无线网络安全指南：活动目录组策略自动部署PEAP

对于系统管理员和企业CIO来说，企业无线局域网的安全问题一直是他们关注的重心。在4月份中，我们会连续关注企业无线局域网安全，今天我们将向大家介绍如何使用微软的活动目录组策略自动实现无线网络客户端配置，从而避免终端用户手动操作带来的诸多弊端。

在本文中，我将介绍如何通过微软的活动目录组策略，建立一个针对企业无线网络环境的全局无线网络策略，实现客户端无线网络配置的自动化，避免终端用户手动操作带来的诸k多弊端。这些设置可以通过Windows Server 2003 SP1, Windows Server 2003 R2, 或Windows Server 2007等服务器发布，终端用户可以是Windows XP SP2或以上版本，并且支持Vista系统。

首先，我们要以域管理员身份登录服务器，并开启“Active Directory Users and Groups”打开组策略编辑器。用户可以选择向整个域部署无线策略，也可以对包含某些用户的特定组织单元（OU）部署组策略。在如图DD所示的窗口中，我们需要新建一个叫做“Wi-Fi Policy”的组策略，然后点击“Edit”按钮。

图DD编辑组策略

接下来会出现如图EE所示的窗口，右键点击"Wireless Network ..."点击"Create Wireless Network Policy"即可

图EE组策略对象编辑器

点击 "Next".如图FF所示。

图FF无线网络策略向导

给新策略起一个名字，如 "Wi-Fi Policy" 如图GG所示，然后点击"Next".

图GG给新策略起一个名字

点击 "Finish"如图HH所示。

图HH点击完成

然后在图II中填写相应的内容。注意我在“Networks to access”项目中选择了“Access point (infrastructure) networks only”。这是活动目录所提供的一项非常重要的安全功能。即使用户不打算在网络环境中使用无线网络，也应该这样选择，从而防止任何域用户使用无线ADHOC模式。

另外，“Use Windows to configure wireless network settings for clients”也是一个相当重要的功能。即使网络终端用户使用了诸如Cisco ACU这样的第三方无线客户端，并且禁用了Microsoft Wireless Zero Configuration，这个选项也可以让这些用户正常使用活动目录所部署的无线网络设置。这个功能可以让我们通过集中化的策略控制整个企业无线网络。完成这个窗口的设置后，点击“Preferred Networks”标签。

图IIWi-Fi 策略

在图JJ所示窗口中点击 "Add."按钮。

图JJ选择网络

接下来会出现如图KK所示的窗口，输入我们之前为无线接入点所设置的网络名称（SSID）。图中所示的名称为MySSID。对全部接入点使用相同的SSID（在同一子网下）可以让我们拥有在不同接入点间“漫游”的能力。接下来，在两个下拉菜单中分别选择WPA 和 TKIP，实现最大的安全性和最佳的兼容性。如果用户的网络设备可以支持，还可以将“Data encryption”项设置为AES，实现更强的安全性。接下来我们点击“IEEE 802.1x”标签。

图KK MySSID

我们按照如图LL所示的内容填写各项数据。在“Authenticate as computer when computer information is available”选项前打勾可以实现机器验证，这是windows无线客户端的一项非常独特而且实用的功能。接下来我们点击“Settings”按钮继续。

图LL根据需要设置

接下来会出现如图MM所示的窗口，这是本文中另一个非常重要的窗口。选中“Validate server certificate”项可以防止黑客通过伪造证书的方式模拟接入点和RADIUS服务器，从而截获用户的登录信息。强制校验服务器证书可以防止这种现象的发生，而且我们也不希望由用户来手动定制这个项目，因为有些用户可能会出于某种目的而取消该选项。

“Trusted Root Certificate Authorities”也非常重要，在这里我们只选中我们认可的CA。另外，我们还要选中“Do not prompt user to authorize new servers or trusted certification authorities”项。如果这些关键性的项目都由用户手动完成，对于一个大企业来说，几乎是不可能的。而且安全性策略应该是一种系统强制性的策略。

图MM证书设置

接下来，我们在图MM所示窗口中点击“Configure”按钮，然后会出现如图NN所示的对话框。这里为我们提供了一项非常便利的验证方式，可以在用户接入无线网络（或802.1x模式的有线网络）时自动使用用户的Windows证书进行验证。

图NN凭证书自动登录

选中此项并点击“OK”，然后将桌面上的其余窗口依次确认并关闭。几分钟或几个小时内，当网络终端用户的系统自动刷新组策略时，或者登录活动目录时，他们将获得这份新的无线网络接入设置。

（责任编辑:陈毅东）