Эта процедура предназначена для настройки профиля PEAP-TLS для проверки подлинности с использованием смарт-карт или других сертификатов.

Минимальным требованием для выполнения этой процедуры является членство в группе Администраторы домена или наличие эквивалентных прав.

Настройка профиля беспроводной связи по протоколу PEAP-TLS для компьютеров под управлением Windows 7 и Windows Vista
  1. Откройте диалоговое окно «Свойства: новые политики беспроводных сетей (IEEE 802.11)».

  2. На вкладке Общие в поле Имя политики введите новое имя политики или примите имя, предложенное по умолчанию.

  3. В поле Описание введите описание политики.

  4. Установите флажок Windows настраивает беспроводную сеть для клиентов, чтобы использовать службу автонастройки беспроводных сетей для настройки параметров адаптера беспроводной сети.

  5. На вкладке Общие выполните одно из следующих действий.

    • Чтобы добавить и настроить новый профиль, нажмите кнопку Добавить, а затем выберите значение Инфраструктура.

    • Чтобы изменить существующий профиль, выберите нужный профиль, а затем нажмите кнопку Изменить.

  6. При добавлении нового профиля на вкладке Подключение в поле Имя профиля введите имя профиля. При изменении уже добавленного профиля используйте или измените существующее имя профиля.

  7. В окне Сетевые имена (SSID) введите идентификатор SSID, соответствующий точкам беспроводного доступа, и нажмите кнопку Добавить

    Если используется несколько идентификаторов SSID, и на каждой точке беспроводного доступа используются одинаковые параметры безопасности беспроводной связи, повторите это действие, чтобы добавить идентификатор SSID для каждой точки доступа, к которой необходимо применить этот профиль.

    Если используется несколько идентификаторов SSID с различными параметрами безопасности, следует настроить отдельный профиль для каждой группы идентификаторов SSID с одинаковыми параметрами безопасности. Например, если для одной группы точек беспроводного доступа настроено использование параметров «WPA2-предприятие» и AES, а для другой - «WPA-предприятие» и TKIP, следует настроить отдельный профиль для каждой из этих групп.

  8. Чтобы задать автоматическое подключение клиентов к точкам беспроводного доступа, для которых в поле Сетевые имена (SSID) определен идентификатор SSID, установите флажок Подключаться автоматически, если сеть в радиусе действия.

  9. Чтобы задать подключение беспроводных клиентов к сетям в порядке приоритетов, установите флажок Подключаться к более подходящей сети, если она есть.

  10. Если для точки доступа к беспроводной сети настроено подавление рассылки сигналов маяка, выберите параметр Подключаться, даже если сеть не ведет вещание.

    Примечание по безопасности

    Включение этого параметра увеличивает риски с точки зрения безопасности, поскольку беспроводные клиенты будут пытаться установить подключение к любой беспроводной сети. По умолчанию этот параметр отключен.

  11. Откройте вкладку Безопасность. В группе Выберите методы безопасности для данной сети для параметра Проверка подлинности выберите значение WPA2-предприятие, если оно поддерживается точкой беспроводного доступа и сетевыми адаптерами беспроводного клиента. В противном случае выберите значение WPA-предприятие.

    Примечание

    При выборе параметра WPA2 становится возможным изменение параметров быстрого перемещения, недоступных при выборе параметра WPA. Установленные по умолчанию значения параметров быстрого перемещения подходят для большей части беспроводных сетей.

  12. В поле Шифрование выберите значение AES, если оно поддерживается точкой беспроводного доступа и сетевыми адаптерами беспроводного клиента. В противном случае выберите значение TKIP.

    Примечание

    Значения параметров Проверка подлинности и Шифрование должны соответствовать значениям, указанным в точке беспроводного доступа.

  13. В поле Выберите метод проверки подлинности сети выберите параметр Майкрософт: защищенные EAP (PEAP).

  14. В поле Режим проверки подлинности выберите любые из следующих параметров: Проверка подлинности пользователя или компьютера, Проверка подлинности компьютера, Проверка подлинности пользователя или Проверка подлинности гостя. По умолчанию выбран параметр Проверка подлинности пользователя или компьютера.

  15. В поле Макс. число ошибок проверки укажите максимально допустимое число неудачных попыток подключения перед уведомлением пользователя о неудачном завершении проверки подлинности. По умолчанию установлено значение «1».

  16. Чтобы задать хранение учетных данных пользователя в кэше, выберите параметр Кэшировать пользовательские данные для следующих подключений к этой сети.

  17. Нажмите кнопку Дополнительно и настройте следующие параметры.

    1. Чтобы настроить дополнительные параметры подключений 802.1X, в поле IEEE 802.1X выберите параметр Применить дополнительные параметры 802.1X и установите следующие параметры (при необходимости): Макс. EAPOL-сообщений, Период задержки, Период запуска и Период проверки.

      Значения, устанавливаемые по умолчанию при выборе параметра «Применить дополнительные параметры 802.1X», подходят для большинства беспроводных сетей.

    2. Чтобы включить единый вход, выберите параметр Включить единую регистрацию для сети.

    3. Чтобы определить момент выполнения единого входа, выберите параметры Выполнять непосредственно перед входом пользователя или Выполнять сразу после входа пользователя.

      Остальные значения, установленные по умолчанию, в разделе Единая регистрация, подходят для большинства беспроводных сетей.

    4. Чтобы определить максимальное время, в течение которого должны быть завершены проверка подлинности 802.1X и авторизация доступа к сети, введите соответствующее значение в поле Макс. задержка подключения (сек).

    5. Чтобы разрешить отображение диалоговых окон в процессе единого входа, установите флажок Разрешить отображение дополнительных диалоговых окон при едином входе.

    6. Чтобы указать, что беспроводные компьютеры при запуске помещаются в одну виртуальную локальную сеть, а затем после входа пользователя на компьютер переводятся в различные виртуальные локальные сети, установите флажок Эта сеть использует разные виртуальные локальные сети для проверки подлинности с учетными данными компьютеров и пользователей.

    7. Чтобы включить быстрое перемещение, в поле Быстрое перемещение установите флажок Включить кэширование парных основных ключей (PMK). Для быстрого перемещения обычно подходят установленные по умолчанию значения параметров Срок жизни PMK (мин) и Число записей в кэше PMK.

    8. Если для точки беспроводного доступа настроена предварительная проверка подлинности, установите флажок Сеть использует предварительную проверку подлинности . В большинстве случае значение «3», установленное по умолчанию для параметра Максимальное число попыток предварительной проверки подлинности, является достаточным.

    9. При необходимости установите флажок Выполнять шифрование в сертифицированном режиме FIPS 140-2.

  18. Чтобы сохранить значения параметров и вернуться на вкладку Безопасность, нажмите кнопку ОК.

  19. Выберите пункт Свойства. Открывается диалоговое окно Свойства защищенного EAP.

  20. В окне Свойства защищенного EAP убедитесь, что установлен флажок Проверять сертификат сервера.

  21. В поле Доверенные корневые центры сертификации выберите доверенный корневой центр сертификации, который выдал сертификат сервера для сервера политики сети.

    Примечание

    Этот параметр ограничивает набор доверенных корневых центров сертификации, которым клиенты могут предоставить доверие. Если доверенные корневые центры сертификации не выбраны, клиенты будут доверять всем доверенным корневым центрам сертификации, которые содержатся в их хранилище доверенных корневых центров сертификации.

  22. Чтобы определить RADIUS-серверы, которые будут использоваться клиентами проводного доступа для проверки подлинности и авторизации, в разделе Подключение к серверам введите имя каждого RADIUS-сервера в том же виде, в каком оно отображается в поле субъекта сертификата сервера. Имена RADIUS-серверов разделяются точкой с запятой.

  23. Для большего удобства и повышения безопасности выберите параметр Не запрашивать пользователя авторизовать новые серверы или доверенные центры сертификации.

  24. В поле Выберите метод проверки подлинности выберите значение Смарт-карта или иной сертификат.

  25. Чтобы включить быстрое переподключение PEAP, выберите параметр Включить быстрое переподключение.

  26. Чтобы указать, что перед разрешением подключения к сети на клиентских компьютерах должны выполняться проверки работоспособности системы в соответствии с требованиями к работоспособности, выберите параметр Включить защиту доступа к сети.

  27. Чтобы требовать привязку с шифрованием TLV, выберите пункт Отключаться, если сервер не поддерживает привязку с шифрованием через механизм TLV.

  28. Чтобы отключить отправку клиентами удостоверений в текстовом формате перед проверкой подлинности на RADIUS-сервере, выберите элемент Включить удостоверение конфиденциальности и затем пункт Анонимное удостоверение, введите имя, значение или оставьте поле пустым.

    Например, если включен параметр Включить удостоверение конфиденциальности и в качестве анонимного удостоверения используется «гость», в качестве отклика для пользователя с удостоверением maria@realm возвращается guest@realm. Если параметр Включить удостоверение конфиденциальности включен, но значение анонимного удостоверения не предоставлено, в качестве отклика возвращается @realm.

  29. Нажмите кнопку Настроить. В диалоговом окне Свойства смарт-карты или другого сертификата в поле При подключении выберите параметр Использовать мою смарт-карту или одновременно параметры Использовать сертификат на этом компьютере и Использовать выбор простого сертификата (рек.).

  30. Чтобы включить проверку сертификата сервера политики сети на клиентах доступа, установите флажок Проверять сертификат сервера.

  31. Чтобы определить RADIUS-серверы, которые будут использоваться клиентами проводного доступа для проверки подлинности и авторизации, в разделе Подключение к серверам введите имя каждого RADIUS-сервера в том же виде, в каком оно отображается в поле субъекта сертификата сервера. Имена RADIUS-серверов разделяются точкой с запятой.

  32. В поле Доверенные корневые центры сертификации выберите центр сертификации, который выдал сертификат сервера для сервера политики сети.

  33. Чтобы использовать альтернативные имена клиентов при попытке доступа, выберите параметр Использовать для подключения другое имя пользователя.

  34. Чтобы отключить вывод запросов о доверии сертификату сервера, если он неправильно настроен или не имеет доверия, установите флажок Не запрашивать пользователя авторизовать новые серверы или доверенные центры сертификации (рекомендуется).

  35. Нажмите кнопку ОК, чтобы закрыть диалоговое окно Свойства смарт-карты или другого сертификата. Затем еще раз нажмите кнопку ОК, чтобы закрыть диалоговое окно Свойства защищенного EAP (PEAP) и вернуться на вкладку Свойства: новая политика для беспроводных сетей.