为什么微软停止对 Windows Server 中的 PPTP 和 L2TP 的支持？

协议	主要特征	漏洞	推荐的替代方案
PPTP	用途广泛、配置简单	易受离线暴力攻击	SSTP，IKEv2
L2TP	与 IPsec 配对进行加密	配置错误可能导致系统遭受攻击	SSTP，IKEv2
SSTP	使用 SSL/TLS 进行安全加密，防火墙友好	安全可靠	推荐作为替代方案
IKEv2	连接速度快、安全、移动友好	高度安全并适应网络变化	性能推荐

微软决策概述

微软已宣布计划在未来的 Windows Server 版本中停止对 PPTP（点对点隧道协议）和 L2TP（第 2 层隧道协议）的支持。这些协议已被广泛用于远程访问企业网络 20 多年，但由于现代网络威胁，现在被认为不太安全。微软鼓励管理员采用更安全的替代方案，例如安全套接字隧道协议 (SSTP) 和 Internet 密钥交换版本 2 (IKEv2)。

为什么微软放弃对 PPTP 和 L2TP 的支持？

PPTP 的漏洞
PPTP 长期以来一直是许多组织首选的 VPN 协议，因为它易于配置且广泛可用。然而，它的安全性已经过时了。PPTP 的主要问题之一是它容易受到离线暴力攻击。攻击者可以通过拦截身份验证哈希来利用弱点，从而更容易破解凭据。这使得 PPTP 不适合当今的安全网络环境。

L2TP 的局限性
L2TP 本身不提供加密，因此需要与 IPsec 配对才能实现安全通信。但是，如果 L2TP 和 IPsec 配置错误，则可能存在安全风险。正确设置这些协议的复杂性以及现代攻击的复杂性不断增加，导致 Microsoft 决定逐步停止使用它们。

PPTP 和 L2TP 的推荐替代方案

SSTP：安全套接字隧道协议
SSTP 是 Microsoft 建议用来替代 PPTP 和 L2TP 的协议之一。该协议使用 SSL/TLS 加密，该加密以提供高度安全的通信通道而闻名。以下是 SSTP 的一些主要优点：

• 可靠加密：SSTP 采用 SSL/TLS，确保通过 VPN 传输的数据是安全的。
• 防火墙友好：SSTP 可以绕过大多数防火墙和代理服务器，提供无缝连接。
• 使用方便：借助 Windows 的内置支持，管理员可以轻松配置和部署 SSTP。

IKEv2：互联网密钥交换版本 2
另一个强有力的替代方案是 IKEv2，它比以前的版本有几个优点：

• 增强安全性：IKEv2支持强大的加密算法和认证方法，提供安全的通信。
• 适合移动设备：IKEv2 对于移动用户特别有效，因为即使网络发生变化（例如在 Wi-Fi 和蜂窝网络之间移动），它也能保持 VPN 连接。
• 高性能：IKEv2 可以快速建立 VPN 隧道，并减少延迟，与 PPTP 和 L2TP 相比提供更好的性能。

微软的弃用时间表

值得注意的是，停止对 PPTP 和 L2TP 的支持并不意味着这些协议将立即从所有系统中删除。微软已澄清，这一过程需要时间，以便管理员进行必要的过渡。未来版本的 Windows RRAS Server（VPN 服务器）将不再接受传入的 PPTP 和 L2TP 连接。但是，在可预见的未来，用户仍将能够使用这些协议创建传出连接。

管理员应如何准备？

管理员应该开始计划迁移到更安全的协议，如 SSTP 或 IKEv2。通过这样做，组织可以确保他们使用最新的安全标准并避免与过时协议相关的漏洞。微软为管理员提供了足够的时间进行转变，因此利用这个窗口至关重要。

协议比较	安全	易于设置	表现
PPTP	低的	高的	缓和
L2TP (使用 IPsec)	缓和	低（复杂设置）	缓和
SSTP	高的	高的	高的
IKEv2	高的	缓和	高的

最后的想法

决定逐步淘汰 PPTP 和 L2TP 是加强 Windows Server 环境安全性的必要步骤。这些传统协议不再满足当今复杂网络威胁的需求，组织必须不断发展以保护其敏感数据。SSTP 和 IKEv2 为 VPN 连接提供了强大、现代的解决方案，确保了安全性和性能。

对于管理 Windows Server 环境的管理员来说，这一变化提供了重新评估当前配置并采用更安全做法的机会。随着对 PPTP 和 L2TP 的支持逐渐减少，是时候拥抱安全隧道协议的未来了。