此版 Windows 中的遠端存取支援下表所列的遠端存取驗證通訊協定。它們以遞減的安全性順序列出。建議您使用可延伸的驗證通訊協定 (EAP) 以及 Microsoft Challenge Handshake 驗證通訊協定第 2 版 (MS-CHAPv2),而避免使用 Challenge Handshake 驗證通訊協定 (CHAP) 以及密碼驗證通訊協定 (PAP)。

通訊協定描述安全性等級

EAP

使用驗證配置 (即 EAP 類型) 以允許遠端存取連線的任意驗證。

EAP 透過最具彈性的驗證變異,以提供最佳安全性。如需相關資訊,請參閱 EAP (可能為英文網頁) (https://go.microsoft.com/fwlink/?linkid=140608)。

MS-CHAP v2

支援雙向相互驗證。遠端存取用戶端會收到驗證,確認正在撥號的遠端存取伺服器具有使用者密碼的存取權。

MS-CHAP v2 提供比 CHAP 更強大的安全性。如需相關資訊,請參閱 MS-CHAP v2 (可能為英文網頁) (https://go.microsoft.com/fwlink/?linkid=140609)。

CHAP

使用訊息摘要 5 (MD5) 雜湊配置加密回應。

CHAP 是一種提升效能的 PAP,因為密碼不是透過 PPP 連結傳送。CHAP 需要純文字版本的密碼以驗證挑戰回應。CHAP 無法保護遠端伺服器模擬。如需相關資訊,請參閱 CHAP (可能為英文網頁) (https://go.microsoft.com/fwlink/?linkid=140610)。

PAP

使用純文字密碼。通常是在遠端存取用戶端及遠端存取伺服器無法交涉更安全的驗證形式時使用。

PAP 是最不安全的驗證通訊協定。它無法防止重新執行攻擊、遠端用戶端模擬或遠端伺服器模擬。如需相關資訊,請參閱 PAP (可能為英文網頁) (https://go.microsoft.com/fwlink/?linkid=140611)。

未驗證的存取

RRAS 還支援未驗證的存取,也就是不需要使用者憑證 (使用者名稱及密碼)。有些情況下,未驗證的存取十分實用。如需相關資訊,請參閱未驗證的存取 (可能為英文網頁) (https://go.microsoft.com/fwlink/?linkid=73649)。

安全性 附註
  • 當您啟用未驗證的存取時,遠端存取使用者不需傳送使用者憑證即可連線。未驗證的遠端存取用戶端在連線建立過程中,不需交涉使用一般驗證通訊協定,也不必傳送使用者名稱或密碼。
  • 當遠端存取用戶端所設定的驗證通訊協定與遠端存取伺服器上設定的不相符時,就可能發生遠端存取用戶端的未驗證存取。此時,不會交涉使用一般驗證通訊協定,且遠端存取用戶端也不會傳送使用者名稱及密碼。

其他參考資料


目錄