WPA-Enterprise avec l’exemple de profil TLS

Cet exemple de profil utilise la sécurité au niveau du transport du protocole d’authentification extensible (EAP-TLS) avec des certificats pour s’authentifier auprès du réseau.

Cet exemple est configuré pour utiliser la sécurité d'accès protégé Wi-Fi en mode entreprise (WPA-Enterprise). Le type de sécurité WPA-Enterprise utilise 802.1X pour l’échange d’authentification avec le serveur principal. Le protocole TKIP (Temporal Key Integrity Protocol) est utilisé pour le chiffrement.

Avertissement

TKIP est une norme de sécurité obsolète et non sécurisée avec des vulnérabilités connues. Si possible, nous vous suggérons de passer à une norme plus sécurisée, telle que WPA3, qui utilise AES pour le chiffrement.

Les informations d’identification EAP-TLS sont obtenues à partir du magasin de certificats. Si l’authentification basée sur les informations d’identification dans le magasin de certificats échoue, l’utilisateur est invité à fournir des informations d’identification valides. Aucun autre serveur, autorités de certification racine ou noms d’utilisateur n’est utilisé pour l’authentification si la première tentative échoue.

La configuration EAPHost utilisée dans cet exemple de profil sans fil a été dérivée de l’exemple propriétés de connexionEAP-TLS .

Windows 7 et Windows Server 2008 R2 avec le service LAN sans fil installé : Les modifications sont implémentées sur Windows 7 et Windows Server 2008 R2 avec le service LAN sans fil installé pour optimiser les performances réseau sans fil. Paramètre par défaut pour autoSwitch lorsque cet élément n’est pas défini dans un profil LAN sans fil a changé. Le paramètre par défaut est remplacé par « false » sur Windows 7 et Windows Server 2008 R2 avec le service LAN sans fil installé. Le paramètre par défaut était « true » sur Windows Server 2008 et Windows Vista. Pour plus d’informations, reportez-vous à la description de l’élément de schéma autoSwitch .

Windows XP avec SP3 et l’API réseau local sans fil pour Windows XP avec SP2 : EAP-TLS n’est pas pris en charge.

<?xml version="1.0" encoding="US-ASCII"?>
<WLANProfile xmlns="https://www.microsoft.com/networking/WLAN/profile/v1">
    <name>SampleWPAEnterpriseTLS</name>
    <SSIDConfig>
        <SSID>
            <name>SampleWPAEnterpriseTLS</name>
        </SSID>
        <nonBroadcast>false</nonBroadcast>
    </SSIDConfig>
    <connectionType>ESS</connectionType>
    <connectionMode>auto</connectionMode>
    <autoSwitch>false</autoSwitch>
    <MSM>
        <security>
            <authEncryption>
                <authentication>WPA</authentication>
                <encryption>TKIP</encryption>
                <useOneX>true</useOneX>
            </authEncryption>
            <OneX xmlns="https://www.microsoft.com/networking/OneX/v1">
                <EAPConfig>
                    <EapHostConfig xmlns="https://www.microsoft.com/provisioning/EapHostConfig" 
                                   xmlns:eapCommon="https://www.microsoft.com/provisioning/EapCommon" 
                                   xmlns:baseEap="https://www.microsoft.com/provisioning/BaseEapMethodConfig">
 
                        <EapMethod>
                            <eapCommon:Type>13</eapCommon:Type> 
                            <eapCommon:AuthorId>0</eapCommon:AuthorId> 
                        </EapMethod>
                        <Config xmlns:baseEap="https://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1" 
                                xmlns:eapTls="https://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV1">

                            <baseEap:Eap>
                                <baseEap:Type>13</baseEap:Type> 
                                <eapTls:EapType>
                                    <eapTls:CredentialsSource>
                                        <eapTls:CertificateStore />
                                    </eapTls:CredentialsSource>
                                    <eapTls:ServerValidation>
                                        <eapTls:DisableUserPromptForServerValidation>false</eapTls:DisableUserPromptForServerValidation> 
                                        <eapTls:ServerNames /> 
                                    </eapTls:ServerValidation> 
                                   <eapTls:DifferentUsername>false</eapTls:DifferentUsername> 
                               </eapTls:EapType>
                           </baseEap:Eap>
                       </Config>
                   </EapHostConfig>
                </EAPConfig>
            </OneX>
        </security>
    </MSM>
</WLANProfile>

Rubriques connexes

• exemples de profils sans fil
• schéma WLAN_profile
• Déploiement de l’accès sans fil
• protocole EAP (Extensible Authentication Protocol) pour l’accès réseau
• Configurer des profils et des paramètres EAP dans Windows