- •Для кого предназначен этот документ
- •Определение
- •Трудности
- •Функциональные преимущества
- •Выбор оптимального решения для обеспечения безопасности беспроводной сети
- •Отказ от развертывания беспроводной сети
- •Использование стандарта wpa с протоколом eap-tls
- •Использование стандарта wpa с протоколом peap-ms-chap v2
- •Использование стандарта wpa с протоколом peap-ms-chap v2 и службами сертификации
- •Использование технологии vpn
- •Использование протокола iPsec
- •Использование протокола wep
- •Разработка защищенного беспроводного сетевого решения
- •Алгоритм Microsoft для выбора подхода к защите беспроводной сети
- •Сертификаты
- •Создание заявления об использовании сертификатов
- •Иерархия центров сертификации
- •Проверка подлинности в Интернете
- •Имеющиеся radius-серверы
- •Перемещение при сбое radius-сервера и балансировка нагрузки
- •Централизованные или распределенные серверы службы проверки подлинности в Интернете
- •Оценка нагрузки на серверы и требований к аппаратным средствам
- •Проверка подлинности по стандарту wpa 802.11
- •Требования к клиентским системам
- •Чтобы установить службы iis, выполните следующие действия.
- •Подготовка службы Active Directory к использованию инфраструктуры открытого ключа
- •Предоставьте группе Enterprise pki Admins разрешения на создание и удаление групп в подразделении служб сертификации и его дочерних контейнерах.
- •Предоставление разрешений на восстановление группе Enterprise pki Admins
- •Чтобы предоставить разрешения на восстановление файлов и каталогов группе Enterprise pki Admins, выполните следующие действия.
- •Конфигурирование сервера корневого центра сертификации
- •Файл caPolicy.Inf
- •Чтобы создать файл caPolicy.Inf, выполните следующие действия.
- •Чтобы опубликовать сертификат и список отзыва сертификатов корневого центра сертификации в службе Active Directory, выполните следующие действия.
- •Публикация сертификата и списка отзыва сертификатов корневого центра сертификации на веб-сервере
- •Чтобы опубликовать сертификат и список отзыва сертификатов корневого центра сертификации на веб-сервере, выполните следующие действия.
- •Установка сертификата в выдающем центре сертификации
- •Чтобы автоматизировать публикацию списков отзыва сертификатов, выполните следующие действия.
- •Создание серверов службы проверки подлинности в Интернете
- •Настройка параметров защиты сервера
- •Установка и конфигурирование службы проверки подлинности в Интернете
- •Создание групп Active Directory, необходимых для доступа к беспроводной сети
- •Добавление пользователей и компьютеров в группы автоматической подачи заявок на сертификаты
- •Конфигурирование инфраструктуры доступа к беспроводной сети
- •Распространение конфигурации на несколько серверов службы проверки подлинности в Интернете
- •Развертывание сертификатов проверки подлинности в беспроводной сети
- •Чтобы включить автоматическую подачу заявок на сертификаты для всех пользователей и компьютеров в домене, выполните следующие действия.
- •Добавление компьютеров в группы безопасности для групповой политики беспроводной сети
- •Требования к клиентским системам wpa2
- •Аннотация
Чтобы автоматизировать публикацию списков отзыва сертификатов, выполните следующие действия.
Войдите на сервер выдающего центра сертификации, используя учетную запись из группы локальных администраторов.
Убедитесь в том, что с этого сервера доступна папка веб-сервера.
Если веб-сервер является удаленным, выдающему центру сертификации потребуются права на запись данных в папку файловой системы (доступ с правом Modify) и в общее хранилище (доступ с правом Change). Если удаленный веб-сервер является членом леса, для предоставления доступа следует использовать группу Cert Publishers домена; это гарантирует, что любой центр сертификации предприятия сможет публиковать сертификаты и списки отзыва сертификатов.
Создайте для копирования списков отзыва сертификатов запланированное задание, выполнив следующую команду:
Примечание. Следующий фрагмент кода разбит на строки исключительно ради удобства чтения. Его нужно ввести как одну строку.
Копировать код
schtasks /creat /tn “Publish CRLs” /tr “cscript.exe //job:PublishIssCRLsToIIS C:\
MSSScripts\CA_Operations.wsf” /sc Hourly /ru “System”
Удаление ненужных шаблонов выдающего центра сертификации
Как правило, следует удалять шаблоны, соответствующие всем типам сертификатов, которые не будут использоваться, чтобы их нельзя было выдать случайно. Эти шаблоны всегда имеются в каталоге, и в случае надобности их можно легко создать заново.
Чтобы удалить ненужные сертификаты в выдающем центре сертификации, выполните следующие действия.
Войдите в систему как член группы CA Admins домена.
Выберите в консоли управления центром сертификации контейнер шаблонов сертификатов.
Удалите шаблоны следующих типов:
Агент восстановления EFS
Базовое шифрование EFS
Веб-сервер
Компьютер
Пользователь
Подчиненный центр сертификации
Администратор
Проверка подлинности в Интернете
В этом разделе приводятся сведения о внедрении инфраструктуры RADIUS, обеспечивающей поддержку защищенного решения для беспроводных сетей, которое описывается в данном руководстве. Инфраструктура RADIUS, реализация которой описана в данном руководстве, основана на серверах проверки подлинности в Интернете ОС Windows Server 2003.
Проектирование инфраструктуры RADIUS
Приведенные ниже таблицы можно использовать для накопления необходимых данных, к которым мы будем обращаться в этом руководстве. Некоторые из этих данных задаются с использованием сценариев, прилагаемых к данному руководству, а другие устанавливаются вручную. Как это сделать, описано в соответствующих разделах.
Конфигурационные данные, задаваемые пользователем
В следующей таблице указаны необходимые параметры, специфические для каждой организации. Перед продолжением убедитесь в том, что эта информация собрана, проверена и задокументирована.
Таблица 15. Параметры конфигурации, задаваемые пользователем
Параметр |
Значение |
DNS-имя корневого домена леса Active Directory |
|
NetBIOS-имя домена |
|
Имя основного сервера IAS |
|
Имя дополнительного сервера IAS |
|
Данные конфигурации, определяемые решением
Параметры, указанные в следующей таблице, не следует изменять без необходимости. Перед их изменением нужно полностью разобраться с последствиями этого и зависимостями, которые могут в результате возникнуть, включая необходимость внесения изменений в сценарии.
Таблица 16. Параметры конфигурации, определяемые решением
Параметр |
Значение |
Полное имя административной группы, которой принадлежит контроль над конфигурацией службы проверки подлинности в Интернете |
IAS Admins |
Полное имя группы, члены которой проверяют журналы запросов и учета службы проверки подлинности в Интернете |
IAS Security Auditors |
Путь к сценариям установки |
C:\MSSScripts |
Командный файл экспорта конфигурации службы проверки подлинности в Интернете |
IASExport.bat |
Командный файл импорта конфигурации службы проверки подлинности в Интернете |
IASImport.bat |
Командный файл экспорта конфигурации клиента службы проверки подлинности в Интернете RADIUS |
IASClientExport.bat |
Командный файл экспорта конфигурации клиента службы проверки подлинности в Интернете RADIUS |
IASClientImport.bat |
Путь к файлам резервной копии конфигурации |
D:\IASConfig |
Путь к журналам запросов проверки подлинности и аудита службы проверки подлинности в Интернете |
D:\IASLogs |
Общее имя журналов запросов RADIUS |
IASLogs |