Ce module vous explique dans les détails comment implémenter la sécurité d'un réseau local sans fil : configuration des groupes bases sur le service d'annuaire Microsoft® Active Directory®, déploiement de certificats X.509 pour réseau local sans fil, modification des paramètres de serveur Microsoft IAS (Internet Authentication Server), déploiement de stratégie de groupe de réseau local sans fil et astuces de configuration de points d'accès sans fil (AP). Il vous donne tous les paramètres requis pour l'implémentation de réseaux locaux sans fil sécurisés basés sur 802.1X et EAP-TLS (Extensible Authentication Protocol-Transport Layer Security).
Ce module décrit la méthodologie et la procédure à suivre pour implémenter la sécurité d'un réseau local sans fil à l'aide de 802.1X. Vous pouvez adapter cette méthodologie à votre propre organisation. La procédure donnée est modulaire, et vous montre comment mettre la méthodologie en pratique.
Pour tirer le meilleur parti de ce module :
Lisez le module « Conception de la sécurité du réseau local sans fil à l'aide de 802.1X » du guide de planification. Cela vous aidera à comprendre les concepts principaux d'une implémentation 802.1X.
Consultez le chapitre « Deploying a Wireless LAN » du Kit de déploiement de Microsoft Windows Server 2003. Il contient des conseils de déploiement pour un certain nombre de scénarios n'entrant pas dans ce guide de mise en réseau sans fil sécurisée, mais affectant les décisions de conception. Le kit complet est disponible à l'adresse
http://www.microsoft.com/windowsserver2003/techinfo/reskit/deploykit.mspx.
Servez-vous de la feuille de préparation de réseau local sans fil 802.1X se trouvant au début de ce guide pour établir une liste de contrôle des paramètres de configuration de la solution.
La figure 1 illustre, à haut niveau, le processus d'implémentation de la sécurité d'un réseau local sans fil à l'aide de 802.1X détaillé dans ce module.
Figure 1
Diagramme du processus de configuration de l'infrastructure 802.1X
La liste qui suit vous donne une description à haut niveau des principales sections de ce module.
Feuille de préparation de réseau local sans fil 802.1X WLAN : répertorie les informations de configuration utilisées dans ce module pour la configuration des divers composants du réseau local sans fil 802.1X. Cette feuille de préparation inclut un tableau décrivant les informations que vous devez fournir avant de commencer l'implémentation de ce module.
Préparation de l'environnement pour un réseau local sans fil sécurisé : décrit la préparation de groupes de sécurité Active Directory nécessaire pour la configuration et la gestion du réseau local sans fil 802.1X à long terme. Des recommandations concernant le protocole DHCP (Dynamic Host Configuration Protocol) sont également fournies.
Configuration et déploiement de certificats d'authentification de réseaux locaux sans fil : couvre la création et le déploiement des modèles de certificats X.509 requis pour les authentifications de réseaux locaux sans fil 802.1X. La vérification du déploiement est également incluse.
Configuration de l'infrastructure d'accès au réseau local sans fil : détaille la création et la configuration d'une stratégie d'accès à distance IAS pour la mise en réseau 802.1X et EAP-TLS. L'ajout de points d'accès sans fil en tant que clients RADIUS (Remote Authentication Dial-In User Service) est également couvert.
Activation d'utilisateurs et d'ordinateurs pour les réseaux locaux sans fil sécurisés : couvre la configuration des permissions d'utilisateurs et d'ordinateurs réalisées sous Active Directory pour autoriser l'accès aux réseaux locaux sans fil sécurisés. Cette section détaille en outre les étapes permettant de créer et de déployer une stratégie de groupe basée sur Active Directory pour configurer des clients de réseaux locaux sans fil avec des paramètres 802.1X et 802.11 adaptés.
Configuration de points d'accès sans fil pour la mise en réseau 802.1X : répertorie les éléments devant être pris en considération pour la configuration de points d'accès sans fil pour la mise en réseau 802.1X.
Test et vérification : procédure vous permettant de tester la fonctionnalité du réseau local sans fil 802.1X.
Feuille de préparation de réseau local sans fil 802.1X
Les tableaux ci-dessous répertorient les paramètres de configuration utilisés dans cette solution. Servez-vous en comme liste de contrôle pour vos décisions de planification.
Bon nombre des paramètres de ces tableaux sont configurés manuellement, dans le cadre de la procédure documentée dans ce module. La plupart sont configurés par un script exécuté dans le cadre de l'une des procédures, ou le paramètre est référencé par un script d'afin d'effectuer une autre tâche de configuration ou d'exploitation.
Éléments de configuration définis par l'utilisateur
Avant de vous lancer dans la procédure d'installation, vérifiez que vous avez choisi les paramètres adéquats pour tous les éléments du tableau ci-dessous. Tout au long de ce module, les valeurs fictives indiquées sont utilisées dans les modèles de commandes donnés. Substituez leur des valeurs adaptées à votre propre organisation. Les endroits auxquels vous devez entrer vos propres valeurs sont signalés en italique.
Tableau 1 : Éléments de configuration définis par l'utilisateur
Élément de configuration
Paramètre
Nom DNS (Domain Name System) du domaine racine d'arborescence
Active Directory
woodgrovebank.com
Nom de domaine NetBIOS (network basic input/output system)
WOODGROVEBANK
Nom de serveur du serveur IAS principal
HQ-IAS-01
Nom de serveur du serveur IAS secondaire
HQ-IAS-02
Nom de serveur du serveur IAS d'une succursale (optionnel)
BO-IAS-03
### Éléments de configuration liés à la solution
Les paramètres spécifiés dans ce tableau n'ont pas à être modifiés pour une installation spécifique, sauf si vous avez expressément besoin d'utiliser un paramètre différent. Vous pouvez tout à fait modifier les paramètres de configuration donnés dans ce tableau ; gardez simplement à l'esprit que dans ce cas, vous ne vous trouverez plus dans le cadre de la solution testée. Avant de modifier des valeurs dans les procédures de configuration ou les scripts fournis, vous devez être certain de bien comprendre les implications de ces modifications et les conséquences qu'elles auront.
**Tableau 2 : Éléments de configuration liés à la solution**
Élément de configuration
Paramètre
[Accounts] Groupe global Active Directory contenant les utilisateurs nécessitant des certificats d'authentification 802.1X
[Accounts] Groupe global Active Directory contenant les serveurs IAS nécessitant des certificats d'authentification 802.1X
Inscription automatique serveurs RAS et IAS - Certificat d'authentification
[Accounts] Nom pré-Windows 2000 du groupe global Active Directory contenant les serveurs IAS nécessitant des certificats d'authentification 802.1X
Inscription automatique serveurs RAS et IAS - Certificat d'authentification
[Accounts] Groupe global Active Directory contenant les utilisateurs autorisés à accéder au réseau sans fil
Stratégie d'accès distant - Utilisateurs sans fil
[Accounts] Nom pré-Windows 2000 du groupe global Active Directory contenant les utilisateurs autorisés à accéder au réseau sans fil
Stratégie d'accès distant - Utilisateurs sans fil
[Accounts] Groupe global Active Directory contenant les ordinateurs autorisés à accéder au réseau sans fil
Stratégie d'accès distant - Ordinateurs sans fil
[Accounts] Groupe global Active Directory contenant les ordinateurs autorisés à accéder au réseau sans fil
Stratégie d'accès distant - Ordinateurs sans fil
[Accounts] Groupe universel Active Directory contenant le groupe des utilisateurs sans fil et celui des ordinateurs sans fil
Stratégie d'accès distant - Accès sans fil
[Accounts] Groupe universel Active Directory contenant le groupe des utilisateurs sans fil et celui des ordinateurs sans fil
Stratégie d'accès distant - Accès sans fil
[Accounts] Groupe global Active Directory contenant les ordinateurs nécessitant la configuration de propriétés de réseau sans fil
Stratégie d'accès distant - Ordinateur
[Accounts] Groupe global Active Directory contenant les ordinateurs nécessitant la configuration de propriétés de réseau sans fil
Stratégie d'accès distant - Ordinateur
[Certificates] Modèle de certificat utilisé pour la génération de certificats pour l'authentification du client utilisateur
Authentification client - utilisateur
[Certificates] Modèle de certificat utilisé pour la génération de certificats pour l'authentification du client ordinateur
Authentification client - ordinateur
[Certificates] Modèle de certificat utilisé pour la génération de certificats d'authentification serveur qui seront utilisés par IAS
Authentification serveurs RAS et IAS
[Scripts] Chemin d'accès des scripts d'installation
C:\MSSScripts
[Config] Chemin d'accès des fichiers de sauvegarde de configuration
D:\IASConfig
[Request Logs] Emplacement des journaux de requête d'authentification et d'audit IAS
D:\IASLogs
[Remote Access Policy] Nom de stratégie
Autoriser l'accès sans fil
[Group Policy] Nom de l'objet Stratégie de groupe (GPO) Active Directory
Stratégie réseau sans fil
[Group Policy] Stratégie réseau sans fil dans l'objet Stratégie de groupe
Configuration sans fil ordinateur client
[](#mainsection)[Haut de page](#mainsection)
#### Préparation de l'environnement pour un réseau local sans fil sécurisé
Avant d'implémenter une mise en réseau sans fil sécurisée basée sur 802.1X, vous devez optimiser l'infrastructure de prise en charge de votre environnement. L'infrastructure de prise en charge inclut les serveurs Active Directory et DHCP. Pour obtenir des conseils complets de planification de réseau local sans fil, reportez-vous au livre « [Deploying a Wireless LAN](http://www.microsoft.com/technet/prodtechnol/windowsserver2003/proddocs/deployguide/dnsbm_wir_overview.asp) » du *Kit de déploiement de Windows Server 2003* et aux autres ressources répertoriées dans la section « [Informations complémentaires](http://www.microsoft.com/france/core/404.aspx) » à la fin de ce module.
### Création des groupes Active Directory Groups requis pour l'accès au réseau local sans fil
Vous devez exécuter le script suivant en tant qu'utilisateur autorisé à créer des groupes de sécurité Active Directory. Ce script crée les groupes requis pour l'inscription par certificat d'authentification sans fil, la stratégie d'accès distant et la Stratégie de groupe du réseau sans fil :
Cscript //job:CreateWirelessGroups C:\\MSSScripts\\wl\_tools.wsf
Ce script crée les groupes de sécurité Active Directory suivants, utilisés dans tout le reste du guide :
- Inscription automatique authentification client - Certificat utilisateur
- Inscription automatique authentification client - Certificat ordinateur
- Inscription automatique serveurs RAS et IAS - Certificat d'authentification
- Stratégie d'accès distant - Utilisateurs sans fil
- Stratégie d'accès distant - Ordinateurs sans fil
- Stratégie d'accès distant - Accès sans fil
- Stratégie d'accès distant - Ordinateur
Si votre forêt a plusieurs domaines, créez ces groupes dans le même domaine que celui des utilisateurs sans fil. Ce n'est pas quelque chose d'obligatoire, puisqu'ils sont créés en tant que groupes globaux, mais le reste du guide supposera que c'est le cas.
### Vérification des paramètres DHCP
Pour la mise en réseau sans fil, configurez des serveurs DHCP disposant de portées spécifiques sans fil et de délais d'attribution d'adresses IP (Internet Protocol) plus courts que ceux des clients filaires. Vérifiez auprès des administrateurs des serveurs DHCP que vous avez configuré vos serveurs DHCP de façon adéquate pour la prise en charge d'une solution sans fil.
Pour obtenir des conseils complets de planification DHCP pour la mise en réseau sans fil, reportez-vous au livre « [Deploying a Wireless LAN](http://www.microsoft.com/technet/prodtechnol/windowsserver2003/proddocs/deployguide/dnsbm_wir_overview.asp) » du *Kit de déploiement de Windows Server 2003.*
[](#mainsection)[Haut de page](#mainsection)
#### Configuration et déploiement de certificats d'authentification de réseau local sans fil
La solution de réseau local sans fil sécurisé détaillée dans ce guide se sert de certificats X.509 pour l'authentification des ordinateurs et des utilisateurs, à l'aide d'EAP-TLS. La section qui suit détaille la création et le déploiement des certificats suivants :
- Authentification client - ordinateur
- Authentification client - utilisateur
- Authentification serveurs RAS et IAS
**Remarque** **:** reportez-vous au module « Gestion de l'infrastructure de clés publiques » du *guide d'exploitation* pour plus d'informations sur ces tâches et sur les rôles requis pour les réaliser.
### Création d'un modèle de certificat pour l'authentification serveur
Un certificat de serveur est requis sur le serveur IAS pour authentifier l'ordinateur aux clients lors de la poignée de main du protocole EAP-TLS. Demandez à votre administrateur Services de certificats de suivre la procédure ci-dessous à l'aide du composant enfichable MMC (Microsoft Management Console) Certificate Templates sur le serveur de Services de certificats afin de créer un modèle de certificat d'authentification serveur à utiliser avec les serveurs IAS.
- **Pour créer un modèle de certificat pour l'authentification serveur**
1. Créez une copie du modèle de certificat RAS (Remote Access Service) et IAS, et appelez le nouveau modèle **Authentification serveurs RAS et IAS** en tapant ce nom dans le champ **Nom complet modèle** de l'onglet **Général** des propriétés du modèle.
2. Dans l'onglet **Extensions**, vérifiez que les stratégies d'applications incluent uniquement **Authentification serveur (OID 1.3.6.1.5.5.7.3.1)**.
3. Toujours dans l'onglet **Extensions**, modifiez les Stratégies d'émission et ajoutez la stratégie **Assurance moyenne**.
4. Dans l'onglet **Nom sujet**, sélectionnez **Construire à partir de ces informations Active Directory**. Vérifiez également que **Format du nom du sujet** est configure sur **Nom commun** et que **Nom DNS** est le seul élément sélectionné dans **Include this information in subject alternative name**.
5. Dans l'onglet **Traitement de la demande**, cliquez sur le bouton **CSP**, vérifiez que **Les requêtes doivent utiliser l'un des fournisseurs de services de cryptographie suivants** est activé et que **le fournisseur de services cryptographiques Microsoft RSA SChannel** est sélectionné.
6. Dans l'onglet **Sécurité**, ajoutez le groupe de sécurité Inscription automatique serveurs RAS et IAS - certificat d'authentification ( *WOODGROVEBAN* K\\AutoEnroll RAS and IAS Server Authentication Certificate) avec les permissions **Lecture**, **Inscription** et **Inscription automatique**.
**Important :** Supprimez les autres groupes autorisés à inscrire et/ou inscrire automatiquement ce modèle de certificat, le cas échéant. Tous les utilisateurs ou groupes devant inscrire ces certificats doivent être ajoutés au groupe d'inscription (ou d'inscription automatique) du modèle de certificat approprié. Ceci permet d'éviter que les utilisateurs ou les groupes inscrivent accidentellement des certificats qu'ils ne devraient pas pouvoir inscrire.
Le module « Conception de l'infrastructure PKI » du guide *guide de planification* explique comment configurer ce type de certificat de façon à ce qu'il nécessite l'approbation du Gestionnaire de certificats. Étant donné qu'il s'agit là d'un certificat important, vous devriez peut-être envisager d'activer cette option afin d'offrir une protection complémentaire contre l'inscription de serveurs IAS solitaires. Ainsi, une approbation manuelle sera requise pour l'émission du certificat ; la requête sera néanmoins automatiquement envoyée par le serveur IAS et le certificat automatiquement récupéré après approbation.
### Création d'un modèle de certificat pour l'authentification des utilisateurs
Les utilisateurs finaux ont besoin d'un certificat utilisateur pour s'authentifier sur le serveur IAS lors de l'authentification EAP-TLS. Demandez à votre administrateur Services de certificats de suivre la procédure ci-dessous à l'aide du composant enfichable MMC (Microsoft Management Console) Certificate Templates sur le serveur de Services de certificats afin de créer un modèle de certificat d'authentification utilisateur.
- **Pour créer un modèle de certificat pour l'authentification utilisateur**
1. Créez un double du modèle Session authentifiée, et tapez **Authentification client - Utilisateur** dans le champ **Nom complet modèle** de l'onglet **Général**.
2. Dans l'onglet **Traitement de la demande**, sélectionnez **CSP** et désactivez les cases à cocher **Microsoft Base DSS Cryptographic Provider**.
3. Dans l'onglet **Nom sujet**, sélectionnez **Construire à partir de ces informations Active Directory**, et sous **Format du nom du sujet**, sélectionnez **Nom commun**. Vérifiez que **Nom d'utilisateur principal (UPN** ) est la seule option sélectionnée dans **Include this information in subject alternate name**.
4. Dans l'onglet **Extensions**, vérifiez que les **stratégies d'applications** incluent uniquement **Authentification client (OID 1.3.6.1.5.5.7.3.2)**.
5. Toujours dans l'onglet **Extensions**, modifiez les Stratégies d'émission et ajoutez la stratégie **Assurance basse**.
6. Dans l'onglet **Sécurité**, ajoutez le groupe de sécurité Inscription automatique authentification client - certificat utilisateur ( *WOODGROVEBAN* K\\AutoEnroll Client Authentication - User Certificate) avec les permissions **Lecture**, **Inscription** et **Inscription automatique**.
**Important :** Supprimez les autres groupes autorisés à inscrire et/ou inscrire automatiquement ce modèle de certificat, le cas échéant. Tous les utilisateurs ou groupes devant inscrire ces certificats doivent être ajoutés au groupe d'inscription (ou d'inscription automatique) du modèle de certificat approprié. Ceci permet d'éviter que les utilisateurs ou les groupes inscrivent accidentellement des certificats qu'ils ne devraient pas pouvoir inscrire.
### Création d'un modèle de certificat pour l'authentification ordinateur
Un certificat est requis pour l'authentification des ordinateurs sur le serveur IAS lors de l'authentification EAP-TLS. Demandez à votre administrateur Services de certificats de suivre la procédure ci-dessous à l'aide du composant enfichable MMC (Microsoft Management Console) Certificate Templates sur le serveur de Services de certificats afin de créer un modèle de certificat d'authentification ordinateur.
- **Pour créer un modèle de certificat pour l'authentification ordinateur**
1. Créez un double du modèle Authentification de station de travail, et tapez **Authentification client - Ordinateur** dans le champ **Nom complet modèle** de l'onglet **Général**.
2. Dans l'onglet **Nom sujet**, sélectionnez **Construire à partir de ces informations Active Directory**, et sous **Format du nom du sujet**, sélectionnez **Nom commun**. Vérifiez que **Nom DNS** est la seule option sélectionnée dans **Include this information in subject alternate name**.
3. Dans l'onglet **Extensions**, vérifiez que les stratégies d'applications incluent uniquement **Authentification client (OID 1.3.6.1.5.5.7.3.2)**.
4. Toujours dans l'onglet **Extensions**, modifiez les Stratégies d'émission et ajoutez la stratégie **Assurance basse**.
5. Dans l'onglet **Sécurité**, ajoutez le groupe de sécurité Inscription automatique authentification client - certificat ordinateur ( *WOODGROVEBAN* K\\AutoEnroll Client Authentication - Computer Certificate) avec les permissions **Lecture**, **Inscription** et **Inscription automatique**.
**Important :** Supprimez les autres groupes autorisés à inscrire et/ou inscrire automatiquement ce modèle de certificat, le cas échéant. Tous les utilisateurs ou groupes devant inscrire ces certificats doivent être ajoutés au groupe d'inscription (ou d'inscription automatique) du modèle de certificat approprié. Ceci permet d'éviter que les utilisateurs ou les groupes inscrivent accidentellement des certificats qu'ils ne devraient pas pouvoir inscrire.
### Ajout des certificats d'authentification du réseau local sans fil à l'autorité de certification
Une fois les modèles de certificats d'authentification de réseau local sans fil configurés, vous devez les ajouter à l'autorité de certification (CA) pour activer l'inscription. Demandez à votre administrateur Services de certificats de suivre la procédure ci-dessous pour ajouter des modèles de certificats à l'autorité de certification.
- **Pour ajouter des modèles de certificats à l'autorité de certification**
Dans le composant enfichable MMC Autorité de certification, cliquez à l'aide du bouton droit de la souris sur le dossier **Modèles de Certificats**, puis cliquez sur **Nouveau** et sur **Modèle de certificat**. Sélectionnez les certificats suivants, puis cliquez sur **OK** :
- Authentification client - ordinateur
- Authentification client - utilisateur
- Authentification serveurs RAS et IAS
### Inscription d'un certificat de serveur IAS
Le déploiement des certificats d'authentification de serveur sur les serveurs IAS est un processus automatisé relativement simple. Pour ce faire, suivez les étapes de la section ci-dessous.
- **Pour inscrire un certificat d'authentification de serveur IAS à partir de l'autorité de certification**
1. Utilisez le composant enfichable MMC Utilisateurs et ordinateurs Active Directory pour ajouter les comptes ordinateur IAS au groupe de sécurité Inscription automatique certificat d'authentification serveurs RAS et IAS.
2. Ouvrez une session en tant que membre du groupe local d'administrateurs sur un serveur IAS ayant été ajouté au groupe de sécurité Inscription automatique certificat d'authentification de serveurs RAS et IAS, et exécutez GPUPDATE /force à partir d'une ligne de commande.
3. Ouvrez MMC, puis ajoutez le composant enfichable **Certificats**. Lorsque le programme vous le demande, sélectionnez l'option **Compte ordinateur**, puis sélectionnez **Ordinateur local**.
**Conseil :** Si l'option **Compte ordinateur** n'apparaît pas, cela est probablement dû au fait que vous n'êtes pas administrateur sur l'ordinateur local.
4. Sélectionnez **Certificats (Ordinateur local)** dans l'arborescence de la console, sélectionnez **Toutes les tâches** dans le menu **Action**, puis cliquez sur **Inscrire automatiquement les certificats**.
**Remarque** **:** si l'option d'approbation du Gestionnaire de certificats avait été sélectionnée pour ce type de certificat, vous devrez contacter l'administrateur de l'autorité de certification pour vérifier qu'il s'agit là d'une requête légitime d'un serveur IAS. Une fois la requête vérifiée, l'administrateur de l'autorité de certification émettra le certificat.
### Vérification du déploiement d'un certificat de serveur IAS
La vitesse à laquelle un certificat de serveur IAS inscrit sera émis et déployé sur les certificats de serveur dépend des paramètres d'approbation des certificats du modèle de certificat. Il est également possible que la fréquence de consultation de l'autorité de certification par le serveur provoque des délais.
- **Pour verifier que le certificat d'authentification de serveur IAS a été déployé**
1. Ouvrez une session en tant que membre du groupe local d'administrateurs sur l'ordinateur local, ouvrez MMC, puis ajoutez le composant enfichable **Certificats**. Lorsque le programme vous le demande, sélectionnez l'option **Compte ordinateur**, puis sélectionnez **Ordinateur local**.
**Conseil :** Si l'option **Compte ordinateur** n'apparaît pas, cela est probablement dû au fait que vous n'êtes pas administrateur sur l'ordinateur local.
2. Ouvrez le magasin **Certificats (Ordinateur local)**, **Personnel**, **Certificats**, et recherchez un certificat donné à l'ordinateur local par le modèle de certificat d'authentification de serveurs RAS et IAS. Le nom du modèle est affiché dans le panneau de droite. Vous devrez peut-être faire défiler l'écran horizontalement pour voir la colonne appropriée.
3. Si le certificat requis n'apparaît pas dans le composant enfichable **Certificats**, sélectionnez **Certificats (Ordinateur local) dans l'arborescence de la console,Toutes les tâches** dans le menu **Action**, puis cliquez sur **Inscrire automatiquement les certificats**. Attendez quelques instants, puis actualisez l'affichage du dossier Personnel, Certificats.
**Conseil :** Vous pouvez redémarrer le serveur pour forcer l'inscription automatique des certificats. Si le Journal d'événements d'applications contient un événement disposant de la valeur 19 pour la source d'inscription automatique et l'identifiant d'événement, cela vous permet de savoir que l'inscription automatique des certificats a réussi.
### Ajout d'utilisateurs et d'ordinateurs à des groupes pour l'inscription automatique
Le déploiement de certificats d'authentification de réseau local sans fil pour les utilisateurs et les ordinateurs est un processus relativement simple pour les utilisateurs finaux. Ce processus nécessite une connexion LAN (Local Area Network), un compte utilisateur basé sur un domaine et un ordinateur ayant été relié à un domaine Active Directory.
Il faut que des certificats soient déployés à l'avance pour utilisateurs et ordinateurs nécessitant un accès au nouveau réseau local sans fil afin de garantir l'authentification EAP-TLS. À l'aide de Windows XP et Windows Server 2003, les certificats ordinateurs et utilisateurs peuvent être automatiquement inscrits et renouvelés sans intervention de l'utilisateur final. L'inscription et le renouvellement des certificats est contrôlé par le biais des groupes de sécurité Active Directory.
- **Pour ajouter des utilisateurs et des ordinateurs à des groupes de sécurité pour l'inscription automatique**
1. Ouvrez le composant enfichable MMC Utilisateurs et ordinateurs Active Directory.
2. Ajoutez des utilisateurs au groupe Inscription automatique authentification client - certificat utilisateur.
3. Ajoutez des ordinateurs au groupe Inscription automatique authentification client - certificat ordinateur.
### Vérification du déploiement des certificats utilisateur
Ouvrez une session en tant qu'utilisateur ajouté au groupe Inscription automatique authentification client - certificat utilisateur, et suivez la procédure ci-dessous.
- **Pour vérifier le déploiement d'un certificat d'authentification utilisateur**
1. Ouvrez MMC et ajoutez-y le composant enfichable **Certificats**. Si le programme vous le demande, sélectionnez l'option **Mon compte d'utilisateur**.
2. Ouvrez le magasin **Certificats - Utilisateur actuel**, **Personnel**, **Certificats**, et recherchez un certificat donné à l'utilisateur par le modèle Authentification client - certificat utilisateur. Le nom du modèle devrait être affiché dans le panneau de droite. Vous devrez peut-être faire défiler l'écran horizontalement pour voir la colonne appropriée.
3. Si le certificat requis n'apparaît pas dans le composant enfichable **Certificats**, exécutez GPUPDATE /force from à partir d'une ligne de commande, attendez quelques minutes, puis actualisez l'affichage du dossier Personnel, Certificats.
### Vérification du déploiement des certificats ordinateur
À partir d'un ordinateur client ayant été ajouté au groupe Inscription automatique authentification client - certificat ordinateur, suivez la procédure ci-dessous.
- **Pour vérifier le déploiement d'un certificat d'authentification ordinateur**
1. Ouvrez une session en tant que membre du groupe local d'administrateurs sur l'ordinateur local, ouvrez MMC, puis ajoutez le composant enfichable **Certificats**. Lorsque le programme vous le demande, sélectionnez l'option **Compte ordinateur**, puis sélectionnez **Ordinateur local**.
**Conseil :** Si l'option **Compte ordinateur** n'apparaît pas, cela est probablement dû au fait que vous n'êtes pas administrateur sur l'ordinateur local.
2. Ouvrez le magasin **Certificats (Ordinateur local)**, **Personnel**, **Certificats**, et recherchez un certificat donné à l'ordinateur local par le modèle Authentification client - certificat ordinateur. Le nom du modèle devrait être affiché dans le panneau de droite. Vous devrez peut-être faire défiler l'écran horizontalement pour voir la colonne appropriée.
3. Si le certificat requis n'apparaît pas dans le composant enfichable **Certificats**, exécutez GPUPDATE /force à partir d'une ligne de commande, attendez quelques minutes, puis actualisez l'affichage du dossier Personnel, Certificats.
**Conseil :** Vous pouvez redémarrer l'ordinateur pour forcer l'inscription automatique des certificats. Si le Journal d'événements d'applications contient un événement disposant de la valeur 19 pour la source d'inscription automatique et l'identifiant d'événement, cela vous permet de savoir que l'inscription automatique des certificats a réussi.
[](#mainsection)[Haut de page](#mainsection)
#### Configuration de l'infrastructure d'accès au réseau local sans fil
Vous devez configurer sur votre serveur IAS principal une stratégie d'accès distant et des paramètres de requête de connexion déterminant l'authentification et l'autorisation des utilisateurs et ordinateurs sans fil sur le réseau local sans fil. Ensuite, vous devrez répliquer ces paramètres sur les autres serveurs IAS ayant un rôle similaire à l'aide de la commande **netsh**, comme décrit dans le *guide de mise en œuvre RADIUS* ou le *guide d'exploitation*. En outre, il faut que chaque serveur IAS soit configuré individuellement pour accepter les connexions de clients RADIUS tels que les point d'accès sans fil. Les points d'accès sans fil doivent ensuite être configurés pour utiliser les serveurs IAS comme source d'authentification et d'imputabilité pour la mise en réseau 802.1X.
### Création d'une stratégie d'accès distant IAS pour le réseau local sans fil
Suivez la procédure ci-dessous en utilisant le composant enfichable MMC Service d'authentification Internet afin de configurer une stratégie d'accès distant pour la mise en réseau sans fil sur IAS.
- **Pour créer une stratégie d'accès distant sur IAS**
1. Cliquez avec le bouton droit de la souris sur le dossier Stratégies d'accès distant, puis sélectionnez **Nouvelle stratégie d'accès distant**.
2. Nommez la stratégie **Autoriser l'accès sans fil** et demandez à l'Assistant de configurer **Une stratégie typique pour un scénario commun**.
3. Choisissez la méthode d'accès **Sans fil**.
4. Autorisez l'accès sur la base du groupe, et utilisez le groupe de sécurité **Stratégie d'accès distant - Accès sans fil (WOODGROVEBANK\\Remote Access Policy - Wireless Access)**.
5. Choisissez **Carte à puce ou autre certificat** comme type EAP (Extensible Authentication Protocol), puis sélectionnez le certificat d'authentification serveur installé pour IAS. Terminez, puis quittez l'Assistant.
**Remarque** **:** la nouvelle stratégie Autoriser l'accès sans fil peut coexister avec d'autres stratégies d'accès distant créées par l'utilisateur ou avec les stratégies d'accès distant par défaut. Cependant, vérifiez que les stratégies d'accès distant par défaut, le cas échéant, sont supprimées ou listées après la stratégie Autoriser l'accès sans fil dans le dossier Stratégies d'accès distant.
### Modification des paramètres du profil de stratégie d'accès au réseau local sans fil
La stratégie d'accès distant créée précédemment doit être également configurée pour inclure le paramètre permettant d'ignorer les paramètres d'appel entrant utilisateur Active Directory risquant de créer des problèmes sur certains points d'accès sans fil. En outre, des attributs RADIUS doivent être configurés pour la ré-authentification client à intervalles réguliers afin de garantir l'actualisation des touches de session WEP (Wired Equivalent Privacy). Pour plus d'informations sur les paramètres de stratégie d'accès distant, consultez le module « Conception de la sécurité du réseau local sans fil à l'aide de 802.1X» du *guide de planification*.
- **Pour modifier les paramètres du profil de stratégie d'accès sans fil**
1. Ouvrez les propriétés de la stratégie Autoriser l'accès sans fil, puis cliquez sur **Modifier le profil**.
2. Dans l'onglet **Contraintes pour les appels entrants**, sélectionnez l'option **Minutes clients can be connected (Session-Timeout)**, puis entrez la valeur **10 minutes**.
3. Dans l'onglet **Avancé**, ajoutez l'attribut **Ignore-User-Dialin-Properties**, configurez-le sur **Vrai**, puis ajoutez l'attribut **Arrêt-Action** et configurez-le sur **Requête RADIUS**.
### Vérification de la stratégie de requête de connexion du réseau local sans fil
La stratégie de requête de connexion IAS par défaut est configurée pour demander à IAS d'authentifier les utilisateurs et les ordinateurs directement à l'aide d'Active Directory. Pour vérifier la configuration de la stratégie de requête de connexion par défaut, suivez la procédure ci-dessous.
- **Pour vérifier la configuration de la stratégie de requête de connexion par défaut**
1. Ouvrez le composant enfichable MMC Service d'authentification Internet et affichez les propriétés de la stratégie de requête de connexion **Utiliser l'authentification Windows pour tous les utilisateurs**.
2. Vérifiez que les conditions de la stratégie incluent **Date-And-Time-Restrictions matches "Sun 00:00-24:00; Mon 00:00-24:00; Tue 00:00-24:00; Thu 00:00-24:00; Fri 00:00-24:00; Sat 00:00-24:00"**.
3. Cliquez sur le bouton **Modifier le profil**, et dans l'onglet **Authentification**, vérifiez que **Authentifier les demandes sur ce serveur** est sélectionné.
4. Vérifiez qu'il n'existe aucune règle dans l'onglet **Attribut**.
**Remarque** **:** aucun paramètre de stratégie de requête de connexion complémentaire n'est requis pour cette solution. Cependant, des paramètres complémentaires pourront être configurés par votre organisation pour divers scénarios.
### Ajout de clients RADIUS à IAS
Vous devez ajouter des points d'accès sans fil et des proxy RADIUS comme clients RADIUS à IAS pour qu'ils puissent exploiter les services d'authentification et d'imputabilité via le protocole RADIUS. Pour ajouter des points d'accès sans fil à IAS, suivez la procédure ci-dessous dans le composant enfichable MMS Service d'authentification Internet.
- **Pour ajouter des clients RADIUS à IAS**
1. Cliquez avec le bouton droit de la souris sur le dossier **Clients RADIUS** et sélectionnez **Ajouter un client RADIUS**.
2. Saisissez un nom convivial et l'adresse IP du point d'accès sans fil.
3. Sélectionnez **RADIUS Standard** comme attribut client-constructeur, puis entrez le secret partagé correspondant à ce point d'accès sans fil particulier. (Vous pouvez utiliser le script GenPwd détaillé ci-dessous pour générer le secret.) Sélectionnez ensuite **Les requêtes doivent contenir l'attribut de l'authentificateur du message**.
**Remarque** **:** certains clients RADIUS nécessiteront peut-être des attributs spécifiques au constructeur (VSA) pour fonctionner correctement. Pour plus d'informations concernant les exigences VSA, reportez-vous à la documentation spécifique à votre constructeur.
Vous pouvez utiliser le script GenPwd fourni avec ce guide pour générer des secrets de 23 caractères pseudo-aléatoires sûrs pour une utilisation individuelle par chaque point d'accès configure comme client RADIUS. Pour chaque client RADIUS, GenPwd générera un secret et le stockera avec un nom convivial dans un fichier Clients.txt. GenPwd ajoute automatiquement les informations à un fichier Clients.txt dans l'annuaire en cours sous forme de valeurs séparées par des virgules.
Nous vous recommandons vivement de conserver ce fichier sur disquette ou sur un autre support amovible accessible en écriture et de le nommer « Clients RADIUS pour le serveur H *Q-IAS-0* 1 », en remplaçant H *Q-IAS-0* 1 par le nom de votre serveur. Cette même disquette spécifique au serveur est utilisée pour l'exportation et l'importation de clients RADIUS dans le module « Gestion de l'infrastructure RADIUS et de la sécurité du réseau local sans fil » du *guide d'exploitation*.
- **Pour utiliser GenPwd pour la génération de secrets RADIUS dans un fichier Clients.txt**
1. Ouvrez une invite de commande et configurez le lecteur A comme annuaire en cours. Si vous utilisez un autre support que la disquette, utilisez la lettre correspondant au support en question. L'emplacement de l'annuaire de votre système de fichiers est important, car les nouvelles informations seront automatiquement ajoutées au fichier Clients.txt de l'annuaire par défaut. S'il n'existe pas de fichier Clients.txt, il sera créé.
2. Exécutez la commande suivante. Remplacez \[nom client\] par le nom convivial du point d'accès sans fil. Il peut s'agir d'un nom DNS ou d'une autre chaîne :
**Cscript //job:GenPWD C:\\MSSScripts\\wl\_tools.wsf /client:\[nom client\]**
Conservez la disquette de stockage des clients RADIUS dans un endroit sûr et accessible en cas d'urgence. Une fois créé, le fichier séparé par des virgules peut être importé en toute facilité dans une feuille de calcul ou une application de base de données à des fins de référence ou d'édition.
[](#mainsection)[Haut de page](#mainsection)
#### Activation du réseau local sans fil sécurisé pour les utilisateurs et les ordinateurs
Pour donner l'accès au réseau local sans fil sécurisé aux utilisateurs et aux ordinateurs, vous avez encore quelques tâches à réaliser sur des objets Active Directory. Ces tâches incluent la vérification des autorisations de comptes, la modification de l'appartenance aux groupes et la mise en œuvre d'une stratégie de groupe. Vous pouvez réaliser ces tâches de façon contrôlée afin de respecter un programme de déploiement par phases et de réduire le risque de modifications importantes dans l'environnement.
### Vérification des autorisations d'accès distant Active Directory
Pour pouvoir exploiter la stratégie d'accès distant, il faut que les comptes d'utilisateurs ou d'ordinateurs Active Directory disposent des autorisations d'accès distant appropriées. Par défaut, les autorisations d'accès distant pour les comptes d'un domaine Active Directory en mode natif sont configurées sur **Contrôler l'accès via la Stratégie d'accès distant** ; en général, aucune modification n'est requise.
Vous pouvez cependant vérifier que les utilisateurs et ordinateurs cible sont configurés correctement en vous servant du composant enfichable MMC Utilisateurs et ordinateurs Active Directory. Vérifiez que **Contrôler l'accès via la Stratégie d'accès distant** est sélectionné pour le paramètre **Autorisation d'accès distant (appel entrant ou VPN)** dans l'onglet **Appel entrant** des propriétés du compte.
### Ajout d'utilisateurs aux groupes de stratégie d'accès distant
La stratégie d'accès distant IAS utilise des groupes de sécurité Active Directory pour déterminer si les utilisateurs et les ordinateurs ont le droit de se connecter au réseau local sans fil. Les groupes de sécurité créés précédemment dans ce module incluent les groupes décrits dans le tableau suivant.
**Tableau 3 : Groupes de sécurité Active Directory**
Groupe de sécurité
Description
Stratégie d'accès distant - Utilisateurs sans fil
Groupe global des utilisateurs nécessitant l'accès au réseau local sans fil
Stratégie d'accès distant - Ordinateurs sans fil
Groupe global des ordinateurs nécessitant l'accès au réseau local sans fil
Stratégie d'accès distant - Accès sans fil
Groupe universel devant contenir les deux groupes globaux précédents
À l'aide du composant enfichable MMC Utilisateurs et ordinateurs Active Directory, ajoutez les groupes **Stratégie d'accès distant - Utilisateurs sans fil (WOODGROVEBANK\\Remote Access Policy - Wireless Users** ) et **Stratégie d'accès distant - Ordinateurs sans fil (WOODGROVEBANK\\Remote Access Policy - Wireless Computers)** au groupe **Stratégie d'accès distant - Accès sans fil (WOODGROVEBANK\\Remote Access Policy - Wireless Access)**.
Vous pouvez à présent définir les utilisateurs et les ordinateurs qui seront autorisés à accéder au réseau local sans fil dans la structure de groupes.
- **Pour ajouter des utilisateurs et des ordinateurs aux groupes d'accès au réseau local sans fil**
1. Ouvrez le composant enfichable MMC Utilisateurs et ordinateurs Active Directory.
2. Ajoutez les utilisateurs autorisés à accéder au réseau local sans fil au groupe **Stratégie d'accès distant - Utilisateurs sans fil (WOODGROVEBANK\\Remote Access Policy - Wireless Users)**.
3. Ajoutez les ordinateurs autorisés à accéder au réseau local sans fil au groupe **Stratégie d'accès distant - Ordinateurs sans fil (WOODGROVEBANK\\Remote Access Policy - Wireless Computers)**.
**Remarque** **:** pour connaître les raisons pour lesquelles vous devez activer l'authentification des utilisateurs et des ordinateurs sur le réseau local sans fil, reportez-vous au module « Conception de la sécurité du réseau local sans fil à l'aide de 802.1X » du *guide de planification*.
### Création d'une stratégie de groupe de réseau local sans fil Active Directory
Vous pouvez automatiser et mettre en œuvre la configuration de réseau local sans fil des ordinateurs clients en exploitant les outils de stratégie de groupe Windows 2003. Ces outils détaillent les paramètres de **Stratégie réseau sans fil**, y compris les paramètres liés à la sécurité 802.1X et aux comportements de réseaux locaux sans fil 802.11.
Pour créer un profil de stratégie de groupe de réseau sans fil pour le nouveau réseau local sans fil 802.1X pour les ordinateurs clients, suivez la procédure ci-dessous à l'aide du composant enfichable MMC Utilisateurs et ordinateurs Active Directory.
**Remarque** **:** la création d'objets Stratégie de groupe au niveau du domaine ne sera peut-être pas adaptée à toutes les organisations. Consultez la stratégie de groupe de votre organisation pour déterminer l'emplacement idéal pour les objets Stratégie de groupe.
- **Pour créer une stratégie de groupe de réseau sans fil**
1. Sélectionnez les propriétés de votre objet de domaine (par exemple : w *oodgrovebank.co* m), et dans l'onglet **Stratégie de groupe**, cliquez sur **Nouveau** et nommez l'objet Stratégie de groupe **Stratégie réseau sans fil**.
2. Cliquez sur le bouton **Propriétés**, et dans l'onglet **Sécurité**, vérifiez que les permissions **Lecture** et **Appliquer la stratégie de groupe** sont configurées sur **Autoriser** pour le groupe de sécurité **Stratégie réseau sans fil - Stratégie réseau sans fil ordinateurs - Ordinateur (WOODGROVEBANK\\Wireless Network Policy - Computer)**. Supprimez également les utilisateurs authentifiés de l'objet Stratégie de groupe. Dans l'onglet **Général**, sélectionnez **Désactiver les paramètres de configuration de l'utilisateur** sur l'objet de stratégie et sélectionnez **Oui** si des messages d'avertissement apparaissent. Appliquez les modifications, puis fermez la fenêtre de propriétés de l'objet Stratégie de groupe.
3. Cliquez sur le bouton **Modifier** pour modifier la stratégie, et naviguez jusqu'aux stratégies \\Configuration ordinateur\\Paramètres Windows Settings\\Paramètres de sécurité\\Réseau sans fil (Institute of Electrical and Electronic Engineers ou IEEE 802.11).
4. Sélectionnez l'objet **Stratégies de réseau sans fil (IEEE 802.11)** dans le panneau de navigation, puis sélectionnez **Créer une stratégie de réseau sans fil** dans le menu **Action**. Utilisez l'Assistant pour nommer la stratégie **Configuration sans fil ordinateur client**. Laissez l'option **Propriétés d'édition** sélectionnée, puis cliquez sur **Terminer** pour fermer l'Asssistant.
5. Sélectionnez **Ajouter** dans l'onglet **Réseaux favoris** de la stratégie Configuration sans fil ordinateur client, puis entrez le nom de réseau ou l'identifiant SSID du réseau sans fil.
**Remarque** **:** si les clients utilisent un réseau local sans fil existant, vous devez choisir un SSID différent pour le nouveau réseau local sans fil 802.1X. Ce nouveau SSID doit ensuite être entré dans le profil du réseau sans fil 802.1X.
6. Cliquez sur l'onglet **IEEE 802.1x**, puis ouvrez les paramètres du type EAP **Smartcard or other certificate**. Dans **Trusted Root Certificate Authorities**, sélectionnez les autorités de certification racine pour les certificats du serveur IAS.
7. Fermez les propriétés de la Configuration sans fil ordinateur client et l'éditeur d'objet Stratégie de groupe.
### Ajout d'ordinateurs aux groupes de sécurité pour la stratégie de groupe de réseau local sans fil
Des groupes de sécurité Active Directory sont utilisés pour déterminer les ordinateurs auxquels sont appliquées des stratégies de réseau sans fil, et donc les paramètres réseau 802.1X sans fil configurés automatiquement.
Déployez les paramètres de la stratégie de groupe de réseau sans fil du nouveau réseau 802.1X bien avant de déployer les paramètres 802.1X sur les points d'accès sans fil et d'activer le nouveau réseau local sans fil. Ainsi, les ordinateurs clients auront la possibilité de télécharger et d'appliquer la stratégie de groupe de l'ordinateur, même s'ils ne se connectent qu'occasionnellement au réseau local filaire.
En outré, les paramètres de stratégie de groupe peuvent être appliqués à l'ordinateur avant qu'une carte d'interface réseau (NIC) de réseau local sans fil ne soit installée et configurée par Windows. Une fois qu'une carte d'interface réseau de réseau local sans fil est installée, la stratégie de groupe de réseau sans fil est automatiquement installée.
- **Pour ajouter des ordinateurs à des groupes dans le cadre de la stratégie de groupe de réseau sans fil**
- Utilisez le composant enfichable MMC Utilisateurs et ordinateurs Active Directory pour ajouter des ordinateurs au groupe **Stratégie de réseau sans fil - Ordinateur (WOODGROVEBANK\\Wireless Network Policy - Computer)**.
Les paramètres de réseau sans fil seront mis à jour sur les ordinateurs clients à la réactualisation de stratégie de groupe suivante. Vous pouvez utiliser la commande **GPUPDATE /force** pour forcer le rafraîchissement d'une stratégie.
### Vérification de l'application d'une stratégie de groupe de réseau local sans fil
À partir d'un ordinateur client ayant été ajouté au groupe de sécurité configuration réseau sans fil ordinateur client dans Active Directory, suivez la procédure ci-dessous.
**Remarque** **:** pour que la stratégie de réseau sans fil soit visible, il faut qu'un adaptateur réseau sans fil soit installé sur les ordinateurs et reconnu par Windows.
- **Pour vérifier le déploiement de la configuration de mise en réseau sans fil**
1. Ouvrez une session en tant qu'administrateur sur l'ordinateur local et ouvrez le dossier Connexions réseau en tapant ce qui suit à l'invite **Exécuter** du menu **Démarrer** :
ncpa.cpl
2. Affichez les propriétés de l'icône **Connexion réseau sans fil** qui correspond à votre carte sans fil. Dans l'onglet **Connexions sans fil**, vous devriez voir le nouveau nom SSID réseau sans fil sous **Réseaux favoris**. Sélectionnez la nouvelle configuration réseau sans fil et cliquez sur **Propriétés** pour explorer les paramètres et vérifier qu'ils correspondent à ceux qui ont été choisis dans la stratégie de groupe de mise en réseau sans fil.
3. Si le nom SSID n'apparaît pas dans **Réseaux favoris**, ou si les paramètres du réseau ne correspondent pas à ceux qui ont été configurés dans la stratégie de groupe de mise en réseau sans fil, fermez toutes les boîtes de dialogue de réseaux sans fil et exécutez **GPUPDATE /force** à partir d'une invite de commande. Revérifiez les paramètres quelques minutes plus tard.
[](#mainsection)[Haut de page](#mainsection)
#### Configuration de points d'accès sans fil pour la mise en réseau 802.1X
La procédure de configuration de points d'accès sans fil varie énormément selon la marque et le modèle du périphérique. Néanmoins, les constructeurs de points d'accès sans fil fournissent en général des instructions permettant de configurer le périphérique avec :
- des paramètres de mise en réseau 802.1X ;
- l'adresse IP du serveur d'authentification RADIUS principal ;
- l'adresse IP du serveur de gestion RADIUS principal ;
- le secret RADIUS partagé avec le serveur RADIUS principal ;
- l'adresse IP du serveur d'authentification RADIUS secondaire ;
- l'adresse IP du serveur de gestion RADIUS secondaire ;
- le secret RADIUS partagé avec le serveur RADIUS secondaire.
Reportez-vous à la documentation fournie par votre constructeur pour plus d'informations sur la configuration de points d'accès sans fil pour 802.1X.
Si des utilisateurs de votre environnement utilisent des points d'accès sans fil sans paramètres de sécurité ou paramètres WEP statique, vous allez devoir développer un plan de migration. Pour plus d'informations sur la migration à partir d'un réseau sans fil existant, consultez le module « Conception de la sécurité du réseau local sans fil à l'aide de 802.1X » du *guide de planification*. Même si ce guide ne peut pas donner des instructions de configuration pour les différents points d'accès sans fil des constructeurs, vous y trouverez des informations concernant les questions de sécurité liées aux points d'accès sans fil.
[](#mainsection)[Haut de page](#mainsection)
#### Test et vérification
À ce stade, vous devez tester la fonctionnalité du réseau local sans fil 802.1X en exploitant un ordinateur client configuré avec un certificat ordinateur, un certificat utilisateur, une stratégie de groupe de réseau sans fil et une carte d'interface réseau de réseau local sans fil.
- **Pour tester la fonctionnalité du réseau sans fil**
1. Redémarrez l'ordinateur client membre du groupe de sécurité Stratégie d'accès distant - Ordinateurs sans fil ( *WOODGROVEBAN* K\\Remote Access Policy - Wireless Computers).
2. Ouvrez une session sur l'ordinateur en tant qu'utilisateur membre du groupe Stratégie d'accès distant - Utilisateurs sans fil ( *WOODGROVEBAN* K\\Remote Access Policy - Wireless Users).
3. À partir d'une invite de commande, utilisez la commande **ping** pour tester la connectivité réseau vers un autre ordinateur du réseau.
[](#mainsection)[Haut de page](#mainsection)
#### Résumé
Une fois toutes les procédures décrites dans ce module suivies, vous devriez :
- avoir créé et configuré des groupes de sécurité Active Directory utilisés pour la gestion de composants de sécurité de réseau local sans fil ;
- avoir créé des modèles de certificats et déployé des certificats sans fil sur vos serveurs IAS, sélectionné des ordinateurs et sélectionné des utilisateurs finaux ;
- avoir créé et configuré une stratégie d'accès distant et une stratégie de requête de connexion IAS pour la mise en réseau sans fil ;
- configuré des points d'accès sans fil pour 802.1X ;
- créé et déployé une stratégie de groupe de réseau sans fil pour des ordinateurs clients spécifiques.
À ce stade, vous devriez disposer d'un réseau local sans fil 802.1X à la fois fonctionnel et sécurisé.
[](#mainsection)[Haut de page](#mainsection)
#### Informations complémentaires
- Managing Remote Access on a Per-group Basis Using Windows 2000 Remote Access Policies
.jpg)