使用 PEAP 和密码确保无线 LAN 的安全
第 3 章:准备您的环境
本页内容
概述本章可以帮助您准备信息技术 (IT) 环境,以便部署无线局域网 (WLAN) 的安全基础结构。准备环境的主要任务包括以下内容:
本章必备知识在继续学习本章内容之前,您应完全了解本解决方案的体系结构和设计,这些内容已在第 2 章“制定无线 LAN 的安全实施计划”中描述。另外,您应熟悉 Microsoft Windows® 2000 Server 或 Microsoft Windows Server™ 2003 的安装和管理。熟悉以下主题也很有用:
IT 基础结构的必备知识和前提条件本章以及本指南剩余的几章是基于下列前提。这些前提是关于您的 IT 基础结构的,尽管有些可能是作为本解决方案的一部分来实现的。许多前提并不是严格要求的,如果存在有效的替代配置,就会在本指南中加以说明。
尽管本解决方案是为此特定配置量身定做的,但是其基本设计可以适用于许多其他配置,如具有本地域控制器的分支机构或安装到多域林。替代的有效配置,只要可用,其影响都会在本指南中指出。 准备实施所需权限要执行本章给出的过程,您使用的帐户必须是包含这些服务器的域的 Administrators 组的成员。默认情况下,该域内置的 Administrator 帐户是 Administrators 组的成员。然而,您可以使用作为该组成员的任何其他帐户。 注意: 本指南假设您将证书服务和 IAS 安装在域控制器上。如果将这些服务安装在不是域控制器的服务器上,则使用的帐户只需是每个服务器上的本地 Administrators 组的成员即可。 所需的工具您需要下列工具来执行本章给出的过程: 表 3.1:所需的工具
安装解决方案工具本指南提供了大量脚本和工具以帮助简化本解决方案的配置和操作。您必须在每个 IAS 服务器上安装这些脚本和工具。其中有些脚本是持续操作所必需的(如第 8 章“维护安全无线 LAN 解决方案”中所述),因此,在安装完成以后不应将其删除。默认情况下,这些脚本被安装在以下文件夹中:C:\Program Files\Microsoft\Microsoft WLAN-PEAP Tools。 在每个服务器上安装脚本和工具
为了更容易地访问这些脚本,可以创建一个快捷方式,以便在存放脚本的文件夹打开一个命令行解释器。 创建 MSS WLAN 工具的快捷方式
使用脚本这些脚本是在 Windows 脚本主机中使用 VBScript 语言编写的。所有这些脚本的工作原理类似。应通过使用两个批处理文件(MSSSetup.cmd 和 MSSTools.cmd)来运行它们,而不是直接执行它们。该批处理文件简化了这些脚本的语法。 大多数脚本只带一个参数,用以指定要执行的功能。有些脚本可以有其他参数(本指南将在必要时对此进行解释)。这些脚本是从安装它们的文件夹运行的,也就是从当前工作目录(设置为该工具的安装文件夹)的命令行解释器运行的。 这些脚本将生成以下不同类型的输出:
设置网络和目录基础结构配置网络您应按照下图所示或根据您的网络的特定要求将各个组件连接到网络。 该图显示了最简单的可能配置,此时 IAS 服务器、各个 AP 以及其余内部网络都连接到同一 LAN。在规模更大的安装中,网络通常被分隔为多个虚拟 LAN (VLAN),它们通过路由器或第 3 层交换机连接在一起。其确切配置因组织的特定要求不同而变化很大。该主题的详细讨论不在本指南的范围之内。 有关 WLAN 基础结构的网络配置的详细信息,请参阅“Windows Server 2003 Deployment Kit”中的“Deploying Wireless LANs”(英文)一章。 配置 IP 网络本解决方案在很大程度上独立于 VLAN 和子网的排列如第 2 章“制定无线 LAN 的安全实施计划”中所述,您可以选择将无线客户端放置在与网络的其他部分不同的 VLAN 中。然而,本解决方案仅对最简单的情况进行了测试,也就是说,对于给定的站点,无线客户端与网络的其他部分被放置在相同的 LAN 中,并共享相同的 IP 子网。 如果选择将无线客户端放置在单独的 VLAN 中,您必须为无线客户端分配单独的 IP 子网,并使用路由器或第 3 层交换机将此无线 VLAN 链接到网络的其他部分。对于更复杂的环境,为每个物理站点的 WLAN 客户端配置单独的子网有许多优点。这些优点包括:
DHCPWLAN 客户端需要为其分配 IP 地址和 IP 网络信息。本解决方案使用 Windows DHCP 服务来完成此项任务,因此 DHCP 服务必须可用,以便由 WLAN 客户端使用。 您必须为将要部署客户端的每个子网分配单独的 DHCP 作用域。例如,有两个独立的站点,它们之间由一个路由的广域网 (WAN) 连接,您必须为每个子网创建 DHCP 作用域。如果为 WLAN 客户端和有线 LAN 客户端分配单独的子网,则需要为每个 WLAN 子网配置单独的作用域。而且,如果 AP 与 DHCP 服务器之间有路由连接,则需要在路由器上配置 DHCP 中继代理或在与 AP 同一子网的服务器上安装 Windows DHCP 中继代理。 要获得更高可用性,应考虑使用分隔作用域、集群 DHCP 或备用 DHCP 配置来灵活配置 DHCP。有关这些方面的详细信息,请参阅 “Windows Server 2003 Deployment Kit”中的“Deploying DHCP”(英文)一章。 DNSActive Directory 依赖于正常工作的域名系统 (DNS) 服务。本解决方案假设该服务已就位并且可操作。您已将 DNS 作为 Active Directory 安装过程的一部分安装,或者已单独对其进行了配置。 Active Directory本解决方案已使用下列 Active Directory 配置对其进行了设计和测试:
在许多情况下,可以使用 Active Directory 的其他配置,例如使用多个域或使用 Windows 2000 域控制器。对于 Microsoft 支持的那些配置,本文给出了使用它们的其他指南。然而,这些替代的配置并不是已经过测试的核心解决方案的组成部分。 对所有版本的 Active Directory 的要求纯模式域允许创建 Active Directory 通用安全组。使用通用组可使管理多域网络访问策略更容易。然而,对于单域部署,该设置是不切实际的。安装脚本将检查该域是不是处于纯模式。如果该域处于纯模式,该脚本将使用通用组,否则将仅使用全局组。 Active Directory 必须拥有 Windows Server 2003 架构。这一点是支持无线网络策略 GPO 设置所必需的。对于特定的 Active Directory 林功能级,则没有什么要求。在本解决方案中,假设使用默认的 Windows 2000 林功能级。 有关域和林模式的概念的详细信息,请参阅本章最后部分的参考资料。 使用 Windows 2000 域控制器在本解决方案中,将 IAS 和证书服务安装在 Windows Server 2003 系统上。对于使用这些组件的 Windows 2000 版本的情况,则没有提供任何指南。如果您正在使用 Windows 2000 域控制器,并且没有打算将任意一个域控制器升级到 Windows Server 2003,则必须将架构升级到 Windows 2003 级别。有关升级架构的详细信息,请参阅本章最后部分的参考资料。 如果本解决方案将用于使用 Windows 2000 域控制器的域或林中,则必须确保这些域控制器已应用了 Windows 2000 Service Pack 3 (SP3) 或更高版本。该 Service Pack 是确保域控制器支持轻型目录访问协议 (LDAP) 签名所必需的。这是 Windows Server 2003 CA 和使用自动证书注册的 Windows XP 客户端所需的一项安全增强功能。 验证域帐户策略的安全性本解决方案依靠用户密码和计算机密码来验证到 WLAN 的用户和计算机的身份。因此,不允许使用弱密码或空白密码,这一点极其重要容易预测的密码使攻击者容易侵入 WLAN。由于用户或计算机使用相同的密码对域进行身份验证,这也将使攻击者能够访问您的所有网络资源。 消除弱密码最简单的方法是在默认的域策略 GPO 中设置强密码策略。您还应强制使密码定期过期、使密码期限最小以及检查密码历史(以确保用户不会重新使用同一密码)。 警告 在更改域密码策略之前,您应向用户和管理员发出警告。为避免给用户带来不便和混乱,应将计划采用的新密码策略,以及选择好密码的方法提前通知给用户。 有关域密码策略的最佳做法的建议,请参阅“Windows Server 2003 安全指南”。本章最后部分提供了该文档的参考资料。 创建安全组请使用本节稍后给出的过程在 Active Directory 中创建安全组以便用于本解决方案。下表列出了创建的组,并且在说明的地方,填充了这些组的成员身份。默认情况下,这些组是在用户容器中创建的。 表 3.2:安全组和成员身份
创建并填充安全组
准备服务器本节讲述了服务器特定的配置。您需要为计划安装为 IAS 服务器的每个服务器执行以下大多数过程。唯一的例外是“服务器安全配置”一节中的过程,因为即使将此安全设置应用于每个服务器,该过程也只在每个域中执行一次。然后该设置就会自动应用于域中的其他服务器。 支持的操作系统本解决方案已使用 Windows Server 2003 Standard Edition 来构建和测试所有服务器组件。然而,其指南和安装脚本与 Windows Server 2003 Enterprise Edition 的相同。 在决定是否需要使用 Windows Server 2003 Enterprise Edition 之前,应参阅第 2 章“制定无线 LAN 的安全实施计划”中的“使用 Windows Server 标准版或企业版”一节。使用 Windows Server 2003 Standard Edition 将会限制证书服务的功能和 IAS 可以支持的无线 AP 的数量,因而对于大型组织而言,可能无法接受其中一种情况或两者都无法接受。 本解决方案在设计时并没有支持 Windows Server 的较早版本,也没有使用其中任何版本进行测试。Windows 2000 Server 版本的 IAS 和证书服务可能会应用于本解决方案中的某些或所有服务器角色,但有关如何完成此操作的指南却不在本文的范围之内。 硬件原则安装的第一个服务器将运行证书服务和 IAS。在本解决方案中,证书服务需要最少的资源。然而,应确保 IAS 施加在服务器上的负载没有给服务器的域控制器功能的性能带来负面影响。除非 IAS 实施的规模非常大,这种情况一般不太可能发生。如有可能,应向同一 Active Directory 站点添加其他域控制器以弥补这种情况。 如果计划启用 RADIUS 日志,则应为这些日志分配单独的物理磁盘。 表 3.3:为 IAS 服务器推荐的最低硬件要求
有关硬件性能要求的详细说明,请参阅第 2 章“制定无线 LAN 的安全实施计划”中的“IAS 软件和硬件要求”一节。 获得并安装支持软件本节列出了服务器需要的其他软件。并讲述了如何获得和安装该软件。 组策略管理控制台组策略管理控制台 (GPMC) 用于安装和配置本解决方案所用的组策略对象 (GPO)。GPMC 只需安装在安装了 IAS 的第一个服务器上即可,而在后续的 IAS 服务器上安装是可选的。 注意: 安装 GPMC 将会略微更改安装它的服务器的“Active Directory 用户和计算机”的用户界面。有关使用和下载 GPMC 的详细信息,请参阅本章最后部分的参考资料。 安装组策略管理控制台
Windows Server 2003 支持工具本解决方案中的配置脚本和过程使用了某些 Windows 支持工具。您应从 Windows Server 2003 安装媒体中安装这些工具。由于这些工具是 CA 安装和配置脚本所必需的,因此必须将其安装在将要安装证书服务的服务器上。尽管您可能希望将这些工具安装在其他服务器上,但这些服务器却不需要它们。 安装 Windows Server 2003 支持工具
CAPICOMCAPICOM 是一组 Windows 安全函数的可编写脚本的接口,称为 CryptoAPI (CAPI)。CAPICOM 是证书服务正常监视脚本以及生成用于验证无线 AP 的 RADIUS 机密所必需的。您应在组织的所有 IAS 服务器上安装 CAPICOM 版本 2.0 或更高版本。 您可以在 Microsoft 下载中心找到 CAPICOM 2.0 的最新版本(请参阅本章最后部分的“参考资料”一节)。 CAPICOM 分发文件没有包含自动安装程序,因此应使用本解决方案附带的批处理脚本 InstCAPICOM.cmd。如果希望手工执行这些步骤,可以从批处理脚本中复制这些命令。 安装 CAPICOM
Microsoft 基准安全分析器 (MBSA)该工具是验证操作系统安全更新是否最新以及检测服务器安全配置的可能问题所必需的。您需要使用 MBSA 版本 1.1.1 或更高版本来扫描 Windows Server 2003 系统。您可以在 Microsoft 下载中心找到 MBSA 的最新版本。 安装 MBSA
服务器安全配置本节讲述了如何在安装 IAS 和证书服务之前将安全策略和其他安全措施应用于 Windows Server 2003。 本解决方案被设计为安装在现有的服务器(通常是域控制器)上。本节对使用的安全设置有意作了保留,因为这些安全设置有与已经在服务器上安装运行的应用程序和服务发生冲突的危险。 使用 Windows Server 2003 安全指南Windows Server 2003 默认的安全设置十分严格。对于大多数组织来说,如果结合有效的更新维护操作,这些设置可以很好地保护它们的系统(有关更新维护的详细信息,请参阅本章稍后的“服务器安全更新”一节)。然而,您还应考虑 Windows Server 2003 安全指南中描述的建议。该指南定义的安全设置适合于各种服务器角色。 本解决方案使用的服务器实现了该安全指南中定义的几个服务器角色;大多数服务器实现了域控制器角色和 RADIUS 服务器角色;并且也在第一个服务器实现了证书颁发机构角色。对于每个角色,该指南使用适合该角色的所有安全设置定义了一个安全模板。因此,对于有多个角色的服务器,必须组合使用与服务器各个角色对应的安全模板。在您的服务器上,可能还有其他基础结构服务,如 DNS、DHCP 和 Windows Internet 命名服务 (WINS)。在这种情况下,还需要包括适合这些角色的安全模板。有关如何完成此项操作的说明,请参阅 Windows Server 2003 安全指南。 警告:Windows Server 2003 安全指南中的安全设置模板明确禁用了大量已定义的服务器角色不需要的服务。如果在服务器上运行了任何其他应用程序或服务,必须对这些应用程序进行测试以确保安全模板没有禁用这些服务或更改了您的应用程序或服务依赖的任何安全设置。有关组合角色和更改设置以适应其他应用程序的说明也包括在 Windows Server 2003 安全指南中。 应用安全设置与本章的“准备服务器”一节中的大多数其他过程不同的是,该过程不需要在每个服务器上执行。而是先将这些设置导入 Active Directory 中的 GPO,然后全局应用于所有服务器。 本解决方案仅应用两种类型的安全设置。第一种类型用于配置所有必需的服务,使其自动启动(以备这些服务由应用于该计算机的任何其他安全策略停止或禁用)。第二中类型用于更改审核策略,从而对常见事件(如登录事件)的审核失败也会收集到安全日志。 下表列出了设置为自动启动的服务。 表 3.4:由策略启用的 Windows 服务
下表列出的审核类别,除了启用默认的成功审核之外,也会启用失败审核。 表 3.5:审核策略设置
启用表中显示的审核设置将增加安全日志的存储要求。应确保为域控制器上的事件日志设置足够的大小。Windows Server 2003 事件日志的默认大小已经足够,但 Windows 2000 使用的默认大小通常十分小,无法用于实际应用中(如果从 Windows 2000 升级,这些设置可能仍在起作用)。在第 5 章“构建无线 LAN 安全的基础结构”中,您将看到如何配置 IAS 服务器,从而将成功和失败的 WLAN 连接记录到 Windows 系统日志。应确保为所有域控制器上的安全日志和系统日志设置足够的大小。Windows Server 2003 使用 16 MB 用于系统日志和应用程序日志,128 MB 用于安全日志,这些值对于本解决方案来说是合适的。 导入安全设置 GPO以下过程将上一节描述的设置导入域中,但并不将它们应用于任何服务器。 将安全设置 GPO 安装到域中
将安全设置应用于所有域控制器在此过程中,将安全设置应用于所有域控制器(不管是否安装了 IAS)。该过程将不会给域控制器功能或运行在上面的任何其他应用程序或服务带来不利影响,因为该 GPO 中的设置没有禁用任何功能。如果您不希望将这些设置应用于所有域控制器中,请参阅紧接着的下一个过程。 要将这些设置应用于所有域控制器,需要将导入的 GPO 链接到域控制器组织单位 (OU)。GPO 需要手工链接以免覆盖域中已配置的 GPO 设置。 将安全设置应用于所有域控制器
仅将安全设置应用于 IAS 服务器如果不希望将安全设置应用于所有域控制器(或者如果已经选择了不将 IAS 安装在域控制器上),那么可以为 IAS 服务器单独创建一个 OU,然后将 GPO 应用于此 OU。如果没有将 IAS 安装在域控制器上,则应在域中的其他某个部分创建 IAS 服务器 OU。 仅将安全设置应用于 IAS 服务器
验证安全设置验证已应用的安全设置
服务器安全更新与 GPO 安全设置不同,您需要在所有服务器上检查和应用安全更新。如果要管理的服务器相对较少,则可以使用手工操作过程。如果拥有许多服务器并且还没有一个自动更新维护系统,那么在所有服务器上手工检查和应用更新将是件极其枯燥的任务。在这种情况下,您应考虑使用 Microsoft Software Update Service (SUS) 或 Microsoft Systems Management Server (SMS) 2003 来自动应用安全更新。有关使用它们来管理安全更新的详细信息,请参阅“Microsoft Guide to Security Patch Management”(英文)。 检查当前的安全更新有两种主要方法可以用来检查服务器上的安全更新的当前情况,它们是 Windows Update 和 MBSA。一些非 Microsoft 的供应商也提供了一些执行类似功能的工具。 Windows UpdateWindows Update 是一个联机服务,其设计目的主要是供小型企业和家庭用户使用(然而,并没有限制哪些人可以使用此服务)。由于 Windows Update 要求一直连接到 Internet,因此如果没有防火墙保护服务器,就不应使用此服务。 有关 Windows Update 的详细信息,请参阅本章最后部分的参考资料。 Microsoft 基准安全分析器MBSA 是一个安全评估工具,可以检查系统是否存在各种安全问题,包括缺少更新。有关 MBSA 的详细信息,请参阅本章最后部分的参考资料。 使用 MBSA 检查已安装的安全更新
使用 MBSA 检查其他安全问题除了检查安全更新是否最新以外,MBSA 还可以用来检查服务器上的其他潜在的安全问题。为此,运行图形界面版本(从“开始”菜单),对服务器进行扫描,并根据所有警告采取措施。 尤其应注意经检查是空密码、弱密码或不过期密码的任何用户帐户。然而,不要更改任何内置帐户(如 krbtgt)的设置。 除非已更改了服务器上的默认 Internet Explorer 安全区域设置,否则可以忽略关于非标准设置的 MBSA 警告。Windows Server 2003 的默认设置比 MBSA 检查时对照的 Internet Explorer 区域设置更坚固。 本章给出的过程仅包括运行 MBSA 来扫描本地计算机,用于运行 MBSA 来扫描网络上的计算机的过程超出了本指南的范围。有关使用 MBSA 的详细信息,请参阅本章最后部分的参考资料。 在服务器上管理和安装更新本指南并未详细讲述自动持续进行更新管理的知识。然而,您应了解这三种主要方法,通过它们您可以使用 Microsoft 技术对系统更新进行当前管理。 AutoUpdateAutoUpdate 是一个内置到 Windows 服务器和客户端中的服务,它允许每台计算机在 Microsoft 发布任何重要安全修复程序时,检查并将其下载。您可以选择自动安装更新。这要求每台计算机都有 Web (HTTP) 访问权限。以前曾警告过要确保有足够的、适当的防火墙来保护每个设备(请参阅“Windows Update”一节),在此也同样适用。 有关 AutoUpdate 的详细信息,请参阅本章最后部分的参考资料。 软件更新服务软件更新服务 (SUS) 是在 AutoUpdate 服务的基础上建立的。该服务不要求每台计算机都连接到 Internet,而是将检查和下载更新的功能集中在一台或多台中心计算机中。这样管理员就可以在 SUS 服务器上批准或拒绝下载的更新。组织内的所有其他计算机将检索所有经过批准的更新。这些计算机使用 AutoUpdate 服务检查并从 SUS 服务器下载更新,而不是从 Windows Update 站点。 有关如何部署 SUS 的指导,请参阅 “Patch Management Using Microsoft Software Update Services”(英文)。本章最后部分给出了获得该文档的 URL。 使用 Microsoft Systems Management Server 进行更新管理使用 Microsoft SMS 2003,可以完全自动地交付 Service Pack、安全更新和软件更新。使用带有 SUS 功能包的 SMS 2000 可以将 SUS 的功能与 SMS 的更强大功能集成在一起。SMS 2000 和 SMS 2003 都拥有制定 MBSA 扫描计划,对组织内的计算机进行扫描的功能。有关使用 SMS 的详细信息,请参阅以下文章:
本章最后部分提供了获得这些文档的 URL。 小结本章为安装安全 WLAN 基础结构提供了有关准备网络、Active Directory、域控制器和环境中的其他元素的指南。用于配置本解决方案的脚本是与大量支持工具一起安装的。本解决方案使用的安全组是在域中创建的,并且将安全设置导入和应用到服务器。最后,检查了服务器上的安全更新的当前情况,并在需要的时候对其进行更正。 下一章将讲述在安装并创建网络 CA 的第一个服务器上安装证书服务。 参考本节提供了一些与本章内容相关的重要补充信息或其他背景资料的参考。
|
本文内容
|
