Windows 中网络访问的可扩展身份验证协议 (EAP)-世界杯第一场比赛-世界杯热身赛_世界杯赛程

可扩展身份验证协议 (EAP) 是一种身份验证框架，允许对安全网络访问技术使用不同的身份验证方法。这些技术的示例包括使用 IEEE 802.1X 的无线访问、使用 IEEE 802.1X 的有线访问，以及诸如虚拟专用网络 (VPN) 的点到点协议 (PPP) 连接。 EAP 不是具体的认证方法，如 MS-CHAP v2，而是一个框架，使网络供应商能开发并安装新的认证方法，即访问客户端和认证服务器上的 EAP 方法。 EAP 框架最初由 RFC 3748 定义，并扩展了各种其他 RFC 和标准。

身份验证方法

在隧道 EAP 方法中使用的 EAP 身份验证方法通常称为内部方法或 EAP 类型。设置为内部方法的方法的配置设置与用作外部方法时的配置设置相同。本文包含 EAP 中下列身份验证方法特定的配置信息。

EAP-传输层安全性 (EAP-TLS)：基于标准的 EAP 方法，它使用 TLS 和证书进行相互身份验证。在 Windows 中显示为“智能卡或其他证书 (EAP-TLS)”。 EAP-TLS 可以部署为另一个 EAP 方法的内部方法，也可以部署为独立的 EAP 方法。

Tip

使用 EAP-TLS（基于证书）的 EAP 方法通常提供最高级别的安全性。例如对于 WPA3-Enterprise 192 位模式，EAP-TLS 是唯一允许的 EAP 方法。

EAP-Microsoft 质询握手身份验证协议版本 2 (EAP-MSCHAP v2)：Microsoft 定义的 EAP 方法，该方法封装 MSCHAP v2 身份验证协议，并使用用户名和密码进行身份验证。在 Windows 中显示为“安全密码 (EAP-MSCHAP v2)”。 EAP-MSCHAPv2 可用作 VPN 的独立方法，但只能用作有线/无线连接的内部方法。

Warning

基于 MSCHAPv2 的连接受到与 NTLMv1 类似的攻击。 Windows 11 企业版 22H2（版本 22621）启用了 Windows Defender 凭据保护，可能导致基于 MSCHAPv2 的连接出现问题。

受保护的 EAP (PEAP)：Microsoft 定义的 EAP 方法，用于在 TLS 隧道中封装 EAP。 TLS 隧道保证内部 EAP 方法的安全，否则该方法可能不受保护。 Windows 支持 EAP-TLS 和 EAP-MSCHAP v2 作为内部方法。

EAP 隧道传输层安全（EAP-TTLS）：由 RFC 5281 描述，封装了使用另一内层认证机制执行相互认证的 TLS 会话。此内部方法可以是 EAP 协议（如 EAP-MSCHAP v2），也可以是非 EAP 协议（如密码验证协议 (PAP)）。在 Windows Server 2012 中，只支持在客户端包含 EAP-TTLS（在 Windows 8 中）。 NPS 目前不支持 EAP-TTLS。有了此客户端支持，可与支持 EAP-TTLS 的常见部署 RADIUS 服务器进行互操作。

EAP 订户身份模块（EAP-SIM）、EAP 认证和密钥协商（EAP-AKA）及 EAP-AKA Prime（EAP-AKA’）：由多个 RFC 描述，利用 SIM 卡进行认证，适用于客户从移动网络运营商购买无线宽带服务计划时的实现。在该计划中，客户通常会收到一个针对 SIM 身份验证进行了预配置的无线配置文件。

隧道 EAP（TEAP）：由 RFC 7170 描述的隧道 EAP 方法，建立安全的 TLS 隧道，并在隧道内执行其他 EAP 方法。支持 EAP 链接 - 在一个身份验证会话中对计算机和用户进行身份验证。在 Windows Server 2022 中，只支持在客户端包含 TEAP（Windows 10 版本 2004 内部版本 19041）。 NPS 目前不支持 TEAP。有了此客户端支持，可与支持 TEAP 的常见部署 RADIUS 服务器进行互操作。 Windows 支持 EAP-TLS 和 EAP-MSCHAP v2 作为内部方法。

下表列出了一些常见的 EAP 方法及其 IANA 分配的方法类型编号。

EAP 方法

IANA 分配的类型编号

本机 Windows 支持

MD5-Challenge（EAP-MD5）

❌

一次性密码 (EAP-OTP)

❌

通用令牌卡 (EAP-GTC)

❌

EAP-TLS

✅

EAP-SIM

✅

EAP-TTLS

✅

EAP-AKA

✅

PEAP

✅

EAP-MSCHAP v2

✅

受保护的一次性密码 (EAP-POTP)

❌

EAP-FAST

❌

预共享密钥 (EAP-PSK)

❌

EAP-IKEv2

❌

EAP-AKA'

✅

EAP-EKE

❌

TEAP

✅

EAP-NOOB

❌

配置 EAP 属性

你可以通过下列方式访问经过 802.1X 验证的有线和无线访问的 EAP 属性：

在组策略中配置有线网络 (IEEE 802.3) 策略和无线网络 (IEEE 802.11) 策略扩展。

计算机配置>政策>Windows 设置>安全设置

使用移动设备管理（MDM）软件，例如 Intune（Wi-Fi/有线）

Wi-Fi CSP

WiredNetwork CSP

在客户端计算机上手动配置有线或无线连接。

你可以通过下列方式访问虚拟专用网 (VPN) 连接的 EAP 属性：

使用移动设备管理（MDM）软件，例如 Intune

VPNv2 CSP

VPN 配置文件选项

在客户端计算机上手动配置 VPN 连接。

使用连接管理器管理工具包 (CMAK) 配置 VPN 连接。

有关配置 EAP 属性的详细信息，请参阅在 Windows 中配置 EAP 配置文件和设置。

EAP 的 XML 配置文件

用于不同连接类型的配置文件是 XML 文件，其中包含该连接的配置选项。每个不同的连接类型都遵循一个特定的架构：

Wi-Fi (WLAN) 配置文件

有线网络（以太网）配置文件

VPN 配置文件

但是，当配置为使用 EAP 时，每个配置文件架构都有一个子元素 EapHostConfig 元素。

有线/无线： EapHostConfig 是 EAPConfig 元素的子元素。

MSM > 安全性（有线/无线）>OneX> EAPConfig

VPN：EapHostConfig 是 NativeProfile > 身份验证 > Eap > 配置的子元素

此配置语法在以下规范中定义：组策略：无线/有线协议扩展。

Note

各种配置 GUI 并不总是显示每个在技术上可能的选项。例如，Windows Server 2019 及更早版本无法在 UI 中配置 TEAP。但通常可以导入之前配置好的现有 XML 配置文件。

本文余下部分旨在提供组策略/控制面板 UI 中 EAP 相关部分与 XML 配置选项之间的映射，并描述各设置。

有关配置 XML 配置文件的详细信息，请参阅 XML 配置文件。有关使用包含 EAP 设置的 XML 配置文件的示例，请参阅通过网站预配 Wi-Fi 配置文件。

安全设置

下表说明了使用 802.1X 的配置文件的可配置安全设置。这些设置映射到 OneX。

Setting

XML 元素

Description

选择网络身份验证方法：

EAPConfig

允许选择用于身份验证的 EAP 方法。请参阅身份验证方法配置设置和手机网络身份验证配置设置

属性

打开所选 EAP 方法的属性对话框。

身份验证模式

authMode

指定用于身份验证的凭据的类型。支持以下值：1. 用户或计算机身份验证2. 计算机身份验证3. 用户身份验证4. 来宾身份验证此上下文中的“Computer”在其他引用中表示“Machine”。

machineOrUser 是 Windows 中的默认值。

最大身份验证失败次数

maxAuthFailures

指定一组凭据允许的最大身份验证失败次数，默认为 1。

缓存用户信息，以便后续连接到此网络

cacheUserData

指定是否应缓存用户的凭据以便后续连接到同一网络，默认为 true。

高级安全设置 > IEEE 802.1X

如果选中“强制高级 802.1X 设置”，则以下所有设置都会被配置。如果未选中，则应用默认设置。在 XML 中，所有元素都是可选的，如果不存在，则使用默认值。

Setting

XML 元素

Description

最大 Eapol 启动消息数

maxStart

指定在请求方（Windows 客户端）假定不存在验证器之前，可以发送到验证器（RADIUS 服务器）的 EAPOL-Start 消息的最大数量，默认为 3。

启动时间（秒）

startPeriod

指定在发送 EAPOL-Start 消息以启动 802.1X 身份验证过程之前等待的时间段（以秒为单位），默认为 5。

持有时间（秒）

heldPeriod

指定在身份验证尝试失败后等待重新尝试身份验证的时间段（以秒为单位），默认为 1。

验证时间（秒）

authPeriod

指定在假定不存在验证器之前等待验证器（RADIUS 服务器）响应的时间段（以秒为单位），默认为 18。

Eapol-Start 消息

supplicantMode

指定用于 EAPOL-Start 消息的传输方法。支持以下值：1.不传输（inhibitTransmission）2. 传输 (includeLearning)3. 经 IEEE 802.1X 传输 (compliant)此上下文中的“Computer”在其他引用中表示“Machine”。

compliant 是 Windows 中的默认值，也是无线配置文件的唯一有效选项。

高级安全设置 > 单一登录

下表介绍了单一登录 (SSO)（以前称为登录前访问提供程序 (PLAP)）的设置。

Setting

XML 元素

Description

为此网络启用单一登录

singleSignOn

指定是否为此网络启用 SSO，默认为 false。如果网络未要求，请勿在配置文件中使用 singleSignOn。

用户登录前立即执行用户登录后立即执行

type

指定何时应执行 SSO - 用户登录之前或之后。

连接最大延迟（秒）

maxDelay

指定 SSO 尝试失败之前的最大延迟（以秒为单位），默认为 10。

允许在单一登录期间显示其他对话框

allowAdditionalDialogs

指定是否允许在 SSO 期间显示 EAP 对话框，默认为 false。

此网络使用不同的 VLAN，通过计算机和用户凭据进行身份验证

userBasedVirtualLan

指定设备使用的虚拟 LAN (VLAN) 是否根据用户的凭据更改，默认为 false。

身份验证方法配置设置

Caution

如果网络访问服务器同时配置允许对隧道 EAP 方法（如 PEAP）和非隧道 EAP 方法（如 EAP-MSCHAP v2）使用相同认证方法，存在潜在安全漏洞。同时部署隧道 EAP 方法和 EAP（不受保护）时，请勿使用相同的身份验证类型。例如，如果部署 PEAP-TLS，请不要同时部署 EAP-TLS，因为若要求隧道保护，则允许该方法在隧道外执行毫无意义。

下表说明了每种身份验证方法的可配置设置。

EAP-TLS

PEAP

EAP-TTLS

TEAP

UI 中的 EAP-TLS 设置映射到 EapTlsConnectionPropertiesV1，该设置由 EapTlsConnectionPropertiesV2 和 EapTlsConnectionPropertiesV3 扩展。

Setting

XML 元素

Description

使用我的智能卡

CredentialsSource>SmartCard

指定发出身份验证请求的客户端必须提供用于进行网络身份验证的智能卡证书。

在此计算机上使用证书

CredentialsSource>CertificateStore

指定进行身份验证的客户端必须使用位于“当前用户” 或“本地计算机” 证书存储中的证书。

使用简单证书选择（推荐）

SimpleCertSelection

指定 Windows 是否自动选择证书进行认证（如果可能）或是否显示下拉列表供用户选择证书。

Advanced

打开“配置证书选择”对话框。

服务器验证选项

为此连接使用一个不同的用户名

DifferentUsername

指定是否使用与证书中用户名不同的用户名进行身份验证。

下面列出了“配置证书选择”的配置设置。这些设置定义了客户端用于选择相应证书进行身份验证的条件。此 UI 映射到 TLSExtensions>FilteringInfo。

Setting

XML 元素

Description

证书颁发者

CAHashListEnabled="true"

指定是否启用证书颁发者筛选。如果同时启用了证书颁发者和扩展密钥用法（EKU），则只有满足这两个条件的证书才被视为对客户端进行身份验证到服务器的有效证书。

根证书颁发机构

IssuerHash

列出满足以下条件的所有颁发者的名称：本地计算机帐户的“受信任的根证书颁发机构”或“中间证书颁发机构”证书存储中存在与这些颁发者对应的证书颁发机构 (CA) 证书。这包括：所有根证书颁发机构和中间证书颁发机构。只包含那些在计算机中存在相应有效证书（例如未过期或未吊销的证书）的颁发者。经允许可用于身份验证的证书的最终列表仅包含那些由该列表中选定的任何颁发者所颁发的证书。在 XML 中，这是证书的 SHA-1 指纹（哈希）。

扩展密钥用法 (EKU)

允许你选择 “所有用途”、“ 客户端身份验证”、“ AnyPurpose”或所有这些组合。指定当选中了某个组合时，所有符合这三个条件中至少一个条件的证书都被视为可用于向服务器对客户端进行身份验证的有效证书。如果启用 EKU 过滤，必须选择一项，否则扩展密钥用法（EKU）复选框将被取消选中。

所有用途

AllPurposeEnabled

选中此项后，此项指定将具有 “所有用途 EKU”的证书视为向服务器验证客户端的有效证书。

所有用途的对象标识符（OID）为0或为空。

客户端身份验证

ClientAuthEKUListEnabled="true" （> EKUMapInList > EKUName）

指定具有客户端身份验证 EKU 的证书以及指定的 EKU 列表被视为用于向服务器验证客户端的有效证书。

客户端身份验证的对象标识符（OID）为 1.3.6.1.5.5.7.3.2。

AnyPurpose

AnyPurposeEKUListEnabled="true" （> EKUMapInList > EKUName）

指定具有 AnyPurpose EKU 的所有证书和指定的 EKU 列表都被视为用于向服务器验证客户端的有效证书。

AnyPurpose 的对象标识符（OID）为 1.3.6.1.4.1.311.10.12.1.

Add

EKUMapping > EKUMap > EKUName/EKUOID

打开 “选择 EKU ”对话框，使你可以向客户端身份验证或 AnyPurpose 列表添加标准、自定义或供应商特定的 EKU。在“选择 EKU”对话框中选择“添加或编辑”将打开“添加/编辑 EKU”对话框，该对话框提供两个选项： 1. 输入 EKU 的名称 - 提供键入自定义 EKU 名称的位置。 2. 输入 EKU OID - 提供键入 EKU 的 OID 的位置。只允许使用数字、分隔符和 .。允许通配符（该情况下允许层次结构中的所有子 OID）。例如，输入 1.3.6.1.4.1.311.* 可表示 1.3.6.1.4.1.311.42 和 1.3.6.1.4.1.311.42.2.1。

Edit

允许编辑已添加的自定义 EKU。无法编辑默认的预定义 EKU。

Remove

从客户端身份验证或 AnyPurpose 列表中删除选定的 EKU。

UI 中的 PEAP 设置映射到 MsPeapConnectionPropertiesV1，由 MsPeapConnectionPropertiesV2 扩展。

Setting

XML 元素

Description

服务器验证选项

选择身份验证方法

允许你选择将何种 EAP 类型与 PEAP 结合使用以进行网络身份验证。有两种 EAP 类型可用：安全密码 (EAP-MSCHAP v2) 以及智能卡或其他证书 (EAP-TLS)。

Configure

EAP-MSCHAP v2： UseWinLogonCredentials EAP-TLS：请参阅 EAP-TLS 选项卡、架构

此项提供对指定 EAP 类型的属性设置的访问权限。如果选择“安全密码(EAP-MSCHAP v2)”，则“自动使用 Windows 登录名和密码(以及域，如果有的话)”复选框可用，该复选框指定将当前基于用户的 Windows 登录名和密码用作网络身份验证凭据。如果选择“智能卡或其他证书 (EAP-TLS)”，则会打开“智能卡或其他证书属性”对话框，以便进一步配置此 EAP 类型。

启用快速重新连接

FastReconnect

可实现在之前已建立安全关联的情况下更高效地或以更少的往返次数建立新的或刷新的安全关联。对于 VPN 连接，快速重新连接使用 IKEv2 技术在用户暂时失去 Internet 连接时提供无缝且一致的 VPN 连接。此功能对于通过无线移动宽带进行连接的用户特别有用，因为当 Internet 连接断开时，快速重新连接将自动无缝且透明地与用户重新建立活动 VPN 连接。

如果服务器没有显示加密绑定的 TLV，则断开连接

RequireCryptoBinding

指定如果 RADIUS 服务器没有显示加密绑定的类型-长度-值 (TLV)，则正在进行连接的客户端必须终止网络身份验证过程。加密绑定 TLV 是一项安全功能，可增强 PEAP 中 TLS 隧道的安全性。它通过组合内部和外部方法身份验证来执行此操作，使攻击者难以通过 PEAP 通道重定向 MS-CHAP v2 身份验证来执行中间人攻击。

启用标识隐私

IdentityPrivacy>EnableIdentityPrivacy/AnonymousUserName

指定对客户端进行配置，以便在客户端对 RADIUS 服务器进行验证之前无法发送其标识，并提供键入匿名标识值的位置（可选）。如果选择“启用标识隐私”，然后键入 anonymous 作为匿名标识值，则标识为 alice@example 的用户的标识响应为 anonymous@example。如果选择“启用标识隐私”，但未提供匿名标识值，则用户 alice@example 的标识响应为 @example。

UI 中的 EAP-TTLS 设置映射到 EapTtlsConnectionPropertiesV1。

Setting

XML 元素

Description

启用标识隐私

Phase1Identity>

IdentityPrivacy>

AnonymousIdentity

服务器验证选项

选择一个用于身份验证的非 EAP 方法

Phase2Authentication>

以下任何项：

PAPAuthentication

CHAPAuthentication

MSCHAPAuthentication

MSCHAPv2Authentication

指定是使用非 EAP 还是使用 EAP 类型进行身份验证。如果已选择“选择一个用于身份验证的非 EAP 方法”，则“选择一个用于身份验证的 EAP 方法”会被禁用。以下是可用的身份验证选项： 1.未加密的密码 (PAP) 2.质询握手身份验证协议 (CHAP) 3.Microsoft CHAP (MS-CHAP) 4. Microsoft CHAP 版本 2 (MS-CHAP v2)。

自动使用我的 Windows 登录名称和密码

UseWinlogonCredentials

如果启用，则此项使用 Windows 登录凭据，并且仅在“选择非 EAP 方法以进行身份验证”下拉列表中选择 MS-CHAP v2 时可用。对于 PAP、CHAP 和 MS-CHAP 身份验证类型，会禁用“自动使用我的 Windows 登录名称和密码”。

选择一个用于身份验证的 EAP 方法

Phase2Authentication>

EapHostConfig

指定是使用 EAP 类型还是非 EAP 类型进行身份验证。如果已选择“选择一个用于身份验证的 EAP 方法”，则“选择一个用于身份验证的非 EAP 方法”会被禁用。以下是可用的身份验证选项： 1.Microsoft：智能卡或其他证书 (EAP-TLS) 2. Microsoft: 安全密码 (EAP-MSCHAP v2) 下拉列表枚举服务器上安装的所有 EAP 方法， PEAP 和 FAST 隧道方法除外。 EAP 类型按照计算机发现它们的顺序排列。

Configure

打开指定 EAP 方法的属性对话框。

UI 中的 TEAP 设置映射到 EapTeapConnectionPropertiesV1。 TEAP 从 Windows 10 版本 2004（内部版本 19041）和 Windows Server 2022 开始可用。

Setting

XML 元素

Description

标识隐私

Phase1Identity > IdentityPrivacy > AnonymousIdentity

服务器验证选项

选择一个用于身份验证的{主要/辅助} EAP 方法

Phase2Authentication （> InnerMethodConfig > EapHostConfig）

允许用户在“Microsoft: 智能卡或其他证书 (EAP-TLS)”和“Microsoft: 安全密码 (EAP-MSCHAP v2)”之间选择主要/次要身份验证方法。允许任意组合使用内部方法。例如，内部方法可以是使用计算机凭据的 EAP-TLS，然后是使用用户凭据的 EAP-TLS。

Configure

如果选择“Microsoft: 智能卡或其他证书 (EAP-TLS)”，则会打开“智能卡或其他证书属性”对话框。如果选择“Microsoft: 安全密码 (EAP-MSCHAP v2)”，则“自动使用 Windows 登录名和密码（以及域，如果有的话）”复选框变为可用，该复选框指定将当前基于用户的 Windows 登录名和密码用作网络身份验证凭据。

服务器证书验证

许多 EAP 方法都包含客户端用于验证服务器证书的选项。如果未验证服务器证书，则客户端无法确定它是否与正确的服务器通信。这会使客户端面临安全风险，包括客户端可能在不知情的情况下连接到未授权网络。

Note

Windows 要求服务器证书具有服务器身份验证 EKU。此 EKU 的对象标识符 (OID) 为 1.3.6.1.5.5.7.3.1。

下表列出了适用于每个 EAP 方法的服务器验证选项。 Windows 11 更新了服务器验证逻辑，使其更一致。欲了解更多，请参见 Windows 11 中更新的服务器证书验证行为。如果它们发生冲突，下表中的说明将描述 Windows 10 及更早版本的行为。

Setting

XML 元素

Description

通过验证证书来验证服务器的标识

EAP-TLS:

PerformServerValidationPEAP:

PerformServerValidation

此项指定客户端验证呈现给客户端计算机的服务器证书具有：正确的签名签名未过期由受信任的根证书颁发机构 (CA) 颁发禁用此复选框会导致在身份验证过程中，客户端计算机无法验证服务器的标识。如果不进行服务器身份验证，用户将面临极大的安全风险，用户可能在不知情的情况下连接到未授权网络。

连接到这些服务器

EAP-TLS:

ServerValidation>ServerNamesPEAP:

ServerValidation>ServerNamesEAP-TTLS:

ServerValidation>

ServerNamesTEAP:

ServerValidation>

ServerNames

允许你为提供网络身份验证和授权的远程身份验证拨入用户服务 (RADIUS) 服务器指定名称。必须准确输入每个 RADIUS 服务器证书的主题字段中的名称，或使用正则表达式（regex）指定服务器名称。可以使用正则表达式的完整语法来指定服务器名称，但为了区分正则表达式和文本字符串，指定的字符串中必须至少使用一个 *。例如，可指定 nps.*\.example\.com 来指定 RADIUS 服务器 nps1.example.com 或 nps2.example.com。还可包含 ; 来分隔多个服务器。

如果未指定 RADIUS 服务器，客户端仅会验证 RADIUS 服务器证书是否由受信任的根 CA 颁发。

受信任的根证书颁发机构

EAP-TLS:

ServerValidation>TrustedRootCAPEAP:

ServerValidation>TrustedRootCAEAP-TTLS:

ServerValidation>

TrustedRootCAHashesTEAP:

ServerValidation>

TrustedRootCAHashes

列出受信任的根证书颁发机构。此列表是基于计算机和用户证书存储中安装的受信任的根 CA 生成的。你可以指定请求方使用哪些受信任的根 CA 证书来确定其是否信任你的服务器，如运行网络策略服务器 (NPS) 的服务器或配置服务器。如果未选择受信任的根证书颁发机构，802.1X 客户端会验证 RADIUS 服务器的计算机证书是否由已安装的受信任根证书颁发机构颁发。如果选择了一个或多个受信任的根证书颁发机构，802.1X 客户端会验证 RADIUS 服务器的计算机证书是否由选定的受信任根证书颁发机构颁发。

如果未选择受信任的根 CA，客户端会验证 RADIUS 服务器证书是否由任何受信任的根 CA 颁发。如果你的网络上有公钥基础结构 (PKI)，并且使用你的 CA 向 RADIUS 服务器颁发证书，则你的 CA 证书将自动添加到受信任的根 CA 列表中。你也可以从非 Microsoft 供应商购买 CA 证书。一些非 Microsoft 的受信任的根 CA 会随你所购买的证书一起提供软件，该软件可将所购买的证书自动安装到“受信任的根证书颁发机构”证书存储中。在此情况下，该受信任的根 CA 会自动出现在受信任的根 CA 列表中。请不要为“当前用户”和“本地计算机”指定客户端计算机的“受信任根证书颁发机构”证书存储中尚未列出的受信任根 CA 证书。如果指定的证书未安装在客户端计算机上，认证将失败。在 XML 中，这是证书的 SHA-1 指纹（哈希）（或 TEAP 的 SHA-256）。

服务器验证用户提示

下表描述了每种 EAP 方法可用的服务器验证用户提示选项。当服务器证书不受信任时，这些选项决定：

连接是否立即失败。

是否提示用户手动接受或拒绝连接。

EAP-TLS

PEAP

EAP-TTLS

TEAP

Setting

XML 元素

不提示用户对新服务器或受信任的证书颁发机构进行授权

ServerValidation>DisableUserPromptForServerValidation

当未正确配置和/或未信任服务器证书时，阻止提示用户信任该证书。为了简化用户体验并防止用户错误地信任攻击者部署的服务器，建议选中此复选框。

Setting

XML 元素

连接之前进行通知

ServerValidation> 1. DisableUserPromptForServerValidation=true 2. DisableUserPromptForServerValidation=false 3. DisableUserPromptForServerValidation=false、 PeapExtensionsV2>AllowPromptingWhenServerCANotFound

指定在未指定服务器名称或根证书的情况下是否通知用户，或服务器的标识是否无法验证。下面是可供选择的选项以及每个选项指定的内容：

不提示用户授权新服务器或受信任的根证书颁发机构——如果服务器名称不在“连接到这些服务器”列表中，或者根证书存在但未在 PEAP 属性的受信任根证书颁发机构列表中选中，或者计算机上找不到根证书，则用户不会收到通知，连接尝试失败。

如果未指定服务器名称或根证书则告诉用户 - 如果服务器名称不在“连接到这些服务器”列表中，或者已找到该根证书但未在“PEAP 属性”的“受信任的根证书颁发机构”列表中选择它，则系统会提示用户选择是否接受该根证书。如果用户接受该证书，则继续身份验证。如果用户拒绝该证书，则连接尝试失败。通过此选项，如果计算机上不存在该根证书，则不通知用户，且连接尝试失败。

如果无法验证服务器身份，则通知用户——如果服务器名称不在“连接到这些服务器”列表中，或者根证书存在但未在 PEAP 属性的受信任根证书颁发机构列表中选中，或者计算机上找不到根证书，则会提示用户是否接受该根证书。如果用户接受该证书，则继续身份验证。如果用户拒绝该证书，则连接尝试失败。

Setting

XML 元素

如果无法对服务器进行授权，请勿提示用户

ServerValidation>

DisableUserPromptForServerValidation

如果未选中此选项，且服务器证书验证因以下任一原因失败，则提示用户接受或拒绝服务器：

“受信任根证书颁发机构”列表中找不到或未选定服务器证书的根证书。

找不到证书链中的一个或多个中间根证书。

服务器证书中的使用者名称与“连接到这些服务器”列表中指定的任何服务器均不匹配。

Setting

XML 元素

如果无法对服务器进行授权，请勿提示用户

ServerValidation>DisablePrompt

如果未选中此选项，且服务器证书验证因以下任一原因失败，则提示用户接受或拒绝服务器：

“受信任根证书颁发机构”列表中找不到或未选定服务器证书的根证书。

找不到证书链中的一个或多个中间根证书。

服务器证书中的使用者名称与“连接到这些服务器”列表中指定的任何服务器均不匹配。

手机网络身份验证配置设置

下面分别列出了 EAP-SIM、EPA-AKA 和 EPA-AKA' 的配置设置。

EAP-SIM

EAP-AKA

EAP-AKA'

RFC 4186 中定义了 EAP-SIM。 EAP 用户识别模块 (SIM) 用于使用第二代移动网络全球移动通信系统 (GSM) 用户识别模块 (SIM) 的身份验证和会话密钥分发。

UI 中的 EAP-SIM 设置映射到 EapSimConnectionPropertiesV1。

Item

XML 元素

Description

使用强密码密钥

UseStrongCipherKeys

指定在选定时，配置文件使用强加密。

当伪标识可用时，请勿向服务器公开真实标识

DontRevealPermanentID

启用后，如果服务器请求永久标识，即使该客户端具有伪标识，也会强制客户端阻止身份验证。伪标识用于标识隐私，以防止在身份验证期间泄露用户的实际标识或永久标识。

ProviderName

仅在 XML 中可用，该字符串指示允许进行身份验证的提供程序名称。

启用领域的使用

领域=true

为键入领域名称留出空间。如果在选择了“启用领域的使用”时此字段被留空，则会按照第三代合作伙伴项目 (3GPP) 标准 23.003 V6.8.0 的说明，使用领域 3gpp.org 从国际移动用户识别码 (IMSI) 派生领域。

指定领域

Realm

提供键入领域名称的位置。如果已启用“启用领域的使用”，则使用此字符串。如果此字段为空，则使用派生领域。

RFC 4187 中定义了 EAP-AKA。 EAP 身份验证和密钥协议 (AKA) 用于使用 AKA 机制的身份验证和会话密钥分发。 AKA 用于第三代移动网络通用移动电信系统 (UMTS) 和 CDMA2000。 AKA 基于对称密钥，通常在用户识别模块 (SIM) 中运行。

UI 中的 EAP-AKA 设置映射到 EapAkaConnectionPropertiesV1。

Item

XML 元素

Description

当伪标识可用时，请勿向服务器公开真实标识

DontRevealPermanentID

ProviderName

仅在 XML 中可用，该字符串指示允许进行身份验证的提供程序名称。

启用领域的使用

领域=true

指定领域

Realm

提供键入领域名称的位置。如果已启用“启用领域的使用”，则使用此字符串。如果此字段为空，则使用派生领域。

EAP-AKA 在 RFC 5448 和 RFC 9048 中定义。 EAP-AKA Prime (AKA') 是修订版 EAP-AKA，其中增加了一个新的密钥派生功能，以便通过非 3GPP 标准访问基于第三代合作伙伴项目 (3GPP) 网络，例如：

Wi-Fi

演进数据优化 (EVDO)

全球互通微波存取 (WiMax)

UI 中的 EAP-AKA 设置映射到 EapAkaPrimeConnectionPropertiesV1。

Item

XML 元素

Description

当伪标识可用时，请勿向服务器公开真实标识

DontRevealPermanentID

ProviderName

仅在 XML 中可用，该字符串指示允许进行身份验证的提供程序名称。

启用领域的使用

领域=true

指定领域

Realm

提供键入领域名称的位置。如果已启用“启用领域的使用”，则使用此字符串。如果此字段为空，则使用派生领域。

忽略网络名称不匹配

IgnoreNetworkNameMismatch

在身份验证期间，客户端会将它已知的网络名称与 RADIUS 服务器发送的名称进行比较。如果不匹配，则选择此选项时会忽略它。如果未选中，则身份验证失败。

启用快速重新身份验证

EnableFastReauth

指定启用快速重新身份验证。如果经常发生 SIM 身份验证，则快速重新身份验证有用。会重复使用从完全身份验证派生的加密密钥。因此，不必在每次身份验证尝试时运行 SIM 算法，因经常性身份验证尝试所导致的网络操作次数会减少。

WPA3-Enterprise 192 位模式

WPA3-Enterprise 192 位模式是 WPA3-Enterprise 的一种特殊模式，它对无线连接强制实施某些高安全性要求，以提供至少 192 位的安全性。这些要求符合商用国家安全算法 (CNSA) 套件 CNSSP 15，后者是一组加密算法，已获美国国家安全局 (NSA) 批准用于保护机密和绝密信息。 192 位模式有时可称为“套件 B 模式”，这是对 NSA 套件 B 加密规范的引用，该规范于 2016 年被 CNSA 取代。

从 Windows 10 版本 2004（内部版本 19041）和 Windows Server 2022 开始，WPA3-Enterprise 和 WPA3-Enterprise 192 位模式均可用。然而，WPA3-Enterprise 在 Windows 11 中被挑选出来作为单独的认证算法。在 XML 中，这在 authEncryption 元素中指定。

下表列出了 CNSA 套件所需的算法。

Algorithm

Description

Parameters

高级加密标准 (AES)

用于加密的对称块密码

256 位密钥 (AES-256)

椭圆曲线 Diffie-Hellman (ECDH) 密钥交换

用于建立共享机密（密钥）的非对称算法

384 位素模曲线 (P-384)

椭圆曲线数字签名算法 (ECDSA)

用于数字签名的非对称算法

384 位素模曲线 (P-384)

安全哈希算法 (SHA)

加密哈希函数

SHA-384

Diffie-Hellman (DH) 密钥交换

用于建立共享机密（密钥）的非对称算法

3072 位模数

Rivest -Shamir-Adleman （RSA）

用于数字签名或密钥建立的非对称算法

3072 位模数

为了符合 CNSA 要求，WPA3-Enterprise 192 位模式会强制将 EAP-TLS 与以下受限密码套件结合使用：

TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

使用 384 位素模曲线 P-384 的 ECDHE 和 ECDSA

TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 / TLS_DHE_RSA_AES_256_GCM_SHA384

使用 384 位素模曲线 P-384 的 ECDHE

RSA >= 3072 位取模

Note

P-384 也称为 secp384r1 或 nistp384。不允许使用其他椭圆曲线，例如 P-521。

SHA-384 包含在 SHA-2 系列哈希函数中。不允许使用其他算法及变体，例如 SHA-512 或 SHA3-384。

Windows 仅支持 WPA3-Enterprise 192 位模式的 TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 和 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 密码套件。不支持 TLS_DHE_RSA_AES_256_GCM_SHA384 密码套件。

TLS 1.3 使用新的简化 TLS 套件，其中只有 TLS_AES_256_GCM_SHA384 与 WPA3-Enterprise 192 位模式兼容。由于 TLS 1.3 需要 (EC)DHE 并允许 ECDSA 或 RSA 证书，以及 AES-256 AEAD 和 SHA384 哈希，TLS_AES_256_GCM_SHA384 等同于 TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 和 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384。但是， RFC 8446 要求 TLS 1.3 兼容的应用程序支持 CNSA 禁止的 P-256。因此，WPA3-Enterprise 192 位模式不能完全符合 TLS 1.3。但是，TLS 1.3 和 WPA3-Enterprise 192 位模式不存在已知的互操作性问题。

若要为 WPA3-Enterprise 192 位模式配置网络，Windows 要求将 EAP-TLS 与满足上述要求的证书一起使用。

另请参阅

管理新无线网络 (IEEE 802.11) 策略设置

管理新的有线网络（IEEE 802.3）策略设置

有线和无线网络策略的高级安全设置