Защищенная конфигурация точки доступа

Защищенная конфигурация точки доступа
Посетителей: 14905 \| Просмотров: 32170 (сегодня 0)	Шрифт:

Чтобы создать шаблон сертификатов для проверки подлинности пользователей, выполните следующие действия.

1.	Запустите на сервере выдающего центра сертификации оснастку консоли управления «Шаблоны сертификатов».
2.	Создайте дубликат шаблона «Проверка подлинности рабочей станции». На вкладке «Общие» нового шаблона введите в поле «Отображаемое имя шаблона» строку «Client Authentication — Computer».
3.	Убедитесь в том, что на вкладке «Имя субъекта» выбран вариант «Строится на основе данных Active Directory». Присвойте параметру «Формат имени субъекта» значение «Общее имя». Убедитесь в том, что в списке «Включить эту информацию в дополнительное имя субъекта» выбран только элемент «DNS-имя».
4.	Откройте вкладку «Расширения» и убедитесь в том, что список политик приложения включает только элемент «Проверка подлинности клиента (OID 1.3.6.1.5.5.7.3.2)». Добавьте в список «Политики выдачи» политику «Низкая надежность».
5.	На вкладке «Безопасность» добавьте группу безопасности «AutoEnroll Client Authentication — Computer Certificate» с разрешениями на чтение, подачу заявок и автоматическую подачу заявок. Любые другие группы с этими разрешениями следует удалить.

Добавление сертификатов проверки подлинности в беспроводной сети в центр сертификации

Теперь шаблоны сертификатов сконфигурированы, и их нужно добавить в центр сертификации, чтобы можно было подавать заявки на сертификаты. Для этого администратор служб сертификации должен выполнить следующие задачи.

Чтобы добавить шаблоны сертификатов в центр сертификации, выполните следующие действия.

•

Запустите на выдающем центре сертификации оснастку консоли управления «Центр сертификации», щелкните правой кнопкой мыши папку «Шаблоны сертификатов», выберите «Создать» и щелкните «Выдаваемый шаблон сертификата». Выберите следующие сертификаты, после чего нажмите кнопку ОК.

•	Client Authentication — Computer
•	Client Authentication — User
•	RAS and IAS Server Authentication

Подача заявки на сертификат сервера службы проверки подлинности в Интернете

Процесс развертывания серверных сертификатов проверки подлинности на серверах службы проверки подлинности в Интернете достаточно прост и в значительной степени автоматизирован.

Чтобы развернуть серверные сертификаты проверки подлинности на сервере службы проверки подлинности в Интернете, выполните следующие действия.

1.	Запустите оснастку консоли управления «Active Directory — пользователи и компьютеры» и добавьте учетные записи серверов службы проверки подлинности в Интернете в группу безопасности AutoEnroll RAS and IAS Server Authentication Certificate.
2.	Перезапустите сервер службы проверки подлинности в Интернете и войдите в систему как член локальной группы администраторов.
3.	Введите в командной строке команду GPUPDATE /force.
4.	Откройте консоль управления MMC и добавьте оснастку «Сертификаты». Когда будет выведено соответствующее предложение, выберите вариант «Учетная запись компьютера», а затем — «Локальный компьютер».
5.	Выберите в древовидном списке консоли элемент «Сертификаты (локальный компьютер», выберите в меню «Действие» пункт «Все задачи» и щелкните команду «Подавать заявки на сертификаты автоматически». Примечание. Если параметр, требующий утверждения сертификата диспетчером сертификатов, задан, администратор центра сертификации должен будет проверить корректность этого запроса и выдать сертификат.

Добавление пользователей и компьютеров в группы автоматической подачи заявок на сертификаты

Пользователи и компьютеры смогут подтвердить свою подлинность и получить доступ к беспроводной сети только при наличии выданных сертификатов пользователей и компьютеров. Процесс выдачи и обновления этих сертификатов прозрачен для пользователей благодаря ранее настроенным группам автоматической подачи заявок на сертификаты.

Для добавления пользователей и их компьютеров в группы автоматической подачи заявок на сертификаты воспользуйтесь оснасткой консоли управления «Active Directory — пользователи и компьютеры». Добавьте учетные записи пользователей в группу AutoEnroll Client Authentication — User Certificate, а их компьютеры — в группу AutoEnroll Client Authentication — Computer Certificate. В результате эти пользователи после перезагрузки своих компьютеров и повторного входа в сеть получат сертификаты пользователей и компьютеров.

Примечание. В рассматриваемом решении для контроля над тем, какие пользователи и компьютеры могут получить сертификаты, применяются пользовательские группы. Если нужно, чтобы все пользователи и компьютеры имели сертификаты, просто добавьте пользователей домена (Domain Users) в группу AutoEnroll Client Authentication — User Certificate, а компьютеры домена (Domain Computers) — в группу AutoEnroll Client Authentication —Computer Certificate.

Конфигурирование инфраструктуры доступа к беспроводной сети

Для основного сервера службы проверки подлинности в Интернете нужно задать политику удаленного доступа и параметры запроса подключения, определяющие процессы проверки подлинности и авторизации клиентов при доступе к беспроводной сети. Затем эти параметры нужно воспроизвести на других серверах службы проверки подлинности в Интернете, после чего каждый сервер службы проверки подлинности в Интернете нужно по отдельности сконфигурировать для приема соединений клиентов RADIUS, таких как точки беспроводного доступа. Далее сами точки беспроводного доступа нужно настроить для использования сервера службы проверки подлинности в Интернете в качестве поставщика услуг проверки подлинности и авторизации в беспроводной сети стандарта 802.1X.

Создание политики удаленного доступа службы проверки подлинности в Интернете для беспроводной сети

Запустите оснастку консоли управления «Служба проверки подлинности в Интернете» на основном сервере службы проверки подлинности в Интернете и настройте эту службу с помощью политики удаленного доступа, следуя приведенным ниже инструкциям.

Чтобы создать политику удаленного доступа, выполните следующие действия.

1.	Щелкните правой кнопкой мыши папку «Политика удаленного доступа» и выберите пункт «Создать политику удаленного доступа».
2.	Назначьте новой политике имя Allow Wireless Access и укажите мастеру настроить типовую политику для общего сценария.
3.	Выберите в качестве метода доступа «Беспроводной доступ».
4.	Предоставьте доступ на основе групп и воспользуйтесь группой безопасности Remote Access Policy — Wireless Access.
5.	Выберите тип «Смарт-карта или иной сертификат для протокола EAP», а затем — серверный сертификат проверки подлинности, установленный для службы проверки подлинности в Интернете.
6.	Завершите работу мастера.
7.	Откройте свойства политики Allow Wireless Access и щелкните «Изменить профиль».
8.	На вкладке «Дополнительно» добавьте атрибут Ignore-User-Dialin-Properties и присвойте ему значение True, после чего добавьте атрибут Termination-Action со значением RADIUS Request. Примечание. Политику Allow Wireless Access можно использовать вместе с другими пользовательскими политиками или политиками доступа по умолчанию, но чтобы политика удаленного доступа по умолчанию работала корректно, она должна быть указана в папке «Политики удаленного доступа» после политики Allow Wireless Access.

Чтобы добавить клиенты RADIUS в конфигурацию сервера службы проверки подлинности в Интернете, выполните следующие действия.

Точки доступа и прокси-серверы RADIUS должны быть добавлены в конфигурацию сервера службы проверки подлинности в Интернете как клиенты RADIUS — только после этого они смогут использовать службы проверки подлинности и учета по протоколу RADIUS.

Процесс добавления клиентов RADIUS в конфигурацию сервера службы проверки подлинности в Интернете

1.	Запустите оснастку консоли управления «Сервер службы проверки подлинности в Интернете».
2.	Щелкните правой кнопкой мыши папку «Клиенты RADIUS» и выберите пункт «Новый клиент RADIUS».
3.	Введите описательное имя и IP-адрес точки беспроводного доступа.
4.	Укажите «RADIUS Standard» в качестве атрибута «Клиент-вендор» и введите совместно используемый секрет для конкретной точки доступа. Затем выберите атрибут «Запрос должен содержать атрибут проверки подлинности сообщения». Примечание. Этот процесс следует повторить на каждом сервере службы проверки подлинности в Интернете, чтобы гарантировать, что каждый сервер будет иметь уникальный набор клиентов и совместно используемых секретов точек доступа. Для упрощения этого процесса к данному руководству прилагается сценарий, который можно использовать для создания совместно используемых секретов. Эти секреты можно затем сохранить в надежном месте на случай возникновения необходимости в восстановлении системы. Чтобы выполнить этот сценарий, просто введите в командной строке следующую команду: Cscript //job:GenPWD C:\MSSScripts\wl_tools.wsf /client:ClientName

Распространение конфигурации на несколько серверов службы проверки подлинности в Интернете

После конфигурирования указанных ниже параметров на основном сервере службы проверки подлинности в Интернете их можно экспортировать в текстовые файлы с помощью команды netsh. Как только это сделано, полученные текстовые файлы можно импортировать на каждый сервер службы проверки подлинности в Интернете, выполняющий в среде подобные функции. Это обеспечит единообразие конфигураций серверов во всей среде.

Конфигурационные данные, которые можно экспортировать:

•	Настройки сервера
•	Конфигурация журналов
•	Политики удаленного доступа
•	Клиенты RADIUS
•	Все конфигурационные данные

Каждый сервер службы проверки подлинности в Интернете должен иметь собственный уникальный список клиентов RADIUS и совместно используемых секретов, поэтому данные параметры нужно задать по отдельности на каждом сервере. Создавать их резервные копии также нужно по отдельности. При создании копии всех конфигурационных данных в нее включается и конфиденциальная информация, которую нужно надежно защитить, иначе в случае ее кражи возникнет угроза несанкционированного доступа к беспроводной сети.

Экспорт конфигурации основного сервера службы проверки подлинности в Интернете

Следующие типы параметров следует экспортировать в текстовые файлы для репликации на других серверах службы проверки подлинности в Интернете.

•	Конфигурация сервера
•	Параметры ведения журналов
•	Политика удаленного доступа
•	Политики запроса соединения

Для облегчения этого процесса к данному руководству прилагаются командные файлы, экспортирующие с помощью команд netsh конфигурационную информацию в текстовые файлы, которые сохраняются в каталоге D:\IASConfig. Введите для этого в командной строке следующую команду:

C:\MSSScripts\IASExport.bat

Импорт конфигурационной информации с основного сервера службы проверки подлинности в Интернете

Как уже было сказано, для передачи конфигурационной информации между серверами служба проверки подлинности в Интернете использует команду netsh. Это делает развертывание более эффективным, снижая при этом вероятность ошибок в ходе конфигурирования. Теперь конфигурационные данные основного сервера службы проверки подлинности в Интернете экспортированы, и дополнительные серверы службы проверки подлинности в Интернете могут импортировать их.

Чтобы импортировать основную конфигурацию службы проверки подлинности в Интернете на другие серверы службы проверки подлинности в Интернете, выполните следующие действия.

Скопируйте все конфигурационные файлы из каталога D:\IASConfig основного сервера службы проверки подлинности в Интернете в каталог D:\IASConfig на других серверах службы проверки подлинности в Интернете.

Импортируйте на дополнительных серверах конфигурационную информацию, выполнив в командной строке следующий командный файл, прилагаемый к данному руководству:

C:\MSSScripts\IASImport.bat

Точки и клиенты беспроводного доступа

Процедура настройки точек беспроводного доступа может значительно различаться в зависимости от их моделей и версий. Как правило, производители точек доступа прилагают к ним подробные инструкции по настройке, предоставляя указанную ниже необходимую информацию.

•	Сетевые параметры 802.1X
•	Описание настройки адреса основного RADIUS-сервера
•	Описание настройки адреса дополнительного RADIUS-сервера
•	Секрет RADIUS, используемый совместно с основным RADIUS-сервером
•	Секрет RADIUS, используемый совместно с дополнительным RADIUS-сервером

Описание конфигурирования конкретной точки доступа см. в прилагаемой к ней инструкции или на веб-узле производителя.

Развертывание сертификатов проверки подлинности в беспроводной сети

В этом разделе описаны задачи по настройке, которые нужно выполнить для активации автоматической подачи заявок на сертификаты клиентами, работающими под управлением ОС Windows XP. В предыдущих разделах рассматривалась настройка политик и шаблонов для поддержки автоматической подачи заявок на сертификаты в инфраструктуре сертификатов, но в ОС Windows XP поддержка этих функций по умолчанию отключена. Чтобы включить поддержку автоматической подачи заявок на сертификаты, нужно настроить соответствующие параметры с использованием групповой политики. Используя группы безопасности для контроля автоматической подачи заявок на сертификаты, эту функцию можно активировать для всех пользователей и компьютеров в домене. Группы безопасности при этом могут определять, кто получит сертификаты каждого типа.

Чтобы включить автоматическую подачу заявок на сертификаты для всех пользователей и компьютеров в домене, выполните следующие действия.

Зарегистрируйтесь в системе, используя учетную запись с разрешениями на создание объектов групповой политики (GPO) и связывание GPO с доменом.

Выберите в оснастке «Active Directory — пользователи и компьютеры» объект домена, щелкнув его правой кнопкой мыши, после чего выберите пункт «Свойства».

На вкладке «Групповая политика» нажмите кнопку «Создать», после чего введите имя GPO (например Domain PKI Policies).

Щелкните «Изменить» и найдите пункт «Политики открытых ключей» в разделе Computer Configuration\Windows Settings\Security Settings.

На панели «Сведения» дважды щелкните элемент «Параметры автоматической подачи заявок».

Убедитесь в том, что выбраны перечисленные ниже элементы.

•	Подавать заявки на сертификаты автоматически
•	Возобновлять сертификаты с истекшим сроком действия, обновлять сертификаты в состоянии ожидания и удалять отозванные сертификаты
•	Обновлять сертификаты, в которых используются шаблоны сертификатов

Повторите этапы 5 и 6 для пользовательских параметров автоматической подачи заявок на сертификаты в разделе User Configuration\Windows Settings\Security Settings\Public Key Policies.

Закройте объект групповой политики

Убедитесь в том, что этот объект групповой политики имеет более высокий приоритет, чем используемый по умолчанию объект групповой политики домена.

10.

Если используется лес с несколькими доменами, повторите процесс для каждого домена, в котором будет включена автоматическая подача заявок на сертификаты.

Примечание. Если пользователи не используют перемещаемые профили, а автоматическая подача заявок на сертификаты разрешена во всей среде, сертификаты будут выдаваться пользователям при входе на каждый компьютер. При входе администраторов на серверы это может быть нежелательно. Чтобы это не происходило, рекомендуется создать для серверов объект групповой политики с целью отключения автоматической подачи заявок на сертификаты. Если нежелательно активировать автоматическую подачу заявок на сертификаты для всех пользователей, можно связать объект групповой политики с подразделениями, к которым относится подмножество пользователей, нуждающихся в автоматической подаче заявок.

Обеспечение доступа к беспроводной сети для пользователей и компьютеров

Заключительные этапы обеспечения защищенного доступа к беспроводной сети для пользователей и компьютеров включают несколько операций над объектами Active Directory. В число этих операций входят изменение разрешений учетных записей и разрешений групп и реализация параметров групповой политики беспроводной сети.

Добавление пользователей в группы политик удаленного доступа

В политике удаленного доступа службы проверки подлинности в Интернете группы безопасности, основанные на Active Directory, используются для определения того, разрешается ли пользователям и компьютерам устанавливать соединения с беспроводной сетью. В число этих групп безопасности, созданных в предыдущих разделах, входят:

•	Remote Access Policy — Wireless Users
•	Remote Access Policy — Wireless Computers
•	Remote Access Policy — Wireless Access

Чтобы добавить пользователей и компьютеры в группы доступа к беспроводной сети, выполните следующие действия.

1.	Запустите оснастку консоли управления «Active Directory — пользователи и компьютеры».
2.	Добавьте группы Remote Access Policy — Wireless Users и Remote Access Policy — Wireless Computers в группу Remote Access — Wireless Access.
3.	Добавьте пользователей, которым разрешен доступ к беспроводной сети, в группу Remote Policy — Wireless Users.
4.	Добавьте компьютеры, которым разрешен доступ к беспроводной сети, в группу Remote Policy — Wireless Computers. Примечание. Если решено по умолчанию разрешить всем пользователям и компьютерам доступ к беспроводной сети, ради упрощения администрирования можно добавить группы пользователей домена и компьютеров домена в соответствующие группы политик.

Создание групповой политики беспроводной сети Active Directory

Для автоматизации настройки и применения конфигурационных параметров беспроводной сети на клиентских компьютерах можно использовать групповую политику. Это возможно благодаря тому, что консоль управления групповой политикой в ОС Windows Server 2003 содержит параметры политики беспроводной сети, основанные на стандартах 802.1X и 802.11.

Чтобы создать групповую политику беспроводной сети, выполните следующие действия.

1.	Запустите оснастку консоли управления «Active Directory — пользователи и компьютеры» на сервере или рабочей станции под управлением ОС Windows Server 2003 с установленными инструментами администрирования Windows Server 2003.
2.	Выберите свойства объекта домена, откройте вкладку «Групповая политика», щелкните «Создать» и назовите объект групповой политики Wireless Network Policy.
3.	zrfНажмите кнопку «Свойства» и на вкладке «Безопасность» предоставьте группе безопасности Wireless Network Policy — Computer разрешения на чтение и применение групповой политики. Удалите в объекте групповой политики разрешения на применение групповой политики у группы пользователей, прошедших проверку подлинности.
4.	На вкладке «Общие» задайте для объекта политики параметр «Отключить параметры конфигурации пользователя». Если появятся какие-либо предупреждения, выбирайте «Да». Примените изменения и закройте окно.
5.	Нажмите кнопку «Изменить» и откройте раздел \Computer Configuration\Windows Settings\Security Settings\Wireless Network (IEEE 802.11) Policies.
6.	Выберите на панели навигации объект «Политики беспроводной сети (IEEE 802.11)», после чего в меню «Действие» выберите пункт «Создать политику беспроводной сети». С помощью мастера назначьте политике имя Client Computer Wireless Configuration. Оставьте флажок «Изменить свойства» установленным и нажмите кнопку «Готово», чтобы закрыть окно мастера.
7.	На вкладке «Сети и предпочтения» политики Client Computer Wireless Configuration выберите «Добавить», после чего введите имя беспроводной сети или ее идентификатор SSID.
8.	Откройте вкладку IEEE 802.1X, а затем окно параметров для элемента «Смарт-карта или другой EAP-тип сертификата». В разделе «Доверенные корневые центры сертификации» выберите сертификат корневого центра сертификации для инфраструктуры открытого ключа, который выдал сертификаты серверам службы проверки подлинности в Интернете.
9.	Закройте окно свойств политики «Client Computer Wireless Configuration» и редактор объектов групповой политики. Примечание. Протокол WPA2 в настоящее время невозможно использовать с объектом групповой политики. Ожидается, что поддержка WPA2 на уровне объекта групповой политики будет реализована в ОС Windows Vista и Longhorn, а для нынешних версий ОС Windows будут выпущены соответствующие обновления.

Добавление компьютеров в группы безопасности для групповой политики беспроводной сети

Группы безопасности, основанные на Active Directory, используются для определения того, на каких компьютерах политики беспроводной сети применяются для автоматического конфигурирования необходимых параметров 802.11 и 802.1X. Эти параметры должны быть заданы перед настройкой параметров 802.1X на какой-либо из точек доступа и активацией беспроводной сети. Такой подход гарантирует, что у клиентских компьютеров будет адекватная возможность загрузить и применить групповую политику, даже если они редко подключаются к кабельной сети.

Параметры групповой политики можно применить даже до установки беспроводного сетевого адаптера, потому что он автоматически получит и применит корректные параметры групповой политики беспроводной сети.

Чтобы добавить компьютеры в группы для групповой политики беспроводной сети, запустите оснастку консоли управления «Active Directory — пользователи и компьютеры» и добавьте авторизованные компьютеры в группу «Wireless Network Policy — Computer».

Примечание. Параметры объекта групповой политики беспроводной сети будут обновлены на клиентских компьютерах во время следующего интервала обновления групповой политики. Чтобы выполнить принудительное обновление, просто введите команду GPUPDATE /force.

Требования к клиентским системам WPA2

Описанное в этом руководстве решение было разработано для клиентских компьютеров со средствами беспроводной связи, работающих под управлением ОС Windows XP Professional с пакетом обновления 2 (SP2) или ОС Windows XP Tablet Edition. В ОС Windows этих версий интегрирована поддержка стандарта 802.1X и беспроводных сетей. Кроме того, клиенты, работающие под управлением ОС Windows XP, поддерживают автоматическую подачу заявок на сертификаты и автоматическое обновление сертификатов, что делает такое решение, основанное на сертификатах, особенно выгодным с экономической точки зрения, если оно связано с инфраструктурой сертификатов.

В ОС Windows XP с пакетом обновления 2 также интегрирована поддержка протокола WPA, но для обеспечения поддержки протокола IEEE 802.11i WPA2 на клиентах, работающих под управлением ОС Windows XP с пакетом обновления 2, нужно установить дополнительное обновление. Информацию об этом обновлении и инструкции по его загрузке можно найти в документе Обновление протокола WPA2 и информационного элемента службы обеспечения беспроводной связи для Windows XP с пакетом обновления 2 по адресу http://support.microsoft.com/default.aspx?scid=kb;en-us;893357 (эта ссылка может указывать на содержимое полностью или частично на английском языке).

Аннотация

После обзора множества решений, разработанных для обхода недостатков прежних стандартов обеспечения безопасности в беспроводных сетях, и анализа того, как отраслевые стандарты сделали эти обходные пути ненужными, в этом документе было представлено оптимальное решение для защиты беспроводных сетей в компаниях среднего размера. Используя протоколы WPA или описанное в данном документе решение на базе WPA2 EAP-TLS со службами сертификации, компании среднего размера могут теперь эффективно внедрять в своих сетях передовые технологии, обеспечивающие целый ряд преимуществ, таких как повышенная производительность, надежность и безопасность. Выполнив описанные в данном документе действия с использованием предлагаемых инструментов, вы получите надежное и защищенное беспроводное решение, повышающее производительность труда без каких-либо неудобств для пользователей.

Страницы: < 3 4 5 6 7 8

Иcточник: Microsoft TechNet • Опубликована: 20.03.2007

Нашли ошибку в тексте? Сообщите о ней автору: выделите мышкой и нажмите CTRL + ENTER

Теги:

Оценить статью: