Требования к точкам беспроводного доступа

Это руководство посвящено защите беспроводной сети, поэтому размещение точек беспроводного доступа, их установка, выбор каналов и другие подобные темы в нем не рассматриваются. Для получения сведений о конфигурировании и размещении точек доступа, а также о проблемах, которые могу возникнуть при их использовании, обратитесь к инструкции производителя или материалам на его веб-узле.

Описываемое решение будет защищено максимально надежно, если использовать точки доступа, сертифицированные в соответствии со стандартом IEEE 802.11i WPA2 и оснащенные встроенными функциями перемещения при сбое и отказовозвращения. Кроме того, его можно реализовать, используя оборудование, сертифицированное в соответствии со стандартом WPA, при этом сильно отступать от данного руководства не придется, а степень защиты тоже будет очень высокой. Это решение можно также реализовать на основе стандарта WEP, но делать это не рекомендуется, и рассматриваться этот вариант не будет.

Развертывание и управление

Хотя этот раздел содержит пошаговые инструкции по установке и конфигурированию используемых в решении серверов и служб, в нем не описываются сами действия по установке и конфигурированию, которые необходимо выполнить при использовании ОС Windows Server 2003 или Windows XP Professional. Предполагается, что в большинстве компаний уже реализованы процессы настройки среды и утверждены принципы укрепления ее защиты.

Сертификаты

Этот раздел включает подробные инструкции по созданию инфраструктуры открытого ключа, но не содержит никакой информации о настройке и укреплению защиты сервера: предполагается, что эти процедуры уже стандартизированы.

Кроме того, предполагается, что перед началом этого этапа развертывания решения серверы центров сертификации уже сконфигурированы с использованием основного образа и защищены в соответствии со стандартным процессом, принятым в организации.

Примечание. Помните, что корневой центр сертификации никогда не будет подключен к сети, поэтому все этапы конфигурирования и защиты серверов, выполняемые с подключением к сети, нужно изменить соответствующим образом.

Конфигурационные данные, задаваемые пользователем

В следующей таблице приведены специфичные для организации параметры, которые следует определить перед началом развертывания решения, описываемого далее. Во многих местах при этом будут использоваться заполнители, характеризующие параметры в формате, похожем на формат их имен. Например, DNS-имя корневого домена леса Active Directory может быть отображено как ИмяДомена. ru. Значения, набранные курсивом, следует заменить конкретными параметрами корпоративной среды, собранными в процессе развертывания.

Таблица 7. Конфигурационные параметры, задаваемые пользователем

Параметр	Ссылка	Значение
DNS-имя леса Active Directory
Различающееся имя корня леса	Pkiparams.vbs
NetBIOS-имя домена
NetBIOS-имя рабочей группы корневого центра сертификации
Имя сервера корневого центра сертификации
Имя сервера выдающего центра сертификации
Общее имя X.500 корневого центра сертификации
Общее имя X.500 выдающего центра сертификации
Полное имя веб-сервера, используемого для публикации сертификатов центров сертификации	Pkiparams.vbs

Конфигурационные параметры, определяемые решением

Параметры, указанные в следующей таблице, не следует изменять, если нет уверенности в правильности запланированных действий. Перед их изменением нужно полностью разобраться с любыми последствиями этого и всеми зависимостями, которые могут быть при этом нарушены.

Таблица 8. Конфигурационные параметры, определяемые решением

Параметр	Ссылка	Значение
Группы безопасности административных ролей
Администраторы контейнера конфигурации службы открытых ключей.	ca_setup.wsf	Enterprise PKI Admins
Группа администраторов с правом публикации списков отзыва сертификатов и сертификатов центров сертификации в корпоративном контейнере конфигурации.	ca_setup.wsf	Enterprise PKI Publishers
Группа администраторов, которые конфигурируют и обслуживают центры сертификации, а также контролируют возможность назначения всех остальных ролей центра сертификации и обновления сертификата центра сертификации.	ca_setup.wsf	CA Admins
Группа администраторов, утверждающих заявки на сертификаты и запросы отзыва сертификатов (роль должностного лица центра сертификации).	ca_setup.wsf	Certificate Managers
Группа администраторов, управляющих журналами аудита и безопасности центров сертификации.	ca_setup.wsf	CA Auditors
Группа администраторов, управляющих резервным копированием данных центров сертификации.	ca_setup.wsf	CA Backup Operators
Конфигурация служб IIS
Имя виртуального каталога IIS, используемого для публикации сертификата центра сертификации и списка отзыва сертификатов.	Pkiparams.vbs	pki
Физический путь в выдающем центре сертификации, сопоставленный с виртуальным каталогом IIS.	C:\CAWWWPub	Pkiparams.vbs
Общие параметры центра сертификации
Имя диска, на котором хранятся файлы запросов служб сертификации, и путь к этим файлам.	C:\CAConfig	Pkiparams.vbs
Имя диска, на котором хранятся журналы баз данных служб сертификации, и путь к этим журналам.		%windir%\System32\CertLog
Конфигурация корневого центра сертификации
Длина ключа корневого центра сертификации (см. примечание)
Срок действия сертификата корневого центра сертификации (в годах)	Pkiparams.vbs
Максимальный срок действия сертификатов, выданных корневым центром сертификации (в годах)	Pkiparams.vbs
Интервал публикации списка отзыва сертификатов корневым центром сертификации (в месяцах)	Pkiparams.vbs
Период перекрытия списков отзыва сертификатов (в днях)	Pkiparams.vbs
Период публикации разностных списков отзыва сертификатов корневым центром сертификации (в часах, 0=отключить)	Pkiparams.vbs
Конфигурация выдающего центра сертификации
Имя диска, на котором хранится база данных служб сертификации, и путь к ней		D:\CertLog
Длина ключа выдающего центра сертификации
Срок действия сертификата выдающего центра сертификации (в годах)	Pkiparams.vbs
Максимальный срок действия сертификатов выдающего центра сертификации (в годах)	Pkiparams.vbs
Интервал публикации списка отзыва сертификатов выдающим центром сертификации (в днях)	Pkiparams.vbs
Период перекрытия списков отзыва сертификатов (в днях)	Pkiparams.vbs
Период публикации разностных списков отзыва сертификатов выдающим центром сертификации (в днях, 0=отключить)	Pkiparams.vbs
Период перекрытия разностных списков отзыва сертификатов (в днях)	Pkiparams.vbs
Прочие параметры
Путь к сценариям установки		C:\MSSScripts

 

Примечание. Использование ключей длиной 4096 бит некоторыми устройствами или старыми приложениями других компаний может привести к проблемам с совместимостью. Все приложения, которые, возможно, будут использовать сертификаты, выдаваемые корневым центром сертификации, следует протестировать с ключами сертификатов этого размера. Если возникнут сомнения в совместимости длины ключа корневого центра сертификации, ее можно уменьшить до 2048 бит.