- •Для кого предназначен этот документ
- •Определение
- •Трудности
- •Функциональные преимущества
- •Выбор оптимального решения для обеспечения безопасности беспроводной сети
- •Отказ от развертывания беспроводной сети
- •Использование стандарта wpa с протоколом eap-tls
- •Использование стандарта wpa с протоколом peap-ms-chap v2
- •Использование стандарта wpa с протоколом peap-ms-chap v2 и службами сертификации
- •Использование технологии vpn
- •Использование протокола iPsec
- •Использование протокола wep
- •Разработка защищенного беспроводного сетевого решения
- •Алгоритм Microsoft для выбора подхода к защите беспроводной сети
- •Сертификаты
- •Создание заявления об использовании сертификатов
- •Иерархия центров сертификации
- •Проверка подлинности в Интернете
- •Имеющиеся radius-серверы
- •Перемещение при сбое radius-сервера и балансировка нагрузки
- •Централизованные или распределенные серверы службы проверки подлинности в Интернете
- •Оценка нагрузки на серверы и требований к аппаратным средствам
- •Проверка подлинности по стандарту wpa 802.11
- •Требования к клиентским системам
- •Чтобы установить службы iis, выполните следующие действия.
- •Подготовка службы Active Directory к использованию инфраструктуры открытого ключа
- •Предоставьте группе Enterprise pki Admins разрешения на создание и удаление групп в подразделении служб сертификации и его дочерних контейнерах.
- •Предоставление разрешений на восстановление группе Enterprise pki Admins
- •Чтобы предоставить разрешения на восстановление файлов и каталогов группе Enterprise pki Admins, выполните следующие действия.
- •Конфигурирование сервера корневого центра сертификации
- •Файл caPolicy.Inf
- •Чтобы создать файл caPolicy.Inf, выполните следующие действия.
- •Чтобы опубликовать сертификат и список отзыва сертификатов корневого центра сертификации в службе Active Directory, выполните следующие действия.
- •Публикация сертификата и списка отзыва сертификатов корневого центра сертификации на веб-сервере
- •Чтобы опубликовать сертификат и список отзыва сертификатов корневого центра сертификации на веб-сервере, выполните следующие действия.
- •Установка сертификата в выдающем центре сертификации
- •Чтобы автоматизировать публикацию списков отзыва сертификатов, выполните следующие действия.
- •Создание серверов службы проверки подлинности в Интернете
- •Настройка параметров защиты сервера
- •Установка и конфигурирование службы проверки подлинности в Интернете
- •Создание групп Active Directory, необходимых для доступа к беспроводной сети
- •Добавление пользователей и компьютеров в группы автоматической подачи заявок на сертификаты
- •Конфигурирование инфраструктуры доступа к беспроводной сети
- •Распространение конфигурации на несколько серверов службы проверки подлинности в Интернете
- •Развертывание сертификатов проверки подлинности в беспроводной сети
- •Чтобы включить автоматическую подачу заявок на сертификаты для всех пользователей и компьютеров в домене, выполните следующие действия.
- •Добавление компьютеров в группы безопасности для групповой политики беспроводной сети
- •Требования к клиентским системам wpa2
- •Аннотация
Добавление компьютеров в группы безопасности для групповой политики беспроводной сети
Группы безопасности, основанные на Active Directory, используются для определения того, на каких компьютерах политики беспроводной сети применяются для автоматического конфигурирования необходимых параметров 802.11 и 802.1X. Эти параметры должны быть заданы перед настройкой параметров 802.1X на какой-либо из точек доступа и активацией беспроводной сети. Такой подход гарантирует, что у клиентских компьютеров будет адекватная возможность загрузить и применить групповую политику, даже если они редко подключаются к кабельной сети.
Параметры групповой политики можно применить даже до установки беспроводного сетевого адаптера, потому что он автоматически получит и применит корректные параметры групповой политики беспроводной сети.
Чтобы добавить компьютеры в группы для групповой политики беспроводной сети, запустите оснастку консоли управления «Active Directory — пользователи и компьютеры» и добавьте авторизованные компьютеры в группу «Wireless Network Policy — Computer».
Примечание. Параметры объекта групповой политики беспроводной сети будут обновлены на клиентских компьютерах во время следующего интервала обновления групповой политики. Чтобы выполнить принудительное обновление, просто введите команду GPUPDATE /force.
Требования к клиентским системам wpa2
Описанное в этом руководстве решение было разработано для клиентских компьютеров со средствами беспроводной связи, работающих под управлением ОС Windows XP Professional с пакетом обновления 2 (SP2) или ОС Windows XP Tablet Edition. В ОС Windows этих версий интегрирована поддержка стандарта 802.1X и беспроводных сетей. Кроме того, клиенты, работающие под управлением ОС Windows XP, поддерживают автоматическую подачу заявок на сертификаты и автоматическое обновление сертификатов, что делает такое решение, основанное на сертификатах, особенно выгодным с экономической точки зрения, если оно связано с инфраструктурой сертификатов.
В ОС Windows XP с пакетом обновления 2 также интегрирована поддержка протокола WPA, но для обеспечения поддержки протокола IEEE 802.11i WPA2 на клиентах, работающих под управлением ОС Windows XP с пакетом обновления 2, нужно установить дополнительное обновление. Информацию об этом обновлении и инструкции по его загрузке можно найти в документе Обновление протокола WPA2 и информационного элемента службы обеспечения беспроводной связи для Windows XP с пакетом обновления 2 по адресу http://support.microsoft.com/default.aspx?scid=kb;en-us;893357 (эта ссылка может указывать на содержимое полностью или частично на английском языке).
К началу страницы
Аннотация
После обзора множества решений, разработанных для обхода недостатков прежних стандартов обеспечения безопасности в беспроводных сетях, и анализа того, как отраслевые стандарты сделали эти обходные пути ненужными, в этом документе было представлено оптимальное решение для защиты беспроводных сетей в компаниях среднего размера. Используя протоколы WPA или описанное в данном документе решение на базе WPA2 EAP-TLS со службами сертификации, компании среднего размера могут теперь эффективно внедрять в своих сетях передовые технологии, обеспечивающие целый ряд преимуществ, таких как повышенная производительность, надежность и безопасность. Выполнив описанные в данном документе действия с использованием предлагаемых инструментов, вы получите надежное и защищенное беспроводное решение, повышающее производительность труда без каких-либо неудобств для пользователей.