В следующей таблице перечислены протоколы проверки подлинности удаленного доступа, поддерживаемые службой удаленного доступа в этой версии Windows. Протоколы перечислены в порядке уменьшения уровня безопасности. Рекомендуется применять протоколы EAP и MS-CHAPv2. Следует избегать применения протоколов CHAP и PAP.

Протокол Описание Уровень безопасности

EAP

Позволяет выполнять произвольную проверку подлинности подключения удаленного доступа при помощи схем проверки подлинности, известных как типы EAP.

Протокол EAP обеспечивает самый высокий уровень безопасности, предоставляя наибольшую гибкость при выборе вариантов проверки подлинности. Дополнительные сведения см. на странице Протокол EAP (страница может быть на английском языке) (http://go.microsoft.com/fwlink/?linkid=140608).

MS-CHAP v2

Обеспечивает двустороннюю взаимную проверку подлинности. Клиент удаленного доступа получает подтверждение того, что вызываемый сервер удаленного доступа имеет доступ к паролю пользователя.

Протокол MS-CHAP v2 обеспечивает более высокий уровень безопасности по сравнению с протоколом CHAP. Дополнительные сведения см. на странице Протокол MS-CHAP v2 (страница может быть на английском языке) (http://go.microsoft.com/fwlink/?linkid=140609).

CHAP

Для шифрования ответа используется схема хэширования выборки сообщений MD5.

Преимущество протокола CHAP по сравнению с PAP заключается в том, что пароль не пересылается по PPP-соединению. Для проверки ответа на запрос в протоколе CHAP используется версия пароля в виде обычного текста. Протокол CHAP не обеспечивает защиту от олицетворения удаленного сервера. Дополнительные сведения см. на странице Протокол CHAP (страница может быть на английском языке) (http://go.microsoft.com/fwlink/?linkid=140610).

PAP

Используются пароли в виде обычного текста. Применяется обычно в случаях, когда клиент и сервер удаленного доступа не могут согласовать более безопасную форму проверки.

Протокол PAP обеспечивает наименьший уровень безопасности. Этот протокол не обеспечивает защиту от атак повторения, олицетворения удаленного клиента или олицетворения удаленного сервера. Дополнительные сведения см. на странице Протокол PAP (страница может быть на английском языке) (http://go.microsoft.com/fwlink/?linkid=140611).

Доступ без проверки подлинности

Служба RRAS также поддерживает доступ без проверки подлинности, при котором учетные данные пользователя (имя и пароль) не запрашиваются. Доступ без проверки подлинности удобен в ряде случаев. Дополнительные сведения см. на странице Доступ без проверки подлинности (страница может быть на английском языке) (http://go.microsoft.com/fwlink/?linkid=73649).

Примечание по безопасности
  • Если доступ без проверки подлинности разрешен, пользователи удаленного доступа подключаются без отправки своих учетных данных. Клиент удаленного доступа без проверки подлинности не согласовывает использование общего протокола проверки подлинности в процессе установления соединения и не отправляет имя и пароль пользователя.
  • Доступ без проверки подлинности с помощью клиентов удаленного доступа возможен при несовпадении протоколов проверки подлинности в конфигурациях клиента и сервера удаленного доступа. В этом случае использование общего протокола проверки подлинности не согласовывается, а пользователь удаленного доступа не отправляет имя и пароль.

Дополнительные источники информации