此版本 Windows 中的远程访问支持下表中列出的远程访问身份验证协议。它们按安全性递减的顺序列出。建议您使用可扩展的身份验证协议 (EAP) 和 Microsoft 质询握手身份验证协议版本 2 (MS-CHAPv2),并避免使用质询握手身份验证协议 (CHAP) 和密码身份验证协议 (PAP)。
协议 | 描述 | 安全级别 |
---|---|---|
EAP |
允许使用身份验证方案(称为 EAP 类型)对远程访问连接进行随意身份验证。 |
EAP 可以最灵活地改变身份验证,安全性最强。有关详细信息,请参阅 |
MS-CHAP v2 |
支持双向相互身份验证。远程访问客户端收到其拨入的远程访问服务器有权访问用户密码的验证。 |
MS-CHAP v2 提供比 CHAP 更强的安全性。有关详细信息,请参阅 |
CHAP |
使用 Message Digest 5 (MD5) 哈希方案对响应加密。 |
CHAP 优于 PAP 的是不会通过 PPP 链接发送密码。CHAP 要求使用纯文本版本的密码来验证质询响应。CHAP 不抵御远程服务器模拟。有关详细信息,请参阅 |
PAP |
使用纯文本密码。如果远程访问客户端和远程访问服务器无法协商更安全的验证形式,则通常使用 PAP。 |
PAP 是最不安全的身份验证协议。它不抵御重播攻击、远程客户端模拟和远程服务器模拟。有关详细信息,请参阅 |
未经身份验证的访问
RRAS 还支持未经身份验证的访问,这意味着不需要提供用户凭据(用户名和密码)。有时会需要进行未经身份验证的访问。有关详细信息,请参阅
安全 注意 | |
|