- •Для кого предназначен этот документ
- •Определение
- •Трудности
- •Функциональные преимущества
- •Выбор оптимального решения для обеспечения безопасности беспроводной сети
- •Отказ от развертывания беспроводной сети
- •Использование стандарта wpa с протоколом eap-tls
- •Использование стандарта wpa с протоколом peap-ms-chap v2
- •Использование стандарта wpa с протоколом peap-ms-chap v2 и службами сертификации
- •Использование технологии vpn
- •Использование протокола iPsec
- •Использование протокола wep
- •Разработка защищенного беспроводного сетевого решения
- •Алгоритм Microsoft для выбора подхода к защите беспроводной сети
- •Сертификаты
- •Создание заявления об использовании сертификатов
- •Иерархия центров сертификации
- •Проверка подлинности в Интернете
- •Имеющиеся radius-серверы
- •Перемещение при сбое radius-сервера и балансировка нагрузки
- •Централизованные или распределенные серверы службы проверки подлинности в Интернете
- •Оценка нагрузки на серверы и требований к аппаратным средствам
- •Проверка подлинности по стандарту wpa 802.11
- •Требования к клиентским системам
- •Чтобы установить службы iis, выполните следующие действия.
- •Подготовка службы Active Directory к использованию инфраструктуры открытого ключа
- •Предоставьте группе Enterprise pki Admins разрешения на создание и удаление групп в подразделении служб сертификации и его дочерних контейнерах.
- •Предоставление разрешений на восстановление группе Enterprise pki Admins
- •Чтобы предоставить разрешения на восстановление файлов и каталогов группе Enterprise pki Admins, выполните следующие действия.
- •Конфигурирование сервера корневого центра сертификации
- •Файл caPolicy.Inf
- •Чтобы создать файл caPolicy.Inf, выполните следующие действия.
- •Чтобы опубликовать сертификат и список отзыва сертификатов корневого центра сертификации в службе Active Directory, выполните следующие действия.
- •Публикация сертификата и списка отзыва сертификатов корневого центра сертификации на веб-сервере
- •Чтобы опубликовать сертификат и список отзыва сертификатов корневого центра сертификации на веб-сервере, выполните следующие действия.
- •Установка сертификата в выдающем центре сертификации
- •Чтобы автоматизировать публикацию списков отзыва сертификатов, выполните следующие действия.
- •Создание серверов службы проверки подлинности в Интернете
- •Настройка параметров защиты сервера
- •Установка и конфигурирование службы проверки подлинности в Интернете
- •Создание групп Active Directory, необходимых для доступа к беспроводной сети
- •Добавление пользователей и компьютеров в группы автоматической подачи заявок на сертификаты
- •Конфигурирование инфраструктуры доступа к беспроводной сети
- •Распространение конфигурации на несколько серверов службы проверки подлинности в Интернете
- •Развертывание сертификатов проверки подлинности в беспроводной сети
- •Чтобы включить автоматическую подачу заявок на сертификаты для всех пользователей и компьютеров в домене, выполните следующие действия.
- •Добавление компьютеров в группы безопасности для групповой политики беспроводной сети
- •Требования к клиентским системам wpa2
- •Аннотация
Распространение конфигурации на несколько серверов службы проверки подлинности в Интернете
После конфигурирования указанных ниже параметров на основном сервере службы проверки подлинности в Интернете их можно экспортировать в текстовые файлы с помощью команды netsh. Как только это сделано, полученные текстовые файлы можно импортировать на каждый сервер службы проверки подлинности в Интернете, выполняющий в среде подобные функции. Это обеспечит единообразие конфигураций серверов во всей среде.
Конфигурационные данные, которые можно экспортировать:
Настройки сервера
Конфигурация журналов
Политики удаленного доступа
Клиенты RADIUS
Все конфигурационные данные
Каждый сервер службы проверки подлинности в Интернете должен иметь собственный уникальный список клиентов RADIUS и совместно используемых секретов, поэтому данные параметры нужно задать по отдельности на каждом сервере. Создавать их резервные копии также нужно по отдельности. При создании копии всех конфигурационных данных в нее включается и конфиденциальная информация, которую нужно надежно защитить, иначе в случае ее кражи возникнет угроза несанкционированного доступа к беспроводной сети.
Экспорт конфигурации основного сервера службы проверки подлинности в Интернете
Следующие типы параметров следует экспортировать в текстовые файлы для репликации на других серверах службы проверки подлинности в Интернете.
Конфигурация сервера
Параметры ведения журналов
Политика удаленного доступа
Политики запроса соединения
Для облегчения этого процесса к данному руководству прилагаются командные файлы, экспортирующие с помощью команд netsh конфигурационную информацию в текстовые файлы, которые сохраняются в каталоге D:\IASConfig. Введите для этого в командной строке следующую команду:
Копировать код
C:\MSSScripts\IASExport.bat
Импорт конфигурационной информации с основного сервера службы проверки подлинности в Интернете
Как уже было сказано, для передачи конфигурационной информации между серверами служба проверки подлинности в Интернете использует команду netsh. Это делает развертывание более эффективным, снижая при этом вероятность ошибок в ходе конфигурирования. Теперь конфигурационные данные основного сервера службы проверки подлинности в Интернете экспортированы, и дополнительные серверы службы проверки подлинности в Интернете могут импортировать их.
Чтобы импортировать основную конфигурацию службы проверки подлинности в Интернете на другие серверы службы проверки подлинности в Интернете, выполните следующие действия.
Скопируйте все конфигурационные файлы из каталога D:\IASConfig основного сервера службы проверки подлинности в Интернете в каталог D:\IASConfig на других серверах службы проверки подлинности в Интернете.
Импортируйте на дополнительных серверах конфигурационную информацию, выполнив в командной строке следующий командный файл, прилагаемый к данному руководству:
Копировать код
C:\MSSScripts\IASImport.bat
Точки и клиенты беспроводного доступа
Процедура настройки точек беспроводного доступа может значительно различаться в зависимости от их моделей и версий. Как правило, производители точек доступа прилагают к ним подробные инструкции по настройке, предоставляя указанную ниже необходимую информацию.
Сетевые параметры 802.1X
Описание настройки адреса основного RADIUS-сервера
Описание настройки адреса дополнительного RADIUS-сервера
Секрет RADIUS, используемый совместно с основным RADIUS-сервером
Секрет RADIUS, используемый совместно с дополнительным RADIUS-сервером
Описание конфигурирования конкретной точки доступа см. в прилагаемой к ней инструкции или на веб-узле производителя.