- •Для кого предназначен этот документ
- •Определение
- •Трудности
- •Функциональные преимущества
- •Выбор оптимального решения для обеспечения безопасности беспроводной сети
- •Отказ от развертывания беспроводной сети
- •Использование стандарта wpa с протоколом eap-tls
- •Использование стандарта wpa с протоколом peap-ms-chap v2
- •Использование стандарта wpa с протоколом peap-ms-chap v2 и службами сертификации
- •Использование технологии vpn
- •Использование протокола iPsec
- •Использование протокола wep
- •Разработка защищенного беспроводного сетевого решения
- •Алгоритм Microsoft для выбора подхода к защите беспроводной сети
- •Сертификаты
- •Создание заявления об использовании сертификатов
- •Иерархия центров сертификации
- •Проверка подлинности в Интернете
- •Имеющиеся radius-серверы
- •Перемещение при сбое radius-сервера и балансировка нагрузки
- •Централизованные или распределенные серверы службы проверки подлинности в Интернете
- •Оценка нагрузки на серверы и требований к аппаратным средствам
- •Проверка подлинности по стандарту wpa 802.11
- •Требования к клиентским системам
- •Чтобы установить службы iis, выполните следующие действия.
- •Подготовка службы Active Directory к использованию инфраструктуры открытого ключа
- •Предоставьте группе Enterprise pki Admins разрешения на создание и удаление групп в подразделении служб сертификации и его дочерних контейнерах.
- •Предоставление разрешений на восстановление группе Enterprise pki Admins
- •Чтобы предоставить разрешения на восстановление файлов и каталогов группе Enterprise pki Admins, выполните следующие действия.
- •Конфигурирование сервера корневого центра сертификации
- •Файл caPolicy.Inf
- •Чтобы создать файл caPolicy.Inf, выполните следующие действия.
- •Чтобы опубликовать сертификат и список отзыва сертификатов корневого центра сертификации в службе Active Directory, выполните следующие действия.
- •Публикация сертификата и списка отзыва сертификатов корневого центра сертификации на веб-сервере
- •Чтобы опубликовать сертификат и список отзыва сертификатов корневого центра сертификации на веб-сервере, выполните следующие действия.
- •Установка сертификата в выдающем центре сертификации
- •Чтобы автоматизировать публикацию списков отзыва сертификатов, выполните следующие действия.
- •Создание серверов службы проверки подлинности в Интернете
- •Настройка параметров защиты сервера
- •Установка и конфигурирование службы проверки подлинности в Интернете
- •Создание групп Active Directory, необходимых для доступа к беспроводной сети
- •Добавление пользователей и компьютеров в группы автоматической подачи заявок на сертификаты
- •Конфигурирование инфраструктуры доступа к беспроводной сети
- •Распространение конфигурации на несколько серверов службы проверки подлинности в Интернете
- •Развертывание сертификатов проверки подлинности в беспроводной сети
- •Чтобы включить автоматическую подачу заявок на сертификаты для всех пользователей и компьютеров в домене, выполните следующие действия.
- •Добавление компьютеров в группы безопасности для групповой политики беспроводной сети
- •Требования к клиентским системам wpa2
- •Аннотация
Создание групп Active Directory, необходимых для доступа к беспроводной сети
Используя учетную запись с разрешением на создание групп безопасности Active Directory, нужно выполнить следующий сценарий. Он создает группы, необходимые для подачи заявок на сертификаты проверки подлинности в беспроводной сети, а также реализации политики удаленного доступа и групповой политики беспроводной сети.
Копировать код
Cscript //job:CreateWirelessGroups C:\MSSScripts\wl_tools.wsf
Примечание. В средах лесов с несколькими доменами эти группы нужно создать в том же домене, что и группу пользователей беспроводной сети.
Проверка параметров серверов DHCP
Чтобы адаптировать серверы DHCP к беспроводной сети, им надо назначить области действия, специфические для беспроводной сети, а время выделения IP-адресов следует сократить в сравнении с клиентами в кабельной сети. Для проверки того, правильно ли сконфигурированы серверы DHCP, обратитесь к их администраторам. Дополнительные сведения о настройке серверов DHCP в беспроводных сетях см. в руководстве по развертыванию сервера Windows Server 2003 по адресу www.microsoft.com/windowsserver2003/techinfo/reskit/deploykit.mspx (эта ссылка может указывать на содержимое полностью или частично на английском языке).
Настройка сертификатов проверки подлинности в беспроводной сети
Для реализации рассматриваемой системы обеспечения безопасности беспроводной сети на основе протокола EAP-TLS необходимо создать и выполнить развертывание сертификатов следующих типов:
Client Authentication — Computer
Client Authentication — User
RAS and IAS Server Authentication
Создание шаблона сертификатов для проверки подлинности серверами службы проверки подлинности в Интернете
Для проверки подлинности компьютеров на клиентских системах на этапе подтверждения соединения EAP-TLS серверам службы проверки подлинности в Интернете необходим серверный сертификат. Чтобы создать шаблон сертификатов проверки подлинности серверов для серверов службы проверки подлинности в Интернете, администратор служб сертификации должен выполнить процедуру, описанную ниже.
Чтобы создать шаблон сертификатов проверки подлинности серверов, выполните следующие действия.
Войдите в систему выдающего центра сертификации, используя учетную запись административной группы центра сертификации, и запустите консоль управления шаблонами сертификатов.
Создайте дубликат шаблона сертификатов серверов RAS и IAS. В окне свойств нового шаблона откройте вкладку «Общие» и введите в поле «Отображаемое имя шаблона» строку RAS and IAS Server Authentication.
Откройте вкладку «Расширения» и убедитесь в том, что политики выдачи содержат только элемент «Проверка подлинности сервера (OID 1.3.6.1.5.5.7.3.1)».
На вкладке «Расширения» добавьте в список политик выдачи политику «Средняя надежность».
На вкладке «Имя субъекта» выберите вариант «Строится на основе данных Active Directory». Убедитесь также в том, что параметру «Формат имени субъекта» присвоено значение «Общее имя» и что только элемент «DNS-имя» выбран в списке «Включить эту информацию в разделе «Дополнительное имя субъекта».
На вкладке «Обработка запроса» нажмите кнопку «Поставщики» и убедитесь в том, что задан параметр «Запросы должны использовать один из следующих CSP» и выбран только поставщик Microsoft RSA SChannel Cryptographic Provider.
Добавьте на вкладке «Безопасность» группу безопасности AutoEnroll RAS and IAS Server Authentication Certificate с разрешениями на чтение, подачу заявок и автоматическую подачу заявок и удалите все остальные группы, которые могут иметь разрешения на подачу заявок или автоматическую подачу заявок на этот шаблон сертификатов.
Примечание. Возможно, имеет смысл указать, что этот сертификат должен быть утвержден диспетчером сертификатов, потому что считается, что он имеет сравнительно высокую важность для обеспечения безопасности. Задание этого параметра поможет предотвратить регистрацию нелегального сервера службы проверки подлинности в Интернете, но после выдачи и автоматической отправки сертификатов сервером службы проверки подлинности в Интернете их нужно будет утверждать вручную.
Создание шаблона сертификатов для проверки подлинности пользователей
Для успешного прохождения проверки подлинности, выполняемой сервером службы проверки подлинности в Интернете во время подтверждения соединения EAP-TLS, пользователи должны иметь пользовательские сертификаты. Следующие этапы также должны быть выполнены владельцем учетной записи, назначенным администратором служб сертификации.
Чтобы создать шаблон сертификатов для проверки подлинности пользователей, выполните следующие действия.
Запустите на сервере выдающего центра сертификации оснастку консоли управления «Шаблоны сертификатов».
Создайте дубликат шаблона «Сеанс, прошедший проверку подлинности» и введите на вкладке «Общие» в поле «Отображаемое имя шаблона» строку Client Authentication — User.
На вкладке «Обработка запроса» установите флажок «Поставщики» и снимите флажки Microsoft Base DSS Cryptographic Provider.
Убедитесь в том, что на вкладке «Имя субъекта» выбран вариант «Строится на основе данных Active Directory». Присвойте параметру «Формат имени субъекта» значение «Общее имя». Убедитесь в том, что в списке «Включить эту информацию в дополнительное имя субъекта» выбран только элемент «Имя участника-пользователя (UPN)».
Откройте вкладку «Расширения» и убедитесь в том, что список «Политики приложения» содержит только элемент «Проверка подлинности клиента (OID 1.3.6.1.5.5.7.3.2». Добавьте в список политик выдачи политику «Низкая надежность».
На вкладке «Безопасность» добавьте группу безопасности «AutoEnroll Client Authentication — User Certificate» с разрешениями на чтение, подачу заявок и автоматическую подачу заявок. Любые другие группы с разрешениями на подачу заявок или автоматическую подачу заявок следует удалить.
Создание шаблона сертификатов для проверки подлинности компьютеров
Этот шаблон используется компьютерами при прохождении проверки подлинности, выполняемой сервером службы проверки подлинности в Интернете во время подтверждения соединения EAP-TLS. Опять-таки, администратор служб сертификации должен выполнить следующие задачи.
Чтобы создать шаблон сертификатов для проверки подлинности пользователей, выполните следующие действия.
Запустите на сервере выдающего центра сертификации оснастку консоли управления «Шаблоны сертификатов».
Создайте дубликат шаблона «Проверка подлинности рабочей станции». На вкладке «Общие» нового шаблона введите в поле «Отображаемое имя шаблона» строку «Client Authentication — Computer».
Убедитесь в том, что на вкладке «Имя субъекта» выбран вариант «Строится на основе данных Active Directory». Присвойте параметру «Формат имени субъекта» значение «Общее имя». Убедитесь в том, что в списке «Включить эту информацию в дополнительное имя субъекта» выбран только элемент «DNS-имя».
Откройте вкладку «Расширения» и убедитесь в том, что список политик приложения включает только элемент «Проверка подлинности клиента (OID 1.3.6.1.5.5.7.3.2)». Добавьте в список «Политики выдачи» политику «Низкая надежность».
На вкладке «Безопасность» добавьте группу безопасности «AutoEnroll Client Authentication — Computer Certificate» с разрешениями на чтение, подачу заявок и автоматическую подачу заявок. Любые другие группы с этими разрешениями следует удалить.
Добавление сертификатов проверки подлинности в беспроводной сети в центр сертификации
Теперь шаблоны сертификатов сконфигурированы, и их нужно добавить в центр сертификации, чтобы можно было подавать заявки на сертификаты. Для этого администратор служб сертификации должен выполнить следующие задачи.
Чтобы добавить шаблоны сертификатов в центр сертификации, выполните следующие действия.
Запустите на выдающем центре сертификации оснастку консоли управления «Центр сертификации», щелкните правой кнопкой мыши папку «Шаблоны сертификатов», выберите «Создать» и щелкните «Выдаваемый шаблон сертификата». Выберите следующие сертификаты, после чего нажмите кнопку ОК.
Client Authentication — Computer
Client Authentication — User
RAS and IAS Server Authentication
Подача заявки на сертификат сервера службы проверки подлинности в Интернете
Процесс развертывания серверных сертификатов проверки подлинности на серверах службы проверки подлинности в Интернете достаточно прост и в значительной степени автоматизирован.
Чтобы развернуть серверные сертификаты проверки подлинности на сервере службы проверки подлинности в Интернете, выполните следующие действия.
Запустите оснастку консоли управления «Active Directory — пользователи и компьютеры» и добавьте учетные записи серверов службы проверки подлинности в Интернете в группу безопасности AutoEnroll RAS and IAS Server Authentication Certificate.
Перезапустите сервер службы проверки подлинности в Интернете и войдите в систему как член локальной группы администраторов.
Введите в командной строке команду GPUPDATE /force.
Откройте консоль управления MMC и добавьте оснастку «Сертификаты». Когда будет выведено соответствующее предложение, выберите вариант «Учетная запись компьютера», а затем — «Локальный компьютер».
Выберите в древовидном списке консоли элемент «Сертификаты (локальный компьютер», выберите в меню «Действие» пункт «Все задачи» и щелкните команду «Подавать заявки на сертификаты автоматически».
Примечание. Если параметр, требующий утверждения сертификата диспетчером сертификатов, задан, администратор центра сертификации должен будет проверить корректность этого запроса и выдать сертификат.