Sichern von WLANs mit PEAP und Kennwörtern

Anhang D: Skripte und Supportdateien

Aktualisiert: 18. Jun 2004

Alle Themen der Sicherheitsanleitung anzeigen

Auf dieser Seite

	Einführung
	Liste der Dateien der Lösung
	Skriptstruktur

Einführung

Dieser Anhang enthält eine kurze Beschreibung der Skripte und anderer Unterstützungsdateien, die mit der Lösung bereitgestellt werden. Die Skripte sind voll funktionsfähig und wurden mit der Lösung getestet. Die Qualitätssicherung wurde jedoch nur in begrenztem Umfang durchgeführt. Die Skripte dienen zur Veranschaulichung von Methoden und als Grundlage für eigene Verwaltungsskripte. Testen Sie die Skripte zuerst vollständig in Ihrer Umgebung, bevor Sie sie für die Produktion einsetzen.

Haftungsausschluss

Die Beispielskripte werden von keinem Microsoft-Supportprogramm oder Supportdienst unterstützt. Die Beispielskripte stehen Ihren so wie sie sind zur Verfügung - ohne jegliche Garantie und Gewährleistung. Microsoft schließt weiterhin jegliche Gewährleistung für Mängel oder die Funktion der Skripte aus. Das gesamte Risiko der Verwendung der Skripte und der Dokumentation liegt bei Ihnen. Microsoft, seine Autoren oder jede andere Person, die mit der Erstellung, Produktion oder Bereitstellung der Skripte zu tun hat, sind für Schäden, egal welcher Art (inklusive, jedoch nicht ausschließlich, Schäden durch entgangene Einnahmen, Störungen des Geschäftsbetriebs, Verlust geschäftlicher Informationen oder Vermögensschäden), die aus der Nutzung oder nicht möglichen Nutzung der Beispielskripte oder der Dokumentation entstehen, nicht verantwortlich - und zwar auch dann nicht, wenn Microsoft die Möglichkeit solcher Schäden bekannt war.

Zum Seitenanfang

Liste der Dateien der Lösung

Die folgende Tabelle enthält alle mit der Lösung bereitgestellten Dateien. Diese Dateien werden mit der Windows®-Installer-Datei MSSWLANTools.msi installiert.

Tabelle D.1: Liste der mit der Lösung bereitgestellten Dateien

Dateiname	Beschreibung
CMD-Hauptdateien
MSSSetup.cmd MSSTools.cmd	Diese Batchdateien stellen die Schnittstelle für die Microsoft Windows Scripting Host (WSH)-Dateien bereit und vereinfachen die Syntax. Sie ermöglichen die Ausführung verschiedener Aufträge durch Angabe des Auftragsnamens als einzelner Parameter auf der Befehlszeile. Die Syntax lautet folgendermaßen: msssetupAuftragsname [/param:Wert] msstools Auftragsname [/param:Wert] Auftragsname ist der Name des Vorgangs. Wenn Sie dieses Skript ohne einen Auftragsnamen ausführen, werden alle verfügbaren Aufträge mit einer einfachen Beschreibung der Funktion dieser Aufträge aufgelistet.
WSH XML-Dateien
msssetup.wsf msstools.wsf	Die WSH XML-Dateien geben die einzelnen verfügbaren Aufträge an. Die in den .wsf-Dateien definierten Aufträge rufen in den VBS-Dateien definierte Prozeduren auf. Die Syntax lautet folgendermaßen: Cscript //job:Auftragsname msstools.wsf [/param:Wert] Wenn Sie dieses Skript ohne einen Auftragsnamen ausführen, werden alle in der .wsf-Datei verfügbaren Aufträge mit einer einfachen Beschreibung der Funktion dieser Aufträge aufgelistet.
VBScript-Dateien
ias_setup.vbs	Beim Einrichten des Internetauthentifizierungsdienstes (IAS) verwendete Routinen.
ias_tools.vbs	Während des Betriebs und der Überwachung des IAS verwendete Routinen.
Gen_setup.vbs	Beim Implementieren verwendete Routinen, die nicht zu IAS oder den Zertifikatdiensten gehören.
ca_setup.vbs	Beim Einrichten der Zertifizierungsstelle verwendete Routinen.
ca_monitor.vbs	Von den Funktionen zur Zertifizierungsstellenüberwachung verwendete Routinen.
constants.vbs	Von den anderen VBS-Dateien verwendete Konstanten.
helper.vbs	Von den anderen VBS-Dateien verwendete generische Routinen.
pkiparams.vbs	Zum Definieren vieler der Einrichtungsparameter für die Zertifizierungsstelle verwendete Konstanten.
Verschiedene Dateien
InstCAPICOM.cmd	CMD-Datei zur Vereinfachung der Installation von CAPICOM.
CreateShortCut.cmd	CMD-Datei zum Aufrufen einer Routine aus der VBS-Datei, mit der auf dem Benutzerdesktop eine Verknüpfung erstellt wird. Die Verknüpfung startet CMD.EXE, in der das aktuelle Verzeichnis auf den Skriptinstallationsordner gesetzt ist.
ComputerCerts.msc	Vordefinierte Verwaltungskonsole zur Anzeige von Zertifikaten im Computerspeicher.
AddRADIUSClient.exe	Dienstprogramm zum Hinzufügen von RADIUS-Clients zum IAS über die Befehlszeile. (Hinweis: Dieses Tool setzt die Installation des .NET Framework voraus.)
Interop.SDOIASLib.dll	Von AddRADIUSClient.exe benötigte Unterstützungsbibliothek.
Source	Ordner mit dem Quellecode des Tools AddRADIUSClient.
Gruppenrichtliniendateien
MSSWLANGPOs	Dieser Ordner enthält die XML-Definitionsdatei und die Datendateien für die zwei vordefinierten Gruppenrichtlinienobjekte, die mit dieser Lösung bereitgestellt werden.
Dokumente
Securing Wireless LANs.rtf	Infodatei mit dem gleichen Text wie in diesem Kapitel.

Zum Seitenanfang

Skriptstruktur

Für die Microsoft Visual Basic® Scripting Edition (VBScript)-Dateien ist eine Erläuterung ihrer Funktionsweise erforderlich. Im Gegensatz zu vielen anderen VBScript-Beispielen enthalten die Skriptdateien der Lösung mehrere, oftmals unabhängige Funktionen. Für den Zugriff auf diese verschiedenen Funktionen verwenden diese Skripte die Funktionalität "Auftrag" von WSH. Hierdurch können verschiedene unabhängige Programmfunktionen in derselben Datei enthalten sein und damit aufgerufen werden, indem im Skript ein Auftragsname als Parameter festgelegt wird.

Zwei Windows-Skriptdateien (.wsf) enthalten die Benutzeroberfläche für alle Skriptvorgänge. Die .wsf-Dateien rufen einen Satz .vbs-Dateien auf, die den Code zur Ausführung eines bestimmten Auftrags enthalten.

Der Auftrag wird mit der folgenden Syntax aufgerufen:

cscript //job:AuftragsnameWScriptFile.wsf

Auftragsname ist der Name des Vorgangs, und WScriptFile ist der Name der XML-Schnittstellendatei für das Skript. Ein Ausschnitt aus einer der .wsf-Dateien, in denen der Auftrag ConfigureCA definiert ist, sieht folgendermaßen aus:

<?xml version="1.0" encoding="utf-8" ?> 
<package xmlns="Windows Script Host"> 
    <job id="ConfigureCA"> 
        <description>Configures the CA registry parameters</description> 
        <script language="VBScript" src="constants.vbs" /> 
        <script language="VBScript" src="pkiparams.vbs" /> 
        <script language="VBScript" src="helper.vbs" /> 
        <script language="VBScript" src="ca_setup.vbs" /> 
        <script language="VBScript"> 
        <![CDATA[         
            Initialize True, True 
            ConfigureCA 
            CloseDown 
        ]]> 
        </script>

In diesem Ausschnitt gibt die Auftragsdefinition an, dass die .vbs-Dateien constants.vbs, pkiparams.vbs, helper.vbs, und ca_setup.vbs für diesen Auftrag benötigte Funktionen, Unterroutinen oder Daten enthalten, weshalb die Dateien geladen werden müssen. Der zweite Abschnitt gibt die Funktionen der oberen Ebene an, die zum Starten des Auftrags ausgeführt werden müssen. In diesem Fall zählen zu diesen Funktionen Initialize (zum Einrichten der Protokollierung), ConfigureCA (zum Konfigurieren der Zertifizierungsstelle) und CloseDown (zum Schließen des Protokolls).

In jeder dieser .wsf-Dateien ist der erste Auftrag zur Auflistung der Namen (IDs) und Beschreibungen aller in der Datei enthaltenen Aufträge definiert. Wird also die .wsf-Datei ohne Angabe eines bestimmten Auftrags ausgeführt, wird dieser Standardauftrag ausgeführt und ein kurzer Hilfebildschirm mit den Namen und Beschreibungen aller in der Datei vorhandenen Aufträge angezeigt. Die folgende Tabelle enthält die in allen mit der Lösung bereitgestellten .wsf-Dateien verfügbaren Aufträge.

Tabelle D.2: Auftragsliste in MSSSetup.wsf

Auftragsname	Beschreibung
ListJobs	Listet alle in der .wsf-Datei enthaltenen Aufträge auf.
ConfigureCA	Konfiguriert die Parameter für die Zertifizierungsstellenregistrierung.
ConfigureTemplates	Konfiguriert die Vorlagen für Zertifizierungsstellenzertifikate.
CheckCAEnvironment	Überprüft die Umgebung vor der Zertifizierungsstelleninstallation.
InstallCA	Installiert die Zertifikatdienste.
CreateShortcut	Erstellt auf dem Desktop eine Verknüpfung zu MSS WLAN Tools.
ImportSecurityGPO	Importiert das Gruppenrichtlinienobjekt mit den Serversicherheitseinstellungen in die Domäne.
ImportAutoEnrollGPO	Importiert das Gruppenrichtlinienobjekt mit den Einstellungen für die automatische Registrierung in die Domäne.
ImportWLANClientGPO*	Importiert das Gruppenrichtlinienobjekt mit den WLAN-Einstellungen
CheckDomainNativeMode	Überprüft, ob sich die Domäne im einheitlichen Modus befindet.
VerifyCAInstall	Überprüft, ob die Installation der Zertifizierungsstelle erfolgreich war.
VerifyCAConfig	Überprüft, ob die Konfiguration der Zertifizierungsstelle erfolgreich war.
CheckIASEnvironment	Überprüft die Umgebung vor dem Installieren von IAS.
InstallIAS	Installiert die Internetauthentifizierungsdienste auf dem Server.
CreateWLANGroups	Erstellt Sicherheitsgruppen in Active Directory®.
AddWLANGroupMembers	Fügt den Sicherheitsgruppen die korrekten Mitgliedschaften hinzu.

Hinweis: Die mit einem Sternchen (*) markierten Aufträge werden in dieser Lösung nicht verwendet.

Tabelle D.3: Auftragsliste in MSSTools.wsf

Auftragsname	Beschreibung
ListJobs	Listet alle in der .wsf-Datei enthaltenen Aufträge auf.
AddRADIUSClient	Interaktive Prozedur zum Hinzufügen eines RADIUS-Clients zu IAS (Parameter: [/Pfad:NameDerAusgabedatei]).
AddSecRADIUSClients	Interaktive Prozedur zum Hinzufügen eines RADIUS-Clients zu IAS (Parameter: [/Pfad:NameDerEingabedatei]).
GenRADIUSPwd	Generiert einen RADIUS-Clienteintrag und geheimen Schlüssel (Parameter: /client:Clientname /ip:ClientIPAdresse [/Pfad:Ausgabedatei]).
ExportIASSettings	Exportiert die IAS-Serverkonfiguration in Dateien (Parameter: [/Pfad:OrdnerZumSpeichernDerEinstellungsdateien]).
ImportIASSettings	Importiert die IAS-Serverkonfiguration aus Dateien (Parameter: [/Pfad:OrdnerMitZuImportierendenDateien]).
ExportIASClients	Exportiert IAS-RADIUS-Clients in die Datei (Parameter: [/Pfad:OrdnerZumSpeichernDerClientdatei]).
ImportIASClients	Importiert IAS-RADIUS-Clients aus der Datei (Parameter: [/Pfad:OrdernMitZuImportierenderClientdatei]).
BackupIAS	Sichert alle IAS-Einstellungen in einer Datei (Parameter: [/Pfad:OrdnerZumSpeichernDerSicherungsdatei]).
RestoreIAS	Stellt alle IAS-Einstellungen aus der Datei wieder her (Parameter: [/Pfad:OrdnerFürDieZuWiederherstellendeDatei]).
CheckIAS	Überprüft, ob der IAS-Server reagiert (Parameter: [/verbose]).
CheckCA	Überprüft, ob der Zertifizierungsstellendienst reagiert, und die Zertifikatssperrliste (CRL) gilt (Parameter: [/verbose]).
EnableIASLockout*	Aktiviert die Kontensperrung für IAS (Parameter: [/maxdenials:10] [/lockouttime:2880 (secs)]).
DisableIASLockout*	Deaktiviert die Kontensperrung für IAS.
ShowLockedOutAccounts*	Zeigt die gesperrten Konten (und die Konten mit fehlgeschlagenen Autorisierungen) an.
ResetLockedOutAccount*	Setzt ein gesperrtes Konto zurück (Parameter: /account:Domänenname:Kontoname.

Hinweis: Die mit einem Sternchen (*) markierten Aufträge werden in dieser Lösung nicht verwendet.

Job Output

Die meisten Skripte protokollieren Statusinformationen in einem Konsolenfenster und in manchen Fällen auch in einer Protokolldatei. Diese Informationen umfassen möglicherweise auch Fehlerinformationen, wenn bei der Ausführung Probleme aufgetreten sind. Die Ausnahme der Regel bilden die Überwachungsskripte, da sie zur Ausführung nicht interaktiver, geplanter Aufträge konzipiert sind und nicht zum Senden einer Ausgabe zu einem Konsolenfenster.

Die Skripte verwenden zur Anzeige ihrer Ausgabe ein einfaches Fenster mit einer Bildlaufleiste. Nach abgeschlossener Skriptausführung werden Sie gefragt, ob das Fenster geöffnet bleiben (zur Information) oder ob es geschlossen werden soll.

Bei den meisten Einrichtungsvorgängen wird die Ausgabe auch in einer Datei namens %SystemRoot%\debug\MSSWLAN-Setup.log protokolliert. Die meisten für den Betrieb erforderlichen Aufgaben werden nicht protokolliert. Protokolliert werden allerdings Aufgaben, die sich in beträchtlichem Umfang auf die Sicherheit oder den Betrieb auswirken wie beispielsweise das Importieren der IAS-Konfiguration. Aufgaben, die dazu führen, dass vertrauliche Informationen protokolliert werden, wie das Hinzufügen von RADIUS-Clients und das Erstellen von geheimen RADIUS-Clientschlüsseln, werden ebenfalls nicht protokolliert.

Ausführen der Aufträge

Obwohl die Skripte direkt ausführbar sind, kann die Syntax mit zwei Befehlsshell-Batchdateien (.cmd) vereinfacht werden.

Die Syntax zum direkten Ausführen der .wsf-Dateien lautet folgendermaßen:

Cscript //job:Auftragsname MssSetup.wsf

Verwenden Sie stattdessen die .cmd-Dateien mit der folgenden einfacheren Syntax:

MssSetupAuftragsname

Beim Ausführen der .cmd-Datei ohne Angabe eines Auftrags wird der erste Auftrag (ListJobs) der .wsf-Datei ausgeführt, der die IDs und Beschreibungen aller Aufträge in der .wsf-Datei auflistet.

Für bestimmte Aufträge sind auch weitere Parameter erforderlich. Die Syntax zum Ausführen dieser Aufträge und die Informationen über weitere Parameter werden in den entsprechenden Kapiteln dieser Lösung behandelt. Die allgemeine Syntax zur Angabe bestimmter zusätzlicher Parameter lautet:

MssSetupAuftragsname /Parametername:Parameterwert

Parametername ist der Name des Parameters (z.B. "path" oder "client"), und Parameterwert ist die Einstellung für diesen Parameter (z.B. "C:\MeineDatei.txt" oder "MeinComputer"). Parameterwerte mit Leerstellen müssen in Anführungszeichen geschrieben werden (").

Zum Seitenanfang

4 von 4

In diesem Beitrag

•	Anhang A: PEAP-Anwendung im Unternehmen
•	Anhang B: WPA-Anwendung in der Lösung
•	Anhang C: Unterstützte Betriebssystemversionen
•	Anhang D: Skripte und Supportdateien

Downloaden Sie die vollständige Lösung.

Sichern von WLANs mit PEAP und Kennwörtern