L’accès à distance dans cette version de Windows prend en charge les protocoles d’authentification d’accès à distance répertoriés dans le tableau suivant. Ils sont répertoriés dans un ordre de sécurité décroissant. Nous vous recommandons d’utiliser les protocoles EAPO (Extensible Authentication Protocol) et MS-CHAPv2 (Microsoft Challenge Handshake Authentication Protocol version 2), et d’éviter l’utilisation des protocoles CHAP (Challenge Handshake Authentication Protocol) et PAP (Password Authentication Protocol).

ProtocoleDescriptionNiveau de sécurité

EAP

Autorise l’authentification arbitraire d’une connexion d’accès à distance grâce à l’utilisation de modèles d’authentification appelés types EAP.

EAP procure la sécurité la plus élevée grâce à la plus grande flexibilité dans les variantes d’authentification. Pour plus d’informations, voir EAP (éventuellement en anglais) (https://go.microsoft.com/fwlink/?linkid=140608).

MS-CHAP v2

Prend en charge l’authentification mutuelle bidirectionnelle. Le client d’accès à distance reçoit une vérification indiquant que le serveur d’accès à distance qu’il appelle a accès au mot de passe de l’utilisateur.

MS-CHAP v2 fournit une sécurité plus forte que CHAP. Pour plus d’informations, voir MS-CHAP v2 (éventuellement en anglais) (https://go.microsoft.com/fwlink/?linkid=140609).

CHAP

Utilise le schéma de hachage MD5 (Message Digest 5) pour chiffrer la réponse.

CHAP est une amélioration par rapport au protocole PAP, dans la mesure où le mot de passe n’est pas envoyé sur la liaison PPP. CHAP requiert une version en texte clair du mot de passe afin de valider la réponse à la stimulation. CHAP n’assure aucune protection contre l’emprunt d’identité de serveur distant. Pour plus d’informations, voir CHAP (éventuellement en anglais) (https://go.microsoft.com/fwlink/?linkid=140610).

PAP

Utilise des mots de passe en texte clair. Généralement utilisé si le client d’accès à distance et le serveur d’accès à distance ne peuvent pas négocier de forme de validation plus sécurisée.

PAP est le protocole d’authentification le moins sûr. Il n’assure aucune protection contre les attaques par relecture, l’emprunt d’identité de client distant ou l’emprunt d’identité de serveur distant. Pour plus d’informations, voir PAP (éventuellement en anglais) (https://go.microsoft.com/fwlink/?linkid=140611).

Accès non authentifié

RRAS prend également en charge l’accès non authentifié, ce qui signifie qu’aucune information d’identification utilisateur (nom d’utilisateur et mot de passe) n’est requise. Il existe des situations dans lesquelles l’accès non authentifié est utile. Pour plus d’informations, voir Accès non authentifié (éventuellement en anglais) (https://go.microsoft.com/fwlink/?linkid=73649).

Sécurité Remarques
  • Lorsque vous activez l’accès non authentifié, les utilisateurs d’accès à distance sont connectés sans envoyer aucune information d’identification. Un client d’accès à distance non authentifié ne négocie pas l’utilisation d’un protocole d’authentification commun durant le processus d’établissement de connexion et n’envoie pas de nom d’utilisateur ou de mot de passe.
  • L’accès non authentifié avec les clients d’accès à distance peut avoir lieu lorsque les protocoles d’authentification configurés par le client d’accès à distance ne correspondent pas à ceux configurés sur le serveur d’accès à distance. Dans ce cas, l’utilisation d’un protocole d’authentification commun n’est pas négociée et le client d’accès à distance n’envoie ni nom d’utilisateur ni mot de passe.

Références supplémentaires

Table des matières