Bagaimana untuk menubuhkan Rangkaian Tanpa Wayar WPA2-EAP Menggunakan Server Dasar Rangkaian (NPS), AD dan Dasar Kumpulan - Bagaimana Untuk

Bagaimana untuk menubuhkan Rangkaian Tanpa Wayar WPA2-EAP Menggunakan Server Dasar Rangkaian (NPS), AD dan Dasar Kumpulan

Saya baru-baru ini memindahkan rangkaian wayarles saya dari RADIUS / IAS pada Windows 2003 dengan PKI ke Windows 2008 R2. Saya mengambil masa untuk sampai ke bahagian bawah sehingga saya fikir saya akan menulis How-To untuk membantu orang lain keluar.

Keperluan:

# Satu atau lebih 802.11 yang mampu 802.11 titik akses wayarles (APs).

# Direktori aktif dengan dasar kumpulan

# Satu atau lebih pelayan Server Rangkaian Dasar (NPS).

# Perkhidmatan Sijil Direktori Aktif berdasarkan PKI untuk sijil Pelayan untuk komputer NPS / s dan PC wayarles anda

Andaian:

Ini cara untuk mengandaikan bahawa anda mempunyai pengetahuan tentang bagaimana untuk menyediakan titik akses wayarles anda dan memasang peranan pelayan. Ia juga mengandaikan bahawa anda telah menyediakan PKI Enterprise pada Domain Direktori Aktif anda (NOTE Enteprise PKI untuk Windows memerlukan salinan Edisi Enterprise dari Windows Server OS)

10 langkah total

Langkah 1: Konfigurasi titik akses wayarles anda


Saya mempunyai mata akses Cisco 1200 Series yang menjalankan IOS 12.3 JED (atau sesuatu seperti itu). Saya telah menyediakan mata akses ini kepada:

1) Menyiarkan SSID
2) Gunakan Cipher AES-CCM untuk penyulitan
3) Gunakan WPA2 (mandatori)
4) gunakan vlan asli.
5) Sediakan rahsia kongsi yang anda akan gunakan dengan pelayan NPS Radius.

Dengan TKIP terdedah sebagai retak:

http://www.andybrain.com/qna/2009/08/30/tkip-wireless-encryption-has-been-cracked-use-wpa2-aes-encryption-instead/

Saya cadangkan menggunakan WPA2-EAP dengan AES sebagai cipher penyulitan anda. Anda boleh melihat gambar dengan ringkasan tetapan Cisco saya di lampiran:

Langkah 2: Pasang NPS pada pelayan anda

Pada Windows 2008 atau 2008 R2 membuka pengurus pelayan dan:

1) tambah Peranan "Dasar Rangkaian dan Perkhidmatan Akses"

Di bawah perkhidmatan peranan menambah:

* Pelayan Dasar Rangkaian
* Routing dan Perkhidmatan Akses Jauh

Kecuali anda ingin menggunakan Perlindungan Akses Rangkaian untuk melakukan pemeriksaan karantina dan pemeriksaan kesihatan rangkaian tidak mengganggu dengan yang lain.

Langkah 3: Sediakan Pelanggan Radius di NPS


Buka Konsol NPS. Klik kanan pada "Radius Clients", kemudian klik pada "Baru".

Isi medan untuk Nama Ramah, Alamat dan kemudian tambah rahsia kongsi yang anda konfigurasikan pada titik akses anda.

Anda dapat melihat di lampiran gambar yang difailkan yang anda perlu isikan.

Langkah 4: Konfigurasi 802.1x pada pelayan NPS (part1)


Dalam Pengurus Pelayan, buka "Peranan", kemudian "Dasar Rangkaian dan Perkhidmatan Akses" kemudian klik pada NPS (Tempatan).

Di panel sebelah kanan di bawah konfigurasi standard pilih "Pelayan Radius untuk Sambungan Tanpa Wayar 802.1x atau Wired", kemudian klik pada "Konfigurasikan 802.1X" untuk memulakan konfigurasi berasaskan wizard.

Lihat lampiran

Langkah 5: Konfigurasi 802.1x pada pelayan NPS (part2) THE WIZARD :)

1. Pilih butang radio atas "Sambungan Tanpa Wayar Selamat" klik seterusnya

2. Pada Tentukan 802.1X Swtiches Page periksa AP yang anda telah mengkonfigurasi di bawah Radius Pelanggan berada dalam senarai itu kemudian klik seterusnya.

3. Sekarang kaedah pengesahan. Dari senarai Drop Down pilih kaedah yang ingin anda gunakan. Di sini saya menggunakan Microsoft: Protected EAP (PEAP).

NOTA: Kaedah ini memerlukan Sijil Komputer dan Pelayan Radius dan sama ada sijil komputer atau pengguna pada mesin klien. Inilah sebabnya mengapa anda perlu menggunakan PKI Domain :)

4. Pilih kumpulan yang ingin anda berikan kepada akses tanpa wayar. Anda boleh melakukan ini dengan pengguna atau komputer atau kedua-duanya. (jika anda tidak menetapkannya dalam AD kemudian pergi berbuat demikian dan kembali kepada langkah ini :) :)

5. Jika anda perlu menyediakan VLan dalam langkah seterusnya. Oleh kerana saya menggunakan vlan lalai saya tidak perlu melakukan apa-apa di sini.

6. Anda perlu mendaftar pelayan dengan Active Directory. Jadi klik kanan pada NPS (setempat) dan pilih Daftar Server di Active Directory.

Anda kini harus mempunyai Dasar Permintaan Sambungan dan Dasar Rangkaian. Sebagai langkah pilihan jika anda mempunyai klien XP atau yang lebih lama anda mungkin mahu mengeluarkan MS-CHAP v1) dari dasar rangkaian (di bawah tab contraints)

Langkah 6: Sediakan Autoenrollment Sijil

Pengurusan Dasar Kumpulan Terbuka.

1) Buat dasar GPO baru dan namakannya dengan sewajarnya.
2) Di bawah skop penapisan securty untuk apa dasar yang digunakan untuk mengalih keluar "Pengguna yang Beresahkan" dan tambah kumpulan pengguna dan / atau komputer yang dibuat oleh AD anda. Ini memastikan bahawa dasar itu, sekali dikonfigurasi, hanya digunakan untuk ahli kumpulan tersebut.

3) Edit tetapan dasar kumpulan dan pergi ke:

A) Konfigurasi Computer Policies Windows Settings Security Settings Public Key Policies

Dalam anak tetingkap terperinci anda perlu klik kanan Klien Perkhidmatan Sijil - Autoenrollment dan kemudian pilih hartanah.

Dalam kotak dialog Hartanah pilih diaktifkan dari kotak jatuh bawah dan letakkan tanda di kotak lain. Ini memastikan bahawa komputer autoenrolls untuk sijil dari ADCS.

B) Navigasi ke Konfigurasi Komputer Dasar Tetapan Windows Tetapan Keselamatan Dasar Awam Awam Tetapan Sijil Automatik.

Klik kanan pada anak tetingkap butiran dan pilih Baru> Permintaan Sijil Automatik.

Ini akan membuka wizard dan anda boleh memilih Sijil Komputer.

Langkah 7: Membuat Dasar GPO Wireless 802.1x Vista (atau XP) (bahagian 1)


A) Sekarang pergi ke Dasar Konfigurasi Dasar Tetapan Windows Tetapan Keselamatan Rangkaian Tanpa Wayar (IEEE 802.11)

Klik kanan dan Buat dasar baru untuk Windows Vista dan kemudian (jika anda hanya mempunyai mesin XP, lakukan hanya satu XP). Sekiranya anda mempunyai Vista, anda mesti melakukan dasar Vista atau Vista akan cuba menggunakan dasar XP (tidak disyorkan).

B) Masukkan nama dan perihalan dasar.

C) Klik "Tambah" dan kemudian masukkan Nama Profil dan kemudian Tambah nama SSID dari Titik Akses Wayarles / s. Pastikan kotak tandakan "Sambung Secara Automatik apabila rangkaian ini berada dalam julat" ditandakan ..

Langkah 8: Membuat Dasar GPO Wireless 802.1x Vista (atau XP) (bahagian 2)


F) Klik pada Tab Keselamatan

Pastikan Pengesahan adalah "WPA2-Enterprise" dan Penyulitan adalah "AES).

Di bawah "Pilih kaedah pengesahan rangkaian, pilih" Microsoft: EAP Protected (PEAP).

Di bawah Mod Autentifikasi, anda perlu memilih sama ada anda ingin mengesahkan komputer dan / atau pengguna dengan pensijilan digital anda. Saya hanya mahu mengesahkan komputer dengan pensijilan (yang autoenrolled mengikut keahlian kumpulan AD) jadi memilih "Pengesahan Komputer".

G) Klik pada butang "sifat".

Tandakan "Mengesahkan sijil pelayan" dan kemudian tandakan "Sambung ke pelayan ini". Masukkan FQDN pelayan NPS di sini.

Kemudian di bawah Pihak Berkuasa Pensijilan Root Dipercayai, tandakan sijil Root CA anda. Kemudian klik OK.

H) Klik OK dua kali.

Pilihan:
I) Di bawah tab Kebenaran Rangkaian anda boleh menggunakan kotak semak untuk menyekat pelanggan ke rangkaian infrastruktur atau hanya GPO yang memaparkan rangkaian yang dibenarkan jika anda mahu.

J) klik OK dan anda telah mencipta Dasar Wireless Vista anda!

Langkah 9: Buat Dasar GPO Wireless 802.1x


Untuk mencipta Dasar XP ikuti tetapan yang sama seperti yang diterangkan oleh Vista pada 7 dan 8 di atas. Pilihan umum yang anda perlukan adalah sama, walaupun ia tidak membolehkan anda beberapa pilihan yang lebih maju yang membolehkan dasar Vista.

Langkah 10: Tetapkan GPO Tanpa Wayar ke Mesin OU anda

Pada masa itu, anda kini telah mengkonfigurasi NPS, Sijil, dan GPO tanpa wayar anda. Semua yang tersisa adalah untuk memberikan GPO anda kepada PC klien anda.

Di dalam Pengurusan Dasar Kumpulan klik kanan pada OU yang anda ingin menetapkan dasar tanpa wayar dan klik pada "Pautan GPO Sedia Ada ..."

Pilih GPO wayarles yang baru anda buat dan kemudian semak semula dasar kumpulan.

Tidak lama lagi ahli kumpulan wayarles anda yang dibuat di AD akan menjalankan dasar, mengambil tetapan, menyerahkan sijil komputer secara automatik, mengaitkan AP anda, mengesahkan terhadap pelayan NPS dan AD, dan akhirnya mengambil alamat IP dari DHCP anda pelayan.

Voila

(dan kemudian!)

Saya telah menulis How-To ini untuk membantu orang lain mendapatkan permulaan yang baik dalam mengkonfigurasi rangkaian tanpa wayar kelas enterprise yang menggunakan sijil digital dan pengesahan dan penyulitan yang kuat untuk melindungi rangkaian anda.

Ini kerja yang sedang berjalan, kerana sebahagian besar ini ditulis selepas saya benar-benar mengkonfigurasinya sehingga mungkin saya perlu mengubahnya berdasarkan maklum balas pengguna.

Di sini anda ingin melaksanakan yang berjaya

Tino