Alle Themen der Sicherheitsanleitung anzeigen Die in dieser Dokumentation beschriebene WLAN-Lösung kann sowohl für dynamischen WEP (Wired Equivalent Privacy)- als auch den WPA (Wi-Fi Protected Access)-WLAN-Schutz verwendet werden. Die geringfügigen Unterschiede zwischen beiden Schutzmechanismen sind in diesem Anhang beschrieben. Bei der Verwendung von WPA treten derzeit einige potentielle Schwierigkeiten auf: | • | Manuelle Konfiguration von WPA-Einstellungen: Die Unterstützung der Konfiguration von Windows® XP-Client-WPA-Einstellungen mit Gruppenrichtlinien ist in früheren Windows®-Versionen als Windows Server™ 2003 Service Pack 1 nicht verfügbar. Sie müssen die Clients manuell konfigurieren, wenn in Ihrer Organisation Service Pack 1 noch nicht implementiert ist (WLAN-Einstellungen für Windows XP können nicht mittels Skript vorgenommen werden). Service Pack 1 muss nur auf dem Server installiert werden, auf dem Sie das Gruppenrichtlinienobjekt für WLAN-Einstellungen bearbeiten. Die Installation auf Clients, Domänencontrollern oder IAS-Servern ist nicht erforderlich. | | • | Eingeschränkte Verfügbarkeit von WLAN-Clients: Zum Zeitpunkt der Verfassung dieses Dokuments unterstützte Microsoft® nur WPA für Windows XP Service Pack 1 und höher. | | • | Verfügbarkeit von WPA-kompatibler Hardware: Die WPA-Unterstützung ist für Wi-Fi-zertifizierte Hardware inzwischen Pflicht, und bereits in Betrieb befindliche Netzwerkgeräte müssen möglicherweise zur Unterstützung von WPA aktualisiert werden. Sie benötigen Firmwareaktualisierungen für alle Zugriffspunkte und Netzwerkadapter, die WPA noch nicht unterstützen. In einigen (seltenen) Fällen, wenn der Hersteller keine WPA-Aktualisierungen anbietet, müssen Sie Geräte u. U. ersetzen. |
Auf dieser SeiteVerwendung von WPA anstelle von WEPDie meisten Informationen in dieser Anleitung gelten sowohl für WPA als auch für dynamisches WEP. Die Anweisungen in der Dokumentation unterscheiden sich jedoch in zwei Hauptpunkten: | • | Abschnitt "Erstellen einer IAS-RAS-Richtlinie für WLAN" in Kapitel 5, Erstellen der WLAN-Sicherheitsinfrastruktur. | | • | Abschnitt "Erstellen des Gruppenrichtlinienobjekts für WLAN-Einstellungen" in Kapitel 6, Konfigurieren der WLAN-Clients. |
Erstellen einer IAS-RAS-Richtlinie für WLAN mit WPASetzen Sie den Zeitüberschreitungswert für Clientsitzungen bei Verwendung des WPA-WLAN-Schutzes auf 8 Stunden anstatt auf 60 Minuten. WPA verfügt über einen Mechanismus zur Erstellung neuer WLAN-Verschlüsselungsschlüssel, weshalb die Clients nicht gezwungen werden müssen, sich ständig neu zu authentifizieren. Acht Stunden ist ein angemessener Wert, um sicherzustellen, dass Clients über gültige, aktuelle Anmeldeinformationen verfügen (dieser Wert gewährleistet beispielsweise, dass ein Client nach dem Deaktivieren seines Kontos nicht längere Zeit verbunden bleibt). In Hochsicherheitsumgebungen können Sie diesen Zeitüberschreitungswert bei Bedarf reduzieren. Verwenden Sie die folgende Methode in Kapitel 5, Erstellen der WLAN-Sicherheitsinfrastruktur, unter "Ändern der Einstellungen im Profil der WLAN-Zugriffsrichtlinie", um das RAS-Richtlinienprofil zu konfigurieren: So ändern Sie die Einstellungen im Profil der Richtlinie für den drahtlosen Zugriff: 1. | Öffnen Sie in der IAS-MMC die Eigenschaften der Richtlinie für die Zulassung des drahtlosen Zugriffs, und klicken Sie anschließend auf Profil bearbeiten. | 2. | Geben Sie auf der Registerkarte Einwähleinschränkungen im Feld Zugelassene Sitzungslänge für Clients in Minuten den Wert 480 ein (480 Minuten oder 8Stunden). | 3. | Fügen Sie auf der Registerkarte Erweitert das Attribut Ignore-User-Dialin-Properties hinzu, und wählen Sie den Wert True aus. Fügen Sie dann das Attribut Termination-Action hinzu, und setzen Sie es auf RADIUS Request. |
Sie müssen außerdem das Sitzungszeitlimit im WLAN-Zugriffspunkt (AP) anpassen, so dass dieser Wert dem bei diesem Vorgang festgelegten Zeitlimitwert entspricht oder diesen überschreitet. Manuelles Konfigurieren von Windows XP-WLAN-Einstellungen für WPADie WPA-Einstellungen müssen auf dem Client manuell festgelegt werden, da die Unterstützung von Gruppenrichtlinienobjekten im Windows Server 2003 Service Pack 1 nicht verfügbar ist. WPA wird im Windows XP Service Pack 1 mit installiertem WPA-Client-Download (oder im Windows XP Service Pack 2) unterstützt. Hinweis: Wenn die Unterstützung von Gruppenrichtlinienobjekten verfügbar ist, können Sie mit der folgenden Methode eine Drahtlosnetzwerkrichtlinie mit denselben Einstellungen erstellen. So konfigurieren Sie die WPA-WLAN-Einstellungen manuell: 1. | Öffnen Sie die Eigenschaften der Schnittstelle Drahtlose Netzwerke. Ist das WLAN in der Liste Verfügbare Netzwerke enthalten, markieren Sie es, und klicken Sie auf Konfigurieren. Andernfalls klicken Sie auf Hinzufügen (im Abschnitt Bevorzugte Netzwerke). | 2. | Geben Sie den Namen des WLAN ins Feld Netzwerkname (SSID) ein (wenn dieser noch nicht enthalten ist), und geben Sie ins Feld Beschreibung eine Beschreibung des Netzwerks ein. Hinweis: Wenn Sie ein bereits vorhandenes WLAN gemeinsam mit dem 802.1X-basierten WLAN dieser Lösung betreiben möchten, verwenden Sie für das neue WLAN eine andere SSID (Service Set Identifier). Diese neue SSID wird hier verwendet. | 3. | Wählen Sie im Abschnitt DrahtlosnetzwerkschlüsselWPA (nicht WPA PSK) als Netzwerkauthentifizierungstyp und TKIP als Datenverschlüsselungstyp aus (verwenden Sie den sichereren Advanced Encryption Standard [AES] anstelle von TKIP). | 4. | Klicken Sie auf die Registerkarte IEEE 802.1x, und wählen Sie in der Dropdownliste EAP-Typ Protected EAP (PEAP) aus. | 5. | Klicken Sie auf die Schaltfläche Einstellungen..., um die PEAP-Einstellungen zu ändern. Wählen Sie in der Liste Vertrauenswürdige Stammzertifizierungsstellen das Zertifikat der Stammzertifizierungsstelle für die Zertifizierungsstelle (hierbei handelt es sich um die Zertifizierungsstelle, die Sie zur Erteilung von IAS-Serverzertifikaten installiert haben – weitere Informationen finden Sie in Kapitel 4). Wichtig: Wenn Sie Ihre Zertifizierungsstelle von Grund auf neu (nicht nur von einer Sicherungskopie wiederherstellen) installieren müssen, müssen Sie die Clienteinstellungen bearbeiten und das Zertifikat der Stammzertifizierungsstelle für die neue Zertifizierungsstelle auswählen. | 6. | Stellen Sie sicher, dass unter Authentifizierungsmethode auswählenSecured Password (EAP-MS-CHAP v2) ausgewählt ist, und aktivieren Sie die Option Schnelle Wiederherstellung der Verbindung aktivieren. | 7. | Schließen Sie jedes Eigenschaftenfenster durch Klicken auf OK. |
Konfigurieren von Pocket PC 2003 für WPAWPA wurde zum Zeitpunkt der Verfassung dieses Dokuments in Pocket PC 2003 nicht unterstützt; diese Unterstützung wird jedoch u.U. in Zukunft implementiert. Die Unterstützung von WPA auf Pocket PC ist möglicherweise ebenfalls von anderen Anbietern verfügbar. Migrieren von WEP zu WPAWenn Sie eine sichere WLAN-Lösung basierend auf dynamischem WEP bereitstellen und zu WPA migrieren möchten, führen Sie die Schritte in diesem Abschnitt aus. Vor der Migration muss die Unterstützung der WPA-Software (z.B. die Windows XP-WPA-Komponente) und der Hardware (AP-Firmware und Aktualisierungen von Netzwerkadaptertreibern) bereitgestellt sein . Verweise in dieser Methode zur Konfiguration von WPA-Einstellungen in Gruppenrichtlinienobjekten sind nur gültig, wenn das Gruppenrichtlinienobjekt von Windows Server 2003 Service Pack 1 oder höher bearbeitet wird. Dieses Service Pack wurde bis zum Zeitpunkt der Verfassung dieses Dokuments noch nicht freigegeben. Wenn Sie Windows Server 2003 Service Pack 1 oder höher nicht verwenden, folgen Sie den Anweisungen unter "Manuelles Konfigurieren von Windows XP-WLAN-Einstellungen für WPA" in diesem Anhang. So migrieren Sie von WEP zu WPA, wenn die Zugriffspunkte sowohl WEP als auch WPA unterstützen: 1. | Konfigurieren Sie alle Drahtloszugriffspunkte zur gleichzeitigen Unterstützung von dynamischem WEP und WPA. | 2. | Erstellen Sie ein neues Gruppenrichtlinienobjekt für WLAN-Clienteinstellungen. Erstellen Sie eine Drahtlosnetzwerkrichtlinie zur Konfiguration der korrekten WPA-Einstellungen (Anweisungen hierzu finden Sie in diesem Anhang unter "Manuelles Konfigurieren von Windows XP-WLAN-Einstellungen für WPA"). Deaktivieren Sie anschließend das vorhandene WEP-Gruppenrichtlinienobjekt und das WPA-Gruppenrichtlinienobjekt, so dass alle WPA-Einstellungen an alle Clients gesendet werden. Die Clients verwenden nach dem nächsten Aktualisieren des Gruppenrichtlinienobjekts im WLAN WPA. Hinweis: Wenn Sie die Clients manuell konfigurieren, müssen Sie das Gruppenrichtlinienobjekt deaktivieren, das die WEP-Einstellungen enthält. Wenn Sie sie nicht deaktivieren, werden die manuellen WPA-Einstellungen durch das Gruppenrichtlinienobjekt überschrieben. | 3. | Abschließend aktualisieren Sie noch das IAS-RAS-Richtlinien-Sitzungszeitlimit und das Clientsitzungszeitlimit (wie im bereits behandelten Abschnitt "Erstellen einer IAS-RAS-Richtlinie für WLAN mit WPA" dieses Anhangs beschrieben). |
So migrieren Sie von WEP zu WPA, wenn Ihre Zugriffspunkte nicht die gleichzeitige Verwendung von WEP und WPA unterstützen: 1. | Erstellen Sie eine neue WLAN-SSID für das WPA-Netzwerk. | 2. | Bearbeiten Sie das Gruppenrichtlinienobjekt für die Clientnetzwerkeinstellungen, und fügen Sie die neue SSID mit WPA-Parametern hinzu (wie in diesem Anhang unter "Manuelles Konfigurieren von Windows XP-WLAN-Einstellungen für WPA" beschrieben). Beim manuellen Konfigurieren von Clients konfigurieren Sie diese mit den neuen SSID- und WPA-Einstellungen für diese SSID. Entfernen Sie nicht die Einstellungen für die alte WEP-SSID. | 3. | Konfigurieren Sie die Zugriffspunkte von Standort zu Standort von der WEP- zur WPA-Unterstützung neu durch Ändern der SSID des Zugriffspunkts. Beim Neukonfigurieren jedes Zugriffspunkts wechseln die Clients zur neuen SSID und verwenden WPA. | 4. | Nach dem Neukonfigurieren aller Zugriffspunkte aktualisieren Sie die RAS-Richtlinien auf allen IAS-Servern. Sie müssen in der RAS-Richtlinie den Wert für das Sitzungszeitlimit erhöhen (von 60 Minuten auf 8 Stunden) und die gleiche Einstellung auf den Drahtloszugriffspunkten ändern (siehe "Erstellen einer IAS-RAS-Richtlinie für WLAN mit WPA" in diesem Anhang). | 5. | Nach Abschluss der Migration können Sie die WEP-SSID aus dem Gruppenrichtlinienobjekt entfernen. |
QuellenDieser Abschnitt informiert über Quellen mit wichtigen ergänzenden Informationen und Hintergrundinformationen zu diesem Anhang.
| |
