Freigeben über


Eigenschaften der EAP-Methode

Wird von Bittstellern und Authentifikatoren verwendet, um die EAP-Methoden zu bestimmen, die mit einem bestimmten Supplicant oder Authenticator verwendet werden sollen. Methodeneigenschaften geben auch die Konfiguration einer Methode an.

Beispielsweise kann das 802.1X-Supplicant methoden erfordern, dass bestimmte Eigenschaften für die Verwendung mit dem 802.1X-Supplicant vorhanden sind. Das Schlüsselmaterial ist beispielsweise eine Anforderung.

Die von EAP-Methoden unterstützten Eigenschaften werden aufgeführt. Eigenschaften werden als Registrierungsschlüsselwerte gespeichert. Weitere Informationen finden Sie im Abschnitt Registrierungsschlüssel für EAP-Peermethoden-DLL des Themas Registrierungskonfiguration für EAP-Methoden.

eapPropCipherSuiteNegotiation

0x00000001

Die -Methode ermöglicht es, die Verschlüsselungssammlung zum Zweck der Datenverschlüsselung auszuhandeln. Windows Server 2008 unterstützt die folgenden 3DES-Verschlüsselungssammlungen:

  • TLS_RSA_WITH_3DES_EDE_CBC_SHA (TLS & SSL 3)
  • TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA (TLS & SSL 3)
  • SSL_CK_DES_192_EDE3_CBC_WITH_MD5 (SSL 2, wenn aktiviert)

Weitere Informationen zum TLS 1.0-Sicherheitsprotokoll finden Sie unter RFC 2246.

eapPropMutualAuth

0x00000002

Die -Methode stellt einen Austausch bereit, bei dem der Authentifikator den Peer authentifiziert und umgekehrt.

eapPropIntegrity

0x00000004

Die -Methode bietet datenherkunftsauthentifizierung und Schutz vor nicht autorisierten Änderungen von Informationen für EAP-Pakete, einschließlich EAP-Anforderungen und -Antworten. Beim Erstellen dieses Anspruchs muss eine Methodenspezifikation die geschützten EAP-Pakete und geschützten Felder in EAP-Paketen angeben.

eapPropReplayProtection

0x00000008

Die -Methode kann vor der Wiedergabe einer EAP-Methode oder ihrer Nachrichten schützen. Erfolgs- und Fehlerergebnisse können nicht wiedergegeben werden.

eapPropConfidentiality

0x00000010

Die -Methode kann EAP-Nachrichten verschlüsseln. EAP-Anforderungen, EAP-Antworten, Erfolgsergebnisanzeigen und Fehlerergebnisanzeigen werden verschlüsselt. Eine Methode, die diesen Anspruch erhebt, muss den Identitätsschutz unterstützen.

eapPropKeyDerivation

0x00000020

Die -Methode kann exportierbares Schlüsselmaterial wie den Master Session Key (MSK) und den Erweiterten Mastersitzungsschlüssel (EMSK) ableiten. Der MSK wird nur für die weitere Schlüsselableitung verwendet, nicht direkt zum Schutz der EAP-Konversation oder der nachfolgenden Daten. Die Nutzung des EMSK ist reserviert.

eapPropKeyStrength64

0x00000040

Die von der EAP-Methode unterstützte Mindestschlüssellänge beträgt 64 Bit.

eapPropKeyStrength128

0x00000080

Die von der EAP-Methode unterstützte Mindestschlüssellänge beträgt 128 Bit.

eapPropKeyStrength256

0x00000100

Die von der EAP-Methode unterstützte Mindestschlüssellänge beträgt 256 Bits.

eapPropKeyStrength512

0x00000200

Die von der EAP-Methode unterstützte Mindestschlüssellänge beträgt 512 Bit.

eapPropKeyStrength1024

0x00000400

Die von der EAP-Methode unterstützte Mindestschlüssellänge beträgt 1024 Bits.

eapPropDictionaryAttackResistance

0x00000800

Die -Methode lässt keinen Offlineangriff zu, der einen Arbeitsfaktor hat, der auf der Anzahl der Kennwörter im Wörterbuch eines Angreifers basiert. Wenn die Kennwortauthentifizierung verwendet wird, werden Kennwörter häufig aus einer kleinen Gruppe (im Vergleich zu einer Reihe von N-Bit-Schlüsseln) ausgewählt, was zu Bedenken bei Wörterbuchangriffen führt. Eine Methode kann als Schutz vor Wörterbuchangriffen bezeichnet werden, wenn die Methode, wenn sie ein Kennwort als Geheimnis verwendet, keinen Offlineangriff zulässt, der einen Arbeitsfaktor hat, der auf der Anzahl der Kennwörter im Wörterbuch eines Angreifers basiert.

eapPropFastReconnect

0x00001000

Die -Methode hat die Möglichkeit, in fällen, in denen zuvor eine Sicherheitszuordnung eingerichtet wurde, eine neue oder aktualisierte Sicherheitszuordnung effizienter oder in einer kleineren Anzahl von Roundtrips zu erstellen.

eapPropCryptoBinding

0x00002000

Die -Methode zeigt dem EAP-Server, dass eine einzelne Entität als EAP-Peer für alle Methoden fungiert hat, die in einer Tunnelmethode ausgeführt werden. Bindung kann auch bedeuten, dass der EAP-Server dem Peer gegenüber demonstriert, dass eine einzelne Entität als EAP-Server für alle Methoden fungiert hat, die innerhalb einer Tunnelmethode ausgeführt werden. Bei ordnungsgemäßer Ausführung dient die Bindung dazu, Man-in-the-Middle-Sicherheitsrisiken zu mindern.

eapPropSessionIndependence

0x00004000

Die Methode zeigt, dass passive Angriffe (z. B. die Erfassung der EAP-Konversation) oder aktive Angriffe (einschließlich Kompromittierung des MSK oder EMSK) nachfolgende oder frühere MSKs oder EMSKs nicht kompromittieren.

eapPropFragmentation

0x00008000

Die -Methode kann die Fragmentierung und erneute Zusammenführung unterstützen, wenn EAP-Pakete die minimale MTU (maximale Übertragungseinheit) von 1020 Oktetten überschreiten.

eapPropChannelBinding

0x00010000

Die -Methode kann integritätsgeschützte Kanaleigenschaften wie Endpunktbezeichner kommunizieren, die mit Werten verglichen werden können, die mithilfe von Out-of-Band-Mechanismen wie AAA ( Authentication, Authorization, and Accounting ) oder dem Protokoll der unteren Ebene kommuniziert werden.

eapPropNap

0x00020000

Die -Methode unterstützt netzwerkzugriffsschutz (Network Access Protection, NAP).

eapPropStandalone

0x00040000

Die -Methode kann auf einem eigenständigen Computer verwendet werden.

eapPropMppeEncryption

0x00080000

Die -Methode unterstützt die Microsoft-MPPE-Protokollverschlüsselung (Point-to-Point Encryption).

eapPropTunnelMethod

0x00100000

Die -Methode unterstützt das Tunneln anderer EAP-Methoden.

eapPropSupportsConfig

0x00200000

Die -Methode unterstützt konfigurierbare Eigenschaften und verfügt über eine Benutzeroberfläche.

eapPropCertifiedMethod

0x00400000

Die Methode wurde vom EAP-Zertifizierungsprogramm zertifiziert. Dieses Bit sollte nur von EAP-Methoden gesendet werden, die die Zertifizierung bestanden haben.

eapPropmachineAuth

0x01000000

Windows 7 oder höher: Die -Methode kann verwendet werden, um einen Computer unter Verwendung der Computeranmeldeinformationen bei einem Netzwerk zu authentifizieren.

eapPropUserAuth

0x02000000

Windows 7 oder höher: Die Methode kann verwendet werden, um einen Benutzer mithilfe der Benutzeranmeldeinformationen bei einem Netzwerk zu authentifizieren.

eapPropIdentityPrivacy

0x04000000

Windows 7 oder höher: Die Methode unterstützt das Senden der Benutzeridentität in einem geschützten Kanal.

eapPropMethodChaining

0x08000000

Windows 7 oder höher: Die Methode ist eine tunnelte Methode und unterstützt die EAP-Methodenkette innerhalb des Tunnels.

eapPropSharedStateEquivalence

0x10000000

Windows 7 oder höher: Die Methode unterstützt die in RFC 4017 definierte Gleichwertigkeit des freigegebenen Zustands.

eapPropReserved

0x80000000

Reserviert. Wird nicht verwendet.

Anforderungen

Anforderung Wert
Unterstützte Mindestversion (Client)
Windows Vista [nur Desktop-Apps]
Unterstützte Mindestversion (Server)
Windows Server 2008 [nur Desktop-Apps]
Header
Eaptypes.h

Siehe auch

Registrierungsschlüssel für EAP-Methoden

Allgemeine EAPHost-Konstanten