Condividi tramite


EAP (Extensible Authentication Protocol) per l'accesso alla rete

Extensible Authentication Protocol (EAP) è un framework di autenticazione che consente l'uso di metodi di autenticazione diversi per tecnologie di accesso alla rete sicure. Esempi di queste tecnologie includono l'accesso wireless tramite I edizione Enterprise E 802.1X, l'accesso cablato tramite I edizione Enterprise E 802.1X e connessioni DA punto a punto (PPP) come la rete privata virtuale (VPN). EAP non è un metodo di autenticazione specifico come MS-CHAP v2, ma piuttosto un framework che consente ai fornitori di rete di sviluppare e installare nuovi metodi di autenticazione, noti come metodi EAP, nel server di accesso client e autenticazione. Il framework EAP è originariamente definito da RFC 3748 ed esteso da vari altri standard e RFC.

Metodi di autenticazione

I metodi di autenticazione EAP usati all'interno dei metodi EAP con tunneling sono comunemente noti come metodi interni o tipi EAP. I metodi configurati come metodi interni hanno le stesse impostazioni di configurazione di quando vengono usati come metodo esterno. Questo articolo contiene informazioni di configurazione specifiche per i metodi di autenticazione seguenti in EAP.

EAP-Transport Layer Security (EAP-TLS):: metodo EAP basato su standard che usa TLS con certificati per l'autenticazione reciproca. Viene visualizzato come Smart Card o altro certificato (EAP-TLS) in Windows. EAP-TLS può essere distribuito come metodo interno per un altro metodo EAP o come metodo EAP autonomo.

Suggerimento

I metodi EAP che usano EAP-TLS, essendo basati su certificati, offrono in genere il massimo livello di sicurezza. Ad esempio, EAP-TLS è l'unico metodo EAP consentito per la modalità WPA3-Enterprise a 192 bit.

EAP-Microsoft Challenge Handshake Authentication Protocol versione 2 (EAP-MSCHAP v2): metodo EAP definito da Microsoft che incapsula il protocollo di autenticazione MSCHAP v2, che usa nome utente e password, per l'autenticazione. Viene visualizzato come Password sicura (EAP-MSCHAP v2) in Windows. EAP-MSCHAPv2 può essere usato come metodo autonomo per la VPN, ma solo come metodo interno per cablata/wireless.

Avviso

Le connessioni basate su MSCHAPv2 sono soggette a attacchi simili a quello di NTLMv1. Windows 11 Enterprise, versione 22H2 (build 22621) abilita Windows Defender Credential Guard che può causare problemi con le connessioni basate su MSCHAPv2.

EAP protetto (PEAP): metodo EAP definito da Microsoft che incapsula EAP all'interno di un tunnel TLS. Il tunnel TLS protegge il metodo EAP interno, che potrebbe essere non protetto in caso contrario. Windows supporta EAP-TLS e EAP-MSCHAP v2 come metodi interni.

EAP-Tunneled Transport Layer Security (EAP-TTLS): descritto da RFC 5281, incapsula una sessione TLS che esegue l'autenticazione reciproca usando un altro meccanismo di autenticazione interna. Questo metodo interno può essere un protocollo EAP, ad esempio EAP-MSCHAP v2, o un protocollo non EAP, ad esempio il protocollo PAP (Password Authentication Protocol). In Windows Server 2012, l'inclusione di EAP-TTLS fornisce solo supporto sul lato client (in Windows 8). NPS non supporta attualmente EAP-TTLS. Il supporto client consente l'interoperabilità con server RADIUS comunemente distribuiti che supportano EAP-TTLS.

EAP-Subscriber Identity Module (EAP-SIM), EAP-Authentication and Key Agreement (EAP-AKA) e EAP-AKA Prime (EAP-AKA): descritto da varie RFC, abilita l'autenticazione tramite schede SIM e viene implementato quando un cliente acquista un piano di servizio wireless broadband da un operatore di rete mobile. Come parte del piano, il cliente riceve in genere un profilo wireless preconfigurato per l'autenticazione SIM.

Tunnel EAP (TEAP): descritto da RFC 7170, metodo EAP sottoposto a tunneling che stabilisce un tunnel TLS sicuro ed esegue altri metodi EAP all'interno di tale tunnel. Supporta il concatenamento EAP: autenticazione del computer e dell'utente all'interno di una sessione di autenticazione. In Windows Server 2022, l'inclusione di TEAP fornisce solo il supporto per il lato client - Windows 10 versione 2004 (build 19041). NPS non supporta attualmente TEAP. Il supporto client consente l'interoperabilità con server RADIUS comunemente distribuiti che supportano TEAP. Windows supporta EAP-TLS e EAP-MSCHAP v2 come metodi interni.

Nella tabella seguente sono elencati alcuni metodi EAP comuni e i relativi numeri di tipo di metodo assegnati IANA.

Metodo EAP Numero di tipo assegnato IANA Supporto nativo di Windows
MD5-Challenge (EAP-MD5) 4
Password monouso (EAP-OTP) 5
Scheda token generica (EAP-GTC) 6
Protocollo EAP-TLS 13
EAP-SIM 18
EAP-TTLS 21
EAP-AKA 23
PEAP 25
EAP-MSCHAP v2 26
Password monouso protetta (EAP-POTP) 32
EAP-FAST 43
Chiave precondivisa (EAP-PSK) 47
EAP-IKEv2 49
EAP-AKA' 50
EAP-EKE 53
TEAP 55
EAP-NOOB 56

Configurazione delle proprietà EAP

È possibile accedere alle proprietà EAP per l'accesso cablato e wireless autenticato 802.1X nei modi seguenti:

  • Configurazione dei criteri di rete cablata (I edizione Enterprise E 802.3) e delle estensioni dei criteri di rete wireless (I edizione Enterprise E 802.11) in Criteri di gruppo.
    • Configurazione computer>Criteri>Impostazioni Windows>Impostazioni di sicurezza
  • Uso del software mobile Gestione dispositivi (MDM), ad esempio Intune (Wi-Fi/cablato)
  • Configurazione manuale delle connessioni cablate o wireless nei computer client.

È possibile accedere alle proprietà EAP per le connessioni VPN (Virtual Private Network) nei modi seguenti:

  • Uso del software mobile Gestione dispositivi (MDM), ad esempio Intune
  • Configurazione manuale delle connessioni VPN nei computer client.
  • Utilizzo di Connection Manager Administration Kit (CMAK) per configurare le connessioni VPN.

Per maggiori informazioni sulla configurazione delle proprietà EAP, consultare la sezione Configurare profili e impostazioni EAP in Windows.

Profili XML per EAP

I profili utilizzati per tipi di connessioni diversi sono file XML che contengono le opzioni di configurazione per tale connessione. Ogni tipo di connessione diverso segue uno schema specifico:

Tuttavia, se configurato per l'uso di EAP, ogni schema del profilo ha un elemento figlio dell'elemento EapHostConfig.

  • Cablato/Wireless: EapHostConfig è un elemento figlio dell'elemento EAPConfig. Sicurezza MSM > (wireless cablata/) > OneX> EAPConfig
  • VPN: EapHostConfig è un elemento figlio di NativeProfile > Authentication > Eap > Configuration

Questa sintassi di configurazione è definita nella specifica Criteri di gruppo: estensione del protocollo wireless/cablato.

Nota

Le varie GUI di configurazione non mostrano sempre tutte le opzioni tecnicamente possibili. Ad esempio, Windows Server 2019 e versioni precedenti non sono in grado di configurare TEAP nell'interfaccia utente. Tuttavia, spesso è possibile importare un profilo XML esistente configurato in precedenza.

La parte restante dell'articolo è destinata a fornire un mapping tra le parti specifiche di EAP dell'interfaccia utente di Criteri di gruppo/Pannello di controllo e le opzioni di configurazione XML, oltre a fornire una descrizione dell'impostazione.

Maggiori informazioni sulla configurazione dei profili XML sono disponibili in Profili XML. Un esempio di utilizzo di un profilo XML contenente le impostazioni EAP è disponibile nella sezione Effettuare il provisioning di un profilo Wi-Fi tramite un sito Web.

impostazioni di sicurezza

La tabella seguente illustra le impostazioni di sicurezza configurabili per un profilo che usa 802.1X. Queste impostazioni vengono mappate a OneX.

Impostazione Elemento XML Descrizione
Selezionare un metodo di autenticazione di rete: EAPConfig Consente di selezionare il metodo EAP da usare per l'autenticazione. Consultare le Impostazioni di configurazione del metodo di autenticazione e Impostazioni di configurazione dell'autenticazione cellulare
Proprietà Apre la finestra di dialogo delle proprietà per il metodo EAP selezionato.
Modalità di autenticazione authMode Specifica il tipo di credenziali usate per l'autenticazione. Sono supportati i valori seguenti:

1. Autenticazione utente o computer
2. Autenticazione computer
3. Autenticazione dell'utente
4. Autenticazione Guest

"Computer", in questo contesto, significa "Machine" in altri contesti. machineOrUser è il valore predefinito in Windows.
Numero massimo errori di autenticazione maxAuthFailures Specifica il numero massimo di errori di autenticazione consentiti per un set di credenziali, che per impostazione predefinita è 1.
Memorizzare nella cache le informazioni utente per le connessioni successive alla rete cacheUserData Specifica se le credenziali dell'utente devono essere memorizzate nella cache per le connessioni successive alla stessa rete, impostando come impostazione predefinita true.

Impostazioni di sicurezza avanzate > IEEE 802.1X

Se viene selezionata l'opzione Applica impostazioni avanzate 802.1X, verranno configurate tutte le impostazioni seguenti. Se è deselezionata, si applicano le impostazioni predefinite. In XML, tutti gli elementi sono facoltativi, con i valori predefiniti usati se non sono presenti.

Impostazione Elemento XML Descrizione
Messaggi max Eapol-Start maxStart Specifica il numero massimo di messaggi EAPOL-Start che possono essere inviati all'autenticatore (server RADIUS) prima del supplicante (client Windows) presuppone che non sia presente alcun autenticatore, che per impostazione predefinita è 3.
Periodo di inizio (secondi) startPeriod Specifica il periodo di tempo (in secondi) di attesa prima dell'invio di un messaggio EAPOL-Start per avviare il processo di autenticazione 802.1X, che per impostazione predefinita è 5.
Periodo di attesa (secondi) heldPeriod Specifica il periodo di tempo (in secondi) di attesa dopo un tentativo di autenticazione non riuscito di ripetere l'autenticazione, impostando come impostazione predefinita 1.
Periodo di autenticazione (secondi) authPeriod Specifica il periodo di tempo (in secondi) in cui attendere una risposta dall'autenticatore (server RADIUS) prima di presupporre che non sia presente alcun autenticatore, che per impostazione predefinita è 18.
Messaggio Eapol-Start supplicantMode Specifica il metodo di trasmissione utilizzato per i messaggi EAPOL-Start. Sono supportati i valori seguenti:

1. Non trasmettere (inhibitTransmission)
2. Trasmettere (includeLearning)
3. Trasmettere per IEEE 802.1X (compliant)

"Computer", in questo contesto, significa "Machine" in altri contesti. compliant è l'impostazione predefinita in Windows ed è l'unica opzione valida per i profili wireless.

Impostazioni di sicurezza avanzate > Single Sign-On

La tabella seguente illustra le impostazioni per Single Sign On (SSO), noto in precedenza come Pre-Logon Access Provider (PLAP).

Impostazione Elemento XML Descrizione
Abilitare Single Sign-On per questa rete singleSignOn Specifica se l'accesso Single Sign-On è abilitato per questa rete, impostando come impostazione predefinita false. Non usare singleSignOn in un profilo se la rete non lo richiede.
Eseguire immediatamente prima dell'utente

Eseguire immediatamente dopo l'utente
type Specifica quando deve essere eseguito l'accesso SSO, prima o dopo l'accesso dell'utente.
Ritardo massimo per la connettività (secondi) maxDelay Specifica il ritardo massimo, espresso in secondi, prima che il tentativo di accesso Single Sign-On non riesca, impostando come impostazione predefinita 10.
Consentire la visualizzazione di finestre di dialogo aggiuntive durante l'accesso Single Sign-On allowAdditionalDialogs Specificato se consentire la visualizzazione delle finestre di dialogo EAP durante l'accesso SSO, impostando come impostazione predefinita false.
Questa rete usa VLAN diverse per l'autenticazione con le credenziali del computer e dell'utente userBasedVirtualLan Specifica se la rete LAN virtuale (VLAN) usata dal dispositivo cambia in base alle credenziali dell'utente, impostando come impostazione predefinita false.

Impostazioni configurazione metodo di autenticazione

Attenzione

Se un server di accesso alla rete è configurato per consentire lo stesso tipo di metodo di autenticazione per un metodo EAP sottoposto a tunneling (ad esempio PEAP) e un metodo EAP non sottoposto a tunneling (ad esempio EAP-MSCHAP v2), esiste una potenziale vulnerabilità di sicurezza. Quando si distribuisce sia un metodo EAP sottoposto a tunneling che EAP (che non è protetto), non usare lo stesso tipo di autenticazione. Ad esempio, se si distribuisce PEAP-TLS, non distribuire anche EAP-TLS. Ciò è dovuto al fatto che, se è necessaria la protezione del tunnel, non serve alcuno scopo per consentire l'esecuzione del metodo anche all'esterno del tunnel.

La tabella seguente illustra le impostazioni configurabili per ciascun metodo di autenticazione:

Le impostazioni EAP-TLS nell'interfaccia utente vengono mappate in EapTlsConnectionPropertiesV1, estesa da EapTlsConnectionPropertiesV2 e EapTlsConnectionPropertiesV3.

Impostazione Elemento XML Descrizione
Usa la smart card CredentialsSource > SmartCard Specifica che i client che effettuano richieste di autenticazione devono presentare un certificato di smart card per l'autenticazione di rete.
Usa un certificato su questo computer CredentialsSource > CertificateStore Specifica che l'autenticazione dei client deve utilizzare un certificato che si trova negli archivi certificati Utente corrente o Computer locale.
Usa selezione certificati semplice (opzione consigliata) SimpleCertSelection Specifica se Windows selezionerà automaticamente un certificato per l'autenticazione senza interazione dell'utente (se possibile) o se Windows mostrerà un elenco a discesa per l'utente di selezionare un certificato.
Avanzato Apre la finestra di dialogo Configura selezione certificato.
Opzioni di convalida del server
Utilizza un nome utente diverso per la connessione DifferentUsername Specifica se utilizzare un nome utente per l'autenticazione diverso dal nome utente nel certificato.

Di seguito sono elencate le impostazioni di configurazione per Configura selezione certificato. Queste impostazioni definiscono i criteri usati da un client per selezionare il certificato appropriato per l'autenticazione. Questa interfaccia utente esegue il mapping a TLSExtensions > FilteringInfo.

Impostazione Elemento XML Descrizione
Autorità di certificazione CAHashList Enabled="true" Specifica se il filtro autorità di certificazione è abilitato.

Se l'autorità di certificazione e EKU (Extended Key Usage) sono abilitati, solo i certificati che soddisfano entrambe le condizioni sono considerati validi per l'autenticazione del client nel server.

Autorità di certificazione radice IssuerHash Elenca i nomi di tutti gli emittenti per i quali i certificati dell'autorità di certificazione (CA) corrispondenti sono presenti nell'archivio certificati Autorità di certificazione radice attendibili o Autorità di certificazione intermedie dell'account del computer locale. Valuta gli ambiti seguenti:

1. Tutte le autorità di certificazione radice e le autorità di certificazione intermedie.
2. Contiene solo le autorità emittenti per le quali sono presenti certificati validi corrispondenti presenti nel computer ,ad esempio certificati non scaduti o non revocati.
3. L'elenco finale dei certificati consentiti per l'autenticazione contiene solo i certificati rilasciati da uno qualsiasi degli emittenti selezionati in questo elenco.

In XML, si tratta dell'identificazione personale SHA-1 (hash) del certificato.

Utilizzo chiave esteso (EKU) Consente di selezionare Tutti gli scopi, Autenticazione client, Qualsiasi scopo o una qualsiasi combinazione di queste opzioni. Specifica che quando viene selezionata una combinazione, tutti i certificati che soddisfano almeno una delle tre condizioni vengono considerati certificati validi per l'autenticazione del client nel server. Se il filtro EKU è abilitato, è necessario selezionare una delle opzioni. In caso contrario, la casella di controllo EKU (Extended Key Usage) verrà deselezionata.
Tutti gli scopi AllPurposeEnabled Se questa opzione è selezionata, questo elemento specifica che i certificati con L'EKU Tutti gli scopi sono considerati certificati validi per l'autenticazione del client nel server. L'identificatore di oggetto (OID) per Tutti gli scopi è 0 o vuoto.
Autenticazione client ClientAuthEKUList Enabled="true" (> EKUMapInList > EKUName) Specifica che i certificati con l'EKU Autenticazione client e l'elenco specificato di EKU sono considerati certificati validi per l'autenticazione del client nel server. L'identificatore dell'oggetto (OID) per Autenticazione client è 1.3.6.1.5.5.7.3.2.
Qualsiasi scopo AnyPurposeEKUList Enabled="true" (> EKUMapInList > EKUName) Specifica che i certificati con l'EKU Qualsiasi scopo e l'elenco specificato di EKU sono considerati certificati validi per l'autenticazione del client nel server. L'identificatore di oggetto (OID) per Qualsiasi scopo è 1.3.6.1.4.1.311.10.12.1.
Aggiunta EKUMapping > EKUMap > EKUName/EKUOID Apre la finestra di dialogo Seleziona EKU, che consente di aggiungere EKU standard, personalizzate o specifiche del fornitore all'elenco Autorizzazione client o Qualsiasi scopo.

Selezionare Aggiungi o Modifica nella finestra di dialogo Seleziona EKU consente di aprire la finestra di dialogo Aggiungi/Modifica EKU, che offre due opzioni:
1. Immettere il nome dell'EKU - Fornisce una posizione in cui digitare il nome dell'EKU personalizzato.
2. Immettere l'OID EKU - Fornisce una posizione in cui digitare l'OID per L'EKU. Sono consentite solo cifre numeriche, separatori e .. I caratteri jolly sono consentiti, nel qual caso sono consentiti tutti gli ID figlio nella gerarchia.

Ad esempio, l'immissione di 1.3.6.1.4.1.311.* consente 1.3.6.1.4.1.311.42 e 1.3.6.1.4.1.311.42.2.1.

Modifica Consente di modificare le EKU personalizzate aggiunte. Non è possibile modificare le EKU predefinite.
Rimuovi Rimuove l'EKU selezionato dall'elenco Autenticazione client o Qualsiasi scopo.

Convalida server

Molti metodi EAP includono un'opzione che consente al client di convalidare il certificato del server. Se il certificato del server non viene convalidato, il client non può essere sicuro che comunichi con il server corretto. Ciò espone il client ai rischi per la sicurezza, inclusa la possibilità che il client possa connettersi inconsapevolmente a una rete non autorizzata.

Nota

Windows richiede che il certificato del server disponga dell'EKU Autenticazione server. L'identificatore di oggetto (OID) per questo EKU è 1.3.6.1.5.5.7.3.1.

Nella tabella seguente, sono elencate le opzioni di convalida del server applicabili a ogni metodo EAP. Windows 11 ha aggiornato la logica di convalida del server in modo che sia più coerente (consultare la sezione Comportamento aggiornato della convalida dei certificati del server in Windows 11). In caso di conflitto, le descrizioni nella tabella seguente descrivono il comportamento per Windows 10 e versioni precedenti.

Impostazione Elemento XML Descrizione
Verifica l'identità del server mediante convalida del certificato EAP-TLS:
PerformServerValidation

PEAP:
PerformServerValidation
Questo elemento specifica che il client verifica che i certificati server presentati al computer client dispongano delle firme corrette, non siano scadute e siano stati emessi da un'autorità di certificazione radice attendibile (CA).

Se si disabilita questa casella di controllo, i computer client non possono verificare l'identità dei server durante il processo di autenticazione. Se non si verifica l'autenticazione server, gli utenti vengono esposti a gravi rischi per la sicurezza, inclusa la possibilità che gli utenti possano connettersi inconsapevolmente a una rete non autorizzata.

Connettersi a questi server EAP-TLS:
ServerValidation > ServerNames

PEAP:
ServerValidation > ServerNames

EAP-TTLS:
ServerValidation>
ServerNames

TEAP:
ServerValidation>
ServerNames
Consente di specificare il nome per i server RADIUS (Remote Authentication Dial-In User Service) che forniscono l'autenticazione e l'autorizzazione di rete.

È necessario digitare il nome esattamente come appare nel campo oggetto di ogni certificato server RADIUS o usare espressioni regolari (regex) per specificare il nome del server.

La sintassi completa dell'espressione regolare può essere usata per specificare il nome del server, ma per distinguere un'espressione regolare con la stringa letterale, è necessario usare almeno un * nella stringa specificata. Ad esempio, è possibile specificare nps.*\.example\.com per specificare il server RADIUS nps1.example.com o nps2.example.com.

È anche possibile includere un oggetto ; per separare più server.

Se non vengono specificati server RADIUS, il client verifica solo che il certificato server RADIUS sia stato emesso da una CA radice attendibile.

Autorità di certificazione radice attendibili EAP-TLS:
ServerValidation > TrustedRootCA

PEAP:
ServerValidation > TrustedRootCA

EAP-TTLS:
ServerValidation>
TrustedRootCAHashes

TEAP:
ServerValidation>
TrustedRootCAHashes
Elenca le autorità di certificazione radice attendibili. L'elenco viene compilato dalle CA radice attendibili installate nel computer e negli archivi certificati utente. È possibile specificare i certificati CA radice attendibili usati per determinare se considerano attendibili i server, ad esempio il server che esegue Server dei criteri di rete (NPS) o il server di provisioning. Se non sono selezionate CA radice attendibili, il client 802.1X verifica che il certificato computer del server RADIUS sia stato emesso da una CA radice attendibile installata. Se non sono selezionate CA radice attendibili, il client 802.1X verifica che il certificato computer del server RADIUS sia stato emesso da una CA radice attendibile selezionata.

Se non sono selezionate CA radice attendibili, il client verifica che il certificato del server RADIUS sia stato emesso da qualsiasi CA radice attendibile.

Se si dispone di un'infrastruttura a chiave pubblica (PKI) nella rete e si usa la CA per rilasciare certificati ai server RADIUS, il certificato della CA viene aggiunto automaticamente all'elenco di ca radice attendibili. È anche possibile acquistare un certificato della CA da un fornitore non Microsoft. Alcune CA radice attendibili non Microsoft forniscono software con il certificato acquistato che installa automaticamente il certificato acquistato nell'archivio Autorità di certificazione attendibili. In questo caso, la CA radice attendibile viene visualizzata automaticamente nell'elenco di CA radice attendibili.

Non specificare un certificato CA radice attendibile non già elencato negli archivi certificati Autorità di certificazione radice attendibili per Utente corrente e Computer locale. Se si designa un certificato non installato nei computer client, l'autenticazione avrà esito negativo.

In XML, si tratta dell'identificazione personale SHA-1 (hash) del certificato (o SHA-256 per TEAP).

Richiesta dell'utente di convalida del server

Nella tabella seguente, sono elencate le opzioni di richiesta utente di convalida del server applicabili a ogni metodo EAP. Queste opzioni verranno usate, nel caso di un certificato server non attendibile, per:

  • non esegue immediatamente la connessione o
  • consentire all'utente di accettare o rifiutare manualmente la connessione.
Impostazione Elemento XML
Non chiedere all'utente di autorizzare nuovi server o autorità di certificazione attendibili ServerValidation > DisableUserPromptForServerValidation

Impedisce all'utente di essere richiesto di considerare attendibile un certificato server se tale certificato non è configurato correttamente, non è già attendibile o entrambi (se abilitato). Per semplificare l'esperienza utente e impedire agli utenti di considerare erroneamente attendibile un server distribuito da un utente malintenzionato, è consigliabile selezionare questa casella di controllo.

Impostazioni di configurazione autenticazione cellulare

Di seguito sono elencate le impostazioni di configurazione rispettivamente per EAP-SIM, EPA-AKA e EPA-AKA.

EAP-SIM è definito in RFC 4186. EAP Subscriber Identity Module (SIM) viene usato per l'autenticazione e la distribuzione delle chiavi di sessione tramite il modulo SIM (Mobile Network Global System for Mobile Communications) di seconda generazione.

Le impostazioni EAP-SIM nella mappa dell'interfaccia utente a EapSimConnectionPropertiesV1.

Articolo Elemento XML Descrizione
Usare chiavi di crittografia complesse UseStrongCipherKeys Specifica che, se selezionato, il profilo usa la crittografia avanzata.
Non rivelare l'identità reale al server quando è disponibile l'identità pseudonima DontRevealPermanentID Se abilitato, forza il client a non riuscire l'autenticazione se il server richiede un'identità permanente anche se il client ha un'identità pseudonima. Le identità pseudonime vengono usate per la privacy delle identità in modo che l'identità effettiva o permanente di un utente non venga rivelata durante l'autenticazione.
ProviderName Disponibile solo in XML, stringa che indica il nome del provider consentito per l'autenticazione.
Abilitare l'utilizzo delle aree di autenticazione Realm=true Fornisce una posizione in cui digitare il nome dell'area di autenticazione. Se questo campo viene lasciato vuoto con l'opzione Abilita utilizzo aree di autenticazione selezionata, l'area di autenticazione deriva dall'identità del Sottoscrittore di dispositivi mobili internazionali (IMSI) usando l'area di autenticazione 3gpp.org, come descritto nel 3GPP standard 23.003 V6.8.0.
Specificare un'area di autenticazione Realm Fornisce una posizione in cui digitare il nome di un'area di autenticazione. Se l'opzione Abilita utilizzo aree di autenticazione è abilitata, viene usata questa stringa. Se questo campo è vuoto, viene usato l'area di autenticazione derivata.

Modalità WPA3-Enterprise a 192 bit

La modalità WPA3-Enterprise a 192 bit è una modalità speciale per WPA3-Enterprise che applica determinati requisiti di sicurezza elevati per la connessione wireless per fornire almeno 192 bit di sicurezza. Questi requisiti sono allineati alla Suite CNSA (Commercial National Security Algorithm), CNSSP 15, un set di algoritmi crittografici approvati per proteggere le informazioni classificate e segrete dall'Stati Uniti National Security Agency (NSA). La modalità a 192 bit può talvolta essere definita "modalità B suite", che è un riferimento alla specifica NSA Suite B Cryptography, che è stata sostituita da CNSA nel 2016.

Sia la modalità WPA3-Enterprise che WPA3-Enterprise a 192 bit sono disponibili a partire da Windows 10, versione 2004 (build 19041) e Windows Server 2022. Tuttavia, WPA3-Enterprise è stato risolto come algoritmo di autenticazione separato in Windows 11. In XML, questo valore viene specificato nell'elemento authEncryption.

La tabella seguente elenca gli algoritmi richiesti da CNSA Suite.

Algoritmo Descrizione Parametri
Advanced Encryption Standard (AES) Crittografia a blocchi simmetrici usata per la crittografia Chiave 256 bit (AES-256)
Scambio di chiavi Elliptic Curve Diffie-Hellman (ECDH) Algoritmo asimmetrico usato per stabilire un segreto condiviso (chiave) Curva modulo primo a 384 bit (P-384)
Algoritmo di firma digitale a curva ellittica (ECDSA) Algoritmo asimmetrico usato per le firme digitali Curva modulo primo a 384 bit (P-384)
Secure Hash Algorithm (SHA) Funzione hash crittografica SHA-384
Scambio di chiavi Diffie-Hellman (DH) Algoritmo asimmetrico usato per stabilire un segreto condiviso (chiave) Modulo a 3072 bit
RSA (Rivest-Shamir-Adleman) Algoritmo asimmetrico usato per firme digitali o definizione delle chiavi Modulo a 3072 bit

L'allineamento con CNSA, la modalità WPA3-Enterprise a 192 bit richiede che EAP-TLS venga usato con i pacchetti di crittografia seguenti con restrizioni:

  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
    • ECDHE ed ECDSA usando la curva P-384 a 384 bit
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 / TLS_DHE_RSA_AES_256_GCM_SHA384
    • ECDHE usando la curva P-384 a 384 bit primo modulo P-384
    • RSA >= modulo a 3072 bit

Nota

P-384 è noto anche come secp384r1 o nistp384. Altre curve ellittiche, ad esempio P-521, non sono consentite.

SHA-384 si trova nella famiglia di funzioni hash SHA-2. Altri algoritmi e varianti, ad esempio SHA-512 o SHA3-384, non sono consentiti.

Windows supporta solo i pacchetti di crittografia TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 e TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 per la modalità WPA3-Enterprise a 192 bit. Il pacchetto di crittografia TLS_DHE_RSA_AES_256_GCM_SHA384 non è supportato.

TLS 1.3 usa nuove suite TLS semplificate, di cui solo TLS_AES_256_GCM_SHA384 è compatibile con la modalità a 192 bit WPA3-Enterprise. Poiché TLS 1.3 richiede (EC)DHE e consente certificati ECDSA o RSA, insieme all'hash AES-256 AEAD e SHA384, TLS_AES_256_GCM_SHA384 è equivalente a TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 e TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384. Tuttavia, RFC 8446 richiede che le applicazioni conformi a TLS 1.3 supportino P-256, che è vietato da CNSA. Pertanto, la modalità WPA3-Enterprise a 192 bit non può essere completamente conforme a TLS 1.3. Tuttavia, non esistono problemi noti di interoperabilità con TLS 1.3 e la modalità a 192 bit WPA3-Enterprise.

Per configurare una rete per la modalità a 192 bit WPA3-Enterprise, Windows richiede l'uso di EAP-TLS con un certificato che soddisfi i requisiti descritti in precedenza.

Risorse aggiuntive