このバージョンの Windows のリモート アクセスでは、次の表に示すリモート アクセス認証プロトコルがサポートされています。この一覧では、セキュリティの高いプロトコルから順に表示しています。拡張認証プロトコル (EAP) と Microsoft チャレンジ ハンドシェイク認証プロトコル バージョン 2 (MS-CHAPv2) の使用をお勧めしますが、チャレンジ ハンドシェイク認証プロトコル (CHAP) とパスワード認証プロトコル (PAP) の使用は避けることをお勧めします。

プロトコル説明セキュリティ レベル

EAP

EAP の種類として知られる認証スキームを使用して、リモート アクセス接続に対する任意の認証を実現します。

EAP は、さまざまな認証機能を使用できる柔軟性があり、最も強力なセキュリティ機能を実現します。詳細については、EAP に関するページ (英語の可能性あり) (https://go.microsoft.com/fwlink/?linkid=140608) を参照してください。

MS-CHAP v2

双方向の相互認証をサポートしています。リモート アクセス クライアントは、接続先のリモート アクセス サーバーがユーザー パスワードにアクセスできるという確認を受け取ります。

MS-CHAP v2 は、CHAP より強力なセキュリティを提供します。詳細については、MS-CHAP v2 に関するページ (英語の可能性あり) (https://go.microsoft.com/fwlink/?linkid=140609) を参照してください。

CHAP

メッセージ ダイジェスト 5 (MD5) のハッシュ スキームを使用して応答を暗号化します。

CHAP は、パスワードが PPP リンクに送信されないという点で、PAP より優れています。チャレンジ応答を検証するために、プレーンテキストのパスワードが必要です。リモート サーバーのなりすましには対応しません。詳細については、CHAP に関するページ (英語の可能性あり) (https://go.microsoft.com/fwlink/?linkid=140610) を参照してください。

PAP

プレーンテキスト パスワードを使用します。通常、リモート アクセス クライアントとリモート アクセス サーバーが、それ以上安全な検証方法をネゴシエートできない場合に使用されます。

PAP は、最もセキュリティ レベルの低い認証プロトコルです。リプレイ攻撃や、リモート クライアントまたはリモート サーバーのなりすましには対応しません。詳細については、PAP に関するページ (英語の可能性あり) (https://go.microsoft.com/fwlink/?linkid=140611) を参照してください。

認証されていないアクセス

RRAS では、認証されていないアクセス、つまりユーザー資格情報 (ユーザー名とパスワード) を必要としないアクセスがサポートされます。認証されていないアクセスが役立つ状況もあります。詳細については、認証されていないアクセスに関するページ (英語の可能性あり) (https://go.microsoft.com/fwlink/?linkid=73649) を参照してください。

セキュリティについての 注
  • 認証されていないアクセスを有効にすると、リモート アクセス ユーザーはユーザーの資格情報を送信しなくても接続されます。認証されていないリモート アクセス クライアントでは、接続の確立プロセス中に、一般的な認証プロトコルの使用がネゴシエートされず、ユーザー名またはパスワードも送信されません。
  • リモート アクセス クライアントでの認証されていないアクセスは、リモート アクセス クライアントで構成された認証プロトコルが、リモート アクセス サーバーで構成された認証プロトコルに一致していない場合に発生する可能性があります。この場合、一般的な認証プロトコルの使用はネゴシエートされず、リモート アクセス クライアントはユーザー名とパスワードを送信しません。

その他の参照情報

目次