- •Для кого предназначен этот документ
- •Определение
- •Трудности
- •Функциональные преимущества
- •Выбор оптимального решения для обеспечения безопасности беспроводной сети
- •Отказ от развертывания беспроводной сети
- •Использование стандарта wpa с протоколом eap-tls
- •Использование стандарта wpa с протоколом peap-ms-chap v2
- •Использование стандарта wpa с протоколом peap-ms-chap v2 и службами сертификации
- •Использование технологии vpn
- •Использование протокола iPsec
- •Использование протокола wep
- •Разработка защищенного беспроводного сетевого решения
- •Алгоритм Microsoft для выбора подхода к защите беспроводной сети
- •Сертификаты
- •Создание заявления об использовании сертификатов
- •Иерархия центров сертификации
- •Проверка подлинности в Интернете
- •Имеющиеся radius-серверы
- •Перемещение при сбое radius-сервера и балансировка нагрузки
- •Централизованные или распределенные серверы службы проверки подлинности в Интернете
- •Оценка нагрузки на серверы и требований к аппаратным средствам
- •Проверка подлинности по стандарту wpa 802.11
- •Требования к клиентским системам
- •Чтобы установить службы iis, выполните следующие действия.
- •Подготовка службы Active Directory к использованию инфраструктуры открытого ключа
- •Предоставьте группе Enterprise pki Admins разрешения на создание и удаление групп в подразделении служб сертификации и его дочерних контейнерах.
- •Предоставление разрешений на восстановление группе Enterprise pki Admins
- •Чтобы предоставить разрешения на восстановление файлов и каталогов группе Enterprise pki Admins, выполните следующие действия.
- •Конфигурирование сервера корневого центра сертификации
- •Файл caPolicy.Inf
- •Чтобы создать файл caPolicy.Inf, выполните следующие действия.
- •Чтобы опубликовать сертификат и список отзыва сертификатов корневого центра сертификации в службе Active Directory, выполните следующие действия.
- •Публикация сертификата и списка отзыва сертификатов корневого центра сертификации на веб-сервере
- •Чтобы опубликовать сертификат и список отзыва сертификатов корневого центра сертификации на веб-сервере, выполните следующие действия.
- •Установка сертификата в выдающем центре сертификации
- •Чтобы автоматизировать публикацию списков отзыва сертификатов, выполните следующие действия.
- •Создание серверов службы проверки подлинности в Интернете
- •Настройка параметров защиты сервера
- •Установка и конфигурирование службы проверки подлинности в Интернете
- •Создание групп Active Directory, необходимых для доступа к беспроводной сети
- •Добавление пользователей и компьютеров в группы автоматической подачи заявок на сертификаты
- •Конфигурирование инфраструктуры доступа к беспроводной сети
- •Распространение конфигурации на несколько серверов службы проверки подлинности в Интернете
- •Развертывание сертификатов проверки подлинности в беспроводной сети
- •Чтобы включить автоматическую подачу заявок на сертификаты для всех пользователей и компьютеров в домене, выполните следующие действия.
- •Добавление компьютеров в группы безопасности для групповой политики беспроводной сети
- •Требования к клиентским системам wpa2
- •Аннотация
Предоставление разрешений на восстановление группе Enterprise pki Admins
Для установки служб сертификации необходимо право на восстановление файлов и каталогов в том домене, в котором будет размещен центр сертификации предприятия. Оно необходимо для объединения дескрипторов безопасности шаблонов и других объектов каталогов, что позволяет предоставить корректные разрешения объектам инфраструктуры открытых ключей домена. Имеющиеся в домене группы администраторов, операторов сервера и операторов архива имеют это право по умолчанию.
Так как для установки центра сертификации будет использована группа Enterprise PKI Admins, ей нужно предоставить право на восстановление файлов и каталогов.
Чтобы предоставить разрешения на восстановление файлов и каталогов группе Enterprise pki Admins, выполните следующие действия.
Войдите в систему как член группы администраторов домена, в котором будет установлен выдающий центр сертификации.
Запустите оснастку консоли управления «Active Directory — пользователи и компьютеры».
Выберите подразделение контроллеров домена и откройте его свойства.
На вкладке «Групповая политика» выберите пункт «GPO — политика контроллеров домена по умолчанию» и нажмите на кнопку «Изменить».
Откройте папку Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment и дважды щелкните «Восстановление файлов и каталогов».
Добавьте в отображенный список группу Enterprise PKI Admins.
Закройте диалоговое окно и консоль управления объектами групповой политики.
Примечание. Если есть другие объекты групповой политики, задающие на контроллерах домена право пользователя на восстановление файлов и каталогов, эту процедуру нужно выполнять с использованием объекта с наивысшим приоритетом, а не с использованием политики контроллеров домена по умолчанию. Параметры прав пользователей не накапливаются, и будет действовать только последний примененный объект групповой политики, имеющий это право.
Конфигурирование сервера корневого центра сертификации
Как было сказано выше, в этом руководстве не приводятся пошаговые инструкции по установке ОС Windows Server 2003, потому что в большинстве компаний уже имеется документированный процесс установки серверов. Серверы корневых центров сертификации отличаются от других серверов в том смысле, что их никогда не подключают к сети; это нужно для того, чтобы они не были скомпрометированы.
Таким образом, при установке и настройке сервера корневого центра сертификации нужно гарантировать, что он не будет подключен к сети. На некотором этапе для предотвращения случайного подключения нужно отключить его сетевые адаптеры. Из-за того, что этот сервер не будет подключен к сети, он будет находиться в рабочей группе, имя которой следует выбрать и зафиксировать перед установкой сервера.
Примечание. Несмотря на то, что корневой центр сертификации создается и работает в автономном режиме, его имя должно быть уникальным в сетевой среде.
Файл caPolicy.Inf
Выбрав подходящий сервер для создания корневого центра сертификации и установив на него операционную систему, следует создать файл capolicy.inf. Этот файл необходим для создания корневого центра сертификации, потому что он определяет характеристики сертификата корневого центра сертификации с собственной подписью, такие как длина ключа и срок действия сертификата.
Информация о списках отзыва сертификатов и доступа к сведениям о центрах сертификации не нужна для сертификата корневого центра сертификации, поэтому в файле capolicy.inf параметры CRLDistributionPoint и AuthorityInformationAccess имеют значение Empty.