Windows Server 将弃用 PPTP 和 L2TP VPN 协议

微软近日宣布，未来的 Windows Server 版本将不再推荐使用 PPTP 和 L2TP VPN 协议，并呼吁 IT 管理员转向更安全的 SSTP 和 IKEv2 VPN 协议。

在过去 20 多年里，PPTP 和 L2TP 一直是企业远程访问公司网络和 Windows 服务器的主要 VPN 协议选择。然而，随着网络安全威胁的形势日益严峻，这两种协议的安全性逐渐显露不足：

• PPTP 容易受到离线暴力破解，攻击者可以利用截获的身份验证哈希进行攻击。
• L2TP 本身不提供加密功能，通常需要与 IPsec 等其他协议配合使用。但如果 L2TP/IPsec 配置不当，可能会带来安全隐患。

有鉴于此，微软建议企业转向更现代、更安全的 SSTP 和 IKEv2 VPN 协议。这些新协议不仅安全性更高，还能提供更出色的性能。

微软在新发布的一篇博客文章中表示：「这一决定是我们提升网络安全和性能的战略之一。通过引导用户采用 SSTP 和 IKEv2 等更先进的协议，我们希望为用户提供更强大的加密保护、更快的连接速度和更可靠的网络体验，以应对当今复杂多变的网络环境。」

SSTP 和 IKEv2 的优势

微软详细介绍了 SSTP 和 IKEv2 两种推荐协议的优势，以帮助管理员更好地理解并选择适合自己的 VPN 方案：

SSTP 的优势

• 强大的加密保护： SSTP 采用 SSL/TLS 加密技术，为通信提供高度安全保障。
• 轻松穿透防火墙： SSTP 能够顺利通过大多数防火墙和代理服务器，确保连接的稳定性。
• 使用便捷： Windows 系统内置支持，SSTP 的配置和部署过程简单直观。

IKEv2 的优势

• 高级安全特性： IKEv2 支持先进的加密算法和可靠的身份认证方法，能有效保护数据安全。
• 出色的移动性能： IKEv2 特别适合移动办公场景，即使在网络切换时也能保持 VPN 连接的稳定性。
• 卓越性能表现： 相比传统协议，IKEv2 在隧道建立速度和网络延迟方面都有显著优势。

迁移 SSTP 和 IKEv2 协议

微软特别强调，「弃用」并不等同于立即停用。这是一个渐进的过程，可能持续数月甚至数年，给 IT 管理员充足的时间来规划和执行协议迁移。在这个过程中：

• 未来版本的 Windows 远程访问服务 (RRAS) 服务器将不再接受基于 PPTP 和 L2TP 协议的入站连接。
• 用户仍可使用这两种协议进行出站连接。

为了协助管理员顺利完成向 SSTP 和 IKEv2 的迁移，微软发布了一份详细的支持文档，提供了这两种协议的具体配置步骤。