第 9 章:實作無線區域網路安全性基礎結構
發佈日期: 2004 年 11 月 10 日|更新日期: 2005 年 5 月 26 日
本頁內容
簡介
802.1X WLAN 計劃工作表
準備安全 WLAN 環境
設定及部署 WLAN 驗證憑證
設定 WLAN 存取基礎結構
啟用使用者及電腦的 WLAN 存取功能
設定 802.1X 網路的無線 AP
測試及確認
總結
簡介
本章提供詳細的指南,以 Microsoft® Windows Server™ 2003 及 Microsoft Windows® XP Service Pack 1 (SP1) 的 802.1X 通訊協定,來實作無線區域網路(WLAN) 安全性。本章內的指南包括:設定 Active Directory® 目錄服務安全性群組、部署 WLAN 驗證的 X.509 憑證、修改 Microsoft 網際網路驗證伺服器 (IAS) 伺服器設定、部署 WLAN 群組原則,以及設定無線存取點 (AP) 的提示。本章包括以 802.1X 及 EAP-TLS (可延伸驗證通訊協定傳輸層安全性) 來實作 WLAN 安全性時,所需的所有設定。
本章的目標是針對第 6 章<使用 802.1X 設計無線區域網路安全性>中所述的安全 WLAN 設計而提供實作指南。本章並不嘗試說明 802.1X、EAP、RADIUS (遠端驗證撥號使用者服務) 的任何一般概念,也不說明基於 802.1X 的安全 WLAN 實作的任何細節。如需這些技術的概觀,請參閱本章末<其他資訊>一節中所列的文章 "Windows XP Wireless Deployment Technology and Component Overview"(Windows XP 無線部署技術及元件總覽)(英文)。
本章是公開金鑰基礎結構 (PKI)、RADIUS 和 WLAN《規劃指南》及《作業指南》的附加說明。《規劃指南》說明此處所採用實作決策背後的原理。《作業指南》說明成功維護 802.1X 基礎結構所需的工作及程序。如果您尚未閱讀規劃章節,建議您應閱讀後再繼續讀本章。您還需要閱讀並瞭解作業章節中所述支援需求的影響,然後才在生產環境中實作本指南。
本章先決條件
本節包含檢查清單,可協助您判斷貴組織已準備就緒,可以實作 802.1X WLAN。(這裡的「準備就緒」指的是邏輯方面,非關公司業務,實作此解決方案的商業動機已在之前的《規劃指南》中討論過。)
知識先決條件
您應熟悉 802.1X 的概念,以及本標準在相關 Microsoft 產品的實作,例如 Windows Server 2003 與 Windows XP Service Pack 1。以下情況中,您還必須熟悉 Windows 2000 Server 2003 或 Windows 2000:
Active Directory 概念 (包括 Active Directory 結構和工具;操作使用者、群組及其他 Active Directory 物件;群組原則的使用)。
Windows 系統安全性;使用者、群組、存取控制清單 (ACL) 等安全性概念;以及命令列工具的使用。
瞭解批次檔指令碼的編寫。瞭解 Windows Scripting Host 和 Microsoft Visual Basic® Scripting Edition (VBScript) 語言有助您對提供的指令碼有最大程度的瞭解,但並非必需。
您在閱讀本章之前,應閱讀規劃的相關章節,並徹底瞭解解決方案的結構與設計。
組織先決條件
您應該諮詢貴組織中實作本解決方案的其他相關人員,如:
IT 基礎結構先決條件
本章也假設下列條件:
已部署 Windows Server 2003 Active Directory 網域基礎結構。802.1X 解決方案的所有使用者必須是同一 Active Directory 樹系中的網域成員。
**附註:**如需更多有關舊版 Microsoft Windows 相容性的資訊,請參閱附錄 A<Windows 版本支援對照表>。
目前您沒有基於 802.1X 的 WLAN 解決方案。雖然本解決方案不排除與現有 802.1X WLAN 解決方案一起部署,但是不包含整合到現有 802.1X 基礎結構中的指南。
已經按照第 7 章<實作公開金鑰基礎結構>而部署 PKI,並準備執行憑證自動註冊。
必須部署對於 DNS 與動態主機設定通訊協定 (DHCP) 的支援基礎結構,而且準備服務 WLAN 用戶端電腦。
兩部或更多部執行 IAS 的伺服器,做為 RADIUS 伺服器使用,如第 8 章<實作 RADIUS 基礎結構>中所述。本章將執行這些伺服器的進一步設定。
具有 802.1X 相容無線 AP 的 WLAN;以及具有 128 位元有線等位私密 (WEP) 或 WPA 及 802.1X 型 WLAN 網路介面卡 (NIC) 的 Windows XP Professional Service Pack 1。本章將執行這些元件的進一步設定。
本章概觀
本圖顯示以 802.1X 實作 WLAN 安全性的程序,如本章所述。
.gif)
圖 9.1 實作 802.1X 基礎結構的程序圖
上述步驟與本章中的結構相對應,並於下列清單說明之。每一步驟包含安裝或設定工作。每一步驟也含驗證程序,因此您在繼續下一個步驟之前,可以檢查所有項目均正常運作。
802.1X WLAN 規劃工作表。列出本章用來設定 802.1X WLAN 各種元件的設定資訊。內容包含表格,說明開始實作本章內的指南之前,您必須提供的資訊。
準備安全 WLAN 環境。說明 Active Directory 安全性群組的準備工作;在一段時間中設定及管理 802.1X WLAN 需要這些安全性群組。此外,也為 DHCP 提供高階建議。
設定及部署 WLAN 驗證憑證。詳細說明建立及部署 802.1X WLAN 驗證所需要的 X.509 憑證範本。內容也包含部署驗證。
設定 WLAN 存取基礎結構。詳細說明如何建立及設定 802.1X 及 EAP-TLS 網路所需要的 IAS 遠端存取原則。也包括如何將無線 AP 新增為 IAS 伺服器的 RADIUS 用戶端。
啟用使用者及電腦的 WLAN 存取功能。說明透過 Active Directory 設定使用者及電腦權限,以存取安全 WLAN。此外,本節也包含建立及部署 Active Directory 群組原則的步驟,以合適的 802.1X 及 802.11 設定來設定 WLAN 用戶端。
設定 802.1X 網路的無線 AP。列出設定 802.1X 網路的無線 AP 時所必須考慮的主題。
測試及驗證。提供您測試 802.1X WLAN 功能的程序。
回到頁首
802.1X WLAN 計劃工作表
本節內的表格列出本解決方案所用的設定參數。您應將這些表格作為計劃決策的檢查清單。
這些表格中的許多參數需要手動設定,如本章說明程序中所述。許多參數是由某個程序中執行的指令碼所設定,或是由指令碼參照,才能完成其他的設定或操作工作。
附註:《建置指南》中所使用的指令碼在指令碼隨附的 ToolsReadme.txt 檔案中有更詳細的說明。
使用者定義的設定項目
下表列出虛構 Woodgrove Bank 公司的組織專用參數。開始安裝程序之前,應確定已收集或決定貴組織所有項目的對等設定。本章此處所顯示的虛構值將用於以下提供的命令範例。您應使用適合的值取代這些虛構值。需要您用適合值取代的地方以斜體表示。
表 9.1:使用者定義的設定項目
| Active Directory 樹系根網域的 DNS 名稱 |
woodgrovebank.com |
| 網域的網路基本輸入/輸出系統 (NetBIOS) 名稱 |
WOODGROVEBANK |
| 主要 IAS 伺服器的伺服器名稱 |
HQ-IAS-01 |
| 次要 IAS 伺服器的伺服器名稱 |
HQ-IAS-02 |
| 選用性分公司 IAS 伺服器的伺服器名稱 |
BO-IAS-03 |
#### 解決方案指定的設定項目
除非您必須使用不同於解決方案設計的設定,否則不必為您的安裝而變更這個表格所指定的設定。您可以變更此處提供的設計參數,但請注意變更後的作業結果會不同於經過測試的解決方案。確定您完全瞭解變更設定的影響及設定的相依性,再變更設定程序的值以及所提供指令碼的值。
**表 9.2:解決方案指定的設定項目**
| [帳戶] 包含控制 802.1X 使用者驗證憑證之部署的 Active Directory 通用群組 |
自動註冊用戶端驗證 - 使用者憑證 |
| [帳戶] 包括控制 802.1X 使用者驗證憑證之部署的 Active Directory 通用群組的 Pre-Windows 2000 名稱 |
自動註冊用戶端驗證 - 使用者憑證 |
| [帳戶] 包含控制 802.1X 電腦驗證憑證之部署的 Active Directory 通用群組 |
自動註冊用戶端驗證 - 電腦憑證 |
| [帳戶] 包括控制 802.1X 電腦驗證憑證之部署的 Active Directory 通用群組的 Pre-Windows 2000 名稱 |
自動註冊用戶端驗證 - 電腦憑證 |
| [帳戶] 包含需要 802.1X 驗證憑證之 IAS 伺服器的 Active Directory 通用群組 |
自動註冊 RAS 和 IAS 伺服器驗證憑證 |
| [帳戶] 包括需要 802.1X 驗證憑證之 IAS 伺服器的 Active Directory 通用群組的 Pre-Windows 2000 名稱 |
自動註冊 RAS 和 IAS 伺服器驗證憑證 |
| [帳戶] 包含允許存取無線網路之使用者的 Active Directory 通用群組 |
遠端存取原則–無線使用者 |
| [帳戶] 包含允取存取無線網路使用者的 Active Directory 通用群組之 Pre-Windows 2000 名稱 |
遠端存取原則–無線使用者 |
| [帳戶] 包含允許存取無線網路之電腦的 Active Directory 通用群組 |
遠端存取原則 - 無線電腦 |
| [帳戶] 包含允許存取無線網路之電腦的 Active Directory 通用群組 |
遠端存取原則 - 無線電腦 |
| [帳戶] 包含「無線使用者」群組和「無線電腦」群組的 Active Directory 萬用群組 |
遠端存取原則 - 無線存取 |
| [帳戶] 包含「無線使用者」群組和「無線電腦」群組的 Active Directory 萬用群組 |
遠端存取原則 - 無線存取 |
| [帳戶] 包含需要設定無線網路屬性之電腦的 Active Directory 通用群組 |
無線網路原則 - 電腦 |
| [帳戶] 包含需要設定無線網路屬性之電腦的 Active Directory 通用群組 |
無線網路原則 - 電腦 |
| [憑證] 用於產生使用者用戶端驗證憑證的憑證範本 |
用戶端驗證 —使用者 |
| [憑證] 用於產生電腦用戶端驗證憑證的憑證範本 |
用戶端驗證 —電腦 |
| [憑證] 用於產生 IAS 使用之伺服器驗證憑證的憑證範本 |
RAS 和 IAS 伺服器驗證 |
| [指令碼] 安裝指令碼的路徑 |
C:\MSSScripts |
| [設定] 設定備份檔案的路徑 |
D:\IASConfig |
| [要求日誌] IAS 驗證及稽核文字日誌的位置 |
D:\IASLogs |
| [遠端存取原則] 原則名稱 |
允許無線存取 |
| [群組原則] Active Directory 群組原則物件 (GPO) 名稱 |
無線網路原則 |
| [群組原則] GPO 的無線網路原則 |
用戶端電腦無線設定 |
[](#mainsection)[回到頁首](#mainsection)
### 準備安全 WLAN 環境
實作 802.1X 安全無線網路之前,必須先在您的環境中準備支援基礎結構。支援基礎結構包括 Active Directory 及 DHCP 伺服器。如需完整的 WLAN 規劃指南,請參閱 《Windows Server 2003 部署套件》的<部署無線 LAN>一章,以及本章末<其他資訊>一節所列出的其他資源。
#### 建立 WLAN 存取所需的 Active Directory 群組
您必須以有權建立 Active Directory 安全性群組的使用者身份,執行下列指令碼。這個指令碼會建立無線驗證憑證註冊、遠端存取原則、以及無線網路群組原則所需的群組:
Cscript //job:CreateWirelessGroups C:\\MSSScripts\\wl\_tools.wsf
本指令碼會建立下列 Active Directory 安全性群組;本指南其餘部份也會使用這些群組:
- 自動註冊用戶端驗證 - 使用者憑證
- 自動註冊用戶端驗證 - 電腦憑證
- 自動註冊 RAS 和 IAS 伺服器驗證憑證
- 遠端存取原則&\#150;無線使用者
- 遠端存取原則 - 無線電腦
- 遠端存取原則 - 無線存取
- 無線網路原則 - 電腦
在多網域樹系中,這些群組應與無線使用者建立在同一個網域中。
**附註:**此處所建立的大部分群組屬於通用群組,但是必要時可用以代替萬用群組。用於建立安全性群組的指令碼可以輕易修改;複製所用的語法,以建立遠端存取原則 - 無線存取萬用群組。
#### 驗證 DHCP 設定
為配合無線網路,您應以無線特定的範圍,以及比有線用戶端更短的網際網路通訊協定 (IP) 位址租約時間,設定 DHCP 伺服器。請洽詢 DHCP 伺服器系統管理員,確保 DHCP 伺服器妥當設定,可支援無線解決方案。
如需無線網路的 DHCP 完整規劃指南,請參考《Windows Server 2003 部署套件》的<部署無線 LAN>一章。
[](#mainsection)[回到頁首](#mainsection)
### 設定及部署 WLAN 驗證憑證
本指南的安全 WLAN 解決方案使用 X.509 憑證,以 EAP-TLS 執行電腦及使用者驗證。下節詳細說明如何建立及部署下列憑證:
- 用戶端驗證 &\#151;電腦
- 用戶端驗證 &\#151;使用者
- RAS 和 IAS 伺服器驗證
**附註:**請參閱第 11 章<管理公開金鑰基礎結構>,取得這些工作及執行工作所需角色的詳細資訊。
#### 建立伺服器驗證的憑證範本
IAS 伺服器需要伺服器憑證,在 EAP-TLS 通訊協定信號交換時,向用戶端驗證電腦。要求您的「憑證服務」系統管理員使用憑證範本 Microsoft Management Console (MMC) 嵌入式管理單元,在憑證服務伺服器執行下列步驟,建立 IAS 伺服器所使用的伺服器驗證憑證範本。
**建立伺服器驗證的憑證範本**
1. 建立 RAS 及 IAS 伺服器憑證範本的複本。將「RAS 及 IAS 伺服器驗證」輸入到新範本內容 \[一般\] 索引標籤上的 \[範本顯示名稱\] 欄位內。
2. 在 \[延伸\] 索引標籤上,確保應用程式原則僅包含 \[伺服器驗證 (OID 1.3.6.1.5.5.7.3.1)\]。
3. 另外,在 \[延伸\] 索引標籤上,編輯 \[發行\] 原則並新增 \[中度保證\] 原則。
4. 在 \[主體名稱\] 索引標籤,選取 \[用這項 Active Directory 資訊來建立\]。此外,確定 \[主體名稱格式\] 設為 \[一般名稱\],並且 \[在主體替代名稱包含這項資訊\] 底下,僅選取 \[DNS 名稱\]。
5. 在 \[要求處理\] 索引標籤,按一下 \[CSPs\] 按鈕,確定已選取 \[要求必須是以下其中一個 CSP\],並且僅選取 \[Microsoft RSA SChannel 密碼編譯提供者\]。
6. 在 \[安全性\] 索引標籤,新增自動註冊 RAS 及 IAS 伺服器驗證憑證安全性群組,並使其具有「讀取」、「註冊」及「自動註冊」權限。
**重要:**您應移除其他有權註冊及/或自動註冊此憑證範本的群組。 在相關的憑證範本註冊 (或自動註冊) 群組,加入任何必須註冊這些憑證的使用者或群組。這個設定會防止使用者或群組意外註冊錯誤憑證。如需更多詳細資訊,請參閱第 11 章<管理公開金鑰基礎結構>的<建立憑證範本註冊群組>一節。
第 4 章<設計公開金鑰基礎結構>有討論如何設定此憑證類型需要憑證管理員的核准。因為這個憑證具有相對的高價值,您應考慮在這個選項新增額外檢查,防止有人註冊惡意的 IAS 伺服器。這個方法表示發行憑證需要手動核准 (雖然 IAS 伺服器仍然自動傳送要求,並且核准要求後,自動擷取憑證)。
#### 建立使用者驗證的憑證範本
在 EAP-TLS 驗證時,一般使用者需要使用者憑證,以便向 IAS 伺服器驗證。要求您的憑證服務系統管理員使用憑證範本 MMC 嵌入式管理單元,在憑證服務伺服器執行下列步驟,建立使用者驗證憑證範本。
**建立使用者驗證憑證範本**
1. 建立經過驗證的工作階段範本的複本。將「用戶端驗證 - 使用者」輸入到新範本 \[一般\] 索引標籤上的 \[範本顯示名稱\] 欄位內。
2. 在 \[要求處理\] 索引標籤上,選取 \[CSPs\],並清除 \[Microsoft 基本 DSS 密碼編譯提供者\] 核取方塊。
3. 在 \[主體名稱\] 索引標籤上,確認選取 \[用這項 Active Directory 資訊來建立\]。在 \[主體名稱格式\] 下,選取 \[一般名稱\]。確定 \[在次要主體名稱中包含這些資訊\] 底下,僅選取 \[使用者主要名稱 (UPN)\] 選項。
4. 在 \[延伸\] 索引標籤上,確定 \[應用程式原則\] 僅包含 \[用戶端驗證 (OID 1.3.6.1.5.5.7.3.2)\]。
5. 另外,在 \[延伸\] 索引標籤上,編輯 \[發行\] 原則並新增 \[低度保證\] 原則。
6. 在 \[安全性\] 索引標籤上,新增自動註冊用戶端驗證 - 使用者憑證安全性群組,並使其具有「讀取」、「註冊」及「自動註冊」權限。
**重要:**您應移除其他有權註冊及/或自動註冊此憑證範本的群組。 在相關的憑證範本註冊 (或自動註冊) 群組,加入所有必須註冊這些憑證的使用者或群組。請參閱先前的注意事項。
#### 建立電腦驗證的憑證範本
在 EAP&\#150;TLS 驗證時,需要憑證,向 IAS 伺服器驗證電腦。要求您的憑證服務系統管理員使用憑證範本 MMC 嵌入式管理單元,在憑證服務伺服器執行下列步驟,建立電腦驗證憑證範本。
**建立電腦驗證憑證範本**
1. 建立工作站驗證範本的複本。將「用戶端驗證 - 電腦」輸入到新範本 \[一般\] 索引標籤上的 \[範本顯示名稱\] 欄位內。
2. 在 \[主體名稱\] 索引標籤上,確認選取 \[用這項 Active Directory 資訊來建立\]。在 \[主體名稱格式\] 下,選取 \[一般名稱\]。確定 \[在次要主體名稱包含這項資訊\] 底下,僅選取 \[DNS 名稱\] 選項。
3. 在 \[延伸\] 索引標籤上,編輯應用程式原則,並確保僅包含 \[用戶端驗證 (OID 1.3.6.1.5.5.7.3.2)\]。
4. 另外,在 \[延伸\] 索引標籤上,編輯 \[發行\] 原則並新增 \[低度保證\] 原則。
5. 在 \[安全性\] 索引標籤上,新增自動註冊用戶端驗證─使用者驗證憑證 (WOODGROVEBANK\\自動註冊用戶端驗證 - 電腦憑證) 安全性群組,並使其具有「讀取」、「註冊」及「自動註冊」權限。
**重要:**您應移除其他有權註冊及/或自動註冊此憑證範本的群組。 在相關的憑證範本註冊 (或自動註冊) 群組,加入所有必須註冊這些憑證的使用者或群組。請參閱先前的注意事項。
#### 將 WLAN 驗證憑證新增到憑證授權單位
在您完成設定 WLAN 驗證憑證範本之後,必須將它們新增到憑證授權單位 (CA),來註冊它們。要求您的憑證服務系統管理員執行下列步驟,將憑證範本新增到 CA。
**將憑證範本新增到 CA**
在憑證授權單位 MMC 嵌入式管理單元的 \[憑證範本\] 資料夾按一下右鍵,再選取 \[新增\] 及 \[要發行的憑證範本\]。**選取下列憑證,再按** \[確定\]:
- 用戶端驗證 &\#151;電腦
- 用戶端驗證 &\#151;使用者
- RAS 和 IAS 伺服器驗證
#### 註冊 IAS 伺服器憑證
將伺服器驗證憑證部署到 IAS 伺服器,相當簡單自動。完成下節的步驟,執行這項工作。
**註冊 CA 的 IAS 伺服器驗證憑證**
1. 使用 Active Directory 使用者及電腦 MMC 嵌入式管理單元,將 IAS 電腦帳戶新增到自動註冊 RAS 及 IAS 伺服器驗證憑證安全性群組。
**重要:**您必須重新啟動伺服器,以便伺服器能收到這個新群組的成員資格。
2. 以本機管理員群組的成員身分登入 IAS,並在命令提示中執行 GPUPDATE /force。
3. 開啟 MMC,然後新增 \[憑證\] 嵌入式管理單元。系統提示時請選取 \[電腦帳戶\] 選項,然後選取 \[本機電腦\]。
4. 選取主控台樹的 \[憑證 (本機電腦)\] 及 \[執行\] 功能表的 \[所有工作\],再按 \[自動註冊憑證\]。
**附註:**如果已選取 \[需要憑證管理員核准\] 選項,您必須聯絡 CA 系統管理員,確認 IAS 伺服器的要求合格。完成確認後,CA 系統管理員會發行憑證。
#### 確認 IAS 伺服器憑證部署
發行註冊 IAS 伺服器憑證及將它部署到伺服器憑證存放區的速度,取決於憑證範本的憑證核准設定。因為伺服器每隔幾小時輪詢 CA 一次,因此可能有延遲。
**確認已部署 IAS 伺服器驗證憑證**
1. 以本機系統管理員群組的成員身分登入本機電腦,開啟憑證 MMC 嵌入式管理單元,然後新增 \[憑證\] 嵌入式管理單元。系統提示時請選取 \[電腦帳戶\] 選項,然後選取 \[本機電腦\]。
2. **開啟** **\[憑證** (本機電腦)\]、\[個人\]、\[憑證\] 存放區,尋找 RAS 及 IAS 伺服器驗證憑證範本所發行到本機電腦名稱的憑證。您可以在右窗格看到範本名稱。可能需要水平捲動,才看得到適當直欄。
3. 如果憑證 MMC 嵌入式管理單元內沒有出現必要的憑證,請選取主控台樹的 \[憑證 (本機電腦)\],以及 \[執行\] 功能表的 \[所有工作\],再選取 \[自動註冊憑證\]。稍等這個動作完成,然後再更新 \[個人\]、\[憑證\] 資料夾檢視。
**附註:**您也可以在應用程式事件日誌尋找自動註冊來源及事件 ID 19,確定憑證自動註冊成功。
#### 將使用者及電腦新增到自動註冊群組
將 WLAN 驗證憑證部署到使用者及電腦,對於一般使用者通常是透明的。這個程序需要區域網路 (LAN) 連線、網域使用者帳戶,以及已加入 Active Directory 網域的電腦。
需要存取新 WLAN 的使用者及電腦必須事先部署憑證,以確保它們能執行 EAP-TLS 驗證。在執行 Windows XP 及 Windows Server 2003 的電腦上,不需一般使用者輸入,即可自動註冊及更新電腦及使用者憑證。憑證註冊及更新是透過 Active Directory 安全性群組所控制。
**附註:**本解決方案使用自訂安全性群組 (自動註冊用戶端驗證 - 使用者憑證,以及自動註冊用戶端驗證 - 電腦憑證),以限制哪些使用者及電腦將自動註冊 WLAN 憑證。如果您想要所有網域使用者與電腦都能接收 WLAN 憑證,您可將網域使用者新增到自動註冊用戶端驗證 - 使用者憑證群組,並將網域電腦新增到自動註冊用戶端驗證 - 電腦憑證群組。
**將使用者及電腦新增到自動註冊安全性群組**
1. 開啟 Active Directory 使用者及電腦 MMC 嵌入式管理單元。
2. 將使用者新增到自動註冊用戶端驗證 - 使用者憑證群組。
3. 將電腦新增到自動註冊用戶端驗證 - 電腦憑證群組。
**重要:**使用者必須先登出,然後再次登入,在他們的存取權杖中才能收到新的群組成員資格。電腦必須重新開機,在它們的存取權杖中才能收到新的群組成員資格。請確定完成上述兩件工作,才能繼續執行驗證步驟。
##### 確認使用者憑證部署
以自動註冊用戶端驗證 - 使用者憑證群組的使用者身份登入,執行下列步驟。
**確認使用者驗證憑證部署**
1. 如果您還沒有完成這項工作,請登出,然後以選取的使用者身份再登入。開啟 MMC,在其中新增 \[憑證\] 嵌入式管理單元。**出現提示時,請選取** \[我的使用者帳戶\] 選項。
2. 開啟 \[憑證 - 目前使用者\]、\[個人\]、\[憑證\] 存放區,尋找用戶端驗證 - 使用者憑證範本所發行給使用者的憑證。您可以在右窗格看到範本名稱。可能需要水平捲動,才看得到適當直欄。
3. 如果**憑證**嵌入式管理單元沒有出現必要的憑證,請在命令提示執行 GPUPDATE /force,等幾分鐘後,再更新 \[個人\]、\[憑證\] 資料夾檢視。
##### 確認電腦憑證部署
在自動註冊用戶端驗證 - 電腦憑證群組的用戶端電腦,執行下列步驟。
**確認電腦驗證憑證部署**
1. 如果將它新增到憑證自動註冊群組後還沒有重新啟動電腦,請現在就重新啟動。
2. 以本機系統管理員群組的成員身分登入本機電腦,開啟 MMC,然後新增 \[憑證\] 嵌入式管理單元。系統提示時請選取 \[電腦帳戶\] 選項,然後選取 \[本機電腦\]。
3. 開啟 \[憑證 (本機電腦)\]、\[個人\]、\[憑證\] 存放區,尋找用戶端驗證 - 電腦憑證範本所發行到本機電腦名稱的憑證。您可以在右窗格看到範本名稱。可能需要水平捲動,才看得到適當直欄。
4. 如果**憑證**嵌入式管理單元沒有出現必要的憑證,請在命令提示執行 GPUPDATE /force,等幾分鐘後,再更新 \[個人\]、\[憑證\] 資料夾檢視。
**秘訣:**您可能要重新啟動電腦,強制重新嘗試自動註冊憑證。您也可以在應用程式事件日誌尋找自動註冊來源及事件 ID 19,確定憑證自動註冊成功。
[](#mainsection)[回到頁首](#mainsection)
### 設定 WLAN 存取基礎結構
您必須以遠端存取原則及連線要求設定,決定向 WLAN 驗證並授權無線使用者及電腦,設定主要 IAS 伺服器。接著這些設定必須複製到其他 IAS 伺服器;請使用第 8 章<實作 RADIUS 基礎結構>的<將設定部署到多個 IAS 伺服器中>一節內詳細說明的程序來執行。接著,每個 IAS 伺服器必須單一設定為接受 RADIUS 用戶端 (如無線 AP) 的連線。然後必須設定無線 AP,使 IAS 伺服器成為其 802.1X 網路的驗證及帳戶處理來源。
#### 建立 WLAN 的 IAS 遠端存取原則
使用網際網路驗證服務 MMC 嵌入式管理單元,執行下列步驟,設定 IAS 的無線網路遠端存取原則。
**建立 IAS 的遠端存取原則**
1. 在 \[遠端存取原則\] 資料夾按右鍵,選取 \[建立新遠端存取原則\]。
2. **將原則命名為** **\[**允許無線存取\],並指示精靈設定 \[普通狀況使用一般原則\]
3. 選擇 \[無線\] 作為存取方法。
4. 根據群組授與存取權,並使用 \[遠端存取原則 - 無線存取\] 安全性群組。
5. 選擇可延伸驗證通訊協定 (EAP) 類型 \[智慧卡或其他憑證\],再選取已安裝的 IAS 伺服器驗證憑證。完成並結束精靈。
**附註:**\[允許無線存取\] 新原則可與其他使用者所建立的遠端存取原則或預設遠端存取原則同時存在。不過,最好刪除 \[遠端存取原則\] 資料夾的所有預設遠端存取原則,或在 \[允許無線存取\] 原則之後列出。
##### 修改 WLAN 存取原則設定檔設定
您應變更先前所建立的遠端存取原則的預設設定,以忽略 Active Directory 使用者撥入設定選項,因為這個設定可能對部份無線 AP 會造成問題。此外,用戶端重新驗證應定時設定 RADIUS 屬性,確保更新 WEP 的工作階段金鑰。如需遠端存取原則設定的更多資訊,請參閱第 6 章<使用 802.1X 設計無線區域網路安全性>。
**修改無線存取原則設定檔設定**
1. **開啟** \[允許無線存取\] 原則內容,再按一下 \[編輯設定檔\]。
2. 在 \[撥入限制\] 索引標籤,選取 \[可連接用戶端的分鐘數 (工作階段逾時時間)\] 選項,然後輸入 \[10 分鐘\]。
**附註:**在不會嚴重危害安全性的情況下,您最多可設 60 分鐘的較長逾時值。如此將提供您對於暫時網路中斷更具彈性的安裝,並減輕 IAS 伺服器的負載。
3. 在 \[進階\] 索引標籤上,新增 \[Ignore-User-Dialin-Properties\] 屬性,並設定為 \[True\],然後再新增 \[Termination-Action\] 屬性,並設定為 \[RADIUS Request\]。
##### 確認 WLAN 的連線要求原則
預設 IAS 連線要求原則會指示 IAS 直接向 Active Directory 驗證使用者及電腦。執行下列步驟,確認預設連線要求原則的設定。
**確認預設連線要求原則的設定**
1. 開啟網際網路驗證服務 MMC 嵌入式管理單元,檢視 \[對所有使用者使用 Windows 驗證\] 連線要求 原則的內容。
2. 確認原則條件清單包含 **Date-And-Time-Restrictions matches "Sun 00:00-24:00; Mon 00:00-24:00; Tue 00:00-24:00; Wed 00:00-24:00; Thu 00:00-24:00; Fri 00:00-24:00; Sat 00:00-24:00"**
3. 按一下 \[編輯設定檔\] 按鈕。在 \[驗證\] 索引標籤上,確認選取 \[驗證這個伺服器上的要求\]。
4. 確定 \[屬性\] 索引標籤上沒有規則。
**附註:**這個解決方案不需要其他連線要求原則設定。不過,您的組織可能已設定各種情況使用的其他設定。
設定 WLAN 存取之後,在主要 IAS 伺服器上所做的任何設定變更,應複製到其他 IAS 伺服器。請使用第 8 章<實作 RADIUS 基礎結構>的<將設定部署到多個 IAS 伺服器中>一節內詳細說明的程序來執行。
##### 將 RADIUS 用戶端新增到 IAS
您必須先將無線 AP 及 RADIUS proxy 當作 RADIUS 用戶端新增到 IAS,它們才能透過 RADIUS 通訊協定運用驗證及帳戶處理服務。將無線 AP 新增到 IAS,請在網際網路驗證伺服器 MMC 嵌入式管理單元,執行下列步驟。
**將 RADIUS 用戶端新增到 IAS**
1. 在 \[RADIUS 用戶端\] 資料夾按一下右鍵,再選取 \[新增 RADIUS 用戶端\]。
2. 輸入無線 AP 的好記名稱及 IP 位址。
3. **選取** \[RADIUS 標準\] 作為用戶端–廠商屬性,然後再輸入這個特定無線 AP 的共用密碼 (您可以使用下一個程序中說明的 GenPwd 指令碼,產生增強式密碼。)然後選取 \[要求必須包含訊息驗證者\] 屬性。
**附註:**部份 RADIUS 用戶端可能需要設定特定廠商的屬性 (VSA),才能正常運作。請參閱 AP 的說明文件,取得有關 VSA 需求的資訊。
您可以使用本指南隨附的 GenPwd 指令碼,產生隨機的增強式 23 字元密碼,分別讓每個設定為 RADIUS 用戶端的無線 AP 使用。GenPwd 會為每個 RADIUS 用戶端產生一個經過密碼編譯的隨機密碼,並將該密碼與好記的名稱一起儲存在 Clinents.txt 檔案中。GenPwd 會自動將資訊附加至目前目錄中的 Clients.txt 檔案,並採用逗號分隔值的形式。
請*勿*將這個檔案複製到伺服器的硬碟中。請將檔案保存在軟碟片或其他可寫入的卸除式媒體中,標示為「伺服器 ***HQ-IAS-01*** 的 RADIUS 用戶端」(以您的伺服器名稱取代 *HQ-IAS-01*),然後妥善保存。第 12 章<管理 RADIUS 和無線區域網路安全性基礎結構>內,匯出及匯入 RADIUS 用戶端會使用這片伺服器特定磁片。
**使用 GenPwd 在 Clients.txt 檔案產生 RADIUS 密碼**
1. 開啟命令提示,使磁碟機 A: 成為目前的目錄。(如果您使用磁片以外的媒體類型,請在這裡使用合適的磁碟機字母。) 因為 GenPwd 會將新資訊自動附加到預設目錄的 Clients.txt,所以檔案系統目錄的位置很重要。如果 Clients.txt 檔案不存在,則會建立一個。
2. 執行下列命令。請務必以 *ClientName* 取代無線 AP 的好記名稱。這個名稱可能是 DNS 名稱或其他字串:
Cscript //job:GenPWD C:\\MSSScripts\\wl\_tools.wsf /client:*用戶端名稱*
**重要:**您應將 RADIUS 用戶端存放磁片放置在安全位置,以備緊急復原之用。檔案建立後,就能輕鬆地將逗號分隔文字檔匯入試算表或資料庫應用程式,進行參照及編輯。
[](#mainsection)[回到頁首](#mainsection)
### 啟用使用者及電腦的 WLAN 存取功能
啟用使用者及電腦存取安全 WLAN 的最後步驟,包含您必須在 Active Directory 物件上執行的動作。動作包含確認帳戶權限、修改群組成員及實作 WLAN 群組原則設定。您可以控制方式執行這些動作,配合分階段的部署排程,並降低環境重大變更的風險。
#### 確認 Active Directory 遠端存取權限
Active Directory 使用者及電腦帳戶必須有正確的遠端存取權限,才能運用遠端存取原則。在原生模式的 Active Directory 網域,帳戶的遠端存取權限會預設為 \[透過遠端存取原則來控制存取\];因此,一般不需修改。
不過,您可以使用 Active Directory 使用者及電腦 MMC 嵌入式管理單元,確認已正確設定目標使用者及電腦。檢查帳戶內容的 \[撥入\] 索引標籤,已選取 \[遠端存取權限 (撥入或 VPN)\] 設定的 \[透過遠端存取原則來控制存取\]。
#### 將使用者新增到遠端存取原則群組
IAS 的遠端存取原則會使用 Active Directory 安全性群組,決定使用者及電腦是否已經授權可連線到 WLAN。本章稍早建立的安全性群組包括下表說明的群組。
**表 9.3:Active Directory 安全性群組**
| 遠端存取原則–無線使用者 |
需要存取 WLAN 的使用者通用群組。 |
| 遠端存取原則 - 無線電腦 |
需要存取 WLAN 的電腦通用群組。 |
| 遠端存取原則 - 無線存取 |
包含以上兩個通用群組的萬用群組。 |
使用 Active Directory 使用者及電腦 MMC 嵌入式管理單元,將「遠端存取原則 - 無線使用者」群組,以及「遠端存取原則 - 無線電腦」,新增到「遠端存取原則 - 無線存取」群組。
**重要:**本解決方案使用自訂安全性群組 (遠端存取原則 – 無線使用者,以及遠端存取原則 – 無線電腦),對允許存取 WLAN 的使用者與電腦進行限制。如果您想要所有網域使用者與電腦都能存取 WLAN,您可以將網域使用者與網域電腦群組新增至這些自訂安全性群組,以簡化管理。
現在群組結構已備妥,可填入有權存取 WLAN 的使用者及電腦。
**將使用者及電腦新增到 WLAN 存取群組**
1. 開啟 Active Directory 使用者及電腦 MMC 嵌入式管理單元。
2. 將可存取 WLAN 的使用者新增到「遠端存取原則-無線使用者 (WOODGROVEBANK\\遠端存取原則-無線使用者)」群組。
3. 將可存取 WLAN 的電腦新增到「遠端存取原則-無線電腦 (WOODGROVEBANK\\遠端存取原則-無線電腦)」群組。
**附註:**如需有關啟用使用者及電腦 WLAN 驗證的相關討論,請參閱第 6 章<使用 802.1X 設計無線區域網路安全性>。
#### 建立 Active Directory WLAN 群組原則
您可以利用 Windows 群組原則,將用戶端電腦 WLAN 設定予以自動化並執行。Windows Server 2003 的群組原則 MMC 公開了 \[無線網路原則\] 設定,其中包含 802.1X 安全性及 802.11 WLAN 行為的相關設定。
若要建立用戶端電腦的 802.1X WLAN 無線網路群組原則設定檔,請使用 Acitve Directory 使用者及電腦 MMC 嵌入式管理單元,執行下列步驟。
**附註:**
建立網域層級的 GPO,不一定適合所有組織。請檢閱組織的群組原則策略,決定 GPO 的最佳位置。
如果您從 Windows 2000 或 Windows XP 系統編輯 GPO,GPO MMC 內將不會顯示無線 GPO 設定。您必須從 Windows Server 2003 系統,或有安裝 Windows Server 2003 管理工具的系統來進行編輯。您可以使用 Windows 2000 或 Windows Server 2003 Active Directory 內的這些 GPO 設定。
**建立無線網路群組原則**
1. 選取您的網域物件內容 (如 woodgrovebank.com),在 \[群組原則\] 索引標籤上,按一下 \[新增\],並將 GPO 命名為無線網路原則。
2. 按一下 \[內容\] 按鍵,在 \[安全性\] 索引標籤上,賦予「無線網路原則 — 電腦安全性」群組「讀取」及「套用群組原則」的權限。此外,也要從 GPO 上已驗證的使用者移除 \[套用群組原則\] 的權限。
3. 在 \[一般\] 索引標籤,對原則物件選取 \[停用使用者設定\],並在出現的警告訊息選取 \[是\]。套用變更,並關閉 \[GPO 內容\] 視窗。
4. 按一下 \[編輯\] 按鈕以編輯原則,並瀏覽到 \[\\電腦設定\\Windows 設定\\安全性設定\\無線網路 (IEEE 802.11)\] 原則。
5. **在導覽視窗,選取** **\[無線網路** (IEEE 802.11) 原則\] 物件,再選取 \[執行\] 功能表的 \[建立無線網路原則\]。使用精靈將原則命名為「用戶端電腦無線設定」。選取 \[編輯內容\] 選項,然後按一下 \[完成\] 以關閉精靈。
6. 在 \[用戶端電腦無線設定\] 原則的 \[慣用網路\] 索引標籤上,選取 \[新增\],然後輸入無線網路的網路名稱或服務集識別碼 (SSID)。
**附註:**如果用戶端使用現有的 WLAN,您必須為新的 802.1X 無線區域網路選擇不同的 SSID。然後將這個新的 SSID 輸入 802.1X 無線網路設定檔中。
7. 按一下 \[IEEE 802.1X\] 索引標籤,然後開啟 \[智慧卡或其他憑證\] EAP 類型的設定。在 \[信任的根憑證授權單位\] 底下,選取發行 IAS 伺服器憑證的 PKI 根 CA 憑證 (亦即第 7 章<實作公開金鑰基礎結構>內安裝的 PKI)。
8. 關閉 \[用戶端電腦無線設定\] 及 \[群組原則物件編輯器\] 的內容。
#### 將電腦新增到 WLAN 群組原則的安全性群組
Active Directory 安全性群組會用來決定哪些電腦已套用無線網路原則,以自動設定 802.11 及 802.1X 設定。
在設定無線 AP 的 802.1X 設定及啟動新的 WLAN 之前,您必須先部署 802.1X 新網路的無線網路群組原則設定。這個方法確保用戶端電腦即使很少連接有線 LAN,也有足夠的機會來下載並套用電腦的群組原則。
在 Windows 安裝及設定 WLAN 網路介面卡 (NIC) 之前,群組原則設定可套用到電腦。完成安裝無線區域網路NIC 之後,就會自動擷取並套用正確的無線網路群組原則設定。
**重要:**本解決方案使用自訂安全性群組 (無線網路原則 – 電腦),以決定哪些電腦會接收 WLAN 的設定。如果您要讓所有電腦接收 WLAN 設定的設定值,您可以將網域電腦或已驗證的使用者群組新增至此群組以簡化管理。您應瞭解,如此將使原則設定套用到所有伺服器,以及網域內的用戶端電腦 (若您使用網域電腦) 或樹系 (若您使用已驗證的使用者)。
**將電腦新增到無線網路群組原則的群組**
1. 使用 Acitve Directory 使用者及電腦 MMC 嵌入式管理單元,將電腦新增到「無線網路原則 — 電腦」群組。
2. 請確定電腦必須先重新啟動,才能嘗試使用 WLAN。(這個步驟有必要,以允許電腦接收在先前步驟中設定的新群組成員資格。)
**附註:**用戶端電腦的無線網路 GPO 設定會在下個電腦群組原則更新間隔內更新。您也可以在命令提示使用 GPUPDATE /force 命令,強制更新電腦原則。
#### 確認 WLAN 群組原則應用
在已加入 Active Directory **用戶端電腦無線設定**安全性群組的用戶端電腦,執行下列步驟。
**附註:**電腦必須由 Windows 安裝且辨識無線網路介面卡之後,才會顯示無線網路原則。
**確認無線網路設定部署**
1. 以管理員身份登入本機電腦,按一下 \[開始\]、\[執行\],然後輸入下列命令,以開啟 \[網路連線\] 資料夾:
ncpa.cpl
2. 請檢視對應於無線卡的 \[無線網路連線\] 圖示的內容。您應在 \[無線網路\] 索引標籤的 \[慣用網路\] 之下,看到新無線網路的 SSID 名稱。選取新的無線網路設定,並按一下 \[內容\],檢視設定,確認它們符合無線網路群組原則所選取的項目。
3. 如果 SSID 沒有出現在 \[慣用網路\] 底下,或網路設定不符合無線網路群組原則的設定,請關閉所有的無線網路對話方塊,並在命令提示執行 GPUPDATE /force。幾分鐘後,再次檢閱設定。
[](#mainsection)[回到頁首](#mainsection)
### 設定 802.1X 網路的無線 AP
設定無線 AP 的程序會因裝置製造商及機型不同而有重大差異。不過,無線 AP 廠商通常會提供下列設定裝置的指示:
- 802.1X 網路設定。
- 主要 RADIUS 驗證伺服器的 IP 位址。
- 主要 RADIUS 帳戶處理伺服器的 IP 位址。
- 與主要 RADIUS 伺服器共用的 RADIUS 密碼。
- 次要 RADIUS 驗證伺服器的 IP 位址。
- 次要 RADIUS 帳戶處理伺服器的 IP 位址。
- 與次要 RADIUS 伺服器共用的 RADIUS 密碼。
如需設定 802.1X 無線 AP 的有關資訊,請參閱廠商的說明文件。
如果您環境裡的使用者正在使用設定為沒有安全性,或只有靜態 WEP 安全性的無線 AP,您就必須開發遷移計劃。如需從現有無線網路遷移的更多資訊,請參閱第 6 章<使用 802.1X 設計無線區域網路安全性>。雖然本指南不提供設定不同廠商無線 AP 的指示,但是在第 6 章內還是可以找到有關無線 AP 安全性主題的討論。
[](#mainsection)[回到頁首](#mainsection)
### 測試及確認
您應該利用已設定電腦憑證、使用者憑證、無線網路群組原則及 WLAN NIC 的用戶端電腦,測試 802.1X WLAN 的功能。
**測試無線網路功能**
1. 重新啟動「遠端存取原則 - 無線電腦安全性」群組的用戶端電腦成員。
2. 以「遠端存取原則 - 無線使用者」群組的成員使用者身份,登入電腦。
3. 在命令提示,使用 **ping** 命令,測試連線到網路另一部電腦的網路連線功能。
如需更詳細的測試程序,請參閱第 13 章<測試解決方案>。
[](#mainsection)[回到頁首](#mainsection)
### 總結
如果執行完本章所述全部程序,應該已完成以下工作:
- 已建立及設定管理 WLAN 安全性元件所使用的 Active Directory 安全性群組。
- 已建立必要的憑證範本,將無線憑證部署到您的 IAS 伺服器、選取的電腦及一般使用者。
- 已建立及設定無線網路的 IAS 遠端存取原則及連線要求原則。
- 已設定 802.1X 無線 AP。
- 已建立無線網路群組原則,並將它部署到選取的用戶端電腦。
完成這些工作之後,802.1X WLAN 安全性基礎結構應可以完全運作,而且準備就緒,能強化組織網路的安全性。
#### 其他資訊
- <[使用 Windows 2000 遠端存取原則以群組為基礎管理遠端存取](https://www.microsoft.com/windows2000/techinfo/administration/management/pgremote.asp)>(英文) 這篇文章位於下列網址:https://www.microsoft.com/windows2000/techinfo/
administration/management/pgremote.asp。
- 《[Windows Server 2003 產品說明文件](https://www.microsoft.com/windowsserver2003/proddoc/default.mspx)》(英文) 位於下列網址:www.microsoft.com/windowsserver2003/proddoc/default.mspx。產品文件提供了 IAS 功能概觀、基本設定指示及部署的最佳作法。
- 《[IAS 技術參考](https://www.microsoft.com/resources/documentation/windowsserv/2003/all/techref/en-us/w2k3tr_ias_intro.asp)》(英文) 提供有關 IAS 的詳細技術資訊,您需要更多資訊時,可作為參考。網址是:https://www.microsoft.com/resources/documentation/windowsServ/2003/all/techref/en-us/W2K3TR\_ias\_intro.asp。
- 《*Microsoft Windows Server 2003 部署套件*》的<[部署無線 LAN](https://www.microsoft.com/resources/documentation/windowsserv/2003/all/deployguide/en-us/dnsbm_wir_overview.asp)>(英文) 一章的網址是:www.microsoft.com/resources/documentation/
WindowsServ/2003/all/deployguide/en-us/DNSBM\_WIR\_OVERVIEW.asp。
部署套件的這一章包含在一系列情況下使用 IAS 的部署指南,其內容不在本安全無線網路指南的範圍內,但會影響設計決策。
- 如需有關 802.1X WLAN、WLAN 安全性課題及相關標準的廣泛討論,請參閱[非官方 802.11 安全性網頁](https://www.drizzle.com/~aboba/ieee/) (英文),網址是:www.drizzle.com/~aboba/IEEE/。
- 如需有關 WLAN 解決方案資訊及業界資訊,請造訪 [Wi-Fi 聯盟網站](https://www.wi-fialliance.org/) (英文),網址是:www.wi-fialliance.org。
- 如需有關 WLAN 技術的資訊,包括背景資訊、市場調查、白皮書及訓練計畫,請造訪[無線區域網路協會 (WLANA) 教育中心](https://www.wlana.org/learning_center.html) (英文),網址是:www.wlana.org/learning\_center.html。
- 如需有關 EAP-TLS、EAP over LAN (EAPOL)、EAP-RADIUS、RADIUS 及其他搭配 802.1X 網際網路標準的資訊,請參閱[網際網路工程任務推動小組 (IETF) 網站](https://www.ietf.org/) (英文),網址是:www.ietf.org/。
- 相關的 WLAN 標準包括:802.11、802.11b、802.11a、802.11g、802.1X、802.11i 以及其他。在 [IEEE 無線標準區](https://standards.ieee.org/wireless/) (英文),可找到這些標準的相關資訊,網址是:https://standards.ieee.org/wireless/。
- 如需 802.1X WLAN 技術的更多資訊,請參閱文件《[Windows XP 無線網路部署技術與元件概觀](https://www.microsoft.com/technet/prodtechnol/winxppro/maintain/wificomp.mspx)》(英文),網址是:www.microsoft.com/technet/prodtechnol/winxppro/maintain/wificomp.mspx。
[](#mainsection)[回到頁首](#mainsection)