Konfigurowanie zaawansowanych połączeń bezprzewodowych
Zaawansowane ustawienia zabezpieczeń sieci Intel służą do konfigurowania ustawień sieci WiFi EAP, które nie są dostępne w systemie Windows Vista* lub Windows* 7.
Więcej informacji na temat różnych opcji zabezpieczeń sieci bezprzewodowych można znaleźć w sekcji Przegląd zabezpieczeń.
Konfigurowanie nowego połączenia bezprzewodowego
Konfigurowanie ustawień połączeń Intel
Konfigurowanie połączenia z uwierzytelnianiem sieci LEAP
Konfigurowanie klienta z uwierzytelnianiem sieci PEAP
Konfigurowanie połączenia z uwierzytelnianiem sieci EAP-FAST
Konfigurowanie połączenia z uwierzytelnianiem sieci EAP-SIM
Konfigurowanie połączenia z uwierzytelnianiem sieci EAP-TTLS
Konfigurowanie połączenia z uwierzytelnianiem sieci EAP-AKA
Konfigurowanie nowego połączenia bezprzewodowego
Aby skonfigurować nowe połączenie bezprzewodowe i włączyć ustawienia połączeń Intel:
- Otwórz Centrum sieci i udostępniania systemu Windows*. W systemie Windows Vista* kliknij przycisk Start > Sieć > Centrum sieci i udostępniania. W systemie Windows* 7 kliknij przycisk Start > Panel sterowania > Sieć i Internet > Centrum sieci i udostępniania.
- Kliknij opcję Skonfiguruj połączenie lub sieć.
- Wybierz opcję Ręcznie nawiąż połączenie z siecią bezprzewodową.
- Kliknij przycisk Dalej, aby wprowadzić informacje o sieci bezprzewodowej.
UWAGA: Jeśli zainstalowano Technologię Intel® My WiFi, konieczne będzie wybranie karty sieci bezprzewodowej. Wybierz opcję Intel WiFi STA.
- Nazwa sieci: Wprowadź identyfikator sieci (SSID).
- Typ zabezpieczeń: Wybierz opcję 802.1X.
- Typ szyfrowania: Ustawienie domyślne to WEP.
- Klucz zabezpieczeń / hasło: Niewymagane.
- Ustawienia opcjonalne:
- Uruchom to połączenie automatycznie (ustawienie domyślne).
- Połącz, nawet jeśli sieć nie emituje.
- Kliknij przycisk Dalej, aby wyświetlić potwierdzenie, że sieć została dodana pomyślnie.
-
Opcjonalnie: Kliknij opcję Zmień ustawienia połączenia.
Konfigurowanie ustawień połączeń Intel
- Wybierz opcję Włącz ustawienia połączeń Intel, aby skonfigurować obowiązkowy punkt dostępu, automatyczne uruchamianie aplikacji i/lub opcje Cisco.
- Kliknij przycisk Konfiguruj.
- W tym panelu można konfigurować parametry wymienione poniżej.
Nazwa |
Opis |
Wybieranie pasma |
W tym miejscu można wybierać pasmo, które ma być używane dla profilu połączenia:
- Pasmo mieszane (ustawienie domyślne): Wybierz tę opcję, aby Narzędzie do połączeń Intel® PROSet/Wireless WiFi próbowało łączyć ten profil z dostępną siecią przy użyciu jednego z dwóch pasm.
- Pasmo 2,4 GHz: Wybierz tę opcję, aby narzędzie do połączeń WiFi próbowało łączyć ten profil z dostępną siecią tylko przy użyciu pasma 2,4 GHz.
- Pasmo 5,2 GHz: Wybierz tę opcję, aby narzędzie do połączeń WiFi próbowało łączyć ten profil z dostępną siecią tylko przy użyciu pasma 5,2 GHz.
|
Obowiązkowy punkt dostępu |
Wymusza łączenie karty WiFi z punktem dostępu przy użyciu określonego adresu MAC. Należy wprowadzić adres MAC punktu dostępu (BSSID): 48 bitów, 12 cyfr w formacie szesnastkowym. Na przykład: 00:06:25:0E:9D:84.
Brak zaznaczenia: Czyszczenie bieżącego adresu.
UWAGA: Ta funkcja jest niedostępna, gdy używany jest tryb działania Ad Hoc. |
Automatyczne uruchamianie aplikacji |
Po połączeniu z siecią automatycznie uruchamia plik wsadowy, plik wykonywalny lub skrypt. Na przykład, przy każdym połączeniu użytkownika z siecią bezprzewodową automatycznie uruchamiana może być sesja VPN.
- Kliknij opcję Włącz automatyczne uruchamianie aplikacji.
- Wprowadź ścieżkę i nazwę pliku dla programu, który ma być uruchamiany, lub kliknij przycisk Przeglądaj, aby zlokalizować dany plik na dysku twardym. Na przykład: C:\Program Files\myprogram\myVPNfile.exe.
- Kliknij przycisk OK, aby zamknąć stronę Ustawienia połączeń.
|
Opcje Cisco |
Włącz pomiar łączności radiowej: Służy do włączania i wyłączania tej usługi. Umożliwia konfigurowanie ustawień Cisco dla pomiarów łączności radiowej i usług pokrewnych. Po zaznaczeniu tej opcji karta WiFi umożliwia zarządzanie infrastrukturą Cisco przy użyciu łączności radiowej. Jeśli dla infrastruktury używane jest narzędzie do zarządzania łącznością radiową Cisco, służy ono do konfigurowania parametrów łączności radiowej, a także do wykrywania zakłóceń i nielegalnych punktów dostępu. To ustawienie jest domyślnie wyłączone. |
- Aby dodać dodatkowe zabezpieczenia, wybierz kartę Zabezpieczenia. Na ekranie pojawi się okno Właściwości sieci bezprzewodowej.
- Typ zabezpieczeń: Wybierz opcję Intel - CCKM-Korporacyjne.
- Typ szyfrowania: Wybierz jedną z opcji:
- WEP: Ustawienie domyślne, gdy wybrany został typ zabezpieczeń Intel - CCKM - Korporacyjne.
- TKIP: Udostępnia mieszanie kluczy przed wysłaniem pakietu, kontrolę integralności wiadomości i mechanizm ponownego wprowadzania klucza.
- AES - CCMP: (Advanced Encryption Standard - Counter CBC-MAC Protocol) Używany jako metoda szyfrowania, gdy istotny jest wysoki poziom ochrony danych. Zaleca się wybranie opcji AES-CCMP .
- Kliknij przycisk OK, aby zamknąć okno.
Konfigurowanie połączenia z uwierzytelnianiem sieci LEAP
LEAP jest typem uwierzytelniania w bezprzewodowych sieciach LAN, obsługującym wzajemne uwierzytelnianie klienta i serwera zaplecza przy użyciu hasła logowania jako udostępnionych tajnych danych. W uwierzytelnianiu tym wykorzystywane są klucze szyfrowania specyficzne dla użytkownika i sesji. Właściwości uwierzytelniania Cisco LEAP:
- Prawdziwe logowanie jednorazowe za pomocą istniejącej nazwy użytkownika i hasła przy użyciu usługi Windows NT/2000 Active Directory
- Uproszczone, niedrogie wdrożenie i administracja przez menedżerów działów informatycznych
- Niezawodne, skalowalne i scentralizowane zarządzanie zabezpieczeniami
- Wysoko wydajne zabezpieczenia klasy "enterprise" z możliwością uaktualniania
- Dynamiczna ochrona prywatności w przypadku użycia w połączeniu z szyfrowaniem TKIP lub AES
Konfigurowanie uwierzytelniania sieci LEAP
- W oknie Właściwości sieci bezprzewodowej, na karcie Zabezpieczenia dla typu Zabezpieczenia wybierz opcję WPA-Korporacyjne, WPA2-Korporacyjne, 802.1X lub Intel-CCKM-Korporacyjne.
- Dla opcji Typ szyfrowania wybierz żądane szyfrowanie.
- W obszarze wyboru metody uwierzytelniania sieci wybierz opcję LEAP.
- Kliknij przycisk Ustawienia.
Konfigurowanie poświadczeń sieci

- Kliknij kartę Poświadczenia sieci. Skonfiguruj nazwę użytkownika i hasło, wybierając jedną z następujących opcji:
- Użyj nazwy użytkownika i hasła systemu Windows. Po wybraniu tej opcji jako poświadczenia LEAP na potrzeby uwierzytelniania sieciowego używana jest nazwa użytkownika i hasło użytkownika systemu Windows.
- Automatycznie monituj o nazwę użytkownika i hasło. Po wybraniu tej opcji osobna nazwa użytkownika i hasło LEAP są używane na potrzeby uwierzytelniania sieciowego. Nazwa użytkownika i hasło muszą być zarejestrowane na serwerze zaplecza.
- Użyj zapisanej nazwy użytkownika i hasła. Po wybraniu tej opcji zapisana nazwa użytkownika i hasło LEAP są używane na potrzeby uwierzytelniania sieciowego. Każdorazowe wprowadzanie nazwy użytkownika i hasła LEAP nie jest wymagane. Uwierzytelnianie jest wykonywane automatycznie w miarę potrzeb przy użyciu zapisanej nazwy użytkownika i hasła (zarejestrowanych na serwerze zaplecza).
Aby skonfigurować zapisaną nazwę użytkownika i hasło:
- W polu Nazwa użytkownika wprowadź zapisaną nazwę użytkownika i domenę (maks. 256 znaków). Użyj jednego z następujących formatów:
> Nazwa użytkownika kwalifikowana w obrębie domeny (domena\użytkownik)
> format UPN (użytkownik@domena)
- W polu Hasło wprowadź hasło (maks. 256 znaków).
- W polu Potwierdź hasło wprowadź hasło ponownie.
- Kliknij przycisk OK, aby zapisać ustawienia i zamknąć okno dialogowe Właściwości LEAP.
Konfigurowanie klienta z uwierzytelnianiem sieci PEAP
PEAP jest typem uwierzytelniania w sieciach bezprzewodowych LAN. Uwierzytelnianie PEAP zapewnia wysoki poziom bezpieczeństwa, możliwość rozszerzania bazy danych użytkowników oraz obsługę uwierzytelniania i zmiany lub przedawniania hasła przy użyciu tokenu jednorazowego. PEAP bazuje na protokole EAP-TLS po stronie serwera. Korzystając z uwierzytelniania PEAP organizacje mogą uniknąć problemów z instalowaniem certyfikatów cyfrowych na każdym urządzeniu klienckim (co jest wymagane w przypadku uwierzytelniania EAP-TLS). Zamiast tego mogą określać metody uwierzytelniania klienta (np. hasła logowania lub hasła jednorazowe), które są najbardziej zgodne z ich potrzebami. Klient Cisco PEAP zapewnia możliwość ukrywania tożsamości nazwy użytkownika do momentu ustanowienia zaszyfrowanego tunelu TLS, dzięki czemu zyskuje się dodatkową pewność, że nazwy użytkownika nie są emitowane w fazie uwierzytelniania. Uwierzytelnianie PEAP niesie ze sobą następujące korzyści dla bezpieczeństwa:
- Bazuje na uwierzytelnianiu TLS i dopuszcza obsługę uwierzytelniania nieszyfrowanego (np. EAP-GTC czy haseł jednorazowych).
- Korzysta z opartego na PKI uwierzytelania certyfikatów cyfrowych po stronie serwera
- Umożliwia uiwerzytelnianie w różnych katalogach, łącznie z bazami danych LDAP, Novell NDS* i OTP
- Wykorzystuje metodę TLS do szyfrowania wszelkich danych uwierzytelniania zależnych od użytkownika
- Obsługuje zmianę hasła po wygaśnięciu
- Nie ujawnia nazwy użytkownika logowania w odpowiedzi tożsamości EAP
- Nie jest wrażliwe na ataki słownikowe
- Zapewnia dynamiczną ochronę prywatności w przypadku użycia w połączeniu z szyfrowaniem TKIP lub AES
Konfigurowanie uwierzytelniania PEAP
- W oknie Właściwości sieci bezprzewodowej, na karcie Zabezpieczenia dla typu Zabezpieczenia wybierz opcję WPA-Korporacyjne, WPA2-Korporacyjne, 802.1X lub Intel-CCKM-Korporacyjne.
- Dla opcji Typ szyfrowania wybierz żądane szyfrowanie.
- W obszarze wyboru metody uwierzytelniania sieci wybierz opcję Cisco: PEAP.
- Kliknij przycisk Ustawienia.
Konfigurowanie poświadczeń użytkownika

- Kliknij kartę Poświadczenia użytkownika. Skonfiguruj nazwę użytkownika i hasło, wybierając jedną z następujących opcji:
- Użyj hasła jednorazowego. Użycie tej opcji powoduje monitowanie o podanie hasła jednorazowego jako poświadczeń PEAP na potrzeby uwierzytelniania sieciowego. Gdy używana jest opcja Hasło jednorazowe, należy wygenerować hasło jednorazowe. Poświadczenia nie są buforowane. Za każdym razem, gdy serwer żąda poświadczeń, użytkownik jest monitowany o wprowadzenie poświadczeń.
- Użyj nazwy użytkownika i hasła systemu Windows. Po wybraniu tej opcji jako poświadczenia PEAP na potrzeby uwierzytelniania sieciowego używana jest nazwa użytkownika i hasło użytkownika systemu Windows.
- Automatycznie monituj o nazwę użytkownika i hasło. Po wybraniu tej opcji osobna nazwa użytkownika i hasło PEAP są używane na potrzeby uwierzytelniania sieciowego. Nazwa użytkownika i hasło muszą być zarejestrowane na serwerze zaplecza.
- Użyj zapisanej nazwy użytkownika i hasła. Po wybraniu tej opcji zapisana nazwa użytkownika i hasło PEAP są używane na potrzeby uwierzytelniania sieciowego. Każdorazowe wprowadzanie nazwy użytkownika i hasła PEAP nie jest wymagane. Uwierzytelnianie jest wykonywane automatycznie w miarę potrzeb przy użyciu zapisanej nazwy użytkownika i hasła (zarejestrowanych na serwerze zaplecza).
Aby skonfigurować zapisaną nazwę użytkownika i hasło:
- W polu Nazwa użytkownika wprowadź zapisaną nazwę użytkownika i domenę (maks. 256 znaków). Użyj jednego z następujących formatów:
> Nazwa użytkownika kwalifikowana w obrębie domeny (domena\użytkownik)
> format UPN (użytkownik@domena)
- W polu Hasło wprowadź hasło (maks. 256 znaków).
- W polu Potwierdź hasło wprowadź hasło ponownie.
- Wybierz kartę Połączenie, aby skonfigurować, lub kliknij przycisk OK, aby zapisać ustawienia i zamknąć okno dialogowe Właściwości PEAP.
Konfigurowanie połączenia
Karta Połączenie umożliwia konfigurowanie ustawień określających nawiązywanie połączenia.
- Kliknij kartę Połączenie.
- Zaznacz pole wyboru Użyj anonimowej tożsamości zewnętrznej (jeśli chcesz włączyć ochronę prywatności tożsamości).
- Wprowadź tożsamość zewnętrzną w polu. Jest ona używana przy odpowiadaniu na żądania ujawnienia tożsamości protokołu EAP. Wartością domyślną jest "anonymous"; aby sprawdzić, czy wartość tę należy zmienić, skontaktuj się z administratorem. (Można wpisać maks. 256 znaków).
- Jeśli do ustanawiania tunelu używany jest uwierzytelniony certyfikat serwera, zaznacz pole wyboru Sprawdź poprawność certyfikatu serwera.
- Aby wprowadzić opcjonalną nazwę serwera, która musi być zgodna z certyfikatem serwera przedstawianym przez serwer, zaznacz pole wyboru Połącz tylko z tymi serwerami i wprowadź w polu nazwę serwera. Aby wprowadzić wiele nazw serwerów, rozdziel je średnikiem.
UWAGA: W przypadku uwierzytelniania PEAP połączenie może być kontynuowane tylko wtedy, gdy nazwa pospolita i alternatywna nazwa podmiotu w certyfikacie serwera są zgodne z wprowadzonymi nazwami serwera.
- Aby wybrać certyfikat zaufanego głównego urzędu certyfikacji, który jest używany do sprawdzania poprawności certyfikatu, zaznacz certyfikaty zaufane w oknie Zaufany główny urząd certyfikacji.
UWAGA: Na liście rozwijanej wyświetlane są tylko certyfikaty zaufanych urzędów certyfikacji, które zostały zainstalowane w systemie hosta. Aby wyświetlić szczegóły certyfikatu zaufanego głównego urzędu certyfikacji, kliknij dwukrotnie certyfikat.
- Zaznaczenie pola wyboru Nie monituj użytkownika o autoryzowanie nowych serwerów ani zaufanych urzędów certyfikacji oznacza, że jeśli nazwa serwera jest niezgodna lub certyfikat serwera nie został podpisany przez jeden z wybranych zaufanych urzędów certyfikacji, użytkownik nie jest monitowany o autoryzowanie połączenia. Zamiast tego uwierzytelnianie kończy się niepowodzeniem.
- Aby zezwalać na szybkie ponowne łączenie, zaznacz opcję Włącz szybkie ponowne łączenie.
- Kliknij przycisk OK, aby zapisać ustawienia i zamknąć okno dialogowe Właściwości PEAP.
Konfigurowanie połączenia z uwierzytelnianiem sieci EAP-FAST
EAP-FAST to publicznie dostępny typ EAP, opracowany przez firmę Cisco Systems. Istnieje kilka protokołów EAP dostępnych do wdrażania zarówno w sieciach przewodowych, jak i bezprzewodowych. Najbardziej rozpowszechnione protokoły EAP to Cisco LEAP, PEAP i EAP-TLS. Oprócz tych protokołów firma Cisco opracowała i zaimplementowała protokół EAP-FAST jako ustandaryzowany protokół EAP dostępny do wdrażania w przewodowych i bezprzewodowych sieciach LAN. Główne funkcje protokołu EAP-FAST:
- Bezpieczne uwierzytelnianie wzajemne w szyfrowaniu tunelowym TLS, zapobiegające atakom słownikowym
- Szyfrowanie tunelowe TLS i wiązanie kryptograficzne mają na celu zapobieganie atakom MITM. Wydajność i łatwość wdrożenia (bez certyfikatów i PKI)
- Ochrona prywatności tożsamości
- Szybkie ponowne łączenie
- Ochrona i elastyczność przy obsłudze popularnych baz danych użytkowników różnymi metodami wewnętrznymi
- Wydajność i wiele dostępnych opcji, zmniejszających zużycie zasobów serwera
Ta implementacja uwierzytelniania EAP-FAST obsługuje również:
- Obsługa logowania pojedynczego zintegrowana z procesem logowania w systemie Windows Vista* i Windows* 7 oraz ze strukturą EAPHost
- Przedawnianie haseł (obsługa utraty ważności haseł na serwerze)
- Zintegrowane kluczowe funkcje sieci bezprzewodowej LAN Cisco: szybka bezpieczna mobilność, CCKM i lokalne uwierzytelnianie RADIUS
- Obsługa Cisco NAC i Microsoft NAP na potrzeby sprawdzania poprawności stanu
Konfigurowanie uwierzytelniania EAP-FAST
- W oknie Właściwości sieci bezprzewodowej, na karcie Zabezpieczenia dla typu Zabezpieczenia wybierz opcję WPA-Korporacyjne, WPA2-Korporacyjne, 802.1X lub Intel-CCKM-Korporacyjne.
- Dla opcji Typ szyfrowania wybierz żądane szyfrowanie.
- W obszarze wyboru metody uwierzytelniania sieci wybierz opcję EAP-FAST.
- Kliknij przycisk Ustawienia.
Konfigurowanie poświadczeń użytkownika

- Kliknij kartę Poświadczenia użytkownika. Skonfiguruj nazwę użytkownika i hasło, wybierając jedną z następujących opcji:
- Użyj certyfikatu na tym komputerze. Certyfikat został już wystawiony przez urząd certyfikacji i jest specyficzny dla tego użytkownika.
- Użyj hasła jednorazowego. Użycie tej opcji powoduje monitowanie o podanie hasła jednorazowego jako poświadczeń PEAP-GTC na potrzeby uwierzytelniania sieciowego. Gdy używana jest opcja Hasło jednorazowe, należy wygenerować hasło jednorazowe. Poświadczenia nie są buforowane. Za każdym razem, gdy serwer żąda poświadczeń, użytkownik jest monitowany o wprowadzenie poświadczeń.
- Użyj nazwy użytkownika i hasła systemu Windows. Po wybraniu tej opcji jako poświadczenia PEAP-GTC na potrzeby uwierzytelniania sieciowego używana jest nazwa użytkownika i hasło użytkownika systemu Windows.
- Automatycznie monituj o nazwę użytkownika i hasło. Po wybraniu tej opcji osobna nazwa użytkownika i hasło PEAP-GTC są używane na potrzeby uwierzytelniania sieciowego. Nazwa użytkownika i hasło muszą być zarejestrowane na serwerze zaplecza.
- Użyj zapisanej nazwy użytkownika i hasła. Po wybraniu tej opcji osobna nazwa użytkownika i hasło PEAP-GTC są używane na potrzeby uwierzytelniania sieciowego. Każdorazowe wprowadzanie nazwy użytkownika i hasła PEAP-GTC nie jest wymagane. Uwierzytelnianie jest wykonywane automatycznie w miarę potrzeb przy użyciu zapisanej nazwy użytkownika i hasła (zarejestrowanych na serwerze zaplecza).
Aby skonfigurować zapisaną nazwę użytkownika i hasło:
- W polu Nazwa użytkownika wprowadź zapisaną nazwę użytkownika i domenę (maks. 256 znaków). Użyj jednego z następujących formatów:
> Nazwa użytkownika kwalifikowana w obrębie domeny (domena\użytkownik)
> format UPN (użytkownik@domena)
- W polu Hasło wprowadź hasło (maks. 256 znaków).
- W polu Potwierdź hasło wprowadź hasło ponownie.
- Wybierz kartę Połączenie, aby skonfigurować, lub kliknij przycisk OK, aby zapisać ustawienia i zamknąć okno dialogowe Właściwości EAP-FAST.
Konfigurowanie ustawień połączenia
Karta Połączenie umożliwia konfigurowanie ustawień określających nawiązywanie połączenia.
- Na karcie Połączenie zaznacz pole wyboru Użyj anonimowej tożsamości zewnętrznej (jeśli chcesz włączyć ochronę prywatności tożsamości).
- Wprowadź tożsamość zewnętrzną w polu. Jest ona używana przy odpowiadaniu na żądania ujawnienia tożsamości protokołu EAP. Wartością domyślną jest "anonymous"; aby sprawdzić, czy wartość tę należy zmienić, skontaktuj się z administratorem. (Maks. 256 znaków).
- Jeśli do ustanowienia tunelu używane są poświadczenia PAC, zaznacz pole wyboru Użyj poświadczeń dostępu zabezpieczonego. Jeśli pole nie zostanie zaznaczone, tryb EAP-FAST zachowuje się jak tryb PEAP — każdorazowo do ustanowienia tunelu używany jest uwierzytelniony certyfikat serwera.
- Aby włączyć automatyczne pobieranie poświadczeń dostępu zabezpieczonego podczas uwierzytelniania EAP-FAST, zaznacz pole wyboru Zezwalaj na automatyczne podawanie poświadczeń dostępu zabezpieczonego.
- (Opcjonalnie) Z listy rozwijanej Urząd poświadczeń dostępu zabezpieczonego wybierz urząd poświadczeń dostępu zabezpieczonego lub kliknij przycisk Importuj w celu zaimportowania pliku *.pac.
UWAGA: Lista rozwijana zawiera nazwy wszystkich urzędów poświadczeń dostępu zabezpieczonego, dla których wcześniej ustanawiano poświadczenia dostępu zabezpieczonego tunelu. Jeśli poświadczenia dostępu zabezpieczonego nie były podawane, jedyną dostępną opcją jest Brak. Opcję Brak można również wybrać w celu zmuszenia hosta do żądania podawania poświadczeń dostępu zabezpieczonego.
- Jeśli do ustanawiania tunelu używany jest uwierzytelniony certyfikat serwera, zaznacz pole wyboru Sprawdź poprawność certyfikatu serwera.
UWAGA: Na potrzeby ustanawiania tunelu można zaznaczyć zarówno pole Użyj poświadczeń dostępu zabezpieczonego, jak i Sprawdź poprawność certyfikatu serwera. W takim przypadku podczas uwierzytelniania EAP-FAST najpierw następuje próba użycia poświadczeń dostępu zabezpieczonego; jeśli poświadczenia dostępu zabezpieczonego nie istnieją lub zostaną odrzucone przez serwer, moduł EAP-FAST zostanie ponownie przełączony na korzystanie z certyfikatu serwera.
- Aby wprowadzić opcjonalną nazwę serwera, która musi być zgodna z certyfikatem serwera przedstawianym przez serwer, zaznacz pole wyboru Połącz tylko z tymi serwerami i wprowadź w polu nazwę serwera. Nazwy serwera należy rozdzielać średnikiem.
UWAGA: W przypadku uwierzytelniania EAP-FAST połączenie może być kontynuowane tylko wtedy, gdy pole tematu w certyfikacie serwera jest zgodne z wprowadzonymi nazwami serwera.
- Wybierz certyfikat zaufanego głównego urzędu certyfikacji, który jest używany do sprawdzania poprawności certyfikatu, z listy Zaufany główny urząd certyfikacji. Na liście rozwijanej wyświetlane są tylko certyfikaty zaufanych urzędów certyfikacji, które zostały zainstalowane w systemie hosta. Można wybrać więcej niż jeden zaufany główny urząd certyfikacji. Aby wyświetlić szczegóły certyfikatu zaufanego głównego urzędu certyfikacji, kliknij dwukrotnie certyfikat.
- Zaznaczenie pola wyboru Nie monituj użytkownika o autoryzowanie nowych serwerów ani zaufanych urzędów certyfikacji oznacza, że jeśli nazwa serwera jest niezgodna lub certyfikat serwera nie został podpisany przez jeden z wybranych zaufanych urzędów certyfikacji, użytkownik nie jest monitowany o autoryzowanie połączenia. Zamiast tego uwierzytelnianie kończy się niepowodzeniem.
- Wybierz kolejną kartę do skonfigurowania lub kliknij przycisk OK, aby zapisać ustawienia i zamknąć okno dialogowe Właściwości EAP-FAST.
Konfigurowanie ustawień uwierzytelniania
Karta Uwierzytelnianie umożliwia konfigurowanie ustawień uwierzytelniania.
- Na karcie Uwierzytelnianie wybierz z listy rozwijanej metodę uwierzytelniania. Wybierz jedną z następujących metod:
- Dowolna metoda (ustawienie domyślne) — ta opcja umożliwia wybieranie przez EAP-FAST dowolnych obsługiwanych metod żądanych przez serwer EAP.
- EAP-GTC — to jest jedyna dostępna opcja w przypadku, gdy na karcie Poświadczenia użytkownika zaznaczona została opcja Użyj hasła jednorazowego.
- EAP-MS-CHAP-V2
- EAP-TLS — to jest jedyna dostępna opcja w przypadku, gdy na karcie Poświadczenia użytkownika zaznaczona została opcja Użyj certyfikatu na tym komputerze.
UWAGA: Przycisk Konfiguruj jest niedostępny w wersji 2.0 modułu EAP-FAST.
- Aby zezwalać na wznawianie sesji, zaznacz opcję Włącz szybkie ponowne łączenie.
- Aby zezwalać na wysyłanie kwerend dotyczących informacji o stanie hosta, zaznacz opcję Włącz sprawdzanie poprawności stanu.
- Wybierz kolejną kartę do skonfigurowania lub kliknij przycisk OK, aby zapisać ustawienia i zamknąć okno dialogowe Właściwości EAP-FAST.
Konfigurowanie połączenia z uwierzytelnianiem sieci EAP-SIM
W uwierzytelnianiu EAP-SIM dane są szyfrowane za pomocą dynamicznego klucza WEP sesji, pobieranego z karty klienta i serwera RADIUS. W przypadku uwierzytelniania EAP-SIM wymagane jest wprowadzenie kodu weryfikacyjnego użytkownika (kodu PIN), umożliwiającego komunikację z kartą SIM. Karta SIM to specjalna karta inteligentna używana w cyfrowych sieciach komórkowych GSM.
UWAGA: Podczas tworzenia profilu administratora z uwierzytelnianiem EAP-SIM w systemie Windows Vista* lub Windows* 7 typ uwierzytelniania Udostępniane jest niedostępny. Oprócz tego nie można tworzyć profili administratora Trwałe z uwierzytelnianiem EAP-SIM.
UWAGA: Jeśli w systemie Windows Vista* lub Windows* 7 podczas tworzenia profilu administratora ustawione jest Otwarte uwierzytelnianie sieci, trwale ustawione jest szyfrowanie danych WEP.
Konfigurowanie uwierzytelniania EAP-SIM
- W oknie Właściwości sieci bezprzewodowej, na karcie Zabezpieczenia dla typu Zabezpieczenia wybierz opcję WPA-Korporacyjne, WPA2-Korporacyjne, 802.1X lub Intel-CCKM-Korporacyjne.
- Dla opcji Typ szyfrowania wybierz żądane szyfrowanie.
- Dla opcji Wybierz metodę uwierzytelniania sieci: wybierz pozycję EAP-SIM.
- Kliknij przycisk Ustawienia.
- Kliknij w poniższym panelu Określ nazwę użytkownika (tożsamość), aby okreslić nazwę użytkownika.
- Nazwa użytkownika - wprowadź nazwę użytkownika przypisaną do karty SIM.
- Kliknij przycisk OK.
Konfigurowanie połączenia z uwierzytelnianiem sieci EAP-TTLS
Uwierzytelnianie TTLS: Te ustawienia określają protokół i poświadczenia używane do uwierzytelniania użytkownika. Klient korzysta z usługi EAP-TLS w celu sprawdzenia serwera i utworzenia między klientem i serwerem kanału zaszyfrowanego metodą TLS. Klient może korzystać z innego protokołu uwierzytelniania. Zazwyczaj protokoły z hasłem wysyłają wyzwanie tym kanałem szyfrowanym w celu włączenia sprawdzania poprawności serwera. Pakiety żądania i odpowiedzi wysyłane są przez ukryty kanał zaszyfrowany metodą TLS. Dzisiejsze implementacje TTLS obsługują wszystkie metody określone w uwierzytelnianiu EAP.
Protokoły uwierzytelniania
- PAP: Dwukierunkowy protokół uzgadniania PAP został opracowany do użytku z protokołem PPP. W protokole PAP używane jest hasło tekstowe używane w starszych systemach SLIP. Protokół ten nie jest bezpieczny.
- CHAP: Trójkierunkowy protokół uzgadniania CHAP jest uznawany za bezpieczniejszy od protokołu uwierzytelniania PAP.
- MS-CHAP (MD4): Wersja protokołu RSA Message Digest 4 opracowana przez firmę Microsoft. Ten tryb działa tylko w systemach firmy Microsoft i umożliwia szyfrowanie danych. Po wybraniu tej metody uwierzytelniania wszystkie dane są szyfrowane.
- MS-CHAP-V2: Wprowadza dodatkową funkcję, niedostępną w przypadku uwierzytelniania MS-CHAP-V1 ani standardowego uwierzytelniania CHAP — funkcję zmiany hasła. Funkcja ta umożliwia klientowi zmianę hasła, jeśli z serwera RADIUS odebrane zostanie zgłoszenie wygaśnięcia hasła.
Konfigurowanie uwierzytelniania sieci EAP-TTLS
Krok 1 z 2: Użytkownik TTLS
Konfigurowanie połączenia z uwierzytelnianiem EAP-TTLS:
- W oknie Właściwości sieci bezprzewodowej, na karcie Zabezpieczenia dla typu Zabezpieczenia wybierz opcję WPA-Korporacyjne, WPA2-Korporacyjne, 802.1X lub Intel-CCKM-Korporacyjne.
- Dla opcji Typ szyfrowania wybierz żądane szyfrowanie.
- Dla opcji Wybierz metodę uwierzytelniania sieci: Wybierz opcję EAP-TTLS.
- Kliknij przycisk Ustawienia.
- Protokół uwierzytelniania: Ten parametr określa protokół uwierzytelniania używany w tunelu TTLS. Dostępne protokoły: PAP (domyślny), CHAP, MS-CHAP i MS-CHAP-V2. Informacje na ten temat można znaleźć w sekcji Przegląd zabezpieczeń.
- Poświadczenia użytkownika: Wybierz opcję Monituj przy każdym łączeniu, Używane wartości lub Użyj logowania systemu Windows.
Nazwa |
Opis |
Monituj przy każdym łączeniu |
Zaznacz, aby przed nawiązaniem połączenia z siecią bezprzewodową wyświetlany był monit o nazwę użytkownika i hasło. Nazwa użytkownika i hasło muszą zostać wcześniej ustawione przez administratora na serwerze uwierzytelniania. |
Użyj: |
Nazwa użytkownika i hasło są bezpiecznie (z szyfrowaniem) zapisywane w profilu.
-
Nazwa użytkownika: Nazwa użytkownika musi być taka sama, jak nazwa użytkownika podana dla serwera uwierzytelniania.
-
Domena: Nazwa domeny serwera uwierzytelniania. Nazwa serwera określa domenę lub jedną z jej poddomen (np. zeelans.com, gdzie serwer to blueberry.zeelans.com). Aby uzyskać nazwę domeny, należy skontaktować się z administratorem.
-
Hasło: Hasło musi być takie samo, jak hasło podane dla serwera uwierzytelniania. Wprowadzane znaki hasła są wyświetlane w postaci gwiazdek.
-
Potwierdź hasło: Wprowadź hasło użytkownika ponownie.
|
Użyj logowania systemu Windows |
Używane są parametry logowania do systemu Windows, a użytkownik nie jest monitowany o dodatkowe dane. |
- Tożsamość mobilna: Jeśli pole Tożsamość mobilna jest puste, domyślnym formatem tożsamości jest %domena%\%nazwa_użytkownika%.
W przypadku stosowania 802.1X MS RADIUS jako serwera uwierzytelniania, serwer uwierzytelnia urządzenie przy użyciu nazwy użytkownika Tożsamość mobilna z narzędzia do połączeń WiFi i ignoruje nazwę użytkownika Protokół uwierzytelniania MS-CHAP-V2. Tą funkcją jest tożsamość 802.1X nadawana stronie uwierzytelniającej. Microsoft IAS RADIUS akceptuje tylko prawidłowe nazwy użytkowników (użytkownik dotNet) dla klientów EAP. Jeśli używany jest serwer 802.1X MS RADIUS, wprowadź prawidłową nazwę użytkownika. W przypadku innych serwerów jest to opcjonalne. Zalecane jest więc, aby zamiast prawdziwej tożsamości używany był żądany obszar (np. anonim@obszar).
Krok 2 z 2: Serwer TTLS
-
Wybierz jedną z opcji:
Nazwa |
Opis |
Sprawdź poprawność certyfikatu serwera |
Wystawca certyfikatu: Certyfikat serwera otrzymany w trakcie wymiany komunikatów TTLS powinien być wydany przez ten urząd certyfikacji. Dostępne będą zaufane pośrednie urzędy certyfikacji i urzędy podstawowe, których certyfikaty są dostępne do wyboru w magazynie systemowym. W przypadku wybrania opcji Dowolny zaufany urząd certyfikacji dopuszczalny będzie każdy urząd certyfikacji z listy. |
Określ nazwę serwera lub certyfikatu |
Nazwa serwera lub certyfikatu: Wprowadź nazwę serwera.
Nazwa serwera lub domena, do której należy serwer, w zależności od tego, która z opcji została wybrana.
-
Nazwa serwera musi być dokładnie zgodna z określonym wpisem: Jeśli to pole jest zaznaczone, nazwa serwera musi dokładnie odpowiadać nazwie serwera w certyfikacie. Nazwa serwera powinna obejmować pełną nazwę domeny (np. nazwa NazwaSerwera.Domena). Nazwa serwera może zawierać wszystkie znaki, łącznie ze znakami specjalnymi.
-
Nazwa domeny musi kończyć się określonym wpisem: Jeśli to pole jest zaznaczone, nazwa serwera określa domenę, a certyfikat musi posiadać nazwę serwera należącą do tej domeny lub do jednej z jej domen podrzędnych (np. zeelans.com, gdzie serwer to blueberry.zeelans.com). Wskazane parametry należy uzyskać od administratora.
|
- Kliknij przycisk OK, aby zapisać ustawienia i zamknąć stronę.
Konfigurowanie połączenia z uwierzytelnianiem sieci EAP-AKA
EAP-AKA (ang. Extensible Authentication Protocol Method for UMTS Authentication and Key Agreement) to mechanizm EAP służący do uwierzytelniania i dystrybucji klucza sesji za pomocą karty SIM w systemie UMTS (USIM). Karta USIM jest specjalną kartą inteligentną używaną w sieciach komórkowych do weryfikowania użytkownika w sieci.
Konfigurowanie połączenia z uwierzytelnianiem EAP-AKA
- W oknie Właściwości sieci bezprzewodowej, na karcie Zabezpieczenia dla opcji Typ zabezpieczeń wybierz ustawienie WPA-Korporacyjne, WPA2-Korporacyjne, 802.1X lub Intel-CCKM-Korporacyjne.
- Dla opcji Typ szyfrowania wybierz żądane szyfrowanie.
- Dla opcji Wybierz metodę uwierzytelniania sieci: Wybierz opcję EAP-AKA.
- Kliknij przycisk Ustawienia.
- Określ nazwę użytkownika (tożsamość): Kliknij, aby określić nazwę użytkownika.
- Nazwa użytkownika: Nazwa użytkownika przypisana do karty USIM.
- Kliknij przycisk OK.