Як налаштувати бездротову мережу WPA2-EAP за допомогою сервера мережевої політики (NPS), AD та групової політики - Як

Як налаштувати бездротову мережу WPA2-EAP за допомогою сервера мережевої політики (NPS), AD та групової політики

Нещодавно я переніс свою бездротову мережу з RADIUS / IAS на Windows 2003 з PKI на Windows 2008 R2. Це взяло мені в той час, як щоб дістатися до дна це таким чином я подумав я пишу How-To щоб допомогти іншим.

Вимоги:

# Один або кілька 802.11 бездротових точок доступу (AP).

# Active Directory з груповою політикою

# Один або кілька серверів мережевої політики (NPS).

# Сертифікат сервісу Active Directory на основі PKI для сертифікатів сервера для комп'ютерів NPS та комп'ютерів бездротового зв'язку

Припущення:

Це, як припускає, що ви маєте певні знання про те, як налаштувати точки бездротового доступу та встановити ролі сервера. Він також припускає, що ви вже створили корпоративну PKI на домені Active Directory (ПРИМІТКА PKI для підприємств Windows вимагає копію Enterprise Edition операційної системи Windows Server)

Загалом 10 кроків

Крок 1. Налаштуйте точки бездротового доступу


У мене є точки доступу Cisco серії 1200, запущені IOS 12.3 JED (або щось подібне). Я встановив ці точки доступу на:

1) Трансляція SSID
2) Використовуйте шифр AES-CCM для шифрування
3) Використовувати WPA2 (обов'язково)
4) використовують нативний vlan.
5) Встановіть загальний секрет, який ви будете використовувати з сервером NPS Radius.

Завдяки тому, що TKIP розкривається як тріщини:

http://www.andybrain.com/qna/2009/08/30/tkip-wireless-encryption-has-been-cracked-use-wpa2-aes-encryption-instead/

Я рекомендую використовувати WPA2-EAP з AES як шифр шифрування. Ви можете побачити фото з резюме налаштувань Cisco у вкладці:

Крок 2. Встановіть NPS на сервері

У Windows 2008 або 2008 R2 відкрийте менеджер серверів і:

1) додайте роль "Послуги мережевої політики та доступу"

У службу ролі додайте:

* Сервер мережної політики
* Послуги маршрутизації та віддаленого доступу

Якщо ви не хочете використовувати захист доступу до мережі для виконання карантину та перевірки стану здоров'я мережі, не турбуйтеся про інших.

Крок 3: Налаштування радіусу Клієнти на NPS


Відкрийте консоль NPS. Клацніть правою кнопкою миші на "Radius Clients", потім натисніть "New".

Заповніть поля для Friendly Name, Address, а потім додайте спільний секрет, який ви налаштовуєте на точку доступу.

Ви можете побачити в додатку картинку з полями, які потрібно заповнити.

Крок 4. Налаштуйте 802.1x на сервері NPS (частина 1)


У диспетчері серверів відкрийте "Ролі", потім "Мережева політика та служби доступу", а потім натисніть NPS (Локальний).

У правій панелі під стандартною конфігурацією виберіть "Радіус-сервер для бездротового або провідного з'єднання 802.1x", потім натисніть "Налаштувати 802.1X", щоб запустити конфігурацію на основі майстра.

Див додаток

Крок 5: Налаштуйте 802.1x на сервері NPS (частина 2) WIZARD :)

1. Виберіть верхній перемикач “Безпечні бездротові з'єднання” натисніть кнопку Далі

2. На сторінці "Вкажіть сторінку" 802.1X "Вирівнювання списку" вказані вами налаштування в розділі "Радіус-клієнти" у списку, потім натисніть "Далі".

3. Тепер метод аутентифікації. З випадаючого списку виберіть потрібний метод. Тут я використовую Microsoft: Protected EAP (PEAP).

ПРИМІТКА. Цей метод вимагає сертифіката комп'ютера та сервера Radius, а також комп'ютера або сертифіката користувача на клієнтській машині. Ось чому потрібно використовувати домен PKI :)

4. Виберіть групи, до яких ви хочете надати бездротовий доступ. Ви можете зробити це користувачем або комп'ютером або обома. (якщо ви не встановили їх в AD, то зробіть це і поверніться до цього кроку!))

5. Якщо вам потрібно налаштувати VLan на наступному етапі. Оскільки я використовую стандартний vlan, мені не потрібно було нічого робити тут.

6. Потім вам потрібно зареєструвати сервер за допомогою Active Directory. Так клацніть правою кнопкою миші на NPS (локальному) і виберіть Register Server в Active Directory.

Тепер ви повинні мати політику запиту на підключення та політику мережі. Як необов'язковий крок, якщо у вас є клієнти XP або пізніше, ви можете видалити метод аутентифікації MS-CHAP v1) з мережевої політики (на вкладці contraints)

Крок 6: Налаштуйте автоматичне оформлення сертифіката

Відкрити Керування груповими політиками.

1) Створіть нову політику GPO та назвіть її належним чином.
2) У межах сфери фільтрації securty для того, що політика застосовується для видалення "Аутентифікованих користувачів" та додавання ваших створених користувачем та / або групами комп'ютерів. Це гарантує, що політика, після того, як вона буде налаштована, застосовується лише до членів цих груп.

3) Відредагуйте налаштування групової політики та перейдіть до:

A) Правила конфігурації комп'ютера Налаштування Windows Параметри безпеки Параметри загальних ключів

В області відомостей потрібно клацнути правою кнопкою миші на клієнт сервісів сертифікатів - Autoenrollment, а потім вибрати властивості.

У діалоговому вікні «Властивості» виберіть увімкнено з випадаючого списку, а потім поставте галочку в інші поля. Це гарантує, що комп'ютер автопроходить для сертифіката з ADCS.

B) Тепер перейдіть до Політики конфігурації комп'ютера Налаштування Windows Параметри безпеки Параметри загального ключа Автоматичні налаштування запиту на сертифікат.

Клацніть правою кнопкою миші в області відомостей і виберіть «Новий»> «Автоматичний запит на сертифікат».

Це відкриє майстер, і ви можете вибрати сертифікат комп'ютера.

Крок 7: Створення бездротової політики GPO 802.1x у Vista (або XP) (частина 1)


А) Тепер перейдіть до Політики конфігурації комп'ютера Налаштування Windows Параметри безпеки Налаштування бездротової мережі (IEEE 802.11)

Клацніть правою кнопкою миші та створіть нову політику для Windows Vista та пізніших версій (якщо у вас є лише машини XP, виконайте лише один XP). Якщо у вас є Vista, ви повинні зробити політику Vista, або ж Vista спробує скористатися політикою XP (не рекомендується).

B) Введіть назву політики та опис.

C) Натисніть кнопку "Додати", а потім введіть ім'я профілю, а потім додайте ім'я SSID з точки / -ів бездротового доступу. Переконайтеся, що встановлено прапорець із позначкою "Автоматичне підключення, коли ця мережа знаходиться в діапазоні".

Крок 8. Створення бездротової політики GPO 802.1x у Vista (або XP) (частина 2)


F) Натисніть вкладку Безпека

Переконайтеся, що аутентифікація "WPA2-Enterprise" і шифрування є "AES".

У розділі "Вибрати метод ідентифікації мережі виберіть" Microsoft: Protected EAP (PEAP).

У режимі автентифікації потрібно вибрати, чи потрібно автентифікувати комп'ютери та / або користувачів за допомогою цифрових сертифікатів. Я тільки хотів, щоб перевірити автентичність комп'ютера з cert (який є autoenrolled відповідно до членства в AD групи), тому вибрав "Комп'ютерна аутентифікація".

G) Натисніть кнопку "властивості".

Поставте галочку "Перевірити сертифікат сервера" і поставте галочку "Підключення до цих серверів". Введіть FQDN сервера NPS тут.

Потім у розділі Довірені кореневі центри сертифікації поставте галочку у сертифікаті кореневого ЦС. Потім натисніть кнопку ОК.

H) Клацніть OK двічі.

Необов'язково:
I) За допомогою вкладки Network Permission (Мережеве дозвіл) ви можете скористатися кнопками з позначками, щоб обмежити клієнтів інфраструктурними мережами або лише дозволеними мережами GPO.

J) натисніть кнопку ОК, і ви створили політику бездротової мережі Vista!

Крок 9: Створіть політику GPO 802.1x XP Wireless


Щоб створити політику XP, виконайте ті самі налаштування, що й у Vista, описані у 7 і 8 вище. Загальні параметри, які вам потрібні, однакові, хоча це не дозволяє використовувати деякі більш просунуті параметри, які дозволяє політика Vista.

Крок 10: Призначте безпроводовий GPO на вашому OU машини

Тоді ви тепер налаштували NPS, сертифікати та бездротовий GPO. Все, що залишилося - це призначити ваш GPO клієнтським ПК.

У групі керування груповими політиками клацніть правою кнопкою миші на підрозділі, який ви бажаєте призначити політиці бездротового зв'язку, і натисніть "Посилання на існуючий GPO ..."

Виберіть створений вами бездротовий GPO, а потім оновіть групову політику.

Незабаром члени вашої групи бездротового зв'язку, створені в AD, запускатимуть політику, вибиратимуть налаштування, автоматично реєструватимуть сертифікат комп'ютера, асоціюватимуться з вашою AP, перевірятимуться на сервері NPS і AD і, нарешті, отримуватимуть IP-адресу від вашого DHCP сервер.

Вуаля

(і phew!)

Я написав цей How-To, щоб допомогти іншим отримати головний запуск у налаштуванні безпечної бездротової мережі класу підприємства, яка використовує цифрові сертифікати та надійну аутентифікацію та шифрування для захисту вашої мережі.

Ця робота триває, оскільки більша частина цього була написана після того, як я фактично налаштував її, тому можливо, мені доведеться переглядати її на основі відгуків користувачів.

Ось вам бажаю успішної реалізації

Тіно