教委教材样本37.doc

第3章 编修表格，体验常规统计方法第12章 规划和实施无线网络的安全措施12.1 习题答案1. C2. A3. AB4. AC5. D6. 802.1X 是一个 IEEE 标准，用于对有线以太网和无线 802.11 网络进行经过身份验证的网络访问。IEEE 802.1X 通过提供对集中式用户标识、身份验证、动态密钥管理和记帐的支持来提高安全性和部署。可以使用PKI, RADIUS, EAP的方式来验证用户。802.1X 执行基于端口的网络访问控制。7. 为无线通讯要求数据加密要求802.1x验证，避免地址欺骗、盗用连接等不经过验证访问无线网络如果允许无需验证就能访问无线网络，则配置通过VPN才能访问公司网络通过扫描软件查找公司中多余的无线网络并关闭8. 共有三种802.1x和EAP-TLS：使用公共证书或智能卡通过RADIUS服务器和客户端验证802.1x和PEAP：通过要求服务器证书建立TLS来保护EAP的信号传输增强其他 EAP 身份验证协议的安全性。基于密码的802.1x验证：不需要配置证书，一般用于中小企业9. IAS可以作为RADIUS 服务器，RADIUS 代理，也可以同时作为RADIUS 服务器和RADIUS 代理l RADIUS 服务器，在活动目录中检查客户端的身份，判断是否允许客户端访问。l RADIUS 代理 将传入的 RADIUS 请求转发到其他 RADIUS 服务器，传输时不能够修改被传递的RADIUS信息，可以给RADIUS 服务器提供负载均衡。 10. 可以使用如下的命令来做netsh ras set tracing eapol enablednetsh ras set tracing rastls enabled配置了跟踪后，可以在%Systemroot%tracing目录中找到跟踪文件12.2 实验答案名称实验12-1：规划无线接入点位置任务清单在本练习中，你将确定在某大楼楼层的无线接入点最佳位置。（1） 场景你是组织的系统管理员。公司决定实现无线网络以提高工作效率。公司要求你确定无线接入点的最佳位置以及应该设置的频率。目前公司提供了三台 802.11b 无线接入点的预算。l 规划无线接入点位置1) 打开 2823/Labfiles 目录的 Wireless Access Floor Plan 图，然后确定无线接入点的最佳位置。2) 无线接入点应该设置什么频率？应该将频率设置为通道 1、6 和 11。名称实验12-2：安装 IAS任务清单在本练习中，你将在 DC1.COHOWINERY.COM 上安装 IAS。（2） 场景你是组织的系统管理员。公司决定实现无线网络以提高工作效率。公司要求你在 DC1.COHOWINERY.COM 上安装 IAS 服务以支持无线网络。l 安装 IAS1) 以 Administrator 登录到 ，密码是 Pssw0rd。2) 在 DC1.COHOWINERY.COM 上打开控制面板并安装 IAS 服务。3) 注册 IAS 服务。名称实验 12-3：规划和实施无线网络的安全措施任务清单完成本实验后，将能够：l 配置 Active Directory 来组织无线用户和计算机l 配置证书服务支持证书颁发l 配置 Internet 验证服务支持 IEEE 802.1xl 配置与无线网络相关的组策略注意 本实验目的在于实践本章概念，所以可能不符合 Microsoft 的安全性推荐做法。在开始本实验前，必须要有以下虚拟机：l 2823_Client1l 2823_DC1l 2823_Member1要点 在开始本实验前关闭所有虚拟机。不要保存任何虚拟机的修改。（3） 场景l Coho Vineyard 决定部署使用 EAP-TLS 身份验证的 WLAN。在本实验中，你将实现支持 IEEE 802.1x WLAN 的基础结构。你将为允许使用 WLAN 的用户和计算机规划安全措施。然后你将配置证书服务为具有 WLAN 访问权的计算机和用户颁发证书。你将安装并配置 IAS 来支持 IEEE 802.1x 接入点的 RADIUS 身份验证请求。最后，你将为无线客户端配置组策略设置并配置一个无线接入点。l 为无线网络配置 Active Directory在本练习中，你将在 Active Directory 中配置组以容纳允许访问 WLAN 的用户和计算机对象。（4） 说明确保已启动 2823_DC1 和 2823_Client1 虚拟机。如无其他说明，从 2823_Client1 虚拟机以用户 Don Hall 执行任务。Don Hall 的用户名为 ，密码是 Pssw0rd。Don Hall 没有任何管理权限。使用 RUNAS 命令或 secondary logon 服务执行所有管理任务。执行管理任务时，使用 作为用户名，密码是 Pssw0rd。（5） 场景Coho Vineyard 部署了 WLAN。只允许特定计算机和用户访问 WLAN。Client1 是惟一被允许访问 WLAN 的计算机。许可访问 WLAN 的用户如下：l Don Halll Katie Jordanl Marc Faeberl Arlene Huffl Mandy Vance用户 Don Hall 是一名管理员，有权修改允许使用 WLAN 的用户和计算机。还允许 Don Hall 管理与 WLAN 相关的组策略设置。你将实现一个新的组织单位（OU）和组结构来容纳允许使用 WLAN 的客户计算机和用户账户。然后你将实现策略管理 OU 和组结构。WLAN 配置将通过组策略对象实现。你将创建组策略对象并将其筛选为仅应用于无线用户和计算机。你将授予 Don Hall 管理组策略对象的权利。任务具体步骤创建新的组织单位以保存 WLAN 对象a.打开“Active Directory 用户和计算机”；b.创建一个名为“Wireless”的新顶层 OU；c.在 Wireless OU，创建如下两个新的全局组：Wireless ComputersWireless Usersd.创建一个名为“Wireless Administration”的新顶层全局组；e.将用户 Don Hall 添加到 Wireless Administration 组；f.将场景中列出的用户添加到 Wireless Users 组；g.将场景中列出的计算机添加到 Wireless Computers 组；h.将管理 Wireless OU 中对象组成员身份的权利委派给 Wireless Administration。创建新组策略对象管理无线计算机 a.打开“组策略”管理控制台；b.创建名为“Coho Vineyard Wireless”的新组策略并关联到域；c.筛选 Coho Vineyard Wireless 组策略对象以便只应用到 Wireless Users 和 Wireless Computers 组；d.将 Coho Vineyard Wireless 组策略对象设置的编辑权利委派给 Wireless Administration。l 配置证书模板和证书自动注册在本练习中，你将为要访问 WLAN 的用户和计算机配置证书模板。 （1） 说明确保已启动 2823_DC1 和 2823_Client1 虚拟机。如无其他说明，从 2823_Client1 虚拟机以用户 Don Hall 执行任务。Don Hall 的用户名为 ，密码是 Pssw0rd。Don Hall 没有任何管理权限。使用 RUNAS 命令或 secondary logon 服务执行所有管理任务。执行管理任务时，使用 作为用户名，密码是 Pssw0rd。（2） 场景你将为 Coho Vineyard 配置 WLAN。你将配置新证书模板用于为用户和计算机颁发证书。然后你将配置 Coho Vineyard 无线组策略对象以便为用户和计算机自动注册证书。最后，你将配置新证书模板，用于为 IAS 服务器颁发服务器身份验证证书。任务具体步骤为无线计算机配置证书模板a.打开 Public Key Management；b.连接到 2823_DC1 上的证书颁发机构。2823_DC1 的计算机名是 ；c.使用 Public Key Management,，找到“证书模板”节点；d.复制“RAS 和 IAS 服务器”证书模板，将新模板命名为“IAS Servers”。如下配置证书模板：1)在“扩展”选项卡，确认应用程序策略只包括“服务器验证”。编辑“颁发策略”并添加“中确定性”策略。2)在“使用者名称”选项卡，确保选中“用 Active Directory 中的信息生成”。另外，确保“所有者名称格式”设置为“公用名”，并且在“将这个信息包括在另一个使用者名称中”下面只选择了“DNS 名”。3)在“处理请求”选项卡，单击“CSP”按钮，确保选中了“请求必须是以下的一个 CSP”，并且只选择了 Microsoft RSA SChannel Cryptographic Provider。4)在“安全”选项卡，授予 RAS and IAS Servers 组“读取”、“注册”和“自动注册”权限。e.保存修改。f.复制“经过验证的会话”证书模板，将新模板命名为“Wireless User”。如下配置证书模板：1)在“处理请求”选项卡，单击 CSP 并清除 Microsoft Base DSS Cryptographic Provider 复选框。2)在“使用者名称”选项卡，单击“用 Active Directory 中的信息生成”，然后在“使用者名称格式”下，选择“公用名”。确保“用户主体名称（UPN）”是“将这个信息包括在另一个使用者名称中”下惟一选中的选项。3)在“扩展”选项卡，确保“应用程序策略”只包括“客户端验证”。编辑“颁发策略”并添加“低确定性”策略。4)在“安全”选项卡，为 Wireless Users 组增加“读取”、“注册”和“自动注册”权限。g.保存修改；h.复制“工作站身份验证”证书模板，将新模板命名为“Wireless Computer”。如下配置证书模板：1)在“使用者名称”选项卡，单击“用 Active Directory 中的信息生成”，然后在“使用者名称格式”下，选择“公用名”。确保“DNS 名”是“将这个信息包括在另一个使用者名称中”下惟一选中的选项。2)在“扩展”选项卡，编辑应用程序策略，并确保只包括“客户端验证”。编辑“颁发策略”并添加“低确定性”策略。3)在“安全”选项卡，为 Wireless Computers 组增加“读取”、“注册”和“自动注册”权限。i.保存修改。配置 CohoVineyardRootCA 证书颁发机构颁发无线证书模板a.找到 CohoVineyardRootCA 证书颁发机构下的“证书模板”容器；b.配置 CohoVineyardRootCA 证书颁发机构颁发 Wireless User、Wireless Computer 和 IAS Servers 证书模板。配置组策略支持用户和计算机证书的自动注册a.打开“组策略”管理控制台；b.配置默认域策略组策略对象允许计算机证书的自动注册。确保用户续订过期证书、更新挂起证书、删除吊销证书并根据证书模板更新证书；c.配置默认域策略组策略对象允许用户证书的自动注册。确保用户续订过期证书、更新挂起证书、删除吊销证书并根据证书模板更新证书；d.关闭所有管理工具；e.重新启动 2823_Client1 客户操作系统。l 为无线设备配置 RADIUS 身份验证在本练习中，你将通过安装并配置 Internet 验证服务（IAS）为无线设备配置 RADIUS 身份验证。（1） 说明确保已启动 2823_DC1, 2823_Member1、2823_Web1和 2823_Client1 虚拟机。如无其他说明，从 2823_Client1 虚拟机以用户 Don Hall 执行任务。Don Hall 的用户名为 ，密码是 Pssw0rd。Don Hall 没有任何管理权限。使用 RUNAS 命令或 secondary logon 服务执行所有管理任务。执行管理任务时，使用 作为用户名，密码是 Pssw0rd。（2） 场景你要配置 IAS 服务器对尝试连接到 IEEE 802.1x WLAN 的客户端进行身份验证。你将在新的成员服务器上安装 IAS 并创建新的远程访问策略。然后你将在 IAS 服务器上执行某些其他安全配置任务。你将配置无线接入点转发身份验证请求到 IAS 服务器。任务具体步骤在 2823_Member1 虚拟机上安装 Internet 验证服务a.以用户名 和密码 Pssw0rd 登录到 2823_Member1 虚拟机；b.安装 Internet 验证服务；c.使用 netsh 命令注册 Member1 IAS 服务器；d.使用 shutdown /i 命令。重新启动 2823_Member1 虚拟机。配置新路由和远程访问策略 a.在 2823_Member1 虚拟机，打开“Internet 验证服务”；b.使用“远程访问策略向导”创建新远程访问策略。使用以下参数：策略名：WLAN访问方法：无线根据以下组授予访问权限：Wireless Computers 和 Wireless UsersEAP 类型：智能卡或其他证书c.在 2823_Member1 虚拟机，打开“Internet 验证服务”；d.使用“远程访问策略向导”创建新远程访问策略。使用以下参数：策略名：WLAN访问方法：无线根据以下组授予访问权限：Wireless Computers 和 Wireless UsersEAP 类型：智能卡或其他证书将无线接入点配置为 RADIUS 客户端配置新的 RADIUS 客户端项。这是 RADIUS 标准客户端，不需要使用消息验证属性。配置 IAS 服务器上的日志记录a.配置 IAS 在日志文件中记录身份验证请求；b.授予 Wireless Administrators 对 IAS 日志文件的“读取”权限。配置无线接入点转发身份验证请求到 IAS 服务器。 a.打开 Microsoft Internet Explorer 并浏览 /；b.如下配置无线接入点：1)使用 EAP-TLS 身份验证提供程序。2)转发身份验证和记账请求到 M。M 的地址是 。3)没有辅助服务器。4)使用任务 3 中使用过的密钥。l 为无线网络配置组策略在本练习中，你将在现有组策略对象上配置无线网络策略。（1） 说明确保已启动 2823_DC1, 2823_Member1 和 2823_Client1 虚拟机。如无其他说明，从 2823_Client1 虚拟机以用户 Don Hall 执行任务。Don Hall 的用户名为 ，密码是 Pssw0rd。Don Hall 没有任何管理权限。使用 RUNAS 命令或 secondary logon 服务执行所有管理任务。执行管理任务时，使用 作为用户名，密码是 Pssw0rd。（2） 场景你将配置 Coho Vineyard Wireless 组策略对象在所有无线计算机上实现 IEEE 802.1x 配置。然后在连接到 WLAN 前，你将以 Mandy Vance 身份登录，并验证是否所有的基础结构已经就绪。任务具体步骤配置 Coho Vineyard WLAN 的新无线网络策略a.以用户名 和密码 Pssw0rd 在 2823_Member1 虚拟机上作为 Don Hall 登录。b.在 2823_Member 虚拟机，打开新的 Microsoft 管理控制台（MMC），然后添加“组策略对象编辑器”。c.编辑 Coho Vineyard Wireless 组策略对象添加新的无线网络策略并如下编辑该策略：1)将新策略命名为“Coho Vineyard WLAN”。2)配置要访问的网络为惟一接入点（基础结构）网络。3)添加名为 Coho 的新首选网络。4)编辑 EAP 类型设置并选择 CohoVineyardRootCA 作为受信任的根 CA。d.重新启动 2823_Client1 虚拟机。登录到 2823_Client1 虚拟机并验证 WLAN 的基础结构元素已经就绪a.以用