Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Jest to przewodnik towarzyszący do przewodnika "Sieć podstawowa systemu Windows Server® 2016". Przewodnik po sieci podstawowej zawiera instrukcje dotyczące planowania i wdrażania składników wymaganych dla w pełni działającej sieci i nowej domeny usługi Active Directory® w nowym lesie.
W tym przewodniku wyjaśniono, jak korzystać z sieci podstawowej, podając instrukcje dotyczące wdrażania institute of Electrical and Electronics Engineers (IEEE) 802.1X uwierzytelnionej w standardzie IEEE 802.11 dostępu bezprzewodowego przy użyciu chronionego protokołu uwierzytelniania rozszerzonego — Microsoft Challenge Handshake Authentication Protocol w wersji 2 (PEAP-MS-CHAP v2).
Ponieważ peAP-MS-CHAP v2 wymaga od użytkowników podania poświadczeń opartych na hasłach, a nie certyfikatu podczas procesu uwierzytelniania, wdrażanie jest zwykle łatwiejsze i tańsze niż EAP-TLS lub PEAP-TLS.
Note
W tym przewodniku IEEE 802.1X uwierzytelniony dostęp bezprzewodowy z PEAP-MS-CHAP v2 jest skracany do "dostępu bezprzewodowego" i "dostępu WiFi".
O tym przewodniku
Ten przewodnik, w połączeniu z przewodnikami wstępnymi opisanymi poniżej, zawiera instrukcje dotyczące wdrażania następującej infrastruktury dostępu do sieci Wi-Fi.
Jeden lub więcej punktów dostępowych bezprzewodowych obsługujących standard 802.1X i 802.11.
Użytkownicy i komputery usług Active Directory Domain Services (AD DS).
Zarządzanie zasadami grupy.
Co najmniej jeden serwer serwera zasad sieciowych (NPS).
Certyfikaty serwera dla komputerów z serwerem NPS.
Komputery klienckie bezprzewodowe z systemem Windows® 10, Windows 8.1 lub Windows 8.
Zależności tego przewodnika
Aby pomyślnie wdrożyć uwierzytelnioną sieć bezprzewodową zgodnie z tym przewodnikiem, musisz dysponować środowiskiem sieciowym i domenowym z wdrożonymi wszystkimi wymaganymi technologiami. Musisz również mieć wdrożone certyfikaty serwera na serwerach NPS, które dokonują uwierzytelniania.
Poniższe sekcje zawierają linki do dokumentacji, która pokazuje, jak wdrożyć te technologie.
Zależności środowiska sieciowego i domeny
Ten przewodnik jest przeznaczony dla administratorów sieci i systemu, którzy postępowali zgodnie z instrukcjami w Przewodniku po sieci podstawowej systemu Windows Server 2016 w celu wdrożenia sieci podstawowej lub dla tych, którzy wcześniej wdrożyli podstawowe technologie zawarte w sieci podstawowej, w tym usługi AD DS, systemu nazw domen (DNS), dynamicznego protokołu konfiguracji hosta (DHCP), TCP/IP, NpS i Usługa nazw internetowych systemu Windows (WINS).
Przewodnik po sieci podstawowej systemu Windows Server 2016 jest dostępny w bibliotece technicznej systemu Windows Server 2016.
Zależności certyfikatów serwera
Istnieją dwie dostępne opcje rejestrowania serwerów uwierzytelniania przy użyciu certyfikatów serwera do użycia z uwierzytelnianiem 802.1X — wdrażanie własnej infrastruktury kluczy publicznych przy użyciu usług certyfikatów Active Directory (AD CS) lub używanie certyfikatów serwera zarejestrowanych przez publiczny urząd certyfikacji (CA).
AD CS
Administratorzy sieci i systemu wdrażający uwierzytelnioną sieć bezprzewodową muszą postępować zgodnie z instrukcjami zawartymi w Przewodniku pomocniczym sieci podstawowej systemu Windows Server 2016, Wdrażanie certyfikatów serwera dla wdrożeń sieci przewodowych i bezprzewodowych 802.1X. W tym przewodniku opisano sposób wdrażania i używania usług AD CS do automatycznego wyrejestrowywania certyfikatów serwera na komputerach z uruchomionym serwerem NPS.
Ten przewodnik jest dostępny w następującej lokalizacji.
- Przewodnik pomocniczy po sieci podstawowej systemu Windows Server 2016 Wdrażanie certyfikatów serwera dla wdrożeń przewodowych i bezprzewodowych 802.1X w formacie HTML w bibliotece technicznej.
Publiczny urząd certyfikacji
Certyfikaty serwera można kupić z publicznego urzędu certyfikacji, takiego jak VeriSign, któremu komputery klienckie już ufają.
Komputer kliencki ufa urzędowi certyfikacji, gdy certyfikat urzędu certyfikacji jest zainstalowany w magazynie certyfikatów zaufanych głównych urzędów certyfikacji. Domyślnie komputery z systemem Windows mają wiele publicznych certyfikatów urzędów certyfikacji zainstalowanych w magazynie certyfikatów zaufanych głównych urzędów certyfikacji.
Zaleca się przejrzenie przewodników projektowania i wdrażania dla każdej technologii, które są używane w tym scenariuszu wdrażania. Te przewodniki mogą pomóc w ustaleniu, czy ten scenariusz wdrażania zapewnia usługi i konfigurację potrzebną dla sieci organizacji.
Requirements
Poniżej przedstawiono wymagania dotyczące wdrażania infrastruktury dostępu bezprzewodowego przy użyciu scenariusza opisanego w tym przewodniku:
Przed wdrożeniem tego scenariusza należy najpierw zakupić punkty dostępu bezprzewodowego z obsługą standardu 802.1X w celu zapewnienia zasięgu bezprzewodowego w żądanych lokalizacjach w danej lokacji. Dział planowania tego przewodnika pomaga w określeniu funkcji, które muszą obsługiwać twoje punkty dostępowe (APs).
Usługi Active Directory Domain Services (AD DS) są zainstalowane, podobnie jak inne wymagane technologie sieciowe, zgodnie z instrukcjami w Przewodniku po sieci podstawowej systemu Windows Server 2016.
Usługi AD CS są wdrażane, a certyfikaty serwera są rejestrowane na serwerach NPS. Te certyfikaty są wymagane podczas wdrażania metody uwierzytelniania opartej na certyfikatach PEAP-MS-CHAP w wersji 2, która jest używana w tym przewodniku.
Członek organizacji jest zaznajomiony ze standardami IEEE 802.11 obsługiwanymi przez dostawców dostępu bezprzewodowego oraz kart sieci bezprzewodowej zainstalowanych na komputerach klienckich i urządzeniach w sieci. Na przykład ktoś w twojej organizacji zna typy częstotliwości radiowych, 802.11 uwierzytelniania bezprzewodowego (WPA2 lub WPA) i szyfry (AES lub TKIP).
Co ten przewodnik nie zawiera
Poniżej przedstawiono niektóre elementy, których ten przewodnik nie zawiera:
Kompleksowe wskazówki dotyczące wybierania punktów dostępu bezprzewodowego z obsługą standardu 802.1X
Ponieważ istnieje wiele różnic między markami i modelami punktów dostępowych (AP) obsługujących 802.1X, ten przewodnik nie zawiera szczegółowych informacji na temat:
Określenie, która marka lub model bezprzewodowej AP najlepiej odpowiada Twoim potrzebom.
Fizyczne wdrażanie bezprzewodowych punktów dostępowych w sieci.
Zaawansowana konfiguracja bezprzewodowego ap, na przykład dla bezprzewodowych wirtualnych sieci lokalnych (VLAN).
Instrukcje dotyczące konfigurowania atrybutów specyficznych dla dostawcy sieci bezprzewodowej w usłudze NPS.
Ponadto terminologia i nazwy ustawień różnią się między markami i modelami bezprzewodowego ap, a także mogą nie być zgodne z ogólnymi nazwami ustawień używanymi w tym przewodniku. Aby uzyskać informacje o konfiguracji punktu dostępowego (AP), należy zapoznać się z dokumentacją produktu dostarczoną przez producenta punktu dostępowego.
Instrukcje dotyczące wdrażania certyfikatów serwera NPS
Istnieją dwie alternatywy dla wdrażania certyfikatów serwera NPS. Ten przewodnik nie zawiera kompleksowych wskazówek ułatwiających określenie, która alternatywa najlepiej spełni Twoje potrzeby. Ogólnie jednak dostępne są następujące opcje:
Kupowanie certyfikatów od publicznego urzędu certyfikacji, takiego jak VeriSign, które już są uznawane za zaufane przez klientów z systemem Windows. Ta opcja jest zwykle zalecana w przypadku mniejszych sieci.
Wdrażanie infrastruktury kluczy publicznych (PKI) w sieci przy użyciu usług AD CS. Jest to zalecane w przypadku większości sieci, a instrukcje dotyczące wdrażania certyfikatów serwera za pomocą usług AD CS są dostępne w poprzednim przewodniku wdrażania.
Zasady sieci serwera NPS i inne ustawienia serwera NPS
Z wyjątkiem ustawień konfiguracji wykonanych podczas uruchamiania Kreatora konfiguracji 802.1X , zgodnie z opisem w tym przewodniku, ten przewodnik nie zawiera szczegółowych informacji na temat ręcznego konfigurowania warunków, ograniczeń serwera NPS ani innych ustawień serwera NPS.
DHCP
Ten przewodnik wdrażania nie zawiera informacji o projektowaniu ani wdrażaniu podsieci DHCP dla sieci LAN bezprzewodowych.
Omówienie technologii
Poniżej przedstawiono omówienie technologii wdrażania dostępu bezprzewodowego:
IEEE 802.1X
Standard IEEE 802.1X definiuje opartą na portach kontrolę dostępu do sieci, która jest używana do zapewnienia uwierzytelnionej sieci dostępu do sieci Ethernet. Ta kontrola dostępu do sieci opartej na porcie używa fizycznych cech infrastruktury przełączonej sieci LAN do uwierzytelniania urządzeń dołączonych do portu SIECI LAN. Jeśli proces uwierzytelniania zakończy się niepowodzeniem, dostęp do portu może zostać odrzucony. Mimo że ten standard został zaprojektowany dla sieci przewodowych Ethernet, został dostosowany do użytku na 802.11 bezprzewodowych sieciACH LAN.
Punkty dostępu bezprzewodowego (AP) obsługujące 802.1X
Ten scenariusz wymaga wdrożenia co najmniej jednego punktu dostępowego bezprzewodowego z obsługą standardu 802.1X, który jest zgodny z protokołem Remote Authentication Dial-In User Service (RADIUS).
Adresy APs zgodne z protokołem RADIUS 802.1X, jeśli są wdrażane w infrastrukturze radius z serwerem RADIUS, takim jak serwer NPS, są nazywane klientami usługi RADIUS.
Klienci bezprzewodowi
Ten przewodnik zawiera szczegółowe informacje o konfiguracji umożliwiające dostarczanie uwierzytelnionego dostępu 802.1X dla użytkowników będących członkami domeny, którzy łączą się z siecią za pomocą bezprzewodowych komputerów klienckich z systemem Windows 10, Windows 8.1 i Windows 8. Komputery muszą być przyłączone do domeny w celu pomyślnego ustanowienia uwierzytelnionego dostępu.
Note
Można również użyć komputerów z systemem Windows Server 2016, Windows Server 2012 R2 i Windows Server 2012 jako klientów bezprzewodowych.
Obsługa standardów IEEE 802.11
Obsługiwane systemy operacyjne Windows i Windows Server zapewniają wbudowaną obsługę sieci bezprzewodowej 802.11. W tych systemach operacyjnych zainstalowana karta sieciowa 802.11 jest wyświetlana jako połączenie bezprzewodowe w Centrum sieci i udostępniania.
Chociaż istnieje wbudowana obsługa sieci bezprzewodowej 802.11, składniki bezprzewodowe systemu Windows są zależne od następujących:
Możliwości bezprzewodowej karty sieciowej. Zainstalowana karta sieci bezprzewodowej musi obsługiwać bezprzewodową sieć LAN lub standardy zabezpieczeń sieci bezprzewodowej, które są wymagane. Jeśli na przykład karta sieci bezprzewodowej nie obsługuje Wi-Fi chronionego dostępu (WPA), nie można włączyć ani skonfigurować opcji zabezpieczeń WPA.
Możliwości sterownika karty sieciowej bezprzewodowej. Aby umożliwić skonfigurowanie opcji sieci bezprzewodowej, sterownik dla karty sieciowej bezprzewodowej musi obsługiwać raportowanie wszystkich jego możliwości w systemie Windows. Sprawdź, czy sterownik karty sieciowej bezprzewodowej jest napisany pod kątem możliwości systemu operacyjnego. Upewnij się również, że sterownik jest najnowszą wersją, sprawdzając usługę Microsoft Update lub witrynę sieci Web dostawcy karty sieciowej sieci bezprzewodowej.
W poniższej tabeli przedstawiono częstotliwość transmisji i częstotliwości dla wspólnych standardów bezprzewodowych IEEE 802.11.
| Standards | Frequencies | Szybkość transmisji bitów | Usage |
|---|---|---|---|
| 802.11 | Zakres częstotliwości przemysłowych, naukowych i medycznych (ISM) z pasmem S-Band (od 2,4 do 2,5 GHz) | 2 megabity na sekundę (Mb/s) | Obsolete. Nie jest często używany. |
| 802.11b | S-Band ISM | 11 Mb/s | Często używane. |
| 802.11a | IsM z pasmem C (od 5,725 do 5,875 GHz) | 54 Mb/s | Nie jest często używany ze względu na wydatki i ograniczony zakres. |
| 802.11g | S-Band ISM | 54 Mb/s | Powszechnie używane. Urządzenia 802.11g są zgodne z urządzeniami 802.11b. |
| 802.11n \2.4 i 5.0 GHz | C-Band i S-Band ISM | 250 Mb/s | Urządzenia oparte na standardzie IEEE 802.11n przed ratyfikacją zostały udostępnione w sierpniu 2007 r. Wiele urządzeń 802.11n jest zgodnych z urządzeniami 802.11a, b i g. |
| 802.11ac | 5 GHz | 6,93 Gb/s | 802.11ac, zatwierdzony przez IEEE w 2014 r., jest bardziej skalowalny i szybszy niż 802.11n, i jest wdrażany tam, gdzie zarówno punkty dostępu, jak i klienci bezprzewodowi obsługują go. |
Metody zabezpieczeń sieci bezprzewodowej
Metody zabezpieczeń sieci bezprzewodowej to nieformalne grupowanie uwierzytelniania bezprzewodowego (czasami nazywane zabezpieczeniami bezprzewodowymi) i szyfrowanie zabezpieczeń bezprzewodowych. Uwierzytelnianie bezprzewodowe i szyfrowanie są używane w parach, aby uniemożliwić nieautoryzowanym użytkownikom dostęp do sieci bezprzewodowej i chronić transmisje bezprzewodowe.
Podczas konfigurowania ustawień zabezpieczeń sieci bezprzewodowej w grupowych zasadach sieci bezprzewodowej, istnieje wiele kombinacji do wyboru. Jednak tylko standardy uwierzytelniania WPA2-Enterprise, WPA-Enterprise i Open with 802.1X są obsługiwane w przypadku wdrożeń bezprzewodowych uwierzytelnionych 802.1X.
Note
Podczas konfigurowania zasad sieci bezprzewodowej, należy wybrać WPA2-Enterprise, WPA-Enterprise lub Otwórz z 802.1X , aby uzyskać dostęp do ustawień protokołu EAP, które są wymagane dla 802.1X uwierzytelnionych wdrożeń bezprzewodowych.
Uwierzytelnianie bezprzewodowe
Ten przewodnik zaleca stosowanie następujących standardów uwierzytelniania bezprzewodowego dla 802.1X uwierzytelnionych wdrożeń bezprzewodowych.
Wi-Fi Chroniony dostęp — przedsiębiorstwo (WPA-Enterprise) WPA to tymczasowy standard opracowany przez WiFi Alliance, który jest zgodny z protokołem zabezpieczeń bezprzewodowych 802.11. Protokół WPA został opracowany w odpowiedzi na szereg poważnych wad, które zostały odkryte w poprzednim protokole Wired Equivalent Privacy (WEP).
WPA-Enterprise zapewnia lepsze zabezpieczenia w porównaniu do WEP, oferując:
Wymaganie uwierzytelniania korzystającego z platformy EAP 802.1X w ramach infrastruktury, która zapewnia scentralizowane wzajemne uwierzytelnianie i dynamiczne zarządzanie kluczami
Zwiększanie wartości sprawdzania integralności (ICV) za pomocą kontroli integralności komunikatów (MIC) w celu ochrony nagłówka i ładunku
Implementowanie licznika ramek w celu zniechęcenia do ataków powtarzania
Wi-Fi Chroniony dostęp 2 — Enterprise (WPA2-Enterprise) Podobnie jak w przypadku standardu WPA-Enterprise, WPA2-Enterprise używa platformy 802.1X i EAP. WPA2-Enterprise zapewnia lepszą ochronę danych dla wielu użytkowników i dużych sieci zarządzanych. WPA2-Enterprise jest niezawodnym protokołem zaprojektowanym w celu zapobiegania nieautoryzowanemu dostępowi do sieci przez weryfikowanie użytkowników sieci za pośrednictwem serwera uwierzytelniania.
Szyfrowanie zabezpieczeń bezprzewodowych
Szyfrowanie zabezpieczeń sieci bezprzewodowej służy do ochrony transmisji bezprzewodowych, które są wysyłane między klientem bezprzewodowym i bezprzewodowej AP. Szyfrowanie zabezpieczeń sieci bezprzewodowej jest używane w połączeniu z wybraną metodą uwierzytelniania zabezpieczeń sieci. Domyślnie komputery z systemem Windows 10, Windows 8.1 i Windows 8 obsługują dwa standardy szyfrowania:
Protokół integralności klucza czasowego (TKIP) to starszy protokół szyfrowania, który został pierwotnie zaprojektowany w celu zapewnienia bezpieczniejszego szyfrowania bezprzewodowego niż to, co zostało dostarczone przez protokół WEP (Wired Equivalent Privacy). TKIP został zaprojektowany przez grupę zadaniową IEEE 802.11i oraz Wi-Fi Alliance, aby zastąpić WEP bez konieczności wymiany starszego sprzętu. TKIP to zestaw algorytmów, który hermetyzuje ładunek WEP i umożliwia użytkownikom starszego sprzętu Wi-Fi uaktualnienie do TKIP bez zastępowania sprzętu. Podobnie jak WEP, TKIP używa algorytmu szyfrowania strumienia RC4 jako jego podstawy. Jednak nowy protokół szyfruje każdy pakiet danych przy użyciu unikatowego klucza szyfrowania, a klucze są znacznie silniejsze niż te przez weP. Chociaż TKIP jest przydatny do uaktualniania zabezpieczeń na starszych urządzeniach, które zostały zaprojektowane do używania tylko WEP, nie rozwiązuje wszystkich problemów z zabezpieczeniami napotykanych bezprzewodowych sieci LAN, a w większości przypadków nie jest wystarczająco niezawodny, aby chronić poufne transmisje danych rządowych lub firmowych.
Advanced Encryption Standard (AES) jest preferowanym protokołem szyfrowania danych komercyjnych i rządowych. AES oferuje wyższy poziom zabezpieczeń transmisji bezprzewodowej niż TKIP lub WEP. W przeciwieństwie do TKIP i WEP, AES wymaga sprzętu bezprzewodowego, który obsługuje standard AES. AES to standard szyfrowania klucza symetrycznego, który używa trzech szyfrów blokowych, AES-128, AES-192 i AES-256.
W systemie Windows Server 2016 następujące metody szyfrowania bezprzewodowego oparte na AES są dostępne do konfiguracji we właściwościach profilu bezprzewodowego po wybraniu metody uwierzytelniania WPA2-Enterprise, która jest zalecana.
- AES-CCMP. Protokół CCMP (Counter Mode Cipher Block Chaining Message Authentication Protocol) implementuje standard 802.11i i jest przeznaczony do szyfrowania wyższego poziomu zabezpieczeń niż zapewniany przez WEP i używa 128-bitowych kluczy szyfrowania AES.
- AES-GCMP. Protokół GCMP (Galois Counter Mode Protocol) jest obsługiwany przez 802.11ac, jest bardziej wydajny niż AES-CCMP i zapewnia lepszą wydajność dla klientów bezprzewodowych. Protokół GCMP używa 256-bitowych kluczy szyfrowania AES.
Important
Wired Equivalent Privacy (WEP) był oryginalnym standardem zabezpieczeń bezprzewodowych używanym do szyfrowania ruchu sieciowego. Nie należy wdrażać weP w sieci, ponieważ istnieją dobrze znane luki w zabezpieczeniach w tej nieaktualnej formie zabezpieczeń.
Active Directory Domain Services (AD DS)
Usługi AD DS udostępniają rozproszoną bazę danych, która przechowuje i zarządza informacjami o zasobach sieciowych oraz danymi specyficznymi dla aplikacji z aplikacji obsługujących katalogi. Administratorzy mogą używać usługi AD DS do organizowania elementów sieci, takich jak użytkownicy, komputery i inne urządzenia, w struktury hierarchiczne. Hierarchiczna struktura zawiera las usługi Active Directory, domeny w lesie i jednostki organizacyjne w każdej domenie. Serwer z uruchomionymi usługami AD DS jest nazywany kontrolerem domeny.
Usługi AD DS zawierają konta użytkowników, konta komputerów i właściwości konta, które są wymagane przez IEEE 802.1X i PEAP-MS-CHAP v2 do uwierzytelniania poświadczeń użytkownika i oceny autoryzacji dla połączeń bezprzewodowych.
Użytkownicy i komputery usługi Active Directory
Użytkownicy i komputery usługi Active Directory to składnik usług AD DS, który zawiera konta reprezentujące jednostki fizyczne, takie jak komputer, osoba lub grupa zabezpieczeń. Grupa zabezpieczeń to kolekcja kont użytkowników lub komputerów, którymi administratorzy mogą zarządzać jako pojedyncza jednostka. Konta użytkowników i komputerów należących do określonej grupy są określane jako członkowie grupy.
Zarządzanie zasadami grupy
Zarządzanie zasadami grupy umożliwia oparte na katalogach zarządzanie zmianami i konfiguracją ustawień użytkownika i komputera, w tym zabezpieczeń i informacji o użytkowniku. Zasady grupy służą do definiowania konfiguracji dla grup użytkowników i komputerów. Za pomocą zasad grupy można określić ustawienia dla wpisów rejestru, zabezpieczeń, instalacji oprogramowania, skryptów, przekierowania folderów, usług instalacji zdalnej i konserwacji programu Internet Explorer. Utworzone ustawienia zasad grupy znajdują się w obiekcie zasad grupy (GPO). Kojarząc obiekt zasad grupy z wybranymi kontenerami systemu usługi Active Directory — lokacjami, domenami i jednostkami organizacyjnymi — można zastosować ustawienia obiektu zasad grupy do użytkowników i komputerów w tych kontenerach usługi Active Directory. Aby zarządzać obiektami zasad grupy w przedsiębiorstwie, możesz użyć Edytora zarządzania zasadami grupy Microsoft Management Console (MMC).
Ten przewodnik zawiera szczegółowe instrukcje dotyczące sposobu określania ustawień w rozszerzeniu zasad sieci bezprzewodowej (IEEE 802.11) w zarządzaniu zasadami grupy. Zasady sieci bezprzewodowej (IEEE 802.11) konfigurują klienckie komputery należące do domeny z niezbędnymi ustawieniami łączności i bezprzewodowymi dla uwierzytelnionego dostępu bezprzewodowego 802.1X.
Certyfikaty serwera
Ten scenariusz wdrażania wymaga certyfikatów serwera dla każdego serwera NPS, który wykonuje uwierzytelnianie 802.1X.
Certyfikat serwera to dokument cyfrowy, który jest często używany do uwierzytelniania i zabezpieczania informacji w otwartych sieciach. Certyfikat bezpiecznie wiąże klucz publiczny z jednostką, która przechowuje odpowiedni klucz prywatny. Certyfikaty są podpisywane cyfrowo przez urząd wystawiający certyfikaty i mogą być wystawiane dla użytkownika, komputera lub usługi.
Urząd certyfikacji (CA) jest podmiotem odpowiedzialnym za ustanawianie i poświadczanie autentyczności kluczy publicznych należących do podmiotów (zazwyczaj użytkowników lub komputerów) lub innych urzędów certyfikacji. Działania urzędu certyfikacji mogą obejmować powiązanie kluczy publicznych z nazwami wyróżniającymi się za pomocą podpisanych certyfikatów, zarządzanie numerami seryjnymi certyfikatów i odwoływanie certyfikatów.
Usługi certyfikatów Active Directory (AD CS) to rola serwera, która wystawia certyfikaty jako urząd certyfikacji sieci. Infrastruktura certyfikatów usług AD CS, znana również jako infrastruktura kluczy publicznych (PKI), udostępnia usługi dostosowywalne do wystawiania certyfikatów dla przedsiębiorstwa i zarządzania nimi.
EAP, PEAP i PEAP-MS-CHAP v2
Protokół EAP (Extensible Authentication Protocol) rozszerza protokół POINT-to-Point (PPP), umożliwiając dodatkowe metody uwierzytelniania korzystające z wymiany poświadczeń i informacji o dowolnych długościach. W przypadku uwierzytelniania protokołem EAP zarówno klient dostępu do sieci, jak i uwierzytelniacz (taki jak serwer NPS) muszą obsługiwać ten sam typ EAP w celu pomyślnego uwierzytelnienia. System Windows Server 2016 zawiera infrastrukturę protokołu EAP, obsługuje dwa typy protokołu EAP i możliwość przekazywania komunikatów protokołu EAP do serwerów NPS. Korzystając z protokołu EAP, można obsługiwać dodatkowe schematy uwierzytelniania, znane jako typy protokołu EAP. Typy protokołu EAP obsługiwane przez system Windows Server 2016 to:
Bezpieczeństwo warstwy transportowej (TLS)
Protokół Uwierzytelnienia poprzez Wyzwanie-Ręczny Uścisk dłoni firmy Microsoft w wersji 2 (MS-CHAP v2)
Important
Silne typy protokołu EAP (takie jak te oparte na certyfikatach) oferują lepsze zabezpieczenia przed atakami siłowymi, atakami słownikowymi i atakami zgadywania haseł niż protokoły uwierzytelniania oparte na hasłach (takie jak protokół CHAP lub MS-CHAP wersja 1).
Chroniony protokół EAP (PEAP) używa protokołu TLS do utworzenia szyfrowanego kanału między uwierzytelniającym klientem PEAP, takim jak komputer bezprzewodowy, oraz wystawcą uwierzytelnienia PEAP, takim jak serwer NPS lub inne serwery RADIUS. Protokół PEAP nie określa metody uwierzytelniania, ale zapewnia dodatkowe zabezpieczenia dla innych protokołów uwierzytelniania protokołu EAP (takich jak EAP-MS-CHAP v2), które mogą działać za pośrednictwem szyfrowanego kanału TLS dostarczonego przez protokół PEAP. Protokół PEAP jest używany jako metoda uwierzytelniania dla klientów dostępu, którzy łączą się z siecią organizacji za pośrednictwem następujących typów serwerów dostępu do sieci (NAS):
Punkty dostępu bezprzewodowego obsługujące 802.1X
Przełączniki uwierzytelniania z obsługą technologii 802.1X
Komputery z systemem Windows Server 2016 i usługą dostępu zdalnego (RAS), które są skonfigurowane jako serwery wirtualnej sieci prywatnej (VPN), serwery funkcji DirectAccess lub oba te serwery
Komputery z systemem Windows Server 2016 i usług pulpitu zdalnego
PEAP —MS-CHAP w wersji 2 jest łatwiej wdrażać niż EAP-TLS, ponieważ uwierzytelnianie użytkowników odbywa się przy użyciu poświadczeń opartych na hasłach (nazwy użytkownika i hasła), zamiast certyfikatów lub kart inteligentnych. Tylko serwery NPS lub inne serwery RADIUS są wymagane do posiadania certyfikatu. Certyfikat serwera NPS jest używany przez serwer NPS podczas procesu uwierzytelniania w celu potwierdzenia tożsamości klientom PEAP.
Ten przewodnik zawiera instrukcje dotyczące konfigurowania klientów bezprzewodowych i serwerów NPS do korzystania z PEAP-MS-CHAP v2 do uwierzytelnionego dostępu 802.1X.
Serwer zasad sieciowych
Serwer zasad sieciowych (NPS) umożliwia centralne konfigurowanie zasad sieciowych i zarządzanie nimi przy użyciu serwera usługi RADIUS (Remote Authentication Dial-In User Service) i serwera proxy usługi RADIUS. Serwer NPS jest wymagany podczas wdrażania dostępu bezprzewodowego 802.1X.
Podczas konfigurowania punktów dostępu bezprzewodowego 802.1X jako klientów RADIUS w serwerze NPS, serwer NPS przetwarza żądania połączeń wysyłane przez te punkty dostępu. Podczas przetwarzania żądań połączenia serwer NPS wykonuje uwierzytelnianie i autoryzację. Uwierzytelnianie określa, czy klient przedstawił prawidłowe poświadczenia. Jeśli serwer NPS pomyślnie uwierzytelnia klienta żądającego, serwer NPS określa, czy klient jest autoryzowany do nawiązywania żądanego połączenia, i zezwala na połączenie lub go odrzuca. Jest to bardziej szczegółowo wyjaśnione w następujący sposób:
Authentication
Pomyślne wzajemne uwierzytelnianie PEAP-MS-CHAP w wersji 2 ma dwie główne części:
Klient uwierzytelnia serwer NPS. W tej fazie wzajemnego uwierzytelniania NPS wysyła certyfikat serwera do komputera klienckiego, aby klient mógł zweryfikować tożsamość NPS przy użyciu certyfikatu. Aby pomyślnie uwierzytelnić serwer NPS, komputer kliencki musi ufać urzędowi certyfikacji, który wystawił certyfikat serwera NPS. Klient darzy zaufaniem ten urząd certyfikacji, gdy certyfikat urzędu znajduje się w repozytorium certyfikatów zaufanych głównych urzędów certyfikacji na komputerze klienta.
W przypadku wdrożenia własnego prywatnego urzędu certyfikacji certyfikat CA jest automatycznie instalowany w magazynie certyfikatów zaufanych głównych urzędów certyfikacji dla bieżącego użytkownika i komputera lokalnego po odświeżeniu zasad grupy na komputerze będącym członkiem domeny. Jeśli zdecydujesz się wdrażać certyfikaty serwerowe wydane przez publiczny urząd certyfikacji, upewnij się, że certyfikat publicznego urzędu certyfikacji znajduje się już w magazynie certyfikatów zaufanych głównych urzędów certyfikacji.
Serwer NPS uwierzytelnia użytkownika. Po pomyślnym uwierzytelnieniu serwera NPS klient wysyła poświadczenia oparte na hasłach użytkownika do serwera NPS, który weryfikuje poświadczenia użytkownika względem bazy danych kont użytkowników w usługach Active Directory Domain Services (AD DS).
Jeśli poświadczenia są prawidłowe i uwierzytelnianie powiedzie się, serwer NPS rozpoczyna fazę autoryzacji przetwarzania żądania połączenia. Jeśli poświadczenia są nieprawidłowe i uwierzytelnianie zakończy się niepowodzeniem, serwer NPS wysyła komunikat Odmowa dostępu i żądanie połączenia zostanie odrzucone.
Authorization
Serwer z uruchomionym serwerem NPS wykonuje autoryzację w następujący sposób:
Usługa NPS sprawdza ograniczenia we właściwościach dostępu zdalnego konta użytkownika lub komputera w usługach Active Directory Domain Services. Każde konto użytkownika i komputera w usłudze Active Directory Użytkownicy i komputery zawiera wiele właściwości, w tym tych znajdujących się na karcie Wybieranie numerów . Na tej karcie w obszarze Uprawnienia dostępu do sieci, jeśli wartość to Zezwalaj na dostęp, użytkownik lub komputer jest autoryzowany do łączenia się z siecią. Jeśli wartość to Odmowa dostępu, użytkownik lub komputer nie ma autoryzacji do nawiązywania połączenia z siecią. Jeśli wartość to Kontrola dostępu za pomocą zasad sieciowych nps, serwer NPS ocenia skonfigurowane zasady sieciowe w celu określenia, czy użytkownik lub komputer ma uprawnienia do łączenia się z siecią.
Serwer zasad sieciowych przetwarza następnie zasady sieciowe, aby znaleźć zasady zgodne z żądaniem połączenia. W przypadku znalezienia pasującej polisy serwer NPS udziela lub odrzuca połączenie na podstawie konfiguracji tej polisy.
Jeśli zarówno uwierzytelnianie, jak i autoryzacja zakończy się pomyślnie, a zgodne zasady sieciowe udzielają dostępu, serwer NPS udziela dostępu do sieci, a użytkownik i komputer mogą łączyć się z zasobami sieciowymi, dla których mają uprawnienia.
Note
Aby wdrożyć dostęp bezprzewodowy, należy skonfigurować zasady serwera NPS. Ten przewodnik zawiera instrukcje dotyczące używania Kreatora konfiguracji 802.1X w serwerze NPS do tworzenia zasad NPS na potrzeby uwierzytelnianego przez 802.1X dostępu bezprzewodowego.
Profile uruchamiania
W sieciach bezprzewodowych uwierzytelnionych w standardzie 802.1X klienci bezprzewodowi muszą podać poświadczenia zabezpieczeń uwierzytelnione przez serwer RADIUS w celu nawiązania połączenia z siecią. W przypadku protokołu chronionego EAP [PEAP]-Microsoft Challenge Handshake Authentication Protocol w wersji 2 [MS-CHAP v2], poświadczenia zabezpieczeń to nazwa użytkownika i hasło. W przypadku protokołu EAP-Transport Layer Security [TLS] lub PEAP-TLS poświadczenia zabezpieczeń to certyfikaty, takie jak certyfikaty użytkownika i komputera klienta lub karty inteligentne.
Podczas nawiązywania połączenia z siecią skonfigurowaną do wykonywania protokołu PEAP-MS-CHAP v2, PEAP-TLS lub uwierzytelniania EAP-TLS domyślnie klienci bezprzewodowi systemu Windows muszą również zweryfikować certyfikat komputera wysyłany przez serwer RADIUS. Certyfikat komputera wysyłany przez serwer RADIUS dla każdej sesji uwierzytelniania jest często określany jako certyfikat serwera.
Jak wspomniano wcześniej, można wystawiać certyfikat serwera dla serwerów RADIUS na jeden z dwóch sposobów: z komercyjnego urzędu certyfikacji (takiego jak VeriSign, Inc.) lub z prywatnego urzędu certyfikacji, który wdrożysz w swojej sieci. Jeśli serwer RADIUS wysyła certyfikat komputera wystawiony przez komercyjny urząd certyfikacji, który ma już certyfikat główny zainstalowany w magazynie certyfikatów zaufanych głównych urzędów certyfikacji klienta, klient bezprzewodowy może zweryfikować certyfikat komputera serwera RADIUS, niezależnie od tego, czy klient bezprzewodowy dołączył do domeny usługi Active Directory. W takim przypadku klient bezprzewodowy może połączyć się z siecią bezprzewodową, a następnie można dołączyć komputer do domeny.
Note
Zachowanie wymagające weryfikacji certyfikatu serwera przez klienta może zostać wyłączone, ale wyłączenie weryfikacji certyfikatu serwera nie jest zalecane w środowiskach produkcyjnych.
Profile ładowania bezprzewodowego są profilami tymczasowymi, które są skonfigurowane w taki sposób, aby umożliwić użytkownikom bezprzewodowej nawiązywanie połączenia z siecią bezprzewodową uwierzytelnianą 802.1X przed przyłączeniem komputera do domeny i/lub zanim użytkownik pomyślnie zalogował się do domeny przy użyciu danego komputera bezprzewodowego po raz pierwszy. W tej sekcji podsumowano, jaki problem występuje podczas próby przyłączenia komputera bezprzewodowego do domeny, lub dla użytkownika do korzystania z komputera bezprzewodowego przyłączonego do domeny po raz pierwszy, aby zalogować się do domeny.
W przypadku wdrożeń, w których użytkownik lub administrator IT nie może fizycznie połączyć komputera z siecią przewodową Ethernet w celu przyłączenia komputera do domeny, a komputer nie ma wymaganego certyfikatu głównego urzędu certyfikacji zainstalowanego w magazynie certyfikatów zaufanych głównych urzędów certyfikacji, można skonfigurować klientów sieci bezprzewodowej z tymczasowym profilem połączenia bezprzewodowego, który nazywany jest profilem bootstrap, aby nawiązać połączenie z siecią bezprzewodową.
Profil uruchamiania usuwa wymaganie weryfikacji certyfikatu komputera serwera RADIUS. Ta tymczasowa konfiguracja umożliwia użytkownikowi bezprzewodowemu dołączenie komputera do domeny, w momencie czego stosowane są zasady sieci bezprzewodowej (IEEE 802.11) i odpowiedni certyfikat głównego urzędu certyfikacji jest automatycznie instalowany na komputerze.
Po zastosowaniu zasad grupy, na komputerze stosowany jest co najmniej jeden profil połączenia bezprzewodowego, który wymusza konieczność wzajemnego uwierzytelniania, więc profil bootstrap nie jest już wymagany i zostaje usunięty. Po dołączeniu komputera do domeny i ponownym uruchomieniu komputera użytkownik może użyć połączenia bezprzewodowego, aby zalogować się do domeny.
Aby zapoznać się z omówieniem procesu wdrażania dostępu bezprzewodowego przy użyciu tych technologii, zobacz Omówienie wdrażania dostępu bezprzewodowego.