- •Для кого предназначен этот документ
- •Определение
- •Трудности
- •Функциональные преимущества
- •Выбор оптимального решения для обеспечения безопасности беспроводной сети
- •Отказ от развертывания беспроводной сети
- •Использование стандарта wpa с протоколом eap-tls
- •Использование стандарта wpa с протоколом peap-ms-chap v2
- •Использование стандарта wpa с протоколом peap-ms-chap v2 и службами сертификации
- •Использование технологии vpn
- •Использование протокола iPsec
- •Использование протокола wep
- •Разработка защищенного беспроводного сетевого решения
- •Алгоритм Microsoft для выбора подхода к защите беспроводной сети
- •Сертификаты
- •Создание заявления об использовании сертификатов
- •Иерархия центров сертификации
- •Проверка подлинности в Интернете
- •Имеющиеся radius-серверы
- •Перемещение при сбое radius-сервера и балансировка нагрузки
- •Централизованные или распределенные серверы службы проверки подлинности в Интернете
- •Оценка нагрузки на серверы и требований к аппаратным средствам
- •Проверка подлинности по стандарту wpa 802.11
- •Требования к клиентским системам
- •Чтобы установить службы iis, выполните следующие действия.
- •Подготовка службы Active Directory к использованию инфраструктуры открытого ключа
- •Предоставьте группе Enterprise pki Admins разрешения на создание и удаление групп в подразделении служб сертификации и его дочерних контейнерах.
- •Предоставление разрешений на восстановление группе Enterprise pki Admins
- •Чтобы предоставить разрешения на восстановление файлов и каталогов группе Enterprise pki Admins, выполните следующие действия.
- •Конфигурирование сервера корневого центра сертификации
- •Файл caPolicy.Inf
- •Чтобы создать файл caPolicy.Inf, выполните следующие действия.
- •Чтобы опубликовать сертификат и список отзыва сертификатов корневого центра сертификации в службе Active Directory, выполните следующие действия.
- •Публикация сертификата и списка отзыва сертификатов корневого центра сертификации на веб-сервере
- •Чтобы опубликовать сертификат и список отзыва сертификатов корневого центра сертификации на веб-сервере, выполните следующие действия.
- •Установка сертификата в выдающем центре сертификации
- •Чтобы автоматизировать публикацию списков отзыва сертификатов, выполните следующие действия.
- •Создание серверов службы проверки подлинности в Интернете
- •Настройка параметров защиты сервера
- •Установка и конфигурирование службы проверки подлинности в Интернете
- •Создание групп Active Directory, необходимых для доступа к беспроводной сети
- •Добавление пользователей и компьютеров в группы автоматической подачи заявок на сертификаты
- •Конфигурирование инфраструктуры доступа к беспроводной сети
- •Распространение конфигурации на несколько серверов службы проверки подлинности в Интернете
- •Развертывание сертификатов проверки подлинности в беспроводной сети
- •Чтобы включить автоматическую подачу заявок на сертификаты для всех пользователей и компьютеров в домене, выполните следующие действия.
- •Добавление компьютеров в группы безопасности для групповой политики беспроводной сети
- •Требования к клиентским системам wpa2
- •Аннотация
Подготовка службы Active Directory к использованию инфраструктуры открытого ключа
Фундаментальные требования к инфраструктуре домена Active Directory, описанные в этом разделе, основаны на архитектуре службы Microsoft Windows Server 2003 Active Directory. Если используется служба Active Directory, реализованная в Windows 2000, требования могут быть другими. Дополнительные требования к структуре доменов, основанных на ОС Windows 2000, см. в документе «Повышение функционального уровня домена и леса в ОС Windows Server 2003», который можно найти по адресу http://support.microsoft.com/kb/322692 (эта ссылка может указывать на содержимое полностью или частично на английском языке).
Кроме того, для использования рассматриваемого решения нужен функциональный уровень домена не ниже основного режима Windows 2000 — по крайней мере, в том домене, в котором будут установлены серверы центров сертификации. Это требование объясняется тем, что в решении используются универсальные группы Active Directory, которые доступны в основном режиме ОС Windows 2000 и более поздних версий.
Создание административных групп инфраструктуры открытого ключа и центров сертификации
В рассматриваемом решении определяются несколько групп безопасности, соответствующих отдельным административным ролям. Этот подход обеспечивает высокую степень контроля над делегированием, выполняемым при администрировании центров сертификации, в соответствии с принципом наименьших привилегий. Однако нет никакой другой причины использовать этот подход, если он не соответствует принятой в организации административной модели.
Чтобы создать административные группы центра сертификации в домене, выполните следующие действия.
Войдите на компьютер, являющийся членом домена, используя учетную запись, которая позволяет создавать объекты пользователей и групп в контейнере «Пользователи» (Users).
Выполните для создания групп управления центром сертификации домена следующую команду:
Копировать код
Cscript //job:CertDomainGroups C:\MSSScripts\ca_setup.wsf
Этот сценарий создаст группы безопасности, указанные в следующей таблице. Они будут созданы как универсальные группы в контейнере «Пользователи» (Users) домена, и их можно будет переместить в другие подразделения, если того потребуют какие-либо принятые в организации политики.
Таблица 10. Названия и описания групп
-
Название группы
Описание
Enterprise PKI Admins
В эту группу входят администраторы контейнера конфигурации служб открытых ключей.
Enterprise PKI Publishers
Члены этой группы могут публиковать списки отзыва сертификатов и сертификаты центров сертификации для контейнера конфигурации «Предприятие» (Enterprise).
CA Admins
Члены этой группы имеют полный административный контроль над центром сертификации, в том числе возможность определять членство других ролей.
Certificate Managers
Члены этой группы управляют выдачей и отзывом сертификатов.
CA Auditors
Члены этой группы управляют данными об аудите центра сертификации.
CA Backup Operators
Члены этой группы имеют разрешения на резервное копирование и восстановление ключей и данных центров сертификации.
В процедурах установки, описываемых в оставшейся части документа, должны использоваться учетные записи из групп Enterprise PKI Admins, Enterprise PKI Publishers и CA Admins, поэтому перед продолжением их нужно заполнить этими учетными записями. Если все роли, имеющие отношение к центру сертификации, возложены на одного человека, всем группам можно назначить одну учетную запись, однако в большинстве компаний роли и обязанности сотрудников в той или иной степени разделены, хотя и не по такой сложной схеме, как в приведенной выше таблице. В компаниях с упрощенным разделением служебных обязанностей часто делят области ответственности следующим образом.
Таблица 11. Упрощенная модель администрирования
Административная роль |
Членство в группах |
CA Administrator |
Enterprise PKI Admins, CA Admins, Certificate Managers, Administrators |
CA Auditor |
CA Auditors, Administrators |
CA Backup Operator |
CA Backup Operators |
Рекомендуемая структура подразделений домена
Управлять инфраструктурой открытых ключей и использовать ее будут несколько групп и пользовательских учетных записей. Возможно, их потребуется организовать в ту или иную структуру подразделений — это зависит от действующих политик. Так как эта структура может определяться уже используемыми корпоративными политиками, ниже предлагается один из вариантов, который можно изменять в соответствии с конкретными потребностями.
Чтобы создать иерархию подразделений, работающих со службами сертификации, выполните следующие действия.
Войдите в систему, используя учетную запись, позволяющую создавать подразделения и делегировать в них разрешения.
Создайте структуру подразделений в соответствии со следующей таблицей.
Таблица 12. Пример структуры подразделения
-
Подразделение
Описание
Certificate Services
Родительское подразделение
\-Certificate Services Administration
Содержит административные группы, управляющие центрами сертификации и конфигурацией корпоративной инфраструктуры открытых ключей.
\-Certificate Template Management
Содержит группы, управляющие отдельными шаблонами сертификатов.
\-Certificate Template Enrollment
Содержит группы, имеющие разрешения на подачу заявок или автоматическую подачу заявок в одноименных шаблонах. Контроль над этими группами можно делегировать соответствующим сотрудникам без изменения самих шаблонов.
\-Certificate Services Test Users
Содержит временные тестовые учетные записи.