EAP (Extensible Authentication Protocol) för nätverksåtkomst

2025-08-16
Gäller för: ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016, ✅ Windows 11, ✅ Windows 10

EAP (Extensible Authentication Protocol) är ett autentiseringsramverk som gör det möjligt att använda olika autentiseringsmetoder för säker nätverksåtkomstteknik. Exempel på dessa tekniker är trådlös åtkomst med IEEE 802.1X, trådbunden åtkomst med IEEE 802.1X och PPP-anslutningar (Point-to-Point Protocol) som VPN (Virtual Private Networking). EAP är inte en specifik autentiseringsmetod som MS-CHAP v2, utan snarare ett ramverk som gör det möjligt för nätverksleverantörer att utveckla och installera nya autentiseringsmetoder, så kallade EAP-metoder på åtkomstklienten och autentiseringsservern. EAP-ramverket definieras ursprungligen av RFC 3748 och utökas av olika andra RFC:er och standarder.

Autentiseringsmetoder

EAP-autentiseringsmetoder som används i tunnelade EAP-metoder kallas ofta inre metoder eller EAP-typer. Metoder som konfigureras som inre metoder har samma konfigurationsinställningar som när de används som en yttre metod. Den här artikeln innehåller konfigurationsinformation som är specifik för följande autentiseringsmetoder i EAP.

EAP-Transport Layer Security (EAP-TLS) : Standardbaserad EAP-metod som använder TLS med certifikat för ömsesidig autentisering. Visas som smartkort eller annat certifikat (EAP-TLS) i Windows. EAP-TLS kan distribueras som en inre metod för en annan EAP-metod eller som en fristående EAP-metod.

Tip

EAP-metoder som använder EAP-TLS, som är certifikatbaserade, erbjuder i allmänhet den högsta säkerhetsnivån. Till exempel är EAP-TLS den enda tillåtna EAP-metoden för WPA3-Enterprise 192-bitarsläge.

EAP-Microsoft Challenge Handshake Authentication Protocol version 2 (EAP-MSCHAP v2):Microsoft-definierad EAP-metod som kapslar in autentiseringsprotokollet MSCHAP v2, som använder användarnamn och lösenord, för autentisering. Visas som Säkert lösenord (EAP-MSCHAP v2) i Windows. EAP-MSCHAPv2 kan användas som en fristående metod för VPN, men bara som en inre metod för kabelanslutna/trådlösa anslutningar.

Warning

MSCHAPv2-baserade anslutningar utsätts för liknande attacker som för NTLMv1. Windows 11 Enterprise version 22H2 (version 22621) aktiverar Windows Defender Credential Guard, vilket kan orsaka problem med MSCHAPv2-baserade anslutningar.

Skyddad EAP (PEAP):Microsoft-definierad EAP-metod som kapslar in EAP i en TLS-tunnel. TLS-tunneln skyddar den inre EAP-metoden, som annars kan vara oskyddad. Windows stöder EAP-TLS och EAP-MSCHAP v2 som inre metoder.

EAP-Tunneled Transport Layer Security (EAP-TTLS): Detta beskrivs av RFC 5281, kapslar in en TLS-session som utför ömsesidig autentisering med hjälp av en annan inre autentiseringsmekanism. Den här inre metoden kan vara antingen ett EAP-protokoll, till exempel EAP-MSCHAP v2, eller ett icke-EAP-protokoll, till exempel Password Authentication Protocol (PAP). I Windows Server 2012 ger införandet av EAP-TTLS endast stöd på klientsidan (i Windows 8). NPS stöder inte EAP-TTLS just nu. Klientstödet möjliggör samverkan med ofta distribuerade RADIUS-servrar som stöder EAP-TTLS.

EAP-Subscriber Identity Module (EAP-SIM), EAP-Authentication and Key Agreement (EAP-AKA), och EAP-AKA Prime (EAP-AKA)) : Detta beskrivs av olika RFC:er, möjliggör autentisering med hjälp av SIM-kort och implementeras när en kund köper en trådlös bredbandstjänstplan från en mobilnätsoperatör. Som en del av planen får kunden vanligtvis en trådlös profil som är förkonfigurerad för SIM-autentisering.

Tunnel EAP (TEAP): Detta beskrivs av RFC 7170, tunnel-EAP-metod som upprättar en säker TLS-tunnel och kör andra EAP-metoder i tunneln. Stöder EAP-länkning – autentisering av datorn och användaren inom en autentiseringssession. I Windows Server 2022 ger inkluderingen av TEAP endast stöd för klientsidan – Windows 10 version 2004 (version 19041). NPS har för närvarande inte stöd för TEAP. Klientsupporten möjliggör samverkan med ofta distribuerade RADIUS-servrar som stöder TEAP. Windows stöder EAP-TLS och EAP-MSCHAP v2 som inre metoder.

I följande tabell visas några vanliga EAP-metoder och deras IANA-tilldelade metodtypnummer.

EAP-metod	IANA-tilldelat typnummer	Inbyggt Windows-stöd
MD5-Challenge (EAP-MD5)	4	❌
One-Time Lösenord (EAP-OTP)	5	❌
Generisk Token-kort (EAP-GTC)	6	❌
EAP-TLS	13	✅
EAP-SIM	18	✅
EAP-TTLS	21	✅
EAP-AKA	23	✅
PEAP	25	✅
EAP-MSCHAP v2	26	✅
Lösenord för skyddade One-Time (EAP-POTP)	32	❌
EAP-FAST	43	❌
I förväg delad nyckel (EAP-PSK)	47	❌
EAP-IKEv2	49	❌
EAP-AKA'	50	✅
EAP-EKE	53	❌
TEAP	55	✅
EAP-NOOB	56	❌

Konfigurera EAP-egenskaper

Du kan komma åt EAP-egenskaperna för 802.1X-autentiserad kabelbunden och trådlös åtkomst på följande sätt:

Konfigurera tilläggen Principer för kabelanslutna nätverk (IEEE 802.3) och Principer för trådlösa nätverk (IEEE 802.11) i Grupprincip.
- Datorkonfiguration>Politik>Windows-inställningar>Säkerhetsinställningar
Använda MDM-programvara (Mobile Device Management), till exempel Intune (Wi-Fi/Wired)
- Wi-Fi CSP
- WiredNetwork CSP
Konfigurera kabelanslutna eller trådlösa anslutningar manuellt på klientdatorer.

Du kan komma åt EAP-egenskaperna för VPN-anslutningar (Virtual Private Network) på följande sätt:

Använda MDM-programvara (Mobile Device Management), till exempel Intune
- VPNv2 CSP
- VPN-profilalternativ
Konfigurera VPN-anslutningar manuellt på klientdatorer.
Använda Administration av Anslutningshanteraren (CMAK) för att konfigurera VPN-anslutningar.

Mer information om hur du konfigurerar EAP-egenskaper finns i Konfigurera EAP-profiler och inställningar i Windows.

XML-profiler för EAP

Profilerna som används för olika anslutningstyper är XML-filer som innehåller konfigurationsalternativen för den anslutningen. Varje anslutningstyp följer ett specifikt schema:

Men när det är konfigurerat att använda EAP har varje profilschema ett underordnat element EapHostConfig-element .

Kabelansluten/trådlös: EapHostConfig är ett underordnat element i elementet EAPConfig . MSM-säkerhet > (trådbunden/,trådlös), >OneX> EAPConfig
VPN: EapHostConfig är ett underordnat element i NativeProfile > Authentication > Eap > Configuration

Den här konfigurationssyntaxen definieras i specifikationen Grupprincip: Trådlöst/trådbundet protokolltillägg .

Note

De olika konfigurationsgränssnitten visar inte alltid alla tekniskt möjliga alternativ. Windows Server 2019 och tidigare kan till exempel inte konfigurera TEAP i användargränssnittet. Det är dock ofta möjligt att importera en befintlig XML-profil som tidigare har konfigurerats.

Resten av artikeln är avsedd att tillhandahålla en mappning mellan de EAP-specifika delarna av användargränssnittet för grupprincipen/kontrollpanelen och XML-konfigurationsalternativen, samt en beskrivning av inställningen.

Mer information om hur du konfigurerar XML-profiler finns i XML-profiler. Ett exempel på hur du använder en XML-profil som innehåller EAP-inställningar finns i Etablera en Wi-Fi profil via en webbplats.

Säkerhetsinställningar

I följande tabell förklaras de konfigurerbara säkerhetsinställningarna för en profil som använder 802.1X. De här inställningarna mappas till OneX.

Setting	XML element	Description
Välj en metod för nätverksautentisering:	EAPConfig	Gör att du kan välja vilken EAP-metod som ska användas för autentisering. Se Konfigurationsinställningar för autentiseringsmetod och Konfigurationsinställningar för mobilautentisering
Properties		Öppnar egenskapsdialogen för den valda EAP-metoden.
Autentiseringsläge	authMode	Anger vilken typ av autentiseringsuppgifter som används för autentisering. Följande värden stöds: 1. Autentisering av användare eller dator 2. Autentisering av dator 3. Autentisering av användare 4. Autentisering av gäster "Dator" betyder i det här sammanhanget "Maskin" i andra referenser. `machineOrUser` är standard i Windows.
Maximalt antal autentiseringsfel	maxAuthFailures	Anger det maximala antalet autentiseringsfel som tillåts för en uppsättning autentiseringsuppgifter, med `1`standardvärdet .
Cachelagra användarinformation för efterföljande anslutningar till det här nätverket	cacheUserData	Anger om användarens autentiseringsuppgifter ska cachelagras för efterföljande anslutningar till samma nätverk, med `true`standardvärdet .

Avancerade säkerhetsinställningar > IEEE 802.1X

Om Framtvinga avancerade 802.1X-inställningar är markerat konfigureras alla följande inställningar. Om den är avmarkerad gäller standardinställningarna. I XML är alla element valfria, med standardvärdena som används om de inte finns.

Setting	XML element	Description
Max Eapol-Start Meddelanden	maxStart	Anger det maximala antalet EAPOL-Start meddelanden som kan skickas till autentiseraren (RADIUS-servern) innan den bedjande (Windows-klienten) antar att det inte finns någon autentiserare, vilket är `3`standardvärdet .
Startperiod (sekunder)	startPeriod	Anger hur lång tid (i sekunder) som ska vänta innan ett EAPOL-Start meddelande skickas för att starta 802.1X-autentiseringsprocessen, med standardvärdet .`5`
Hållen period (sekunder)	heldPeriod	Anger den tidsperiod (i sekunder) som ska vänta efter ett misslyckat autentiseringsförsök för att försöka autentisera igen, med standardvärdet `1`.
Autentiseringsperiod (sekunder)	authPeriod	Anger den tidsperiod (i sekunder) som ska vänta på ett svar från autentiseraren (RADIUS-servern) innan man antar att det inte finns någon autentiserare, med standardvärdet `18`.
Eapol-Start meddelande	supplicantMode	Anger vilken överföringsmetod som används för EAPOL-Start meddelanden. Följande värden stöds: 1. Överför inte (`inhibitTransmission`) 2. Sänd (`includeLearning`) 3. Sändning enligt IEEE 802.1X (`compliant`) "Dator" betyder i det här sammanhanget "Maskin" i andra referenser. `compliant` är standard i Windows och är det enda giltiga alternativet för trådlösa profiler.

Avancerade säkerhetsinställningar > Enkel inloggning

I följande tabell beskrivs inställningarna för enkel inloggning (SSO), som tidigare kallades Pre-Logon Access Provider (PLAP).

Setting	XML element	Description
Aktivera enkel inloggning för det här nätverket	singleSignOn	Anger om enkel inloggning är aktiverat för det här nätverket, med `false`standardvärdet . Använd `singleSignOn` inte i en profil om nätverket inte kräver det.
Utför omedelbart före användaren Utför omedelbart efter användaren	type	Anger när enkel inloggning ska utföras – antingen före eller efter att användaren har loggat in.
Max fördröjning för anslutning (sekunder)	maxDelay	Anger den maximala fördröjningen (i sekunder) innan SSO-försöket misslyckas, med `10`standardvärdet .
Tillåt att ytterligare dialogrutor visas under enkel inloggning	allowAdditionalDialogs	Angav om EAP-dialogrutor skulle tillåtas att visas under enkel inloggning, med `false`.
Det här nätverket använder olika VLAN för autentisering med dator- och användarautentiseringsuppgifter	userBasedVirtualLan	Anger om det virtuella LAN (VLAN) som används av enheten ändras baserat på användarens autentiseringsuppgifter, med `false`.

Konfigurationsinställningar för autentiseringsmetod

Caution

Om en nätverksåtkomstserver har konfigurerats för att tillåta samma typ av autentiseringsmetod för en tunnelbaserad EAP-metod (till exempel PEAP) och en EAP-metod som inte är tunnelbaserad (till exempel EAP-MSCHAP v2) finns det en potentiell säkerhetsrisk. När du distribuerar både en tunnlad EAP-metod och EAP (som inte är skyddad) ska du inte använda samma autentiseringstyp. Om du till exempel distribuerar PEAP-TLS ska du inte heller distribuera EAP-TLS eftersom om du behöver skyddet av tunneln har den inget syfte att tillåta att metoden även körs utanför tunneln.

I följande tabell förklaras de konfigurerbara inställningarna för varje autentiseringsmetod.

De EAP-TLS inställningarna i användargränssnittet mappar till EapTlsConnectionPropertiesV1, som utökas av EapTlsConnectionPropertiesV2 och EapTlsConnectionPropertiesV3.

Setting	XML element	Description
Använd mitt smartkort	CredentialsSource>Smartkort	Anger att klienter som gör autentiseringsbegäranden måste presentera ett smartkortscertifikat för nätverksautentisering.
Använda ett certifikat på den här datorn	CredentialsSource>CertificateStore	Anger att autentiserande klienter måste använda ett certifikat som finns i certifikatarkiven Aktuell användare eller Lokal dator.
Använd enkelt certifikatval (rekommenderas)	SimpleCertSelection	Anger om Windows automatiskt väljer ett certifikat för autentisering utan användarinteraktion (om möjligt) eller om Windows visar en listruta där användaren kan välja ett certifikat.
Advanced		Öppnar dialogrutan Konfigurera val av certifikat .
Alternativ för servervalidering
Använd ett annat användarnamn för anslutningen	DifferentUsername	Anger om ett användarnamn ska användas för autentisering som skiljer sig från användarnamnet i certifikatet.

Nedan visas konfigurationsinställningarna för Konfigurera certifikatval. De här inställningarna definierar de kriterier som en klient använder för att välja lämpligt certifikat för autentisering. Det här användargränssnittet mappar till TLSExtensions>FilteringInfo.

Setting	XML element	Description
Certifikatutfärdare	CAHashList`Enabled="true"`	Anger om filtrering av certifikatutfärdare är aktiverat. Om både certifikatutfärdare och utökad nyckelanvändning (EKU) är aktiverade anses endast de certifikat som uppfyller båda villkoren vara giltiga för att autentisera klienten till servern.
Rotcertifikatutfärdare	IssuerHash	Visar namnen på alla utfärdare för vilka det finns motsvarande certifikat från certifikatutfärdare (CA) i certifikatarkivet Betrodda rotcertifikatutfärdare eller Mellanliggande certifikatutfärdare för det lokala datorkontot. Detta inkluderar: Alla rotcertifikatutfärdare och mellanliggande certifikatutfärdare. Innehåller endast de utfärdare för vilka det finns motsvarande giltiga certifikat som finns på datorn (till exempel certifikat som inte har upphört att gälla eller inte har återkallats). Den slutliga listan över certifikat som tillåts för autentisering innehåller endast de certifikat som har utfärdats av någon av de utfärdare som valts i den här listan. I XML är detta SHA-1-tumavtrycket (hashen) för certifikatet.
Utökad nyckelanvändning (EKU)		Gör att du kan välja All Purpose, Client Authentication, AnyPurpose eller någon kombination av dessa. Anger att när en kombination väljs betraktas alla certifikat som uppfyller minst ett av de tre villkoren som giltiga certifikat för autentisering av klienten till servern. Om EKU-filtrering är aktiverat måste ett av alternativen väljas, annars avmarkeras kryssrutan Utökad nyckelanvändning (EKU ).
Alla syften	AllPurposeEnabled	När det här objektet är markerat anger det att certifikat med all användnings-EKU anses vara giltiga certifikat för att autentisera klienten till servern. Objektidentifieraren (OID) för alla syften är `0` eller tom.
Klientautentisering	ClientAuthEKUList`Enabled="true"` (> EKUMapInList > EKUName)	Anger att certifikat med EKU för klientautentisering och den angivna listan över EKU:er anses vara giltiga certifikat för att autentisera klienten till servern. Objektidentifieraren (OID) för klientautentisering är `1.3.6.1.5.5.7.3.2`.
AnyPurpose	AnyPurposeEKUList`Enabled="true"` (> EKUMapInList > EKUName)	Anger att alla certifikat som har AnyPurpose EKU och den angivna listan över EKU:er anses vara giltiga certifikat för att autentisera klienten till servern. Objektidentifieraren (OID) för AnyPurpose är `1.3.6.1.4.1.311.10.12.1`.
Add	EKUMapping > EKUMap > EKUName/EKUOID	Öppnar dialogrutan Välj EKUs , där du kan lägga till standard-, anpassade eller leverantörsspecifika EKU:er i listan Klientautentisering eller AnyPurpose . Om du väljer Lägg till eller Redigera i dialogrutan Välj EKUs öppnas dialogrutan Lägg till/redigera EKU , som innehåller två alternativ: 1. Ange namnet på EKU - Ger en plats för att skriva namnet på den anpassade EKU. 2. Ange EKU OID - Ger en plats där du kan skriva in OID för EKU. Endast numeriska siffror, avgränsare och `.` tillåts. Jokertecken tillåts, i vilket fall alla underordnade OID:er i hierarkin tillåts. Om du till exempel anger `1.3.6.1.4.1.311.*` tillåts för `1.3.6.1.4.1.311.42` och `1.3.6.1.4.1.311.42.2.1`.
Edit		Gör att du kan redigera anpassade EKU:er som du har lagt till. Det går inte att redigera fördefinierade standard-EKU:er.
Remove		Tar bort den valda EKU:n från listan Klientautentisering eller AnyPurpose .

PEAP-inställningarna i användargränssnittskartan till MsPeapConnectionPropertiesV1, som utökas av MsPeapConnectionPropertiesV2.

Setting	XML element	Description
Alternativ för servervalidering
Välj autentiseringsmetod		Här kan du välja vilken EAP-typ som ska användas med PEAP för nätverksautentisering. Det finns två EAP-typer tillgängliga, säkert lösenord (EAP-MSCHAP v2) och smartkort eller annat certifikat (EAP-TLS) .
Configure	EAP-MSCHAP v2: UseWinLogonCredentials EAP-TLS: Se fliken EAP-TLS, schema	Det här alternativet ger åtkomst till egenskapsinställningar för den angivna EAP-typen. Om Säkert lösenord (EAP-MSCHAP v2) är markerat är kryssrutan Använd automatiskt mitt Windows-inloggningsnamn och lösenord (och eventuell domän) tillgänglig, vilket anger att det aktuella användarbaserade Windows-inloggningsnamnet och lösenordet används som autentiseringsuppgifter för nätverk. Om smartkort eller annat certifikat (EAP-TLS) är markerat öppnas dialogrutan Egenskaper för smartkort eller annat certifikat för ytterligare konfiguration av den här EAP-typen.
Aktivera snabb återanslutning	FastReconnect	Gör det möjligt att skapa en ny eller uppdaterad säkerhetsassociation mer effektivt och med ett mindre antal turer och retur om en säkerhetsassociation tidigare har upprättats. För VPN-anslutningar använder snabb återanslutning IKEv2-teknik för att tillhandahålla sömlös och konsekvent VPN-anslutning när användare tillfälligt förlorar sina Internetanslutningar. Den här funktionen är särskilt användbar för användare som ansluter via trådlöst mobilt bredband eftersom snabb återanslutning automatiskt återställer aktiva VPN-anslutningar sömlöst och transparent till användarna när en Internetanslutning sjunker.
Koppla från om servern inte presenterar TLV för kryptobindning	RequireCryptoBinding	Anger att anslutande klienter måste avsluta nätverksautentiseringsprocessen om RADIUS-servern inte presenterar kryptobindning Type-Length-Value (TLV). Kryptobindning TLV är en säkerhetsfunktion som förbättrar säkerheten för TLS-tunneln i PEAP. Den gör detta genom att kombinera de inre och yttre metodautentiseringarna, vilket gör det svårt för angripare att utföra man-in-the-middle-attacker genom att omdirigera en MS-CHAP v2-autentisering via PEAP-kanalen.
Aktivera identitetsskydd	IdentityPrivacy>EnableIdentityPrivacy/AnonymousUserName	Anger att klienter är konfigurerade så att de inte kan skicka sin identitet innan klienten har autentiserat RADIUS-servern, och om så önskas finns en plats där ett anonymt identitetsvärde kan anges. Om du väljer Aktivera identitetsskydd och sedan skriver `anonymous` som värde för anonym identitet blir `alice@example`identitetssvaret för en användare med identitet`anonymous@example`. Om du väljer Aktivera identitetsskydd men inte anger ett värde för anonym identitet blir `alice@example`identitetssvaret för användaren `@example` .

Inställningarna för EAP-TTLS i användargränssnittet mappas till EapTtlsConnectionPropertiesV1.

Setting	XML element	Description
Aktivera identitetsskydd	Phase1Identity> IdentityPrivacy> AnonymousIdentity	Anger att klienter är konfigurerade så att de inte kan skicka sin identitet innan klienten har autentiserat RADIUS-servern, och om så önskas finns en plats där ett anonymt identitetsvärde kan anges. Om du väljer Aktivera identitetsskydd och sedan skriver `anonymous` som värde för anonym identitet blir `alice@example`identitetssvaret för en användare med identitet`anonymous@example`. Om du väljer Aktivera identitetsskydd men inte anger ett värde för anonym identitet blir `alice@example`identitetssvaret för användaren `@example` .
Alternativ för servervalidering
Välj en icke-EAP-metod för autentisering	Fas2Authentication> Något av följande: PAPAuthentication CHAPAuthentication MSCHAPAuthentication MSCHAPv2Authentication	Anger om en icke-EAP-typ eller en EAP-typ används för autentisering. Om Välj en icke-EAP-metod för autentisering är markerat är Välj en EAP-metod för autentisering inaktiverat. Följande är de tillgängliga autentiseringsalternativen: 1. Okrypterat lösenord (PAP) 2. Utmana Handshake Authentication Protocol (CHAP) 3. Microsoft CHAP (MS-CHAP) 4. Microsoft CHAP version 2 (MS-CHAP v2).
Använd mitt Windows-inloggningsnamn och lösenord automatiskt	UseWinlogonCredentials	Om det här objektet är aktiverat använder det autentiseringsuppgifter för Windows-inloggning och är endast tillgängligt om MS-CHAP v2 har valts i listrutan Välj en icke-EAP-metod för autentisering . Använd mitt Windows-inloggningsnamn och lösenord automatiskt är inaktiverat för autentiseringstyperna PAP, CHAP och MS-CHAP .
Välj en EAP-metod för autentisering	Fas2Authentication> EapHostConfig	Anger om en EAP-typ eller en icke-EAP-typ används för autentisering. Om Välj en EAP-metod för autentisering är markerat är Välj en icke-EAP-metod för autentisering inaktiverat. Följande är de tillgängliga autentiseringsalternativen: 1. Microsoft: Smart Card eller annat certifikat (EAP-TLS) 2. Microsoft: Säkrat lösenord (EAP-MSCHAP v2) Listrutan räknar upp alla EAP-metoder som är installerade på servern, förutom PEAP - och FAST-tunnelmetoder . EAP-typerna visas i den ordning som de identifieras av datorn.
Configure		Öppnar egenskapsdialogrutan för den angivna EAP-metoden.

TEAP-inställningarna i användargränssnittet mappar till EapTeapConnectionPropertiesV1. TEAP är tillgängligt från och med Windows 10 version 2004 (version 19041) och Windows Server 2022.

Setting	XML element	Description
Identitetssekretess	Phase1Identity > IdentitetSekretess > AnonymIdentitet	Anger att klienter är konfigurerade så att de inte kan skicka sin identitet innan klienten har autentiserat RADIUS-servern, och om så önskas finns en plats där ett anonymt identitetsvärde kan anges. Om du väljer Aktivera identitetsskydd och sedan skriver `anonymous` som värde för anonym identitet blir `alice@example`identitetssvaret för en användare med identitet`anonymous@example`. Om du väljer Aktivera identitetsskydd men inte anger ett värde för anonym identitet blir `alice@example`identitetssvaret för användaren `@example` .
Alternativ för servervalidering
Välj en {primär/sekundär} EAP-metod för autentisering	Phase2Authentication (> InnerMethodConfig > EapHostConfig)	Gör det möjligt för användaren att välja en primär/sekundär autentiseringsmetod mellan Microsoft: Smartkort eller annat certifikat (EAP-TLS) och Microsoft: Skyddat lösenord (EAP-MSCHAP v2). Det är tillåtet att ha vilken kombination av inre metoder som helst. Den inre metoden kan till exempel vara EAP-TLS med datorautentiseringsuppgifter, följt av EAP-TLS med användarautentiseringsuppgifter.
Configure		Om Microsoft: Smartkort eller annat certifikat (EAP-TLS) är markerat öppnas dialogrutan Egenskaper för smartkort eller annat certifikat . Om Microsoft: Skyddat lösenord (EAP-MSCHAP v2) är markerat blir kryssrutan Använd automatiskt mitt Windows-inloggningsnamn och lösenord (och eventuell domän) tillgänglig, vilket anger att det aktuella användarbaserade Windows-inloggningsnamnet och lösenordet används som autentiseringsuppgifter för nätverksautentisering.

Verifiering av servercertifikat

Många EAP-metoder innehåller ett alternativ för klienten att validera serverns certifikat. Om servercertifikatet inte verifieras kan klienten inte vara säker på att den kommunicerar med rätt server. Detta utsätter klienten för säkerhetsrisker, inklusive möjligheten att klienten omedvetet kan ansluta till ett falskt nätverk.

Note

Windows kräver att servercertifikatet har EKU för serverautentisering . Objektidentifieraren (OID) för denna EKU är 1.3.6.1.5.5.7.3.1.

I följande tabell visas de servervalideringsalternativ som gäller för varje EAP-metod. Windows 11 uppdaterade servervalideringslogik för att vara mer konsekvent. Mer information finns i Uppdaterad verifiering av servercertifikat i Windows 11. Om de står i konflikt beskriver beskrivningarna i följande tabell beteendet för Windows 10 och tidigare.

Setting	XML element	Description
Verifiera serverns identitet genom att validera certifikatet	EAP-TLS: PerformServerValidation PEAP: PerformServerValidation	Det här objektet anger att klienten verifierar att servercertifikat som presenteras för klientdatorn har: Rätt signaturer Signaturerna har inte upphört att gälla Utfärdades av en betrodd rotcertifikatsmyndighet (CA) Om du inaktiverar den här kryssrutan kommer klientdatorerna inte att kunna verifiera servrarnas identitet under autentiseringsprocessen. Om serverautentisering inte sker utsätts användarna för allvarliga säkerhetsrisker, inklusive möjligheten att användare omedvetet kan ansluta till ett falskt nätverk.
Anslut till dessa servrar	EAP-TLS: ServerValidation>ServerNames PEAP: ServerValidation>ServerNames EAP-TTLS: ServerValidation> ServerNames TEAP: ServerValidation> ServerNames	Gör att du kan ange namnet på RADIUS-servrar (Remote Authentication Dial-In User Service) som tillhandahåller nätverksautentisering och auktorisering. Du måste ange namnet exakt som det visas i ämnesfältet för varje RADIUS-servercertifikat eller använda reguljära uttryck (regex) för att ange servernamnet. Den fullständiga syntaxen för det reguljära uttrycket kan användas för att ange servernamnet, men om du vill skilja ett reguljärt uttryck från den literala strängen måste du använda minst ett i den angivna strängen `` . Du kan till exempel ange `nps.\.example\.com` att RADIUS-servern `nps1.example.com` ska anges eller `nps2.example.com`. Du kan också inkludera en `;` för att separera flera servrar. Om inga RADIUS-servrar anges verifierar klienten endast att RADIUS-servercertifikatet har utfärdats av en betrodd rotcertifikatutfärdare.
Betrodda rotcertifikatutfärdare	EAP-TLS: ServerValidation>TrustedRootCA PEAP: ServerValidation>TrustedRootCA EAP-TTLS: ServerValidation> TrustedRootCAHashes TEAP: ServerValidation> TrustedRootCAHashes	Visar en lista över betrodda rotcertifikatutfärdare. Listan skapas av de betrodda rotcertifikatutfärdare som är installerade på datorn och i användarnas certifikatarkiv. Du kan ange vilka betrodda rotcertifikatutfärdarcertifikat som supplikanter använder för att avgöra om de litar på dina servrar, till exempel din server som kör NPS (Network Policy Server) eller din provisioneringsserver. Om inga betrodda rotcertifikatutfärdare har valts verifierar 802.1X-klienten att RADIUS-serverns datorcertifikat utfärdas av en installerad betrodd rotcertifikatutfärdare. Om en eller flera betrodda rotcertifikatutfärdare har valts verifierar 802.1X-klienten att RADIUS-serverns datorcertifikat utfärdas av en vald betrodd rotcertifikatutfärdare. Om inga betrodda rotcertifikatutfärdare har valts verifierar klienten att RADIUS-servercertifikatet har utfärdats av en betrodd rotcertifikatutfärdare. Om du har en PKI (Public Key Infrastructure) i nätverket och använder certifikatutfärdaren för att utfärda certifikat till RADIUS-servrarna, läggs certifikatutfärdarcertifikatet automatiskt till i listan över betrodda rotcertifikatutfärdare. Du kan också köpa ett CA-certifikat från en leverantör som inte kommer från Microsoft. Vissa betrodda rotcertifikatutfärdare som inte kommer från Microsoft tillhandahåller programvara med ditt köpta certifikat som automatiskt installerar det köpta certifikatet i certifikatarkivet för betrodda rotcertifikatutfärdare . I det här fallet visas den betrodda rotcertifikatutfärdaren automatiskt i listan över betrodda rotcertifikatutfärdare. Ange inte ett certifikat för betrodd rotcertifikatutfärdare som inte redan finns med i klientdatorernas certifikatarkiv Betrodda rotcertifikatutfärdare för aktuell användare och lokal dator. Om du anger ett certifikat som inte är installerat på klientdatorer misslyckas autentiseringen. I XML är detta SHA-1-tumavtrycket (hashen) för certifikatet (eller SHA-256 för TEAP).

Användarprompt för servervalidering

I följande tabell beskrivs tillgängliga alternativ för användarprompt för serververifiering för varje EAP-metod. När ett servercertifikat inte är betrott avgör dessa alternativ om:

Anslutningen misslyckas omedelbart.
Användaren uppmanas att acceptera eller avvisa anslutningen manuellt.

Setting	XML element
Uppmana inte användaren att auktorisera nya servrar eller betrodda certifikatutfärdare	ServerValidation>DisableUserPromptForServerValidation

Förhindrar att användaren uppmanas att lita på ett servercertifikat om certifikatet är felaktigt konfigurerat, inte redan är betrott eller både och (om det är aktiverat). För att förenkla användarupplevelsen och förhindra att användare av misstag litar på en server som distribueras av en angripare rekommenderar vi att du markerar den här kryssrutan.

Setting	XML element
Meddelanden innan du ansluter	ServerValidation> 1. DisableUserPromptForServerValidation=`true` 2. DisableUserPromptForServerValidation=`false` 3. DisableUserPromptForServerValidation=`false`, PeapExtensionsV2>AllowPromptingWhenServerCANotFound

Anger om användaren meddelas om servernamnet eller rotcertifikatet inte har angetts, eller om serverns identitet inte kan verifieras. Här är de tillgängliga alternativen att välja mellan och vad var och en anger:

Be inte användaren att auktorisera nya servrar eller betrodda certifikatutfärdare – Om servernamnet inte finns i listan Anslut till dessa servrar eller om rotcertifikatet hittas men inte är markerat i listan över betrodda rotcertifikatutfärdare i PEAP-egenskaper, eller om rotcertifikatet inte hittas på datorn, meddelas inte användaren och anslutningsförsök misslyckas.
Tala om för användaren om servernamnet eller rotcertifikatet inte har angetts – Om servernamnet inte finns i listan Anslut till dessa servrar , eller om rotcertifikatet hittas men inte är markerat i listan över betrodda rotcertifikatutfärdare i PEAP-egenskaper, tillfrågas användaren om rotcertifikatet ska accepteras. Om användaren accepterar certifikatet fortsätter autentiseringen. Om användaren avvisar certifikatet misslyckas anslutningsförsöket. Med det här alternativet, om rotcertifikatet inte finns på datorn, meddelas inte användaren och anslutningsförsöket misslyckas.
Meddela användaren om serverns identitet inte kan verifieras – Om servernamnet inte finns i listan Anslut till dessa servrar , eller om rotcertifikatet hittas men inte är markerat i listan över betrodda rotcertifikatutfärdare i PEAP-egenskaper eller om rotcertifikatet inte hittas på datorn , uppmanas användaren att acceptera rotcertifikatet. Om användaren accepterar certifikatet fortsätter autentiseringen. Om användaren avvisar certifikatet misslyckas anslutningsförsöket.

Setting	XML element
Fråga inte användaren om det inte går att auktorisera servern	ServerValidation> DisableUserPromptForServerValidation

Om det här alternativet inte är markerat och verifieringen av servercertifikat misslyckas av någon av följande orsaker uppmanas användaren att acceptera eller avvisa servern:

Det går inte att hitta ett rotcertifikat för servercertifikatet eller så har det inte valts i listan Betrodda rotcertifikatutfärdare .
Det går inte att hitta ett eller flera av de mellanliggande rotcertifikaten i certifikatkedjan.
Ämnesnamnet i servercertifikatet matchar inte någon av de servrar som anges i listan Anslut till dessa servrar .

Setting	XML element
Fråga inte användaren om det inte går att auktorisera servern	ServerValidation>DisablePrompt

Om det här alternativet inte är markerat och verifieringen av servercertifikat misslyckas av någon av följande orsaker uppmanas användaren att acceptera eller avvisa servern:

Det går inte att hitta ett rotcertifikat för servercertifikatet eller så har det inte valts i listan Betrodda rotcertifikatutfärdare .
Det går inte att hitta ett eller flera av de mellanliggande rotcertifikaten i certifikatkedjan.
Ämnesnamnet i servercertifikatet matchar inte någon av de servrar som anges i listan Anslut till dessa servrar .

Konfigurationsinställningar för mobilautentisering

Följande listar konfigurationsinställningarna för EAP-SIM, EPA-AKA respektive EPA-AKA.

EAP-SIM definieras i RFC 4186. EAP Subscriber Identity Module (SIM) används för autentisering och distribution av sessionsnycklar med hjälp av 2:a generationens mobilnätverk Global System for Mobile Communications (GSM) Subscriber Identity Module (SIM).

Inställningarna för EAP-SIM i användargränssnittet mappas till EapSimConnectionPropertiesV1.

Item	XML element	Description
Använd starka chiffernycklar	UseStrongCipherKeys	Anger att om du väljer det här alternativet använder profilen stark kryptering.
Avslöja inte den riktiga identiteten för servern när pseudonymidentiteten är tillgänglig	DontRevealPermanentID	När det här alternativet är aktiverat tvingas klienten att misslyckas med autentiseringen om servern begär permanent identitet trots att klienten har en pseudonym identitet med sig. Pseudonyma identiteter används för identitetssekretess så att en användares faktiska eller permanenta identitet inte avslöjas under autentiseringen.
	ProviderName	Endast tillgängligt i XML, en sträng som anger det providernamn som tillåts för autentisering.
Aktivera användning av sfärer	Rike=`true`	Här kan du skriva in sfärens namn. Om det här fältet lämnas tomt med Aktivera användning av sfärer markerat, härleds sfären från IMSI (International Mobile Subscriber Identity) med hjälp av sfären 3gpp.org, enligt beskrivningen i 3GPP-standarden (3rd Generation Partnership Project) 23.003 V6.8.0.
Ange en sfär	Realm	Här kan du skriva in namnet på en sfär. Om Aktivera användning av sfärer är aktiverat används den här strängen. Om det här fältet är tomt används den härledda sfären.

EAP-AKA definieras i RFC 4187. EAP-autentiserings- och nyckelavtal (AKA) används för autentisering och distribution av sessionsnycklar med hjälp av AKA-mekanismen. AKA används i 3:e generationens mobilnät, Universal Mobile Telecommunications System (UMTS) och CDMA2000. AKA baseras på symmetriska nycklar och körs vanligtvis i en SIM-modul (Subscriber Identity Module).

De EAP-AKA inställningarna i användargränssnittskartan till EapAkaConnectionPropertiesV1.

Item	XML element	Description
Avslöja inte den riktiga identiteten för servern när pseudonymidentiteten är tillgänglig	DontRevealPermanentID	När det här alternativet är aktiverat tvingas klienten att misslyckas med autentiseringen om servern begär permanent identitet trots att klienten har en pseudonym identitet med sig. Pseudonyma identiteter används för identitetssekretess så att en användares faktiska eller permanenta identitet inte avslöjas under autentiseringen.
	ProviderName	Endast tillgängligt i XML, en sträng som anger det providernamn som tillåts för autentisering.
Aktivera användning av sfärer	Rike=`true`	Här kan du skriva in sfärens namn. Om det här fältet lämnas tomt med Aktivera användning av sfärer markerat, härleds sfären från IMSI (International Mobile Subscriber Identity) med hjälp av sfären 3gpp.org, enligt beskrivningen i 3GPP-standarden (3rd Generation Partnership Project) 23.003 V6.8.0.
Ange en sfär	Realm	Här kan du skriva in namnet på en sfär. Om Aktivera användning av sfärer är aktiverat används den här strängen. Om det här fältet är tomt används den härledda sfären.

EAP-AKA definieras i RFC 5448 och RFC 9048. EAP-AKA Prime (AKA') är en modifierad version av EAP-AKA som lägger till en ny nyckelhärledningsfunktion för att underlätta åtkomsten till 3GPP-baserade nätverk (3rd-Generation Partnership Project) genom att använda icke-3GPP-standarder, till exempel:

Wi-Fi
Evolution-Data Optimerad (EVDO)
Världsomspännande interoperabilitet för mikrovågsåtkomst (WiMax)

EAP-AKA-inställningarna i användargränssnittskartan till EapAkaPrimeConnectionPropertiesV1.

Item	XML element	Description
Avslöja inte den riktiga identiteten för servern när pseudonymidentiteten är tillgänglig	DontRevealPermanentID	När det här alternativet är aktiverat tvingas klienten att misslyckas med autentiseringen om servern begär permanent identitet trots att klienten har en pseudonym identitet med sig. Pseudonyma identiteter används för identitetssekretess så att en användares faktiska eller permanenta identitet inte avslöjas under autentiseringen.
	ProviderName	Endast tillgängligt i XML, en sträng som anger det providernamn som tillåts för autentisering.
Aktivera användning av sfärer	Rike=`true`	Här kan du skriva in sfärens namn. Om det här fältet lämnas tomt med Aktivera användning av sfärer markerat, härleds sfären från IMSI (International Mobile Subscriber Identity) med hjälp av sfären 3gpp.org, enligt beskrivningen i 3GPP-standarden (3rd Generation Partnership Project) 23.003 V6.8.0.
Ange en sfär	Realm	Här kan du skriva in namnet på en sfär. Om Aktivera användning av sfärer är aktiverat används den här strängen. Om det här fältet är tomt används den härledda sfären.
Ignorera matchningsfel för nätverksnamn	IgnoreNetworkNameMismatch	Klienten jämför namnet på det nätverk som den känner till med det namn som skickas av RADIUS-servern under autentiseringen. Om det finns ett matchningsfel ignoreras det om det här alternativet är markerat. Om du inte väljer det här alternativet misslyckas autentiseringen.
Aktivera snabb omautentisering	EnableFastReauth	Anger att snabb omautentisering är aktiverad. Snabb omautentisering är användbart när SIM-autentisering sker ofta. Krypteringsnycklarna som härleds från fullständig autentisering återanvänds. Det innebär att SIM-algoritmen inte behöver köras för varje autentiseringsförsök, och antalet nätverksåtgärder som är resultatet av frekventa autentiseringsförsök minskar.

WPA3-Enterprise 192-bitarsläge

WPA3-Enterprise 192-bitarsläge är ett speciellt läge för WPA3-Enterprise som ställer vissa höga säkerhetskrav på den trådlösa anslutningen för att ge minst 192 bitars säkerhet. Dessa krav överensstämmer med Commercial National Security Algorithm (CNSA) Suite, CNSSP 15, som är en uppsättning kryptografiska algoritmer som är godkända för att skydda klassificerad och topphemlig information av USA:s National Security Agency (NSA). 192-bitarsläge kan ibland kallas "Suite B-läge", vilket är en referens till NSA Suite B Cryptography-specifikationen, som ersattes av CNSA 2016.

Både WPA3-Enterprise- och WPA3-Enterprise 192-bitarsläge är tillgängliga från och med Windows 10 version 2004 (version 19041) och Windows Server 2022. WPA3-Enterprise pekades dock ut som en separat autentiseringsalgoritm i Windows 11. I XML anges detta i elementet authEncryption .

I följande tabell visas de algoritmer som krävs av CNSA Suite.

Algorithm	Description	Parameters
Avancerad krypteringsstandard (AES)	Symmetriskt blockchiffer som används för kryptering	256-bitars nyckel (AES-256)
Utbyte av ECDH-nycklar för elliptisk kurva Diffie-Hellman	Asymmetrisk algoritm som används för att upprätta en delad hemlighet (nyckel)	384-bitars primtalsmodulkurva (P-384)
Elliptisk kurva digital signaturalgoritm (ECDSA)	Asymmetrisk algoritm som används för digitala signaturer	384-bitars primtalsmodulkurva (P-384)
Säker Hashalgoritm (SHA)	Kryptografisk hash-funktion	SHA-384
Utbyte av Diffie-Hellman (DH) nycklar	Asymmetrisk algoritm som används för att upprätta en delad hemlighet (nyckel)	3072-bitars modulus
Rivest-Shamir-Adleman (RSA)	Asymmetrisk algoritm som används för digitala signaturer eller nyckeletablering	3072-bitars modulus

För att uppfylla CNSA-kraven kräver WPA3-Enterprise 192-bitarsläge användning av EAP-TLS med dessa begränsade chiffersviter:

TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
- ECDHE och ECDSA med 384-bitars primtalsmodulkurva P-384
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 / TLS_DHE_RSA_AES_256_GCM_SHA384
- ECDHE med hjälp av 384-bitars primtalsmodulkurvan P-384
- RSA >= 3072-bitars modul

Note

P-384 är också känd som secp384r1 or nistp384. Andra elliptiska kurvor, till exempel P-521, är inte tillåtna.

SHA-384 ingår i SHA-2-familjen av hashfunktioner. Andra algoritmer och varianter, till exempel SHA-512 eller SHA3-384, är inte tillåtna.

Windows stöder endast sviterna TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 och TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 chiffer för WPA3-Enterprise 192-bitarsläge. Chiffersviten TLS_DHE_RSA_AES_256_GCM_SHA384 stöds inte.

TLS 1.3 använder nya förenklade TLS-sviter, som endast TLS_AES_256_GCM_SHA384 är kompatibla med WPA3-Enterprise 192-bitarsläge. Eftersom TLS 1.3 kräver (EC)DHE och tillåter ECDSA- eller RSA-certifikat, tillsammans med AES-256 AEAD- och SHA384-hash TLS_AES_256_GCM_SHA384 , motsvarar TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 och TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384. RFC 8446 kräver dock att TLS 1.3-kompatibla program stöder P-256, vilket är förbjudet av CNSA. Därför kan WPA3-Enterprise 192-bitarsläge inte vara helt kompatibelt med TLS 1.3. Det finns dock inga kända interoperabilitetsproblem med TLS 1.3 och WPA3-Enterprise 192-bitarsläge.

Om du vill konfigurera ett nätverk för WPA3-Enterprise 192-bitarsläge EAP-TLS måste Windows användas med ett certifikat som uppfyller de krav som beskrivits tidigare i Windows.

Se även

Feedback

Var den här sidan till hjälp?

Dela via

EAP (Extensible Authentication Protocol) för nätverksåtkomst

Autentiseringsmetoder

Konfigurera EAP-egenskaper

XML-profiler för EAP

Säkerhetsinställningar

Avancerade säkerhetsinställningar > IEEE 802.1X

Avancerade säkerhetsinställningar > Enkel inloggning

Konfigurationsinställningar för autentiseringsmetod

Verifiering av servercertifikat

Användarprompt för servervalidering

Konfigurationsinställningar för mobilautentisering

WPA3-Enterprise 192-bitarsläge

Se även

Feedback

Ytterligare resurser