Microsoft официально прекратила поддержку протоколов туннелирования Point-to-Point (PPTP) и Layer 2 Tunneling Protocol (L2TP) в будущих версиях Windows Server. Администраторам порекомендовали перейти на другие протоколы, которые обеспечивают повышенную безопасность.
Более 20 лет предприятия использовали протоколы VPN PPTP и L2TP для предоставления удалённого доступа к корпоративным сетям и серверам Windows. Однако по мере того, как атаки и ресурсы кибербезопасности становились всё более сложными и мощными, протоколы стали менее безопасными. Например, PPTP уязвим для офлайн-атак методом подбора перехваченных хэшей аутентификации, а L2TP не обеспечивает шифрования, если не сочетается с другим протоколом, например IPsec. Однако, если L2TP/IPsec настроен неправильно, он может стать уязвимым для атак.
В связи с этим Microsoft рекомендует пользователям перейти на более новые протоколы Secure Socket Tunneling Protocol (SSTP) и Internet Key Exchange версии 2 (IKEv2), которые обеспечивают лучшую производительность и безопасность.
Microsoft поделилась преимуществами каждого протокола.
SSTP:
надёжное шифрование: SSTP использует шифрование SSL/TLS, обеспечивая безопасный канал связи;
обход брандмауэра: SSTP может легко проходить через большинство брандмауэров и прокси-серверов, обеспечивая бесперебойное подключение;
простота использования: благодаря встроенной поддержке в Windows SSTP прост в настройке и развёртывании.
Преимущества IKEv2:
высокая безопасность: IKEv2 поддерживает надёжные алгоритмы шифрования и методы аутентификации;
мобильность и многоадресность: IKEv2 особенно эффективен для мобильных пользователей, поддерживая VPN-подключения во время изменений в сети;
улучшенная производительность: благодаря более быстрому созданию туннелей и меньшей задержке IKEv2 обеспечивает превосходную производительность по сравнению с устаревшими протоколами.
Microsoft подчёркивает, что когда функция устарела, она больше не находится в активной разработке и может быть удалена из будущих версий Windows. Этот период устаревания может длиться месяцы или годы, давая администраторам время перейти на предлагаемые протоколы VPN.
В рамках этого устаревания будущие версии Windows RRAS Server (VPN Server) больше не будут принимать входящие соединения с использованием протоколов PPTP и L2TP. Однако пользователи по-прежнему могут устанавливать исходящие соединения PPTP и L2TP.
Чтобы помочь администраторам перейти на SSTP и IKEv2, Microsoft выпустила в июне бюллетень поддержки с инструкциями по настройке этих протоколов.
Ранее Microsoft официально объявила, что службы обновления Windows Server Update Services (WSUS) устарели. Компания планирует сохранить их текущую функциональность и продолжить публикацию обновлений через канал.