- •Для кого предназначен этот документ
- •Определение
- •Трудности
- •Функциональные преимущества
- •Выбор оптимального решения для обеспечения безопасности беспроводной сети
- •Отказ от развертывания беспроводной сети
- •Использование стандарта wpa с протоколом eap-tls
- •Использование стандарта wpa с протоколом peap-ms-chap v2
- •Использование стандарта wpa с протоколом peap-ms-chap v2 и службами сертификации
- •Использование технологии vpn
- •Использование протокола iPsec
- •Использование протокола wep
- •Разработка защищенного беспроводного сетевого решения
- •Алгоритм Microsoft для выбора подхода к защите беспроводной сети
- •Сертификаты
- •Создание заявления об использовании сертификатов
- •Иерархия центров сертификации
- •Проверка подлинности в Интернете
- •Имеющиеся radius-серверы
- •Перемещение при сбое radius-сервера и балансировка нагрузки
- •Централизованные или распределенные серверы службы проверки подлинности в Интернете
- •Оценка нагрузки на серверы и требований к аппаратным средствам
- •Проверка подлинности по стандарту wpa 802.11
- •Требования к клиентским системам
- •Чтобы установить службы iis, выполните следующие действия.
- •Подготовка службы Active Directory к использованию инфраструктуры открытого ключа
- •Предоставьте группе Enterprise pki Admins разрешения на создание и удаление групп в подразделении служб сертификации и его дочерних контейнерах.
- •Предоставление разрешений на восстановление группе Enterprise pki Admins
- •Чтобы предоставить разрешения на восстановление файлов и каталогов группе Enterprise pki Admins, выполните следующие действия.
- •Конфигурирование сервера корневого центра сертификации
- •Файл caPolicy.Inf
- •Чтобы создать файл caPolicy.Inf, выполните следующие действия.
- •Чтобы опубликовать сертификат и список отзыва сертификатов корневого центра сертификации в службе Active Directory, выполните следующие действия.
- •Публикация сертификата и списка отзыва сертификатов корневого центра сертификации на веб-сервере
- •Чтобы опубликовать сертификат и список отзыва сертификатов корневого центра сертификации на веб-сервере, выполните следующие действия.
- •Установка сертификата в выдающем центре сертификации
- •Чтобы автоматизировать публикацию списков отзыва сертификатов, выполните следующие действия.
- •Создание серверов службы проверки подлинности в Интернете
- •Настройка параметров защиты сервера
- •Установка и конфигурирование службы проверки подлинности в Интернете
- •Создание групп Active Directory, необходимых для доступа к беспроводной сети
- •Добавление пользователей и компьютеров в группы автоматической подачи заявок на сертификаты
- •Конфигурирование инфраструктуры доступа к беспроводной сети
- •Распространение конфигурации на несколько серверов службы проверки подлинности в Интернете
- •Развертывание сертификатов проверки подлинности в беспроводной сети
- •Чтобы включить автоматическую подачу заявок на сертификаты для всех пользователей и компьютеров в домене, выполните следующие действия.
- •Добавление компьютеров в группы безопасности для групповой политики беспроводной сети
- •Требования к клиентским системам wpa2
- •Аннотация
Установка и конфигурирование службы проверки подлинности в Интернете
В этом разделе рассматривается установка службы проверки подлинности в Интернете на серверы. Каждый этап установки и конфигурирования необходимо выполнить на каждом сервере службы проверки подлинности в Интернете.
Для установки службы проверки подлинности в Интернете нужно выбрать в диспетчере дополнительных компонентов Windows (доступ к которому осуществляется через пункт «Установка и удаление компонентов» панели управления) компонент «Сетевые службы — служба проверки подлинности в Интернете». Чтобы упростить этот процесс, воспользуйтесь следующим сценарием:
Копировать код
sysocmgr /i:sysoc.inf /u:C:\MSSScripts\OC_AddIAS.txt
Регистрация службы проверки подлинности в Интернете в Active Directory
Серверы службы проверки подлинности в Интернете нужно зарегистрировать в каждом домене, включив учетную запись каждого сервера службы проверки подлинности в Интернете в группу безопасности «Серверы RAS и IAS» в каждом домене, в котором они будут использоваться для проверки подлинности. Членство в этих группах гарантирует, что у серверов службы проверки подлинности в Интернете будет разрешение на чтение свойств удаленного доступа всех учетных записей пользователей и компьютеров в доменах.
Чтобы зарегистрировать серверы службы проверки подлинности в Интернете в Active Directory, выполните следующие действия.
Зайдите на каждый сервер, используя учетную запись с правами администратора домена в тех доменах, в которых нужно зарегистрировать сервер службы проверки подлинности в Интернете.
Для домена по умолчанию введите в командной строке следующую команду:
Копировать код
netsh ras add registeredserver
Для других доменов введите в командной строке следующую команду:
Копировать код
netsh ras add registeredserver domain = DomainName
Примечание. Объект сервера службы проверки подлинности в Интернете можно также добавить в группу безопасности «Серверы RAS и IAS» с помощью оснастки консоли управления «Active Directory — пользователи и компьютеры».
Создание и защита каталогов данных службы проверки подлинности в Интернете
К каталогам, в которых будут храниться конфигурационные данные и данные журналов на серверах службы проверки подлинности в Интернете, предъявляются определенные требования. Чтобы упростить создание и защиту этих каталогов, запустите в командной строке следующий командный файл:
Копировать код
C:\MSSScripts\IAS_Data.bat
Примечание. Возможно, перед выполнением этого файла его придется отредактировать, заменив записи %DomainName% в соответствии с NETBIOS-именем домена конкретной среды.
Конфигурирование основного сервера службы проверки подлинности в Интернете
Сервер, выбранный в качестве основного сервера службы проверки подлинности в Интернете, нужно сконфигурировать раньше всех остальных серверов службы проверки подлинности в Интернете в среде, потому что он будет использоваться в качестве шаблона при их настройке.
Запись запросов проверки подлинности и учета в журналы
По умолчанию служба проверки подлинности в Интернете не записывает запросы проверки подлинности и учета RADIUS в журнал, но эти функции необходимо активировать, чтобы обеспечить регистрацию событий безопасности и возможность их использования при необходимости проведения расследований.
Чтобы настроить запись запросов проверки подлинности и учета в журналы, выполните следующие действия.
Выберите в оснастке консоли управления «Служба проверки подлинности в Интернете» журнал удаленного доступа и отобразите свойства метода ведения журнала «Локальный файл».
Выберите запросы учета и запросы проверки подлинности.
Убедитесь в том, что в качестве каталога файла журнала задан каталог D:\IASLogs и что выбран формат, совместимый с базой данных (это позволяет импортировать журналы непосредственно в базы данных, такие как Microsoft SQL Server™).
Проверка подлинности в беспроводной сети с использованием протокола 802.1X
В этом разделе описывается защита беспроводной сети на основе спецификации протокола 802.1X на платформах Windows Server 2003 и Windows XP с пакетом обновления 1 (SP1). В нем приводится информация о настройке групп Active Directory, развертывании сертификатов X.509, изменении параметров серверов службы проверки подлинности в Интернете и реализации групповой политики беспроводной сети, а также даются некоторые рекомендации по конфигурированию точек доступа для поддержки реализации протокола 802.1X EAP-TLS, которая лежит в основе описываемого решения.
Подготовка среды к развертыванию защищенной беспроводной сети
После развертывания базовых инфраструктур сертификатов и RADIUS можно приступать к выполнению конкретных действий по настройке протокола 802.1X. Приведенные ниже таблицы предварительных настроек помогут собрать данные, которые понадобятся, чтобы приступить непосредственно к реализации решения. Некоторые из этих параметров задаются вручную, а другие — с помощью сценариев, прилагаемых к данному руководству.
Параметры конфигурации, задаваемые пользователем
В следующей таблице указаны специфичные для организации параметры, которые следует определить перед дальнейшим развертыванием защищенной беспроводной сети. Можете вписать фактические значения этих параметров в конкретной среде в пустые ячейки таблицы.
Таблица 17. Параметры, которые должны быть заданы пользователем
Параметр |
Значение |
DNS-имя корневого домена леса Active Directory |
|
NetBIOS-имя домена |
|
Имя основного сервера IAS |
|
Имя дополнительного сервера IAS |
|
Конфигурационные параметры, определяемые решением
Параметры, указанные в следующей таблице, не следует изменять без необходимости. Перед их изменением нужно полностью разобраться с последствиями этого и зависимостями, которые могут в результате возникнуть, включая необходимость внесения изменений в сценарии.
Таблица 18. Параметры конфигурации, определяемые решением
Параметр |
Значение |
Глобальная группа Active Directory, контролирующая развертывание сертификатов проверки подлинности пользователей стандарта 802.1X. |
AutoEnroll Client Authentication — User Certificate |
Глобальная группа Active Directory, контролирующая развертывание сертификатов проверки подлинности компьютеров стандарта 802.1X. |
AutoEnroll Client Authentication — Computer Certificate |
Глобальная группа Active Directory, содержащая сервер службы проверки подлинности в Интернете, который нуждается в сертификатах проверки подлинности по стандарту 802.1X. |
AutoEnroll RAS and IAS Server Authentication Certificate |
Глобальная группа Active Directory, содержащая пользователей, которым разрешен доступ к беспроводной сети. |
Remote Access Policy — Wireless Users |
Глобальная группа Active Directory, содержащая компьютеры, которым разрешен доступ к беспроводной сети. |
Remote Access Policy — Wireless Computers |
Универсальная группа Active Directory, содержащая группы Wireless Users и Wireless Computers. |
Remote Access Policy — Wireless Access |
Глобальная группа Active Directory, содержащая компьютеры, нуждающиеся в конфигурировании свойств беспроводной сети. |
Wireless Network Policy — Computer |
Шаблон сертификатов, используемый для создания сертификатов для проверки подлинности пользователей-клиентов. |
Client Authentication — User |
Шаблон сертификатов, используемый для создания сертификатов для проверки подлинности компьютеров-клиентов. |
Client Authentication — Computer |
Шаблон сертификатов, используемый для создания серверных сертификатов проверки подлинности для службы проверки подлинности в Интернете. |
RAS and IAS Server Authentication |
Путь к сценариям установки |
C:\MSSScripts |
Путь к файлам резервной копии конфигурации |
D:\IASConfig |
Путь к журналам проверки подлинности и учета службы проверки подлинности в Интернете |
D:\IASLogs |
Название политики |
Allow Wireless Access |
Имя объекта групповой политики Active Directory |
Wireless Network Policy |
Политика беспроводной сети в указанном выше объекте групповой политики |
Client Computer Wireless Configuration |