- •Для кого предназначен этот документ
- •Определение
- •Трудности
- •Функциональные преимущества
- •Выбор оптимального решения для обеспечения безопасности беспроводной сети
- •Отказ от развертывания беспроводной сети
- •Использование стандарта wpa с протоколом eap-tls
- •Использование стандарта wpa с протоколом peap-ms-chap v2
- •Использование стандарта wpa с протоколом peap-ms-chap v2 и службами сертификации
- •Использование технологии vpn
- •Использование протокола iPsec
- •Использование протокола wep
- •Разработка защищенного беспроводного сетевого решения
- •Алгоритм Microsoft для выбора подхода к защите беспроводной сети
- •Сертификаты
- •Создание заявления об использовании сертификатов
- •Иерархия центров сертификации
- •Проверка подлинности в Интернете
- •Имеющиеся radius-серверы
- •Перемещение при сбое radius-сервера и балансировка нагрузки
- •Централизованные или распределенные серверы службы проверки подлинности в Интернете
- •Оценка нагрузки на серверы и требований к аппаратным средствам
- •Проверка подлинности по стандарту wpa 802.11
- •Требования к клиентским системам
- •Чтобы установить службы iis, выполните следующие действия.
- •Подготовка службы Active Directory к использованию инфраструктуры открытого ключа
- •Предоставьте группе Enterprise pki Admins разрешения на создание и удаление групп в подразделении служб сертификации и его дочерних контейнерах.
- •Предоставление разрешений на восстановление группе Enterprise pki Admins
- •Чтобы предоставить разрешения на восстановление файлов и каталогов группе Enterprise pki Admins, выполните следующие действия.
- •Конфигурирование сервера корневого центра сертификации
- •Файл caPolicy.Inf
- •Чтобы создать файл caPolicy.Inf, выполните следующие действия.
- •Чтобы опубликовать сертификат и список отзыва сертификатов корневого центра сертификации в службе Active Directory, выполните следующие действия.
- •Публикация сертификата и списка отзыва сертификатов корневого центра сертификации на веб-сервере
- •Чтобы опубликовать сертификат и список отзыва сертификатов корневого центра сертификации на веб-сервере, выполните следующие действия.
- •Установка сертификата в выдающем центре сертификации
- •Чтобы автоматизировать публикацию списков отзыва сертификатов, выполните следующие действия.
- •Создание серверов службы проверки подлинности в Интернете
- •Настройка параметров защиты сервера
- •Установка и конфигурирование службы проверки подлинности в Интернете
- •Создание групп Active Directory, необходимых для доступа к беспроводной сети
- •Добавление пользователей и компьютеров в группы автоматической подачи заявок на сертификаты
- •Конфигурирование инфраструктуры доступа к беспроводной сети
- •Распространение конфигурации на несколько серверов службы проверки подлинности в Интернете
- •Развертывание сертификатов проверки подлинности в беспроводной сети
- •Чтобы включить автоматическую подачу заявок на сертификаты для всех пользователей и компьютеров в домене, выполните следующие действия.
- •Добавление компьютеров в группы безопасности для групповой политики беспроводной сети
- •Требования к клиентским системам wpa2
- •Аннотация
Добавление пользователей и компьютеров в группы автоматической подачи заявок на сертификаты
Пользователи и компьютеры смогут подтвердить свою подлинность и получить доступ к беспроводной сети только при наличии выданных сертификатов пользователей и компьютеров. Процесс выдачи и обновления этих сертификатов прозрачен для пользователей благодаря ранее настроенным группам автоматической подачи заявок на сертификаты.
Для добавления пользователей и их компьютеров в группы автоматической подачи заявок на сертификаты воспользуйтесь оснасткой консоли управления «Active Directory — пользователи и компьютеры». Добавьте учетные записи пользователей в группу AutoEnroll Client Authentication — User Certificate, а их компьютеры — в группу AutoEnroll Client Authentication — Computer Certificate. В результате эти пользователи после перезагрузки своих компьютеров и повторного входа в сеть получат сертификаты пользователей и компьютеров.
Примечание. В рассматриваемом решении для контроля над тем, какие пользователи и компьютеры могут получить сертификаты, применяются пользовательские группы. Если нужно, чтобы все пользователи и компьютеры имели сертификаты, просто добавьте пользователей домена (Domain Users) в группу AutoEnroll Client Authentication — User Certificate, а компьютеры домена (Domain Computers) — в группу AutoEnroll Client Authentication —Computer Certificate.
Конфигурирование инфраструктуры доступа к беспроводной сети
Для основного сервера службы проверки подлинности в Интернете нужно задать политику удаленного доступа и параметры запроса подключения, определяющие процессы проверки подлинности и авторизации клиентов при доступе к беспроводной сети. Затем эти параметры нужно воспроизвести на других серверах службы проверки подлинности в Интернете, после чего каждый сервер службы проверки подлинности в Интернете нужно по отдельности сконфигурировать для приема соединений клиентов RADIUS, таких как точки беспроводного доступа. Далее сами точки беспроводного доступа нужно настроить для использования сервера службы проверки подлинности в Интернете в качестве поставщика услуг проверки подлинности и авторизации в беспроводной сети стандарта 802.1X.
Создание политики удаленного доступа службы проверки подлинности в Интернете для беспроводной сети
Запустите оснастку консоли управления «Служба проверки подлинности в Интернете» на основном сервере службы проверки подлинности в Интернете и настройте эту службу с помощью политики удаленного доступа, следуя приведенным ниже инструкциям.
Чтобы создать политику удаленного доступа, выполните следующие действия.
Щелкните правой кнопкой мыши папку «Политика удаленного доступа» и выберите пункт «Создать политику удаленного доступа».
Назначьте новой политике имя Allow Wireless Access и укажите мастеру настроить типовую политику для общего сценария.
Выберите в качестве метода доступа «Беспроводной доступ».
Предоставьте доступ на основе групп и воспользуйтесь группой безопасности Remote Access Policy — Wireless Access.
Выберите тип «Смарт-карта или иной сертификат для протокола EAP», а затем — серверный сертификат проверки подлинности, установленный для службы проверки подлинности в Интернете.
Завершите работу мастера.
Откройте свойства политики Allow Wireless Access и щелкните «Изменить профиль».
На вкладке «Дополнительно» добавьте атрибут Ignore-User-Dialin-Properties и присвойте ему значение True, после чего добавьте атрибут Termination-Action со значением RADIUS Request.
Примечание. Политику Allow Wireless Access можно использовать вместе с другими пользовательскими политиками или политиками доступа по умолчанию, но чтобы политика удаленного доступа по умолчанию работала корректно, она должна быть указана в папке «Политики удаленного доступа» после политики Allow Wireless Access.
Чтобы добавить клиенты RADIUS в конфигурацию сервера службы проверки подлинности в Интернете, выполните следующие действия.
Точки доступа и прокси-серверы RADIUS должны быть добавлены в конфигурацию сервера службы проверки подлинности в Интернете как клиенты RADIUS — только после этого они смогут использовать службы проверки подлинности и учета по протоколу RADIUS.
Процесс добавления клиентов RADIUS в конфигурацию сервера службы проверки подлинности в Интернете
Запустите оснастку консоли управления «Сервер службы проверки подлинности в Интернете».
Щелкните правой кнопкой мыши папку «Клиенты RADIUS» и выберите пункт «Новый клиент RADIUS».
Введите описательное имя и IP-адрес точки беспроводного доступа.
Укажите «RADIUS Standard» в качестве атрибута «Клиент-вендор» и введите совместно используемый секрет для конкретной точки доступа. Затем выберите атрибут «Запрос должен содержать атрибут проверки подлинности сообщения».
Примечание. Этот процесс следует повторить на каждом сервере службы проверки подлинности в Интернете, чтобы гарантировать, что каждый сервер будет иметь уникальный набор клиентов и совместно используемых секретов точек доступа. Для упрощения этого процесса к данному руководству прилагается сценарий, который можно использовать для создания совместно используемых секретов. Эти секреты можно затем сохранить в надежном месте на случай возникновения необходимости в восстановлении системы. Чтобы выполнить этот сценарий, просто введите в командной строке следующую команду:
Копировать код
Cscript //job:GenPWD C:\MSSScripts\wl_tools.wsf /client:ClientName