In diesem Dokument werden wir versuchen zu erklären, wie wir ein Sicherheitsniveau in unserem WLAN-Netzwerk einrichten können, für einen kontrollierten und sicheren Gerätezugriff, basierend auf der Authentifizierung durch die Benutzer unseres Active Directory,

Das erste, was wir brauchen, ist die Installation einer Enterprise Certificate Authority in unserer Domain, um den Wi-Fi-Zugang unserer Kunden zu sichern.

Sobald die Zertifizierungsstelle installiert ist, generieren wir ein Computerzertifikat, das wir für unsere Radius-Validierung verwenden. Dazu öffnen wir eine MMC-Konsole und fügen die Zertifikatskonsole hinzu.

Wir werden nun einen Antrag auf ein neues Zertifikat stellen, in diesem Fall vom Typ Domänencontroller, da es sich um einen Domänencontroller handelt, auf dem wir unseren NPS-Server installieren. Für den Fall, dass es anders ist, werden wir ein Gerätezertifikat anfordern.

Wir drücken auf Einschreiben.

Sobald das Zertifikat erstellt wurde, konfigurieren wir eine Active Directory-Gruppe, die die Benutzer und Computer enthält, denen wir Zugriffsberechtigungen erteilen möchten.

Für sie öffnen wir Active Directory-Benutzer und -Computer und erstellen eine universelle Gruppe im Active Directory, die die Benutzer und Computer enthält, denen wir Berechtigungen bei der Authentifizierung unseres WIFI-Netzwerks erteilen möchten.

Zu dieser Gruppe fügen wir die Benutzer und Computer hinzu, auf die wir Zugriff gewähren.

Wir haben jetzt die Grundlage, um mit der Inbetriebnahme unseres NPS-Servers zu beginnen. Jetzt installieren wir die Rolle “Netzwerkrichtlinien- und Zugriffsdienste”,

Wir hinterlassen Spuren “Server für Netzwerkrichtlinien”, “Routing- und RAS-Dienste”, “Fernzugriffsdienst” & “Routing”

Gehen wir nun zu NPS und erstellen eine Standardkonfiguration: “RADIUS für 802.1X Wireless” und drücken Sie die Taste “Konfigurieren von 802.1X”,

Markieren “Sichere drahtlose Verbindungen” Und wir geben ihm einen Namen,

Wir fügen unsere Radius-Clients hinzu, die unsere Access Points sein werden

Wir geben der AP einen Namen, Ihre IP-Adresse und wir erstellen ein Passwort, das Sie an den AP weitergeben

Wir werden so viele APs hinzufügen, wie wir für die Authentifizierung durch Radius benötigen..

Erläuterung der verschiedenen vorhandenen Authentifizierungsmethoden:
– EAP (Erweiterbares Authentifizierungsprotokoll) verwendet eine beliebige Authentifizierungsmethode, wie z.B. Zertifikate, Smartcards, oder Anmeldeinformationen.
– EAP-TLS (EAP-Transport Layer Sicherheit) ist ein EAP-Typ, der in zertifikatsbasierten Sicherheitsumgebungen verwendet wird, und es bietet die stärkste Authentifizierungs- und Schlüsselbestimmungsmethode.
– EAP-MS-CHAP v2 (EAP-Microsoft Challenge Handshake Authentication Protocol Version 2) ist eine gegenseitige Authentifizierungsmethode, die die kennwortbasierte Benutzer- oder Computerauthentifizierung unterstützt.
– PEAP (Geschütztes EAP) ist eine Authentifizierungsmethode, die TLS verwendet, um die Sicherheit anderer EAP-Authentifizierungsprotokolle zu erhöhen..

Bei der Auswahl des Authentifizierungsmechanismus, Sie müssen ein Gleichgewicht zwischen den erforderlichen Sicherheitsstufen und dem für die Bereitstellung erforderlichen Aufwand finden. Für ein Höchstmaß an Sicherheit, PEAP mit Zertifikaten wählen (EAP-TLS). Für eine möglichst einfache Bereitstellung, PEAP mit Passwörtern auswählen (EAP-MS-CHAP v2).

Elegimos el tipo de autenticación “Geschütztes EAP von Microsoft (PEAP)” und klicken Sie auf “Garnitur” para elegir el certificado que hemos generado anteriormente de nuestra CA.

Elegimos el Certificado generado anteriormente por nuestra CA y en este caso vamos utilizar el metodo de autenticación EAP-MSCHAPv2

Ok und weiter

Nun geben wir die Active Directory-Gruppen an, auf die wir Zugriff gewähren, Ich meine, Die Gruppe, die wir zuvor erstellt haben “Wireless-Benutzer”. “Nächster”,

Folgende,

Ende.

Wir registrieren den NPS-Server im Active Directory. Klicken Sie mit der rechten Maustaste auf NPS und registrieren Sie den Server in Active Directory..

“OKAY”,

Annehmen.

Damit haben wir den Assistenten beendet und unseren NPS-Server bereits so konfiguriert, dass er Verbindungen von APs und Kunden akzeptiert..

Um die Konfiguration zu optimieren, können wir innerhalb von Netzwerk-Richtlinien die im Assistenten erstellte Richtlinie

Oder fügen Sie neue APs hinzu, z. B. in RADIUS-Kunden

AP-Konfiguration,

In diesem Teil des Dokuments werden wir uns die Konfiguration unseres Access Points ansehen,

Wir konfigurieren den Access Point so, dass er mit den folgenden Parametern gegen den NPS-Server schießt:

– WPA2 Unternehmen
– Verschlüsselung: AES
– IP unseres RADIUS-Servers
– Kennwort für NPS-Server freigegeben

Richtlinie für Domain-Geräte,

Wir haben eine neue Richtlinie für die Computer in der Domäne erstellt, damit das WLAN-Netzwerk über ein Gruppenrichtlinienobjekt konfiguriert ist, falls wir daran interessiert sind.

Dazu gehen wir zur Gruppenrichtlinienverwaltung und erstellen eine neue Richtlinie, die wir auf die Geräte anwenden, die wir in die Gruppe aufgenommen haben, die am Anfang des Dokuments "Wireless-Benutzer" erstellt wurde’ , in dem wir Folgendes konfigurieren werden.

Auf geht es “Konfiguration der Ausrüstung” > “Drahtloses Netzwerk” > “Erstellen einer neuen Richtlinie für Drahtlosnetzwerke für Windows Vista und höhere Versionen”,

Wir geben der Politik einen Namen, eine Beschreibung und “Hinzufügen…” > “Infrastruktur”,

Wir geben einen Namen und fügen das Wi-Fi-Netzwerk hinzu.

Wir konfigurieren alle Parameter, so wie wir unser Netzwerk erstellt haben, und gehen zu “Geschütztes EAP von Microsoft (PEAP)” > “Eigenschaften”

Aktivieren “Serverzertifikat validieren” und wir überprüfen die CA der Domain und akzeptieren

Kehren wir zum Tab zurück “Sicherheit” und wir haben “Fortgeschritten” Um die Funktion “Einmaliges Anmelden”.

Wir akzeptieren alles und haben bereits eine automatische Konfigurationsrichtlinie für die Verbindung mit unserem Wifi-Netzwerk konfiguriert.