Zurück zum Inhaltsverzeichnis

Profilsicherheit einrichten

Intel(R) PROSet/Wireless Software
Persönliche Sicherheit
Persönliche Sicherheitseinstellungen
Datenverschlüsselung und Authentifizierung einrichten

Unternehmenssicherheit
Sicherheitseinstellungen für Unternehmen

Netzwerkauthentifizierung

802.1X-Authentifizierungstypen

Intel(R) PROSet/Wireless Software

Im folgenden Abschnitt wird beschrieben, wie Sie die notwendigen Sicherheitseinstellungen Ihres WLAN-Adapters mit Intel(R) PROSet/Wireless vornehmen können. Siehe Persönliche Sicherheit.

Dort finden Sie ebenfalls Informationen, wie Sie die erweiterten Sicherheitseinstellungen für Ihren drahtlosen Adapter konfigurieren können. Dafür benötigen Sie Informationen von einem Systemadministrator (Firmenumgebung) oder die erweiterten Sicherheitseinstellungen Ihres Zugriffpunktes (Heimumgebung). Weitere Informationen finden Sie unter Unternehmenssicherheit.

Allgemeine Informationen zu den Sicherheitseinstellungen finden Sie unter Sicherheit - Übersicht.

Persönliche Sicherheit

Die persönlichen Sicherheitseinstellungen eignen sich für Heimbüro- oder Kleinunternehmenanwender, die die verschiedenen einfachen Sicherheitsverfahren nutzen können, um ihre drahtlose Verbindung sicher zu gestalten. Sie können aus der Liste der Sicherheitseinstellungen Optionen wählen, für die keine komplizierte Infrastruktureinrichtung für Ihr drahtloses Netzwerk notwendig ist. Ein RADIUS- oder AAA-Server ist dazu nicht erforderlich.

Persönliche Sicherheitseinstellungen

Beschreibung der persönlichen Sicherheitseinstellungen

Name Einstellung

Persönliche Sicherheit

Über diese Option werden die persönlichen Sicherheitseinstellungen geöffnet. Die verfügbaren Sicherheitseinstellungen hängen von dem unter Sicherheitseinstellungen für die Erstellung eines drahtlosen Profils gewählten Betriebsmodus ab:

Gerät an Gerät (Ad-Hoc): Im Gerät-zu-Gerät-Modus (auch Ad-Hoc-Modus genannt) senden drahtlose Computer Informationen direkt an andere drahtlose Computer. Sie können den Gerät-zu-Gerät-Modus verwenden, um mehrere Computer zu Hause oder in einem kleinen Büro zu vernetzen oder ein temporäres drahtloses Netzwerk für eine Konferenz einzurichten.

HINWEIS: Gerät-zu-Gerät-Netzwerke werden in der Liste der drahtlosen Netzwerke und in der Profilliste mit einem Notebook-Symbol angezeigt (notebook).

Netzwerk (Infrastruktur): Ein Infrastrukturnetzwerk besteht aus einem oder mehreren Zugriffspunkten und einem oder mehreren Computern mit installierten drahtlosen Adaptern. Mindestens einer der Zugriffspunkte sollte ebenfalls über eine verkabelte Verbindung verfügen. Für Heimanwender ist dies üblicherweise ein Breitband- oder Kabelnetzwerk

HINWEIS: Infrastrukturnetzwerke werden in der Liste der drahtlosen Netzwerke und in der Profilliste mit einem Zugriffspunktsymbol angezeigt (Zugriffspunkt).

Sicherheitseinstellungen

Wenn Sie ein Ad-Hoc-Profil (Gerät-zu-Gerät) konfigurieren, wählen Sie eine der folgenden Einstellungen für die Datenverschlüsselung:

Wenn Sie ein Netzwerk (Infrastruktur)-Profil konfigurieren, wählen Sie folgende Option aus:

Schaltfläche "Erweitert"

 Über diese Schaltfläche gelangen Sie zu den Erweiterten Einstellungen, wo Sie die folgenden Optionen konfigurieren können:
  • Automatisch verbinden: Aktivieren Sie diese Option, um automatisch oder manuell eine Verbindung zu einem Profil herzustellen.
  • Automatisch importieren: Durch Aktivierung dieser Option kann der Netzwerkadministrator ein Profil auf einen anderen Computer exportieren.
  • Obligatorischer Zugriffspunkt: Wählen Sie diese Option, um den drahtlosen Adapter einem bestimmten Zugriffspunkt zuzuweisen.
  • Kennwortschutz: Wählen Sie diese Option, um das Profil durch ein Kennwort zu schützen.
  • Anwendung starten: Geben Sie ein Programm an, das gestartet werden soll, wenn eine drahtlose Verbindung hergestellt wird.
  • Verbindung beibehalten: Wählen Sie diese Option, um die drahtlose Verbindung mit einem Benutzerprofil nach der Abmeldung beizubehalten.
  • Benutzernameformat: Wählen Sie das Format des Benutzernamens für den Authentifizierungsserver aus.
  • PLC-Domänenprüfung: Ermöglicht die Überprüfung der Präsenz des Domänenservers, bevor der Benutzeranmeldevorgang abgeschlossen wird. Falls der Server nicht gefunden wird, kann es bei der Anmeldung zu einer Verzögerung von einer Minute oder länger kommen.

Zurück

Zeigt die vorherige Seite des Profilassistenten an.

OK

Schließt den Profilassistenten und speichert das Profil.

Abbrechen

Schließt den Profilassistenten und macht alle vorgenommenen Änderungen rückgängig.

Hilfe?

Zeigt die Hilfe-Informationen für die aktuelle Seite an.

Einrichten von Datenverschlüsselung und Authentifizierung

In drahtlosen Heimnetzwerken können Sie verschiedene einfache Sicherheitsverfahren verwenden, um Ihre drahtlose Verbindung zu schützen. Diese umfassen:

WPA-Verschlüsselung schützt Ihre Daten auf dem Netzwerk. WPA verwendet einen Chiffrierschlüssel (PSK oder vorab freigegebener Schlüssel), um Daten vor ihrer Übertragung zu verschlüsseln. Geben Sie für alle Computer oder Zugriffspunkte zu Hause oder in Ihrem Kleinunternehmensnetzwerk das gleiche Kennwort ein. Nur Computer, die denselben Chiffrierschlüssel verwenden, können auf das Netzwerk zugreifen oder von anderen Computern übertragene, verschlüsselte Daten entschlüsseln. Das Kennwort startet automatisch das TKIP (Temporal Key Integrity Protocol oder temporäres Schlüsselintegritätsprotokoll) oder das AES-CCMP-Protokoll zur Datenverschlüsselung.

Netzwerkschlüssel

WEP-Verschlüsselung bietet zwei Sicherheitsstufen:

Verwenden Sie einen 128-Bit-Code für erhöhte Sicherheit. Wenn Sie Verschlüsselung verwenden, müssen alle drahtlosen Geräte auf Ihrem drahtlosen Netzwerk dieselben Chiffrierschlüssel verwenden.

Sie können den Verschlüsselungscode selbst erstellen und die Schlüssellänge (64-Bit oder 128-Bit) und den Schlüsselindex (wo ein spezifischer Code gespeichert wird) festlegen. Je länger der Schlüssel, desto sicherer ist er.

Schlüssellänge: 64-Bit

Kennsatz (64-Bit): Geben Sie fünf alphanumerische Zeichen ein (0-9, a-z oder A-Z).
Hex-Schlüssel (64-Bit): Geben Sie 10 hexadezimale Zeichen ein (0-9, A-F).

Schlüssellänge: 128-Bit

Kennsatz (128-Bit): Geben Sie 13 alphanumerische Zeichen ein (0-9, a-z oder A-Z).
Hex-Schlüssel (128-Bit): Geben Sie 26 hexadezimale Zeichen ein (0-9, A-F).

Mit WEP-Datenverschlüsselung kann eine drahtlose Station mit bis zu vier Schlüsseln konfiguriert werden (die Schlüsselindexwerte sind 1, 2, 3 und 4). Bei Übertragung einer verschlüsselten Nachricht über einen Zugriffspunkt oder eine drahtlose Station unter Verwendung eines Schlüssels, der in einem bestimmten Schlüsselindex gespeichert wurde, zeigt die übertragene Nachricht den Schlüsselindex an, der zur Verschlüsselung des Nachrichtentextes verwendet wurde. Der empfangende Zugriffspunkt bzw. die drahtlose Station kann dann diesen im Schlüsselindex gespeicherten Schlüssel abrufen und ihn zur Entschlüsselung des Nachrichtentextes verwenden.

Client mit der offenen Netzwerkauthentifizierung und ohne Datenverschlüsselung einrichten

Wählen Sie in der Hauptseite von Intel(R) PROSet/Wireless eine der folgenden Methoden zur Herstellung einer Verbindung zu einem Infrastrukturnetzwerk aus:

Wenn keine Authentifizierung benötigt wird, stellt das Netzwerk eine Verbindung her, ohne dass eine Aufforderung zur Eingabe der Anmeldeinformationen angezeigt wird. Jedes drahtlose Gerät mit dem korrekten Netzwerknamen (SSID) kann mit anderen Geräten im Netzwerk eine Verbindung herstellen.

VORSICHT: Netzwerke ohne Authentifizierungs- oder Verschlüsselungsschutz sind stark anfällig auf Zugriff durch unberechtigte Benutzer.

So erstellen Sie ein Profil für eine drahtlose Verbindung ohne Verschlüsselung:

  1. Klicken Sie auf Profile im Hauptfenster von Intel(R) PROSet/Wireless.
  2. Klicken Sie in der Profilliste auf Hinzufügen, um die Allgemeinen Einstellungen des drahtlosen Profils zu öffnen.
  3. Profilname: Geben Sie einen beschreibenden Profilnamen ein.
  4. Name des drahtlosen Netzwerks (SSID): Geben Sie den Namen des drahtlosen Netzwerks ein.
  5. Betriebsmodus: Klicken Sie auf Gerät-zu-Gerät (Ad-Hoc).
  6. Klicken Sie auf Weiter, um die Sicherheitseinstellungen zu öffnen.
  7. Standardmäßig ist Persönliche Sicherheit ausgewählt.
  8. Sicherheitseinstellungen: Die Standardeinstellung ist Keine, was bedeutet, dass für das betreffende drahtlose Netzwerk keine Sicherheit festgelegt ist.
  9. Klicken Sie auf OK. Das Profil wird der Profilliste hinzugefügt und stellt eine Verbindung zum drahtlosen Netzwerk her.

Client mit WEP-64-Bit- bzw. WEP-128-Bit-Datenverschlüsselung einrichten

Wenn die WEP-Datenverschlüsselung aktiviert ist, wird ein Netzwerkschlüssel oder ein Kennwort zur Verschlüsselung verwendet.

Ein Netzwerkschlüssel wird Ihnen automatisch bereitgestellt (z. B. vom Hersteller Ihres drahtlosen Netzwerkadapters) oder Sie können ihn selbst eingeben und die Schlüssellänge (64-Bit oder 128-Bit), das Schlüsselformat (ASCII-Zeichen oder hexadezimale Zeichen) und den Schlüsselindex (den Ablageort eines bestimmten Schlüssels) festlegen. Je länger der Schlüssel, desto sicherer ist er.

So fügen Sie einer Gerät-zu-Gerät-(Ad-Hoc-)Netzwerkverbindung einen Netzwerkschlüssel hinzu:

  1. Doppelklicken Sie im Hauptfenster von Intel(R) PROSet/Wireless auf ein Gerät-zu-Gerät-Netzwerk (Ad-Hoc-Netzwerk) in der Liste der drahtlosen Netzwerke, oder wählen Sie das Netzwerk aus und klicken Sie auf Verbinden.
  2. Klicken Sie auf Profile, um auf die Profilliste zuzugreifen.
  3. Klicken Sie auf Eigenschaften, um die Allgemeinen Einstellungen des drahtlosen Profils zu öffnen. Der Profilname und der Name des drahtlosen Netzwerkes (SSID) werden angezeigt. Als Betriebsmodus sollte Gerät-zu-Gerät (Ad-Hoc) ausgewählt sein.
  4. Klicken Sie auf Weiter, um die Sicherheitseinstellungen zu öffnen.
  5. Standardmäßig ist Persönliche Sicherheit ausgewählt.
  6. Sicherheitseinstellungen: Die Standardeinstellung ist Keine, was bedeutet, dass für das betreffende drahtlose Netzwerk keine Sicherheit festgelegt ist.

So fügen Sie ein Kennwort oder einen Netzwerkschlüssel hinzu:

  1. Sicherheitseinstellungen: Wählen Sie entweder WEP - 64-Bit oder WEP - 128-Bit aus, um die WEP-Datenverschlüsselung mit einem 64-Bit- oder 128-Bit-Code zu konfigurieren.

    2. Wenn die WEP-Verschlüsselung für einen Zugriffspunkt aktiviert wurde, wird der WEP-Schlüssel verwendet, um den Netzwerkzugriff zu verifizieren. Wenn ein drahtloses Gerät nicht über den passenden WEP-Schlüssel verfügt, kann das Gerät selbst bei erfolgreicher Authentifizierung keine Daten über den Zugriffspunkt übertragen oder vom Zugriffspunkt empfangene Daten entschlüsseln.

Name Beschreibung

Kennwort

Geben Sie das Wireless-Sicherheitskennwort (Kennsatz) oder den Chiffrierschlüssel (WEP-Schlüssel) ein.

Kennsatz (64-Bit)

Geben Sie fünf alphanumerische Zeichen ein (0-9, a-z oder A-Z).

WEP-Schlüssel (64-Bit)

Geben Sie 10 hexadezimale Zeichen ein (0-9, A-F).

Kennsatz (128-Bit)

Geben Sie 13 alphanumerische Zeichen ein (0-9, a-z oder A-Z).

WEP-Schlüssel (128-Bit)

Geben Sie 26 hexadezimale Zeichen ein (0-9, A-F).
  1. Schlüsselindex: Sie können den Schlüsselindex ändern und bis zu vier Kennwörter eingeben.
  2. Klicken Sie auf OK, um zur Profilliste zurückzukehren.

So fügen Sie weitere Kennwörter hinzu:

  1. Wählen Sie die Schlüsselindexnummer: 1, 2, 3 oder 4.
  2. Geben Sie das Wireless-Sicherheitskennwort ein.
  3. Wählen Sie eine andere Schlüsselindexnummer.
  4. Geben Sie ein weiteres Wireless-Sicherheitskennwort ein.

Client mit den Sicherheitseinstellungen "WPA* - Persönlich (TKIP)" bzw. "WPA2* - Persönlich (TKIP)" einrichten

Der WPA* - Persönlich-Modus erfordert die manuelle Konfiguration eines vorab freigegebenen Schlüssels (PSK) am Zugriffspunkt und auf Clients. Dieser PSK authentifiziert das Kennwort oder den Identifizierungscode eines Benutzers auf der Client-Station und dem Zugriffspunkt. Es wird kein Authentifizierungsserver benötigt. Der WPA - Persönlich-Modus ist für Heim- und Kleinunternehmensumgebungen gedacht.

WPA2* ist die zweite Generation der WPA-Sicherheit, die drahtlosen Unternehmens- und Einzelkunden eine hochgradige Sicherheit liefert, damit nur autorisierte Benutzer auf ihre drahtlosen Netzwerke zugreifen können. WPA2 bietet mit dem "Advanced Encryption Standard" (AES) einen sichereren Verschlüsselungsmechanismus, wie er von einigen Anwendern in Unternehmen oder im öffentlichen Dienst benötigt wird.

HINWEIS: Um bei 802.11n-Verbindungen Übertragungsraten von mehr als 54 Mbit/s zu erzielen, muss WPA2-AES Sicherheit aktiviert sein. Keine Sicherheit (Keine) kann zur Einrichtung eines Netzwerks und zur Fehlerbehebung ausgewählt werden.

So konfigurieren Sie Profile mit WPA - Persönlich-Netzwerkauthentifizierung und TKIP-Datenverschlüsselung:

  1. Doppelklicken Sie im Intel(R) PROSet/Wireless Hauptfenster auf ein Infrastrukturnetzwerk in der Liste der drahtlosen Netzwerke, oder wählen Sie das Netzwerk aus und klicken Sie auf Verbinden.
  2. Klicken Sie auf Profile, um auf die Profilliste zuzugreifen.
  3. Klicken Sie auf Eigenschaften, um die Allgemeinen Einstellungen des drahtlosen Profils zu öffnen. Der Profilname und der Name des drahtlosen Netzwerkes (SSID) werden angezeigt. Als Betriebsmodus sollte Netzwerk (Infrastruktur) ausgewählt sein.
  4. Klicken Sie auf Weiter, um die Sicherheitseinstellungen zu öffnen.
  5. Wählen Sie Persönliche Sicherheit.
  6. Sicherheitseinstellungen: Wählen Sie WPA - Persönlich (TKIP) für Sicherheit für eine Kleinunternehmensnetzwerk- oder Heimumgebung. Es wird ein Kennwort verwendet, das auch als PSK oder vorab freigegebener Schlüssel bezeichnet wird. Je länger das Kennwort ist, umso höher ist die Sicherheit des drahtlosen Netzwerks.

Wenn Ihr Wireless-Zugriffspunkt oder Router WPA2 - Persönlich unterstützt, sollten Sie dies auf dem Zugriffspunkt aktivieren und ein langes, komplexes Kennwort festlegen. Je länger das Kennwort ist, umso höher ist die Sicherheit des drahtlosen Netzwerks. Dasselbe Kennwort, das beim Zugriffspunkt eingegeben wird, muss auf diesem Computer und allen anderen drahtlosen Geräten, die auf das drahtlose Netzwerk zugreifen, verwendet werden.

HINWEIS: "WPA - Persönlich" und "WPA2 - Persönlich" können gleichzeitig in einem Netzwerk eingesetzt werden.

  1. Wireless-Sicherheitskennwort (Chiffrierschlüssel): Geben Sie einen Textkennsatz mit 8 - 63 Zeichen ein. Stellen Sie sicher, dass der Netzwerkschlüssel mit dem Kennwort im drahtlosen Zugriffspunkt übereinstimmt.
  2. Klicken Sie auf OK, um zur Profilliste zurückzukehren.

Client mit den Sicherheitseinstellungen WPA* - Persönlich (AES-CCMP) bzw. WPA2* - Persönlich (AES-CCMP) einrichten

Wi-Fi Protected Access (WPA*) oder Wi-Fi geschützter Zugriff ist eine Sicherheitsverbesserung, die eine erhebliche Steigerung für den Datenschutz und die Zugriffskontrolle auf ein drahtloses Netzwerk bedeutet. WPA erzwingt die 802.1X-Authentifizierung und den Schlüsselaustausch und funktioniert nur mit dynamischen Chiffrierschlüsseln. Für Heim- und Kleinunternehmenanwender verwendet "WPA - Persönlich" entweder AES-CCMP (Advanced Encryption Standard - Counter CBC-MAC Protocol) oder TKIP (Temporal Key Integrity Protocol).

HINWEIS: Um mit dem Intel(R) Wireless WiFi Link 4965AGN Adapter bei 802.11n-Verbindungen Übertragungsraten von mehr als 54 Mbit/s zu erzielen, muss WPA2-AES Sicherheit aktiviert sein. Keine Sicherheit (Keine) kann zur Einrichtung eines Netzwerks und zur Fehlerbehebung ausgewählt werden.

So erstellen Sie Profile mit WPA2* - Persönlich-Netzwerkauthentifizierung und AES-CCMP-Datenverschlüsselung:

  1. Doppelklicken Sie im Intel(R) PROSet/Wireless Hauptfenster auf ein Infrastrukturnetzwerk in der Liste der drahtlosen Netzwerke, oder wählen Sie das Netzwerk aus und klicken Sie auf Verbinden.
  2. Wenn diese übermittelt werden, sollten im Bildschirm Allgemeine Einstellungen der Profilname und der Name des drahtlosen Netzwerks (SSID) angezeigt werden. Als Betriebsmodus sollte Netzwerk (Infrastruktur) ausgewählt sein. Klicken Sie auf Weiter, um die Sicherheitseinstellungen zu öffnen.
  3. Wählen Sie Persönliche Sicherheit.
  4. Sicherheitseinstellungen: Wählen Sie WPA2 - Persönlich (AES-CCMP), um diesen Sicherheitsgrad in der kleinen Netzwerk- oder Heimumgebung festzulegen. Es verwendet ein Kennwort, das auch als PSK oder vorab freigegebener Schlüssel bezeichnet wird. Je länger das Kennwort ist, umso höher ist die Sicherheit des drahtlosen Netzwerks.

AES-CCMP (Advanced Encryption Standard - Counter CBC-MAC Protocol) ist eine neuere, im IEEE 802.11i-Standard spezifizierte Methode des Datenschutzes bei drahtlosen Übertragungen. AES-CCMP bietet eine stärkere Verschlüsselungsmethode als TKIP. Wählen Sie AES-CCMP als Datenverschlüsselungsmethode, wenn ein besonders effektiver Datenschutz wichtig ist.

Wenn Ihr Wireless-Zugriffspunkt oder Router WPA2 - Persönlich unterstützt, sollten Sie dies auf dem Zugriffspunkt aktivieren und ein langes, komplexes Kennwort festlegen. Dasselbe Kennwort, das beim Zugriffspunkt eingegeben wird, muss auf diesem Computer und allen anderen drahtlosen Geräten, die auf das drahtlose Netzwerk zugreifen, verwendet werden.

HINWEIS: "WPA - Persönlich" und "WPA2 - Persönlich" können gleichzeitig in einem Netzwerk eingesetzt werden.

Es kann sein, dass das Betriebssystem Ihres Computers einige Sicherheitslösungen nicht unterstützt. Sie benötigen möglicherweise zusätzliche Software oder Hardware und WLAN-Infrastrukturunterstützung. Wenden Sie sich für detaillierte Informationen an den Hersteller Ihrer Computers.

  1. Kennwort: Wireless-Sicherheitskennwort (Chiffrierschlüssel): Geben Sie einen Textkennsatz mit 8 - 63 Zeichen ein. Stellen Sie sicher, dass der Netzwerkschlüssel mit dem Schlüssel im drahtlosen Zugriffspunkt übereinstimmt.
  2. Klicken Sie auf OK, um zur Profilliste zurückzukehren.

Unternehmenssicherheit

Auf der Seite "Sicherheitseinstellungen" können Sie die erforderlichen Sicherheitseinstellungen für das gewählte drahtlose Netzwerk eingeben.

Verwenden Sie Unternehmenssicherheitsoption, wenn Ihre Netzwerkumgebung 802.1X-Authentifizierung erfordert.

Einstellungen für Unternehmenssicherheit

Beschreibung der Einstellungen für Unternehmenssicherheit

Name Einstellung
Unternehmenssicherheit

Über diese Option werden die Unternehmens-Sicherheitseinstellungen geöffnet.
Netzwerkauthentifizierung

Wählen Sie eine der folgenden Authentifizierungsmethoden:
Datenverschlüsselung

Klicken Sie, um die folgenden Datenverschlüsselungstypen zu öffnen:
802.1X aktivieren (Authentifizierungstyp) Klicken Sie auf diese Option, um die folgenden 802.1X-Authentifizierungstypen zu öffnen:
Cisco-Optionen Klicken Sie hier, um Cisco Compatible Extensions anzuzeigen.

HINWEIS: Cisco Compatible Extensions werden für CKIP- und LEAP-Profile automatisch aktiviert.
Schaltfläche "Erweitert" Über diese Schaltfläche gelangen Sie zu den Erweiterten Einstellungen, wo Sie die folgenden Optionen konfigurieren können:
  • Automatisch verbinden: Aktivieren Sie diese Option, um automatisch oder manuell eine Verbindung zu einem Profil herzustellen.
  • Automatisch importieren: Durch Aktivierung dieser Option kann der Netzwerkadministrator ein Profil auf einen anderen Computer exportieren.
  • Obligatorischer Zugriffspunkt: Wählen Sie diese Option, um den drahtlosen Adapter einem bestimmten Zugriffspunkt zuzuweisen.
  • Kennwortschutz: Wählen Sie diese Option, um das Profil durch ein Kennwort zu schützen.
  • Anwendung starten: Geben Sie ein Programm an, das gestartet werden soll, wenn eine drahtlose Verbindung hergestellt wird.
  • Verbindung beibehalten: Wählen Sie diese Option, um die drahtlose Verbindung mit einem Benutzerprofil nach der Abmeldung beizubehalten.
Benutzerberechtigungen

Ein für TTLS-, PEAP- oder EAP-FAST-Authentifizierung konfiguriertes Profil erfordert eine der folgenden Methoden zur Anmeldeauthentifizierung:

Windows-Anmeldung verwenden: Die 802.1X-Anmeldeinformationen entsprechen Ihrem Windows-Benutzernamen und -Kennwort. Vor der Verbindungsherstellung werden Sie zur Eingabe Ihrer Windows-Anmeldeinformationen aufgefordert.

HINWEIS: Für LEAP-Profile heißt diese Option Windows Anmeldebenutzernamen und -Kennwort verwenden.

Bei jeder Verbindungsherstellung auffordern: Fordert Sie bei jeder Anmeldung beim Netzwerk zur Eingabe Ihres Benutzernamens und Ihres Kennworts auf.

HINWEIS: Für LEAP-Profile heißt diese Option Zur Eingabe des Benutzernamens und Kennworts auffordern.

Folgendes verwenden: Verwendet Ihre gespeicherten Anmeldeinformationen, um sich beim Netzwerk anzumelden.

  • Benutzername: Der Benutzername muss mit dem Benutzernamen übereinstimmen, der vor der Client-Authentifizierung vom Administrator auf dem Authentifizierungsserver eingerichtet wurde. Achten Sie beim Eingeben des Benutzernamens auf Groß- und Kleinschreibung. Der Name gibt die Identität an, die der authentifizierenden Partei vom Authentifizierungsprotokoll auf dem TLS-Tunnel angegeben wird. Diese Identität wird erst nach Verbindung über den verschlüsselten Kanal in gesicherter Übertragung an den Server weitergeleitet.
  • Domäne: Der Name der Domäne auf dem Authentifizierungsserver. Der Servername bezeichnet eine Domäne oder eine ihrer Unterdomänen (z. B. zeelans.com mit dem Server blueberry.zeelans.com).
  • Kennwort: Gibt das Benutzerkennwort an. Die Kennwortzeichen werden als Sternchen angezeigt. Dieses Kennwort muss mit dem Kennwort übereinstimmen, das auf dem Authentifizierungsserver eingerichtet wurde.
  • Kennwort bestätigen: Geben Sie das Benutzerkennwort erneut ein.

HINWEIS: Den Domänennamen erhalten Sie von Ihrem Administrator.

HINWEIS: Für LEAP-Profile heißt diese Option Folgenden Benutzernamen und folgendes Kennwort verwenden.
Serveroptionen

Wählen Sie eine der folgenden Abrufmethoden:

Serverzertifikat validieren: Wählen Sie diese Option, um das Serverzertifikat zu überprüfen.

Zertifikataussteller: Das während des TLS-Meldungsaustauschs empfangene Serverzertifikat muss von diesem Zertifikataussteller (CA) ausgegeben worden sein. Vertrauenswürdige Zertifikataussteller auf Root- und Zwischenebene, deren Zertifikate im Systemspeicher vorhanden sind, stehen für die Auswahl zur Verfügung. Wenn Beliebige vertrauenswürdige CA markiert ist, werden alle CAs auf der Liste akzeptiert. Klicken Sie auf Beliebige vertrauenswürdige CA als Standardeinstellung oder wählen Sie einen Zertifikataussteller aus der Liste.

Server- oder Zertifikatsname angeben: Geben Sie den Servernamen ein.

Der Servername oder die Domäne, der der Server angehört. Dies hängt von der unten ausgewählten Option ab.

  • Servername muss genau mit dem angegebenen Eintrag übereinstimmen: Sofern markiert, muss der Servername genau mit dem Servernamen auf dem Zertifikat übereinstimmen. Der Servername sollte den vollständigen Domänennamen enthalten (zum Beispiel: Servername.Domänenname).
  • Domänenname muss in angegebenem Namen enden: Sofern markiert, zeigt das Servernamensfeld eine Domäne an, und das Zertifikat muss über einen Servernamen verfügen, der zu dieser Domäne bzw. zu einer ihrer Unterdomänen gehört (z. B. zeelans.com, wobei der Server blueberry.zeelans.com ist).

HINWEIS: Diese Parameter erhalten Sie vom Administrator.
Zertifikatsoptionen Wählen Sie für ein TLS-Authentifizierungszertifikat eine der folgenden Optionen:

Meine Smart-Card verwenden: Markieren Sie diese Option, wenn sich das Zertifikat auf einer Smart Card befindet.

Das für diesen Computer ausgestellte Zertifikat verwenden: Wählt ein Zertifikat aus dem Computerspeicher aus.

Für diesen Computer ein Benutzerzertifikat verwenden: Klicken Sie auf Auswählen, um ein Zertifikat von diesem Computer zu wählen.

HINWEIS: Intel(R) PROSet/Wireless unterstützt Computerzertifikate. Diese werden jedoch nicht in den Zertifikatslisten angezeigt.

Hinweise zu Zertifikaten: Die angegebene Identität muss mit der Ausgestellt für-Identität im Zertifikat übereinstimmen und sollte auf dem Authentifizierungsserver (z. B. dem RADIUS-Server), der von der authentifizierenden Partei verwendet wird, registriert sein. Ihr Zertifikat muss für den Authentifizierungsserver gültig sein. Diese Anforderung ist vom Authentifizierungsserver abhängig und bedeutet in der Regel, dass der Authentifizierungsserver den Aussteller Ihres Zertifikates als CA anerkennen muss. Verwenden Sie denselben Benutzernamen, den Sie bei Installation des Zertifikats verwendet haben.
Zurück Zeigt die vorherige Seite des Assistenten "Wireless-Profil erstellen" an.
Weiter Zeigt die nächste Seite des Assistenten "Wireless-Profil erstellen" an. Wenn mehr Sicherheitsinformationen erforderlich sind, wird der nächste Schritt der Seite "Sicherheit" angezeigt.
OK Schließt den Assistenten "Wireless-Profil erstellen" und speichert das Profil.
Abbrechen Schließt den Assistenten "Wireless-Profil erstellen" und macht alle vorgenommenen Änderungen rückgängig.
Hilfe? Zeigt die Hilfe-Informationen für die aktuelle Seite an.

Profile für Infrastrukturnetzwerke konfigurieren

Ein Infrastrukturnetzwerk besteht aus einem oder mehreren Zugriffspunkten und einem oder mehreren Computern mit installierten drahtlosen Adaptern. Jeder Zugriffspunkt muss über eine verdrahtete Verbindung zu einem drahtlosen Netzwerk verfügen.

Client für offene oder freigegebene Netzwerkauthentifizierung einrichten

Bei der freigegebenen Schlüssel-Authentifizierung wird davon ausgegangen, dass jede drahtlose Station einen freigegebenen Geheimschlüssel über einen sicheren, vom Kommunikationskanal des drahtlosen 802.11-Netzwerks unabhängigen Kanal empfangen hat. Für die Authentifizierung mit freigegebenem Schlüssel muss der Client einen statischen WEP- oder CKIP-Schlüssel konfigurieren. Client-Zugriff wird nur erteilt, wenn der Client die auf Herausforderung basierende Authentifizierung besteht. CKIP bietet eine stärkere Datenverschlüsselung als WEP, wird aber nicht von allen Betriebssystemen und Zugriffspunkten unterstützt.

HINWEIS: Ein freigegebener Schlüssel scheint zwar eine bessere Option für eine hohe Sicherheitsstufe zu sein, durch die Klartextübertragung der Herausforderungszeichenkette an den Client tritt jedoch eine bekannte Schwachstelle auf. Wenn ein Eindringling die Herausforderungszeichenkette findet, kann der freigegebene Authentifizierungsschlüssel problemlos zurückentwickelt werden. In der Folge ist die offene Authentifizierung sicherer, auch wenn dies auf den ersten Blick nicht ersichtlich ist. So erstellen Sie ein Profil mit freigegebener Authentifizierung:

  1. Klicken Sie auf Profile im Hauptfenster von Intel(R) PROSet/Wireless. Oder, falls Sie Administrator-Aufgaben durchführen, öffnen Sie das Administrator-Tool.
  2. Klicken Sie auf der Profilseite auf Hinzufügen, um die allgemeine Einstellungen zur Erstellung eines drahtlosen Profils zu öffnen.
  3. Profilname: Geben Sie einen beschreibenden Profilnamen ein.
  4. Name des drahtlosen Netzwerks (SSID): Geben Sie die Netzwerk-Kennung ein.
  5. Betriebsmodus: Klicken Sie auf Netzwerk (Infrastruktur).
  6. Administrator-Profiltyp: Wählen Sie Ständig oder Voranmeldung/Allgemein. (Dieser Schritt muss nur beim Einsatz des Administrator-Tools durchgeführt werden.)
  7. Klicken Sie auf Weiter, um die Sicherheitseinstellungen zu öffnen.
  8. Wählen Sie Unternehmenssicherheit.
  9. Netzwerkauthentifizierung: Wählen Sie Freigegeben. Die freigegebene Authentifizierung erfolgt über einen vorkonfigurierten WEP-Schlüssel.
  10. Datenverschlüsselung: Wählen Sie Keine, WEP (64- oder 128-Bit) oder CKIP (64- oder 128-Bit).
  11. 802.1X aktivieren: Deaktiviert.
  12. Verschlüsselungsstufe: 64- oder 128-Bit: Beim Wechsel von der 64-Bit- zur 128-Bit-Verschlüsselung werden die vorherigen Einstellungen gelöscht und es muss ein neuer Schlüssel eingegeben werden.
  13. Wireless-Sicherheitskennwort (Chiffrierschlüssel): Geben Sie das Kennwort für das drahtlose Netzwerk ein (WEP-Schlüssel). Dieses Kennwort muss mit dem vom drahtlosen Zugriffspunkt oder Router verwendeten Wert übereinstimmen. Wenden Sie sich an Ihren Administrator, um dieses Kennwort zu erhalten.
Name Beschreibung
Kennwort

Geben Sie das Wireless-Sicherheitskennwort (Kennsatz) oder den Chiffrierschlüssel (WEP-Schlüssel) ein.
Kennsatz (64-Bit)

Geben Sie fünf alphanumerische Zeichen ein (0-9, a-z oder A-Z).
WEP-Schlüssel (64-Bit)

Geben Sie 10 hexadezimale Zeichen ein (0-9, A-F).
Kennsatz (128-Bit)

Geben Sie 13 alphanumerische Zeichen ein (0-9, a-z oder A-Z).
WEP-Schlüssel (128-Bit)

Geben Sie 26 hexadezimale Zeichen ein (0-9, A-F).
  1. Schlüsselindex: Wählen Sie 1,2, 3 oder 4. Sie können den Schlüsselindex ändern und bis zu vier Kennwörter eingeben.
  2. Klicken Sie auf OK.

Client mit der "WPA* - Unternehmen"- oder "WPA2* - Unternehmen"-Netzwerkauthentifizierung einrichten

"WPA2 - Unternehmen" erfordert einen Authentifizierungsserver.

HINWEIS: "WPA - Unternehmen" und "WPA2 - Unternehmen" können gleichzeitig in einem Netzwerk eingesetzt werden.

So fügen Sie ein Profil mit WPA - Unternehmen- oder WPA2 - Unternehmen-Authentifizierung hinzu:

  1. Holen Sie vom Systemadministrator einen Benutzernamen und ein Kennwort für den RADIUS-Server ein.
  2. Bei einigen Authentifizierungsarten müssen Sie ein Client-Zertifikat anfordern und installieren. Informationen dazu erhalten Sie unter Client für TLS-Netzwerkauthentifizierung einrichten oder von Ihrem Administrator.
  3. Klicken Sie auf Profile im Hauptfenster von Intel(R) PROSet/Wireless. Oder, falls Sie Administrator-Aufgaben durchführen, öffnen Sie das Administrator-Tool.
  4. Klicken Sie in der Profilseite auf Hinzufügen, um die allgemeine Einstellungen zur Erstellung eines drahtlosen Profils zu öffnen.
  5. Profilname: Geben Sie einen beschreibenden Profilnamen ein.
  6. Name des drahtlosen Netzwerks (SSID): Geben Sie die Netzwerk-Kennung ein.
  7. Betriebsmodus: Klicken Sie auf Netzwerk (Infrastruktur).
  8. Administrator-Profiltyp: Wählen Sie Ständig oder Voranmeldung/Allgemein. (Dieser Schritt muss nur beim Einsatz des Administrator-Tools durchgeführt werden.)
  9. Klicken Sie auf Weiter.
  10. Wählen Sie Unternehmenssicherheit.
  11. Netzwerkauthentifizierung: Wählen Sie WPA - Unternehmen oder WPA2 - Unternehmen.
  12. Datenverschlüsselung: Wählen Sie eine der folgenden Optionen:
  13. 802.1X aktivieren: Markiert.
  14. Authentifizierungstyp: Wählen Sie eine der folgenden Optionen: EAP-SIM, LEAP, TLS, TTLS, PEAP, EAP-FAST.

Client für EAP-SIM-Netzwerkauthentifizierung einrichten

EAP-SIM verwendet einen dynamischen, sitzungsbasierten WEP-Schlüssel zur Datenverschlüsselung, der sich vom Client-Adapter und RADIUS-Server ableitet. Bei EAP-SIM müssen Sie einen Benutzerbestätigungscode (PIN - Personal Identification Number) eingeben, um mit der SIM-Karte (Subscriber Identity Module) kommunizieren zu können. Eine SIM-Karte ist eine spezielle Smart Card, die von auf GSM (Global System for Mobile Communications) basierenden, digitalen, mobilen Netzwerken verwendet wird. So erstellen Sie ein Profil mit EAP-SIM-Authentifizierung:

  1. Klicken Sie auf Profile im Hauptfenster von Intel(R) PROSet/Wireless. Oder, falls Sie Administrator-Aufgaben durchführen, öffnen Sie das Administrator-Tool.
  2. Klicken Sie in der Profilseite auf Hinzufügen, um die allgemeine Einstellungen zur Erstellung eines drahtlosen Profils zu öffnen.
  3. Profilname: Geben Sie einen Profilnamen ein.
  4. Name des drahtlosen Netzwerks (SSID): Geben Sie die Netzwerk-Kennung ein.
  5. Betriebsmodus: Klicken Sie auf Netzwerk (Infrastruktur).
  6. Administrator-Profiltyp: Wählen Sie Voranmeldung/Allgemein. (Dieser Schritt muss nur beim Einsatz des Administrator-Tools durchgeführt werden. EAP-SIM kann nicht für ständige Profile verwendet werden.)
  7. Klicken Sie auf Weiter, um die Sicherheitseinstellungen zu öffnen.
  8. Wählen Sie Unternehmenssicherheit.
  9. Netzwerkauthentifizierung: Wählen Sie Offen (empfohlen).
  10. Datenverschlüsselung: Wählen Sie WEP.
  11. Klicken Sie auf 802.1X aktivieren.
  12. Authentifizierungstyp: Wählen Sie "EAP-SIM".

Die EAP-SIM-Authentifizierung kann mit folgenden Funktionen verwendet werden:

EAP-SIM-Benutzer (optional)

  1. Benutzernamen (Identität) angeben: Klicken Sie, um den Benutzernamen anzugeben.
  2. Klicken Sie auf OK.

Client für TLS-Netzwerkauthentifizierung einrichten

Diese Einstellungen definieren das Protokoll und die Anmeldeinformationen, mit denen der Anwender authentifiziert wird. TLS-Authentifizierung ist eine 2-Wege-Authentifizierungsmethode, die ausschließlich Digitalzertifikate zur Identitätsprüfung des Client und Servers verwendet.

So fügen Sie ein Profil mit TLS-Authentifizierung hinzu:

  1. Klicken Sie auf Profile im Hauptfenster von Intel(R) PROSet/Wireless. Oder, falls Sie Administrator-Aufgaben durchführen, öffnen Sie das Administrator-Tool.
  2. Klicken Sie in der Profilseite auf Hinzufügen, um die allgemeine Einstellungen zur Erstellung eines drahtlosen Profils zu öffnen.
  3. Profilname: Geben Sie einen beschreibenden Profilnamen ein.
  4. Name des drahtlosen Netzwerks (SSID): Geben Sie die Netzwerkkennung ein.
  5. Betriebsmodus: Klicken Sie auf Netzwerk (Infrastruktur).
  6. Administrator-Profiltyp: Wählen Sie Ständig oder Voranmeldung/Allgemein. (Dieser Schritt muss nur beim Einsatz des Administrator-Tools durchgeführt werden.)
  7. Klicken Sie auf Weiter, um die Sicherheitseinstellungen zu öffnen.
  8. Wählen Sie Unternehmenssicherheit.
  9. Netzwerkauthentifizierung: Wählen Sie WPA - Unternehmen oder WPA2 - Unternehmen.
  10. Datenverschlüsselung: Wählen Sie AES-CCMP (Empfohlen).
  11. 802.1X aktivieren: Markiert.
  12. Authentifizierungstyp: Wählen Sie für diese Verbindung TLS.

TLS-Benutzer

Schritt 1 von 2: TLS-Benutzer

  1. Fordern Sie ein Client-Zertifikat an und installieren Sie es. Weitere Informationen dazu finden Sie unter Den Client für TLS-Authentifizierung einrichten oder wenden Sie sich an Ihren Systemadministrator.
  2. Wählen Sie eine der folgenden Optionen, um ein Zertifikat anzufordern: Meine Smart-Card verwenden, Das für diesen Computer ausgestellte Zertifikat verwenden oder Für diesen Computer ein Benutzerzertifikat verwenden.
  3. Klicken Sie auf Weiter, um die TLS-Servereinstellungen zu öffnen.

TLS-Server

Schritt 2 von 2: TLS-Server

  1. Wählen Sie eine der folgenden Abrufmethoden: Serverzertifikat validieren oder Server- oder Zertifikatsnamen angeben.
  2. Klicken Sie auf OK. Das Profil wird der Profilliste hinzugefügt.
  3. Wählen Sie das neue Profil am Ende der Profilliste. Verwenden Sie die Nach-oben- und Nach-unten-Pfeiltasten, um die Priorität des neuen Profils zu ändern.
  4. Klicken Sie auf Verbinden, um mit dem gewählten drahtlosen Netzwerk eine Verbindung herzustellen.
  5. Klicken Sie auf OK, um Intel(R) PROSet/Wireless zu schließen.

TTLS-Netzwerkauthentifizierung für einen Client einrichten

TTLS-Authentifizierung: Diese Einstellungen definieren das Protokoll und die Anmeldeinformationen, mit denen der Benutzer authentifiziert wird. Der Client verwendet EAP-TLS zur Serverbestätigung und Einrichtung eines mit TLS verschlüsselten Kanals zwischen Client und Server. Der Client kann auch ein anderes Authentifizierungsprotokoll einsetzen, normalerweise wären dies kennwortbasierende Protokolle. Die Herausforderungs- und Antwortpakete werden über einen verschlüsselten, nicht sichtbaren TLS-Kanal gesendet. Das folgende Beispiel zeigt, wie Sie unter Einsatz von TTLS-Authentifizierung WPA mit AES-CCMP-Verschlüsselung verwenden.

So richten Sie einen Client mit TTLS-Netzwerkauthentifizierung ein:

  1. Klicken Sie auf Profile im Hauptfenster von Intel(R) PROSet/Wireless. Oder, falls Sie Administrator-Aufgaben durchführen, öffnen Sie das Administrator-Tool.
  2. Klicken Sie in der Profilseite auf Hinzufügen, um die allgemeine Einstellungen zur Erstellung eines drahtlosen Profils zu öffnen.
  3. Profilname: Geben Sie einen beschreibenden Profilnamen ein.
  4. Name des drahtlosen Netzwerks (SSID): Geben Sie die Netzwerk-Kennung ein.
  5. Betriebsmodus: Netzwerk (Infrastruktur) ist standardmäßig ausgewählt.
  6. Administrator-Profiltyp: Wählen Sie Ständig oder Voranmeldung/Allgemein. (Dieser Schritt muss nur beim Einsatz des Administrator-Tools durchgeführt werden.)
  7. Klicken Sie auf Weiter, um die Sicherheitseinstellungen zu öffnen.
  8. Wählen Sie Unternehmenssicherheit.
  9. Netzwerkauthentifizierung: Wählen Sie WPA - Unternehmen oder WPA2 - Unternehmen (empfohlen).
  10. Datenverschlüsselung: Wählen Sie eine der folgenden Optionen:
  11. 802.1X aktivieren: Diese Funktion ist standardmäßig markiert.
  12. Authentifizierungstyp: Wählen Sie für diese Verbindung TTLS.

Schritt 1 von 2: TTLS-Benutzer

  1. Authentifizierungsprotokoll: Dieser Parameter gibt das Authentifizierungsprotokoll an, das über den TTLS-Tunnel ausgeführt wird. Die Protokolle sind: PAP (Standard), CHAP, MS-CHAP und MS-CHAP-V2. Weitere Informationen dazu finden Sie unter Sicherheit - Überblick.
  2. Benutzeranmeldeinformationen: Für die Protokolle PAP, CHAP, MS-CHAP und MS-CHAP-V2 wählen Sie eine der folgenden Authentifizierungsmethoden: Windows-Anmeldung verwenden, Bei jeder Verbindungsherstellung auffordern oder Folgendes verwenden.
  3. Roaming-Identität: In dieses Feld kann eine Roaming-Identität eingegeben werden oder Sie können %domäne%\%benutzername% als Standardformat zur Eingabe der Roaming-Identität verwenden.

Wenn 802.1X Microsoft IAS RADIUS als Authentifizierungsserver verwendet wird, berechtigt dieser das Gerät anhand der Roaming-Identität aus der Intel(R) PROSet/Wireless Software und ignoriert den Benutzernamen aus dem Authentifizierungsprotokoll MS-CHAP-V2. Microsoft IAS RADIUS akzeptiert nur einen gültigen Benutzernamen (dotNet-Benutzer) für die Roaming-Identität. Für alle anderen Authentifizierungsserver ist die Roaming-Identität optional. Es wird daher empfohlen, als Roaming-Identität den gewünschten Bereich (z. B. anonym@meinbereich) anstatt einer echten Identität einzugeben.

  1. Klicken Sie auf Weiter, um die TTLS-Servereinstellungen zu öffnen.

Schritt 2 von 2: TTLS-Server

  1. Wählen Sie eine der folgenden Abrufmethoden: Serverzertifikat validieren oder Server- oder Zertifikatsnamen angeben.
  2. Klicken Sie auf OK, um die Einstellung zu speichern und die Seite zu schließen.

Client für PEAP-Netzwerkauthentifizierung einrichten

PEAP-Authentifizierung: PEAP-Einstellungen werden zur Authentifizierung des Client auf dem Authentifizierungsserver benötigt. Der Client verwendet EAP-TLS zur Serverbestätigung und Einrichtung eines mit TLS verschlüsselten Kanals zwischen Client und Server. Der Client kann zur Serverbestätigung über diesen verschlüsselten Kanal auch ein anderes EAP-Verfahren wie z. B. MS-CHAP Version 2 (Microsoft Challenge Authentication Protocol) einsetzen. Die Herausforderungs- und Antwortpakete werden über einen verschlüsselten, nicht sichtbaren TLS-Kanal gesendet. Das folgende Beispiel zeigt, wie Sie unter Einsatz von PEAP-Authentifizierung WPA mit AES-CCMP- oder TKIP-Verschlüsselung verwenden.

So richten Sie einen Client mit PEAP-Netzwerkauthentifizierung ein:

Fordern Sie ein Client-Zertifikat an und installieren Sie es. Informationen dazu erhalten Sie unter Client für TLS-Netzwerkauthentifizierung einrichten oder von Ihrem Administrator.

  1. Klicken Sie auf Profile im Hauptfenster von Intel(R) PROSet/Wireless. Oder, falls Sie Administrator-Aufgaben durchführen, öffnen Sie das Administrator-Tool.
  2. Klicken Sie in der Profilseite auf Hinzufügen, um die allgemeine Einstellungen zur Erstellung eines drahtlosen Profils zu öffnen.
  3. Profilname: Geben Sie einen beschreibenden Profilnamen ein.
  4. Name des drahtlosen Netzwerks (SSID): Geben Sie die Netzwerk-Kennung ein.
  5. Betriebsmodus: Klicken Sie auf Netzwerk (Infrastruktur).
  6. Administrator-Profiltyp: Wählen Sie Ständig oder Voranmeldung/Allgemein. (Dieser Schritt muss nur beim Einsatz des Administrator-Tools durchgeführt werden.)
  7. Klicken Sie auf Weiter, um die Sicherheitseinstellungen zu öffnen.
  8. Wählen Sie Unternehmenssicherheit.
  9. Netzwerkauthentifizierung: Wählen Sie WPA - Unternehmen oder WPA2 - Unternehmen.
  10. Datenverschlüsselung: Wählen Sie eine der folgenden Optionen:
  11. 802.1X aktivieren: Markiert.
  12. Authentifizierungstyp: Wählen Sie für diese Verbindung PEAP.

Schritt 1 von 2: PEAP-Benutzer

PEAP baut auf Transport Layer Security (TLS - Transportebenensicherheit), um unverschlüsselte Authentifizierungstypen wie EAP-Generic Token Card (GTC) und One-Time Passwort (OTP - Einmalkennwort) zulassen zu können.

  1. Authentifizierungsprotokoll: Wählen Sie entweder GTC, MS-CHAP-V2 (Standard) oder TLS. Weitere Informationen finden Sie unter Authentifizierungsprotokolle.
  2. Benutzeranmeldeinformationen: Wählen Sie eine der folgenden Optionen: Windows-Anmeldung verwenden, Bei jeder Verbindungsherstellung auffordern oder Folgendes verwenden.
  3. Roaming-Identität: In dieses Feld kann eine Roaming-Identität eingegeben werden oder Sie können %domäne%\%benutzername% als Standardformat zur Eingabe der Roaming-Identität verwenden.

Wenn 802.1X Microsoft IAS RADIUS als Authentifizierungsserver verwendet wird, berechtigt dieser das Gerät anhand der Roaming-Identität aus der Intel(R) PROSet/Wireless Software und ignoriert den Benutzernamen aus dem Authentifizierungsprotokoll MS-CHAP-V2. Microsoft IAS RADIUS akzeptiert nur einen gültigen Benutzernamen (dotNet-Benutzer) für die Roaming-Identität. Für alle anderen Authentifizierungsserver ist die Roaming-Identität optional. Es wird daher empfohlen, als Roaming-Identität den gewünschten Bereich (z. B. anonym@meinbereich) anstatt einer echten Identität einzugeben.

Die Roaming-Identität für die Unterstützung mehrerer Benutzer konfigurieren

Wenn Sie ein Voranmelde-/Allgemein-Profil verwenden, das erfordert, dass die Roaming-Identität auf den Windows-Anmeldeinformationen basiert, kann der Ersteller des Profils eine Roaming-Identität unter Verwendung von %benutzername% und %domäne% hinzufügen. Die Roaming-Identität wird geparst und die entsprechenden Anmeldeinformationen werden durch die Schlüsselwörter ersetzt. Dies ermöglicht maximale Flexibilität für die Konfiguration der Roaming-Identität und die gemeinsame Nutzung des Profils durch mehrere Benutzer.

Anleitungen dazu, wie eine passende Roaming-Identität formatiert wird, finden Sie im Benutzerhandbuch des Authentifizierungsservers. Zu den möglichen Formaten gehören:

Wenn das Feld für die Roaming-Identität leer ist, ist das Standardformat %Domäne%\%Benutzername%.

Hinweise zu den Anmeldeinformationen: Der Benutzername und die Domäne müssen mit dem Benutzernamen übereinstimmen, der vor der Client-Authentifizierung vom Administrator auf dem Authentifizierungsserver eingerichtet wurde. Achten Sie beim Eingeben des Benutzernamens auf Groß- und Kleinschreibung. Der Name gibt die Identität an, die der authentifizierenden Partei vom Authentifizierungsprotokoll auf dem TLS-Tunnel angegeben wird. Diese Benutzeridentität wird erst nach Bestätigung und Verbindung über den verschlüsselten Kanal in gesicherter Übertragung an den Server weitergeleitet.

Authentifizierungsprotokolle: Dieser Parameter gibt die Authentifizierungsprotokolle an, die über den TTLS-Tunnel ausgeführt werden können. Im Folgenden finden Sie Anleitungen zur Konfiguration eines Profils, das PEAP-Authentifizierung verwendet, mit

GTC-, MS-CHAP-V2- (Standard) oder TLS-Authentifizierungsprotokollen.

Generic Token Card (GTC)

PEAP-Benutzer

So konfigurieren Sie ein Einmalkennwort:

  1. Authentifizierungsprotokoll: Wählen Sie GTC (Generic Token Card).
  2. Benutzeranmeldeinformationen: Wählen Sie Bei jeder Verbindungsherstellung auffordern.
  3. Bei Verbindungsherstellung Folgendes anfordern: Wählen Sie eine der folgenden Optionen:
Name Beschreibung
Statisches Kennwort Geben Sie bei Herstellung der Verbindung die Benutzeranmeldeinformationen ein.
Einmalkennwort (OTP) Fordern Sie vom Hardware-Token-Gerät ein Kennwort an.
PIN (Soft-Token) Fordern Sie vom Soft-Token-Programm ein Kennwort an.
  1. Klicken Sie auf OK.

HINWEIS: Die Option Bei jeder Verbindungsherstellung auffordern ist nicht verfügbar, wenn ein Administrator die Markierung der Einstellung "Anmeldeinformationen zwischenspeichern" im Administrator-Tool aufgehoben hat. Weitere Informationen finden Sie unter Administrator-Einstellungen.

Einmalkennwort

MS-CHAP-V2

Dieser Parameter gibt das Authentifizierungsprotokoll an, das über den PEAP-Tunnel ausgeführt wird.

  1. Benutzeranmeldeinformationen: Wählen Sie eine der folgenden Optionen: Windows-Anmeldung verwenden, Bei jeder Verbindungsherstellung auffordern oder Folgendes verwenden.
  2. Klicken Sie auf Weiter, um die PEAP-Servereinstellungen zu öffnen.

TLS

TLS-Authentifizierung ist eine 2-Wege-Authentifizierungsmethode, die ausschließlich Digitalzertifikate zur Identitätsprüfung des Client und Servers verwendet.

  1. Fordern Sie ein Client-Zertifikat an und installieren Sie es. Weitere Informationen dazu finden Sie unter Den Client für TLS-Authentifizierung einrichten oder wenden Sie sich an Ihren Systemadministrator.
  2. Wählen Sie eine der folgenden Optionen, um ein Zertifikat anzufordern: Meine Smart-Card verwenden, Das für diesen Computer ausgestellte Zertifikat verwenden oder Für diesen Computer ein Benutzerzertifikat verwenden.
  3. Klicken Sie auf Weiter, um die PEAP-Servereinstellungen zu öffnen.

Schritt 2 von 2: PEAP-Server

PEAP-Server
  1. Wählen Sie eine der folgenden Abrufmethoden: Serverzertifikat validieren oder Server- oder Zertifikatsnamen angeben.
  2. Klicken Sie auf OK. Das Profil wird der Profilliste hinzugefügt.
  3. Wählen Sie das neue Profil am Ende der Profilliste. Verwenden Sie die Nach-oben- und Nach-unten-Pfeiltasten, um die Priorität des neuen Profils zu ändern.
  4. Klicken Sie auf Verbinden, um mit dem gewählten drahtlosen Netzwerk eine Verbindung herzustellen.

Falls Sie auf der Seite Sicherheitseinstellungen nicht die Option Windows-Anmeldung verwenden aktiviert und auch keine Benutzeranmeldeinformationen konfiguriert haben, werden keine Anmeldeinformationen für dieses Profil gespeichert. Geben Sie Ihre Anmeldeinformationen ein, um sich beim Netzwerk zu authentifizieren.

  1. Klicken Sie auf OK, um Intel(R) PROSet/Wireless zu schließen.

Automatische PEAP-TLS-Zertifikatsregistrierung

Markieren Sie in den Anwendungseinstellungen Benachrichtigung zu abgelehnten TLS-Zertifikaten aktivieren, wenn Sie möchten, dass eine Warnung ausgegeben wird, wenn ein PEAP-TLS-Zertifikat zurückgewiesen wird. Wenn das Verfallsdatum des Zertifikats ungültig ist, erhalten Sie die folgende Nachricht und werden zum Ausführen einer der aufgeführten Schritte aufgefordert: Es wurde ein mögliches Authentifizierungsproblem bei Profil <Profilname> gefunden. Das Verfallsdatum im verknüpften Zertifikat ist eventuell ungültig. Wählen Sie eine der folgenden Optionen:

Aktion Beschreibung
Mit aktuellen Parametern fortfahren. Mit dem aktuellen Zertifikat weitermachen.
Zertifikat manuell aktualisieren. Die Seite "Zertifikat auswählen" wird geöffnet, damit Sie ein anderes Zertifikat auswählen können.
Zertifikat automatisch aktualisieren auf Grundlage der Zertifikate im lokalen Speicher. Diese Option ist nur aktiviert, wenn sich im lokalen Speicher ein oder mehrere Zertifikate befinden, deren Felder "Ausgestellt für" und "Ausgestellt von" den Feldern des aktuellen Zertifikats entsprechen und deren Verfallsdatum noch nicht abgelaufen ist. Wenn Sie diese Option markieren, wählt die Anwendung das erste gültige Zertifikat aus.
Abmelden, um bei der Anmeldung ein Zertifikat zu erhalten (nur für Zertifikate mit autom. Registrierungsoption; das Profil wird dadurch nicht aktualisiert). Meldet den Benutzer ab, der dann während des nächsten Anmeldevorgangs ein gültiges Zertifikat erhalten muss. Das Profil muss aktualisiert werden, um das neue Zertifikat auszuwählen.
Autom. Registrierung Sie erhalten die folgende Nachricht: Bitte warten Sie, während das System versucht, das Zertifikat automatisch abzurufen. Klicken Sie auf Abbrechen, um den Abruf des Zertifikats zu beenden.
Diese Nachricht nicht erneut anzeigen. Dieser Schritt kann in nachfolgenden Sitzungen vermieden werden. Die hier getroffene Auswahl wird für zukünftige Sitzungen gespeichert.

Client für LEAP-Netzwerkauthentifizierung einrichten

Cisco LEAP (Light Extensible Authentication Protocol) ist ein 802.1X-Authentifizierungstyp, der starke, gegenseitige Authentifizierung zwischen dem Client und einem RADIUS-Server unterstützt. Die LEAP-Profileinstellungen enthalten LEAP und CKIP mit automatischer Rogue AP-Erkennung. So richten Sie einen Client mit LEAP-Netzwerkauthentifizierung ein:

  1. Klicken Sie auf Profile im Hauptfenster von Intel(R) PROSet/Wireless. Oder, falls Sie Administrator-Aufgaben durchführen, öffnen Sie das Administrator-Tool.
  2. Klicken Sie in der Profilseite auf Hinzufügen. Die allgemeinen Einstellungen zur Erstellung eines drahtlosen Profils werden geöffnet.
  3. Profilname: Geben Sie einen beschreibenden Profilnamen ein.
  4. Name des drahtlosen Netzwerks (SSID): Geben Sie die Netzwerk-Kennung ein.
  5. Betriebsmodus: Klicken Sie auf Netzwerk (Infrastruktur).
  6. Administrator-Profiltyp: Wählen Sie Ständig oder Voranmeldung/Allgemein. (Dieser Schritt muss nur beim Einsatz des Administrator-Tools durchgeführt werden.)
  7. Klicken Sie auf Weiter, um die Sicherheitseinstellungen zu öffnen.
  8. Wählen Sie Unternehmenssicherheit.
  9. Netzwerkauthentifizierung: Wählen Sie WPA - Unternehmen oder WPA2 - Unternehmen.
  10. Datenverschlüsselung: Wählen Sie eine der folgenden Optionen:
  11. 802.1X aktivieren: Markiert.
  12. Authentifizierungstyp: Wählen Sie LEAP für diese Verbindung.
  13. Klicken Sie auf Cisco-Optionen.
  14. Klicken Sie auf Cisco Compatible Extensions aktivieren, um die Cisco Compatible Extensions (CCX) Sicherheit zu aktivieren (Fast-Roaming (CCKM) zulassen), Sender-Verwaltungsunterstützungsunterstützung aktivieren, Gemischten Zellenmodus aktivieren).

Cisco Compatible Extensions

  1. Klicken Sie auf Sender-Verwaltungsunterstützung aktivieren. Verwenden Sie die Funkverwaltung, um Rogue-Zugriffspunkte zu erkennen.
  2. Klicken Sie auf OK, um zu den Sicherheitseinstellungen zurückzukehren.

LEAP-Benutzer

LEAP-Benutzer

  1. Wählen Sie eine der nachfolgend aufgeführten Authentifizierungsmethoden.
    2. Falls Sie unter Administrator-Profiltyp die Option Ständig ausgewählt haben, dann steht nur Den folgenden Anmeldenamen und das Kennwort verwenden zur Verfügung. Falls Sie Voranmeldung/Allgemein ausgewählt haben, stehen beide Authentifizierungsmethoden zur Verfügung.
  2. Klicken Sie auf OK, um die Einstellung zu speichern und die Seite zu schließen.

"Cisco Compatible Extensions"-Optionen

Cisco-Optionen: Werden verwendet, um Funkverwaltung und "Mixed Cell"-Modus zu aktivieren bzw. zu deaktivieren oder Fast-Roaming (CCKM) zuzulassen.

HINWEIS: Cisco Compatible Extensions werden für CKIP-, LEAP- oder EAP-FAST-Profile automatisch aktiviert. Um dieses Verhalten zu übergehen, aktivieren bzw. deaktivieren Sie die Optionen auf dieser Seite.

"Cisco Compatible Extensions" aktivieren: Markieren, um die Cisco Compatible Extensions für dieses drahtlose Verbindungsprofil zu aktivieren.

Client für EAP-FAST-Netzwerkauthentifizierung einrichten

Cisco Compatible Extensions Version 3 (CCXv3) bietet Unterstützung für EAP-FAST (Extensible Authentication Protocol-Flexible Authentication via Secure Tunneling). Dabei werden geschützte Zugriffsinformationen (PACs) zur Einrichtung eines authentifizierten Tunnels zwischen Client und Server verwendet.

Cisco Compatible Extensions Version 4 (CCXv4) verbessert die Bereitstellungsmethoden für größere Sicherheit und bietet Innovationen in den Bereichen Sicherheit, Mobilität, Servicequalität sowie Netzwerkverwaltung.

Cisco Compatible Extensions Version 3 (CCXv3)

So richten Sie einen Client mit EAP-FAST-Authentifizierung mit Cisco Compatible Extensions Version 3 (CCXv3) ein:

  1. Klicken Sie auf Profile im Hauptfenster von Intel(R) PROSet/Wireless. Oder, falls Sie Administrator-Aufgaben durchführen, öffnen Sie das Administrator-Tool.
  2. Klicken Sie in der Profilseite auf Hinzufügen, um die allgemeine Einstellungen zur Erstellung eines drahtlosen Profils zu öffnen.
  3. Name des drahtlosen Netzwerks (SSID): Geben Sie die Netzwerk-Kennung ein.
  4. Profilname: Geben Sie einen beschreibenden Profilnamen ein.
  5. Betriebsmodus: Klicken Sie auf Netzwerk (Infrastruktur).
  6. Administrator-Profiltyp: Wählen Sie Ständig oder Voranmeldung/Allgemein. (Dieser Schritt muss nur beim Einsatz des Administrator-Tools durchgeführt werden.)
  7. Klicken Sie auf Weiter, um die Sicherheitseinstellungen zu öffnen.
  8. Wählen Sie Unternehmenssicherheit.
  9. Netzwerkauthentifizierung: Wählen Sie WPA - Unternehmen oder WPA2 - Unternehmen.
  10. Datenverschlüsselung: Wählen Sie eine der folgenden Optionen:
  11. 802.1X aktivieren: Markiert.
  12. Authentifizierungstyp: Wählen Sie für diese Verbindung EAP-FAST.

EAP-FAST-Bereitstellung

HINWEIS: Wurde CCXv4 Application Setting nicht über ein Administrator-Paket installiert, können nur EAP-FAST-Benutzereinstellungen konfiguriert werden. Weitere Informationen finden Sie unter EAP-FAST-Benutzereinstellungen.

Schritt 1 von 2: EAP-FAST-Bereitstellung

  1. Klicken Sie auf EAP-FAST-Erweiterungen (CCXv4) deaktivieren, um die Bereitstellung innerhalb eines nicht-serverauthentifizierten TLS-Tunnels zu ermöglichen (Bereitstellungsmodus "Nicht-authentifizierter TLS-Server").
  2. Klicken Sie auf die Schaltfläche Server auswählen, um alle nicht-authentifizierten PACs anzuzeigen, die bereits bereitgestellt wurden und sich auf diesem Computer befinden.

HINWEIS: Falls die bereitgestellte PAC gültig ist, fordert Intel(R) PROSet/Wireless den Benutzer nicht auf, die PAC zu akzeptieren. Falls die PAC ungültig ist, lässt Intel(R) PROSet/Wireless die Bereitstellung automatisch fehlschlagen. In der "Wireless Ereignisanzeige" wird eine Statusmeldung angezeigt, die ein Administrator auf dem Computer des Benutzers überprüfen kann.

So importieren Sie eine PAC:

PAC

  1. Klicken Sie auf Weiter, um die Methode für den Abruf der Anmeldeinformationen auszuwählen, oder klicken Sie auf OK, um die EAP-FAST-Einstellungen zu speichern und zur Profilliste zurückzukehren. Die PAC wird für dieses drahtlose Profil verwendet.

Schritt 2 von 2: EAP-FAST - Zusätzliche Informationen

Ein Client sendet zur Client-Authentifizierung im eingerichteten Tunnel einen Benutzernamen und ein Kennwort für die Authentifizierung und Einrichtung der Client-Autorisierungsrichtlinie.

  1. Klicken Sie auf Benutzerberechtigungen, um eine der folgenden Methoden für den Abruf der Anmeldeinformationen auszuwählen: Windows-Anmeldung verwenden, Bei jeder Verbindungsherstellung auffordern oder Folgendes verwenden.
  2. Klicken Sie auf OK, um die Einstellungen zu speichern und die Seite zu schließen. Serververifizierung ist nicht erforderlich.

Cisco Compatible Extensions Version 4 (CCXv4)

So richten Sie einen Client mit EAP-FAST-Authentifizierung mit Cisco Compatible Extensions Version 4 (CCXv4) ein:

  1. Klicken Sie auf Profile im Hauptfenster von Intel(R) PROSet/Wireless. Oder, falls Sie Administrator-Aufgaben durchführen, öffnen Sie das Administrator-Tool.
  2. Klicken Sie in der Profilseite auf Hinzufügen, um die allgemeine Einstellungen des Assistenten zur Erstellung eines drahtlosen Profils zu öffnen.
  3. Name des drahtlosen Netzwerks (SSID): Geben Sie die Netzwerk-Kennung ein.
  4. Profilname: Geben Sie einen beschreibenden Profilnamen ein.
  5. Betriebsmodus: Klicken Sie auf Netzwerk (Infrastruktur).
  6. Administrator-Profiltyp: Wählen Sie Ständig oder Voranmeldung/Allgemein. (Dieser Schritt muss nur beim Einsatz des Administrator-Tools durchgeführt werden.)
  7. Klicken Sie auf Weiter, um die Sicherheitseinstellungen zu öffnen.
  8. Wählen Sie Unternehmenssicherheit.
  9. Netzwerkauthentifizierung: Wählen Sie WPA - Unternehmen oder WPA2 - Unternehmen.
  10. Datenverschlüsselung: Wählen Sie eine der folgenden Optionen:
  11. Datenverschlüsselung Wählen Sie AES-CCMP.
  12. 802.1X aktivieren: Markiert.
  13. Authentifizierungstyp: Wählen Sie für diese Verbindung EAP-FAST.

Schritt 1 von 3: EAP-FAST-Bereitstellung

EAP-FAST unterstützt mit CCXv4 zwei Bereitstellungsmodi:

HINWEIS: Der serverauthentifizierte Modus bietet erhebliche Sicherheitsvorteile gegenüber dem nicht-serverauthentifizierten Modus, selbst wenn EAP-MS-CHAP-V2 als interne Methode verwendet wird. Dieser Modus schützt die EAP-MS-CHAP-V2-Übertragungen vor potenziellen Angriffen von Dritten, indem die Authentizität des Servers vor der MS-CHAP-V2-Übermittlung geprüft wird. Der serverauthentifizierte Modus ist daher wo möglich die bevorzugte Methode. EAP-FAST-Peer muss den serverauthentifizierten Modus verwenden, wann immer ein Zertifikat oder ein öffentlicher Schlüssel verfügbar ist, um den Server zu authentifizieren und die besten Sicherheitsverfahren zu gewährleisten.

Bereitstellung von PAC (Protected Access Credentials):

EAP-FAST verwendet einen PAC-Schlüssel, um die Benutzer-Anmeldeinformationen, die ausgetauscht werden, zu schützen. Alle authentifizierenden EAP-FAST-Parteien werden anhand einer Autoritäts-ID (A-ID) identifiziert. Die lokale authentifizierenden Partei sendet ihre A-ID an den authentifizierenden Client, und der Client sucht in seiner Datenbank nach einer übereinstimmenden A-ID. Falls der Client die A-ID nicht erkennt, fordert er eine neue PAC an.

HINWEIS: Falls die bereitgestellte PAC gültig ist, fordert Intel(R) PROSet/Wireless den Benutzer nicht auf, die PAC zu akzeptieren. Falls die PAC ungültig ist, lässt Intel(R) PROSet/Wireless die Bereitstellung automatisch fehlschlagen. In der Wireless Ereignisanzeige wird eine Statusmeldung darüber angezeigt, dass ein Administrator auf dem Computer des Benutzers eine Überprüfung durchführen kann.

  1. Vergewissern Sie sich, dass EAP-FAST-Erweiterungen (CCXv4) deaktivieren nicht ausgewählt ist. Nicht-authentifizierte Bereitstellung zulassen und Authentifizierte Bereitstellung zulassen sind standardmäßig ausgewählt. Nach Auswahl einer PAC vom Standardserver können Sie diese Bereitstellungsmethoden beliebig deaktivieren.
  2. Standardserver: Der Standardwert ist "Keine". Klicken Sie auf Server auswählen, um eine PAC vom standardmäßigen PAC-Autoritätsserver auszuwählen, oder wählen Sie einen Server aus der Liste Servergruppe aus. Die Auswahlseite für den EAP-FAST-Standardserver (PAC-Autorität) wird geöffnet.

HINWEIS: Servergruppen werden nur dann aufgeführt, wenn Sie ein Administrator-Paket installiert haben, das Einstellungen für EAP-FAST Autoritätskennungs-(A-ID-)Gruppen enthält.

Die PAC-Bereitstellung kann auch manuell (out-of-band) vorgenommen werden. Durch die manuelle Bereitstellung können Sie eine PAC für einen Benutzer auf einem ACS-Server erstellen und diese dann auf den Benutzercomputer importieren. Eine PAC-Datei kann durch ein Kennwort geschützt werden, welches der Benutzer bei einem PAC-Import eingeben muss.

So importieren Sie eine PAC:

  1. Klicken Sie auf Importieren, um eine PAC vom PAC-Server zu importieren.
  2. Klicken Sie auf Öffnen.
  3. Geben Sie das PAC-Kennwort ein (optional).
  4. Klicken Sie auf OK, um diese Seite zu schließen. Die markierte PAC wird für dieses drahtlose Profil verwendet.

EAP-FAST CCXv4 bietet Unterstützung für die Bereitstellung anderer Berechtigungen als der aktuell für die Tunneleinrichtung bereitgestellten PAC. Zu diesen Berechtigungsarten gehören vertrauenswürdige CA-Zertifikate, Computerberechtigungen für die Computerauthentifizierung sowie temporäre Benutzerberechtigungen zur Umgehung der Benutzerauthentifizierung.

Zertifikat (TLS-Authentifizierung) verwenden

  1. Klicken Sie auf Zertifikat (TLS-Authentifizierung) verwenden.
  2. Klicken Sie auf Identitätsschutz, wenn der Tunnel geschützt ist.
  3. Wählen Sie eine der folgenden Optionen:
  4. Benutzername: Geben Sie den dem Benutzerzertifikat zugewiesenen Benutzernamen ein.
  5. Klicken Sie auf Weiter.

Schritt 2 von 3: EAP-FAST - Zusätzliche Informationen

Wenn Sie Zertifikat (TLS-Authentifizierung) verwenden und Für diesen Computer ein Benutzerzertifikat verwenden ausgewählt haben, klicken Sie auf Weiter (keine Roaming-Identität erforderlich) und fahren Sie mit Schritt 3 fort, um die EAP-FAST Serverzertifikatseinstellungen zu konfigurieren. Wenn eine Konfiguration der EAP-FAST Servereinstellungen nicht erforderlich ist, klicken Sie auf OK, um die Einstellungen zu speichern und zur Profilseite zurückzukehren.

Wenn Sie die Verwendung einer Smart Card gewählt haben, fügen Sie falls erforderlich die Roaming-Identität hinzu. Klicken Sie auf OK, um Ihre Einstellungen zu speichern und zur Profilseite zurückzukehren.

Wenn Sie Zertifikat (TLS-Authentifizierung) verwenden nicht ausgewählt haben, klicken Sie auf Weiter, um ein Authentifizierungsprotokoll auszuwählen. CCXv4 lässt zusätzliche Berechtigungen oder TLS Cipher Suites zur Tunneleinrichtung zu.

Authentifizierungsprotokoll: Wählen Sie entweder GTC oder MS-CHAP-V2 (Standard). 

Generic Token Card (GTC)

GTC kann mit dem serverauthentifizierten Modus verwendet werden. Auf diese Weise können Peers, die andere Benutzerdatenbanken als Lightweight Directory Access Protocol (LDAP) sowie Einmalkennworttechnologie (OTP) verwenden, im Band bereitgestellt werden. Der Austausch ist jedoch nur dann möglich, wenn dabei die TLS Cipher Suites zur Serverauthentifizierung verwendet werden.

So konfigurieren Sie ein Einmalkennwort:

  1. Authentifizierungsprotokoll: Wählen Sie GTC (Generic Token Card).
  2. Benutzeranmeldeinformationen: Wählen Sie Bei jeder Verbindungsherstellung auffordern.
  3. Bei Verbindungsherstellung Folgendes anfordern: Wählen Sie eine der folgenden Optionen:
Name Beschreibung
Statisches Kennwort Geben Sie bei Herstellung der Verbindung die Benutzeranmeldeinformationen ein.
Einmalkennwort (OTP) Fordern Sie vom Hardware-Token-Gerät ein Kennwort an.
PIN (Soft-Token) Fordern Sie vom Soft-Token-Programm ein Kennwort an.
  1. Klicken Sie auf OK.
  2. Wählen Sie auf das Profil aus der Liste der drahtlosen Netzwerke.
  3. Klicken Sie auf Verbinden. Sie werden zur Eingabe des Benutzernamens, der Domäne und des Einmalkennworts aufgefordert.
  4. Klicken Sie auf OK.

MS-CHAP-V2

Dieser Parameter gibt das Authentifizierungsprotokoll an, das über den PEAP-Tunnel ausgeführt wird.

  1. Wählen Sie die Benutzeranmeldeinformationen aus: Windows-Anmeldung verwenden, Bei jeder Verbindungsherstellung auffordern oder Folgendes verwenden.
  2. Roaming-Identität: In dieses Feld kann eine Roaming-Identität eingegeben werden oder Sie können %domäne%\%benutzername% als Standardformat zur Eingabe der Roaming-Identität verwenden.

Wenn 802.1X Microsoft IAS RADIUS als Authentifizierungsserver verwendet wird, berechtigt dieser das Gerät anhand der Roaming-Identität aus der Intel(R) PROSet/Wireless Software und ignoriert den Benutzernamen aus dem Authentifizierungsprotokoll MS-CHAP-V2. Microsoft IAS RADIUS akzeptiert nur einen gültigen Benutzernamen (dotNet-Benutzer) für die Roaming-Identität. Für alle anderen Authentifizierungsserver ist die Roaming-Identität optional. Es wird daher empfohlen, als Roaming-Identität den gewünschten Bereich (z. B. anonym@meinbereich) anstatt einer echten Identität einzugeben.

Schritt 3 von 3: EAP-FAST-Server

Der Bereitstellungsmodus "Authentifizierter TLS-Server" wird mit Verwendung eines vertrauenswürdigen CA-Zertifikats, eines selbst unterzeichneten Serverzertifikats oder von öffentlichen Serverschlüsseln und GTC als interner EAP-Methode unterstützt.

  1. Wählen Sie eine der folgenden Abrufmethoden: Serverzertifikat validieren oder Server- oder Zertifikatsnamen angeben.
  2. Klicken Sie auf OK, um die Sicherheitseinstellungen zu schließen.

EAP-FAST-Benutzereinstellungen:

HINWEIS: Falls ein Administratorpaket, das auf einen Benutzercomputer exportiert werden soll, die Aktivierung der CCXv4-Anwendungseinstellung des Administrator-Tools nicht umfasst, stehen nur die EAP-FAST-Benutzereinstellungen zur Konfiguration zur Verfügung.

So richten Sie einen Client mit EAP-FAST-Netzwerkauthentifizierung ein:

  1. Klicken Sie auf Profile im Hauptfenster von Intel(R) PROSet/Wireless. Oder, falls Sie Administrator-Aufgaben durchführen, öffnen Sie das Administrator-Tool.
  2. Klicken Sie in der Profilseite auf Hinzufügen, um die allgemeine Einstellungen zur Erstellung eines drahtlosen Profils zu öffnen.
  3. Name des drahtlosen Netzwerks (SSID): Geben Sie die Netzwerk-Kennung ein.
  4. Profilname: Geben Sie einen beschreibenden Profilnamen ein.
  5. Betriebsmodus: Klicken Sie auf Netzwerk (Infrastruktur).
  6. Administrator-Profiltyp: Wählen Sie Ständig oder Voranmeldung/Allgemein. (Dieser Schritt muss nur beim Einsatz des Administrator-Tools durchgeführt werden.)
  7. Klicken Sie auf Weiter, um die Sicherheitseinstellungen zu öffnen.
  8. Klicken Sie auf Unternehmenssicherheit.
  9. Netzwerkauthentifizierung: Wählen Sie WPA - Unternehmen oder WPA2 - Unternehmen.
  10. Datenverschlüsselung: Wählen Sie eine der folgenden Optionen:
  11. 802.1X aktivieren: Markiert.
  12. Authentifizierungstyp: Wählen Sie für diese Verbindung EAP-FAST.
  13. Klicken Sie auf Cisco-Optionen, um die Option Fast-Roaming (CCKM) zulassen auszuwählen, um den drahtlosen Client-Adapter für sicheres Fast-Roaming zu aktivieren.

Schritt 1 von 3 EAP-FAST-Bereitstellung (Benutzereinstellungen)

EAP-FAST verwendet einen PAC-Schlüssel, um die Benutzer-Anmeldeinformationen, die ausgetauscht werden, zu schützen. Alle authentifizierenden EAP-FAST-Parteien werden anhand einer Autoritäts-ID (A-ID) identifiziert. Die lokale authentifizierenden Partei sendet ihre A-ID an den authentifizierenden Client, und der Client sucht in seiner Datenbank nach einer übereinstimmenden A-ID. Falls der Client die A-ID nicht erkennt, fordert er eine neue PAC an.

HINWEIS: Falls die bereitgestellte PAC gültig ist, fordert Intel(R) PROSet/Wireless den Benutzer nicht auf, die PAC zu akzeptieren. Falls die PAC ungültig ist, lässt Intel(R) PROSet/Wireless die Bereitstellung automatisch fehlschlagen. In der Wireless Ereignisanzeige wird eine Statusmeldung darüber angezeigt, dass ein Administrator auf dem Computer des Benutzers eine Überprüfung durchführen kann.

  1. Unmarkiert lassen EAP-FAST-Erweiterungen (CCXv4) deaktivieren.
  2. Authentifizierte Bereitstellung zulassen und Nicht authentifizierte Bereitstellung zulassen sind standardmäßig ausgewählt.
  3. Standardserver: Der Standardwert ist "Keine". Klicken Sie auf Server auswählen, um vom Standard-PAC-Autoritätsserver eine PAC auszuwählen. Die Seite "Geschützte Zugriffsberechtigungen" (PAC) wird geöffnet.

HINWEIS: Servergruppen werden nur dann aufgeführt, wenn Sie ein Administrator-Paket installiert haben, das Einstellungen für EAP-FAST Autoritätskennungs-(A-ID-)Gruppen enthält.

Die PAC-Bereitstellung kann auch manuell (out-of-band) vorgenommen werden. Durch die manuelle Bereitstellung können Sie eine PAC für einen Benutzer auf einem ACS-Server erstellen und diese dann auf den Benutzercomputer importieren. Eine PAC-Datei kann durch ein Kennwort geschützt werden, welches der Benutzer bei einem PAC-Import eingeben muss.

  1. So importieren Sie eine PAC:
    1. Klicken Sie auf Importieren, um eine PAC vom PAC-Server zu importieren.
    2. Klicken Sie auf Öffnen.
    3. Geben Sie das PAC-Kennwort ein (optional).
    4. Klicken Sie auf OK, um diese Seite zu schließen. Die markierte PAC wird für dieses drahtlose Profil verwendet.
  2. Klicken Sie auf Weiter.
  3. Wenn dies kein Voranmelde-/Allgemeines Profil ist, klicken Sie auf Weiter und fahren Sie mit fort Schritt 3 von 3: fort. EAP-FAST-Server.
  4. Wenn es sich um ein Voranmelde-/Allgemeines Profil handelt oder wenn Sie zur Erstellung dieses Profils das Administrator-Tool nicht verwenden, fahren Sie mit dem nächsten Schritt fort.

Schritt 2 von 3: EAP-FAST - Zusätzliche Informationen

  1. Authentifizierungsprotokoll: Markieren Sie MS-CHAP-V2 oder GTC
  2. Benutzeranmeldeinformationen: Markieren Sie "Windows-Anmeldung verwenden" oder "Folgendes verwenden".
  3. Wenn Sie "Folgendes verwenden" markiert haben, geben Sie Benutzernamen, Domäne, Kennwort und Kennwortbestätigung ein.
  4. Geben Sie die Roaming-Identität ein: %DOMAIN%\%USERNAME
  5. Klicken Sie auf Weiter.

Schritt 3 von 3: EAP-FAST-Server

  1. Wenn Sie wünschen, klicken Sie auf Zertifikat verifizieren und wählen Sie aus dem Dropdown-Menü "Zertifikataussteller" aus. Die Standardeinstellung ist "Beliebige vertrauenswürdige CA".
  2. Wenn Sie wünschen, klicken Sie auf Server oder Zertifikatsnamen angeben und geben Sie den Namen ein. Klicken Sie dann auf Servername muss genau mit dem angegebenen Eintrag übereinstimmen oder auf Domänenname muss in angegebenem Namen enden.
  3. Klicken Sie auf OK.

Zurück nach oben

Zurück zum Inhaltsverzeichnis

Marken und Haftungsausschluss