Einrichten eines drahtlosen WPA2-EAP-Netzwerks mithilfe von Network Policy Server (NPS), AD und Gruppenrichtlinien - Wie Man

Einrichten eines drahtlosen WPA2-EAP-Netzwerks mithilfe von Network Policy Server (NPS), AD und Gruppenrichtlinien

Ich habe kürzlich mein drahtloses Netzwerk von RADIUS / IAS unter Windows 2003 mit PKI auf Windows 2008 R2 migriert. Es dauerte eine Weile, bis ich der Sache auf den Grund gegangen bin, also dachte ich, ich würde ein How-To schreiben, um anderen zu helfen.

Bedarf:

# Ein oder mehrere 802.1X-fähige 802.11 Wireless Access Points (APs).

# Active Directory mit Gruppenrichtlinie

# Ein oder mehrere Network Policy Server (NPS) -Server.

# Active Directory-Zertifikatdienste-basierte PKI für Serverzertifikate für NPS-Computer und drahtlose PCs

Annahmen:

Bei diesem Verfahren wird davon ausgegangen, dass Sie über Kenntnisse zum Einrichten Ihrer drahtlosen Zugangspunkte und zum Installieren von Serverrollen verfügen. Es wird außerdem davon ausgegangen, dass Sie bereits eine Enterprise-PKI in Ihrer Active Directory-Domäne eingerichtet haben (HINWEIS Enteprise PKI für Windows erfordert eine Kopie der Enterprise Edition des Windows Server-Betriebssystems.)

10 Schritte insgesamt

Schritt 1: Konfigurieren Sie Ihre drahtlosen Zugangspunkte


Ich habe Zugriffspunkte der Cisco 1200-Serie, auf denen IOS 12.3 JED (oder ähnliches) ausgeführt wird. Ich habe diese Zugangspunkte eingerichtet für:

1) Senden Sie die SSID
2) Verwenden Sie AES-CCM Cipher zur Verschlüsselung
3) Verwenden Sie WPA2 (obligatorisch)
4) Verwenden Sie das native vlan.
5) Richten Sie ein gemeinsames Geheimnis ein, das Sie mit dem NPS Radius-Server verwenden möchten.

Mit TKIP als knackbar belichtet:

http://www.andybrain.com/qna/2009/08/30/tkip-wireless-encryption-hat-been-cracked-use-wpa2-aes-encryption-instead/

Ich empfehle die Verwendung von WPA2-EAP mit AES als Verschlüsselungsverschlüsselung. In der Anlage sehen Sie ein Bild mit einer Zusammenfassung meiner Cisco-Einstellungen:

Schritt 2: Installieren Sie NPS auf Ihrem Server

Öffnen Sie unter Windows 2008 oder 2008 R2 den Server Manager und:

1) Fügen Sie die Rolle "Network Policy and Access Services" hinzu

Unter Rollendienste hinzufügen:

* Netzwerkrichtlinienserver
* Routing- und RAS-Dienste

Wenn Sie den Netzwerkzugriffsschutz nicht für Quarantäne und Netzwerküberprüfungen verwenden möchten, stören Sie sich nicht bei den anderen.

Schritt 3: Richten Sie Radius Clients auf dem NPS ein


Öffnen Sie die NPS-Konsole. Klicken Sie mit der rechten Maustaste auf "Radius Clients" und anschließend auf "Neu".

Füllen Sie die Felder für den Anzeigenamen und die Adresse aus und fügen Sie dann das von Ihnen konfigurierte gemeinsame Geheimnis für Ihren Zugangspunkt hinzu.

Im Anhang sehen Sie ein Bild der Dateien, die Sie ausfüllen müssen.

Schritt 4: Konfigurieren Sie 802.1x auf dem NPS-Server (Teil 1).


Öffnen Sie im Server-Manager "Rollen", dann "Netzwerkrichtlinien- und Zugriffsdienste" und klicken Sie dann auf "NPS (Local)".

Wählen Sie im rechten Bereich unter Standardkonfiguration "Radius Server für drahtlose oder kabelgebundene 802.1x-Verbindungen" und klicken Sie auf "802.1X konfigurieren", um eine assistentenbasierte Konfiguration zu starten.

Siehe Anhang

Schritt 5: Konfigurieren Sie 802.1x auf dem NPS-Server (Teil 2), THE WIZARD :)

1. Wählen Sie das obere Optionsfeld "Sichere drahtlose Verbindungen" und klicken Sie auf "Weiter"

2. Überprüfen Sie auf der Seite 802.1X-Optionen angeben, welche APs Sie unter Radius Clients konfiguriert haben, und klicken Sie dann auf Weiter.

3. Nun die Authentifizierungsmethode. Wählen Sie aus der Dropdown-Liste die Methode aus, die Sie verwenden möchten. Hier verwende ich Microsoft: Protected EAP (PEAP).

HINWEIS: Diese Methode erfordert ein Computerzertifikat und den Radius Server sowie ein Computer- oder Benutzerzertifikat auf dem Clientcomputer. Deshalb müssen Sie eine Domain-PKI verwenden :)

4. Wählen Sie die Gruppen aus, denen Sie den drahtlosen Zugriff gewähren möchten. Sie können dies vom Benutzer oder vom Computer oder von beiden machen. (Wenn Sie sie nicht in AD eingerichtet haben, gehen Sie zu diesem Schritt zurück! :))

5. Wenn Sie VLan's im nächsten Schritt einrichten müssen. Da ich das Standard-Vlan verwende, musste ich hier nichts tun.

6. Anschließend müssen Sie den Server bei Active Directory registrieren. Klicken Sie mit der rechten Maustaste auf NPS (local) und wählen Sie Server in Active Directory registrieren.

Sie sollten jetzt über eine Verbindungsanforderungsrichtlinie und eine Netzwerkrichtlinie verfügen. Als optionaler Schritt, wenn Sie über XP-Clients verfügen oder später, möchten Sie möglicherweise die Authentifizierungsmethode MS-CHAP v1) aus der Netzwerkrichtlinie entfernen (auf der Registerkarte "Einschränkungen").

Schritt 6: Richten Sie die automatische Registrierung des Zertifikats ein

Öffnen Sie die Gruppenrichtlinienverwaltung.

1) Erstellen Sie eine neue GPO-Richtlinie und benennen Sie sie entsprechend.
2) Im Rahmen des Sicherheitsbereichs für das Filtern, für den die Richtlinie angewendet wird, um "Authentifizierte Benutzer" zu entfernen und Ihre von AD erstellten Benutzer- und / oder Computergruppen hinzuzufügen. Dadurch wird sichergestellt, dass die einmal konfigurierte Richtlinie nur auf Mitglieder dieser Gruppen angewendet wird.

3) Bearbeiten Sie die Einstellungen der Gruppenrichtlinie und gehen Sie zu:

A) Computerkonfiguration Richtlinien Windows-Einstellungen Sicherheitseinstellungen Richtlinien für öffentliche Schlüssel

Klicken Sie im Detailbereich mit der rechten Maustaste auf Certificate Services Client - Automatische Registrierung, und wählen Sie dann Eigenschaften aus.

Wählen Sie im Dialogfeld "Eigenschaften" die Option "Aktiviert" aus, und aktivieren Sie dann die anderen Kontrollkästchen. Dadurch wird sichergestellt, dass der Computer automatisch ein Zertifikat von ADCS registriert.

B) Navigieren Sie nun zu Computerkonfiguration Richtlinien Windows-Einstellungen Sicherheitseinstellungen Richtlinien für öffentliche Schlüssel Einstellungen für automatische Zertifikatanforderung.

Klicken Sie mit der rechten Maustaste in den Detailbereich und wählen Sie Neu> Automatische Zertifikatanforderung.

Daraufhin wird ein Assistent geöffnet, und Sie können ein Computerzertifikat auswählen.

Schritt 7: Erstellen einer Vista-GPO-Richtlinie für Vista (oder XP) (802.1x) (Teil 1)


A) Gehen Sie jetzt zu Computerkonfiguration Richtlinien Windows-Einstellungen Sicherheitseinstellungen Richtlinien für Drahtlosnetzwerke (IEEE 802.11)

Klicken Sie mit der rechten Maustaste und Erstellen Sie eine neue Richtlinie für Windows Vista und höher (wenn Sie nur XP-Computer haben, machen Sie nur einen XP-Computer). Wenn Sie über Vista verfügen, müssen Sie eine Vista-Richtlinie ausführen. Andernfalls versucht Vista, die XP-Richtlinie zu verwenden (nicht empfohlen).

B) Geben Sie einen Richtliniennamen und eine Beschreibung ein.

C) Klicken Sie auf "Hinzufügen", geben Sie einen Profilnamen ein und fügen Sie dann den SSID-Namen von den drahtlosen Zugangspunkten hinzu. Vergewissern Sie sich, dass das Kontrollkästchen "Automatisch verbinden, wenn sich dieses Netzwerk in Reichweite befindet" aktiviert ist.

Schritt 8: Erstellen einer Vista-GPO-Richtlinie für Vista (oder XP) für 802.1x (Teil 2)


F) Klicken Sie auf die Registerkarte Sicherheit

Stellen Sie sicher, dass die Authentifizierung "WPA2-Enterprise" und die Verschlüsselung "AES" ist.

Wählen Sie unter "Wählen Sie eine Netzwerkauthentifizierungsmethode aus" Microsoft aus: Protected EAP (PEAP).

Im Authentifizierungsmodus müssen Sie auswählen, ob Sie Computer und / oder Benutzer mit Ihren digitalen Zertifikaten authentifizieren möchten. Ich wollte den Computer nur mit einem Zertifikat authentifizieren (das gemäß der AD-Gruppenmitgliedschaft automatisch registriert wird). Wählen Sie daher "Computer Authentication".

G) Klicken Sie auf die Schaltfläche "Eigenschaften".

Aktivieren Sie "Serverzertifikat überprüfen" und anschließend "Mit diesen Servern verbinden". Geben Sie hier den vollqualifizierten Domänennamen des NPS-Servers ein.

Aktivieren Sie anschließend unter "Vertrauenswürdige Stammzertifizierungsstelle" das Zertifikat der Stammzertifizierungsstelle. Klicken Sie dann auf OK.

H) Klicken Sie zweimal auf OK.

Wahlweise:
I) Auf der Registerkarte Netzwerkberechtigung können Sie die Kontrollkästchen verwenden, um Clients auf Infrastrukturnetzwerke oder nur GPO-Profil-erlaubte Netzwerke zu beschränken, wenn Sie dies wünschen.

J) Klicken Sie auf OK und Sie haben Ihre Vista Wireless-Richtlinie erstellt!

Schritt 9: Erstellen Sie eine XP-Richtlinie für Wireless 802.1x-GPO


Um eine XP-Richtlinie zu erstellen, folgen Sie den gleichen Einstellungen wie die unter 7 und 8 beschriebenen. Die allgemeinen Optionen, die Sie benötigen, sind die gleichen, obwohl Sie einige der erweiterten Optionen der Vista-Richtlinie nicht zulassen.

Schritt 10: Weisen Sie das drahtlose Gruppenrichtlinienobjekt Ihren Maschinen-Organisationseinheiten zu

Jetzt haben Sie also NPS, Zertifikate und Ihre drahtlosen Gruppenrichtlinienobjekte konfiguriert. Jetzt müssen Sie nur noch Ihre GPOs Ihren Client-PCs zuweisen.

Klicken Sie in der Gruppenrichtlinienverwaltung mit der rechten Maustaste auf die Organisationseinheit, der Sie die Drahtlosrichtlinie zuweisen möchten, und klicken Sie auf "Vorhandenes Gruppenrichtlinienobjekt verknüpfen ...".

Wählen Sie das soeben erstellte drahtlose Gruppenrichtlinienobjekt aus und aktualisieren Sie die Gruppenrichtlinie.

In Kürze führen die in AD erstellten Mitglieder Ihrer WLAN-Gruppe die Richtlinie aus, nehmen die Einstellungen ab, registrieren das Computerzertifikat automatisch, ordnen sich Ihrem AP zu, authentifizieren sich beim NPS-Server und bei AD und erhalten schließlich eine IP-Adresse von Ihrem DHCP Server.

Voila

(und puh!)

Ich habe dieses How-To geschrieben, um anderen einen Vorsprung bei der Konfiguration eines sicheren drahtlosen Netzwerks der Unternehmensklasse zu ermöglichen, das digitale Zertifikate und eine starke Authentifizierung und Verschlüsselung zum Schutz Ihres Netzwerks verwendet.

Es ist eine Arbeit in Arbeit, da das meiste davon geschrieben wurde, nachdem ich es tatsächlich konfiguriert habe. Daher ist es machbar, dass ich es möglicherweise basierend auf dem Feedback der Benutzer überarbeiten muss.

Hier wünschen wir Ihnen eine erfolgreiche Umsetzung

Tino