Локальная политика безопасности. Часть 9: политики беспроводной сети (IEEE 802.11)

• Введение
• Создание политики беспроводной сети для операционных систем не ниже Windows Vista
• Свойства методов проверки подлинности
• Дополнительные параметры безопасности
• Создание политики беспроводной сети для систем Windows XP
• Настройка профиля политики беспроводной сети XP
• Заключение

Введение

Так как почти во всех производственных сетях расположены мобильные клиенты, помимо всех локальных политик безопасности, которые рассматривались в предыдущих статьях, в групповой политике Windows Server 2008/2008 R2 обеспечены параметры конфигурации клиентов для безопасного подключения к беспроводным точкам доступа IEEE 802.11. Стандарт IEEE 802.1X определяет доступ с проверкой подлинности для беспроводных подключений (IEEE 802.11). Такие параметры предназначены для определения разрешений не прошедшим проверку подлинности и неавторизированным пользователям и компьютерам подключаться к беспроводной сети. Вы можете настраивать политики беспроводной сети для клиентов Windows XP, Windows Server 2003, Windows Vista, Windows 7, а также Windows Server 2008/2008 R2. Используя данную политику безопасности, вы можете настраивать несколько профилей для подключения к одной беспроводной сети, используя обычный идентификатор беспроводной сети, при этом в каждом профиле могут быть заданы уникальные свойства безопасности. В этой статье вы узнаете о настройке локальных политик безопасности беспроводных сетей.

Создание политики беспроводной сети для операционных систем не ниже Windows Vista

С помощью политик беспроводной сети (IEEE 802.11) Windows Vista, вы можете задать улучшенные параметры настройки беспроводной сети, безопасности и управления, которые доступны только для компьютеров с Windows Vista, Windows 7 и Windows Server 2008/2008 R2, использующих беспроводное подключение. Для того чтобы создать политику беспроводных сетей для операционных систем не ниже Windows Vista, выполните следующие действия:

1. Откройте оснастку «Редактор управления групповыми политиками» и в дереве консоли выберите узел «Политики беспроводной сети (IEEE 802.11)», нажмите на нем правой кнопкой мыши и из контекстного меню выберите команду «Создание новой политики беспроводных сетей для Windows Vista и более поздних версий», как показано на следующей иллюстрации;




Увеличить рисунок

Рис. 1. Создание новой политики беспроводных сетей для Windows Vista

2. В открывшемся диалоговом окне «Новая политика для беспроводных сетей», вы можете определить параметры, предназначенные для управления профилями беспроводных интерфейсов и определения списка предпочтительных беспроводных сетей, который задает порядок подключения клиентов, входящих в состав домена. Параметры, которые вы можете найти на вкладке «Общие», используются для создания профилей беспроводных подключений, управления этими профилями, а также для определения списка предпочитаемых беспроводных сетей для клиентов, которые являются членами домена. На этой вкладке вы можете выполнять следующие действия:
• Имя политики. В этом текстовом поле вы можете задавать наименование для вашей политики проводной сети. Имя политики вы сможете увидеть в области сведений узла «Политики беспроводной сети (IEEE 802.3)» оснастки «Редактор управления групповыми политиками»;
• Описание. Текущее текстовое поле предназначено для заполнения подробного описания назначения политики проводной сети, которое также будет доступно в области сведений указанного выше узла;
• Использовать службу автонастройки WLAN Windows для клиентов. Эта опция выполняет реальную настройку и указывает, что для настройки подключения беспроводной сети клиентов под управлением Windows Vista и Windows 7используется служба автонастройки WLAN;
• Подключаться к доступным сетям в порядке перечисления профилей. В данном списке отображается предпочтительный порядок беспроводных сетей, в котором следует подключаться к сети. Вы можете добавить профиль беспроводной сети, нажав на кнопку «Добавить». Как видно на следующей иллюстрации, нажав на эту кнопку, вы можете выбрать один из двух указанных параметров: «Инфраструктура», которая задает сеть, использующую одну или несколько точек доступа, а также «Прямое подключение», которое задает сеть «компьютер-компьютер». Стоит учесть, что приоритет профилей инфраструктуры всегда выше приоритета прямого подключения. Для того чтобы изменить существующий профиль, нажмите на кнопку «Изменить», а для его удаления, соответственно, на кнопку «Удалить». Изменять приоритеты вы можете, используя кнопку со стрелками, направленными вверх и вниз, которые находятся справа от самого списка. Помимо этого, вы можете импортировать сохраненные ранее профили подключений из xml-файла или экспортировать существующие профили в xml-файл.





Рис. 2. Вкладка «Общие» диалогового окна политики для беспроводных сетей

3. При выборе добавляемого типа профиля откроется диалоговое окно «Свойства Новый профиль», предназначенное для создания профилей беспроводных сетей (т.е. набор параметров конфигурации беспроводной сети, сохраняемых в виде XML-файлов), к которым могут подключаться клиенты беспроводных сетей, входящих в состав домена. В этом диалоговом окне вы можете указывать настройки профилей, расположенных на двух вкладках. Рассмотрим каждую вкладку по отдельности.
• На вкладке «Подключение» вы можете назначать имя профиля и указывать идентификатор SSID. Стоит обратить внимание на то, что профиль представляет собой набор параметров конфигурации для беспроводной сети, сохраненный в виде XML-файла. Как было указано ранее, профили инфраструктуры имеют больший приоритет, нежели профили прямых соединений. Вкладка «Подключение» диалогового окна «Новый профиль» профиля инфраструктуры и прямого соединения очень похожи за исключением трех последних опций и возможности добавления нескольких идентификаторов SSID для профилей инфраструктуры. На этой вкладке доступны следующие параметры:
• Имя профиля. В текущем текстовом поле вы можете указать имя профиля, отображаемое в списке диалогового окна политики беспроводных сетей;
• Сетевые имена SSID. Здесь вы можете задать один (для профиля прямых соединений) или несколько (только для профилей инфраструктуры) идентификаторов SSID. SSID (Service Set Identifier) – это 32-битная строка, используемая в качестве сетевого имени (стоит запомнить, что идентификатор SSID не является MAC-адресом). Чтобы связать рабочую станцию с точкой доступа, обе системы должны иметь один и тот же SSID. Указанное вами значение SSID должно полностью соответствовать тому идентификатору, который указан в точке беспроводного доступа;
• Подключаться автоматически, если сеть в радиусе действия. Эта опция позволяет автоматически подключаться к беспроводной сети в том случае, если компьютер расположен в диапазоне вещания любой точки беспроводного доступа с указанным SSID. Эта опция доступа только для профилей инфраструктуры;
• Подключаться к более подходящей сети, если она есть. В том случае, если на вкладке «Общие» диалогового окна подключения к беспроводным сетям находятся несколько профилей, данная опция позволяет подключаться к самой подходящей сети из списка. Эта опция также доступна только для профилей инфраструктуры;
• Подключаться, даже если сеть не ведет вещание. Если активировать данную опцию, то будет выполняться активный поиск точек беспроводного доступа с указанными SSID в том случае, если в настройке точек беспроводного доступа запрещена рассылка сигналов;

Данная вкладка для профиля инфраструктуры изображена на следующей иллюстрации:






Рис. 3. Вкладка «Подключение» профиля инфраструктуры

• Вкладка «Безопасность» предназначена для настройки параметров безопасности в политиках беспроводной сети, которые используются для задания параметров проверки подлинности, используемых клиентами беспроводной сети. В отличие от вкладки подключения, настройки на вкладке «Безопасность» для профилей инфраструктуры и прямого соединения существенно отличаются. Сначала рассмотрим настройки вкладки «Безопасность» профиля инфраструктуры:
• Параметры безопасности инфраструктуры можно разделить на две части: метод безопасности для сети и метод проверки подлинности. В группе методов безопасности для сети вы можете указать способ сетевой проверки подлинности при установке связи беспроводной сети с точкой беспроводного доступа и метод шифрования системы безопасности. По умолчанию выбран наиболее безопасный метод проверки подлинности – «WPA2-предприятие». Помимо метода проверки подлинности по умолчанию, вы также можете выбрать такие методы, как «Открыть», «Совместная», «WPA-предприятие», «WPA-личное», «WPA2-предприятие», «WPA2-личное», а также «Открыть с 802.1Х». Стоит обратить внимание на то, что настройки метода проверки подлинности сети вы можете задавать только в случае, если в раскрывающемся списке «Проверка подлинности» выбраны такие методы, как «WPA-предприятие», «WPA2-предприятие» или «Открыть с 802.1Х». Также только при выборе метода «WPA2-предприятие» доступны настройки быстрого перемещения, которые будут рассмотрены ниже. Также как и настройки метода подлинности проверки и быстрого перемещения, метод шифрования зависит от выбранного вами метода проверки подлинности. Вы можете выбрать метод шифрования «AES» или «TKIP» в том случае, если в раскрывающемся списке «Проверка подлинности» были выбраны «WPA-предприятие», «WPA-личное», «WPA2-предприятие» или «WPA2-личное». Если будет выбрано «Открыть», «Совместная» или «Открыть с 802.1Х», то вы сможете выбрать метод шифрования «WEP» или «Отключен». Определение и назначение методов проверки подлинности и шифрования будут подробно рассмотрены в одной из последующих статей.

В раскрывающемся списке «Выберите метод проверки подлинности сети» вы можете указать один из методов проверки подлинности сетевых клиентов, который будет применен для вашей политики беспроводной сети. Доступны для выбора следующие два параметра:

• Microsoft: Защищенные EAP (PEAP). Для этого метода проверки подлинности, окно «Свойства» содержит параметры конфигурации используемого метода проверки подлинности;
• Microsoft: смарт-карты или другой сертификат. Для этого метода проверки подлинности, в окне «Свойства» предоставлены параметры конфигурации, с помощью которых можно указать смарт-карту или сертификат для подключения, а также список доверенных корневых центров сертификации;

По умолчанию выбран метод Microsoft: защищенные EAP (PEAP);

Опция «Режим проверки подлинности» применяется для выполнения сетевой проверки подлинности. Для выбора доступны следующие четыре параметра;

• Проверка подлинности пользователя или компьютера. В том случае, если будет выбран этот параметр, учетные данные безопасности будут использоваться на основе текущего состояния компьютера. Даже если в систему не входил ни один пользователь, проверка подлинности будет выполняться по учетным данным компьютера. При входе пользователя будут использоваться учетные данные вошедшего в систему пользователя. Компания Microsoft рекомендует в большинстве случаев использовать именно этот параметр режима проверки подлинности;
• Только для компьютера. В этом случае проверка подлинности выполняется только для учетных данных компьютера;
• Проверка подлинности пользователя. При выборе данного параметра включается принудительная проверка подлинности пользователя только при подключении к новому устройству 802.1X. Во всех остальных случаях проверка подлинности выполняется только для компьютера;
• Проверка подлинности гостя. Данный параметр разрешает подключаться к сети на основе гостевой учетной записи.

Помимо вышеперечисленных настроек, опция «Максимальное число ошибок проверки подлинности» позволяет указать максимальное число ошибок при проверке подлинности (Значение по умолчанию – 1). А опция «Кэшировать данные пользователя для последующих подключений к этой сети» позволяет сохранять пользовательские учетные данные в системном реестре при выходе пользователя из системы, причем при последующем входе учетные данные запрашиваться не будут.



Рис. 4. Настройка безопасности профиля инфраструктуры

• Параметры безопасности прямого соединения имеют более скромные настройки. Здесь вы можете указать только три метода проверки подлинности – «Открыть», «Совместная» и «WPA2-личное», а также указать для них соответствующий метод шифрования. На следующей иллюстрации отображена вкладка «Безопасность» профиля прямого соединения.





Рис. 5. Настройка безопасности профиля прямого соединения

4. После того как вы зададите необходимые настройки подключения и безопасности, нажмите на кнопку «ОК» для перехода в диалоговое окно свойств политики беспроводной сети. На вкладке «Сетевые размещения» вы можете использовать параметры, которые предназначены для определения дополнительных беспроводных сетей, а также для разрешения или запрета подключений беспроводных клиентов, входящих в состав домена. Помимо этого, на данной вкладке вы также можете заблокировать отображение дополнительных беспроводных сетей для беспроводных клиентов, входящих в состав домена. Например, параметр «Запретить подключения к сетям с прямым соединением» указывает на то, что клиенты не смогут создавать или подключаться к какой-либо сети типа «компьютер-компьютер», а параметр «Запретить подключения к сетям с инфраструктурой» запрещает подключаться к инфраструктурным сетям. На этой вкладке вы также можете найти параметры политики, которые могут применяться только к операционным системам Windows 7 и Windows Server 2008 R2. К этим параметра относятся параметры «Запретить размещенную сеть», который запрещает размещение беспроводных сетей на компьютерах с операционной системой Windows 7, «Запретить общие учетные данные пользователя для сетевой проверки подлинности», при помощи которого вы можете запретить сохранение своих учетных данных, которые компьютер может использовать для подключения к сети. Также доступен параметр «Включить период блокировки», запрещающий компьютеру под управлением Windows 7 автоматические попытки подключения к сети в течение указанного количества времени. Эта вкладка изображена ниже:





Рис. 6. Вкладка «Сетевые размещения» диалогового окна политики беспроводных сетей

5. В том случае, если вы планируете создавать идентичные профили в другом объекте групповой политики, экспортируйте получившиеся профиля и, при необходимости, добавьте в список столько профилей, сколько вам нужно, после чего нажмите на кнопку «ОК».

Свойства методов проверки подлинности

Как для метода проверки подлинности «Microsoft: Защищенные EAP (PEAP)», так и для «Microsoft: Смарт-карта или иной сертификат» доступны дополнительные параметры, вызываемые по нажатию на кнопку «Свойства». В диалоговом окне свойств выбранного вами метода проверки подлинности вы можете задать множество параметров, которые существенно переведут уровень безопасности проверки подлинности на новый уровень. Все настройки обоих методов проверки подлинности идентичны настройкам политики проводной сети и были подробно описаны в статье «Локальная политика безопасности. Часть 7: политики проводной сети». Диалоговое окно свойств защищенного EAP, вы можете увидеть на следующей иллюстрации:



Рис. 7. Диалоговое окно свойств защищенного EAP

Дополнительные параметры безопасности

Дополнительные параметры безопасности профиля беспроводной сети могут быть применены только для профилей инфраструктуры и влияют на изменение поведения сетевых клиентов, подающих запросы на доступ с проверкой подлинности 802.1X. в отличие от дополнительных параметров проводной сети, дополнительные параметры беспроводной сети делятся на три группы: IEEE 802.1X, настройки единой регистрации, а также (в том случае, если был выбран метод проверки подлинности «WPA2-предприятие») настройки быстрого перемещения. Так как настройки IEEE 802.1X и единой регистрации идентичны с дополнительными настройками проводной сети, в данной статье ниже рассмотрены только настройки быстрого перемещения.

Быстрым перемещением называется возможность WPA2, которая представляет собой предварительную проверку подлинности и кеширование парных основных ключей (PMK), позволяющие клиентам быстро переключаться между различными точками беспроводного доступа. Для настройки быстрого перемещения доступны следующие параметры:

• Включить кэширование парных основных ключей (PMK). Данный параметр задает кэширование парных основных ключей для быстрого перемещения WPA2;
• Срок жизни PMK (мин.). Этот параметр определяет длительность хранения PMK в кэше. Значение по умолчанию – 720 минут;
• Число записей в кэше PMK. При помощи текущего параметра вы можете определить максимальное количество записей PMK, которое будет храниться в кэше. Значение по умолчанию – 128;
• Сеть использует предварительную проверку подлинности. Данную настройку целесообразно использовать только в том случае, если в настройках беспроводной точки доступа указана возможность предварительной проверки подлинности в рассылаемых сообщениях Probe Response и Beacon. Эта настройка позволяет клиентам выполнять проверку подлинности 802.1X с других точек доступа в пределах данного диапазона. При активированной данной настройке сведения сохраняются в кэше PMK. Если данная опция активна, то значение по умолчанию для следующих двух настроек будет равняться трем;
• Максимальное число попыток предварительной проверки подлинности. Текущий параметр определяет максимальное допустимое количество попыток предварительной проверки подлинности других беспроводных точек доступа в сети, которые расположены в диапазоне ее действия;
• Выполнять шифрование в сертифицированном режиме FIPS 140-2. Данный параметр определяет, что беспроводные передачи соответствуют режиму 140-2 стандарта FIPS для криптования, который используется для сертификации криптографических модулей.



Рис. 8. Дополнительные параметры безопасности

Создание политики беспроводной сети для систем Windows XP

В том случае, если в вашей корпоративной сети не все компьютеры обновлены до операционных систем Windows Vista или Windows 7, вы можете создать политику беспроводной сети для операционных систем Windows XP. Параметры беспроводных сетей для Windows XP включают в себя глобальные параметры беспроводных подключений, список предпочтительных сетей, параметры WEP, а также параметры 802.1Х. В диалоговом окне политики беспроводных сетей XP доступны параметры на следующих вкладках:

• На вкладке «Общие» вы можете указать такие параметры, как:
• «Имя политики XP», где вы можете указать имя профиля, отображаемое в списке диалогового окна политики беспроводных сетей;
• «Описание», текстовое поле предназначено для заполнения подробного описания назначения политики проводной сети, которое также будет доступно в области сведений указанного выше узла;
• «Сети для доступа», представляет собой типы беспроводных сетей, к которым разрешается создавать подключение клиентам Windows XP. Вы можете выбрать «Любая доступная сеть (с точкой доступа)», «Сеть по точке доступа только», «Сеть «компьютер-компьютер» только (произв.)»;
• Использовать службу автонастройки WLAN Windows для клиентов. Служба автонастройки WLAN перечисляет адаптеры беспроводной сети и управляет беспроводными подключениями и профилями беспроводной связи, содержащими параметры для настройки подключения клиента к беспроводной сети. Включенная служба беспроводной настройки используется для настройки и подключения к беспроводным сетям;
• Автоматически подключаться к любой сети. Если активировать данную опцию, то клиенты беспроводных сетей смогут подключаться к сетям, которые не указаны как предпочтительные.





Рис. 9. Вкладка «общие» политики беспроводных сетей Windows XP

• На вкладке «Предпочитаемые сети» вы можете добавлять беспроводные сети. Как вы уже, наверное, заметили, данная вкладка напоминает группу «Подключаться к доступным сетям в порядке перечисления профилей» диалогового окна политики беспроводной сети Windows Vista и более поздних версий. Здесь вы также можете добавить профиль инфраструктуры и прямого соглашения, однако, их настройки будут не настолько мощными, как в профилях, которые были рассмотрены ниже. Помимо добавления, вы также можете изменять или удалять существующие профили. Как видно на следующей иллюстрации, для политики беспроводной сети XP нет возможности импорта и экспорта настроек в XML файл.





Рис. 10. Вкладка «Предпочитаемые сети» политики беспроводной сети XP

Настройка профиля политики беспроводной сети XP

При добавлении профиля инфраструктуры или прямого соединения открывается диалоговое окно «Свойства: Новая предпочитаемая настройка», в которой вы можете указать сетевое имя SSID, описание для создаваемого профиля, выполнять активный поиск точек беспроводного доступа с указанными SSID в том случае, если в настройке точек беспроводного доступа запрещена рассылка сигналов. Помимо этого, вы можете настраивать метод проверки подлинности (методы проверки подлинности в профилях беспроводной сети XP могут быть «Открыть», «Совместная», «WPA», «WPA2», а также «Открыть с 802.1Х», где «WPA2» и «WPA» соответствуют параметрам «WPA2-предприятие» и «WPA-предприятие» в политиках беспроводной сети (IEEE 802.11) Windows Vista), а также метод шифрования, в зависимости от выбранного метода проверки подлинности. При выборе параметра WPA2 становятся доступны дополнительные параметры для быстрого перемещения, параметры которых идентичны тем, которые были описаны ранее. Данная вкладка отображена на следующей иллюстрации:



Рис. 11. Вкладка «Свойства сети» профиля беспроводной политики XP

Все параметры, расположенные на вкладке IEEE 802.1X доступны только в том случае, если вы добавляете профиль инфраструктуры. Как видно со следующей иллюстрации, на этой вкладке флажок «Управлять сетевым доступом с помощью IEEE 802.1X», который предназначен для включения проверки подлинности IEEE 802.1Х для данной беспроводной сети, установлен по умолчанию и заблокирован от редактирования. Так же, как и в политиках проводной и беспроводной сети Windows Vista, при помощи соответствующих раскрывающихся меню вы можете выбрать метод и режим проверки подлинности. Стоит отметить группу «EAPOL-сообщение», в которой вы можете указать, следует ли передавать пакеты сообщения EAPOL (Extensible Authentication Protocol over LAN), и, если следует, инструкции по их передаче. В данном диалоговом окне, группа IEEE 802.1X идентична одноименной группе, расположенной в дополнительных параметрах безопасности политики проводной и беспроводной сети Windows Vista.



Рис. 12. Вкладка с насройками IEEE 802.1X профиля политики беспроводной сети XP

Помимо этого, если ваш парк компьютеров уже переведен на операционные системы Windows Vista или Windows 7, но в объекте групповой политики создана только политика беспроводной сети XP, вы можете обновить данную политику до последней версии. Для этого, в области сведений, выберите данную политику, нажмите на ней правой кнопкой мыши и из контекстного меню выберите команду «Миграция политики XP в политику Vista», причем после обновления вы можете удалить текущую политику в автоматическом режиме.

Заключение

В этой статье вы узнали об очередных локальных политиках безопасности – о политиках беспроводной сети IEEE 802.1X. Вы научились настраивать данную политику безопасности, в частности, настраивать несколько профилей для подключения к одной беспроводной сети, используя обычный идентификатор беспроводной сети. Были рассмотрены политики беспроводных сетей Windows Vista и политики беспроводной сети для Windows XP.


Ссылка: http://www.oszone.net/13424/secpol9