- Как исправить ошибку Windows 8.1 850
- Фон «Windows 8.1 Error 850 The Extensible Authentication Protocol»
- Почему возникает ошибка времени выполнения 850?
- Распространенные сообщения об ошибках в Windows 8.1 Error 850 The Extensible Authentication Protocol
- Причины проблем Windows 8.1 Error 850 The Extensible Authentication Protocol
- Протокол расширенной проверки подлинности (EAP) для сетевого доступа
- Методы проверки подлинности
- Протокол EAP-TLS, протокол PEAP и протокол EAP-TTLS
- Параметры конфигурации свойств защищенного EAP
- Проверка удостоверения сервера с помощью проверки сертификата
- Подключение к серверам
- Доверенные корневые центры сертификации
- Уведомления перед подключением
- Выбор метода проверки подлинности
- Configure
- Включить быстрое переподключение
- Принудительная защита доступа к сети
- Отключить, если сервер не поддерживает привязку с шифрованием через механизм TLV
- включить конфиденциальность удостоверений (только Windows 8)
- Элементы конфигурации свойств безопасного пароля
- Элементы конфигурации смарт-карты или другого сертификата
- Использовать мою смарт-карту
- Использовать сертификат на этом компьютере
- Использовать выбор простого сертификата (рекомендуется)
- Продвинутый уровень
- Подтверждать удостоверение сервера с помощью проверки сертификата
- Подключение к серверам
- Доверенные корневые центры сертификации
- Просмотр сертификата
- Не запрашивать пользователя авторизовать новые серверы или доверенные Центры Сертификации
- Использовать для подключения другое имя пользователя
- Настройка выбора нового сертификата — элементы конфигурации
- Издатель сертификата
- Список Издатель сертификата
- Расширенное использование ключа (EKU)
- Аутентификация клиента
- Любая цель
- Добавить
- Удалить
- Выбор расширения EKU
- Добавление или изменение EKU
- Элементы конфигурации TTLS
- включить конфиденциальность удостоверений (только Windows 8)
- Подключение к серверам
- Доверенные корневые центры сертификации
- Не запрашивать пользователя, если не удается авторизовать сервер
- Выбрать метод проверки подлинности, отличный от EAP
- Автоматически использовать имя входа и пароль Windows
- Выбрать метод проверки подлинности EAP
- Configure
- Параметры конфигурации EAP-SIM
- Параметры конфигурации EAP-AKA
- Параметры конфигурации EAP-AKA
- Дополнительные ресурсы
Как исправить ошибку Windows 8.1 850
| Номер ошибки: | Ошибка 850 | |
| Название ошибки: | Windows 8.1 Error 850 The Extensible Authentication Protocol | |
| Описание ошибки: | Ошибка 850: Возникла ошибка в приложении Windows 8.1. Приложение будет закрыто. Приносим извинения за неудобства. | |
| Разработчик: | Microsoft Corporation | |
| Программное обеспечение: | Windows 8.1 | |
| Относится к: | Windows XP, Vista, 7, 8, 10, 11 |
Фон «Windows 8.1 Error 850 The Extensible Authentication Protocol»
«Windows 8.1 Error 850 The Extensible Authentication Protocol» также считается ошибкой во время выполнения (ошибкой). Разработчики тратят много времени и усилий на написание кода, чтобы убедиться, что Windows 8.1 стабилен до продажи продукта. Тем не менее, возможно, что иногда ошибки, такие как ошибка 850, не устранены, даже на этом этапе.
Некоторые пользователи могут столкнуться с сообщением «Windows 8.1 Error 850 The Extensible Authentication Protocol» при использовании Windows 8.1. Когда появится ошибка, пользователи компьютеров смогут уведомить разработчика о наличии ошибки 850 через отчеты об ошибках. Microsoft Corporation может устранить обнаруженные проблемы, а затем загрузить измененный файл исходного кода, позволяя пользователям обновлять свою версию. Чтобы исправить такие ошибки 850 ошибки, устанавливаемое обновление программного обеспечения будет выпущено от поставщика программного обеспечения.
Почему возникает ошибка времени выполнения 850?
Вполне вероятно, что при загрузке Windows 8.1 вы столкнетесь с «Windows 8.1 Error 850 The Extensible Authentication Protocol». Мы рассмотрим основные причины ошибки 850 ошибок:
Повреждение, отсутствие или удаление файлов Windows 8.1 Error 850 The Extensible Authentication Protocol может привести к ошибкам Windows 8.1. Большую часть проблем, связанных с данными файлами, можно решить посредством скачивания и установки последней версии файла Microsoft Corporation. Более того, поддержание чистоты реестра и его оптимизация позволит предотвратить указание неверного пути к файлу (например Windows 8.1 Error 850 The Extensible Authentication Protocol) и ссылок на расширения файлов. По этой причине мы рекомендуем регулярно выполнять очистку сканирования реестра.
Распространенные сообщения об ошибках в Windows 8.1 Error 850 The Extensible Authentication Protocol
Эти проблемы Windows 8.1, связанные с Windows 8.1 Error 850 The Extensible Authentication Protocol, включают в себя:
Обычно ошибки Windows 8.1 Error 850 The Extensible Authentication Protocol с Windows 8.1 возникают во время запуска или завершения работы, в то время как программы, связанные с Windows 8.1 Error 850 The Extensible Authentication Protocol, выполняются, или редко во время последовательности обновления ОС. Выделение при возникновении ошибок Windows 8.1 Error 850 The Extensible Authentication Protocol имеет первостепенное значение для поиска причины проблем Windows 8.1 и сообщения о них вMicrosoft Corporation за помощью.
Причины проблем Windows 8.1 Error 850 The Extensible Authentication Protocol
Заражение вредоносными программами, недопустимые записи реестра Windows 8.1 или отсутствующие или поврежденные файлы Windows 8.1 Error 850 The Extensible Authentication Protocol могут создать эти ошибки Windows 8.1 Error 850 The Extensible Authentication Protocol.
В основном, осложнения Windows 8.1 Error 850 The Extensible Authentication Protocol связаны с:
Совместима с Windows 2000, XP, Vista, 7, 8, 10 и 11
Протокол расширенной проверки подлинности (EAP) для сетевого доступа
область применения: Windows server 2022, Windows server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows 10, Windows 8.1
Протокол расширенной проверки подлинности (EAP) представляет собой архитектурную платформу, обеспечивающую расширяемость методов проверки подлинности для часто используемых технологий защищенного доступа к сети, таких как беспроводной доступ на основе IEEE 802.1 X, Проводной доступ на основе IEEE 802.1 X и протокол PPP (PPP), такие как виртуальная частная сеть (VPN). EAP является не методом проверки подлинности, как MS-CHAP v2, а скорее платформой на клиенте и сервере проверки подлинности, которая позволяет поставщикам сетевых услуг разрабатывать и легко устанавливать новые методы проверки подлинности (методы EAP).
Методы проверки подлинности
Этот раздел содержит сведения о конфигурации, относящиеся к следующим способам проверки подлинности в протоколе EAP. Обратите внимание, что методы проверки подлинности EAP, используемые в туннельных методах EAP, обычно называются внутренними методами или типами EAP.
Защищенный EAP (PEAP)
Данный раздел содержит информацию о конфигурации для двух внутренних методов по умолчанию протокола EAP, предоставленных в PEAP.
Выводятся в виде смарт-карты или других свойств сертификата в операционной системе, можно развертывать в качестве внутреннего метода PEAP или как отдельный метод EAP. Когда он развернут как внутренний метод проверки подлинности, параметры конфигурации EAP-TLS идентичны параметрам, используемым для развертывания EAP-TLS в качестве внешнего метода (если не считать настройки на работу внутри PEAP). Дополнительные сведения о конфигурации см. в разделе Свойства смарт-карты или другого сертификата элементы конфигурации.
Протокол проверки подлинности вызова EAP-MS-CHAP v2
Защищенный пароль EAP-MS-CHAP v2 — это тип EAP, который можно использовать с PEAP для проверки подлинности сети на основе пароля. EAP-MsCHAP версии 2 можно также использовать в качестве отдельного метода для VPN, но только как внутренний метод PEAP для беспроводных сетей.
Протокол EAP-TTLS
Протокол EAP-SIM, протокол EAP-AKA и протокол EAP-AKA’
Включает проверку подлинности с помощью SIM-карт и реализуется при покупке клиентом плана беспроводного широкополосного обслуживания у оператора мобильной сети. В качестве части плана клиенты часто получают профиль беспроводной связи, заранее настроенный на проверку подлинности с помощью SIM-карт.
В этом разделе представлены сведения по следующим темам.
Протокол EAP-TLS, протокол PEAP и протокол EAP-TTLS
Доступ к свойствам EAP для проводного и беспроводного доступа 802.1X с проверкой подлинности можно получить следующими способами:
Настроив политики проводной сети (IEEE 802.3) и расширения политик беспроводной сети (IEEE 802.11) в групповой политике.
Вручную настроив проводные или беспроводные подключения на клиентских компьютерах.
Доступ к свойствам EAP для подключений к виртуальным частным сетям (VPN) можно получить следующими способами:
Используя пакет администрирования диспетчера подключений (CMAK) для настройки VPN-подключений.
Вручную настроив подключения VPN на клиентских компьютерах.
По умолчанию параметры EAP можно настроить для следующих способов проверки подлинности сети при проводном доступе с проверкой подлинности 802.1X, беспроводном доступе с проверкой подлинности 802.1X и использовании виртуальной частной сети (VPN):
Кроме того, проверка подлинности сети с помощью протокола MS-CHAP-V2 по умолчанию доступна для виртуальных частных сетей.
Параметры конфигурации свойств защищенного EAP
В этом разделе перечислены параметры, которые можно настроить для защищенного EAP.
Развертывание одного способа проверки подлинности для протоколов PEAP и EAP создает уязвимость. При развертывании как PEAP, так и (незащищенного) EAP, не используйте тот же тип проверки подлинности. Например, если развернут протокол PEAP-TLS, не следует также развертывать протокол EAP-TLS.
Проверка удостоверения сервера с помощью проверки сертификата
Этот элемент указывает, что клиент проверяет, что сертификаты сервера, предоставленные клиентскому компьютеру, имеют правильные подписи, не просрочены и были выданы доверенным корневым центром сертификации (ЦС). Значение по умолчанию — «включено». Если этот флажок снят, клиентские компьютеры не смогут проверить подлинность серверов в процессе аутентификации. Если проверка подлинности сервера не выполняется, пользователи могут столкнуться с серьезными рисками безопасности, включая возможность неуверенного подключения пользователей к фальшивой сети.
Подключение к серверам
Этот элемент позволяет указать имя для серверов протокол RADIUS (RADIUS), обеспечивающих проверку подлинности и авторизацию сети. Обратите внимание, что имя необходимо вводить точно в том виде, в каком оно указано в поле Тема каждого сертификата сервера RADIUS, или использовать регулярные выражения для указания имени сервера. Полный синтаксис регулярного выражения можно использовать для указания имени сервера, но для различения регулярного выражения с литеральной строкой в указанной строке необходимо использовать по меньшей мере один символ «». Например, можно указать nps.example.com, чтобы указать сервер RADIUS nps1.example.com или nps2.example.com.
Даже если не указан ни один сервер RADIUS, клиент будет проверять, выдан ли сертификат сервера RADIUS доверенным корневым ЦС.
Значения по умолчанию —
Доверенные корневые центры сертификации
В этом элементе перечислены доверенные корневые центры сертификации. Список строится на основе доверенных корневых ЦС, установленных на компьютере и в хранилищах сертификатов пользователей. Можно указать, какие сертификаты доверенного корневого ЦС будут использовать соискатели при проверке, могут ли они доверять вашим серверам, таким как сервер политики сети (NPS) или сервер обеспечения. Если доверенного корневого ЦС не выбрано, клиент 802.1X проверяет, был ли сертификат компьютера для сервера RADIUS выдан установленным доверенным корневым ЦС. Если выбраны один или несколько доверенных корневых ЦС, клиент 802.1X проверяет, выдан ли сертификат компьютера для сервера RADIUS выбранным доверенным корневым ЦС. Даже если не выбран ни один доверенный корневой ЦС, клиент будет проверять, выдан ли сертификат сервера RADIUS доверенным корневым ЦС.
Если в сети развернута инфраструктура открытых ключей (PKI) и для выдачи сертификатов серверам RADIUS используется собственный ЦС, сертификат этого ЦС будет автоматически добавлен в список доверенных корневых ЦС.
Можно также приобретать сертификаты ЦС у поставщиков помимо корпорации Майкрософт. Некоторые из доверенных корневых ЦС, не принадлежащих Майкрософт, снабжают проданные сертификаты программным обеспечением, автоматически устанавливающим их в хранилище сертификатов Доверенные корневые центры сертификации. В подобных случаях доверенный корневой ЦС автоматически появится в списке доверенных корневых ЦС.
Не указывайте сертификат доверенного корневого ЦС, который не содержится в хранилищах сертификатов Доверенные корневые центры сертификации клиентских компьютеров для Текущий пользователь и Локальный компьютер. Если указать сертификат, не установленный на клиентских компьютерах, будет получен отказ при проверке подлинности.
По умолчанию = не включено, доверенные корневые ЦС не выбраны
Уведомления перед подключением
Этот элемент указывает, уведомляется ли пользователь, если не указан имя сервера или корневой сертификат или не удается проверить удостоверение сервера.
По умолчанию предоставляются следующие параметры:
Вариант 1, Не спрашивать пользователя при авторизации новых серверов или доверенных центров сертификации, указывает, что если:
то пользователь не уведомляется и попытка подключения заканчивается неудачно.
Вариант 2, Уведомить пользователя, если не указано имя сервера или корневой сертификат, указывает, что если:
Затем пользователю предлагается выбрать, следует ли принять корневой сертификат. Если пользователь принимает сертификат, проверка подлинности продолжается. Если пользователь отвергает сертификат, попытка подключения оканчивается неудачей. В этом случае, если корневой сертификат отсутствует на компьютере, пользователь не получает уведомления, а попытки подключения не производятся.
Затем пользователю предлагается выбрать, следует ли принять корневой сертификат. Если пользователь принимает сертификат, проверка подлинности продолжается. Если пользователь отвергает сертификат, попытка подключения оканчивается неудачей.
Выбор метода проверки подлинности
Этот элемент позволяет выбрать тип EAP для использования с PEAP для проверки подлинности сети. По умолчанию доступны два типа EAP: безопасный пароль (EAP-MSCHAP v2) и смарт-карта или другой сертификат (EAP-TLS). Однако EAP является гибким протоколом, позволяющим включать другие способы EAP, помимо этих двух типов.
Дополнительные сведения см. в разделе:
По умолчанию — безопасный пароль (EAP-MSCHAP v2)
Configure
Этот элемент предоставляет доступ к параметрам свойств для указанного типа EAP.
Включить быстрое переподключение
Позволяет более эффективно создавать новые или обновленные связи безопасности, а также меньшее количество циклов обработки, если ранее было установлено сопоставление безопасности.
Для подключений виртуальной частной сети (VPN) функция быстрого переподключения использует технологию IKEv2, чтобы обеспечить простое и постоянное VPN-подключение в случае временного прерывания пользовательского подключения к Интернету. Эта возможность наиболее полезна для пользователей, использующих высокоскоростное мобильное подключение.
Примером является распространенная ситуация, когда пользователь в железнодорожной поездке использует адаптер высокоскоростного мобильного подключения для подключения к Интернету и затем устанавливает VPN-подключение к корпоративной сети.
При прохождении поезда через туннель подключение к Интернету обрывается. После выхода из туннеля адаптер высокоскоростного мобильного подключения автоматически восстанавливает подключение к Интернету.
Быстрое повторное подключение автоматически переустанавливает активные VPN-подключения при восстановлении подключения к Интернету. Несмотря на то что повторное подключение может занять несколько секунд, данный процесс прозрачен для пользователей.
По умолчанию — включено.
Принудительная защита доступа к сети
Этот элемент указывает, что перед подключением к сети выполняются проверки работоспособности системы для EAP отправителей запросов, чтобы определить, соответствуют ли они требованиям к работоспособности системы.
По умолчанию — не включено.
Отключить, если сервер не поддерживает привязку с шифрованием через механизм TLV
Этот элемент указывает, что подключающиеся клиенты должны завершать процесс проверки подлинности сети, если сервер RADIUS не содержит криптобиндинг типа «Длина-значение (TLV)». TLV-криптопривязка повышает безопасность TLS-туннеля в PEAP, объединяя способы внутренней и внешней проверки подлинности, чтобы злоумышленники не могли выполнять атаки типа вмешательства третьей стороны, перенаправляя проверку подлинности MS-CHAPv2 по каналу PEAP.
По умолчанию — не включено.
включить конфиденциальность удостоверений (только Windows 8)
этот параметр применяется только к компьютерам, на которых выполняется Windows 8 и более ранних версий.
По умолчанию — не включено.
Элементы конфигурации свойств безопасного пароля
проверка автоматического использования имени для входа в Windows и пароля (и домена, если он есть) указывает, что текущие имя пользователя и пароль, используемые Windows входа, используются в качестве учетных данных для проверки подлинности сети.
Значения по умолчанию —
Элементы конфигурации смарт-карты или другого сертификата
В этом разделе перечислены элементы, которые можно настроить с помощью EAP-TLS.
Использовать мою смарт-карту
Этот элемент указывает, что клиенты, выполняющие запросы проверки подлинности, должны представлять сертификат смарт-карты для проверки подлинности сети.
Значения по умолчанию —
Использовать сертификат на этом компьютере
Значения по умолчанию —
Использовать выбор простого сертификата (рекомендуется)
этот элемент указывает, Windows отфильтровывать сертификаты, которые вряд ли соответствуют требованиям проверки подлинности. Это помогает ограничить список доступных сертификатов во время запроса к пользователю выбрать сертификат.
Значения по умолчанию —
Продвинутый уровень
Подтверждать удостоверение сервера с помощью проверки сертификата
Этот элемент указывает, что клиент проверяет, что сертификаты сервера, предоставленные клиентскому компьютеру, имеют правильные подписи, срок их действия не истек и они были выданы доверенным корневым центром сертификации (ЦС). Не отключайте этот флажок, или клиентские компьютеры не смогут проверить подлинность серверов в процессе аутентификации. Если проверка подлинности сервера не выполняется, пользователи могут столкнуться с серьезными рисками безопасности, включая возможность неуверенного подключения пользователей к фальшивой сети.
По умолчанию — включено.
Подключение к серверам
Этот элемент позволяет указать имя для серверов RADIUS, обеспечивающих проверку подлинности и авторизацию сети. Обратите внимание, что имя необходимо вводить точно в том виде, в каком оно указано в поле Тема каждого сертификата сервера RADIUS, или использовать регулярные выражения для указания имени сервера. Полный синтаксис регулярного выражения можно использовать для указания имени сервера, но для различения регулярного выражения с литеральной строкой в указанной строке необходимо использовать по меньшей мере один символ «». Например, можно указать nps.example.com, чтобы указать сервер RADIUS nps1.example.com или nps2.example.com.
Даже если не указан ни один сервер RADIUS, клиент будет проверять, выдан ли сертификат сервера RADIUS доверенным корневым ЦС.
Значения по умолчанию —
Доверенные корневые центры сертификации
В этом элементе перечислены Доверенные корневые центры сертификации. Список строится на основе доверенных корневых ЦС, установленных в хранилище сертификатов компьютера и пользователя. Можно указать, какие сертификаты доверенного корневого ЦС будут использовать соискатели при проверке, могут ли они доверять вашим серверам, таким как сервер политики сети (NPS) или сервер обеспечения. Если доверенного корневого ЦС не выбрано, клиент 802.1X проверяет, был ли сертификат компьютера для сервера RADIUS выдан установленным доверенным корневым ЦС. Если выбраны один или несколько доверенных корневых ЦС, клиент 802.1X проверяет, выдан ли сертификат компьютера для сервера RADIUS выбранным доверенным корневым ЦС.
Если в сети развернута инфраструктура открытых ключей (PKI) и для выдачи сертификатов серверам RADIUS используется собственный ЦС, сертификат этого ЦС будет автоматически добавлен в список доверенных корневых ЦС.
Можно также приобретать сертификаты ЦС у поставщиков помимо корпорации Майкрософт. Некоторые из доверенных корневых ЦС, не принадлежащих Майкрософт, снабжают проданные сертификаты программным обеспечением, автоматически устанавливающим их в хранилище сертификатов Доверенные корневые центры сертификации. В подобных случаях доверенный корневой ЦС автоматически появится в списке доверенных корневых ЦС. Даже если не выбран ни один доверенный корневой ЦС, клиент будет проверять, выдан ли сертификат сервера RADIUS доверенным корневым ЦС.
Не указывайте сертификат доверенного корневого ЦС, который не содержится в хранилищах сертификатов Доверенные корневые центры сертификации клиентских компьютеров для Текущий пользователь и Локальный компьютер.
Если указать сертификат, не установленный на клиентских компьютерах, будет получен отказ при проверке подлинности.
По умолчанию — не включен, доверенных корневых ЦС не выбрано.
Просмотр сертификата
Этот элемент позволяет просматривать свойства выбранного сертификата.
Не запрашивать пользователя авторизовать новые серверы или доверенные Центры Сертификации
Этот элемент запрещает пользователю получать запрос на доверие к сертификату сервера, если этот сертификат настроен неправильно, не является доверенным или оба (если включены). Рекомендуется устанавливать этот флажок, чтобы упростить свою работу пользователя и предотвратить непреднамеренное подтверждение доверия серверу, развернутому злоумышленником.
По умолчанию — не включено.
Использовать для подключения другое имя пользователя
Этот элемент указывает, следует ли использовать имя пользователя для проверки подлинности, отличное от имени пользователя в сертификате.
По умолчанию — не включено.
Настройка выбора нового сертификата — элементы конфигурации
Используйте Выбор нового сертификата для настройки критериев, которые клиентские компьютеры будут использовать для автоматического выбора правильного сертификата из числа имеющихся в целях проверки подлинности. При предоставлении конфигурации клиентским компьютерам сети через политики проводной сети (IEEE 802.3), политики беспроводной сети (IEEE 802.11) или пакет администрирования диспетчера подключений для VPN клиенты автоматически снабжаются указанными критериями проверки подлинности.
В этом разделе перечислены элементы конфигурации для выбора нового сертификата, а также описание каждого из них.
Издатель сертификата
Этот элемент указывает, включена ли фильтрация издателей сертификатов.
По умолчанию — не выбран.
Список Издатель сертификата
Используется для указания одного или нескольких издателей для сертификатов.
Перечисляет имена всех издателей, сертификаты соответствующих центров сертификации (ЦС) для которых содержатся в хранилищах сертификатов Доверенные корневые центры сертификации или Промежуточные центры сертификации учетной записи локального компьютера.
Включает все корневые центры сертификации и промежуточные центры сертификации.
Содержит только тех издателей, допустимые (например, не истекшие и не отозванные) сертификаты которых имеются на компьютере.
Итоговый список сертификатов, которые можно использовать для проверки подлинности, содержит только сертификаты, выпущенные издателями, которые выбраны в этом списке.
По умолчанию — не выбрано ничего.
Расширенное использование ключа (EKU)
Можно выбрать все назначение, проверку подлинности клиента, любую цель или любое сочетание этих параметров. Указывает, что при выборе любого сочетания трех условий выше все сертификаты, соответствующие выбранным условиям, считаются допустимыми сертификатами для проверки подлинности клиента на сервере. Если фильтрация EKU включена, необходимо выбрать одно из трех условий; в ином случае команда ОК будет отключена.
По умолчанию — не включено.
Значение по умолчанию — выбрано, если выбрано Расширенное использование ключа (EKU)
Аутентификация клиента
Если этот флажок установлен, этот элемент указывает, что сертификаты с EKU проверки подлинности клиента и указанный список EKU считаются действительными сертификатами для проверки подлинности клиента на сервере.
Значение по умолчанию — выбрано, если выбрано Расширенное использование ключа (EKU)
Любая цель
Если этот флажок установлен, этот элемент указывает, что для проверки подлинности клиента на сервере все сертификаты с любыми EKU и указанным списком EKU считаются действительными сертификатами.
Значение по умолчанию — выбрано, если выбрано Расширенное использование ключа (EKU)
Добавить
По умолчанию — в списке нет EKU.
Удалить
По умолчанию — не применимо.
Когда включены и Издатель сертификата и Расширенное использование ключа (EKU), только сертификаты, удовлетворяющие обоим условиям, считаются допустимыми сертификатами для проверки подлинности клиента на сервере.
Выбор расширения EKU
Можно выбрать EKU из предоставленного списка или добавить новое EKU.
Добавление или изменение EKU
| Item | Сведения |
|---|---|
| Введите имя EKU | Предоставляет место для ввода имени пользовательского EKU. |
| Введите идентификатор объекта EKU | Предоставляет место для ввода ИД объекта EKU. Имя может содержать только цифры, разделители и «.» разрешены. Знаки подстановки разрешены. В этом случае допускаются все дочерние объекты в иерархии. Например, ввод 1.3.6.1.4.1.311.* допускает 1.3.6.1.4.1.311.42 и 1.3.6.1.4.1.311.42.2.1 |
Элементы конфигурации TTLS
EAP-TTLS — это основанный на стандартах метод туннелирования EAP, поддерживающий взаимную проверку подлинности и предоставляющий безопасный туннель для проверки подлинности при присоединении клиента посредством EAP и других устаревших протоколов. добавление eap-TTLS в Windows Server 2012 предоставляет только поддержку на стороне клиента, предназначенную для поддержки взаимодействия с самыми распространенными серверами RADIUS, поддерживающими EAP-ttls.
В этом разделе перечислены элементы, которые можно настроить для EAP-TTLS.
включить конфиденциальность удостоверений (только Windows 8)
Этот параметр применяется только к компьютерам, на которых выполняется Windows 8.
По умолчанию — не включено.
Подключение к серверам
Этот элемент позволяет указать имя для серверов RADIUS, обеспечивающих проверку подлинности и авторизацию сети. Обратите внимание, что имя необходимо вводить точно в том виде, в каком оно указано в поле Тема каждого сертификата сервера RADIUS, или использовать регулярные выражения для указания имени сервера. Полный синтаксис регулярного выражения можно использовать для указания имени сервера. Но чтобы отличить регулярное выражение от литеральной строки, необходимо использовать по меньшей мере один символ * в указанной строке. Например, можно указать nps*.example.com, чтобы определить сервер RADIUS nps1.example.com или nps2.example.com. Даже если не указан ни один сервер RADIUS, клиент будет проверять, выдан ли сертификат сервера RADIUS доверенным корневым ЦС.
Доверенные корневые центры сертификации
В этом элементе перечислены Доверенные корневые центры сертификации. Список строится на основе доверенных корневых ЦС, установленных в хранилище сертификатов компьютера и пользователя. Можно указать, какие сертификаты доверенного корневого ЦС будут использовать соискатели при проверке, могут ли они доверять вашим серверам, таким как сервер политики сети (NPS) или сервер обеспечения. Если доверенного корневого ЦС не выбрано, клиент 802.1X проверяет, был ли сертификат компьютера для сервера RADIUS выдан установленным доверенным корневым ЦС. Если выбраны один или несколько доверенных корневых ЦС, клиент 802.1X проверяет, выдан ли сертификат компьютера для сервера RADIUS выбранным доверенным корневым ЦС. Даже если не выбран ни один доверенный корневой ЦС, клиент будет проверять, выдан ли сертификат сервера RADIUS доверенным корневым ЦС.
Если в сети развернута инфраструктура открытых ключей (PKI) и для выдачи сертификатов серверам RADIUS используется собственный ЦС, сертификат этого ЦС будет автоматически добавлен в список доверенных корневых ЦС. Сертификат корневого ЦС, если он выбран, устанавливается на клиентском компьютере при слиянии компьютеров в домен.
Можно также приобретать сертификаты ЦС у поставщиков помимо корпорации Майкрософт. Некоторые из доверенных корневых ЦС, не принадлежащих Майкрософт, снабжают проданные сертификаты программным обеспечением, автоматически устанавливающим их в хранилище сертификатов Доверенные корневые центры сертификации. В подобных случаях доверенный корневой ЦС автоматически появится в списке доверенных корневых ЦС.
Не указывайте сертификат доверенного корневого ЦС, который не содержится в хранилищах сертификатов Доверенные корневые центры сертификации клиентских компьютеров для Текущий пользователь и Локальный компьютер.
Если указать сертификат, не установленный на клиентских компьютерах, будет получен отказ при проверке подлинности.
По умолчанию = не включено, доверенные корневые ЦС не выбраны
Не запрашивать пользователя, если не удается авторизовать сервер
Этот элемент указывает (если не выбран), если проверка сертификата сервера завершается сбоем по одной из следующих причин, пользователю предлагается принять или отклонить сервер:
По умолчанию — не выбран.
Выбрать метод проверки подлинности, отличный от EAP
Значения по умолчанию —
Автоматически использовать имя входа и пароль Windows
Выбрать метод проверки подлинности EAP
Майкрософт: смарт-карта или иной сертификат
Майкрософт: MS-CHAP v2
Configure
Открывает диалоговое окно свойств для указанного типа EAP. Дополнительные сведения о типах EAP по умолчанию см. в разделе Свойства смарт-карты или другого сертификата элементы конфигурации или безопасные пароли (EAP-MSCHAP v2) элементы конфигурации.
Параметры конфигурации EAP-SIM
Модуль определения абонента (SIM) EAP используется для проверки подлинности и распределения сеансовых ключей для глобальной системы мобильной связи (GSM). Протокол EAP-SIM определен в RFC 4186.
В следующей таблице перечислены параметры конфигурации для EAP-SIM.
Параметры конфигурации EAP-AKA
Протокол EAP-AKA для универсальной системы мобильной связи (UMTS) используется в целях проверки подлинности и распределения сеансовых ключей при помощи универсального модуля определения абонента (USIM) этой системы. EAP-AKA определен в RFC 4187.
В следующей таблице перечислены параметры конфигурации для EAP-AKA.
Параметры конфигурации EAP-AKA
Протокол EAP-AKA’ является модифицированной версией протокола EAP-AKA, применяемой для доступа к сетям на основе 3GPP, с использованием не входящих в 3GPP стандартов, таких как:
WiFi — порой именуемый стандартом «беспроводной достоверности»
Протокол EAP-AKA’ определен в RFC 5448.
В следующей таблице перечислены параметры конфигурации для EAP-AKA.
Дополнительные ресурсы
дополнительные сведения о параметрах беспроводной сети, прошедших проверку подлинности, в групповая политика см. в разделе управление новыми политиками беспроводной сети (IEEE 802,11) Параметры
дополнительные сведения о параметрах проводной связи с проверкой подлинности в групповая политика см. в разделе управление новыми политиками проводной сети (IEEE 802,3) Параметры
сведения о дополнительных параметрах для проводных и прошедших проверку подлинности беспроводного доступа см. в разделе advanced Security Параметры для политик проводных и беспроводных сетей.