Lektion 1: Drahtloser Zugriff 167
Server 2008 verwendet wird, ist die Rolle Netzwerkrichtlinienserver (Network Policy
Server, NPS) für die RADIUS-Authentifizierung zuständig. In Kapitel 3, „Konfigura-
tion des Netzwerkzugriffs“, erfahren Sie mehr über RADIUS. WPA2-Enterprise unter-
stützt die Authentifizierung mit Smartcard, auf Zertifikatbasis und auf Kennwortbasis.
Die Verschlüsselung mit WPA2-Enterprise (802.11i) ist sicherer als die Verschlüsse-
lung mit WPA-Enterprise. Stellen Sie WPA2-Enterprise bereit, wenn alle Clients aus
Ihrem Netzwerk dieses Protokoll unterstützten.
Unter Sicherheitsaspekten empfiehlt Microsoft die Verwendung der Authentifizierungs-
methoden WPA2-Enterprise oder WPA-Enterprise vor allen anderen verfügbaren Methoden.
Diese Drahtlosstandards sind viel schwerer zu knacken als Standards, die vorinstallierte
Schlüssel verwenden. Wird ein vorinstallierter Schlüssel bekannt, ist es erforderlich, alle
Clients und Zugriffspunkte mit neuen vorinstallierten Schlüsseln zu versehen, um das Netz-
werk wieder abzusichern. Wenn Sie in einer Windows Server 2008-Umgebung WPA2-
Enterprise und WPA-Enterprise verwenden möchten, müssen Sie eine PKI (Public Key
Infrastructure) aufbauen und mit den entsprechenden Gruppenrichtlinien dafür sorgen, dass
die erforderlichen Zertifikate für die Clients automatisch ausgestellt werden. Diese Themen
werden in Kapitel 7, „Active Directory-Zertifikatdienste“, ausführlicher behandelt.
Weitere Informationen Drahtlosnetzwerke-TechCenter
Wenn Sie mehr über den Aufbau von drahtlosen Netzwerken mit Microsoft-Betriebssystemen
wissen möchten, besuchen Sie das Wirelless-Networking-TechCenter im TechNet unter
http://technet.microsoft.com/en-us/network/bb530679.aspx.
Schnelltest
1. Welches der folgenden Drahtlosauthentifizierungsprotokolle ist das sicherste: WPA2-
EAP, WPA-EAP, WPA2-PSK, WPA-PSK und WEP?
2. Welche Drahtlosauthentifizierungsprotokolle sehen für die Authentifizierung eines
Clients beim Drahtloszugriffspunkt keinen vorinstallierten Schlüssel vor?
Antworten zum Schnelltest
1. WPA2-EAP ist aus kryptografischer Sicht sicherer als WPA-EAP, WPA2-PSK, WPA-
PSK und WEP.
2. WPA2-Enterprise (WPA2-EAP) und WPA-Enterprise (WPA-EAP) verwenden für die
Authentifizierung eines Clients beim Zugriffspunkt keine vorinstallierten Schlüssel.
Gruppenrichtlinien für drahtlose Netzwerke
Drahtlosnetzwerkrichtlinien ermöglichen es, dass Clients aus Ihrer Organisation mit
einem Minimum an Bedienung durch den Benutzer eine Verbindung mit dem drahtlosen
Netzwerk herstellen können. Außerdem können Sie Eigenschaften für bestimmte Zugriffs-
punkte festlegen, die durch ihre SSIDs (Service Set Identifier) bezeichnet werden. Eine
Drahtlosnetzwerkrichtlinie enthält eine Reihe von Profilen. Ein Profil beschreibt, wie der
Client bestimmte SSIDs aus Ihrer Organisation verwenden soll. Ein einzelnes Profil kann
mehrere SSIDs umfassen und die speziellen Authentifizierungsmethoden und Verschlüsse-
168 Kapitel 4: Netzwerkzugriffssicherheit
lungsverfahren beschreiben, die jeder Zugriffspunkt unterstützt. Sie könnten zum Beispiel
ein Profil für die SSIDs WAP1, WAP2 und WAP3 erstellen, in dem Sie die Authentifizie-
rungsmethode WPA2-Enterprise, die Netzwerkauthentifizierungsmethode Microsoft PEAP
und den Verschlüsselungsalgorithmus AES festlegen. Dann könnten Sie ein weiteres Profil
für die SSID WAP4 erstellen, in dem Sie die Authentifizierungsmethode WPA2-Personal
und den Verschlüsselungsalgorithmus TKIP festlegen.
Wenn Sie die Authentifizierungsmethode WPA/WPA2-Enterprise wählen, müssen Sie auch
eine
Netzwerkauthentifizierungsmethode angeben, wie in Abbildung 4.2 gezeigt. Die Angabe
der Netzwerkauthentifizierungsmethode ist deswegen wichtig, weil die Authentifizierung
durch einen NPS/RADIUS-Server erfolgt, also nicht durch den Drahtloszugriffspunkt. Vier
Standardauthentifizierungsmodi stehen zur Verfügung: Computerauthentifizierung, Wieder-
holte Benutzerauthentifizierung, Benutzerauthentifizierung und Gastauthentifizierung. Wenn
der
Modus Computerauthentifizierung gewählt ist, wird die Drahtloszugriffspunktverbindung
vor der Anmeldung mit dem Computerkonto authentifiziert. Das ermöglicht Benutzern einen
unkomplizierten Zugang zum Netzwerk wie in einem verkabelten Netzwerk. Ist der Modus
Benutzerauthentifizierung gewählt, erfolgt die Authentifizierung, nachdem sich die Benutzer
auf ihren Computern angemeldet haben. Sie sollten diese Option nur wählen, wenn in den
erweiterten Sicherheitseinstellungen die Option Einmaliges Anmelden aktiviert ist. Andern-
falls können während der Authentifizierung Fehler auftreten, wenn die Anmeldeinforma-
tionen nicht zwischengespeichert werden.
Abbildung 4.2 Eine Richtlinie zur Authentifizierung im drahtlosen Netzwerk
Wenn Sie die Option Wiederholte Benutzerauthentifizierung wählen, erfolgt die Authentifi-
zierung mit den Anmeldeinformationen des Computers, sofern kein Benutzer angemeldet ist,
und im anderen Fall mit den Anmeldeinformationen des Benutzers. Mit dieser Methode
können Sie erreichen, dass ein Computer nur über eingeschränkten Zugang zum Netzwerk
verfügt, solange kein Benutzer angemeldet ist. Bei der Wahl der Authentifizierungsmethode
WPA/WPA2-Personal ist es nicht erforderlich, eine Netzwerkauthentifizierung anzugeben,
da vorinstallierte Schlüssel verwendet werden. In den Erweiterten Sicherheitseinstellungen
Get Aktualisieren Ihrer MCSA/MCSE-Zertifizierung auf Windows Server 2008 MCTS - Original Microsoft Training für Examen 70-648 und 70-649 now with the O’Reilly learning platform.
O’Reilly members experience books, live events, courses curated by job role, and more from O’Reilly and nearly 200 top publishers.
