查看所有安全指南主题 本文档介绍的无线局域网 (WLAN) 解决方案无论是与动态有线对等保密 (WEP) 还是与 Wi-Fi 保护访问 (WPA) WLAN 保护一起使用都可以正常工作。两者的实施差别很小,并且记录在本附录中。 当前,在使用 WPA 时存在某些潜在的困难,其中包括: | • | 手动配置 WPA 设置:Windows Server™ 2003 Service Pack 1 之前的 Windows® 版本不支持使用组策略设置 Windows® XP 客户端 WPA 设置。在安装 Service Pack 1 并将其部署在您的组织之前,必须手动配置客户端(无法编写 Windows XP 的 WLAN 设置脚本)。只需在要编辑 WLAN 设置组策略对象 (GPO) 的服务器上安装 Service Pack 1;而无须在客户端、域控制器或 IAS 服务器上安装 Service Pack 1。 | | • | WLAN 客户端的可用性受到限制:编写本文档时,Microsoft® 仅为 Windows XP Service Pack 1 以及更高版本提供了 WPA 支持。 | | • | WPA 兼容硬件的可用性:尽管 WPA 支持现在对所有 Wi-Fi 认证硬件是必需的,但可能需要升级现有网络设备来支持 WPA。您需要为任何当前不支持 WPA 的接入点或网络适配器获取固件更新。在某些(很少的)情况下,如果制造商未提供 WPA 更新,则可能需要更换设备。 |
本页内容使用 WPA 替换 WEP尽管本指导的大多数内容对 WPA 和动态 WEP 均适用,但其中有两个主要部分提供了不同的说明: | • | 第 5 章“构建无线 LAN 安全性基础结构”中的“创建 WLAN 的 IAS 远程访问策略”部分。 | | • | 第 6 章“配置无线 LAN 客户端”中的“创建 WLAN 设置 GPO”。 |
使用 WPA 创建 WLAN 的 IAS 远程访问策略要使用 WPA WLAN 保护替换动态 WEP,应将客户端会话超时值设置为 8 小时,而不是 60 分钟。WPA 有一个用于生成新 WLAN 加密密钥的内置机制,这样便无须强制客户端经常进行重新身份验证。八小时是一个合理的值,可以确保客户端具有有效的最新凭据(例如,该值可以确保客户端在其帐户被禁用后不会在过长的时间内保持连接状态)。在安全性很高的环境中,可以根据需要降低该超时值。 在第 5 章“构建无线 LAN 安全性基础结构”的“修改 WLAN 访问策略配置文件设置”部分中,使用以下过程设置远程访问策略配置文件设置: 修改无线访问策略配置文件设置: 1. | 在 Internet 验证服务 MMC 中,打开“允许无线 LAN 访问”策略的属性,然后单击“编辑配置文件”。 | 2. | 在“拨入限制”选项卡的“客户端可以连接的时间(会话超时)”字段中,键入值 480(480 分钟,即 8小时)。 | 3. | 在“高级”选项卡上,添加“Ignore-User-Dialin-Properties”属性并将其设置为“True”,然后添加“Termination-Action”属性并将其设置为“RADIUS 请求”。 |
您还需要更改无线接入点 (AP) 中的会话超时,使其匹配(或超过)该过程中设置的超时值。 手动配置 WPA 的 Windows XP WLAN 设置除非 Windows Server 2003 Service Pack 1 中提供了 GPO 支持,否则必须在客户端上手动配置 WPA 设置。安装了 WPA 客户端下载的 Windows XP Service Pack 1(或 Windows XP Service Pack 2)支持 WPA。 注意:获取 GPO 支持后,也可以使用以下过程创建一个使用相同设置的无线网络策略。 手动配置 WPA WLAN 设置: 1. | 打开“无线网络”界面的属性。如果 WLAN 显示在“可用网络”列表中,则选择它并单击“配置...”;否则,单击“添加”(在“首选网络”部分中)。 | 2. | 将 WLAN 名称键入到“网络名称 (SSID)”字段中(如果该名称未显示在其中),并且在“说明”字段中输入网络说明。 注意:如果有一个现有的 WLAN,并打算将其与该解决方案的基于 802.1X 的 WLAN 一起运行,则必须针对这个新的 WLAN 使用一个不同的服务集标识符 (SSID)。然后,应在此处使用这个新的 SSID。 | 3. | 在“无线网络密钥”部分中,选择“WPA”(而非“WPA PSK”)作为“网络身份验证”类型,并选择“TKIP”作为“数据加密”类型。(如果您的硬件支持它,则可以选择更高的强度“高级加密标准”(AES) 来代替 TKIP)。 | 4. | 单击“IEEE 802.1x”选项卡,并从“EAP 类型”下拉列表中选择“受保护 EAP (PEAP)”。 | 5. | 单击“设置...”按钮修改 PEAP 设置。从“受信任根证书颁发机构”列表中,为该 CA 选择根 CA 证书。(这是已安装的用于颁发 IAS 服务器证书的 CA — 有关详细信息,请参阅第 4 章)。 要点:如果要从头重新安装 CA(而不仅仅是从备份还原),则需要编辑客户端设置并为这个新的 CA 选择根 CA 证书。 | 6. | 确保在“选择身份验证方法”中选择“安全密码 (EAP-MS-CHAP v2)”,并选中“启用快速重连接”选项。 | 7. | 单击“确定”关闭每个属性窗口。 |
为 WPA 配置 Pocket PC 2003编写本文档时,Pocket PC 2003 本身并不支持 WPA;但可以在以后实施该支持。Pocket PC 对 WPA 的支持也可以从其他供应商那里获取。 从 WEP 迁移到 WPA如果已部署了基于动态 WEP 的安全 WLAN 解决方案,并希望迁移到 WPA,则需要按照本部分中的步骤执行操作。迁移之前,必须确保已部署了 WPA 软件支持(例如,Windows XP WPA 组件)和硬件支持(AP 固件和网络适配器驱动程序更新)。仅当从 Windows Server 2003 Service Pack 1 和更高版本中编辑 GPO 时,该过程中有关配置 GPO 中的 WPA 设置的内容才有效。编写本文档时,该 Service Pack 尚未发布。如果不打算使用 Windows Server 2003 Service Pack 1 或更高版本,则按照本附录中的“手动配置 Windows XP WLAN 设置”部分提供的说明执行操作。 在 AP 同时支持动态 WEP 和 WPA 的情况下,从 WEP 迁移到 WPA: 1. | 配置所有无线 AP 以同时支持动态 WEP 和 WPA。 | 2. | 创建一个新的 WLAN 客户端设置 GPO。创建一个为 WPA 配置正确设置的无线网络策略(请参阅本附录中的“手动配置 Windows XP WLAN 设置”部分提供的过程)。然后,禁用现有 WEP GPO 并启用 WPA GPO,以便所有 WPA 设置发送到所有客户端。客户端将在下一个 GPO 刷新之后开始使用 WLAN 上的 WPA。 注意:如果要手动配置客户端,则必须禁用包含 WEP 设置的 GPO;否则,手动的 WPA 设置将被该 GPO 覆盖。 | 3. | 最后,应更新 AP 中的 IAS 远程访问策略会话超时和客户端会话超时(如本附录前面的“IAS 远程访问策略”部分所述)。 |
在 AP 不支持同时使用 WEP 和 WPA 的情况下,从 WEP 迁移到 WPA: 1. | 为 WPA 网络创建一个新 WLAN SSID。 | 2. | 编辑客户端网络设置 GPO 并使用 WPA 参数添加新 SSID(如本附录前面的“手动配置 Windows XP WLAN 设置”部分所述)。如果要手动配置客户端,则应使用新 SSID 及其 WPA 设置来配置这些客户端。在任何一种情况下都不要删除旧 WEP SSID 的设置。 | 3. | 逐个站点地执行操作,将 AP 从 WEP 重新配置为 WPA 支持,并更改 AP 的 SSID。重新配置每个 AP 时,客户端将切换到新 SSID 并使用 WPA。 | 4. | 重新配置所有 AP 后,可以更新所有 IAS 服务器上的远程访问策略。需要增大远程访问策略中的会话超时值(从 60 分钟到 8 小时),并更改无线 AP 中的相同设置(如本附录中的“IAS 远程访问策略”部分所述)。 | 5. | 迁移完成后,可以从 GPO 中删除 WEP SSID。 |
参考本部分提供了对与本附录相关的重要补充信息或其他背景材料的参考。
| 
