durch Verwendung von Authentifizierungsschemas, den so genannten EAP-Typen.

EAP bietet die höchste Sicherheit durch große Flexibilität bei den Authentifizierungsvariationen. Weitere Informationen (möglicherweise in englischer Sprache) finden Sie unter EAP (https://go.microsoft.com/fwlink/?linkid=140608).

MS-CHAP v2

Unterstützt die bidirektionale gegenseitige Authentifizierung. Der RAS-Client erhält eine Bestätigung, dass der RAS-Server, bei dem er sich einwählt, über Zugriff auf das Kennwort des Benutzers verfügt.

MS-CHAP v2 bietet eine höhere Sicherheit als CHAP. Weitere Informationen (möglicherweise in englischer Sprache) finden Sie unter MS-CHAP v2 (https://go.microsoft.com/fwlink/?linkid=140609).

CHAP

Verwendet das MD5-Hashingschema (Message Digest 5) zum Verschlüsseln der Antwort.

CHAP stellt eine Verbesserung gegenüber PAP dar, da das Kennwort nicht über die PPP-Verbindung gesendet wird. Zur Gültigkeitsprüfung der Abfrageantwort ist für CHAP eine Klartextversion des Kennworts erforderlich. CHAP schützt nicht vor Remoteserver-Identitätswechseln. Weitere Informationen (möglicherweise in englischer Sprache) finden Sie unter CHAP (https://go.microsoft.com/fwlink/?linkid=140610).

PAP

Verwendet Klartextkennwörter. Dieses Protokoll wird in der Regel verwendet, wenn der RAS-Client und der RAS-Server keine sicherere Form der Gültigkeitsprüfung aushandeln können.

Bei PAP handelt es sich um das am wenigsten sichere Authentifizierungsprotokoll. Es schützt weder vor Replay-Angriffen noch vor Remoteclient- oder Remoteserver-Identitätswechseln. Weitere Informationen (möglicherweise in englischer Sprache) finden Sie unter PAP (https://go.microsoft.com/fwlink/?linkid=140611).

Nicht authentifizierter Zugriff

RRAS unterstützt auch den nicht authentifizierten Zugriff. Dies bedeutet, dass keine Benutzeranmeldeinformationen (Benutzername und Kennwort) erforderlich sind. Unter bestimmten Umständen ist ein nicht authentifizierter Zugriff von Vorteil. Weitere Informationen (möglicherweise in englischer Sprache) finden Sie unter Nicht authentifizierter Zugriff (https://go.microsoft.com/fwlink/?linkid=73649).

Sicherheit Hinweis
  • Wenn Sie den nicht authentifizierten Zugriff aktivieren, werden RAS-Benutzer verbunden, ohne dass Benutzeranmeldeinformationen gesendet werden. Auf einem nicht authentifizierten RAS-Client wird beim Verbindungsaufbau weder die Verwendung eines allgemeinen Authentifizierungsprotokolls ausgehandelt, noch werden Benutzername oder Kennwort gesendet.
  • Ein nicht authentifizierter Zugriff durch RAS-Clients kann vorkommen, wenn die auf dem RAS-Client konfigurierten Authentifizierungsprotokolle nicht mit denen auf dem RAS-Server übereinstimmen. In diesem Fall wird keine Verwendung eines allgemeinen Authentifizierungsprotokolls ausgehandelt, und der RAS-Client sendet weder Benutzernamen noch Kennwort.

Weitere Verweise


Inhaltsverzeichnis