КабельщикПараметры групповой политики беспроводной связи в Windows Vista
Джозеф Дэвис (Joseph Davies)
Эта статья содержит предварительную информацию о Windows Server «Longhorn», которая может в дальнейшем измениться.
Ваша работа как администратора, возможно, стала бы чуть легче, если бы можно было централизованно настраивать и распространять параметры беспроводной сети для всех компьютеров в сети Active Directory. К счастью, Windows поддерживает специально предназначенное для этого расширение групповой политики для конфигурации компьютера. Оно
называется политиками беспроводной сети (IEEE 802.11) (Wireless Network (IEEE 802.11) Policies) и поддерживается операционными системами Windows Vista™, Windows® XP, Windows Server® 2003 и следующей версией Windows Server с кодовым именем «Longhorn».
Давайте посмотрим, как это работает на практике. Либо при присоединении к домену, либо при запуске (и после этого на постоянной основе) эти операционные системы автоматически загружают параметры беспроводного подключения этого расширения групповой политики и применяют их. Можно настраивать политики беспроводных подключений для доменного объекта групповой политики из следующего узла оснастки редактора объектов групповых политик: Конфигурация компьютера | Конфигурация Windows | Параметры безопасности | Политики беспроводной сети (IEEE 802.11).
На рис. 1 показано расположение узла политик беспроводной сети (IEEE 802.11)для домена Windows Server «Longhorn» или для домена Windows Server 2003, схема которого расширяется с помощью файлов расширения схемы 802.11Schema.ldf и 802.3Schema.ldf (описанных по адресу microsoft.com/technet/network/wifi/vista_ad_ext.mspx).
Рис. 1** Узел политик беспроводной сети (IEEE 802.11) **(Щелкните изображение, чтобы увеличить его)
По умолчанию нет ни одной политики беспроводной сети (IEEE 802.11). Для создания новой политики щелкните правой кнопкой мыши узел политики беспроводных сетей (IEEE 802.11) в дереве консоли и затем выберите «Создать новую политику Windows XP» или «Создать новую политику Windows Vista». Можно создать только одну политику каждого типа, но каждая политика может содержать параметры для нескольких беспроводных сетей.
Параметры политики Windows XP очень похожи на описанные в статье за июль 2003 г. Тем не менее, добавлено несколько новых параметров для невещательных беспроводных сетей, методов проверки подлинности Wi-Fi Protected Access 2 (WPA2) и параметров быстрого роуминга для проверки подлинности WPA2. Для поддержки этих новых параметров на компьютере под управлением Windows XP с пакетом обновления 2 (SP2) должен быть установлен пакет обновления клиента беспроводной связи для Windows XP с пакетом обновления 2 (SP2), который можно найти по адресу support.microsoft.com/kb/917021.
Политика беспроводной связи Windows Vista содержит параметры политики, характерные для беспроводных клиентов Windows Vista и Windows Server «Longhorn». Если настроены оба типа политик беспроводной связи, то клиенты беспроводной связи Windows XP будут использовать только параметры своей политики, а клиенты беспроводной связи Windows Vista – своей. Если политика для Windows Vista не настроена, то клиенты беспроводной связи Windows Vista будут использовать параметры политики Windows XP. В этой статье описываются доступные параметры настройки политики беспроводной связи Windows Vista.
На вкладке «Общие» политики беспроводных сетей Windows Vista можно настроить имя и описание политики, определить доступность службы WLAN AutoConfig и настроить список профилей беспроводных сетей и их параметров в порядке предпочтения (см. рис. 2). Можно также экспортировать профиль в файл формата XML, если выбрать профиль и нажать на кнопку «Экспортировать». Для импорта профиля беспроводной связи из файла формата XML выберите «Импортировать» и укажите местоположение файла.
Рис. 2** Свойства политики беспроводных сетей **(Щелкните изображение, чтобы увеличить его)
На рис. 3 показана вкладка «Сетевые разрешения» для политики беспроводных сетей Windows Vista с параметрами по умолчанию. Эта появившаяся в Windows Vista вкладка позволяет указывать имена беспроводных сетей и разрешать или запрещать доступ к ним. Например, можно создать список разрешений, содержащий имена беспроводных сетей, также известные как Service Set Identifiers (SSID), к которым разрешено подключение клиенту беспроводной связи Windows Vista. Это полезно для сетевых администраторов, которые хотят, чтобы переносные компьютеры организации подключались к указанному набору беспроводных сетей, в который могут входить беспроводная сеть организации и поставщики услуг Интернета.
Рис. 3** Вкладка «Сетевые разрешения» **(Щелкните изображение, чтобы увеличить его)
В списке запретов можно указать набор имен беспроводных сетей, к которым клиенту беспроводной связи не разрешено подключаться. Это полезно для предотвращения подключения управляемых переносных компьютеров к другим беспроводным сетям, в зоне действия которых они находятся, например, когда организация занимает этаж в здании и существуют беспроводные сети организаций с соседних этажей. Используя запрещающий список, можно также предотвратить подключение управляемых переносных компьютеров к известным незащищенным беспроводным сетям. Для создания любого из этих списков или указания отдельных беспроводных сетей для разрешения или запрещения доступа к ним нажмите кнопку «Добавить», чтобы добавить имя беспроводной сети и указать, разрешен или запрещен доступ к ней.
На вкладке «Сетевые разрешения» также расположены параметры для предупреждения подключения к одноранговым или инфраструктурным беспроводным сетям. Кроме того, можно разрешить пользователям просматривать список беспроводных сетей, подключение к которым запрещено, и дать возможность любому пользователю создавать общий профиль для всех пользователей. Общий профиль может быть использован для подключения к определенной беспроводной сети любым пользователем с учетной записью на этом компьютере. Если эта возможность отключена, то только пользователи из группы администраторов сети или группы операторов сети могут создавать общие профили беспроводного доступа.
Свойства профиля доступа к беспроводным сетям
Для управления профилем беспроводной сети из вкладки «Общие» политики беспроводной связи Windows Vista следует выбрать существующий профиль и нажать кнопку «Изменить» или «Добавить» и указать, будет ли новый профиль для одноранговой или инфраструктурной беспроводной сети.
Для создания нового профиля введите имя профиля на вкладке «Подключение» и создайте список имен беспроводных сетей, к которым применим данный профиль (см. рис. 4). Новое имя можно добавить, введя его в поле «Имена сетей» (SSID) и нажав кнопку «Добавить». Также можно указать, будет ли использующий этот профиль клиент беспроводной связи автоматически пытаться подключиться к перечисленным в профиле беспроводным сетям, оказавшись в зоне их действия (зависит от порядка предпочтения в списке профилей на вкладке «Общие» политики Windows Vista). Дополнительно можно указать, должно ли происходить автоматическое отключение от сети, если компьютер оказывается в зоне действия сети с большим приоритетом, а также указать, что беспроводные сети в данном профиле не являются вещательными (также называемыми скрытыми сетями).
Рис. 4** Вкладка «Подключение» **(Щелкните изображение, чтобы увеличить его)
На вкладке «Безопасность», показанной на рис. 5, можно настраивать методы проверки подлинности и шифрования для беспроводных сетей, указанных в профиле. Выбор методов шифрования зависит от выбора метода проверки подлинности. Варианты выбора показаны на рис. 6.
Figure 6 Методы безопасности
| Методы проверки подлинности |
| Открытая |
| Совместная |
| WPA-Personal |
| WPA-Enterprise |
| WPA2-Personal |
| WPA2-Enterprise |
| Открытая с 802.1X |
| Методы шифрования |
| Wired Equivalent Privacy (WEP) |
| Temporal Key Integrity Protocol (TKIP) |
| Advanced Encryption Standard (AES) |
Рис. 5** Вкладка «Безопасность» **(Щелкните изображение, чтобы увеличить его)
Если в качестве метода проверки подлинности выбраны WPA-Enterprise, WPA2-Enterprise или Открытая с 802.1X, можно также настроить метод проверки подлинности сети (тип протокола Extensible Authentication Protocol [EAP] ), режим проверки подлинности (повторная проверка подлинности пользователя, проверка подлинности компьютера, пользователя или гостя), число неудачных попыток до отказа от проверки подлинности, а также кэшировать ли пользовательские данные для последующих подключений. Последний параметр определяет, будет ли удалены из реестра пользовательские учетные данные, когда пользователь выйдет из системы. Тогда при подключении следующего пользователя будут запрошены его учетные данные (такие как имя пользователя и пароль).
Для настройки дополнительных параметров безопасности для методов проверки подлинности WPA-Enterprise, WPA2-Enterprise или Открытая с 802.1X нажмите кнопку «Дополнительно». На рис. 7 показано стандартное диалоговое окно дополнительных параметров безопасности.
Рис. 7** Диалоговое окно дополнительных параметров безопасности **(Щелкните изображение, чтобы увеличить его)
В разделе IEEE 802.1X можно указать количество повторных сообщений (EAPOL)-Start протокола EAP через LAN, отправляемых при отсутствии ответа на первое сообщение EAPOL-Start, и интервал времени между повторной отправкой сообщения EAPOL-Start при отсутствии ответа на предыдущее сообщение EAPOL-Start. Можно также установить период, в котором проходящий проверку подлинности клиент не будет предпринимать никаких действий по проверке подлинности 802.1X после получения отказа от проверяющего, а также время ожидания перед повторной отправкой клиентом любых запросов 802.1X после начала сквозной проверки подлинности 802.1X.
Единый вход (SSO) позволяет настроить, в какой момент по отношению к входу пользователя происходит проверка подлинности 802.1X, и интегрировать пользовательский вход и учетные данные проверки подлинности 802.1X на сервере входа Windows. В разделе SSO расположены настройки для осуществления проверки подлинности непосредственно до или сразу после процесса входа пользователя при беспроводном подключении и для указания задержки для установления связи перед началом процесса (в секундах). Можно также указать, выдавать ли пользователю дополнительные поля ввода, если метод проверки подлинности требует введения пользователем дополнительных учетных данных, и как долго показывать эти поля, а также используют ли беспроводные сети для этого профиля отдельную виртуальную локальную сеть (VLAN) для проверки подлинности пользователя или компьютера.
В разделе быстрого роуминга можно настроить кэширование парного мастер-ключа (Pairwise Master Key, PMK) и параметры предварительной проверки подлинности. Раздел быстрого роуминга появляется только в том случае, если выбран метод проверки подлинности WPA2-Enterprise. При включенном кэшировании PMK клиенты беспроводной связи и беспроводные точки доступа кэшируют результаты проверки подлинности 802.1X. Следовательно, доступ происходит гораздо быстрее, когда клиент беспроводной связи снова обращается к беспроводной точке доступа, где он уже прошел проверку подлинности. Можно указать максимальное время хранения записи и максимальное число записей в кэше PMK. При предварительной проверке подлинности беспроводной клиент может проходить проверку подлинности 802.1X на других точках доступа в зоне действия, поддерживая подключение к текущей беспроводной точке доступа. Если клиент беспроводной связи перемещается к беспроводной точке доступа, на которой он прошел предварительную проверку подлинности, время доступа значительно уменьшается. Можно настроить максимальное число попыток предварительной проверки подлинности на беспроводной точке доступа.
Для получения дополнительных сведений о поддержке беспроводных сетей в Windows посетите веб-узел microsoft.com/wifi. Для получения дополнительных сведений о групповой политике Windows ознакомьтесь с материалами по адресу microsoft.com/gp.
Джозеф Дэвис (Joseph Davies) работает техническим писателем в корпорации Майкрософт. Он занимается преподаванием и пишет о сетях Windows с 1992 года. Дэвис написал пять книг, опубликованных издательством Microsoft Press, и ведет ежемесячную рубрику Кабельщик в TechNet.
© 2008 Корпорация Майкрософт и компания CMP Media, LLC. Все права защищены; полное или частичное воспроизведение без разрешения запрещено.