Vzdálený přístup v této verzi systému Windows podporuje ověřovací protokoly pro vzdálený přístup uvedené v následující tabulce. Protokoly jsou uvedeny v pořadí podle zvyšujícího se zabezpečení. Doporučujeme používat protokoly EAP (Extensible Authentication Protocol) a MS-CHAPv2 (Microsoft Challenge Handshake Authentication Protocol verze 2) a nepoužívat protokoly CHAP (Challenge Handshake Authentication Protocol) a PAP (Password Authentication Protocol).

ProtokolPopisÚroveň zabezpečení

EAP

Umožňuje libovolné ověřování připojení vzdáleného přístupu pomocí schémat ověřování známých jako typy EAP.

Protokol EAP nabízí nejvyšší zabezpečení zajištěním největší flexibility při použití různých druhů ověřování. Další informace naleznete v článku Protokol EAP (stránka může být v angličtině) (https://go.microsoft.com/fwlink/?linkid=140608).

MS-CHAP v2

Podporuje oboustranné vzájemné ověřování. Klient vzdáleného přístupu přijme ověření, že má vytáčený server vzdáleného přístupu přístup k uživatelskému heslu.

Protokol MS-CHAP v2 poskytuje větší zabezpečení než protokol CHAP. Další informace naleznete v článku Protokol MS-CHAP v2 (stránka může být v angličtině) (https://go.microsoft.com/fwlink/?linkid=140609).

CHAP

K šifrování odpovědi používá systém zatřiďování MD5 (Message Digest 5).

Heslo není odesíláno přes propojení PPP, což představuje zdokonalení vzhledem k protokolu PAP. Protokol CHAP vyžaduje verzi hesla v prostém textu za účelem ověření odpovědi na výzvu. Neposkytuje ochranu proti zosobnění vzdáleného serveru. Další informace naleznete v článku Protokol CHAP (stránka může být v angličtině) (https://go.microsoft.com/fwlink/?linkid=140610).

PAP

Používá hesla v prostém textu. Obvykle se používá, pokud se klient vzdáleného přístupu a server vzdáleného přístupu nemohou dohodnout na účinněji zabezpečené formě ověření.

Protokol PAP je nejméně zabezpečený ověřovací protokol. Nechrání před útoky s použitím přehrání, zosobněním vzdáleného klienta ani vzdáleného serveru. Další informace naleznete v článku Protokol PAP (stránka může být v angličtině) (https://go.microsoft.com/fwlink/?linkid=140611).

Přístup bez ověření

Služba RRAS podporuje také přístup bez ověření, což znamená, že nejsou požadována pověření uživatele (uživatelské jméno a heslo). V některých situacích je použití přístupu bez ověření užitečné. Další informace naleznete v článku Přístup bez ověření (stránka může být v angličtině) (https://go.microsoft.com/fwlink/?linkid=73649).

Zabezpečení - Poznámka
  • Pokud povolíte přístup bez ověření, budou vzdálení uživatelé připojeni bez odeslání příslušných uživatelských pověření. Klient vzdáleného připojení bez ověření nevyjedná použití běžného ověřovacího protokolu v průběhu vytváření připojení a neodešle uživatelské jméno ani heslo.
  • K přístupu bez ověření s využitím klientů vzdáleného přístupu může dojít, pokud se ověřovací protokoly nakonfigurované klientem vzdáleného přístupu neshodují s příslušnými protokoly na serveru pro vzdálený přístup. V takovém případě nebude vyjednán běžný ověřovací protokol a klient vzdáleného přístupu neodešle uživatelské jméno a heslo.

Další informace

Obsah