Funkcja dostępu zdalnego w tej wersji systemu Windows obsługuje protokoły uwierzytelniania dostępu zdalnego przedstawione w poniższej tabeli. Są one wymienione według poziomu zabezpieczeń, od najwyższego do najniższego. Zaleca się używanie protokołu EAP (Extensible Authentication Protocol) i wersji 2 protokołu uwierzytelniania typu Challenge Handshake firmy Microsoft (MS-CHAPv2) oraz unikanie używania protokołu uwierzytelniania typu Challenge Handshake (CHAP) i protokołu uwierzytelniania haseł (PAP).

ProtokółOpisPoziom zabezpieczeń

EAP

Umożliwia dowolny sposób uwierzytelniania połączenia dostępu zdalnego za pośrednictwem schematów uwierzytelniania, nazywanych typami protokołu EAP.

Protokół EAP zapewnia najwyższy poziom zabezpieczeń, oferując największą elastyczność wyboru sposobu uwierzytelniania. Aby uzyskać więcej informacji, zobacz artykuł dotyczący protokołu EAP (strona może zostać wyświetlona w języku angielskim) (https://go.microsoft.com/fwlink/?linkid=140608).

MS-CHAP v2

Obsługuje dwukierunkowe uwierzytelnianie wzajemne. Klient dostępu zdalnego odbiera potwierdzenie, że serwer dostępu zdalnego, z którym nawiązuje połączenie telefoniczne, ma dostęp do hasła użytkownika.

Protokół MS-CHAP v2 zapewnia wyższy poziom zabezpieczeń niż protokół CHAP. Aby uzyskać więcej informacji, zobacz artykuł dotyczący protokołu MS-CHAP v2 (strona może zostać wyświetlona w języku angielskim) (https://go.microsoft.com/fwlink/?linkid=140609).

CHAP

Do szyfrowania odpowiedzi używa schematu skrótu Message Digest 5 (MD5).

Protokół CHAP stanowi udoskonalenie w stosunku do protokołu PAP, polegające na tym, że hasło nie jest wysyłane przez łącze PPP. Protokół CHAP wymaga hasła w postaci zwykłego tekstu, aby potwierdzić odpowiedź na wyzwanie. Protokół CHAP nie chroni przed personifikacją serwera zdalnego. Aby uzyskać więcej informacji, zobacz artykuł dotyczący protokołu CHAP (strona może zostać wyświetlona w języku angielskim) (https://go.microsoft.com/fwlink/?linkid=140610).

PAP

Używa haseł w postaci zwykłego tekstu. Zazwyczaj jest on używany, jeśli klient dostępu zdalnego i serwer dostępu zdalnego nie mogą wynegocjować bezpieczniejszej formy weryfikacji.

Protokół PAP jest najmniej bezpiecznym protokołem uwierzytelniania. Nie chroni przed atakami metodą powtórzeń, personifikacją klienta zdalnego ani personifikacją serwera zdalnego. Aby uzyskać więcej informacji, zobacz artykuł dotyczący protokołu PAP (strona może zostać wyświetlona w języku angielskim) (https://go.microsoft.com/fwlink/?linkid=140611).

Dostęp nieuwierzytelniony

Funkcja RRAS obsługuje również dostęp nieuwierzytelniony, co oznacza, że poświadczenia użytkownika (nazwa użytkownika i hasło) nie są wymagane. Dostęp nieuwierzytelniony jest przydatny w niektórych sytuacjach. Aby uzyskać więcej informacji, zobacz artykuł dotyczący dostępu nieuwierzytelnionego (strona może zostać wyświetlona w języku angielskim) (https://go.microsoft.com/fwlink/?linkid=73649).

Uwaga dotycząca zabezpieczeń
  • Jeśli dostęp nieuwierzytelniony jest włączony, użytkownicy dostępu zdalnego nawiązują połączenie bez wysyłania poświadczeń. Podczas ustanawiania połączenia klient nieuwierzytelnionego dostępu zdalnego nie negocjuje używania wspólnego protokołu uwierzytelniania i nie wysyła nazwy użytkownika ani hasła.
  • Dostęp nieuwierzytelniony dla klientów dostępu zdalnego może być używany wtedy, gdy protokoły uwierzytelniania skonfigurowane przez klienta dostępu zdalnego są niezgodne z protokołami skonfigurowanymi na serwerze dostępu zdalnego. W takim przypadku nie będzie negocjowane używanie wspólnego protokołu uwierzytelniania, a klient dostępu zdalnego nie wyśle nazwy użytkownika ani hasła.

Dodatkowe informacje


Spis treści