安全指南

使用 802.1X 实现无线 LAN 安全性

更新日期: 2004年04月06日
本页内容
本模块内容本模块内容
目标目标
适用范围适用范围
如何使用本模块如何使用本模块
概述概述
802.1X WLAN 计划工作表802.1X WLAN 计划工作表
准备安全 WLAN 的环境准备安全 WLAN 的环境
配置和部署 WLAN 身份验证证书配置和部署 WLAN 身份验证证书
配置 WLAN 访问基础结构配置 WLAN 访问基础结构
让用户和计算机能够访问安全 WLAN让用户和计算机能够访问安全 WLAN
配置 802.1X 网络的无线接入点配置 802.1X 网络的无线接入点
测试和验证测试和验证
小结小结
其他信息其他信息

本模块内容

本模块为您实现无线 LAN (WLAN) 安全性提供全面指导。本模块讨论了如何配置基于 Microsoft® Active Directory® 目录服务的组、如何为 WLAN 部署 X.509 证书、如何修改 Microsoft Internet 验证服务器 (IAS) 服务器设置、如何部署 WLAN 组策略,并提供了配置无线接入点 (AP) 的技巧。本模块提供了在实现基于 802.1X 和 EAP-TLS(可扩展身份验证协议 - 传输层安全性)的安全 WLAN 时所需要的所有设置。

返回页首返回页首

目标

使用本模块可以实现:

实施安全的 WLAN 设计。

配置并部署 WLAN 身份验证证书。

确保通过 WLAN 传输的数据的安全。

返回页首返回页首

适用范围

本模块适用于下列产品和技术:

Microsoft Windows® Server™ 2003

Microsoft Windows XP Service Pack 1

Microsoft Active Directory

Microsoft Internet 验证服务 (IAS)

Microsoft 证书服务

返回页首返回页首

如何使用本模块

本模块为使用 802.1X 来实现无线 LAN 安全性提供了方法和步骤。您可以根据您的组织的具体情况对此方法加以调整。所有步骤都是模块化的,并演示了如何将方法付诸实施。

要充分理解本模块内容,请:

阅读“规划指南”中的使用 802.1X 设计无线 LAN 安全性模块。该模块有助于理解 802.1X 实现的一般概念。

阅读“Microsoft Windows Server 2003 Deployment Kit”中的 Deploying a Wireless LAN(英文)一章,其包含许多方案的部署指导,这部分内容超出本安全无线网络指南范畴,但会影响设计决策。可以从以下位置获得完整的工具包:
http://www.microsoft.com/windowsserver2003/techinfo/reskit/deploykit.mspx(英文)。

使用指南开头的 802.1X WLAN 计划工作表,为本解决方案的配置参数提供检查表。

返回页首返回页首

概述

图 1 概括了使用 802.1X 实现 WLAN 安全性的过程,具体内容将在后面详细介绍。

配置 802.1X 基础结构的过程图

图 1

配置 802.1X 基础结构的过程图

下面的列表概括描述了本模块的各个主要部分。

802.1X WLAN 计划工作表 - 列出了本模块中用于配置各种 802.1X WLAN 组件的配置信息。它包括一个表格,该表格描述了开始实现本模块前您必须提供的信息。

准备安全 WLAN 的环境 - 描述了如何准备 Active Directory 安全组以便及时配置和管理 802.1X WLAN 。此外,还提供了动态主机配置协议 (DHCP) 的建议。

配置和部署 WLAN 身份验证证书 - 讨论了如何创建和部署 802.1X WLAN 身份验证所需的 X.509 证书模板。还讨论了关于部署验证的内容。

配置 WLAN 访问基础结构 - 详细描述了如何为基于 802.1X 和 EAP-TLS 的 802.1X 网络创建和配置 IAS 远程访问策略。还讨论了如何将无线 AP 作为远程身份验证拨入用户服务 (RADIUS) 客户端添加到 IAS 服务器。

让用户和计算机能够访问安全 WLAN - 讨论了如何通过 Active Directory 来配置用户和计算机权限,使它们能够访问安全的 WLAN。此外,这部分还讨论了如何创建和部署基于 Active Directory 的组策略,以便用适当的 802.1X 和 802.11 设置来配置 WLAN 客户端。

配置 802.1X 网络的无线 AP - 列出了在配置基于 802.1X 网络的无线 AP 时必须考虑的主题。

测试和验证 - 提供了对基于 802.1X 的 WLAN 进行功能测试的过程。

返回页首返回页首

802.1X WLAN 计划工作表

下表列出了本解决方案中使用的配置参数。在制定计划时可以把它们用作检查表。

这些表中的许多参数是手动设置的,具体步骤请参见本模块提供的说明。很多参数可以通过作为这些过程之一的构成部分而运行的脚本来设置,或者由脚本引用参数以便完成某些其他配置或操作任务。

注意:脚本附带的文件 readme.txt 详细描述了“构建指南”中使用的脚本。要获得脚本和 readme.txt 文件,请下载 Securing Wireless LANs - A Microsoft® Windows Server™ 2003 Certificate Services Solution,其网址为:http://www.microsoft.com/downloads/details.aspx?FamilyID=cdb639b3-010b-47e7-b234-a27cda291dad&displaylang=en(英文)。

用户定义的配置项

在开始设置过程之前,应当首先确保您已经收集或确定了下表中所有各项的设置。整个模块中,给出的示例命令使用了此处所示的假定值。可以用适合您组织的值替换这些值。需要替换为您自己值的位置以斜体显示。

表 1:用户定义的配置项

配置项设置

Active Directory 林根域的域名系统 (DNS) 名称

woodgrovebank.com

域的网络基本输入/输出系统 (NetBIOS) 名称

WOODGROVEBANK

主 IAS 服务器名称

HQ-IAS-01

辅助 IAS 服务器的服务器名

HQ-IAS-02

可选分支机构 IAS 服务器的服务器名

BO-IAS-03

解决方案建议的配置项

除非您有使用不同于解决方案设计的其他设置的特殊需要,否则,不需要针对具体的安装情况而更改该表中指定的设置。更改此处给出的设计参数是完全可以接受的,但您应当明白这样做将偏离已经过测试的解决方案。在配置过程中或通过提供的脚本更改此处的任何值之前,请确保您完全理解更改某项设置的含义,以及该设置可能具有的依赖关系。

表 2:解决方案建议的配置项

配置项设置

[帐户] 包含需要 802.1X 身份验证证书的用户的 Active Directory 全局组

自动注册客户端身份验证 - 用户证书

[帐户] 包含需要 802.1X 身份验证证书的用户的 Active Directory 全局组的名称(Windows 2000 以前版本)

自动注册客户端身份验证 - 用户证书

[帐户] 包含需要 802.1X 身份验证证书的计算机的 Active Directory 全局组

自动注册客户端身份验证 - 计算机证书

[帐户] 包含需要 802.1X 身份验证证书的计算机的 Active Directory 全局组的名称(Windows 2000 以前版本)

自动注册客户端身份验证 - 计算机证书

[帐户] 包含需要 802.1X 身份验证证书的 IAS 服务器的 Active Directory 全局组

自动注册 RAS 和 IAS 服务器身份验证证书

[帐户] 包含需要 802.1X 身份验证证书的 IAS 服务器的 Active Directory 全局组的名称(Windows 2000 以前版本)

自动注册 RAS 和 IAS 服务器身份验证证书

[帐户] 包含允许访问无线网络的用户的 Active Directory 全局组(Windows 2000 以前版本)

远程访问策略 - 无线用户

[帐户] 包含允许访问无线网络的用户的 Active Directory 全局组的名称(Windows 2000 以前版本)

远程访问策略 - 无线用户

[帐户] 包含允许访问无线网络的计算机的 Active Directory 全局组

远程访问策略 - 无线计算机

[帐户] 包含允许访问无线网络的计算机的 Active Directory 全局组

远程访问策略 - 无线计算机

[帐户] 同时包含无线用户组和无线计算机组的 Active Directory 通用组

远程访问策略 - 无线访问

[帐户] 同时包含无线用户组和无线计算机组的 Active Directory 通用组

远程访问策略 - 无线访问

[帐户] 包含需要配置无线网络属性的计算机的 Active Directory 全局组

无线网络策略 - 计算机

[帐户] 包含需要配置无线网络属性的计算机的 Active Directory 全局组

无线网络策略 - 计算机

[证书] 用于生成用户客户端身份验证证书的证书模板

客户端身份验证 - 用户

[证书] 用于生成计算机客户端身份验证证书的证书模板

客户端身份验证 - 计算机

[证书] 用于生成供 IAS 使用的服务器身份验证证书的证书模板

RAS 和 IAS 服务器身份验证

[脚本] 安装脚本的路径

C:\MSSScripts

[配置] 配置备份文件的路径

D:\IASConfig

[请求日志] IAS 身份验证和审核请求日志的位置

D:\IASLogs

[远程访问策略] 策略名称

允许无线访问

[组策略] Active Directory 组策略对象 (GPO) 名称

无线网络策略

[组策略] GPO 中的无线网络策略

客户端计算机无线配置

返回页首返回页首

准备安全 WLAN 的环境

实现基于 802.1X 的安全无线网络之前,您必须优化环境中的支持性基础结构。支持性基础结构包括 Active Directory 和 DHCP 服务器。有关 WLAN 计划的全面指导,请参阅“Windows Server 2003 Deployment Kit”中的 Deploying a Wireless LAN(英文)一书,以及本模块末尾的其他信息一节中列出的其他资源。

创建 WLAN 访问所需的 Active Directory 组

您必须作为有权创建 Active Directory 安全组的用户运行下列脚本。以下脚本可以为无线身份验证证书注册、远程访问策略和无线网络组策略创建所需的组:
Cscript //job:CreateWirelessGroups C:\MSSScripts\wl_tools.wsf

该脚本创建下列基于 Active Directory 的安全组,这些安全组将在本指南的其余部分使用:

自动注册客户端身份验证 - 用户证书

自动注册客户端身份验证 - 计算机证书

自动注册 RAS 和 IAS 服务器身份验证证书

远程访问策略 - 无线用户

远程访问策略 - 无线计算机

远程访问策略 - 无线访问

无线网络策略 - 计算机

对于多域林来说,您应该在无线用户所在的域中创建这些组。虽然这不是必需的,因为它们被创建为全局组,但在本指南的其余部分中假设如此。

验证 DHCP 设置

要适应无线网络,应该用无线特有的作用范围以及比有线客户端短的 Internet 协议 (IP) 地址租约时间来配置 DHCP 服务器。向 DHCP 服务器管理员核实,确保已将 DHCP 服务器正确配置为能够支持无线解决方案。

有关无线网络 DHCP 计划的全面指导,请参阅“Windows Server 2003 Deployment Kit”中的 Deploying a Wireless LAN(英文)一书。

返回页首返回页首

配置和部署 WLAN 身份验证证书

本指南中详细描述的安全 WLAN 解决方案使用了 X.509 证书,以使用 EAP-TLS 来执行计算机和用户身份验证。以下部分详细描述了下列证书的创建和配置:

客户端身份验证 - 计算机

客户端身份验证 - 用户

RAS 和 IAS 服务器身份验证

注意:请参阅“操作指南”中的管理公钥基础结构模块,以获得有关执行这些任务和角色所需的详细信息。

创建服务器身份验证的证书模板

IAS 服务器上必须要有服务器证书,才能在 EAP-TLSA 协议握手时向客户端验证计算机的身份。请让您的证书服务管理员在证书服务服务器上,使用证书模板 Microsoft 管理控制台 (MMC) 管理单元执行下列步骤,以创建服务器身份验证证书模板,以便与 IAS 服务器配合使用。

创建服务器身份验证的证书模板

1.

为“远程访问服务 (RAS) 和 IAS 服务器”证书模板创建一个副本,然后在模板属性的“常规”选项卡上,在“模板显示名”字段中键入“RAS 和 IAS 服务器身份验证”,以便将新模板命名为“RAS 和 IAS 服务器身份验证”。

2.

在“扩展”选项卡上,确保应用程序策略仅包括“Server Authentication (OID 1.3.6.1.5.5.7.3.1)”。

3.

同样在“扩展”选项卡上,编辑“颁发”策略,并添加“中确定性”策略。

4.

在“使用者名称”选项卡上,选择“用 Active Directory 中的信息生成”。同时,还要确保“使用者名称格式”设置为“公用名”,并确保在“使用者备用名称中包括此信息”下仅选择了“DNS 名称”。

5.

在“处理请求”选项卡上,单击“CSP”按钮,确保选择“请求必须是以下的一个 CSP”,并仅选择“Microsoft RSA SChannel 加密提供程序”。

6.

在“安全”选项卡上,添加具有“读取”、“注册”和“自动注册”权限的“自动注册 RAS 和 IAS 服务器身份验证证书(WOODGROVEBANK\自动注册 RAS 和 IAS 服务器身份验证证书)安全组。

要点:您应该删除所有其他有权注册和/或自动注册此证书模板的组。所有需要注册这些证书的用户或组都应该添加到相关的证书模板注册(或自动注册)组中。这可以防止用户或组因疏忽而注册他们不应该能够注册的证书。

“规划指南”中的模块设计公钥基础结构讨论了如何将此类证书设置为要求证书经理批准。由于此类证书被看作是相对高价值的证书,因此您应该考虑启用此选项,以提供其他检查,防止有人注册恶性 IAS 服务器。这意味着,需要手动批准来颁发证书(尽管请求仍将由 IAS 服务器自动发送,并且一旦批准,证书会自动返回给申请者)。

创建用户身份验证的证书模板

最终用户必须要有用户证书,才能在 EAP-TLSA 身份验证时向 IAS 服务器验证自己的身份。请让您的证书服务管理员在证书服务服务器上,使用证书模板 MMC 管理单元执行下列步骤,以创建用户身份验证证书模板。

创建用户身份验证证书模板

1.

为“已验证会话”模板创建一个副本,并在“常规”选项卡上的“模板显示名”字段中键入“客户端身份验证 - 用户”,来命名新模板。

2.

在“处理请求”选项卡上,选择“CSP”,并清除“Microsoft Base DSS 加密提供程序”复选框。

3.

在“使用者名称”选项卡上,确保选择“用 Active Directory 中的信息建立”,并在“使用者名称格式”下选择“公用名”。确保在“在使用者备用名称中包括此信息”下面仅选择了“用户主体名 (UPN)”。

4.

在“扩展”选项卡上,确保“应用程序策略”中仅包括“Client Authentication (OID 1.3.6.1.5.5.7.3.2)”。

5.

同样在“扩展”选项卡上,编辑“颁发”策略,并添加“低确定性”策略。

6.

在“安全性”选项卡上,添加具有“读取”、“注册”和“自动注册”权限的“自动注册客户端身份验证 - 用户证书”(WOODGROVEBANK\自动注册客户端身份验证 - 用户证书)安全组。

要点:您应该删除所有其他有权注册和/或自动注册此证书模板的组。所有需要注册这些证书的用户或组都应该添加到相关证书模板注册(或自动注册)组中。这可以防止用户或组因疏忽而注册他们不应该能够注册的证书。

创建计算机身份验证的证书模板

在 EAP-TLSA 身份验证时,必须要有证书才能向 IAS 服务器验证计算机的身份。请让您的证书服务管理员在证书服务服务器上,使用证书模板 MMC 管理单元执行下列步骤,以创建计算机身份验证证书模板。

创建计算机身份验证证书模板

1.

为“工作站身份验证”模板创建一个副本,并在“常规”选项卡上的“模板显示名”字段中键入“客户端身份验证 - 计算机”,来命名新模板。

2.

在“使用者名称”选项卡上,确保选择“用 Active Directory 中的信息建立”,并在“使用者名称格式”下,选择“公用名”。确保“在使用者备用名称中包括此信息”下仅选择了“DNS 名称”。

3.

在“扩展”选项卡上,编辑适当的策略并确保仅包括“Client Authentication (OID 1.3.6.1.5.5.7.3.2)”。

4.

同样在“扩展”选项卡上,编辑“颁发”策略,并添加“低确定性”策略。

5.

在“安全”选项卡上,添加具有“读取”、“注册”和“自动注册”权限的“自动注册客户端身份验证 - 计算机证书”(WOODGROVEBANK\自动注册客户端身份验证 - 计算机证书) 安全组。

要点:您应该删除所有其他有权注册和/或自动注册此证书模板的组。所有需要注册这些证书的用户或组都应该添加到相关证书模板注册(或自动注册)组中。这可以防止用户或组因疏忽而注册他们不应该能够注册的证书。

将 WLAN 身份验证证书添加到证书颁发机构

一旦 WLAN 身份验证证书模板配置完毕,必须将这些模板添加到证书颁发机构 (CA) 中,以启用注册。请您的证书服务管理员执行下列步骤,将证书模板添加到 CA。

将证书模板添加到 CA

在证书颁发机构 MMC 管理单元中,右健单击“证书模板”文件夹,然后选择“新建”和“要颁发的证书模板”。选择下列证书,然后单击“确定”:

客户端身份验证 - 计算机

客户端身份验证 - 用户

RAS 和 IAS 服务器身份验证

注册 IAS 服务器证书

将服务器身份验证证书部署到 IAS 服务器是相对简单的操作,并且是自动进行的。请完成以下部分中的步骤,以执行此任务。

在 CA 中注册 IAS 服务器身份验证证书

1.

使用 Active Directory 用户和计算机 MMC 管理单元,可以将 IAS 计算机帐户添加到“自动注册 RAS 和 IAS 服务器身份验证证书”安全组。

2.

作为 IAS 服务器上本地 Administrators 组的成员登录,该 IAS 服务器应当已添加到“自动注册 RAS 和 IAS 服务器身份验证证书”安全组,然后从命令提示符运行 GPUPDATE /force。

3.

打开 MMC,然后添加“证书”管理单元。出现提示时,选择“计算机帐户”选项,然后选择“本地计算机”。

提示:如果“计算机帐户”选项不出现,可能是因为您不是本地计算机的管理员。

4.

从控制台树选择“证书(本地计算机)”,从“操作”菜单选择“所有任务”,然后单击“自动注册证书”。

注意:如果对此证书类型选择了需要证书经理批准的选项,您将需要与 CA 管理员联系,以验证这是不是 IAS 服务器的合法请求。一旦经过确认,CA 管理员将颁发此证书。

验证 IAS 服务器证书部署

颁发已注册的 IAS 服务器证书,并将其部署到服务器证书存储的速度,取决于证书模板上的证书批准设置。由于服务器每过几个小时才会轮询 CA,因此还可能存在时间延迟。

验证 IAS 服务器身份验证证书是否已部署

1.

作为本地计算机上的本地 Administrators 组成员登录,打开 MMC,然后添加“证书”管理单元。出现提示时,选择“计算机帐户”选项,然后选择“本地计算机”。

提示:如果“计算机帐户”选项不出现,可能是因为您不是本地计算机的管理员。

2.

打开“证书(本地计算机)”、“个人”、“证书”存储,然后在“RAS 和 IAS 服务器身份验证”证书模板中寻找颁发给本地计算机的证书。在右窗格中可看到模板名称。可能必须水平滚动,才能看到相应列。

3.

如果所需的证书没有在“证书”管理单元中出现,请从控制台树中选择“证书(本地计算机)”,从“操作”菜单选择“所有任务”,然后单击“自动注册证书”。稍等片刻以便该操作完成,然后刷新“个人”、“证书”文件夹视图。

提示:您可以重新启动服务器,强制执行证书自动注册。还可以通过应用程序事件日志中的事件来识别证书自动注册是否成功,该事件日志项的源为“自动注册”,事件 ID 是 19。

将用户和计算机添加到自动注册的组

对最终用户来说,将 WLAN 身份验证证书部署到用户和计算机是相对无缝的过程。此过程需要局域网 (LAN) 连接、基于域的用户帐户以及已加入 Active Directory 域的计算机。

需要访问新 WLAN 的用户和计算机必须在访问新网络之前部署证书,以确保能够执行 EAP-TLS 身份验证。如果使用 Windows XP 和 Windows Server 2003,则计算机和用户证书可能会自动注册并续订,而无需最终用户输入。通过 Active Directory 安全组可以控制证书的注册和续订。

将用户和计算机添加到自动注册的组

1.

打开 Active Directory 用户和计算机 MMC 管理单元。

2.

将用户添加到“自动注册客户端身份验证 - 用户证书”组。

3.

将计算机添加到“自动注册客户端身份验证 - 计算机证书”组。

验证用户证书部署

作为已添加到“自动注册客户端身份验证 - 用户证书”组的用户登录时,请执行下列步骤。

验证用户身份验证证书部署

1.

打开 MMC,然后向其中添加“证书”管理单元。如果出现提示,请选择“我的用户帐户”选项。

2.

打开“证书 - 当前用户”、“个人”、“证书”存储,在“客户端身份验证 - 用户”证书模板中寻找颁发给用户的证书。在右窗格中可以看到模板名称。可能必须水平滚动,才能看到相应列。

3.

如果所需的证书没有在“证书”管理单元中出现,请从命令提示符运行 GPUPDATE /force。稍等片刻,然后刷新“个人”、“证书”文件夹视图。

验证计算机证书部署

在已添加到“自动注册客户端身份验证 - 计算机证书”组中的客户端计算机上,执行下列步骤。

验证计算机身份验证证书部署

1.

作为本地计算机上本地 Administrators 组的成员登录,打开 MMC,然后添加“证书”管理单元。出现提示时,选择“计算机帐户”选项,然后选择“本地计算机”。

提示:如果“计算机帐户”选项不出现,可能因为您不是本地计算机的管理员。

2.

打开“证书(本地计算机)”、“个人”、“证书”存储,然后在“客户端身份验证 - 计算机” 证书模板中寻找颁发给本地计算机的证书。在右窗格中可看到模板名称。可能必须水平滚动,才能看到相应列。

3.

如果所需的证书没有在“证书”管理单元中出现,请从命令提示符运行 GPUPDATE /force。稍等片刻,然后刷新“个人”、“证书”文件夹视图。

提示:您可以重新启动计算机,强制执行证书自动注册。还可以通过应用程序事件日志中的事件来识别证书自动注册是否成功,该事件日志项的源为“自动注册”,事件 ID 是 19。

返回页首返回页首

配置 WLAN 访问基础结构

您必须用相应的远程访问策略和连接请求设置来配置主 IAS 服务器,这些设置应当确定无线用户和计算机对 WLAN 的验证和授权。然后使用 netsh 命令将这些设置复制到具有类似角色的其他 IAS 服务器,该命令在“RADIUS 构建指南”和“操作指南”中有相应描述。此外,必须将每个 IAS 服务器唯一地配置为接受来自 RADIUS 客户端(如无线接入点)的连接。然后,必须将无线 AP 配置为利用 IAS 服务器作为身份验证和 802.1X 网络记账的源服务器。

创建 WLAN 的 IAS 远程访问策略

使用 Internet 验证服务 MMC 管理单元执行下列步骤,用无线网络的远程访问策略配置 IAS。

在 IAS 中创建远程访问策略

1.

右健单击“远程访问策略”文件夹,然后选择“新建远程访问策略”。

2.

将策略命名为“允许无线访问”,然后指示向导安装“通常情况下的典型策略”。

3.

选择访问方法为“无线”。

4.

基于组授予访问权,然后使用“远程访问策略 - 无线访问(WOODGROVEBANK\远程访问策略 - 无线访问)”安全组。

5.

选择用于可扩展身份验证协议 (EAP) 类型的“智能卡或其他证书”,然后选择为 IAS 安装的服务器身份验证证书。完成后退出向导。

注意:新建的“允许无线访问”策略可与其他用户创建的远程访问策略或默认远程访问策略共存。但是,请确保在远程访问策略文件夹中,所有默认远程访问策略已删除,或者列在“允许无线访问”策略之后。

修改 WLAN 访问策略配置文件设置

应该进一步配置以前创建的远程访问策略,将其默认设置更改为包括合适的设置,以忽略来自 Active Directory 的用户拨入设置,这样的设置可能导致某些无线接入点出现问题。此外,应该将 RADIUS 属性设置为每隔固定的时间间隔重新验证客户端,以确保有线对等保密 (WEP) 会话密钥被刷新。有关远程访问策略设置的详细信息,请参阅“规划指南”中的使用 802.1X 设计无线 LAN 安全性模块。

修改无线访问策略配置文件设置

1.

打开“允许无线访问”策略的属性,然后单击“编辑配置文件”。

2.

在“拨入限制”选项卡上,选择“客户端可以连接的时间(会话超时)”选项,然后输入时间值为“10 分钟”。

3.

在“高级”选项卡上,添加“Ignore-User-Dialin-Properties”属性,并将其设置为“True”,然后添加“Termination-Action”,并将其设置为“RADIUS 请求”。

验证 WLAN 的连接请求策略

将默认 IAS 连接请求策略配置为命令 IAS 直接对照 Active Directory 验证用户和计算机。执行下列步骤以验证默认连接请求策略的配置。

验证默认连接请求策略的配置

1.

打开 Internet 验证服务 MMC 管理单元,然后查看“对所有用户使用 Windows 验证”连接请求策略的属性。

2.

验证策略条件是否包含“Date-And-Time-Restrictions matches "Sun 00:00-24:00; Mon 00:00-24:00; Tue 00:00-24:00; Thu 00:00-24:00; Fri 00:00-24:00; Sat 00:00-24:00”。

3.

单击“编辑配置文件”按钮,在“身份验证”选项卡上,确保选中“在此服务器上验证请求的身份”。

4.

确保“属性”选项卡上不存在任何规则。

注意:此解决方案不需要其他连接请求策略。但是,您的组织可能为各种方案配置了其他设置。

将 RADIUS 客户端添加到 IAS

您必须将无线接入点和 RADIUS 代理服务器作为 RADIUS 客户端添加到 IAS 后,系统才允许它们通过 RADIUS 协议使用身份验证和记账服务。要将无线接入点添加到 IAS,请在 Internet 验证服务器 MMC 管理单元中执行下列步骤。

将 RADIUS 客户端添加到 IAS

1.

右健单击“RADIUS 客户端”文件夹,然后选择“新建 RADIUS 客户端”。

2.

输入一个友好名称和无线接入点的 IP 地址。

3.

选择“RADIUS 标准”作为客户端供应商属性,然后为此特定无线 AP 输入共享机密。(请考虑使用 GenPwd 脚本生成机密信息,下面将有详细说明。)然后选择“请求必须包括消息验证程序”属性。

注意:某些 RADIUS 客户端可能需要配置供应商特有的属性 (VSA) 才能正常工作。有关 VSA 要求的信息,请查阅供应商提供的文档。

可以使用本指南中的 GenPwd 脚本来生成虚拟随机、共 23 位字符的机密信息,以便由被配置为 RADIUS 客户端的每个无线接入点单独使用。GenPwd 将生成机密,并将该机密与每个 RADIUS 客户端的友好名称一起存储在 Clients.txt 文件中。GenPwd 自动将信息以逗号分隔的形式追加到当前目录内的 Clients.txt 文件中。

强烈建议将该文件保存到软盘或其他可写、可移动的媒体上,上面标注“服务器 HQ-IAS-01 的 RADIUS 客户端”,其中 HQ-IAS-01 代替您的服务器名。在“操作指南”的管理 RADIUS 和无线 LAN 安全性基础结构模块中,将使用这个特定于服务器的磁盘来执行 RADIUS 客户端的导入和导出。

使用 GenPwd 在 Clients.txt 文件中生成 RADIUS 机密

1.

打开命令提示,将 A 驱动器作为您的当前目录。如果要使用非软盘的其他媒体类型,请在此处使用该媒体的驱动器号。由于新信息将自动追加到默认目录内的 Clients.txt 文件中,因此您的文件系统目录位置非常重要。如果 Clients.txt 文件不存在,将创建该文件。

2.

执行以下命令。确保用 [客户端名] 替换该无线接入点的友好名称。该客户端名可以是 DNS 名称或其他字符串:
Cscript //job:GenPWD C:\MSSScripts\wl_tools.wsf /client:[client name]

应该将 RADIUS 客户端存储磁盘存储在安全的位置,此位置在需要紧急还原时应当易于访问。一旦创建,该逗号分隔文件可以很容易地导入到电子表格或数据库应用程序,以便参考和编辑。

返回页首返回页首

让用户和计算机能够访问安全 WLAN

让用户和计算机能够访问安全 WLAN 的最后几个步骤必须在 Active Directory 对象上执行。这些操作包括验证帐户权限、修改组成员身份和实现组策略。可以在控制方式下执行这些步骤,以适应分段式的部署安排,并减少环境中重大变化的风险。

验证 Active Directory 远程访问权限

Active Directory 用户帐户和计算机帐户必须具有正确的远程访问权限,以便利用远程访问策略。默认情况下,在本机模式的 Active Directory 域中帐户的远程访问权限被设置为“通过远程访问策略控制访问”;因此,通常不需要进行修改。

但是,可以使用 Active Directory 用户和计算机 MMC 管理单元来验证目标用户和计算机是否正确配置。要这样做,请检查帐户属性“拨入”选项卡上的“远程访问权限(拨入或 VPN)”设置是否选择的是“通过远程访问策略控制访问”。

将用户添加到远程访问策略组

基于 IAS 的远程访问策略使用基于 Active Directory 的安全组,来确定是否授权用户和计算机连接到 WLAN。本模块中以前创建的安全组包括下表中描述的安全组。

表 3:Active Directory 安全组

安全组说明

远程访问策略 - 无线用户

需要访问 WLAN 的用户的全局组

远程访问策略 - 无线计算机

需要访问 WLAN 的计算机的全局组

远程访问策略 - 无线访问

应包含前两个全局组的通用组

使用 Active Directory 用户和计算机 MMC 管理单元,将“远程访问策略 - 无线用户”组(WOODGROVEBANK\远程访问策略 - 无线用户)和“远程访问策略 - 无线计算机”组(WOODGROVEBANK\远程访问策略 - 无线计算机)添加到“远程访问策略 - 无线访问”组(WOODGROVEBANK\远程访问策略 - 无线访问)。

现在,可以开始用将被授予 WLAN 访问权的用户和计算机填充组结构。

将用户和计算机添加到 WLAN 访问组

1.

打开 Active Directory 用户和计算机 MMC 管理单元。

2.

将允许访问 WLAN 的用户添加到“远程访问策略 - 无线用户”组(WOODGROVEBANK\远程访问策略 - 无线用户)。

3.

将允许访问 WLAN 的计算机添加到“远程访问策略 - 无线计算机” 组(WOODGROVEBANK\远程访问策略 - 无线计算机)。

注意:关于为什么应当同时启用用户和计算机对 WLAN 的身份验证的详细讨论,请参阅“规划指南”的使用 802.1X 设计无线 LAN 安全性模块。

创建 Active Directory WLAN 组策略

可以利用基于 Windows 2003 的组策略工具自动执行和实施客户端计算机 WLAN 配置。这些工具提供了“无线网络策略”设置,包括那些与基于 802.1X 的安全性和 802.11 WLAN 行为相关的设置。

要为客户端计算机创建针对新的支持 802.1X 的 WLAN 的无线网络组策略配置文件,请使用 Active Directory 用户和计算机 MMC 管理单元执行下列步骤。

注意:创建域一级的 GPO 可能不适合所有组织。请检查组织特有的组策略,以便确定 GPO 的最佳位置。

创建无线网络组策略

1.

选择域对象(例如“woodgrovebank.com”)的属性,然后在“组策略”选项卡上,单击“新建”,将 GPO 命名为“无线网络策略”。

2.

单击“属性”按钮,然后在“安全性”选项卡上,确保“无线网络策略 - 计算机无线网络策略 - 计算机(WOODGROVEBANK\无线网络策略 - 计算机无线网络策略 - 计算机)”安全组的“读取”权限和“应用组策略”权限设置为“允许”。同时,将从 GPO 中删除已经过身份验证的用户。在“常规”选项卡上,选择策略对象上的“禁用用户配置设置”,然后对所有出现的警告消息选择“是”。应用这些更改,然后关闭 GPO 属性窗口。

3.

单击“编辑”按钮以编辑策略,然后导航至:\计算机配置\Windows 设置\安全设置\无线网络(电气与电子工程师协会或 IEEE 802.11)策略。

4.

从导航窗格中选择“无线网络 (IEEE 802.11) 策略”,然后从“操作”菜单选择“创建无线网络策略”。使用向导将策略命名为“客户端计算机无线配置”,选择“编辑属性”选项,然后单击“完成”以关闭向导。

5.

从客户端计算机无线配置策略的“首选网络”选项卡上,选择“添加”,然后输入网络名或无线网络的服务设置标识符 (SSID)。

注意:如果客户端正在使用现有的 WLAN,您必须为新的 802.1X 无线 LAN 选择其他 SSID。然后,应将此新 SSID 输入到启用 802.1X 的无线网络配置文件。

6.

单击“IEEE 802.1x”选项卡,然后打开“智能卡或其他证书”EAP 类型的设置。在“受信任根证书授权机构”下,选择 IAS 服务器证书的根证书授权机构。

7.

关闭客户端计算机无线配置的属性和组策略对象编辑器。

将计算机添加到 WLAN 组策略的安全组

使用基于 Active Directory 的安全组确定哪些计算机应用了无线网络策略,从而自动配置了无线 802.1X 网络设置。

您应提前部署基于 802.1X 新网络的无线网络组策略设置,然后在无线接入点上部署 802.1X 设置,并激活新 WLAN。这样可确保客户端计算机有足够的机会下载并应用基于计算机的组策略,即使它们只是偶而连接到有线 LAN。

此外,在通过 Windows 安装并配置 WLAN 网络接口卡 (NIC) 之前,可以先将组策略设置应用到计算机。一旦安装了无线 LAN NIC,将自动应用无线网络组策略。

将计算机添加到无线网络组策略的组

使用 Active Directory 用户和计算机 MMC 管理单元,将计算机添加到“无线网络策略 - 计算机(WOODGROVEBANK\无线网络策略 - 计算机)”组中。

请注意,无线网络设置将在下一个计算机组策略刷新间隔中在客户端计算机上更新。可以使用“GPUPDATE /force”命令强制刷新计算机策略。

验证 WLAN 组策略的应用

在已添加到 Active Directory 内“客户端计算机无线配置”安全组中的客户端计算机上执行下列步骤。

注意:计算机必须安装无线网络适配器并被 Windows 识别,之后,无线网络策略才可见。

验证无线网络配置部署

1.

作为本地计算机管理员登录,然后在“开始”菜单上的“运行”框中键入 ncpa.cpl,以打开“网络连接”文件夹。

2.

查看与您的无线卡对应的“无线网络连接”图标的属性。在“无线网络”选项卡上,在“首选网络”下应看到新无线网络的 SSID 名称。选择新无线网络配置,然后单击“属性”浏览设置,并验证它们是否与无线网络组策略中已选择的那些设置匹配。

3.

如果“首选网络”下不出现 SSID 名称,或网络设置与无线网络组策略中配置的设置不匹配,请关闭所有无线网络对话框,并从命令提示符下运行“GPUPDATE /force”。几分钟后,请重新检查这些设置。

返回页首返回页首

配置 802.1X 网络的无线接入点

配置无线接入点的过程各不相同,这取决于设备的构造和型号。但是,无线接入点供应商通常为设备配置说明提供以下设置:

802.1X 网络设置。

主要 RADIUS 身份验证服务器的 IP 地址。

主要 RADIUS 记账服务器的 IP 地址。

与主要 RADIUS 服务器共享的 RADIUS 机密。

次要 RADIUS 身份验证服务器的 IP 地址。

次要 RADIUS 记账服务器的 IP 地址。

与次要 RADIUS 服务器共享的 RADIUS 机密。

请参阅您的供应商提供的文档,以获得有关配置 802.1X 无线接入点的信息。

如果您环境中的用户目前正在使用无安全性设置或静态 WEP 设置的无线接入点,您需要开发一个迁移计划。有关从现有无线网络迁移的信息,请参阅“规划指南”中的使用 802.1X 设计无线 LAN 安全性模块。虽然提供各个供应商无线接入点的配置说明不属于本指南的范围,但在本模块中可找到与无线接入点相关的安全性主题的论述。

返回页首返回页首

测试和验证

现在,您应当利用一台客户端计算机来测试基于 802.1X WLAN 的功能,该客户端计算机已用计算机证书、用户证书、无线网络组策略和 WLAN NIC 进行了配置。

测试无线网络的功能

1.

重新启动客户端计算机,该客户端计算机是“远程访问策略 - 无线计算机安全性(WOODGROVEBANK\远程访问策略 - 无线计算机安全性)”组的成员。

2.

作为“远程访问策略 - 无线用户(WOODGROVEBANK\远程访问策略 - 无线用户)”组的成员用户登录到该计算机。

3.

从命令提示符下,使用“ping”命令测试与网络上其他计算机的网络连通性。

返回页首返回页首

小结

完成本模块中的步骤后,您将:

已创建并配置了用于管理 WLAN 安全组件的 Active Directory 安全组。

已创建了所需的证书模板,并将无线证书部署到 IAS 服务器、选定的计算机和选定的最终用户。

已为无线网络创建和配置了基于 IAS 的远程访问策略和连接请求策略。

已配置了 802.1X 网络的无线接入点。

已创建了无线网络组策略,并将其部署到选定的客户端计算机。

此时,您应当拥有安全工作的、基于 802.1X 的 WLAN。

返回页首返回页首

其他信息

Managing Remote Access on a Per-group Basis Using Windows 2000 Remote Access Policies,其网址为:http://www.microsoft.com/windows2000/techinfo/administration/management/pgremote.asp(英文)。

有关提供 IAS 功能概述、配置的基本说明以及部署的最佳做法的产品文档,请参阅“Windows Server 2003 Support Center”,其网址为:http://support.microsoft.com/default.aspx?scid=fh;EN-US;winsvr2003(英文)。

“Microsoft Windows Server 2003 Resource Kit”中的“Supporting Mobile Users”一书,位于以下位置: http://www.microsoft.com/windowsserver2003/techinfo/reskit/resourcekit.mspx(英文)。该资源工具包提供了有关 IAS 的技术信息,其内容比产品文档深奥,当需要详细信息时可作为参考。

有关涉及面更广泛的 802.1X WLAN、WLAN 安全性问题及相关标准,请参阅 http://www.drizzle.com/~aboba/IEEE/(英文)。

有关 WLAN 解决方案和行业信息,请访问 Wi-Fi 联盟网站,其网址为:http://www.wi-fialliance.org(英文)。

有关 WLAN 的信息,包括背景信息、市场调查、白皮书和培训计划,请访问无线局域网联盟 (WLANA) 教育中心,其网址为:http://www.wlana.org/learning_center.html(英文)。

有关 EAP-TLS、EAP over LAN (EAPOL)、EAP-RADIUS、RADIUS 和 802.1X 使用的其他 Internet 标准,请参阅 Internet 工程任务组 (IETF) 网站,其网址为:http://www.ietf.org/(英文)。

相关的 WLAN 标准包括:802.11、802.11b、802.11a、802.11g、802.1X、802.11i 和其他标准。有关这些标准的信息可在电气与电子工程师协会 (IEEE) 无线标准区域找到,其网址为:http://standards.ieee.org/wireless/(英文)。

有关 802.1X WLAN 技术的详细信息,请参阅“Windows XP Wireless Deployment Technology and Component Overview”,其网址为:http://www.microsoft.com/windowsxp/pro/techinfo/administration/networking/default.asp(英文)。


返回页首返回页首