查看所有安全指南主题 本页内容概述本章介绍了如何为无线局域网 (WLAN) 客户端配置和部署网络设置以及如何将客户端连接到 WLAN。其中包括将 Microsoft® Windows® XP(Professional 和 Tablet Edition)和 Pocket PC 2003 客户端连接到 WLAN 的过程。 此外,还详细介绍了如何验证 WLAN 用户和计算机的安全组成员关系,如何使用 Windows XP 客户端的组策略配置 WLAN 设置以及配置 Pocket PC 客户端的过程。 本章必备知识除第 3 章“准备环境”中介绍的必备知识以外,您还应熟悉以下主题: | • | Windows XP 配置和驱动程序安装。 | | • | Pocket PC 2003 配置和使用。 |
您应已经阅读并实施了第 3 章“准备环境”、第 4 章“构建网络证书颁发机构”和第 5 章“构建无线 LAN 安全基础结构”中提供的指导。此外,您还应阅读了第 2 章“规划无线 LAN 安全实施”中提供的设计和规划信息,并了解了该解决方案的体系结构和设计。 实施准备要执行本章中的组策略配置过程,您需要使用要在其中安装 WLAN 设置的域的 Domain Admins 组成员的帐户登录。默认情况下,域的内置管理员帐户是该组的成员,但您也可以使用任何其他具有同一组成员关系的帐户。 要执行 Windows XP 客户端计算机验证过程,您应是该计算机的本地 Administrators 组的成员。 所需工具下表列出了实现本章中的过程所需的工具。 表 6.1:所需的工具 组策略管理控制台 (GPMC) | 用于导入和导出组策略对象 (GPO) 的高级管理工具。 | 第 3 章“准备环境”中介绍的安装步骤。 | Active Directory 用户和计算机 | 一个 Microsoft 管理控制台工具,用于管理 Microsoft Active Directory® 目录服务用户、组、计算机以及其他 Active Directory 对象。 | 作为 Windows Server™ 2003 的一部分安装。 |
WLAN 客户端参数下表列出了本章中使用的某些主要参数。 表 6.2:WLAN 客户端设置 允许 WLAN 访问的组 | 无线 LAN 访问 | 允许用户访问 WLAN 的组 | 无线 LAN 用户 | 允许计算机访问 WLAN 的组 | 无线 LAN 计算机 | WLAN GPO 名称 | WLAN 客户端设置 | GPO 过滤安全组 | 无线 LAN 计算机设置 | 无线网络策略名称 | Windows XP WLAN 客户端设置(受保护的可扩展身份验证协议 (PEAP)-有线对等保密 (WEP)) | WLAN 网络名 (SSID) | LucerneWLAN(将该参数更改为您的 WLAN 服务集标识符 (SSID)) | 可扩展身份验证协议 (EAP) 类型 | PEAP | PEAP 身份验证方法 | 安全密码 (EAP-MSCHAP v2) | PEAP 快速重连接 | 启用 |
应使用与环境相关的设置值替换斜体显示的值。 允许用户和计算机访问 WLAN您可以通过设置用户或计算机的域帐户的拨入权限来控制用户和计算机对网络访问服务器(如无线接入点 (AP))的访问。这是 Windows NT® 4.0 用于控制用户对远程访问服务 (RAS) 的访问所使用的方法。然而,对于控制用户数量很大的网络访问而言,该方法效率很低。此外,它属于“有或无”设置,这意味着您无法在阻止特定用户对 WLAN 访问的同时允许虚拟专用网络 (VPN) 访问。 Internet 验证服务 (IAS) 以及 Windows 2000 和 Windows Server 2003 使您能够使用与远程访问策略关联的 Active Directory 安全组控制对网络服务的访问。应用此方法可以使用组成员关系控制对网络服务的访问,因此该方法的灵活性更高、更易于管理。 使用安全组控制 WLAN 访问WLAN 访问由 IAS 远程访问策略 (RAP) 控制。第 5 章“构建无线 LAN 安全基础结构”中对该解决方案的 RAP 进行了配置。该策略包含一个过滤器,用于只允许 Wireless LAN Access 安全组的成员访问 WLAN。 Wireless LAN Access 不直接使用用户和计算机帐户填充。它包含两个安全组作为成员—Wireless LAN Users 和 Wireless LAN Computers。该解决方案将 Domain Users 和 Domain Computers 分别设置为这两个组的成员,从而在默认情况下允许所有用户和计算机连接到 WLAN。第 2 章“规划无线 LAN 安全实施”中的“WLAN 用户和计算机管理模型”部分介绍了该主题的背景信息。 使用安全组实现更精细的控制允许所有用户和计算机访问 WLAN 是一个非常简单的管理模型,但却需要更多地控制哪些用户和计算机可以访问 WLAN。为此,您必须分别从 Wireless LAN Users 和 Wireless LAN Computers 中删除 Domain Users 和 Domain Computers。随后,可以将要向其授予访问权限的特定用户和计算机作为这些组的成员添加。 应避免直接向 Wireless LAN Access 中添加用户和计算机,这是因为它是一个通用组,因此它的成员关系发布到整个林的全局目录。发布到全局目录意味着对其成员关系所作的任何更改将复制到组织中的所有域控制器。将用户和计算机添加到域特定的组(Wireless LAN Users 和 Wireless LAN Computers)将只对单个域中的域控制器进行复制更改。 注意:Pocket PC 没有 Active Directory 计算机帐户,因此不必将其添加到 Wireless LAN Computers。它们只使用用户帐户向 WLAN 进行身份验证,因此只有 Pocket PC 用户的帐户有效。 用户仅在登录时接收更改的组成员关系信息。因此,在创建并填充 WLAN 访问组后,用户需要注销并再次登录。同样,在更改客户端计算机的组成员关系后,必须重新启动客户端计算机。 配置 Windows XP WLAN 客户端本节将介绍如何配置 Windows XP 的 WLAN 客户端设置。通过此处介绍的过程,您将能够使用动态加密的有线对等保密 (WEP) 配置 PEAP 密码身份验证以保护数据。这些设置可以应用于 Windows XP Professional 和 Windows XP Tablet Editions。 有关如何配置 Wi-Fi 保护访问 (WPA) 数据保护和密钥管理的说明,请参阅附录 B“在解决方案中使用 WPA”。 安装任何所需的修补程序和更新应确保已将所有相关的修补程序和更新应用于客户端计算机,其中包括: | • | 关键的安全修补程序。 | | • | Windows XP Service Pack(Service Pack 1 或更高版本)。 | | • | Windows XP WPA 客户端(如果需要)。 | | • | WLAN 相关的 Windows 修补程序(例如,Wireless Update Rollup Package for Windows XP-see Knowledge Base article 826942。强烈建议使用此程序包,除非安装了 Windows XP SP2)。 | | • | 网络适配器或计算机供应商提供的已更新 WLAN 驱动程序。 |
创建 WLAN 设置 GPO要自动交付 WLAN 客户端设置,可以使用 Active Directory 组策略。Windows Server 2003 中的组策略编辑器包含一组名为“无线网络策略”的设置,用于设置特定于 WLAN 的客户端设置。 要点:假设客户端计算机已加入到域并能够连接到有线 LAN,以便它们可以接收 WLAN 客户端设置。 您可以使用 GPMC 或使用“Active Directory 用户和计算机”创建 GPO。 要点:如果从 Windows 2000 或 Windows XP 系统中编辑 GPO,则 GPO 编辑器中将不显示无线网络策略 GPO 设置。必须从 Windows Server 2003 系统或从安装了 Windows Server 2003 管理工具的系统中编辑这些设置。然而,这些设置适用于 Windows 2000 和 Windows Server 2003 域控制器。任何版本的 Windows 的本地策略对象中均不存在这些设置。 使用 GPMC 创建 WLAN 客户端 GPO 1. | 打开 GPMC 并选择所配置的域的域对象。 | 2. | 右键单击该域并选择“Create and Link a GPO Here”(在此处创建并链接 GPO)。 注意:GPO 在域级别链接;因此,这些设置将可用于域中的所有计算机。如果愿意,可以通过将 GPO 链接到低级组织单位来限制 GPO 的范围。 | 3. | 当系统提示您输入名称时,键入 WLAN Client Settings。 | 4. | 在右侧窗格中,双击新创建的 WLAN Client Settings GPO。右侧窗格随即显示 GPO 的属性。 | 5. | 单击“Scope”(范围)选项卡。在“Security Filtering”(安全过滤)列表中,选择“Authenticated Users”(通过身份验证的用户)并使用“删除”按钮删除它。 | 6. | 单击“添加” 添加一个不同的组。 | 7. | 键入(或浏览)Wireless LAN Computer Settings。 注意:Wireless LAN Computer Settings 组的有效成员关系是 Domain Computers 组;Domain Computers 是 Wireless LAN Computers 的成员,而 Wireless LAN Computers 是 Wireless LAN Computer Settings 组的成员。域级别的 GPO(参阅步骤 1)允许域中的所有计算机接收 WLAN 客户端设置。如果要将设置限制到更小的子集,则从 Wireless LAN Computers 组成员关系中删除 Domain Computers。 | 8. | 单击“详细信息”选项卡并从“GPO Status”(GPO 状态)中选择“User configuration settings disabled”(禁用用户配置设置)。单击“确定”确认。 | 9. | 右键单击左侧窗格中的 GPO 并选择“编辑”编辑 GPO 设置。 | 10. | 当 GPO 编辑器打开时,导航到 \计算机配置\Windows 设置\安全设置\无线网络 (IEEE 802.11) 策略。 | 11. | 从导航窗格中选择“无线网络 (IEEE 802.11) 策略”对象,然后从“操作”菜单中选择“创建无线网络策略”。 | 12. | 使用向导将该策略命名为 Windows XP WLAN Client Settings (PEAP-WEP)。选中“编辑属性”复选框,然后单击“完成”关闭该向导。 | 13. | 单击“首选网络”选项卡,然后单击“添加”添加一个新的首选网络。 | 14. | 在“网络名 (SSID)”字段中,键入无限网络的名称。 | 15. | 在“说明”字段中,键入网络说明。 注意:如果有一个现有 WLAN,且您要与此解决方案的基于 802.1X 的 WLAN 并行运行此 WLAN,则必须对新 WLAN 使用不同的 SSID。 | 16. | 单击“IEEE 802.1x”选项卡并从“EAP 类型”下拉列表中选择“受保护 EAP (PEAP)”。 | 17. | 单击“设置”按钮修改 PEAP 设置。从“受信任根证书颁发机构”列表中,为在第 4 章“构建网络证书颁发机构”中安装的 CA 选择根 CA 证书。 要点:如果要从头重新安装 CA(不仅仅是从备份还原),则编辑 GPO 并为新 CA 选择根 CA 证书。 | 18. | 在“选择身份验证方法”中选择“安全密码 (EAP-MSCHAP v2)”,然后选择“启用快速重新连接”选项。 | 19. | 单击“确定”关闭每个属性窗口。 | 20. | 关闭 GPO 编辑器和 GPMC。 |
要使用“Active Directory 用户和计算机”创建 GPO(如果尚未安装 GPMC),则用以下步骤替换上一过程中的步骤 1 到步骤 10。 使用“Active Directory 用户和计算机”创建 GPO 1. | 打开“Active Directory 用户和计算机”并选择域对象。 | 2. | 右键单击此域对象并选择“属性”。 | 3. | 单击“组策略”选项卡,然后单击“新建”按钮。 | 4. | 键入 WLAN Client Settings 作为 GPO 名称。 | 5. | 单击“属性”按钮,然后单击“安全”选项卡。 | 6. | 从“组或用户名”列表中选择“Authenticated Users”,然后单击“删除”按钮。 | 7. | 单击“添加”并键入(或浏览)Wireless LAN Computer Settings。单击“确定”。 | 8. | 在突出显示“组或用户名”列表中的“Wireless LAN Computer Settings”组名后,单击“权限”列表“允许”列中的“读取”和“应用组策略”权限。 | 9. | 单击“常规”选项卡,然后单击“禁用用户配置设置”。对于任何警告消息单击“是”。 | 10. | 单击“确定”应用更改并关闭 GPO 属性窗口。 | 11. | 单击“编辑”按钮编辑策略并导航到 \计算机配置\Windows 设置\安全设置\无线网络 (IEEE 802.11) 策略。 | 12. | 重复上一过程的步骤 11 到 20。 |
部署 WLAN 设置如果要从现有 WLAN(不安全、静态 WEP 或其他类型)迁移,则应在无线接入点上配置 802.1X 设置并激活新 WLAN 之前的几天内(甚至几周内)部署新型基于 802.1X 的网络的 WLAN 组策略设置。这样做将为客户端计算机提供足够的下载和应用“WLAN 客户端设置”组策略的机会,即使它们只偶尔连接到有线 LAN。 在 Windows 安装和配置 WLAN 网络适配器之前,您还可以向客户端计算机应用组策略设置。在安装有效的 WLAN 网络适配器之前,WLAN 设置将被忽略。安装网络适配器后,它将自动使用 WLAN 组策略设置进行配置。 验证 WLAN 组策略的应用要验证 WLAN GPO 设置是否正确应用,您需要登录到客户端计算机。Domain Computers 组是 Wireless LAN Computer Settings 安全组的成员,用于过滤哪些计算机接收 WLAN 客户端设置 GPO 中的 WLAN 设置。因此,所有域计算机都应接收这些 GPO 设置。如果在创建 Wireless LAN Computer Settings 组后未重新启动计算机,则需要重新启动它。 注意:必须在计算机上安装了 WLAN 网络适配器,您才能查看无线网络设置。 验证是否成功部署了 WLAN 设置 1. | 以本地 Administrators 组成员的身份登录到客户端计算机。 | 2. | 双击“控制面板”中的“网络连接”文件夹。 | 3. | 查看与无线卡相对应的“无线网络连接”图标的属性。在“无线网络”选项卡上,您将在“首选网络”下看到新无线网络 SSID(名称)。 | 4. | 选择新无线 SSID,单击“属性”查看设置,并验证它们与在“WLAN 组策略”中选择的设置是否匹配。 | 5. | 如果“首选网络”下未显示 SSID,或针对此 SSID 显示的网络设置与“WLAN 组策略”中配置的设置不匹配,则关闭所有无线网络对话框并从命令提示符下运行以下命令。 Gpupdate /force 一到两分钟之后,重新检查这些设置。如果设置仍未显示,请参阅第 8 章“维护安全无线 LAN 解决方案”中的“故障排除”部分。 |
验证客户端上的根 CA 证书要使用 PEAP 向 IAS 服务器进行身份验证,客户端应在其受信任的根 CA 存储中拥有网络 CA 证书(使用第 4 章“构建网络证书颁发机构”中提供的指导安装)。该证书作为 CA 安装的一部分发布到 Active Directory。Active Directory 目录林的所有成员将自动下载此证书并将其安装到其受信任的根 CA 存储中。 验证根 CA 证书是否已安装 1. | 以管理员的身份登录到客户端计算机。 | 2. | 运行 MMC.exe(从“开始”、“运行”菜单选项或从命令行解释器中运行)。 | 3. | 从 MMC 的“文件”菜单中,选择“添加/删除管理单元”。 | 4. | 在“添加/删除管理单元”窗口中,单击“添加”。按钮。从可用管理单元列表中,选择“证书”项。 | 5. | 选择“计算机帐户”,然后单击“下一步”。 | 6. | 单击“完成”。 | 7. | 关闭“添加标准管理单元”和“添加/删除管理单元”窗口。 | 8. | 在左侧窗格中,导航到“证书(本地计算机)\受信任根证书颁发机构\证书”。 | 9. | 找到 CA 的证书。(它将在 CA 安装过程中提供的名称下列出。) | 10. | 如果该证书未出现在此列表中,则打开一个命令行解释器并键入命令: Gpupdate /force | 11. | 返回到“证书”管理控制台。右键单击“证书(本地计算机)”节点,选择“刷新”,然后再次检查 CA 证书。 如果该证书仍未出现,请参阅第 8 章“维护安全无线 LAN 解决方案”中的“故障排除”部分。 |
验证 WLAN 连接验证 WLAN GPO 设置和根 CA 证书后,您现在可以使用客户端计算机测试 WLAN 连接。 测试 WLAN 连接 1. | 以拥有对 WLAN 的授权访问权限的域用户的身份登录到安装了 WLAN 卡但未连接到有线网络的客户端计算机。默认情况下,所有域用户都可以访问 WLAN。 注意:如果 WLAN 此时未工作,且用户在计算机上未缓存凭据,则登录将失败。 | 2. | 从命令提示符处,使用 ping 命令验证与网络上其他计算机的网络连接。 如果 ping 命令(或登录)失败,请参阅第 8 章“维护安全无线 LAN 解决方案”中的“故障排除”部分的“监视客户端与 WLAN 的连接”子部分。 |
有关 WLAN 客户端的测试过程的详细信息,请参阅第 7 章“测试安全无线 LAN 解决方案”。 配置 Pocket PC 2003 客户端Pocket PC 2003 完全支持使用 PEAP(带密码)或可扩展身份验证协议-传输层安全 (EAP-TLS)(带证书)的 802.1X WLAN 网络。然而,Pocket PC 2003 是模块化操作系统,且手提设备的供应商可以选择是否包含此设备;因此,不应假设所有 Pocket PC 2003 设备都支持 WLAN。这些设备的顶级供应商提供带有内置 WLAN 硬件或带有附加 WLAN 网络适配器的 802.1X 支持 WLAN 的系统。本部分介绍了一般 Pocket PC WLAN 接口的配置并以 HP IPAQ 5550 Pocket PC 为基础。但某些供应商实现了自己的 WLAN 驱动程序和接口。以下说明对于后者可能不正确,因此应按照您的设备供应商提供的说明操作。 某些 Pocket PC 设备供应商还在 Pocket PC 2002 上提供了 802.1X WLAN 支持。Pocket PC 2002 未通过该解决方案进行测试。您应访问供应商的网站,以获取有关其 Pocket PC 2002 对 WLAN 的支持的详细信息。 准备 Pocket PC 设备配置设备前,应获取并安装 Pocket PC 的任何相关更新(由其供应商提供),其中包括: | • | 只读内存 (ROM) 更新。(这些更新可能包含包括驱动程序在内的各种更新。) | | • | 网络驱动程序更新。 | | • | 与 802.1X 网络相关的其他 WLAN 或网络更新。 要点:安装更新前,应仔细阅读每个更新附带的文档。某些更新可能与其他更新或你尝试获取的更新不兼容。例如,HP 发布了用于支持 Cisco LEAP 的 IPAQ 555x 系列更新,但此更新与其 802.1X WLAN 驱动程序更新不兼容,并且将使 PEAP 无法正常运行。 |
使 CA 证书可用您需要将网络 CA 的 CA 证书安装到所有要连接到 WLAN 的 Pocket PC 的受信任根 CA 存储中。为此,必须从此 CA 中导出证书并使其可用于 Pocket PC 用户或信息技术 (IT) 员工。 导出 CA 证书 1. | 登录到 CA 服务器并打开一个命令行解释器。 | 2. | 运行以下命令将 CA 证书导出到文件: certutil -ca.cert rootca.cer 如果要将 Rootca.cer 文件保存到其他文件夹中,则可以指定该文件的路径。(应将包含嵌套空格的路径和文件名括在引号中。) | 3. | 将证书文件复制到文件共享或 Web 服务器目录中,以便用户可以在 Pocket PC 安装需要的情况下轻松地下载它。 |
配置 Pocket PC必须使用 CA 证书和 WLAN 设置配置每个 Pocket PC,然后才能将其连接到 WLAN。您需要通过某些工具将证书文件复制到 Pocket PC。本过程假设使用在使用 docking cradle、Infrared 或 Bluetooth 连接时建立的 ActiveSync® 连接。还可以使用可移动媒体(如 Compact Flash、Secure Digital 或 Multimedia Card)传输证书文件,或使用未进行身份验证的 WLAN 连接以便 Pocket PC 从网站下载证书。您还可以通过电子邮件将证书发送给用户,以便他们同步(以将电子邮件发送到 Pocket Outlook®),然后让用户执行附加的证书文件。 将 CA 证书导入到 Pocket PC 1. | 使用 ActiveSync(为此,需要建立一个 ActiveSync 合作伙伴关系)和您的首选连接方法将 Pocket PC 连接到主机计算机。 | 2. | 从主机计算机中,使用 ActiveSync Explore 选项打开设备上的某个文件夹窗口;它应打开“我的文档”文件夹。 | 3. | 从其发布的位置获取 CA 证书文件并将其复制到“我的文档”文件夹。您可以忽略有关文件转换的警告。您随即可以断开设备与 ActiveSync 的连接。 | 4. | 在 Pocket PC 上,使用文件浏览器找到 CA 证书文件并双击该文件。 | 5. | 系统将询问您是否要安装此证书。验证此 CA 名称与网络 CA 的名称是否匹配,然后单击“是”安装此证书。 要验证证书安装是否成功,请选择“设置”、“系统”、“证书”,然后单击“启动”选项卡。 |
在 Pocket PC 上配置 802.1X WLAN 设置 1. | 如果此设备上尚未启用 WLAN 适配器,则使用硬件开关或软件工具启用它。 | 2. | 如果显示一个弹出消息,指示已找到一个新网络,则选择“工作”作为 WLAN 将连接到的位置。然后,单击“设置”。 如果未显示弹出消息(因为先前已经检测到 WLAN),则执行以下步骤: | • | 单击 Pocket PC 标题栏上的“连接”图标(两个指向相反方向的箭头)并单击“设置”。 | | • | 单击“高级”选项卡,然后单击“网卡”按钮。 在“无线”选项卡上的可用无线网络列表中,您将看到 WLAN SSID(如果存在任何其他在范围中的 WLAN,则此处将显示它们的名称)。 | | • | 单击列表中 WLAN 的名称。 |
| 3. | 在“常规”选项卡上的“连接到:”列表中选择“工作”。 | 4. | 在“身份验证”选项卡上选择以下选项: | • | 数据加密(启用 WEP) | | • | 自动提供密钥 | | • | 使用 IEEE 802.1X 启用网络访问 |
清除“网络身份验证(共享模式)”选项。 | 5. | 在“可扩展身份验证协议类型:”列表中,选择“PEAP”。 | 6. | 单击“确定”关闭 WLAN 设置屏幕。 | 7. | 当系统提示您输入域凭据以连接到 WLAN 时,键入名称、密码以及已授权连接到 WLAN 的用户的域。 警告:仅当实施了强大的安全机制(如指纹扫描或强密码访问)以防设备在未经授权的情况下被使用时,才应选择“保存密码”选项。注意,用户凭据用于向域资源以及 WLAN 进行身份验证。如果凭据已被破坏,则将使入侵者能够通过 WLAN 访问所有内部网络资源而不被发现。 | 8. | 如果通过步骤 2 中的“新建网络”弹出菜单导航到 WLAN 设置,则单击 Pocket PC 标题栏上的“连接”图标并单击“设置”打开“连接设置”屏幕。 | 9. | 单击“高级”选项卡,然后单击“网卡”按钮。(如果未通过步骤 2 中的“新建网络”弹出菜单导航,则您已经在此屏幕中。) | 10. | 在“无线网络”列表中,您将看到刚刚配置的 WLAN 的名称。状态应为“已连接”;否则,单击并按住该名称,然后单击“连接”。(系统可能提示您再次输入用户凭据。) | 11. | 如果 WLAN 现在显示为“已连接”,则单击“确定”关闭“配置无线网络”和“连接设置”屏幕。 注意:如果要向 Pocket PC 用户提供这些说明以配置他们自己的设备,则他们可以在系统提示时输入自己的域凭据。然而,如果 IT 支持工程师要为用户预配置 Pocket PC,则您需要为这些工程师提供有效的域帐户(拥有 WLAN 的访问权限),尤其值得注意的是,使用此类帐户时,他们不得选择“保存密码”选项。然后,应指示用户在使用 Pocket PC 首次连接时输入他们自己的凭据。 |
验证 Pocket PC 与 WLAN 的连接可以通过多种方法验证 Pocket PC 是否已成功连接到 WLAN。最简单的方法是连接到网络(如网站)上的某个应用程序。(如果 Web 服务器不在 LAN 上,则您需要在设备上配置一个代理服务器。) 如果连接失败,请参阅第 8 章“维护安全无线 LAN 解决方案”中的“故障排除”部分。 小结本章介绍了如何为 Windows XP 和 Pocket PC 客户端配置 WLAN 网络设置。并介绍了如何使用安全组控制 WLAN 访问,如何配置组策略以便将 WLAN 设置部署到 Windows XP 客户端以及 Pocket PC 2003 客户端的配置步骤。 参考本节提供了对重要的补充信息或其他与本章内容相关的背景资料的参考。
| 
