Konfiguration erweiterter drahtloser Verbindungen
Verwenden Sie die erweiterten Netzwerksicherheitseinstellungen von Intel, um EAP-WiFi-Netzwerkeinstellungen zu konfigurieren, die in Windows Vista* oder Windows* 7 nicht verfügbar sind.
Weitere Informationen zu den unterschiedlichen Sicherheitsoptionen für drahtlose Netzwerke finden Sie unter Sicherheit - Überblick.
Eine neue drahtlose Verbindung einrichten
Intel Verbindungseinstellungen konfigurieren
Eine Verbindung mit LEAP-Netzwerkauthentifizierung einrichten
Eine Verbindung mit PEAP-Netzwerkauthentifizierung einrichten
Eine Verbindung mit EAP-FAST-Netzwerkauthentifizierung einrichten
Eine Verbindung mit EAP-SIM-Netzwerkauthentifizierung einrichten
Eine Verbindung mit EAP-TTLS-Netzwerkauthentifizierung einrichten
Eine Verbindung mit EAP-AKA-Netzwerkauthentifizierung einrichten
Eine neue drahtlose Verbindung einrichten
So richten Sie eine neue drahtlose Verbindung ein und aktivieren die Verbindungseinstellungen von Intel:
- Öffen Sie das Netzwerk- und Freigabecenter von Windows*. Unter Windows Vista* klicken Sie auf Start > Netzwerk > Netzwerk- und Freigabecenter. Unter Windows* 7 klicken Sie auf Start > Systemsteuerung > Netzwerk und Internet > Netzwerk- und Freigabecenter.
- Klicken Sie auf Verbindung oder Netzwerk einrichten.
- Wählen Sie Manuell mit einem Drahtlosnetzwerk verbinden.
- Klicken Sie auf Weiter, um die Informationen des drahtlosen Netzwerks einzugeben.
HINWEIS: Wenn Sie die Intel® My WiFi Technologie installiert haben, müssen Sie einen drahtlosen Adapter auswählen. Wählen Sie Intel WiFi STA.
- Netzwerkname: Geben Sie die Netzwerk-Kennung (SSID) ein.
- Sicherheitstyp: Wählen Sie 802.1X.
- Verschlüsselungstyp: WEP ist Standard.
- Sicherheitsschlüssel/Kennsatz: Nicht erforderlich.
- Optionale Einstellungen:
- Diese Verbindung automatisch starten (Standard).
- Verbinden, selbst wenn das Netzwerk keine Kennung aussendet.
- Klicken Sie auf Weiter zur Bestätigung, dass das Netzwerk erfolgreich hinzugefügt wurde.
-
Optional: Klicken Sie auf die Option Verbindungseinstellungen ändern.
Intel Verbindungseinstellungen konfigurieren
- Wählen Sie Intel Verbindungseinstellungen aktivieren, um "Bandauswahl", "Obligatorischer Zugriffspunkt", "Anwendung starten" und/oder "Cisco-Optionen" zu konfigurieren.
- Klicken Sie auf Konfigurieren.
- In diesem Bereich können Sie die folgenden Parameter konfigurieren:
Name |
Beschreibung |
Bandauswahl |
Wählen Sie hier das Band aus, das für das Verbindungsprofil verwendet werden soll:
- Gemischtes Band (Standard): Wählen Sie diese Option, wenn die Intel® PROSet/Wireless WiFi Connection Utility versuchen soll, eine Verbindung des Profils mit einem verfügbaren Netzwerk auf einem der beiden Bänder herzustellen.
- 2,4-GHz-Band: Wählen Sie diese Option, wenn die WiFi Connection Utility versuchen soll, nur auf dem 2,4 GHz Band eine Verbindung des Profils mit einem verfügbaren Netzwerk herzustellen.
- 5,2-GHz-Band: Wählen Sie diese Option, wenn die WiFi Connection Utility versuchen soll, nur auf dem 5,2 GHz Band eine Verbindung des Profils mit einem verfügbaren Netzwerk herzustellen.
|
Obligatorischer Zugriffspunkt |
Zwingt den WiFi Adapter, die Verbindung mit einem Zugriffspunkt herzustellen, der eine bestimmte MAC-Adresse verwendet. Geben Sie die MAC-Adresse (BSSID) des obligatorischen Zugriffspunkts ein (48-Bit, 12 hexadezimale Zeichen). Zum Beispiel: 00:06:25:0E:9D:84.
Löschen: Löscht die aktuelle Adresse.
HINWEIS: Diese Funktion steht im Ad-Hoc-Betriebsmodus nicht zur Verfügung. |
Automatischer Anwendungsstart |
Startet automatisch eine Batch-Datei, ausführbare Datei oder ein Skript, wenn Sie eine Verbindung mit diesem Netzwerk herstellen. So kann zum Beispiel eine VPN-Sitzung immer dann automatisch gestartet werden, wenn Sie eine Verbindung zu einem drahtlosen Netzwerk herstellen.
- Klicken Sie auf Automatischen Anwendungsstart aktivieren.
- Geben Sie den Pfad und Dateinamen des Programms ein, das Sie starten möchten, oder klicken Sie auf Durchsuchen, um auf Ihrer Festplatte nach der Datei zu suchen. Beispiel: C:\Programme\meinProgramm\meineVPNDatei.exe.
- Klicken Sie auf OK, um die Verbindungseinstellungen zu schließen.
|
Cisco-Optionen |
Sendermessung aktivieren: Deaktiviert diesen Service. Ermöglicht die Konfiguration von Cisco-Einstellungen für Sendermessung und zugehörige Dienste. Markieren Sie diese Option, damit der WiFi Adapter die Cisco-Infrastruktur mit Funkverwaltung versorgt. Wenn das Cisco-Programm "Cisco Radio Management" auf der Infrastruktur verwendet wird, werden Funkparameter konfiguriert und Störungen und Rogue-Zugriffspunkte erkannt. In der Standardeinstellung ist die Option deaktiviert. |
- Für zusätzliche Sicherheit öffnen Sie das Register Sicherheit. Die Eigenschaften des drahtlosen Netzwerks werden angezeigt.
- Sicherheitstyp: Wählen Sie Intel - CCKM -Unternehmen.
- Verschlüsselungstyp: Wählen Sie eine der folgenden Optionen:
- WEP: Standard, wenn Intel - CCKM - Unternehmen als Sicherheitstyp gewählt ist.
- TKIP: Bietet eine Schlüsselmischfunktion innerhalb des Pakets, ein Meldungsintegritätsprüfverfahren und einen Neuverschlüsselungsmechanismus.
- AES - CCMP: (Advanced Encryption Standard - Counter CBC-MAC Protocol) Wird als Datenverschlüsselungsmethode verwendet, wenn ein besonders effizienter Datenschutz wichtig ist. AES-CCMP wird empfohlen.
- Klicken Sie auf OK, um dieses Fenster zu schließen.
Eine Verbindung mit LEAP-Netzwerkauthentifizierung einrichten
LEAP ist eine Authentifizierungsart für drahtlose LANs, die die komplexe wechselseitige Authentifizierung zwischen dem Client und einem Backend-Server mithilfe eines Anmeldepasswortes als das freigegebene Geheimnis unterstützt. Es liefert dynamische, benutzer- und sitzungsspezifische Verschlüsselungscodes. Cisco LEAP bietet:
- Echte Einmalanmeldung mit einem bestehenden Benutzernamen und einem Kennwort mithilfe des Windows NT/2000 Active Directory
- Vereinfachte, kostengünstige Verwendung und Administration für IT Manager
- Zuverlässiges, skalierbares, zusammengefasstes Sicherheitsmanagement
- Leistungsstarke, aktualisierbare unternehmensübergreifende Sicherheit
- Dynamischer Datenschutz bei Einsatz mit TKIP oder AES
LEAP-Netzwerkauthentifizierung einrichten
- Wählen Sie im Fenster der drahtlosen Netzwerkeigenschaften im Register Sicherheit unter dem Typ Sicherheit die Option WPA-Enterprise, WPA2-Enterprise, 802.1X oder Intel-CCKM-Enterprise.
- Markieren Sie dann in den Verschlüsselungsarten die gewünschte Verschlüsselung.
- Wählen Sie unter Eine Netzwerkauthentifizierungsmethode wählen die Option LEAP.
- Klicken Sie auf Einstellungen.
Netzwerkberechtigungen konfigurieren

- Wählen Sie das Register "Netzwerkberechtigungen". Konfigurieren Sie den Benutzernamen und das Kennwort durch Auswahl einer der nachfolgenden Optionen:
- Windows Benutzername und Kennwort verwenden. Mit dieser Option werden als LEAP-Anmeldeinformationen zur Netzwerkauthentifizierung Benutzername und Kennwort aus Windows verwendet.
- Fordert automatisch Benutzername und Kennwort auf. Diese Option verwendet einen separaten LEAP Benutzernamen und das Kennwort für die Netzwerkauthentifizierung. Der Benutzername und das Kennwort müssen am Datenbankserver registriert werden.
- Gespeicherten Benutzernamen und Kennwort verwenden. Diese Option verwendet einen gespeicherten LEAP Benutzernamen und das Kennwort für die Netzwerkauthentifizierung. Diese Option verlangt nicht jedes Mal die Eingabe eines LEAP Benutzernamens und Kennwortes. Die Authentifizierung tritt erforderlichenfalls automatisch mithilfe des gespeicherten Benutzernamens und des Kennwortes auf (welche im Datenbankserver registriert sind).
So konfigurieren Sie den gespeicherten Benutzernamen und das Kennwort:
- Geben Sie den gespeicherten Benutzernamen und die Domäne in das Feld Benutzername mit bis zu 256 Zeichen ein. Verwenden Sie eines dieser Formate:
> Für Domäne qualifizierter Benutzername (Domäne\Benutzer)
> UPN-Format (Benutzer@Domäne)
- Geben Sie das Kennwort im Feld Kennwort mit bis zu 256 Zeichen ein.
- Geben Sie das Kennwort im Feld Kennwort bestätigen erneut ein.
- Klicken Sie auf OK, um Ihre Einstellungen zu speichern und das Dialogfeld LEAP Eigenschaften zu schließen.
Eine Verbindung mit PEAP-Netzwerkauthentifizierung einrichten
PEAP ist eine Authentifizierungsart für drahtlose LANs. PEAP liefert stabile Sicherheit, Benutzer-Datenbank Erweiterbarkeit und Support für Einmal-Tokenauthentifizierung und Kennwortänderung oder -alterung. PEAP basiert auf EAP-TLS der Serverebene. Bei PEAP können Organisationen die Ausgaben verbunden mit der Installation digitaler Zertifikate an jedem Client-Gerät wie erforderlich durch EAP-TLS vermeiden; stattdessen können sie die Methoden der Client-Authentifizierung auswählen, wie beispielsweise Anmeldekennwörter oder OTPs, die ihren Bedürfnissen am besten entsprechen. Cisco PEAP Client bietet darüber hinaus die Möglichkeit, die Identität des Benutzernamens zu verbergen, bis der verschlüsselte TLS-Tunnel eingerichtet ist. Somit besteht zusätzlicher Datenschutz, da Benutzernamen während der Authentifizierungsphase nicht übertragen werden. PEAP liefert folgende Sicherheitsvorteile:
- Verwendet TLS zur Ermöglichung von nicht verschlüsselten Authentifizierungen wie EAP-GTC und OTP-Support
- Verwendet serverseitige, PKI-basierende Authentifizierung über Digitalzertifizierung
- Ermöglicht Authentifizierung zu erweiterter Verzeichnisstruktur, einschließlich LDAP, Novell NDS* und OTP-Datenbanken
- Verwendet TLS, um alle benutzersensitiven Authentifizierungsinformationen zu verschlüsseln
- Unterstützt Kennwortänderung bei Ablauf
- Setzt den Anmelde-Benutzernamen nicht in der EAP Identitätsantwort aus
- Ist nicht anfällig auf Verzeichnisangriffe
- Bietet dynamischen Datenschutz bei Einsatz mit TKIP oder AES
Eine PEAP-Authentifizierung einrichten
- Wählen Sie im Fenster der drahtlosen Netzwerkeigenschaften im Register Sicherheit unter dem Typ Sicherheit die Option WPA-Enterprise, WPA2-Enterprise, 802.1X oder Intel-CCKM-Enterprise.
- Markieren Sie dann in den Verschlüsselungsarten die gewünschte Verschlüsselung.
- Wählen Sie unter Eine Netzwerkauthentifizierungsmethode wählen die Option Cisco: PEAP.
- Klicken Sie auf Einstellungen.
Benutzerberechtigungen konfigurieren

- Wählen Sie das Register "Benutzeranmeldeinformationen". Konfigurieren Sie den Benutzernamen und das Kennwort durch Auswahl einer der nachfolgenden Optionen:
- Einmalkennwort verwenden. Mit dieser Option wird der Benutzer bei der Netzwerkauthentifizierung zur Eingabe eines Einmalkennworts als PEAP-Anmeldeinformation aufgefordert. Wenn Sie die Option Einmaliges Kennwort verwenden, müssen Sie ein einmaliges Kennwort erstellen. Die Berechtigungen werden nicht gepuffert; jedes Mal wenn der Server Berechtigungen anfordert, wird der Benutzer aufgefordert, die Berechtigungen einzugeben.
- Windows Benutzername und Kennwort verwenden. Mit dieser Option werden als PEAP-Anmeldeinformationen zur Netzwerkauthentifizierung Benutzername und Kennwort aus Windows verwendet.
- Fordert automatisch Benutzername und Kennwort auf. Diese Option verwendet für die Netzwerkauthentifizierung einen separaten PEAP-Benutzernamen und das Kennwort. Der Benutzername und das Kennwort müssen am Datenbankserver registriert werden.
- Gespeicherten Benutzernamen und Kennwort verwenden. Diese Option verwendet für die Netzwerkauthentifizierung einen gespeicherten PEAP-Benutzernamen und das Kennwort. Diese Option verlangt nicht jedes Mal die Eingabe eines PEAP-Benutzernamens und des Kennworts. Die Authentifizierung tritt erforderlichenfalls automatisch mithilfe des gespeicherten Benutzernamens und des Kennwortes auf (welche im Datenbankserver registriert sind).
So konfigurieren Sie den gespeicherten Benutzernamen und das Kennwort:
- Geben Sie den gespeicherten Benutzernamen und die Domäne in das Feld Benutzername mit bis zu 256 Zeichen ein. Verwenden Sie eines dieser Formate:
> Für Domäne qualifizierter Benutzername (Domäne\Benutzer)
> UPN-Format (Benutzer@Domäne)
- Geben Sie das Kennwort im Feld Kennwort mit bis zu 256 Zeichen ein.
- Geben Sie das Kennwort im Feld Kennwort bestätigen erneut ein.
- Wählen Sie zur Konfiguration das Register "Verbindung" oder klicken Sie auf OK, um Ihre Einstellungen zu speichern und das Dialogfeld PEAP-Eigenschaften zu schließen.
Konfigurieren der Verbindung
Mit der Registerkarte "Verbindung" konfigurieren Sie die Einstellungen, welche die Einrichtung der Verbindung steuern.
- Wählen Sie das Register "Verbindung".
- Markieren Sie das Kästchen Anonyme externe Identität verwenden , wenn Sie den Identitäts-Datenschutz aktivieren möchten.
- Geben Sie eine externe Identität in das Feld ein. Diese Identität wird als Antwort auf eine EAP-Identitätsanfrage als externe Identität verwendet. Der Standardwert ist "anonym"; prüfen Sie mithilfe Ihres Administrators, ob dieser Wert geändert werden soll.. (Sie können bis zu 256 Zeichen eingeben.)
- Wenn Sie ein authentifiziertes Serverzertifikat für die Einrichtung des Tunnels verwenden, markieren Sie das Kästchen Serverzertifikat validieren .
- Markieren Sie das Kästchen Nur mit diesen Servern verbinden und geben Sie den Servername in das Feld ein, um einen optionalen Servernamen einzugeben, der dem Serverzertifikat entsprechen muss, das vom Server vorgelegt wird. Um mehrere Servernamen einzugeben, trennen Sie sie mit einem Strichpunkt.
HINWEIS: PEAP lässt die weitere Verbindung nur zu, wenn der "Allgemeine Name" und der "Alternative Name" im Serverzertifikat einem der eingegebenen Servernamen entspricht.
- Um ein vertrauenswürdiges CA-Stammzertifikat auszuwählen, das verwendet wird, um das Serverzertifikat zu validieren, markieren Sie das vertrauenswürdige Zertifikat oder Zertifikate im Kontrollkästchen Vertrauenswürdige Stammzertifizierungsstelle (CA).
HINWEIS: Nur vertrauenswürdige CA Zertifikate, die am Hostsystem installiert sind, werden in der Dropdown-Liste angezeigt. Doppelklicken Sie auf ein vertrauenswürdiges CA Zertifikat, um die Zertifikatsdetails anzuzeigen.
- Wenn Sie das Kästchen Benutzer nicht zur Autorisierung neuer Server oder vertrauenswürdiger Zertifizierungsstellen auffordern markieren, legen Sie fest, dass, falls der Servername nicht übereinstimmt oder das Serverzertifikat nicht durch eine der ausgewählten vertrauenswürdigen CAs unterzeichnet ist, der Benutzer nicht aufgefordert wird die Verbindung zu autorisieren. Die Authentifizierung schlägt stattdessen fehl.
- Markieren Sie Schnelle Wiederverbindung aktivieren, um die schnelle Wiederverbindung zu ermöglichen.
- Klicken Sie auf OK, um Ihre Einstellungen zu speichern und das Dialogfeld PEAP-Eigenschaften zu schließen.
Eine Verbindung mit EAP-FAST-Netzwerkauthentifizierung einrichten
EAP-FAST ist eine EAP-Art für den öffentlichen Zugriff, die von Cisco Systems entwickelt wurde. Mehrere EAP-Protokolle sind für die Verwendung sowohl in verkabelten als auch drahtlosen Netzwerken verfügbar. Die geläufigsten EAP-Protokolle sind Cisco LEAP, PEAP und EAP-TLS. Zusätzlich zu diesen Protokollen hat Cisco das EAP-FAST-Protokoll als standardisiertes EAP-Protokoll entwickelt und implementiert, welches übergreifend auf verdrahteten und drahtlosen LAN-Netzwerken bereitgestellt werden kann. Die Hauptfunktionen von EAP-FAST sind:
- Sichere wechselseitige Authentifizierung in der TLS-Tunnelverschlüsselung, um Verzeichnisangriffe zu vermeiden
- TLS-Tunnelverschlüsselung und kryptografische Bindung, um MITM-Angriffe zu vermeiden. Effizient und kompakt zur vereinfachten Bereitstellung (keine Zertifikate oder PKI erforderlich)
- Identitätsdatenschutz
- Schnelle Wiederverbindung
- Schutz und Flexibilität, um gängige Benutzerdatenbanken über verschiedene interne Methoden zu unterstützen
- Effizienz und Optionen, um den Ressourcenverbrauch des Servers zu senken
Diese Implementierung von EAP-FAST unterstützt zudem:
- Unterstützung für Einmalanmeldung, die in den Anmeldevorgang von Windows Vista* und Windows* 7 und das EAPHost-Framework integriert ist
- Kennwortalterung (Support für server-basierten Kennwortablauf)
- Wichtige Cisco Unified Wireless LAN-Funktionen wie schnelles, sicheres Roaming, CCKM und lokale RADIUS-Authentifizierung
- Cisco NAC und Microsoft NAP Support für Posture Validation
EAP-FAST-Authentifizierung einrichten
- Wählen Sie im Fenster der drahtlosen Netzwerkeigenschaften im Register Sicherheit unter dem Typ Sicherheit die Option WPA-Enterprise, WPA2-Enterprise, 802.1X oder Intel-CCKM-Enterprise.
- Markieren Sie dann in den Verschlüsselungsarten die gewünschte Verschlüsselung.
- Wählen Sie unter Eine Netzwerkauthentifizierungsmethode wählen die Option EAP-FAST.
- Klicken Sie auf Einstellungen.
Benutzerberechtigungen konfigurieren

- Wählen Sie das Register "Benutzeranmeldeinformationen". Konfigurieren Sie den Benutzernamen und das Kennwort durch Auswahl einer der nachfolgenden Optionen:
- Verwenden Sie auf diesem Computer ein Zertifikat. Dieses Zertifikat wurde bereits vom Zertifikataussteller ausgestellt und ist nur für diesen Benutzer bestimmt.
- Einmalkennwort verwenden. Mit dieser Option wird der Benutzer bei der Netzwerkauthentifizierung zur Eingabe eines Einmalkennworts als EAP-FAST-Anmeldeinformationen aufgefordert. Wenn Sie die Option Einmaliges Kennwort verwenden, müssen Sie ein einmaliges Kennwort erstellen. Die Berechtigungen werden nicht gepuffert; jedes Mal wenn der Server Berechtigungen anfordert, wird der Benutzer aufgefordert, die Berechtigungen einzugeben.
- Windows Benutzername und Kennwort verwenden. Mit dieser Option werden als EAP-FAST-Anmeldeinformationen zur Netzwerkauthentifizierung Benutzername und Kennwort aus Windows verwendet.
- Fordert automatisch Benutzername und Kennwort auf. Diese Option verwendet einen separaten EAP-FAST-Benutzernamen und das Kennwort für die Netzwerkauthentifizierung. Der Benutzername und das Kennwort müssen am Datenbankserver registriert werden.
- Gespeicherten Benutzernamen und Kennwort verwenden. Diese Option verwendet einen gespeicherten EAP-FAST-Benutzernamen und das Kennwort für die Netzwerkauthentifizierung. Diese Option verlangt nicht jedes Mal die Eingabe eines EAP-FAST-Benutzernamens und Kennwortes. Die Authentifizierung tritt erforderlichenfalls automatisch mithilfe des gespeicherten Benutzernamens und des Kennwortes auf (welche im Datenbankserver registriert sind).
So konfigurieren Sie den gespeicherten Benutzernamen und das Kennwort:
- Geben Sie den gespeicherten Benutzernamen und die Domäne in das Feld Benutzername mit bis zu 256 Zeichen ein. Verwenden Sie eines dieser Formate:
> Für Domäne qualifizierter Benutzername (Domäne\Benutzer)
> UPN-Format (Benutzer@Domäne)
- Geben Sie das Kennwort im Feld Kennwort mit bis zu 256 Zeichen ein.
- Geben Sie das Kennwort im Feld Kennwort bestätigen erneut ein.
- Wählen Sie zur Konfiguration das Register "Verbindung" oder klicken Sie auf OK, um Ihre Einstellungen zu speichern und das Dialogfeld EAP-FAST-Eigenschaften zu schließen.
Konfigurieren der Verbindungseinstellungen
Mit der Registerkarte "Verbindung" konfigurieren Sie die Einstellungen, welche die Einrichtung der Verbindung steuern.
- Prüfen Sie auf der Registerkarte "Verbindung" das Feld Anonyme externe Identität verwenden, wenn Sie den Identitäts-Datenschutz aktivieren möchten.
- Geben Sie eine externe Identität in das Feld ein. Diese Identität wird als Antwort auf eine EAP-Identitätsanfrage als externe Identität verwendet. Der Standardwert ist "anonym"; prüfen Sie mithilfe Ihres Administrators, ob dieser Wert geändert werden soll.. (Bis zu 256 Zeichen.)
- Wenn Sie zur Einrichtung eines Tunnels eine PAC verwenden, markieren Sie das Kästchen Geschützte Zugriffsberechtigungen (PAC) verwenden. Wenn Sie dieses Kästchen nicht markieren, agiert EAP-FAST als PEAP und verwendet bei jeder Einrichtung des Tunnels nur das authentifizierte Serverzertifikat.
- Um den automatischen Abruf einer PAC während der EAP-FAST Authentifizierung zu aktivieren, markieren Sie das Kästchen Automatische PAC-Bereitstellung zulassen.
- (Optional) Wählen Sie eine PAC-Autorität aus der Dropdown-Liste "PAC-Autorität" oder klicken Sie auf Import, um eine *.pac Datei zu importieren.
HINWEIS: Die Dropdown-Liste enthält die Namen aller PAC-Autoritäten, aus denen Sie zuvor eine Tunnel-PAC bereit gestellt haben. Wenn Sie keine PAC bereit gestellt haben, dann ist "keine" die einzige Option. Sie können auch "keine" auswählen, um den Host zu zwingen, die Bereitstellung einer PAC anzufordern.
- Wenn Sie ein authentifiziertes Serverzertifikat für die Einrichtung des Tunnels verwenden, markieren Sie das Kästchen Serverzertifikat validieren .
HINWEIS: Sie können sowohl das Kästchen Geschützte Zugriffsberechtigungen (PAC) verwenden als auch das Kästchen Serverzertifikat validieren markieren, um einen Tunnel einzurichten. In diesem Fall versucht EAP-FAST immer zuerst die PAC zu verwenden; EAP-FAST greift zurück auf das Serverzertifikat wenn die PAC fehlt oder vom Server zurückgewiesen wird.
- Markieren Sie das Kästchen Nur zu diesen Servern verbinden und geben Sie den Servernamen in das Feld ein, um einen optionalen Servernamen einzugeben, der dem Serverzertifikat entsprechen muss, das vom Server vorgelegt wird. Mehrere Servernamen mit einem Semikolon trennen.
HINWEIS: EAP-FAST lässt die weitere Verbindung nur zu, wenn das Betrefffeld im Serverzertifikat einem der eingegebenen Servernamen entspricht.
- Wählen Sie ein vertrauenswürdiges CA-Stammzertifikat aus der Liste Vertrauenswürdige Stammzertifizierungsstelle (CA) aus, das verwendet wird, um das Serverzertifikat zu validieren. Nur vertrauenswürdige CA Zertifikate, die am Hostsystem installiert sind, werden in der Dropdown-Liste angezeigt. Sie können mehr als ein vertrauenswürdiges Stamm-CA auswählen. Doppelklicken Sie auf ein vertrauenswürdiges CA Zertifikat, um die Zertifikatsdetails anzuzeigen.
- Wenn Sie das Kästchen Benutzer nicht zur Autorisierung neuer Server oder vertrauenswürdiger Zertifizierungsstellen auffordern markieren, legen Sie fest, dass, falls der Servername nicht übereinstimmt oder das Serverzertifikat nicht durch eine der ausgewählten vertrauenswürdigen CAs unterzeichnet ist, der Benutzer nicht aufgefordert wird die Verbindung zu autorisieren. Die Authentifizierung schlägt stattdessen fehl.
- Wählen Sie eine andere Registerkarte zur Konfiguration oder klicken Sie auf OK, um Ihre Einstellungen zu speichern, und schließen Sie das Dialogfeld EAP-FAST-Eigenschaften.
Authentifizierungseinstellungen konfigurieren
Verwenden Sie das Register "Authentifizierung", um die Authentifizierungseinstellungen zu konfigurieren.
- Wählen Sie in der Authentifizierungsregisterkarte die Authentifizierungsmethode aus der Dropdown-Liste. Wählen Sie eine der folgenden Methoden:
- Irgendeine Methode (Standardeinstellung) — mit dieser Option können Sie EAP-FAST benutzen, um eine der unterstützten Methoden auszuwählen, die der EAP Server anfordert.
- EAP-GTC — diese Option ist die einzig verfügbare Option, wenn Sie die Option Einmalkennwort verwenden im Register "Benutzeranmeldeinformationen" gewählt haben.
- EAP-MS-CHAP-V2
- EAP-TLS — diese Option ist die einzig verfügbare Option, wenn Sie die Option Für diesen Computer ein Benutzerzertifikat verwenden im Register "Benutzeranmeldeinformationen" gewählt haben.
HINWEIS: Die Schaltfläche Konfigurieren ist in Version 2.0 des EAP-FAST Moduls nicht aktiviert.
- Markieren Sie Schnelle Wiederverbindung aktivieren, um die Sitzungswiederaufnahme zuzulassen.
- Markieren Sie Posture Validation aktivieren, um die Verfassungsinformationen des anzufragenden Hostgerätes zuzulassen.
- Wählen Sie eine andere Registerkarte um zu konfigurieren oder klicken Sie auf OK, um Ihre Einstellungen zu speichern und schließen Sie das Dialogfeld EAP-FAST Eigenschaften.
Eine Verbindung mit EAP-SIM-Netzwerkauthentifizierung einrichten
EAP-SIM verwendet einen dynamischen, sitzungsbasierten WEP-Schlüssel zur Datenverschlüsselung, der sich vom Client-Adapter und RADIUS-Server ableitet. Bei EAP-SIM müssen Sie einen Benutzerbestätigungscode, eine PIN (Personal Identification Number), eingeben, um mit der SIM-Karte (Subscriber Identity Module) kommunizieren zu können. Eine SIM-Karte ist eine spezielle Smart Card, die von auf GSM (Global System for Mobile Communications) basierenden, digitalen, mobilen Netzwerken verwendet wird.
HINWEIS: Bei der Erstellung eines Administratorprofils für Windows Vista* oder Windows* 7, das EAP-SIM-Authentifizierung verwendet, steht "Freigegeben" nicht als Netzwerkauthentifizierungstyp zur Verfügung. Des Weiteren können ständige Administratorprofile nicht mit EAP-SIM-Authentifizierung erstellt werden.
HINWEIS: Bei der Erstellung eines Administratorprofils für Windows Vista* oder Windows* 7 und Auswahl von "Offen" für "Netzwerkauthentifizierung" ist "Datenverschlüsselung" auf "WEP" festgelegt.
EAP-SIM-Authentifizierung einrichten
- Wählen Sie im Fenster der drahtlosen Netzwerkeigenschaften im Register Sicherheit unter dem Typ Sicherheit die Option WPA-Enterprise, WPA2-Enterprise, 802.1X oder Intel-CCKM-Enterprise.
- Markieren Sie dann in den Verschlüsselungsarten die gewünschte Verschlüsselung.
- Wählen Sie unter Eine Netzwerkauthentifizierungsmethode wählen die Option EAP-SIM.
- Klicken Sie auf Einstellungen.
- Klicken Sie unten im Bereich Benutzernamen (Identität) angeben auf den Benutzernamen, um diesen anzugeben.
- Benutzername Geben Sie den Benutzernamen ein, der der SIM-Karte zugewiesen ist.
- Klicken Sie auf OK.
Eine Verbindung mit EAP-TTLS-Netzwerkauthentifizierung einrichten
TTLS-Authentifizierung: Diese Einstellungen definieren das Protokoll und die Anmeldeinformationen, mit denen der Benutzer authentifiziert wird. Der Client verwendet EAP-TLS zur Serverbestätigung und Einrichtung eines mit TLS verschlüsselten Kanals zwischen Client und Server. Der Client kann ein anderes Authentifizierungsprotokoll verwenden. Kennwortbasierte Protokolle wickeln die Herausforderung in der Regel über diesen verschlüsselten Kanal ab, um die Serverbestätigung zu ermöglichen. Die Herausforderungs- und Antwortpakete werden über einen verschlüsselten, nicht sichtbaren TLS-Kanal gesendet. TTLS-Implementierungen unterstützen heute alle von EAP definierten Methoden.
Authentifizierungsprotokolle
- PAP: Das PAP-Protokoll (Kennwortauthentifizierungsprotokoll) ist ein 2-Wege-Handshake-Protokoll zum Einsatz mit PPP. PAP ist ein unverschlüsseltes Kennwort, das auf älteren SLIP-Systemen verwendet wird. Es bietet keine Sicherheit.
- CHAP: Das CHAP-Protokoll (Challenge Handshake Authentication Protocol) ist ein 3-Wege-Handshake-Protokoll, das sicherer als das Kennwortauthentifizierungsprotokoll ist.
- MS-CHAP (MD4): Verwendet eine Microsoft-Version des Herausforderungs- und Antwortprotokolls RSA Message Digest 4. Dieses Protokoll funktioniert nur auf Microsoft-Systemen und aktiviert die Datenverschlüsselung. Durch Auswahl dieser Authentifizierungsmethode werden alle Daten verschlüsselt.
- MS-CHAP-V2: Bietet im Vergleich zu MS-CHAP-V1 oder standardmäßiger CHAP-Authentifizierung als zusätzliche Funktion die Möglichkeit zur Kennwortänderung. Auf diese Weise kann der Client das Kontokennwort ändern, wenn der RADIUS-Server den Ablauf des Kennworts meldet.
EAP-TTLS-Netzwerkauthentifizierung einrichten
Schritt 1 von 2: TTLS-Benutzer
So richten Sie eine Verbindung mit EAP-TTLS-Authentifizierung ein:
- Wählen Sie im Fenster der drahtlosen Netzwerkeigenschaften im Register Sicherheit unter dem Typ Sicherheit die Option WPA-Enterprise, WPA2-Enterprise, 802.1X oder Intel-CCKM-Enterprise.
- Markieren Sie dann in den Verschlüsselungsarten die gewünschte Verschlüsselung.
- Unter Netzwerkauthentifizierungsmethode auswählen: Wählen Sie EAP-TTLS.
- Klicken Sie auf Einstellungen.
- Authentifizierungsprotokoll: Dieser Parameter gibt das Authentifizierungsprotokoll an, das über den TTLS-Tunnel ausgeführt wird. Die Protokolle sind: PAP (Standard), CHAP, MS-CHAP und MS-CHAP-V2. Weitere Informationen dazu finden Sie unter Sicherheit - Überblick.
- Benutzeranmeldeinformationen: Wählen Sie entweder Bei jeder Verbindungsherstellung auffordern oder Folgendes verwenden oder Windows-Anmeldung verwenden.
Name |
Beschreibung |
Bei jeder Verbindung auffordern |
Wählen Sie diese Option, damit die Eingabe des Benutzernamens und Kennworts gefordert wird, bevor die Verbindung zu einem drahtlosen Netzwerk hergestellt werden kann. Der Benutzername und das Kennwort müssen erstmalig vom Administrator auf dem Authentifizierungsserver eingerichtet werden. |
Folgendes verwenden |
Der Benutzername und das Kennwort werden im Profil sicher (verschlüsselt) gespeichert.
-
Benutzername: Dieser Benutzername muss mit dem Benutzernamen übereinstimmen, der auf dem Authentifizierungsserver eingerichtet wurde.
-
Domäne: Der Name der Domäne auf dem Authentifizierungsserver. Der Servername bezeichnet eine Domäne oder eine ihrer Unterdomänen (z. B. zeelans.com mit dem Server blueberry.zeelans.com). Den Domänennamen erhalten Sie von Ihrem Administrator.
-
Kennwort: Dieses Kennwort muss mit dem Kennwort übereinstimmen, das auf dem Authentifizierungsserver eingerichtet wurde. Die eingegebenen Kennwortzeichen werden als Sternchen angezeigt.
-
Kennwort bestätigen: Geben Sie das Benutzerkennwort erneut ein.
|
Windows-Anmeldung verwenden |
Verwendet die Anmeldeparameter für Windows und fordert keine weiteren Informationen vom Benutzer an. |
- Roaming-Identität: Wenn das Feld für die Roaming-Identität leer ist, ist %Domäne%\%Benutzername% die Standardidentität.
Wenn 802.1X MS RADIUS als Authentifizierungsserver verwendet wird, authentifiziert dieser das Gerät anhand des in der WiFi Connection Utility verwendeten Roaming-Identität-Benutzernamens und ignoriert den Benutzernamen aus dem Authentifizierungsprotokoll MS-CHAP-V2. Diese Funktion stellt die 802.1X-Identität dar, die der authentifizierenden Partei genannt wird. Microsoft IAS RADIUS akzeptiert nur einen gültigen Benutzernamen (dotNet-Benutzer) für EAP-Clients. Geben Sie einen gültigen Benutzernamen ein, wenn Sie 802.1X MS RADIUS verwenden. Für alle anderen Server ist dies ein optionales Feld. Es wird daher empfohlen, den gewünschten Bereich (z. B. anonym@meinbereich) anstatt einer echten Identität einzugeben.
Schritt 2 von 2: TTLS-Server
-
Wählen Sie eine der folgenden Optionen:
Name |
Beschreibung |
Serverzertifikat validieren |
Zertifikataussteller: Das während des TTLS-Meldungsaustausch empfangene Serverzertifikat muss von diesem Zertifikataussteller (CA) ausgegeben worden sein. Vertrauenswürdige Zertifikataussteller auf Root- und Zwischenebene, deren Zertifikate im Systemspeicher vorhanden sind, stehen für die Auswahl zur Verfügung. Wenn Beliebige vertrauenswürdige CA markiert ist, werden alle CAs auf der Liste akzeptiert. |
Server- oder Zertifikatsnamen angeben |
Server- bzw. Zertifikatname: Geben Sie den Servernamen ein.
Der Servername oder die Domäne, der der Server zugeordnet ist, je nachdem, welche Option unten markiert wurde:
-
Servername muss genau mit dem angegebenen Eintrag übereinstimmen: Sofern markiert, muss der Servername genau mit dem Servernamen auf dem Zertifikat übereinstimmen. Der Servername sollte den vollständigen Domänennamen enthalten (zum Beispiel: Servername.Domänenname). Der Servername kann beliebige Zeichen enthalten, einschließlich Sonderzeichen.
-
Domänenname muss in angegebenem Namen enden: Sofern markiert, zeigt das Servernamensfeld eine Domäne an, und das Zertifikat muss über einen Servernamen verfügen, der zu dieser Domäne bzw. zu einer ihrer Unterdomänen gehört (z. B. zeelans.com, wobei der Server blueberry.zeelans.com ist). Diese Parameter erhalten Sie vom Administrator.
|
- Klicken Sie auf OK, um die Einstellung zu speichern und die Seite zu schließen.
Eine Verbindung mit EAP-AKA-Netzwerkauthentifizierung einrichten
Die EAP-AKA-Methode (Extensible Authentication Protocol for UMTS Authentication and Key Agreement) ist ein EAP-Mechanismus zur Authentifizierung und Verteilung von Sitzungsschlüsseln, der das Subscriber Identity Module (USIM) UMTS (Universal Mobile Telecommunications System) verwendet. Eine USIM-Karte ist eine spezielle Smart Card, die bei zellulären Netzwerken zur Validierung eines bestimmten Netzwerkbenutzers verwendet wird.
EAP-AKA-Authentifizierung einrichten
- Wählen Sie im Fenster der drahtlosen Netzwerkeigenschaften im Register Sicherheit unter dem Typ Sicherheitstyp die Option WPA-Enterprise, WPA2-Enterprise, 802.1X oder Intel-CCKM-Enterprise.
- Markieren Sie dann in den Verschlüsselungsarten die gewünschte Verschlüsselung.
- Unter Netzwerkauthentifizierungsmethode auswählen: Wählen Sie EAP-AKA.
- Klicken Sie auf Einstellungen.
- Benutzernamen (Identität) angeben: Klicken Sie, um den Benutzernamen anzugeben.
- Benutzername: Geben Sie den der USIM-Karte zugewiesenen Benutzernamen ein.
- Klicken Sie auf OK.