Эта процедура предназначена для настройки профиля проверки подлинности клиентов с использованием безопасных паролей по протоколу PEAP-MS-CHAP v2.
Минимальным требованием для выполнения этой процедуры является членство в группе Администраторы домена или наличие эквивалентных прав.
Настройка профиля проводных подключений PEAP-MS-CHAP v2 |
На вкладке Общие выполните следующие действия:
-
В поле Имя политики введите имя политики проводной сети.
-
В поле Описание введите краткое описание политики.
-
Убедитесь, что установлен флажок Использовать службу автонастройки проводных сетей Windows для клиентов.
- Чтобы разрешить пользователям компьютеров под управлением Windows 7 ввод и сохранение учетных данных домена (имя пользователя и пароль), которые могут использоваться компьютером для входа в сеть (даже если пользователем не выполнен вход), в группе Параметры политики Windows 7 установите флажок Включить явные учетные данные.
- Чтобы задать длительность периода, в течение которого компьютеры под управлением Windows 7 не могут выполнять автоматическое подключение к сети, установите флажок Включить период блокировки, затем в поле Период блокировки (в минутах) задайте соответствующее значение. Допустимый диапазон: от 1 до 60 минут.
Примечание Для получения дополнительных сведений о параметрах, доступных на любой из вкладок, нажмите клавишу F1 при работе с ней.
-
В поле Имя политики введите имя политики проводной сети.
На вкладке Безопасность выполните следующие действия:
-
Выберите параметр Включить проверку подлинности IEEE 802.1X для доступа к сети.
-
В поле Выберите метод проверки подлинности сети выберите параметр Майкрософт: защищенные EAP (PEAP).
-
В поле Режим проверки подлинности выберите любые из следующих параметров: Проверка подлинности пользователя или компьютера (рекомендуется), Проверка подлинности компьютера, Проверка подлинности пользователя или Проверка подлинности гостя. По умолчанию выбран параметр Проверка подлинности пользователя или компьютера.
-
В поле Макс. число ошибок проверки укажите максимально допустимое число неудачных попыток подключения перед уведомлением пользователя о неудачном завершении проверки подлинности. По умолчанию установлено значение «1».
-
Чтобы задать хранение учетных данных пользователя в кэше, выберите параметр Кэшировать пользовательские данные для следующих подключений к этой сети.
-
Выберите параметр Включить проверку подлинности IEEE 802.1X для доступа к сети.
Чтобы настроить единый вход или дополнительные параметры 802.1X, нажмите кнопку Дополнительно. На вкладке Дополнительно выполните следующие действия:
-
Чтобы настроить дополнительные параметры 802.1X, выберите параметр Применить дополнительные параметры 802.1X, а затем измените (только при необходимости) значения следующих параметров: Макс. EAPOL-сообщений, Период задержки, Период запуска, Период проверки и Сообщение EAPOL-Start.
-
Чтобы настроить единый вход, выберите параметр Включить единую регистрацию для сети, а затем измените (только при необходимости) значения следующих параметров:
- Выполнять непосредственно перед входом пользователя
- Выполнять сразу после входа пользователя
- Макс. задержка подключения
- Разрешить отображение дополнительных диалоговых окон при едином входе
- Эта сеть использует разные виртуальные локальные сети для проверки подлинности с учетными данными компьютеров и пользователей
- Выполнять непосредственно перед входом пользователя
-
Чтобы настроить дополнительные параметры 802.1X, выберите параметр Применить дополнительные параметры 802.1X, а затем измените (только при необходимости) значения следующих параметров: Макс. EAPOL-сообщений, Период задержки, Период запуска, Период проверки и Сообщение EAPOL-Start.
Нажмите кнопку ОК. Диалоговое окно Дополнительные параметры безопасности закрывается, и отображается вкладка Безопасность. На вкладке Безопасность нажмите кнопку Свойства. Открывается диалоговое окно Свойства защищенного EAP.
В диалоговом окне Свойства защищенного EAP выполните следующие действия.
-
Выберите параметр Проверять сертификат сервера.
- Чтобы определить RADIUS-серверы, которые будут использоваться клиентами проводного доступа для проверки подлинности и авторизации, в разделе Подключение к серверам введите имя каждого RADIUS-сервера в том же виде, в каком оно отображается в поле субъекта сертификата сервера. Имена RADIUS-серверов разделяются точкой с запятой.
-
В поле Доверенные корневые центры сертификации выберите доверенный корневой центр сертификации, который выдал сертификат сервера для сервера политики сети.
Примечание Этот параметр ограничивает набор доверенных корневых центров сертификации, которым клиенты могут предоставить доверие. Если доверенные корневые центры сертификации не выбраны, клиенты будут доверять всем доверенным корневым центрам сертификации, которые содержатся в их хранилище доверенных корневых центров сертификации.
- Для большего удобства и повышения безопасности выберите параметр Не запрашивать пользователя авторизовать новые серверы или доверенные центры сертификации.
- В окне Выберите метод проверки подлинности выберите параметр Защищенный пароль (EAP-MSCHAP v2).
-
Чтобы включить быстрое переподключение PEAP, выберите параметр Включить быстрое переподключение.
-
Чтобы указать, что перед разрешением подключения к сети на клиентских компьютерах должны выполняться проверки работоспособности системы в соответствии с требованиями к работоспособности, выберите параметр Включить защиту доступа к сети.
- Чтобы требовать привязку с шифрованием TLV, выберите пункт Отключаться, если сервер не поддерживает привязку с шифрованием через механизм TLV.
- Чтобы отключить отправку клиентами удостоверений в текстовом формате перед проверкой подлинности на RADIUS-сервере, выберите элемент Включить удостоверение конфиденциальности и затем пункт Анонимное удостоверение, введите имя, значение или оставьте поле пустым.
Например, если включен параметр Включить удостоверение конфиденциальности и в качестве анонимного удостоверения используется «гость», в качестве отклика для пользователя с удостоверением maria@realm возвращается guest@realm. Если параметр Включить удостоверение конфиденциальности включен, но значение анонимного удостоверения не предоставлено, в качестве отклика возвращается @realm. -
Нажмите кнопку ОК, чтобы сохранить параметры в окне Свойства защищенного EAP, а затем повторно нажмите кнопку ОК, чтобы сохранить политику.
-
Выберите параметр Проверять сертификат сервера.