- •Для кого предназначен этот документ
- •Определение
- •Трудности
- •Функциональные преимущества
- •Выбор оптимального решения для обеспечения безопасности беспроводной сети
- •Отказ от развертывания беспроводной сети
- •Использование стандарта wpa с протоколом eap-tls
- •Использование стандарта wpa с протоколом peap-ms-chap v2
- •Использование стандарта wpa с протоколом peap-ms-chap v2 и службами сертификации
- •Использование технологии vpn
- •Использование протокола iPsec
- •Использование протокола wep
- •Разработка защищенного беспроводного сетевого решения
- •Алгоритм Microsoft для выбора подхода к защите беспроводной сети
- •Сертификаты
- •Создание заявления об использовании сертификатов
- •Иерархия центров сертификации
- •Проверка подлинности в Интернете
- •Имеющиеся radius-серверы
- •Перемещение при сбое radius-сервера и балансировка нагрузки
- •Централизованные или распределенные серверы службы проверки подлинности в Интернете
- •Оценка нагрузки на серверы и требований к аппаратным средствам
- •Проверка подлинности по стандарту wpa 802.11
- •Требования к клиентским системам
- •Чтобы установить службы iis, выполните следующие действия.
- •Подготовка службы Active Directory к использованию инфраструктуры открытого ключа
- •Предоставьте группе Enterprise pki Admins разрешения на создание и удаление групп в подразделении служб сертификации и его дочерних контейнерах.
- •Предоставление разрешений на восстановление группе Enterprise pki Admins
- •Чтобы предоставить разрешения на восстановление файлов и каталогов группе Enterprise pki Admins, выполните следующие действия.
- •Конфигурирование сервера корневого центра сертификации
- •Файл caPolicy.Inf
- •Чтобы создать файл caPolicy.Inf, выполните следующие действия.
- •Чтобы опубликовать сертификат и список отзыва сертификатов корневого центра сертификации в службе Active Directory, выполните следующие действия.
- •Публикация сертификата и списка отзыва сертификатов корневого центра сертификации на веб-сервере
- •Чтобы опубликовать сертификат и список отзыва сертификатов корневого центра сертификации на веб-сервере, выполните следующие действия.
- •Установка сертификата в выдающем центре сертификации
- •Чтобы автоматизировать публикацию списков отзыва сертификатов, выполните следующие действия.
- •Создание серверов службы проверки подлинности в Интернете
- •Настройка параметров защиты сервера
- •Установка и конфигурирование службы проверки подлинности в Интернете
- •Создание групп Active Directory, необходимых для доступа к беспроводной сети
- •Добавление пользователей и компьютеров в группы автоматической подачи заявок на сертификаты
- •Конфигурирование инфраструктуры доступа к беспроводной сети
- •Распространение конфигурации на несколько серверов службы проверки подлинности в Интернете
- •Развертывание сертификатов проверки подлинности в беспроводной сети
- •Чтобы включить автоматическую подачу заявок на сертификаты для всех пользователей и компьютеров в домене, выполните следующие действия.
- •Добавление компьютеров в группы безопасности для групповой политики беспроводной сети
- •Требования к клиентским системам wpa2
- •Аннотация
Предоставьте группе Enterprise pki Admins разрешения на создание и удаление групп в подразделении служб сертификации и его дочерних контейнерах.
Предоставление разрешений контейнеру служб открытых ключей
Параметры безопасности контейнера служб открытых ключей нужно изменить так, чтобы члены группы Enterprise PKI Admins могли устанавливать центры сертификации предприятия и конфигурировать шаблоны сертификатов, не являясь при этом членами группы Enterprise Admins. Кроме того, членам группы Enterprise PKI Publishers нужно разрешить публиковать списки отзыва сертификатов и сертификаты центров сертификации без прав Enterprise Admin.
Для внесения следующих изменений нужно использовать учетную запись, эквивалентную Active Directory Enterprise Admin.
Чтобы предоставить разрешения членам группы Enterprise PKI Admins, выполните следующие действия.
Войдите в систему как член группы безопасности Enterprise Admins.
В оснастке консоли управления «Active Directory — сайты и службы» откройте в меню «Вид» узел «Службы», после чего найдите вложенный контейнер Public Key Services и откройте его свойства.
Добавьте на вкладке «Безопасность» группу безопасности Enterprise PKI Admins и предоставьте ей полный контроль.
В режиме расширенного просмотра измените разрешения этой группы так, чтобы разрешение на полный доступ относилось к данному объекту и всем дочерним объектам.
Выберите контейнер «Службы» и откройте его свойства.
Добавьте на вкладке «Безопасность» группу безопасности Enterprise PKI Admins и предоставьте ей полный доступ.
В режиме расширенного просмотра измените разрешения этой группы так, чтобы разрешение на полный доступ относилось только к данному объекту.
Чтобы предоставить разрешения членам группы Enterprise PKI Publishers, выполните следующие действия.
Войдите в систему как член группы безопасности Enterprise Admins.
В оснастке консоли управления «Active Directory — сайты и службы» отобразите узел «Службы» и откройте свойства контейнера Public Key Services\AIA.
Добавьте на вкладке «Безопасность» группу безопасности Enterprise PKI Publishers и предоставьте ей разрешения на выполнение перечисленных ниже операций.
Чтение
Запись
Создание всех дочерних объектов
Удаление всех дочерних объектов
В режиме расширенного просмотра измените разрешения этой группы так, чтобы они относились к данному объекту и всем дочерним объектам.
Повторите этапы 2—4 для следующих контейнеров:
Public Key Services\CDP
Public Key Services\Certification Authorities
Предоставление разрешений членам группы Cert Publishers
Все учетные записи компьютеров центра сертификации предприятия в домене будут относиться к группе безопасности Cert Publishers. Эта группа будет использоваться для применения разрешений к объектам пользователей и компьютеров, а также к объектам в контейнере CDP, упомянутом в описании предыдущей процедуры. При каждой установке центра сертификации учетную запись его компьютера нужно будет добавлять в эту группу.
Чтобы члены группы Enterprise PKI Admins могли устанавливать центры сертификации предприятия, нужно изменить разрешения этой группы.
Чтобы предоставить разрешения на изменение членства группе Cert Publishers, выполните следующие действия.
Войдите в систему как член группы Domain Admins в домене, в котором будут установлены выдающие центры сертификации.
Запустите оснастку консоли управления «Active Directory — пользователи и компьютеры».
Откройте меню «Вид» и убедитесь в том, что элемент «Дополнительные параметры» выбран.
Найдите группу Cert Publishers (по умолчанию она находится в контейнере Users) и отобразите ее свойства.
На вкладке «Безопасность» добавьте группу Enterprise PKI Admins и нажмите кнопку «Дополнительно».
Выберите из списка группу Enterprise PKI Admins и нажмите кнопку «Изменить».
Откройте вкладку «Свойства» и убедитесь в том, что в поле «Применять» выбран вариант «Только для этого объекта».
Прокрутите столбец «Разрешить» и щелкните в нем поле «Запись членов» (Write Members).
Сохраните изменения и закройте по очереди все диалоговые окна, нажимая кнопку ОК.
Перезапустите сервер выдающего центра сертификации перед установкой компонента «Службы сертификации». После перезапуска сервер сможет выбрать членство в новой группе в своем маркере доступа.