The Cable GuyImpostazioni dei Criteri di gruppo wireless per Windows Vista
Joseph Davies
In questo articolo sono fornite le informazioni sulle versioni non definitive di Windows Server "Longhorn" che sono soggette a modifiche.
Il lavoro di un amministratore potrebbe essere semplificato se si potessero centralizzare la configurazione e la distribuzione delle impostazioni di rete wireless a tutti i computer della rete Active Directory. Fortunatamente, Windows supporta una speciale estensione dei Criteri di gruppo per la configurazione del computer che consente di farlo. Si
chiama estensione dei criteri di rete wireless (IEEE 802.11), è supportata dai computer in cui viene eseguito Windows Vista™, Windows® XP, Windows Server® 2003 e la versione successiva di Windows Server, chiamata "Longhorn".
Ecco come funziona. Quando si accede al dominio o all'avvio (e in seguito a intervalli regolari), questi sistemi operativi scaricano automaticamente le impostazioni wireless in questa estensione dei Criteri di gruppo e le applicano. È possibile configurare i criteri wireless per un oggetto Criteri di gruppo basato sul dominio dal nodo seguente nello snap-in Editor oggetti Criteri di gruppo: Configurazione computer | Impostazioni Windows | Impostazioni di protezione | Criteri rete wireless (IEEE 802.11).
Nella Figura 1 viene illustrata la posizione del nodo Criteri rete wireless (IEEE 802.11) per un dominio Windows Server "Longhorn" o per un dominio Windows Server 2003 al quale è stato esteso lo schema con i file di estensione dello schema 802.11Schema.ldf e 802.3Schema.ldf (descritti in microsoft.com/technet/network/wifi/vista_ad_ext.mspx).
Figura 1** Nodo Criteri rete wireless (IEEE 802.11) **(Fare clic sull'immagine per ingrandirla)
Per impostazione predefinita, non ci sono Criteri rete wireless (IEEE 802.11). Per creare un nuovo criterio, fare clic con il pulsante destro del mouse su Criteri reti wireless (IEEE 802.11) nella struttura della console e scegliere Crea un nuovo criterio di Windows XP o Crea un nuovo criterio di Windows Vista. Per ogni tipo di criterio, è possibile creare solo un singolo criterio ma è probabile che ognuno contenga delle impostazioni per le reti wireless multiple.
Per i criteri di Windows XP, le impostazioni sono molto simili a quelle descritte nell'articolo di luglio 2003. Tuttavia, esistono nuove opzioni per le reti wireless non broadcast, metodi di autenticazione Wi-Fi Protected Access 2 (WPA2) e impostazioni di roaming veloce per l'autenticazione WPA2. Per supportare queste nuove impostazioni, sui computer in cui viene eseguito Windows XP Service Pack 2 (SP2) è necessario installare l'aggiornamento del client wireless per Windows XP SP2 disponibile all'indirizzo support.microsoft.com/kb/917021.
Il criterio wireless di Windows Vista contiene impostazioni di criteri per i client wireless specifiche per Windows Vista e Windows Server "Longhorn". Se vengono configurati entrambi i tipi di criteri wireless, i client wireless di Windows XP utilizzeranno solo le proprie impostazioni dei criteri e i client wireless di Windows Vista utilizzeranno solo le proprie impostazioni dei criteri. Se non esistono impostazioni dei criteri di Windows Vista, i client wireless di Windows Vista utilizzeranno le impostazioni di Windows XP. In quest'articolo vengono descritte le possibili impostazioni di configurazione con i criteri wireless di Windows Vista.
Nella scheda Generale di un criterio di rete wireless di Windows Vista è possibile configurare un nome e una descrizione per i criteri, specificare se il servizio configurazione automatica WLAN è attivato e configurare l'elenco di profili di rete wireless e le relative impostazioni nell'ordine preferito (vedere la Figura 2). È anche possibile esportare un profilo in forma di file XML scegliendo il profilo e facendo clic su Esporta. Per importare un file XML come profilo wireless, scegliere Importa e specificare la posizione del file.
Figura 2** Proprietà dei criteri di rete wireless **(Fare clic sull'immagine per ingrandirla)
Nella Figura 3 viene illustrata la scheda delle autorizzazioni di rete per un criterio di rete wireless di Windows Vista con le impostazioni predefinite. Questa scheda è una novità per Windows Vista e consente di specificare le reti wireless per nome e consentire o negare l'accesso ad esse. Ad esempio, è possibile creare un elenco Consenti che contiene i nomi della rete wireless, anche noti come Identificatori dei set di servizi (SSID), al quale un client wireless di Windows Vista può connettersi. Ciò è utile per gli amministratori di rete che desiderano connettere un computer portatile di un'organizzazione a un set specifico di reti wireless, inclusa la rete wireless e i provider di servizi Internet wireless dell'organizzazione stessa.
Figura 3** Scheda Autorizzazioni reti **(Fare clic sull'immagine per ingrandirla)
In un elenco di reti wireless non consentite è possibile specificare i nomi dei set di reti wireless alle quali il client wireless non può connettersi. Questo è utile per evitare che i computer portatili si connettano alle altre reti wireless che si trovano nella portata dei computer, ad esempio, quando un'organizzazione occupa un piano di un edificio ed esistono altre reti wireless di altre organizzazioni su piani adiacenti. L'elenco Non consentire consente anche di evitare che i computer portatili si connettano alle reti wireless non protette conosciute. Per creare l'elenco o specificare le reti wireless individuali per concedere o negare l'accesso, fare clic su Aggiungi per aggiungere una rete wireless per nome e specificare se l'accesso è consentito o negato.
Nella scheda Autorizzazioni reti, esistono anche impostazioni per evitare le connessioni a reti wireless ad hoc o in modalità infrastruttura. È anche possibile consentire agli utenti di visualizzare le reti wireless che sono state configurate con accesso negato e di creare un profilo per tutti gli utenti. È possibile utilizzare un profilo per tutti gli utenti per consentire a qualsiasi utente di connettersi a una rete wireless specifica con un account sul computer. Se questa impostazione è disattivata, soltanto gli utenti nel gruppo di amministratori di rete o nel gruppo di operatori di rete possono creare profili per tutti gli utenti wireless sul computer.
Proprietà del profilo di rete wireless
Per gestire un profilo di rete wireless dalla scheda Generale del criterio wireless di Windows Vista, scegliere un profilo esistente e fare clic su Modifica o Aggiungi e quindi specificare se il nuovo profilo wireless è per una rete wireless ad hoc o in modalità infrastruttura.
Per creare un nuovo profilo wireless, iniziare dalla scheda Connessione dando un nome al profilo e creando un elenco di nomi della rete wireless al quale viene applicato (vedere la Figura 4). È possibile aggiungere nuovi nomi digitando il nome in Nome(i) rete (SSID) e scegliendo Aggiungi. È anche possibile specificare se il client wireless che utilizza questo profilo tenterà automaticamente di connettersi alle reti wireless denominate nel profilo quando si trova nell'intervallo (secondo l'ordine di preferenza dell'elenco di profili wireless sulla scheda Generale per i criteri di Windows Vista). Inoltre, è possibile indicare se disconnettersi automaticamente da questa rete wireless nel caso in cui una rete wireless preferita si trovi nella portata e indicare che le reti wireless in questo profilo sono reti non broadcast (anche conosciute come reti nascoste).
Figura 4** Scheda Connessione **(Fare clic sull'immagine per ingrandirla)
Nella scheda Protezione, illustrata nella Figura 5, è possibile configurare i metodi di autenticazione e crittografia per le reti wireless nel profilo. La scelta dei metodi di crittografia dipende dalla scelta del metodo di autenticazione. Queste scelte sono elencate nella Figura 6.
Figure 6 Metodi di protezione
| Metodi di autenticazione |
| Aperta |
| Condivisa |
| Wi-Fi Protected Access (WPA)-Personal |
| WPA-Enterprise |
| WPA2-Personal |
| WPA2-Enterprise |
| Aperta con 802.1X |
| Metodi di crittografia |
| Wired Equivalent Privacy (WEP) |
| Protocollo TKIP (Temporal Key Integrity Protocol) |
| AES (Advanced Encryption Standard) |
Figura 5** Scheda Protezione **(Fare clic sull'immagine per ingrandirla)
Se si decide di scegliere WPA-Enterprise, WPA2-Enterprise o Aperta con 802.1X come metodo di autenticazione, è possibile anche configurare il metodo di autenticazione di rete (il tipo Extensible Authentication Protocol [EAP]), la modalità di autenticazione (riautenticazione dell'utente, autenticazione del computer, autenticazione dell'utente o autenticazione dell'ospite), il numero di tentativi di autenticazione non riusciti prima che l'autenticazione venga abbandonata e decidere se nascondere le informazioni sull'utente per le connessioni successive. Quest'ultima impostazione specifica che quando l'utente si disconnette, i dati credenziali dell'utente vengono rimossi dal Registro di sistema. In questo modo, quando l'utente successivo si connette, gli saranno richieste le credenziali (nome utente e password).
Per configurare le impostazioni di protezione avanzate per i metodi di autenticazione WPA-Enterprise, WPA2-Enterprise o Aperta con 802.1X scegliere Avanzate. Nella Figura7 viene illustrata la finestra di dialogo Impostazioni di protezione avanzate.
Figura 7** Finestra di dialogo Impostazioni di protezione avanzate **(Fare clic sull'immagine per ingrandirla)
Nella sezione IEEE 802.1X è possibile specificare il numero di EAP successivi sui messaggi LAN (EAPOL)-Start che vengono inviati quando non esiste risposta ai messaggi di EPAOL-Start e l'intervallo di tempo tra la ritrasmissione dei messaggi EAPOL-Start quando non vengono ricevute risposte al messaggio EAPOL-Start precedentemente inviato. È possibile impostare anche il periodo per il quale il client di autenticazione non eseguirà alcuna attività di autenticazione 802.1X dopo aver ricevuto un'indicazione di autenticazione non riuscita da parte dell'autenticatore e l'intervallo che il client di autenticazione attenderà prima di ritrasmettere qualsiasi richiesta 802.1X dopo che l'autenticazione end-to-end 802.1X è stata iniziata.
Il Single Sign-On (SSO) consente di configurare quando si verifica l'autenticazione 802.1X relativa all'accesso utente e di integrare l'accesso dell'utente e le credenziali di autenticazione 802.1X sul server di accesso di Windows. Nella sezione relativa all'SSO, esistono alcune impostazioni per eseguire l'autenticazione wireless subito prima o dopo il processo di accesso utente e per specificare il numero di secondi di ritardo per la connettività prima che il processo inizi. È possibile indicare anche se richiedere all'utente i campi di input aggiuntivi se il metodo di autenticazione richiede all'utente di digitare le credenziali aggiuntive e per quanto tempo visualizzare quei campi e se le reti wireless per questo profilo utilizzano una LAN virtuale diversa (VLAN) per l'autenticazione del computer o dell'utente.
Nella sezione Roaming veloce, è possibile configurare le opzioni di preautenticazione e memorizzazione nella cache PMK (Pairwise Master Key). La sezione Roaming veloce viene visualizzata soltanto quando si seleziona WPA2-Enterprise come metodo di autenticazione. Con la memorizzazione nella cache PMK, i client wireless e i punti di accesso wireless (AP) memorizzano nella cache i risultati dell'autenticazione 802.1X. Quindi, l'accesso è molto più veloce quando un client wireless ritorna a un AP wireless che il client ha già autenticato. È possibile configurare un tempo massimo durante il quale una voce viene conservata nella cache PMK e il numero massimo di voci. Con la preautenticazione, un client wireless è in grado di eseguire un'autenticazione 802.1X con altri AP wireless nel proprio intervallo mentre è ancora connesso all'attuale AP wireless. Se il client wireless ritorna a un AP wireless con il quale è stato preautenticato, il tempo di accesso viene diminuito considerevolmente. È possibile configurare il numero massimo di tentativi di preautenticazione con un AP wireless.
Per ulteriori informazioni sul supporto wireless in Windows, vedere microsoft.com/wifi. Per ulteriori informazioni sui Criteri di gruppo di Windows, vedere le risorse all'indirizzo microsoft.com/gp.
Joseph Daviesè technical writer presso Microsoft. Dal 1992 tiene corsi e scrive su argomenti legati alle reti Windows. Ha scritto cinque libri per Microsoft Press ed è autore della rubrica mensile TechNet Cable Guy su TechNet.
© 2008 Microsoft Corporation e CMP Media, LLC. Tutti i diritti riservati. È vietata la riproduzione completa o parziale senza autorizzazione.