The Cable Guy - Dezember 2002

Veröffentlicht: 01. Dez 2002
Von The Cable Guy

(Engl. Originaltitel: The Cable Guy - December 2002)

In seiner Kolumne aus dem Dezember 2002 befasst sich der Cable Guy mit dem Thema "Microsoft 802.1X Authentication Client". Der Authentifizierungs-Client steht auf der Microsoft-Webseite kostenlos zum Download zur Verfügung. Mit seiner Hilfe können Sie Windows 2000 Service Pack 3 (SP3) so konfigurieren, dass IEEE 802.1X zur Authentifizierung von Netzwerkverbindungen (auch kabellosen) verwendet wird. Vor der Veröffentlichung des Microsoft 802.1X Authentication Client wurde die IEEE 802.1X-Authentifizierung nur von Windows XP unterstützt.

*
**
Links zu verwandten Themen
Engl. Originalversion dieses Artikels
**
**
Download

Artikel im Word-Format

Downloadcg1202.doc
Microsoft Word-Datei
Viewer für Office-Dateien downloaden

Artikel im PDF-Format

Downloadcg1202.pdf
PDF-Datei
Adobe Acrobat Reader downloaden
**
Auf dieser Seite
Vor der Installation von Microsoft 802.1X Authentication ClientVor der Installation von Microsoft 802.1X Authentication Client
Konfigurieren von Microsoft 802.1X Authentication Client für Windows 2000Konfigurieren von Microsoft 802.1X Authentication Client für Windows 2000
Abrufen von ZertifikatenAbrufen von Zertifikaten
Weitere InformationenWeitere Informationen

Eine nützliche Funktion von Windows XP ist die Verfügbarkeit der IEEE 802.1X-Authentifizierung für alle LAN-Adapter. Der IEEE 802.1X-Standard definiert eine portbasierte Netzwerkzugriffssteuerung, die zur Bereitstellung eines authentifizierten Netzwerkzugriffs für kabellose Ethernet- und IEEE 802.11-Netzwerke verwendet wird. Bei portbasierter Kontrolle des Netzwerkzugriffs kann ein Netzwerkgerät erst dann Frames im Netzwerk senden, wenn der Zugriff vom Switch (bei Ethernet-Netzwerken) oder kabellosen Zugriffspunkt (bei einem kabellosen Netzwerk) erteilt wurde. Die Berechtigung wird über einen Authentifizierungsprozess erteilt, bei dem Anmeldeinformationen des verbundenen Netzwerkgeräts überprüft werden. Dies entspricht der Verwendung von Anmeldeinformationen für den Zugriff auf das Internet (über einen Internetdienstanbieter) oder das Intranet Ihres Unternehmens (über eine DFÜ-Verbindung oder eine RAS-Verbindung über ein virtuelles privates Netzwerk).

IEEE 802.1X verringert die Sicherheitslücken, die mit Verbindungen zu kabellosen IEEE 802.11-Netzwerken einhergehen. Die IEEE 802.11-Standards für kabellose Netzwerke geben zwei Authentifizierungsmethoden an: Eine basiert auf der Identifizierung des kabellosen Adapters (Open System-Authentifizierung), die andere auf der Prüfung der Kenntnis eines geheimen Schlüssels (Shared Key Authentication). Im Gegensatz zur Open System- oder Shared Key Authentication erzwingt IEEE 802.1X die Prüfung von benutzerbasierten Anmeldeinformationen für einen kabellosen Computer bzw. dessen Benutzer, bevor der Zugriff auf das kabellose Netzwerk erteilt wird.

IEEE 802.1X bestimmt je nach verwendeter Authentifizierungsmethode auf dynamische Weise Verschlüsselungsschlüssel für die kabellose Kommunikation. Wenn Sie eine Verbindung zu einem kabellosen IEEE 802.11-LAN (WLAN) herstellen, ohne dass IEEE 802.1X-Authentifizierung aktiviert ist, sind die von Ihnen gesendeten Daten anfälliger für unberechtigte Zugriffe.

Der Microsoft 802.1X Authentication Client ist im Windows 2000 Service Pack 4 enthalten. Mit seiner Hilfe können Sie Windows 2000 so konfigurieren, dass IEEE 802.1X zur Authentifizierung von Netzwerkverbindungen (auch kabellosen) verwendet wird.

Vor der Veröffentlichung des Microsoft 802.1X Authentication Client wurde die IEEE 802.1X-Authentifizierung nur von Windows XP unterstützt.

Microsoft 802.1X Authentication Client beinhaltet nicht den WZC-Dienst (Wireless Zero Configuration) von Windows XP, der auf der Grundlage verfügbarer sowie konfigurierter bevorzugter Netzwerke eine dynamische Verbindung zu kabellosen Netzwerken herstellt. Sie müssen kabellose Verbindungen zu kabellosen Netzwerken weiterhin mit den Konfigurationstools des kabellosen Adapters konfigurieren.

Die IEEE 802.1X-Authentifizierung verwendet das Extensible Authentication Protocol (EAP oder erweiterbares Authentifizierungsprotokoll) für den Nachrichtenaustausch während des Authentifizierungsprozesses. Microsoft 802.1X Authentication Client verwendet die folgenden EAP-Methoden für die kabellose Authentifizierung:

EAP-TLS (Transport Layer Security oder Transportschichtsicherheit) wird in zertifikatsbasierten Sicherheitsumgebungen verwendet. Sie bietet die strengste Authentifizierungs- und Schlüsselbestimmungsmethode. EAP-TLS stellt gegenseitige Authentifizierung, das Aushandeln der Verschlüsselungsmethode und die Ermittlung des Verschlüsselungsschlüssels zwischen dem Client und dem Authentifizierungsserver - im Allgemeinen ein RADIUS-Server (Remote Authentication Dial-In User Service) - bereit.

Protected EAP (PEAP) ist eine Authentifizierungsmethode, die TLS zur Erweiterung der Sicherheit anderer EAP-Authentifizierungsmethoden verwendet. PEAP für Microsoft 802.1X Authentication Client bietet Unterstützung für TLS (PEAP-TLS), welche Zertifikate für die Server- und die Clientauthentifizierung verwendet sowie für Microsoft Challenge Handshake Authentication Protocol, Version 2 (PEAP-MS-CHAP v2), das Zertifikate für die Serverauthentifzierung und kennwortbasierte Anmeldeinformationen für die Clientauthentifizierung einsetzt.

Windows XP Service Pack 1 (SP1) unterstützt auch PEAP-TLS und PEAP-MS-CHAP v2.

Bei der Installation auf einem Computer, auf dem ein Mitglied der Windows 2000-Serverfamilie ausgeführt wird, bietet Microsoft 802.1X Authentication Client zusätzlich Unterstützung für PEAP-Authentifizierung (für PEAP-TLS und PEAP-MS-CHAP v2) für den Internetauthentifizierungsdienst (IAS), der Implementierung eines RADIUS-Servers von Microsoft. Ein Computer, auf dem ein Mitglied der Windows 2000-Serverfamilie, Microsoft 802.1X Authentication Client und IAS ausgeführt wird, kann als RADIUS-Server fungieren, der die Authentifizierung und Autorisierung für 802.1X-basierte kabellose Clients durchführt, die EAP-TLS-, PEAP-TLS- oder PEAP-MS-CHAP v2-Authentifizierung verwenden.

Vor der Installation von Microsoft 802.1X Authentication Client

Vor der Installation von Microsoft 802.1X Authentication Client müssen Sie Folgendes tun:

Stellen Sie sicher, dass der kabellose Adapter auf dem Computer installiert ist.

Stellen Sie sicher, dass der Miniporttreiber (vom Hersteller des kabellosen Adapters mitgeliefert) auf dem Computer installiert ist.

Installieren Sie das Konfigurationsdienstprogramm (ebenfalls vom Hersteller des kabellosen Adapters mitgeliefert), um den Adapter zu konfigurieren.

Verwenden Sie das Konfigurationsdienstprogramm zum Konfigurieren der Karte, um eine Verbindung zu einem verfügbaren kabellosen Netzwerk herzustellen und IEEE 802.1X zu aktivieren.

Rufen Sie gültige Zertifikate ab. Wenden Sie sich an Ihren Netzwerkadministrator, um Informationen zum Abrufen eines Zertifikats zu erhalten. Für PEAP-MS-CHAP v2 müssen Sie nur dann ein Zertifikat installieren, wenn das Zertifikat der Stammzertifizierungsstelle des Ausstellers für die auf den RADIUS-Servern installierten Computerzertifikate nicht bereits auf den kabellosen Clients installiert ist.

Stellen Sie sicher, dass Windows 2000 Service Pack 3 oder höher installiert ist.

Um Microsoft 802.1X Authentication Client zu installieren, kopieren Sie das Installationsprogramm auf den Computer, und führen Sie es aus. Das Installationsprogramm prüft das System und installiert Microsoft 802.1X Authentication Client.

Zum SeitenanfangZum Seitenanfang

Konfigurieren von Microsoft 802.1X Authentication Client für Windows 2000

Bei Computern unter Windows 2000 ist Microsoft 802.1X Authentication Client (der Dienst für kabellose Konfiguration) standardmäßig deaktiviert. Um den Dienst für kabellose Konfiguration so zu ändern, dass er bei jedem Start des Computers automatisch gestartet wird, verwenden Sie das Snap-In Dienste, um den Wert Starttyp für den Dienst für kabellose Konfiguration auf Automatisch zu setzen. Starten Sie dann den Dienst. Sobald der Dienst gestartet ist, verfügen die Eigenschaften für LAN-Verbindungen, einschließlich kabelloser LAN-Verbindungen, im Ordner Netzwerk- und DFÜ-Verbindungen über eine zusätzliche Registerkarte Authentifizierung (Authentication), wie in der folgenden Abbildung dargestellt.

Bild

Um Microsoft 802.1X Authentication Client für Windows 2000 für eine kabellose Verbindung zu konfigurieren, rufen Sie die Eigenschaften der kabellosen LAN-Verbindung ab, klicken Sie auf die Registerkarte Authentifizierung (Authentication), und wählen Sie die erforderlichen Optionen für die kabellose Verbindung aus. Um Microsoft 802.1X Authentication Client zu entfernen, verwenden Sie den Eintrag Software in der Systemsteuerung.

Zum SeitenanfangZum Seitenanfang

Abrufen von Zertifikaten

Ein Computer mit Microsoft 802.1X Authentication Client kann auf folgende Weise Zertifikate für die Authentifizierung kabelloser Verbindungen erhalten:

Verwenden der automatischen Registrierung von Computerzertifikaten.

Bei Computern unter Windows 2000 geschieht diese Registrierung über die automatische Anforderung und Ausgabe von Zertifikaten auf der Grundlage der Gruppenrichtlinien für die Computerkonfiguration. Das Konfigurieren der Gruppenrichtlinieneinstellung für die Einstellungen der automatischen Zertifikatsanforderung (unter Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Richtlinien öffentlicher Schlüssel) veranlasst Computer, die Mitglied des konfigurierten Domänensystemcontainers sind, automatisch ein Zertifikat des angegebenen Typs anzufordern, sobald die Gruppenrichtlinieneinstellungen des Computers aktualisiert werden.

Importieren einer Zertifikatsdatei.

Zertifikatsdateien können für einzelne Benutzer individuell erstellt und verteilt werden. Alternativ kann jedoch auch eine Zertifikatsdatei an alle Benutzer verteilt werden. Die Verwendung eines Zertifikats für eine Gruppe von Benutzern ist als Gruppenzertifikat bekannt. Dabei handelt es sich um die am wenigsten sichere Art der Zertifikatsbereitstellung, da jeder, der eine Zertifikatsdatei erhält, diese für die erfolgreiche Authentifizierung einer kabellosen Verbindung verwenden kann.

Verwenden Sie für Windows 2000 das Snap-In Zertifikate, um ein Computerzertifikat in den lokalen Computerspeicher (unter Lokaler Computer\Eigene Zertifikate\Zertifikate) oder ein Benutzerzertifikat in den Speicher des aktuellen Benutzers (unter Aktueller Benutzer\Eigene Zertifikate\Zertifikate) zu importieren.

Verwenden von Internet Explorer und Webregistrierung zum Anfordern eines Zertifikats von einer Zertifizierungsstelle.

Wenn Sie eine Zertifizierungsstelle nutzen, welche die Webregistrierung von Zertifikaten unterstützt, können Sie mithilfe von Internet Explorer ein Zertifikat von der Zertifizierungsstelle anfordern. Verwenden Sie auf einem Computer mit Microsoft Windows 2000, Zertifikatsdienste und Internetinformationsdienste die Adresse http://Computername/certsrv, wobei Computername der Name des Computers der Zertifizierungsstelle ist. Gegebenenfalls werden Sie zur Angabe von Anmeldeinformationen für die Windows-Domäne aufgefordert. Geben Sie in diesem Fall die Anmeldeinformationen für den gewünschten Benutzernamen für dieses Zertifikat ein, klicken Sie auf OK, und folgen Sie anschließend den Anweisungen auf den Webseiten zum Anfordern eines Benutzerzertifikats von der Zertifizierungsstelle. Wenn keine Anmeldeinformationen für die Windows-Domäne angefordert werden, wird der Benutzername basierend auf den Anmeldeinformationen verwendet, mit denen Sie aktuell angemeldet sind (es sei denn, es gibt eine separate Verbindung zu dem Computer der Zertifizierungsstelle, für die andere Anmeldeinformationen verwendet werden).

Nach der Installation der Zertifikate können Sie diese im Snap-In Zertifikate anzeigen.

Zum SeitenanfangZum Seitenanfang

Weitere Informationen

Weitere Informationen zur Windows-Unterstützung für kabellose IEEE 802.11-Netzwerke und IEEE 802.1X-Authentifizierung finden Sie in folgenden Ressourcen (englischsprachig):

Windows 2000 Service Pack 4

Windows 2000 Wi-Fi-Website

PEAP with MS-CHAP Version 2 for Secure Password-based Wireless Access (Cable Guy-Artikel vom Juli 2002)

IEEE 802.1X Authentication for Wireless Connections (Cable Guy-Artikel vom April 2002)

The Cable Guy

The Cable Guy
Alle verfügbaren Cable Guy-Kolumnen finden Sie unter http://www.microsoft.com/germany/technet/community/columns/cableguy/cgarch.mspx.


Zum SeitenanfangZum Seitenanfang