Compartir a través de

Configurar una GPO para autenticación 802.1x para tu red WiFi (es-ES)

  • Artículo

​Continuando con el artículo NPS: Autenticación 802.1x para nuestra red inalámbrica, lo que nos queda es como configurar los equipos de nuestra red para que se conecten a la WLAN​. VAmos a configurarlo mediante una GPO y así podremos hacerlo de forma centralizada.  Para ello vamos a crear una GPO asignada a la OU de los portátiles de la empresa, y la configuración es la siguiente:

Configuración de equipo - Directivas -Configuración de Windows - Configuración de Seguridad - Directivas de red inalámbrica (IEEE 802.11)http://blog.asirsl.com/SiteAssets/Lists/EntradasDeBlog/NewPost/Configuracion_WLAN_2.jpg

pulsamos con el boton secundario del ratón y seleccionamos la opción Crear una nueva directiva de red inalámbrica para Windows Vista y versiones posteriores, luego veremos la configuración para Windows XPhttp://blog.asirsl.com/SiteAssets/Lists/EntradasDeBlog/EditPost/Configuracion_WLAN_3.jpg

Escribimos un nombre descriptivo para la directiva

http://blog.asirsl.com/SiteAssets/Lists/EntradasDeBlog/EditPost/Configuracion_WLAN_5.jpg

Escribimos el nombre del Perfil , el SSID y seleccionamos las tres opciones de conexión que se nos muestra. La última opción la tenemos que habilitar si habéis ocultado el SSID

http://blog.asirsl.com/SiteAssets/Lists/EntradasDeBlog/EditPost/Configuracion_WLAN_6.jpg

seleccionamos Microsoft: Tarjeta inteligente u otro certficado como método de auetnticación de red, como modo de autenticación Autenticación de equiposhttp://blog.asirsl.com/SiteAssets/Lists/EntradasDeBlog/EditPost/Configuracion_WLAN_7.jpg

http://blog.asirsl.com/SiteAssets/Lists/EntradasDeBlog/EditPost/Configuracion_WLAN_8.jpg

Ya tenemos nuestro perfil creado, si queremos configurar más redes pulsamos en Agregar y repetimos los pasos descritos anteriormente. También podemos configurar que el equipo se conecte a redes ad hoc y demás opciones (cada uno configurará las que crea necesarias según la política de seguridad de la empresa)http://blog.asirsl.com/SiteAssets/Lists/EntradasDeBlog/EditPost/Configuracion_WLAN_9.jpg

ahora que ya tenemos configurada la directiva para equipos con Windows Vista o posteriores debemos configurar la nueva directiva para equipos con Windows XP (si procede), para ello pulsamos en Crear nueva directiva para Windows XP (ya solo tenemos disponible la opción de Windows XP)

http://blog.asirsl.com/SiteAssets/Lists/EntradasDeBlog/EditPost/Configuracion_WLAN_4.jpg

rellenamos los datos que nos solicita: Nombre de la directiva de XP, Descripción y elegimos el tipo de red a la que tendrá acceso el equipo,  que el equipo usará la configuración automática de WLAN de Windows y que no se conecte a automáticamente a redes no preferidas

http://blog.asirsl.com/SiteAssets/Lists/EntradasDeBlog/EditPost/Configuracion_WLAN_11.jpg

agregamos una nueva red de Infraestructura (con AP)

http://blog.asirsl.com/SiteAssets/Lists/EntradasDeBlog/EditPost/Configuracion_WLAN_12.jpg

Escribimos el nombre del perfi, su descricpión y las opciones de seguridad que se ven en la imagen (WPA2 y AES (si lo soporta vuestro AP)

http://blog.asirsl.com/SiteAssets/Lists/EntradasDeBlog/EditPost/Configuracion_WLAN_13.jpg

seleecionamos Microsoft: Tarjeta inteligente u otro certificado, el Mensaje EAPOL-Start como Transmitir por IEEE 802.1X y autenticación Solo Equipo, seleccionamos nuestra nuestro certificado raiz de confianza y que utilizamos un certificado en este equipo.http://blog.asirsl.com/SiteAssets/Lists/EntradasDeBlog/EditPost/Configuracion_WLAN_14.jpg

http://blog.asirsl.com/SiteAssets/Lists/EntradasDeBlog/EditPost/Configuracion_WLAN_15.jpg

como vemos ya tenemos los dos perfiles de redes creados, ahora solo queda esperar a que se aplique la directiva de grupo en los equipos y tendríamos la configuración inalámbrica desplegada en todos los equipos

 http://blog.asirsl.com/SiteAssets/Lists/EntradasDeBlog/EditPost/Configuracion_WLAN_16.jpg

Si queréis filtrar que la GPO se aplique a determinados equipos de una OU, debeís filtrarla mediante la creación de un grupo de dominio y denegar que se aplique la directiva de grupo.