Auf dieser SeiteEinführungDieses Kapitel bietet eine detaillierte Anleitung zur Absicherung eines WLAN (Wireless LAN; drahtloses lokales Netzwerk) mit dem Protokoll 802.1X, das auf Microsoft® Windows Server™ 2003 und dem Microsoft Windows® XP Service Pack 1 (SP1) basiert. Das Kapitel beschreibt die Konfiguration von Sicherheitsgruppen des Verzeichnisdiensts Active Directory®, die Bereitstellung von X.509-Zertifikaten für die WLAN-Authentifizierung, die Änderung von Microsoft Internet Authentication Service (IAS)-Servereinstellungen, die Bereitstellung der WLAN-Gruppenrichtlinien sowie Tipps für das Konfigurieren von Drahtlosnetzwerk-Zugriffspunkten (WLAN-APs). Dabei wird auch auf alle Einstellungen eingegangen, die zur Implementierung von 802.1X und EAP-TLS (Extensible Authentication Protocol-Transport Layer Security) erforderlich sind. Der Zweck des Kapitels besteht darin, eine Anleitung für die Implementierung eines sicheren WLAN-Entwurfs bereitzustellen, wie er in Kapitel 6, "Entwerfen der WLAN-Absicherung mit 802.1X", beschrieben wird. Dieses Kapitel geht nicht auf die allgemeinen Konzepte von 802.1X, EAP, RADIUS (Remote Authentication Dial-In User Service) oder sonstige Besonderheiten einer 802.1X-basierten sicheren WLAN-Implementierung ein. Eine Übersicht über zahlreiche dieser Technologien finden Sie im Artikel "Windows XP Wireless Deployment Technology and Component Overview", auf den im Abschnitt "Weitere Informationen" am Ende dieses Kapitels verwiesen wird. Dieses Kapitel ist als Begleitmaterial zu den Kapiteln über die Infrastruktur öffentlicher Schlüssel (PKI) und RADIUS sowie zu den Kapiteln des Planungshandbuchs und des Betriebshandbuchs zu verstehen. Im Planungshandbuch werden die Beweggründe für die hier verwendeten Implementierungsentscheidungen erläutert. Im Betriebshandbuch werden die Aufgaben und Vorgehensweisen für eine erfolgreiche Aufrechterhaltung der 802.1X-Infrastruktur beschrieben. Bevor Sie mit dem vorliegenden Kapitel fortfahren, sollten Sie bereits die Kapitel zum Thema Planung gelesen haben. Zudem sollten Sie nachlesen, wie sich die im Betriebshandbuch genannten unterstützungsbezogenen Anforderungen auswirken, bevor Sie die hier beschriebene Implementierung in einer Produktionsumgebung durchführen. Voraussetzungen für das KapitelDieser Abschnitt enthält Prüflisten, mit denen Sie ermitteln können, wie gut Ihre Organisation auf die Implementierung des 802.1X-basierten WLAN vorbereitet ist. ("Vorbereitet" ist hier im logistischen und nicht im geschäftlichen Sinn gemeint. Die geschäftliche Motivation zur Implementierung dieser Lösung wird in den ersten Kapiteln des Planungshandbuchs behandelt.) Vorausgesetzte KenntnisseSie sollten bereits mit den Konzepten von 802.1X und der Implementierung dieses Standards in entsprechenden Microsoft-Produkten, wie Windows Server 2003 und Windows XP Service Pack 1, vertraut sein. Für folgende Bereiche sind auch Kenntnisse in Windows Server 2003 bzw. Windows 2000 erforderlich: | • | Konzepte von Active Directory: Active Directory-Struktur und -Tools; Ändern von Benutzern, Gruppen und anderen Active Directory-Objekten; Verwenden von Gruppenrichtlinien. | | • | Windows-Systemsicherheit; Sicherheitskonzepte, z. B. Benutzer, Gruppen und Zugriffssteuerungslisten (Access Control Lists, ACLs); Verwenden von Befehlszeilenprogrammen. | | • | Kenntnis der Wirkungsweise von Batchdateiskripts. Kenntnisse der Windows Scripting Host- und der Microsoft Visual Basic® Scripting Edition (VBScript)-Sprache sind zwar nicht unbedingt erforderlich, aber dennoch von Vorteil für eine optimale Nutzung der bereitgestellten Skripts. |
Bevor Sie mit diesem Kapitel fortfahren, sollten Sie bereits die Kapitel zum Thema Planung gelesen haben und sich gut mit der Architektur und Gestaltung dieser Lösung auskennen. UnternehmensvoraussetzungenSprechen Sie sich mit anderen Mitgliedern Ihrer Organisation ab, die an der Implementierung dieser Lösung beteiligt sind: | • | Geschäftssponsoren | | • | Sicherheits- und Überwachungspersonal | | • | Für Active Directory zuständiges Engineering-, Verwaltungs- und Betriebspersonal | | • | Für den Desktopbereich zuständiges Engineering-, Verwaltungs- und Betriebspersonal | | • | Für die Bereiche DNS (Domain Name System) und Netzwerke zuständiges Engineering-, Verwaltungs- und Betriebspersonal |
Grundvoraussetzungen der IT-InfrastrukturIn diesem Kapitel wird außerdem Folgendes vorausgesetzt: | • | Eine Windows Server 2003 Active Directory-Domäneninfrastruktur ist bereits vorhanden. Alle Benutzer der 802.1X-Lösung sind Mitglieder von Domänen innerhalb derselben Active Directory-Gesamtstruktur. Hinweis: Weitere Informationen zur Kompatibilität mit früheren Versionen von Microsoft Windows finden Sie in Anhang A, "Windows Version Support Matrix". | | • | Es ist noch keine 802.1X-basierte WLAN-Lösung vorhanden. Wenngleich eine Bereitstellung dieser Lösung neben einer bereits bestehenden 802.1X WLAN-Lösung nicht ausgeschlossen ist, enthält dieses Kapitel keine Anleitung für die Integration in eine bestehende 802.1X-Infrastrukur. | | • | Eine PKI wurde, wie in Kapitel 7, "Implementieren der Infrastruktur öffentlicher Schlüssel", beschrieben, bereitgestellt und ist für die automatische Registrierung von Zertifikaten einsatzbereit. | | • | Eine unterstützende Infrastruktur, wie DNS und DHCP (Dynamic Host Configuration Protocol) muss bereitgestellt und für WLAN-Clientcomputer einsatzbereit sein. | | • | Es sind mindestens zwei Server mit IAS als RADIUS-Server vorhanden, wie in Kapitel 8, "Implementieren der RADIUS-Infrastruktur", beschrieben. Diese Server werden im Verlauf dieses Kapitels weiter konfiguriert. | | • | Ein WLAN mit 802.1X-kompatiblen WLAN-APs und Windows XP Professional Service Pack 1-Clients mit 128-Bit-WEP oder WPA und 802.1X-fähigen WLAN-Netzwerkschnittstellenkarten (NICs). Diese Komponenten werden im Verlauf dieses Kapitels weiter konfiguriert. |
KapitelüberblickDas hier abgebildete Diagramm verdeutlicht die in diesem Kapitel beschriebenen Schritte der WLAN-Absicherung mit 802.1X.  Abbildung 9.1: Diagramm des Implementierungsprozesses für die 802.1X-Infrastruktur Diese Schritte spiegeln sich in der Aufteilung dieses Kapitels wider und werden in der folgenden Liste beschrieben. Jeder Schritt besteht aus Installations- und Konfigurationsaufgaben. Zu jedem Schritt stehen Überprüfungsverfahren zur Verfügung, so dass Sie alle getätigten Aktionen auf ihre Funktionsfähigkeit prüfen können, bevor Sie mit dem nächsten Schritt fortfahren. | • | Planungstabelle zum 802.1X WLAN. Listet Informationen zu der in diesem Kapitel verwendeten Konfiguration der einzelnen Komponenten des 802.1X WLAN auf. Enthält eine Tabelle mit Informationen, die Sie benötigen, um mit der Umsetzung der Anleitungen dieses Kapitels beginnen zu können. | | • | Vorbereiten der Umgebung für ein sicheres WLAN. Beschreibt die Vorbereitung der Active Directory-Sicherheitsgruppen, die für die Konfiguration und Verwaltung des 802.1X WLAN im Laufe der Zeit erforderlich sind. Darüber hinaus finden Sie hier Empfehlungen von Experten zu DHCP. | | • | Konfigurieren und Bereitstellen von WLAN-Authentifizierungszertifikaten. Erklärt ausführlich die Erstellung und Bereitstellung von X.509-Zertifikatsvorlagen, die für 802.1X-WLAN-Authentifizierungen erforderlich sind. Die Überprüfung der Bereitstellung wird ebenfalls behandelt. | | • | Konfigurieren der Infrastruktur für den WLAN-Zugriff. Erklärt ausführlich die Erstellung und Konfiguration der IAS-RAS-Richtlinie für 802.1X- und EAP-TLS-Netzwerke. Behandelt auch das Hinzufügen von Zugriffspunkten als RADIUS-Clients zu den IAS-Servern. | | • | Aktivieren von WLAN-Zugriff für Benutzer und Computer. Beschreibt die Konfiguration der Benutzer- und Computerberechtigungen mithilfe von Active Directory, um den Zugriff auf das abgesicherte WLAN zu ermöglichen.. Dieser Abschnitt beschreibt außerdem die Schritte zur Erstellung und Bereitstellung von Active Directory-Gruppenrichtlinien, um WLAN-Clients mit geeigneten 802.1X- und 802.11-Einstellungen zu konfigurieren. | | • | Konfigurieren von WLAN-Zugriffspunkten für 802.1X-Netzwerke. Beschreibt Themen, die bei der Konfiguration von WLAN-APs für 802.1X-basierte Netzwerkzugriffe berücksichtigt werden müssen. | | • | Testen und Überprüfen. Beschreibt ein Verfahren, mit dem Sie die Funktionalität des 802.1X-basierten WLANs überprüfen können. |
Planungstabelle zum 802.1X WLANDie folgenden Tabellen enthalten die Konfigurationsparameter, die in dieser Lösung verwendet werden. Verwenden Sie diese als Checklisten für Ihre Planungsentscheidungen. Viele der Parameter in diesen Tabellen werden als Teil der in diesem Kapitel beschriebenen Prozeduren manuell gesetzt Viele Parameter werden entweder durch Skripts gesetzt, die als Teil einer der Prozeduren ausgeführt werden, oder von Skripts referenziert, um andere Konfigurations- oder Betriebsschritte zu erledigen. Hinweis: Die im Einrichtungshandbuch verwendeten Skripts werden ausführlicher in der Datei Toolsreadme.txt beschrieben, die den Skripts beiliegt. Benutzerdefinierte KonfigurationseinstellungenDie folgende Tabelle bietet eine Übersicht über organisationsspezifische Parameter der fiktiven Woodgrove Bank. Bevor Sie mit dem Setup-Verfahren beginnen, sollten Sie für alle diese Objekte die entsprechenden Einstellungen für Ihre Organisation kennen. Die hier angegebenen fiktiven Daten werden in den Beispielanweisungen dieses Kapitels verwendet. Sie müssen sie durch Werte ersetzen, die für Ihr eigenes Unternehmen zutreffen. Stellen, die Sie durch Ihre eigenen Werte ersetzen müssen, sind kursiv dargestellt. Tabelle 9.1: Benutzerdefinierte Konfigurationseinstellungen DNS-Name der Stammdomäne der Active Directory-Gesamtstruktur | woodgrovebank.com | NetBIOS-Name (Network basic input/output system) der Domäne | WOODGROVEBANK | Servername des primären IAS-Servers | HQ-IAS-01 | Servername des sekundären IAS-Servers | HQ-IAS-02 | Servername des optionalen IAS-Servers für die Zweigstelle | BO-IAS-03 |
Durch die Lösung vorgegebene KonfigurationseinstellungenDie Einstellungen in der folgenden Tabelle müssen für Ihre Installation nicht geändert werden, es sei denn, Sie möchten aus einem bestimmten Grund eine Einstellung verwenden, die von der Lösung abweicht. Änderungen an den vorgegebenen Entwurfsparametern sind durchaus akzeptabel, sofern Sie sich bewusst sind, dass Sie damit von der getesteten Lösung abweichen. Bevor Sie einzelne Werte in den Konfigurationsverfahren oder in den angegebenen Skripts ändern, sollten Sie sich jedoch über die Auswirkungen im Klaren sein, die dies auf mögliche Abhängigkeiten haben kann. Tabelle 9.2: Durch die Lösung vorgegebene Konfigurationseinstellungen [Konten] Globale Active Directory-Gruppe, die die Bereitstellung von 802.1X-Benutzerauthentifizierungszertifikaten steuert | AutoEnroll Client Authentication - User Certificate | [Konten] Prä-Windows-2000-Name für die globale Active Directory-Gruppe, die die Bereitstellung von 802.1X-Benutzerauthentifizierungszertifikaten steuert | AutoEnroll Client Authentication - User Certificate | [Konten] Globale Active Directory-Gruppe, die die Bereitstellung von 802.1X-Computerauthentifizierungszertifikaten steuert | AutoEnroll Client Authentication Computer Certificate | [Konten] Prä-Windows-2000-Name für die globale Active Directory-Gruppe, die die Bereitstellung von 802.1X-Computerauthentifizierungszertifikaten steuert | AutoEnroll Client Authentication Computer Certificate | [Konten] Globale Active Directory-Gruppe, die IAS-Server enthält, die 802.1X-Authentifizierungszertifikate benötigen | AutoEnroll RAS und IAS Server Authentication Certificate | [Konten] Prä-Windows-2000-Name für die globale Active Directory-Gruppe, die IAS-Server enthält, die 802.1X-Authentifizierungszertifikate benötigen | AutoEnroll RAS und IAS Server Authentication Certificate | [Konten] Globale Active Directory-Gruppe für die Benutzer, denen der Zugriff auf das drahtlose Netzwerk erlaubt wird | RAS-Richtlinie Drahtlose Benutzer | [Konten] Prä-Windows-2000-Name für die globale Active Directory-Gruppe für die Benutzer, denen der Zugriff auf das drahtlose Netzwerk erlaubt wird | RAS-Richtlinie Drahtlose Benutzer | [Konten] Globale Active Directory-Gruppe für die Computer, denen der Zugriff auf das drahtlose Netzwerk erlaubt wird | RAS-Richtlinie Drahtlose Computer | [Konten] Globale Active Directory-Gruppe für die Computer, denen der Zugriff auf das drahtlose Netzwerk erlaubt wird | RAS-Richtlinie Drahtlose Computer | [Konten] Universelle Active Directory-Gruppe, die sowohl die Gruppe für drahtlose Benutzer als auch die Gruppe für drahtlose Computer enthält | RAS-Richtlinie Drahtloser Zugriff | [Konten] Universelle Active Directory-Gruppe, die sowohl die Gruppe für drahtlose Benutzer als auch die Gruppe für drahtlose Computer enthält | RAS-Richtlinie Drahtloser Zugriff | [Konten] Globale Active Directory-Gruppe, die Computer enthält, deren Eigenschaften für das drahtlose Netzwerk konfiguriert werden müssen | Drahtlosnetzwerkrichtlinie Computer | [Konten] Globale Active Directory-Gruppe, die Computer enthält, deren Eigenschaften für das drahtlose Netzwerk konfiguriert werden müssen | Drahtlosnetzwerkrichtlinie Computer | [Zertifikate] Zertifikatsvorlage zur Generierung von Zertifikaten zur Clientauthentifizierung für Benutzer | Clientauthentifizierung Benutzer | [Zertifikate] Zertifikatsvorlage zur Erstellung von Zertifikaten zur Clientauthentifizierung für Computer | Clientauthentifizierung Computer | [Zertifikate] Zertifikatsvorlage zur Erstellung von Zertifikaten zur Serverauthentifizierung, die von IAS verwendet werden | RAS und IAS Server Authentication | [Skripts] Pfad für Installationsskripts | C:\MSSScripts | [Konfig] Pfad für Konfigurations-Sicherungsdateien | D:\IASConfig | [Anforderungsprotokolle] Speicherort der Textprotokolle zur IAS-Authentifizierung und -Prüfung | D:\IASLogs | [RAS-Richtlinie] Name der Richtlinie | Drahtlosen Zugriff zulassen | [Gruppenrichtlinie] Name des Active Directory-Gruppenrichtlinienobjekts (Group Policy Object, GPO) | Drahtlosnetzwerkrichtlinie | [Gruppenrichtlinie] Drahtlosnetzwerkrichtlinie im GPO | Client-Computer drahtlose Konfiguration |
Vorbereiten der Umgebung für ein abgesichertes WLANUm 802.1X-basierte abgesicherte drahtlose Netzwerkzugriffe einrichten zu können, müssen Sie zunächst die unterstützende Infrastruktur vorbereiten. Damit sind das Active Directory und die DHCP- Server gemeint. Weitere, detailliertere Informationen zur WLAN-Planung finden Sie im Abschnitt "Deploying a Wireless LAN" im Windows Server 2003 Deployment Kit und in anderen Quellen, die am Ende dieses Kapitels im Abschnitt "Weitere Informationen" genannt sind. Erstellen von Active Directory-Gruppen, die für den Zugriff auf das WLAN notwendig sindDas folgende Skript müssen Sie als Benutzer ausführen, der über die Berechtigung zum Erstellen von Active Directory-Sicherheitsgruppen verfügt. Das Skript erstellt die erforderlichen Gruppen für die automatische Registrierung von Zertifikaten für die drahtlose Authentifizierung, RAS-Richtlinien und Gruppenrichtlinien für das drahtlose Netzwerk: Cscript //job:CreateWirelessGroups C:\MSSScripts\wl_tools.wsf Das Skript legt die folgenden Active Directory-basierten Sicherheitsgruppen an, die im weiteren Verlauf dieser Anleitung verwendet werden: | • | AutoEnroll Client Authentication - User Certificate | | • | AutoEnroll Client Authentication Computer Certificate | | • | AutoEnroll RAS und IAS Server Authentication Certificate | | • | RAS-Richtlinie Drahtlose Benutzer | | • | RAS-Richtlinie Drahtlose Computer | | • | RAS-Richtlinie Drahtloser Zugriff | | • | Drahtlosnetzwerkrichtlinie Computer |
In einer Mehrfachdomänen-Gesamtstruktur sollten diese Gruppen in der gleichen Domäne wie die WLAN-Benutzer erstellt werden. Hinweis: Die meisten der hier erstellten Gruppen sind globale Gruppen, die jedoch ggf. durch universelle Gruppen ersetzt werden können. Das Skript, das die Sicherheitsgruppen erzeugt, können Sie leicht ändern, indem Sie einfach die Syntax kopieren, die zum Erstellen der universellen Gruppe "RAS-Richtlinie Drahtloser Zugriff" dient. Überprüfen der DHCP-EinstellungenZur Unterstützung des drahtlosen Netzwerkzugriffs sollten Sie Ihre DHCP-Server mit eigenen Bereichen für die drahtlosen Clients einrichten und IP-Address-Leasezeiten verwenden, die kürzer als die der anderen Clients sind. Überprüfen Sie zusammen mit den DHCP-Serveradministratoren, ob Ihre DHCP-Server den Ansprüchen der Lösung genügen. Weitere, detailliertere Informationen zum Thema DHCP-Planung für drahtlose Netzwerke finden Sie im Kapitel "Deploying a Wireless LAN" des Windows Server 2003 Deployment Kit. Konfigurieren und Bereitstellen von WLAN-AuthentifizierungszertifikatenDie hier beschriebene Lösung zur WLAN-Absicherung verwendet X.509-Zertifikate, um Computer- und Benutzerauthentifizierung mit EAP-TLS durchzuführen. Hierzu müssen die folgenden Zertifikate erstellt und bereitgestellt werden: | • | Clientauthentifizierung Computer | | • | Clientauthentifizierung Benutzer | | • | RAS und IAS Server Authentication Hinweis: Ausführliche Informationen über diese Tasks und die Rollen, die zu ihrer Durchführung erforderlich sind, finden Sie in Kapitel 11, "Verwalten der Infrastruktur öffentlicher Schlüssel". |
Erstellen einer Zertifikatsvorlage zur ServerauthentifizierungWährend des EAP-TLS-Protokoll-Handshakes benötigt der IAS-Server ein Serverzertifikat, um den Computer gegenüber den Clients zu authentifizieren. Lassen Sie Ihren Zertifikatsdienste-Administrator die folgenden Schritte durchführen. Dabei soll er mit dem MMC-Snap-In (Microsoft Management Console) für Zertifikatsvorlagen auf dem Server für Zertifikatsdienste eine Vorlage für Serverzertifizierungszertifikate für IAS-Server erstellen. So erstellen Sie eine Zertifikatsvorlage zur Serverauthentifizierung 1. | Erstellen Sie ein Duplikat der RAS- undIAS-Serverzertifikatsvorlage. Geben Sie RAS und IAS Server Authentication in das Feld Vorlagenanzeigename auf der Registerkarte Allgemein der Eigenschaften der neuen Vorlage ein. | 2. | Stellen Sie auf der Registerkarte Erweiterungen sicher, dass die Anwendungsrichtlinien nur Serverauthentifizierung (OID 1.3.6.1.5.5.7.3.1) beinhalten. | 3. | Bearbeiten Sie ebenfalls auf der Registerkarte Erweiterungen die Ausstellungsrichtlinien, und fügen Sie die Richtlinie Mittlere Zusicherung hinzu. | 4. | Wählen Sie auf der Registerkarte Antragstellername die Option Aus diesen Active Directory-Informationen erstellen aus. Stellen Sie außerdem sicher, dass als Format des Antragstellernamen die Option Definierter Name eingestellt ist und unter Diese Informationen in alternativen Antragstellernamen einbeziehen nur DNS-Name ausgewählt ist. | 5. | Klicken Sie auf der Registerkarte Anforderungsverarbeitung auf die Schaltfläche Kryptografiediensteanbieter. Stellen Sie sicher, dass die Option Einen der folgenden Kryptografiediensteanbieter verwenden ausgewählt ist und dass nur Microsoft RSA SChannel CPS ausgewählt ist. | 6. | Fügen Sie auf der Registerkarte Sicherheit die Sicherheitsgruppe "AutoEnroll RAS und IAS Server Authentication Certificate" hinzu. Erteilen Sie der Gruppe die Berechtigungen zum Lesen, Registrieren und Automatisch registrieren. Wichtig: Sie sollten alle anderen Gruppen entfernen, die über Berechtigungen zum Registrieren und/oder automatischen Registrieren dieser Zertifikatsvorlage verfügen. Alle Benutzer oder Gruppen, die diese Zertifikate registrieren müssen, sollten der entsprechenden Gruppe "Zertifikatsvorlage registrieren (oder automatisch registrieren)" hinzugefügt werden. Durch diese Konfiguration wird verhindert, dass Benutzer oder Gruppen unbeabsichtigt Zertifikate registrieren, die sie nicht registrieren können sollten. Nähere Informationen finden Sie im Abschnitt "Erstellen von Gruppen zur Registrierung von Zertifikatsvorlagen" von Kapitel 11, "Verwalten der Infrastruktur öffentlicher Schlüssel". |
In Kapitel 4, "Entwerfen der Infrastruktur öffentlicher Schlüssel", wird beschrieben, wie Sie Zertifikate dieses Typs so einrichten können, dass sie eine Genehmigung eines Certificate Managers erfordern. Da es sich hier um ein Zertifikat von relativ hohem Wert handelt, sollten Sie die Aktivierung dieser Option als zusätzliche Überprüfung in Erwägung ziehen, für den Fall, dass jemand versucht, einen illegalen IAS-Server zu registrieren. Dies bedeutet, dass für das Ausstellen des Zertifikats eine manuelle Bestätigung erforderlich ist (obwohl die Anforderung nach wie vor automatisch durch den IAS-Server stattfindet und auch das Zertifikat automatisch abgerufen wird, sobald die Bestätigung stattgefunden hat). Erstellen einer Zertifikatsvorlage zur BenutzerauthentifizierungUm sich gegenüber dem IAS-Server während der EAP-TLS-Authentifizierung zu authentifizieren, benötigt ein Endbenutzer ein Benutzerzertifikat. Lassen Sie Ihren Zertifikatsdienste-Administrator die folgenden Schritte durchführen. Dabei soll er mit dem MMC-Snap-In für Zertifikatsvorlagen auf dem Server für Zertifikatsdienste eine Zertifikatsvorlage zur Benutzerauthentifizierung erstellen. So erstellen Sie eine Zertifikatsvorlage zur Benutzerauthentifizierung 1. | Erstellen Sie ein Duplikat der Vorlage "Authentifizierte Sitzung". Geben Sie bei der neuen Vorlage auf der Registerkarte Allgemein im Feld Vorlagenanzeigename den Namen Clientauthentifizierung Benutzer ein. | 2. | Klicken Sie auf der Registerkarte Anforderungsverarbeitung auf die Schaltfläche Kryptografiedienstanbieter, und deaktivieren Sie das Kontrollkästchen Microsoft Base DSS CSP. | 3. | Wählen Sie auf der Registerkarte Antragstellername die Option Aus diesen Active Directory-Informationen erstellen aus. Wählen Sie unter Format des Antragstellernamen denEintrag Definierter Name aus. Stellen Sie sicher, dass unter Diese Informationen in alternativen Antragstellernamen einbeziehen als einzige Option Benutzerprinzipalname (UPN) ausgewählt ist. | 4. | Vergewissern Sie sich auf der Registerkarte Erweiterungen, dass Anwendungsrichtlinien nur Clientauthentifizierung (OID 1.3.6.1.5.5.7.3.2) beinhalten. | 5. | Bearbeiten Sie ebenfalls auf der Registerkarte Erweiterungen die Ausstellungsrichtlinien, und fügen Sie die Richtlinie Niedrige Zusicherung hinzu. | 6. | Fügen Sie auf der Registerkarte Sicherheit die Sicherheitsgruppe "AutoEnroll Client Authentication - User Certificate" hinzu. Erteilen Sie der Gruppe Berechtigungen zum Lesen, Registrieren und Automatisch registrieren. Wichtig: Sie sollten alle anderen Gruppen entfernen, die über Berechtigungen zum Registrieren und/oder automatischen Registrieren dieser Zertifikatsvorlage verfügen. Alle Benutzer oder Gruppen, die diese Zertifikate registrieren müssen, sollten der entsprechenden Gruppe "Zertifikatsvorlage registrieren (oder automatisch registrieren)" hinzugefügt werden. Siehe vorherigen Hinweis. |
Erstellen einer Zertifikatsvorlage zur Computerauthentifizierung Ein weiteres Zertifikat wird zur Authentifizierung von Computern gegenüber den IAS-Servern während der EAP-TLS-Authentifizierung benötigt. Lassen Sie Ihren Zertifikatsdienste-Administrator die folgenden Schritte durchführen. Dabei soll er mit dem MMC-Snap-In für Zertifikatsvorlagen auf dem Server für Zertifikatsdienste eine Zertifikatsvorlage zur Computerauthentifizierung erstellen. So erstellen Sie eine Zertifikatsvorlage zur Computerauthentifizierung 1. | Erstellen Sie ein Duplikat der Vorlage "Arbeitsstationsauthentifizierung". Geben Sie bei der neuen Vorlage auf der Registerkarte Allgemein im Feld Vorlagenanzeigename den Namen Clientauthentifizierung Computer ein. | 2. | Wählen Sie auf der Registerkarte Antragstellername die Option Aus diesen Active Directory-Informationen erstellen aus. Wählen Sie unter Format des Antragstellernamen den Eintrag Definierter Name aus. Stellen Sie sicher, dass unter Diese Informationen in alternativen Antragstellernamen einbeziehen als einzige Option DNS-Name ausgewählt ist. | 3. | Vergewissern Sie sich auf der Registerkarte Erweiterungen, dass Anwendungsrichtlinien nur Clientauthentifizierung (OID 1.3.6.1.5.5.7.3.2) beinhalten. | 4. | Bearbeiten Sie ebenfalls auf der Registerkarte Erweiterungen die Ausstellungsrichtlinien, und fügen Sie die Richtlinie Niedrige Zusicherung hinzu. | 5. | Fügen Sie auf der Registerkarte Sicherheit die Sicherheitsgruppe "AutoEnroll Client Authentication Computer Certificate" hinzu(WOODGROVEBANK\AutoEnroll Client Authentication Computer Certificate). Erteilen Sie der Gruppe Berechtigungen zum Lesen, Registrierenund Automatisch registrieren. Wichtig: Sie sollten alle anderen Gruppen entfernen, die über Berechtigungen zum Registrieren und/oder automatischen Registrieren dieser Zertifikatsvorlage verfügen. Alle Benutzer oder Gruppen, die diese Zertifikate registrieren müssen, sollten der entsprechenden Gruppe "Zertifikatsvorlage registrieren (oder automatisch registrieren)" hinzugefügt werden. Siehe vorausgehenden Hinweis. |
Hinzufügen der WLAN-Authentifizierungszertifikate zur ZertifizierungsstelleSobald die Zertifikatsvorlagen für die WLAN-Authentifizierung konfiguriert sind, müssen sie der Zertifizierungsstelle (Certification Authority, CA) hinzugefügt werden, um die Registrierung zu ermöglichen. Lassen Sie Ihre Zertifikatsdienste-Administratoren die folgenden Schritte durchführen, um die Zertifikatsvorlagen der CA hinzuzufügen. Hinzufügen von Zertifikatsvorlagen zur CA Klicken Sie im MMC-Snap-In für CAs mit der rechten Maustaste auf den Ordner Zertifikatvorlagen, wählen Sie Neu und anschließend Auszustellende Zertifikatvorlage aus. Wählen Sie die folgenden Zertifikate aus, und klicken Sie dann auf OK: | • | Clientauthentifizierung Computer | | • | Clientauthentifizierung Benutzer | | • | RAS und IAS Server Authentication |
Regstrieren für das IAS-ServerzertifikatDie Bereitstellung von Serverauthentifizierungszertifikaten für IAS-Server ist relativ einfach und automatisiert. Führen Sie dazu die folgenden Schritte aus. So registrieren Sie ein IAS-Serverauthentifizierungszertifikat vom CA 1. | Fügen Sie mit dem MMC-Snap-In für Active Directory-Benutzer und -Computer die IAS-Computerkonten zur Sicherheitsgruppe "AutoEnroll RAS und IAS Server Authentication Certificate" hinzu. Wichtig: Sie müssen den Server neu starten, damit er diese neue Gruppenmitgliedschaft übernimmt. | 2. | Melden Sie sich beim IAS als Mitglied der lokalen Administratorgruppe an, und führen Sie an einer Eingabeaufforderung den Befehl GPUPDATE /force aus. | 3. | Öffnen Sie die MMC,und fügen Sie das Snap-In Zertifikate hinzu. Wenn Sie dazu aufgefordert werden, wählen Sie die Option Computerkonto und dann Lokaler Computer aus. | 4. | Wählen Sie Zertifikate (Lokaler Computer) aus dem Konsolenstamm, wählen Sie dann Alle Tasks im Menü Aktion, und klicken Sie auf Zertifikate automatisch registrieren. Hinweis: Wenn für diesen Zertifikatstyp die Option zur Genehmigung der CA durch einen Certificate Manager ausgewählt wurde, müssen Sie den CA Administrator kontaktieren, um sicherzustellen, dass es sich um eine legitime Anfrage von einem IAS-Server handelt. Sobald dies bestätigt ist, stellt der CA-Administrator dieses Zertifikat aus. |
Überprüfen der Bereitstellung der IAS-ServerzertifikateDie Geschwindigkeit, mit der ein registriertes IAS-Serverzertifikat ausgestellt und im Serverzertifikatsspeicher bereitgestellt wird, hängt von den Einstellungen für die Zertifikatsbestätigung der Zertifikatsvorlage ab. Verzögerungen können auch dadurch entstehen, dass der Server die CA nur alle paar Stunden abfragt. So überprüfen Sie, ob das IAS-Serverauthentifizierungzertifikat bereit gestellt wurde 1. | Melden Sie sich am lokalen Computer als lokaler Administrator an, öffnen Sie das Zertifikat-Snap-In für die MMC,und fügen Sie das Snap-In Zertifikate hinzu. Wenn Sie dazu aufgefordert werden, wählen Sie die Option Computerkonto und dann Lokaler Computer aus. | 2. | Öffnen Sie den Zertifikatsspeicher Zertifikate (Lokaler Computer), Privater Speicher, Zertifikate, und suchen Sie nach einem Zertifikat, das von der Zertifikatsvorlage zur RAS- und IAS-Serverauthentifizierung auf den lokalen Computernamen ausgestellt wurde. Sie finden den Vorlagennamen im rechten Fenster. Möglicherweise müssen Sie einen horizontalen Bildlauf durchführen, um die entsprechende Spalte zu sehen. | 3. | Sollte dieses Zertifikat nicht im Zertifikat-Snap-In für die MMCangezeigt werden, wählen Sie in der Strukturansicht die Option Zertifikate (Lokaler Computer) und anschließend im Menü Aktion die Option Alle Tasks. Wählen Sie dann Zertifikate automatisch registrieren. Warten Sie einige Momente, damit diese Aktion ausgeführt werden kann, und aktualisieren Sie dann die Ansicht des OrdnersPrivater Speicher. Hinweis: Der Erfolg der automatischen Registrierung von Zertifikaten kann außerdem durch einen Eintrag im Anwendungsprotokoll der Ereignisanzeige überprüft werden. Der Quelleintrag lautet "Automatische Registrierung" und die Ereigniskennung ist 19. |
Hinzufügen von Benutzern und Computern zu Gruppen für automatische RegistrierungDie Bereitstellung von WLAN-Authentifizierungszertifikaten für Benutzer und Computer ist für Endbenutzer normalerweise transparent. Der Vorgang benötigt eine Verbindung zum lokalen Netzwerk (Local Area Network, LAN), ein domänenbasiertes Benutzerkonto und einen Computer, der Mitglied einer Active Directory-Domäne ist. Benutzer und Computer, die Zugang zum neuen WLAN benötigen, müssen im Voraus die Zertifikate bereitgestellt bekommen, um EAP-TLS-Authentifizierung durchführen können. Bei Computern mit Windows XP und Windows Server 2003 können sowohl Computer- als auch Benutzerzertifikate ohne Endbenutzereingaben automatisch registriert und erneuert werden. Die Zertifikatsregistrierung und -erneuerung wird hierbei über Active Directory-Sicherheitsgruppen gesteuert. Hinweis: Bei dieser Lösung wird durch benutzerdefinierte Sicherheitsgruppen ("AutoEnroll Client Authentication - User Certificate" und "AutoEnroll Client Authentication Computer Certificate") bestimmt, für welche Benutzer und Computer automatisch WLAN-Zertifikate registriert werden sollen. Wenn Sie möchten, dass alle Ihre Domänenbenutzer und -computer WLAN-Zertifikate erhalten, können Sie der Gruppe "AutoEnroll Client Authentication - User Certificate" die Gruppe "Domänenbenutzer" und der Gruppe "AutoEnroll Client Authentication Computer Certificate" die Gruppe "Domänencomputer" hinzufügen. So fügen Sie Benutzer und Computer zu Sicherheitsgruppen für automatische Registrierung hinzu 1. | Öffnen Sie die MMC für Active Directory-Benutzer und -Computer. | 2. | Fügen Sie Benutzer zur Gruppe "AutoEnroll Client Authentication - User Certificate" hinzu. | 3. | Fügen Sie Computer zur Gruppe "AutoEnroll Client Authentication Computer Certificate" hinzu. Wichtig: Die Benutzer erhalten ihre neue Gruppenmitgliedschaft in ihrem Zugriffstoken erst, wenn sie sich ab- und wieder anmelden. Die Computer erhalten ihre neue Gruppenmitgliedschaft in ihrem Zugriffstoken erst, wenn sie neu gestartet werden. Stellen Sie sicher, dass diese beiden Vorgänge bereits erfolgt sind, bevor Sie mit den Überprüfungsschritten beginnen. |
Überprüfen der Bereitstellung von BenutzerzertifikatenMelden Sie sich als ein Benutzer an, der der Gruppe "AutoEnroll Client Authentication - User Certificate" hinzugefügt wurde, und führen Sie die folgenden Schritte durch. So überprüfen Sie die Bereitstellung von Benutzerauthentifizierungszertifikaten 1. | Melden Sie sich ab und dann als der ausgewählte Benutzer wieder an, sofern dies noch nicht geschehen ist. Öffnen Sie die MMC,und fügen Sie das Snap-In Zertifikate hinzu. Wählen Sie die Option Eigenes Benutzerkonto aus. | 2. | Öffnen Sie den Zertifikatsspeicher Zertifikate Aktueller Benutzer, Privater Speicher, Zertifikate, und suchen Sie nach einem Zertifikat, das von der Zertifikatsvorlage "Client Authentication - User certificate" für den Benutzer ausgestellt wurde. Sie finden den Vorlagennamen im rechten Fenster. Möglicherweise müssen Sie einen horizontalen Bildlauf durchführen, um die entsprechende Spalte zu sehen. | 3. | Wenn das erwartete Zertifikat nicht im Snap-In Zertifikate angezeigt wird, führen Sie an einer Eingabeaufforderung den Befehl GPUPDATE /force aus, warten Sie einige Minuten, und aktualisieren Sie dann die Ansicht des OrdnersPrivater Speicher. |
Überprüfen der Bereitstellung von ComputerzertifikatenFühren Sie die folgenden Schritte von einem Clientcomputer aus durch, der der Gruppe "AutoEnroll Client Authentication Computer Certificate" hinzugefügt wurde. So überprüfen Sie die Bereitstellung von Computerauthentifizierungszertifikaten 1. | Sofern Sie den Computer nach dem Hinzufügen zur Gruppe "AutoEnroll Client Authentication - Computer Certificate" noch nicht neu gestartet haben, tun Sie dies nun. | 2. | Melden Sie sich am lokalen Computer als lokaler Administrator an, öffnen Sie die MMC,und fügen Sie das Snap-In Zertifikate hinzu. Wenn Sie dazu aufgefordert werden, wählen Sie die Option Computerkonto und dann Lokaler Computer aus. | 3. | Öffnen Sie den Zertifikatsspeicher Zertifikate (Lokaler Computer), Privater Speicher, Zertifikate, und suchen Sie nach einem Zertifikat, das von der Zertifikatsvorlage "Clientauthentifizierung Computer" auf den lokalen Computernamen ausgestellt wurde. Sie finden den Vorlagennamen im rechten Fenster. Möglicherweise müssen Sie einen horizontalen Bildlauf durchführen, um die entsprechende Spalte zu sehen. | 4. | Wenn das erwartete Zertifikat nicht im Snap-In Zertifikate angezeigt wird, führen Sie an einer Eingabeaufforderung den Befehl GPUPDATE /force aus, warten Sie einige Minuten, und aktualisieren Sie dann die Ansicht des OrdnersPrivater Speicher. Tipp: Sie können den Computer neu starten, um den Versuch einer automatischen Registrierung der Zertifikate zu wiederholen. Der Erfolg der automatischen Registrierung von Zertifikaten kann außerdem durch einen Eintrag im Anwendungsprotokoll der Ereignisanzeige überprüft werden. Der Quelleintrag lautet "Automatische Registrierung" und die Ereigniskennung ist 19. |
Konfigurieren der Infrastruktur für den WLAN-ZugriffDer primäre IAS-Server muss mit RAS-Richtlinien und Verbindungsanforderungseinstellungen konfiguriert werden, die über die Authentifizierung und Autorisierung der drahtlosen Benutzer und Computer für das WLAN entscheiden. Diese Einstellungen müssen dann auf Ihren IAS-Servern repliziert werden. Verwenden Sie dazu das im Abschnitt "Bereitstellen der Konfiguration auf mehreren IAS-Servern" von Kapitel 8, "Implementieren der RADIUS-Infrastruktur", beschriebene Verfahren. Außerdem muss jeder einzelne IAS-Server eindeutig konfiguriert werden, um Verbindungen von RADIUS-Clients, zum Beispiel WLAN-APs, zu akzeptieren. Die WLAN-APs müssen dann so konfiguriert werden, dass sie IAS-Server als Quelle für Authentifizierung und Anmeldung bei 802.1X-Netzwerkzugriffen verwenden. Erstellen einer IAS-RAS-Richtlinie für WLANsFühren Sie mit dem IAS-MMC-Snap-In die folgenden Schritte zur Konfiguration von IAS mit einer RAS-Richtlinie für drahtlosen Netzwerkzugriff durch. So erstellen Sie eine RAS-Richtlinie in IAS 1. | Klicken Sie mit der rechten Maustaste auf den Ordner RAS-Richtlinien, und wählen Sie Neue RAS-Richtlinie erstellen aus. | 2. | Geben Sie der Richtlinie den Namen Drahtlosen Zugriff zulassen, und richten Sie mit dem Assistenten eine Typische Richtlinie für ein allgemeines Szenario ein. | 3. | Wählen Sie als Zugriffsmethode Drahtlos aus. | 4. | Gewähren Sie gruppenbasierten Zugriff, und verwenden Sie die Sicherheitsgruppe "RAS-Richtlinie Drahtloser Zugriff". | 5. | Wählen Sie als EAP-Typ Smartcard oder anderes Zertifikat aus, und wählen Sie dann das für IAS installierte Serverauthentifizierungszertifikat aus. Beenden und verlassen Sie dann den Assistenten. Hinweis: Die neue Richtlinie, die drahtlosen Zugriff gewährt,kann zusammen mit anderen benutzerdefinierten oder standardmäßigen RAS-Richtlinien verwendet werden. Sie sollten jedoch sicherstellen, dass alle standardmäßigen RAS-Richtlinienim Ordner RAS-Richtlinien entweder gelöscht oder nach der neu erstellten Richtlinie eingeordnet werden. |
Ändern der Einstellungen im Profil der WLAN-ZugriffsrichtlinieDie Standardeinstellungen der eben erstellten RAS-Richtlinie sollten geändert werden, damit Benutzer-DFÜ-Einstellungen in Active Directory, die Probleme in Verbindung mit einigen APs verursachen können, ignoriert werden. Zusätzlich sollten RADIUS-Attribute für die Clientreauthentifizierung in regelmäßigen Zeitabständen gesetzt werden, um sicherzustellen, dass WEP-Sitzungsschlüssel erneuert werden. Weitere Informationen zu RAS-Richtlinieneinstellungen finden Sie in Kapitel 6, "Entwerfen der WLAN-Absicherung mit 802.1X". So ändern Sie die Einstellungen im Profil der Richtlinie für den drahtlosen Zugriff 1. | Öffnen Sie die Eigenschaften der Richtlinie "Drahtlosen Zugriff zulassen", und klicken Sie auf Profil bearbeiten. | 2. | Wählen Sie auf der Registerkarte Einwähleinschränkungen die Option Zugelassene Sitzungslänge für Clients in Minuten, und geben Sie den Wert 10 ein. Hinweis: Der Wert für die Sitzungslänge kann ohne bedeutenden Verlust an Sicherheit auf bis zu 60 Minuten erhöht werden. Dadurch erhalten Sie eine Installation, die auf vorübergehende Netzwerkausfälle nachgiebiger reagiert und Ihre IAS-Server weniger stark belastet. | 3. | Fügen Sie auf der Registerkarte Erweitert das Attribut Ignore-User-Dialin-Properties hinzu, und wählen Sie den Wert Wahr aus. Fügen Sie dann das Attribut Termination-Action hinzu, und legen Sie dafür RADIUS Request fest. |
Überprüfen der Verbindungsanforderungsrichtlinie für WLANDie Standardrichtlinie für Verbindungsanforderungen in IAS ist so konfiguriert, dass IAS Benutzer und Computer direkt in Active Directory authentifiziert. Führen Sie die folgenden Schritte durch, um die Konfiguration der Standardrichtlinie für die Verbindungsanforderungen zu überprüfen. So überprüfen Sie die Standardrichtlinie für Verbindungsanforderungen 1. | Öffnen Sie das IAS-MMC-Snap-In,und zeigen Sie die Eigenschaften der Richtlinie für Verbindungsanforderungen Windows-Authentifizierung für alle Benutzer verwenden an. | 2. | Stellen Sie sicher, dass die Richtlinie Tages- und Uhrzeiteinschränkungen die folgenden Einträge enthält: So 00:00-24:00; Mo 00:00-24:00; Di 00:00-24:00; Do 00:00-24:00; Fr 00:00-24:00; Sa 00:00-24:00. | 3. | Klicken Sie auf die Schaltfläche Profil bearbeiten. Stellen Sie sicher, dass auf der Registerkarte Authentifizierung die Option Anforderungen auf diesem Server authentifizieren ausgewählt ist. | 4. | Stellen Sie sicher, dass auf der Registerkarte Attribut keine Regeln eingetragen sind. Hinweis: Für diese Lösung sind keine weiteren Einstellungen für Verbindungsanforderungsrichtlinien erforderlich. Allerdings könnte Ihr Unternehmen zusätzliche Einstellungen für verschiedene Szenarien konfiguriert haben. |
Nachdem der WLAN-Zugriff konfiguriert wurde, sollte jede Konfigurationsänderung auf dem primären IAS-Server auch auf den anderen IAS-Servern repliziert werden. Verwenden Sie hierzu das im Abschnitt "Bereitstellen der Konfiguration auf mehreren IAS-Servern" von Kapitel 8, "Implementieren der RADIUS-Infrastruktur", beschriebene Verfahren. Hinzufügen von RADIUS-Clients zu IASSie müssen WLAN-APs und RADIUS-Proxies als RADIUS-Clients zu IAS hinzufügen, bevor diese die Authentifizierungs- und Kontoführungsdienste über das RADIUS-Protokoll nutzen dürfen. Führen Sie im IAS-MMC-Snap-In die folgenden Schritte durch, um WLAN-APs zu IAS hinzuzufügen. So fügen Sie RADIUS-Clients zu IAS hinzu 1. | Klicken Sie mit der rechten Maustaste auf den Ordner RADIUS Clients, und wählen Sie Neuer RADIUS-Client. | 2. | Geben Sie einen Anzeigenamen und die IP-Adresse des WLAN-APs ein. | 3. | Wählen Sie als Clienthersteller RADIUS-Standard aus, und geben Sie anschließend den gemeinsamen geheimen Schlüssel für diesen WLAN-AP ein. (Mit dem im folgenden Verfahren beschriebenen Skript GenPwd können Sie einen starken geheimen Schlüssel erstellen.) Wählen Sie anschließend das Attribut Anforderung muss das Attribut "Message Authenticator" enthalten aus. Hinweis: Bei manchen RADIUS-Clients müssen herstellerspezifische Attribute (vendor-specific attributes, VSA) konfiguriert werden, damit sie ordnungsgemäß funktionieren. Informationen zu den VSA-Anforderungen finden Sie in Ihrer AP-Dokumentation. |
Mit dem Skript GenPwd, das in dieser Anleitung erläutert wird, können Sie zufällige, starke, 23 Zeichen lange geheime Schlüssel generieren, die dann von den einzelnen WLAN-APs, die als RADIUS-Clients konfiguriert sind, verwendet werden können. GenPwd generiert einen geheimen Schlüssel nach einem kryptografischen Zufallsprinzip und speichert ihn zusammen mit dem Anzeigenamen für jeden RADIUS-Client in einer Datei mit dem Namen Clients.txt. GenPwd fügt die Informationen automatisch zu einer Datei Clients.txt im aktuellen Verzeichnis im CSV-Format (kommagetrennte Werte) hinzu. Kopieren Sie diese Datei nicht auf die Festplatte des Servers. Speichern Sie die Datei auf einer Diskette oder einem anderen wiederbeschreibbaren Wechselmedium mit der Aufschrift "RADIUS-Clients für Server HQ-IAS-01" (ersetzen Sie dabei HQ-IAS-01 durch Ihren Servernamen), und bewahren Sie sie sicher auf. Dieselbe serverspezifische Diskette wird in Kapitel 12, "Verwalten der RADIUS-Infrastruktur für die WLAN-Absicherung" für den Export und Import von RADIUS-Clients verwendet. So generieren Sie mit GenPwd geheime RADIUS-Schlüssel in einer Datei Clients.txt 1. | Öffnen Sie die Eingabeaufforderung, und wechseln Sie in das Verzeichnis A:\. (Wenn Sie ein anderes Medium als eine Diskette verwenden, ersetzen Sie den Laufwerksbuchstaben entsprechend.) Das aktuelle Verzeichnis ist von großer Bedeutung, da neue Informationen an die vorhandene Datei Clients.txt angehängt werden. Sollte die Datei Clients.txt noch nicht vorhanden sein, wird sie erstellt. | 2. | Führen Sie den folgenden Befehl aus. Achten Sie darauf, Clientname durch den Anzeigenamen des WLAN-APs zu ersetzen. Dies kann ein DNS-Name oder eine andere Zeichenfolge sein: Cscript //job:GenPWD C:\MSSScripts\wl_tools.wsf /client:Clientname Wichtig: Bewahren Sie die RADIUS-Client-Diskette an einem sicheren Ort auf, der auch im Falle einer Notfallwiederherstellung zugänglich ist. Sobald die kommagetrennte Datei erstellt ist, kann sie als Referenz oder zur weiteren Bearbeitung leicht in ein Tabellenblatt oder in eine Datenbank importiert werden. |
Aktivieren von WLAN-Zugriff für Benutzer und ComputerDie letzten Schritte, die den Benutzer- und Computerzugriff auf ein abgesichertes WLAN ermöglichen, werden an Active Directory-Objekten vorgenommen. Dazu gehört das Überprüfen von Kontoberechtigungen, das Ändern von Gruppenmitgliedschaften und das Einrichten von WLAN-Gruppenrichtlinieneinstellungen. Sie können diese Schritte in einem kontrollierten Verfahren durchführen, angepasst an einen Zeitplan, der die Bereitstellung in Phasen vornimmt und so das Risiko von tief greifenden Änderungen in Ihrer Projektumgebung reduziert. Überprüfen der Active Directory-RAS-BerechtigungenActive Directory-Benutzer- und Computerkonten müssen über die richtigen RAS-Berechtigungen verfügen, um RAS-Richtlinien verwenden zu können. Normalerweise ist Zugriff über RAS-Richtlinien steuern fürdie RAS-Berechtigungen von Konten festgelegt, die sich in einer Active Directory-Domäne im einheitlichen Modus befinden. Sie können jedoch mit dem MMC-Snap-In für Active Directory-Benutzer und -Computer nachprüfen, ob die Zielbenutzer und -computer richtig konfiguriert sind. Überprüfen Sie, ob in den Kontoeigenschaften auf der Registerkarte Einwählen in der Einstellung RAS-Berechtigung (Einwählen oder VPN) der Eintrag Zugriff über RAS-Richtlinien steuern ausgewählt ist. Hinzufügen von Benutzern zu RAS-RichtliniengruppenIAS-RAS-Richtlinien verwenden Active Directory-basierte Sicherheitsgruppen, um zu bestimmen, ob Benutzer und Computer für die Verbindung zum WLAN autorisiert sind. Die zuvor erstellten Sicherheitsgruppen beinhalten die in der folgenden Tabelle beschriebenen Gruppen: Tabelle 9.3: Active Directory-Sicherheitsgruppen RAS-Richtlinie Drahtlose Benutzer | Globale Gruppe für Benutzer, die Zugang zum WLAN benötigen. | RAS-Richtlinie Drahtlose Computer | Globale Gruppe für Computer, die Zugang zum WLAN benötigen. | RAS-Richtlinie Drahtloser Zugriff | Universelle Gruppe, die die beiden oben aufgeführten globalen Gruppen enthalten sollte. |
Fügen Sie mit dem MMC-Snap-In für Active Directory-Benutzer und -Computer die Gruppe "RAS-Richtlinie Drahtlose Benutzer" und die Gruppe "RAS-Richtlinie Drahtlose Computer" zur Gruppe "RAS-Richtlinie Drahtloser Zugriff" hinzu. Wichtig: Bei dieser Lösung wird durch benutzerdefinierte Sicherheitsgruppen ("RAS-Richtlinie Drahtlose Benutzer" und "RAS-Richtlinie Drahtlose Computer") bestimmt, welche Benutzer und Computer Zugriff auf das WLAN haben. Wenn Sie möchten, dass alle Ihre Domänenbenutzer und -computer Zugriff auf das WLAN haben, können Sie diesen benutzerdefinierten Sicherheitsgruppen die Gruppen "Domänenbenutzer" und "Domänencomputer" hinzufügen, um die Verwaltung zu vereinfachen. Damit ist die Gruppenstruktur vorbereitet, um Benutzer und Computer aufzunehmen, die für den Zugriff auf das WLAN autorisiert sind. So fügen Sie Benutzer und Computer zu den Gruppen für den WLAN-Zugriff hinzu 1. | Öffnen Sie die MMC für Active Directory-Benutzer und -Computer. | 2. | Fügen Sie Benutzer, denen der Zugriff auf das WLAN erlaubt ist, zur Gruppe RAS-Richtlinie Drahtlose Benutzer (WOODGROVEBANK\RAS-Richtlinie Drahtlose Benutzer) hinzu. | 3. | Fügen Sie Computer, denen der Zugriff auf das WLAN erlaubt ist, zur Gruppe RAS-Richtlinie Drahtlose Computer (WOODGROVEBANK\RAS-Richtlinie Drahtlose Computer) hinzu. Hinweis: Eine ausführlichere Begründung, weshalb Sie sowohl die Benutzer- als auch die Computerauthentifizierung für das WLAN aktivieren sollten, finden Sie in Kapitel 6, "Entwerfen der WLAN-Absicherung mit 802.1X". |
Erstellen einer Active Directory-WLAN-GruppenrichtlinieSie können mithilfe der Windows-Tools für Gruppenrichtlinien die WLAN-Konfiguration auf Clientcomputern automatisieren und erzwingen. Die Gruppenrichtlinien-MMC in Windows Server 2003 ermöglicht die Änderung von Einstellungen der Drahtlosnetzwerkrichtlinie. Dies gilt auch für die Einstellungen an der 802.1X-basierten Sicherheit und am 802.11-WLAN-Verhalten. Führen Sie mit dem MMC-Snap-In Active Directory-Benutzer und -Computer die folgenden Schritte aus, um für das neue WLAN mit aktiviertem 802.1X für Clientcomputer ein Gruppenrichtlinienprofil für drahtlose Netzwerke zu erstellen. Hinweise:
Die Erstellung von GPOs auf Domänenebene ist nicht für alle Unternehmen geeignet. Den besten Speicherort für GPOs ermitteln Sie anhand Ihrer unternehmensspezifischen Strategie für Gruppenrichtlinien.
Die WLAN-bezogenen GPO-Einstellungen werden in der GPO-MMC, nicht angezeigt, wenn Sie die GPO von einem Windows 2000- oder Windows XP-System aus bearbeiten. Die Einstellungsänderung muss deshalb von einem Windows Server 2003-System oder einem System mit installierten Windows Server 2003-Verwaltungsprogrammen aus durchgeführt werden. Sie können diese GPO-Einstellungen entweder in Windows 2000 oder Windows Server 2003 Active Directory verwenden. So erstellen Sie eine Gruppenrichtlinie "Drahtloses Netzwerk" 1. | Wählen Sie die Eigenschaften Ihres Domänenobjekts (zum Beispiel woodgrovebank.com), und klicken Sie auf der Registerkarte Gruppenrichtlinie auf Neu. Geben Sie dem GPO den Namen Drahtlosnetzwerkrichtlinie. | 2. | Klicken Sie auf die Schaltfläche Eigenschaften, und gewähren Sie der Sicherheitsgruppe "Drahtlosnetzwerkrichtlinie Computer" auf der Registerkarte Sicherheit die Berechtigungen Lesen und Anwenden von Gruppenrichtlinien. Entfernen Sie außerdem beim GPO unter "Authentifizierte Benutzer" die Berechtigung Anwenden von Gruppenrichtlinien. | 3. | Wählen Sie auf der Registerkarte Allgemein die Option Benutzerdefinierte Konfigurationseigenschaften deaktivieren für das Richtlinienobjekt aus, und bestätigen Sie alle Warnhinweise mit Ja. Übernehmen Sie alle Änderungen, und schließen Sie das Fenster Eigenschaften des GPO. | 4. | Klicken Sie zum Bearbeiten der Richtlinie auf die Schaltfläche Bearbeiten, und wechseln Sie zu den Richtlinien in \Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Drahtloses Netzwerk (IEEE 802.11). | 5. | Wählen Sie in der Navigationsansicht das Objekt Drahtlosnetzwerkrichtlinien (IEEE 802.11) aus, und wählen Sie dann im Menü Aktion den Eintrag Drahtlosnetzwerkrichtlinie erstellen. Geben Sie der Richtlinie mithilfe des Assistenten den Namen Client-Computer drahtlose Konfiguration. Lassen Sie die Option Eigenschaften bearbeiten ausgewählt, und klicken Sie auf Fertig stellen, um den Assistenten zu schließen. | 6. | Klicken Sie auf der Registerkarte Bevorzugte Netzwerke der Richtlinie "Drahtlose Konfiguration für Clientcomputer"auf Hinzufügen, und geben Sie den Netzwerknamen oder die SSID-Bezeichnung (Service Set-ID) Ihres drahtlosen Netzwerks ein. Hinweis: Sollten die Clients ein bereits vorhandenes WLAN verwenden, müssen Sie hier eine andere SSID für das neue 802.1X-WLAN angeben. Dies ist die SSID, die anschließend im Profil für das 802.1X-WLAN angegeben werden muss. | 7. | Klicken Sie auf die Registerkarte IEEE 802.1x, und öffnen Sie dann die Einstellungen für den EAP-Typ Smartcard oder anderes Zertifikat. Wählen Sie unter Vertrauenswürdige Stammzertifizierungsstellen das Stamm-CA-Zertifikat für die PKI aus, die die IAS-Serverzertifikate herausgegeben hat (also die PKI, die in Kapitel 7, "Implementieren der Infrastruktur öffentlicher Schlüssel", installiert wurde). | 8. | Schließen Sie die Eigenschaften der Richtlinie Drahtlose Konfiguration für Clientcomputer und den GPO-Editor. |
Hinzufügen von Computern zu Sicherheitsgruppen für WLAN-GruppenrichtlinienMithilfe von Active Directory-basierten Sicherheitsgruppen wird bestimmt, bei welchen Computern Drahtlosnetzwerkrichtlinien aktiviert sind, so dass automatisch 802.11- und 802.1X-Einstellungen konfiguriert werden. Sie sollten Gruppenrichtlinieneinstellungen für drahtlose Netzwerke für das neue 802.1X-basierte Netzwerk weit im Voraus bereitstellen, bevor Sie die 802.1X-Einstellungen auf Ihren WLAN-APs konfigurieren und das neue WLAN aktivieren. Dadurch stellen Sie sicher, dass den Clientcomputer ein angemessener Zeitraum für den Download und die Anwendung der computerbasierten Gruppenrichtlinie zur Verfügung steht, selbst wenn nur selten eine Verbindung zum drahtgebundenen Netzwerk hergestellt wird. Die Gruppenrichtlinieneinstellungen können auf den Computer angewendet werden, bevor eine WLAN-Karte (WLAN-NIC) installiert und von Windows konfiguriert ist. Sobald eine WLAN-Karte installiert ist, ruft sie automatisch die richtigen Einstellungen für die Gruppenrichtlinie für drahtlose Netzwerke ab und wendet sie an. Wichtig: Bei dieser Lösung wird durch eine benutzerdefinierte Sicherheitsgruppe (Drahtlosnetzwerkrichtlinie Computer) bestimmt, welche Computer eine Konfiguration für das WLAN erhalten. Wenn Sie zulassen möchten, dass Computer die WLAN-Konfigurationseinstellungen erhalten, können Sie dieser Gruppe die Gruppe "Domänencomputer" oder "Authentifizierte Benutzer" hinzufügen, um die Verwaltung zu vereinfachen. Seien Sie sich dabei jedoch im Klaren, dass dadurch die Richtlinieneinstellungen auf alle Server und Clientcomputer der Domäne (bei Hinzufügung von "Domänencomputer") bzw. der Gesamtstruktur (bei Hinzufügung von "Authentifizierte Benutzer") angewendet werden. So fügen Sie Computer zu Gruppen der Gruppenrichtlinie "Drahtloses Netzwerk" hinzu 1. | Verwenden Sie das MMC-Snap-In Active Directory-Benutzer und -Computer, um Computer zur Gruppe "Drahtlosnetzwerkrichtlinie Computer" hinzuzufügen. | 2. | Stellen Sie sicher, dass die Systeme neu gestartet wurden, bevor sie das WLAN zu verwenden versuchen. (Dieser Schritt ist notwendig, damit der Computer die neue Gruppenmitgliedschaft annehmen kann, die im vorausgehenden Schritt konfiguriert wurde.) Hinweis: Die WLAN-GPO-Einstellungen werden auf Clientcomputern beim nächsten Aktualisierungsintervall der Gruppenrichtlinie aktualisiert. Alternativ dazu können Sie an einer Eingabeaufforderung den Befehl GPUPDATE /force ausführen, um eine Aktualisierung der Computerrichtlinie zu erzwingen. |
Überprüfen der Anwendung von WLAN-GruppenrichtlinienFühren Sie die folgenden Schritte von einem Clientcomputer aus durch, der der Sicherheitsgruppe Drahtlose Konfiguration Clientcomputer in Active Directory hinzugefügt wurde. Hinweis: Bei den Computern muss eine WLAN-Karte installiert worden und eine Erkennung der Karte durch Windows erfolgt sein, damit die Drahtlosnetzwerkrichtlinie angezeigt wird. So überprüfen Sie die Bereitstellung der Konfiguration für das drahtlose Netzwerk 1. | Melden Sie sich als Administrator am lokalen Computer an, klicken Sie auf Start und auf Ausführen, und geben Sie den folgenden Befehl ein, um den Ordner "Netzwerkverbindungen" zu öffnen: ncpa.cpl | 2. | Zeigen Sie die Eigenschaften des zu Ihrer WLAN-Karte gehörenden Symbols Drahtlose Netzwerkverbindung an. Auf der Registerkarte Drahtlose Netzwerke sollte unter Bevorzugte Netzwerke der neue SSID-Name für das drahtlose Netzwerk angezeigt werden. Wählen Sie die neue Konfiguration aus, und klicken Sie auf Eigenschaften, um die Einstellungen zu überprüfen und sicherzustellen, dass sie mit denen in der Gruppenrichtlinie für drahtlose Netzwerke übereinstimmen. | 3. | Wenn der SSID-Name nicht unter Bevorzugte Netzwerke angezeigt wird oder Netzwerkeinstellungen nicht mit denen in der Gruppenrichtlinie für drahtlose Netzwerke übereinstimmen, müssen Sie alle Dialogfelder für drahtlose Netzwerke schließen und an einer Eingabeaufforderung den Befehl GPUPDATE /force ausführen. Überprüfen Sie diese Einstellungen nach einigen Minuten nochmals. |
Konfigurieren von WLAN-APs für 802.1X-NetzwerkeDie Verfahren, mit denen WLAN-APs konfiguriert werden, unterscheiden sich je nach Modell und Beschaffenheit des Geräts erheblich voneinander. Jedoch liefern die Hersteller der WLAN-APs normalerweise Konfigurationsinformationen für die folgenden Punkte mit: | • | 802.1X-Netzwerkeinstellungen | | • | IP-Adresse des primären RADIUS-Authentifizierungsservers | | • | IP-Adresse des primären RADIUS Konten-Servers | | • | Gemeinsamer geheimer RADIUS-Schlüssel für den primären RADIUS-Server | | • | IP-Adresse des sekundären RADIUS-Authentifizierungsservers | | • | IP-Adresse des sekundären RADIUS-Kontenservers | | • | Gemeinsamer geheimer RADIUS-Schlüssel für den sekundären RADIUS-Server |
Lesen Sie in der Herstellerdokumentation Ihrer WLAN-APs nach, wie Sie diese für 802.1X konfigurieren können. Wenn Benutzer in Ihrer Umgebung WLAN-APs einsetzen, für die noch keine Sicherheitseinstellungen oder nur statische WEP-Einstellungen konfiguriert wurden, müssen Sie einen Migrationsplan entwickeln. Weitere Migrationsempfehlungen für ein bereits vorhandenes drahtloses Netzwerk finden Sie in Kapitel 6, "Entwerfen der WLAN-Absicherung mit 802.1X". Wenngleich es den Rahmen dieses Handbuchs sprengen würde, Konfigurationsanweisungen für WLAN-APs von verschiedenen Herstellern zu geben, finden Sie in Kapitel 6 eine Besprechung von Sicherheitsthemen in Bezug auf WLAN-APs. Testen und ÜberprüfenSie sollten die Funktionalität Ihres 802.1X-basierten WLANs überprüfen. Verwenden Sie dazu einen Clientcomputer, der mit einem Computerzertifikat, einem Benutzerzertifikat, einer WLAN-Gruppenrichtlinie und einer WLAN-Karte ausgestattet ist. So testen Sie die Funktionalität des drahtlosen Netzwerks 1. | Starten Sie den Clientcomputer neu, der Mitglied der Sicherheitsgruppe "RAS-Richtlinie Drahtlose Computer" ist. | 2. | Melden Sie sich am Computer als Benutzer an, der Mitglied der Gruppe "RAS-Richtlinie Drahtlose Computer" ist. | 3. | Führen Sie an einer Eingabeaufforderung den Befehl ping aus, um die Netzwerkverbindung zu einem anderen Computer im Netzwerk zu überprüfen. |
Ausführlichere Anleitungen zu Testverfahren finden Sie in Kapitel 13, "Testen der Lösung". ZusammenfassungWenn Sie alle in diesem Kapitel beschriebenen Verfahren durchgearbeitet haben, müssten Sie nun die folgenden Aufgaben erledigt haben: | • | Erstellen und Konfigurieren von Active Directory-Gruppen zur Verwaltung von WLAN-Sicherheitskomponenten | | • | Erstellen der erforderlichen Zertifikatsvorlagen und Bereitstellen von WLAN-Zertifikaten für Ihre IAS-Server sowie ausgewählte Computer und Endbenutzer | | • | Erstellen und Konfigurieren von IAS-basierten RAS-Richtlinien und Richtlinien für Verbindungsanforderungen für drahtlose Netzwerkzugriffe | | • | Konfigurieren von WLAN-APs für 802.1X | | • | Erstellen und Bereitstellen von Gruppenrichtlinien für drahtlose Netzwerke für ausgewählte Clientcomputer |
Nachdem Sie diese Aufgaben erledigt haben, sollte Ihre 802.1X-basierte WLAN-Sicherheitsinfrastruktur voll funktionsfähig und für die Optimierung der Netzwerksicherheit Ihres Unternehmens nutzbar sein. Weitere Informationen| • | Den Artikel Managing Remote Access on a Per-Group Basis Using Windows 2000 Remote Access Policies finden Sie unter www.microsoft.com/windows2000/techinfo/
administration/management/pgremote.asp (in englischer Sprache). | | • | Die Produktdokumentation zu Windows Server 2003 steht unter www.microsoft.com/windowsserver2003/proddoc/default.mspx zur Verfügung (in englischer Sprache). Produktdokumentation mit einer Übersicht über IAS-Funktionen, grundlegende Anweisungen für die Konfiguration und empfohlene Vorgehensweisen für die Bereitstellung. | | • | Die IAS Technical Reference (in englischer Sprache) enthält ausführliche technische Informationen zu IAS und kann bei Bedarf als Nachschlagewerk verwendet werden. Sie ist zu finden unter www.microsoft.com/resources/documentation/windowsServ/2003/all/techref/en-us/W2K3TR_ias_intro.asp. | | • | Das Kapitel Deploying a Wireless LAN des Microsoft Windows Server 2003 Deployment Kit ist zu finden unter www.microsoft.com/resources/documentation/
WindowsServ/2003/all/deployguide/en-us/DNSBM_WIR_OVERVIEW.asp (in englischer Sprache).
Das Deployment Kit enthält Bereitstellungshilfen für den Einsatz von IAS in einer Vielzahl von Szenarien, die über den Umfang dieser Anleitung zur Absicherung von drahtlosen Netzwerkzugriffen hinausgehen, bei Entwurfsentscheidungen jedoch helfen können. | | • | Eine ausführliche Übersicht über 802.1X-WLANs, WLAN-Sicherheitsprobleme und verwandte Standards finden Sie unter The Unofficial 802.11 Security Web Page unter www.drizzle.com/~aboba/IEEE/ (in englischer Sprache). | | • | Informationen zu WLAN-Lösungen und Industrie-Informationen bietet die Website der WiFi Alliance unter www.wi-fialliance.org (in englischer Sprache). | | • | Ein Besuch des Wireless LAN Association (WLANA) Learning Center unter www.wlana.org/learning_center.html (in englischer Sprache) bietet Ihnen Informationen über WLAN sowie Hintergrundinformationen, Marktstudien, Whitepapers und Trainingsprogramme. | | • | Die Website der Internet Engineering Task Force (IETF) unter www.ietf.org/ (in englischer Sprache) hält Informationen zu EAP-TLS, EAPOL, EAP-RADIUS, RADIUS und weiteren Internet-Standards im Zusammenhang mit 802.1X bereit. | | • | Relevante WLAN-Standards umfassen u. a. 802.11, 802.11b, 802.11a, 802.11g, 802.1X, 802.11i und andere. Hier hilft Ihnen die IEEE Wireless Standards Zone unter http://standards.ieee.org/wireless/ (in englischer Sprache) weiter. | | • | Weitere Informationen zu 802.1X-WLAN-Technologien finden Sie im Artikel Windows XP Wireless Deployment Technology and Component Overview unter www.microsoft.com/technet/prodtechnol/winxppro/maintain/wificomp.mspx (in englischer Sprache). |
| |
