Narzędzie administratora

Pakiety administratora dla systemu Windows XP*

UWAGA: Aby utworzyć i wyeksportować pakiet dla komputera z systemem Microsoft Windows Vista*, należy utworzyć ten pakiet na komputerze z systemem Windows Vista. Nie można utworzyć pakietu dla systemu Windows Vista na komputerze z systemem Microsoft Windows XP*.

Profile administratora

Te profile są wspólne, czyli udostępniane przez wszystkich użytkowników komputera. Użytkownicy końcowi nie mogą jednak modyfikować tych profili. Profile te mogą być modyfikowane tylko przy użyciu chronionego hasłem Narzędzia administratora.

Istnieją dwa typy profili administratora: Trwałe i Przed logowaniem/wspólne.

Profile trwałe

Profile łączenia trwałego są stosowane podczas uruchamiania systemu lub gdy na komputerze nie jest zalogowany żaden użytkownik. Po wylogowaniu użytkownika połączenie bezprzewodowe jest utrzymywane do momentu wyłączenia komputera lub zalogowania innego użytkownika.

Kluczowe kwestie związane z profilem trwałym:

• Profile łączenia trwałego można tworzyć z następujących typów profili:
  • Wszystkie profile, dla których nie jest wymagane uwierzytelnianie 802.1X (np. uwierzytelnianie otwarte z szyfrowaniem WEP, uwierzytelnianie otwarte bez szyfrowania).
  • Wszystkie profile z uwierzytelnianiem 802.1X i zapisanymi poświadczeniami: LEAP lub EAP-FAST.
  • Profile z ustawieniami zabezpieczeń z opcją Użyj następującej nazwy użytkownika i hasła.
  • Profile, dla których do uwierzytelniania używany jest certyfikat komputera.
  • Profile WPA*-Korporacyjne, niewykorzystujące certyfikatu użytkownika.
  • Profile WPA-Indywidualne.
• Profile łączenia trwałego zostaną zastosowane podczas uruchamiania systemu i po wylogowaniu użytkownika.

UWAGA: Narzędzie do połączeń WiFi obsługuje certyfikaty urządzeń. Nie są one jednak wyświetlane na listach certyfikatów.

Aby utworzyć profil łączenia trwałego:

1. Kliknij przycisk Dołącz profile do tego pakietu.
2. Kliknij opcję Połączenie trwałe.
3. Kliknij przycisk Dodaj, aby otworzyć stronę Ustawienia ogólne.
4. Nazwa profilu: Wprowadź opisową nazwę profilu.
5. Nazwa sieci bezprzewodowej (SSID): Wprowadź nazwę sieci bezprzewodowej.
6. Tryb działania: Sieć (Infrastruktura) — opcja zaznaczona domyślnie.
7. Typ profilu administratora: Trwałe: Połączenie aktywne, gdy nie jest zalogowany żaden użytkownik — opcja jest zaznaczona.
8. Kliknij przycisk Dalej.
9. Kliknij przycisk Zabezpieczenia korporacyjne, aby otworzyć stronę Ustawienia zabezpieczeń. Więcej informacji na temat konfiguracji zabezpieczeń 802.1X można znaleźć w sekcjach TLS, TTLS, PEAP, LEAP i EAP-FAST.
10. Kliknij przycisk OK.

Przed logowaniem/wspólne

Profile Przed logowaniem/Wspólne (Pre-logon/Common) są stosowane przed logowaniem użytkownika. Jeśli zainstalowano obsługę funkcji logowania pojedynczego, połączenie jest nawiązywane przed logowaniem w systemie Windows (przed logowaniem/wspólne).

Jeśli obsługa logowania pojedynczego nie została zainstalowana, profil jest stosowany po aktywowaniu sesji użytkownika. Profile łączenia przed logowaniem/wspólnego są zawsze wyświetlane na górze listy profili. Użytkownicy mogą określać priorytety dla utworzonych przez siebie profili, ale nie dla profili łączenia przed logowaniem/wspólnego. Ponieważ profile te znajdują się na górze listy profili, narzędzie do połączeń WiFi najpierw próbuje automatycznie łączyć się z profilami administratora, a dopiero później z profilami użytkownika.

UWAGA: Tylko administrator może tworzyć i eksportować profile łączenia przed logowaniem/wspólnego.

Kluczowe kwestie związane z łączeniem przed logowaniem:

• Funkcja Łączenie przed logowaniem jest aktywna tylko podczas logowania w systemie Windows.
• Profile łączenia przed logowaniem/wspólnego można tworzyć z następujących typów profili:
  • Profile 802.1X PEAP, TTLS lub EAP-FAST, dla których podczas konfigurowania ustawień zabezpieczeń profilu używane są poświadczenia Użyj nazwy użytkownika i hasła logowania Windows lub Użyj następującej nazwy użytkownika i hasła.
  • Profile LEAP, dla których podczas konfigurowania ustawień zabezpieczeń profilu używane są poświadczenia przy użyciu opcji Monituj o nazwę użytkownika i hasło.
  • Profile 802.1X PEAP lub TTLS z certyfikatami użytkownika lub komputera (aby użytkownik mógł korzystać z certyfikatów komputera, musi dysponować prawami administratora).
  • Profile TLS, dla których do weryfikowania tożsamości klienta i serwera używane są certyfikaty cyfrowe.
  • Profile EAP-SIM, dla których do sprawdzania poprawności poświadczeń w sieci używana jest karta SIM.
  • Wszystkie profile wspólne lub zdefiniowane przez użytkownika inne niż 802.1X (Otwarta i WEP).
• Profil łączenia przed logowaniem/wspólnego jest używany podczas logowania użytkownika w systemie Windows.

Stan łączenia przed logowaniem/wspólnego

Obsługa profili łączenia przed logowaniem/wspólnego jest instalowana podczas instalacji niestandardowej narzędzia do połączeń WiFi. Informacje na ten temat można znaleźć w sekcji Instalowanie i odinstalowywanie funkcji logowania pojedynczego.

UWAGA: Jeśli funkcje logowania pojedynczego ani łączenia przed logowaniem nie zostały zainstalowane, administrator nadal może tworzyć profile łączenia przed logowaniem/wspólne na potrzeby eksportu do komputera użytkownika.

Poniżej opisano sposób działania funkcji Łączenie przed logowaniem, od momentu uruchomienia systemu. Założono, że istnieje zapisany profil. Dla tego zapisanego profilu skonfigurowano prawidłowe ustawienia zabezpieczeń Użyj nazwy użytkownika i hasła logowania Windows, które są stosowane podczas logowania do systemu Windows.

1. Po uruchomieniu systemu Windows wprowadź domenę, nazwę użytkownika i hasło.
2. Kliknij przycisk OK. Na stronie stanu profilu łączenia przed logowaniem/wspólnego wyświetlony zostanie postęp łączenia z siecią. Po połączeniu karty sieci bezprzewodowej z punktem dostępu do sieci strona Stan zostanie zamknięta i użytkownik zostanie zalogowany w systemie Windows.
   • Jeśli poświadczenia zostaną odrzucone przez punkt dostępu podczas łączenia przed logowaniem/wspólnego, wyświetlony zostanie monit o wprowadzenie poświadczeń użytkownika.
   • Wprowadź poświadczenia.
   • Kliknij przycisk OK. Profil zostanie zastosowany, a do momentu zalogowania do systemu Windows wyświetlana będzie strona postępu stanu połączenia.
   • Aby wybrać inny profil, na stronie Poświadczenia kliknij przycisk Anuluj.

UWAGA: Dostęp do certyfikatu użytkownika ma tylko użytkownik uwierzytelniony na danym komputerze. Z tego powodu użytkownik powinien zalogować się na komputerze jeden raz (używając połączenia kablowego, profilu zamiennego lub logując się lokalne) przed użyciem profilu łączenia przed logowaniem/wspólnego, który jest uwierzytelniany przy użyciu certyfikatu użytkownika

Po wylogowaniu wszystkie połączenia bezprzewodowe są rozłączane i stosowany jest profil trwały (jeśli jest dostępny). W niektórych okolicznościach warto utrzymać bieżące połączenie (np. w przypadku, gdy po wylogowaniu konieczne będzie przekazanie na serwer danych specyficznych dla użytkownika lub gdy używane są profile mobilności).

Aby móc korzystać z tej funkcji, należy utworzyć profil oznaczony zarówno jako profil łączenia przed logowaniem/wspólnego, jak i profil trwały. Jeśli taki profil będzie aktywny podczas wylogowywania użytkownika, połączenie zostanie utrzymane.

Aby utworzyć profil łączenia przed logowaniem/wspólnego:

1. Kliknij przycisk Dołącz profile do tego pakietu.
2. Kliknij opcję Przed logowaniem/wspólne.
3. Kliknij przycisk Dodaj, aby otworzyć stronę Ustawienia ogólne.
4. Nazwa profilu: Wprowadź opisową nazwę profilu.
5. Nazwa sieci bezprzewodowej (SSID): Wprowadź identyfikator sieci.
6. Tryb działania: Sieć (Infrastruktura) — opcja zaznaczona domyślnie.
7. Typ profilu administratora: Przed logowaniem/wspólne: Aktywne, gdy zalogowany jest użytkownik. Ten profil jest udostępniany wszystkim użytkownikom. Ten typ profilu został już wybrany.
8. Kliknij przycisk Dalej.
9. Kliknij przycisk Zaawansowane, aby otworzyć stronę Ustawienia zaawansowane i skonfigurować te ustawienia. Zobacz Ustawienia zaawansowane.
10. Kliknij przycisk OK, aby zamknąć stronę Ustawienia zaawansowane.
11. Kliknij przycisk Zabezpieczenia korporacyjne, aby otworzyć stronę Ustawienia zabezpieczeń. Więcej informacji na temat konfiguracji zabezpieczeń 802.1X można znaleźć w sekcjach EAP-SIM, TLS, TTLS, PEAP, LEAP i EAP-FAST.
12. Kliknij przycisk OK, aby zapisać profil i dodać go do listy profili administratora.

UWAGA: Jeśli połączenie trwałe zostało już ustanowione, profil łączenia przed logowaniem/wspólnego jest ignorowany, chyba że dla profilu skonfigurowano zarówno opcje połączenia przed logowaniem/wspólnego i łączenia trwałego.

Wykluczanie sieci

Administrator może wykluczać sieci z połączeń. Po wykluczeniu tylko administrator może usunąć sieć z listy wykluczeń. Wykluczona sieć jest wyświetlana w oknie Zarządzanie listą wykluczeń i jest oznaczona następującą ikoną:

Aby wykluczyć sieć:

1. Kliknij przycisk Dołącz profile do tego pakietu.
2. Kliknij opcję Wyklucz.
3. Kliknij przycisk Dodaj, aby otworzyć stronę Wykluczanie sieci (SSID).
4. Nazwa sieci: Wprowadź nazwę sieci, która ma zostać wykluczona.
5. Kliknij przycisk OK, aby dodać nazwę sieci do listy.

Aby usunąć sieć z listy wykluczeń:

1. Wybierz nazwę sieci na liście wykluczeń.
2. Kliknij przycisk Usuń. Sieć zostanie usunięta z listy.

Połączenie głosowe przez protokół internetowy (VoIP)

Narzędzie do połączeń WiFi obsługuje aplikacje telefoniczne VoIP innych firm. Aplikacje VoIP innych firm obsługują kodery-dekodery głosowe. Kodery-dekodery umożliwiają kompresję w celu zaoszczędzenia przepustowości sieci. Narzędzie do połączeń WiFi obsługuje następujące standardy koderów-dekoderów Międzynarodowego Związku Telekomunikacyjnego (ang. International Telecommunications Union, ITU):

Grupy identyfikatorów urzędów EAP-FAST

UWAGA: Ta funkcja jest niedostępna, jeśli w ustawieniach aplikacji Narzędzie administratora nie wybrano opcji CCXv4.

Identyfikator urzędu (A-ID) to serwer RADIUS, który podaje grupy identyfikatorów urzędów poświadczeń dostępu zabezpieczonego. Grupy identyfikatorów urzędów są udostępniane wszystkim użytkownikom komputera. Dzięki nim profile EAP-FAST obsługują wiele poświadczeń dostępu pochodzących z wielu identyfikatorów urzędów.

Grupy identyfikatorów A-ID mogą być prekonfigurowane przez administratora i ustawiane za pomocą Pakietu administratora na komputerze użytkownika. Gdy profil sieci bezprzewodowej napotka serwer z identyfikatorem A-ID należącym to tej samej grupy A-ID (określonej w profilu sieci bezprzewodowej), użyje jego poświadczeń dostępu zabezpieczonego bez monitowania użytkownika.

Aby dodać grupę identyfikatorów A-ID:

1. Wybierz opcję Dołącz grupy A-ID.
2. Kliknij przycisk Dodaj.    
3. Wprowadź nazwę nowej grupy A-ID.
4. Kliknij przycisk OK. Grupa zostanie dodana do listy grup identyfikatorów A-ID.

Jeśli grupa jest zablokowana, nie można dodawać do niej kolejnych identyfikatorów A-ID.

Aby dodać identyfikator do grupy identyfikatorów A-ID:

1. Wybierz grupę z listy grup identyfikatorów A-ID.
2. Kliknij przycisk Dodaj w sekcji identyfikatorów A-ID.
3. Wybierz identyfikator A-ID.
4. Kliknij przycisk OK. Identyfikator A-ID zostanie dodany do listy.

Po wybraniu grupy A-ID identyfikatory A-ID są przejmowane z poświadczeń dostępu zabezpieczonego na serwerze grupy A-ID. Lista identyfikatorów A-ID jest zapełniana automatycznie.

Zadania administratora

Jak uzyskać certyfikat klienta

W przypadku braku certyfikatów dla usług EAP-TLS (TLS) lub EAP-TTLS (TTLS) należy uzyskać certyfikat klienta, umożliwiający uwierzytelnienie.

Certyfikatami można zarządzać za pomocą przeglądarki Internet Explorer lub Panelu sterowania systemu Windows.

Windows XP: Podczas uzyskiwania certyfikatu klienta nie należy włączać silnej ochrony klucza prywatnego. Jeśli silna ochrona zostanie włączona, każdorazowo przy korzystaniu z certyfikatu konieczne będzie wprowadzanie hasła dostępu. W przypadku konfiguracji ustawień uwierzytelniania TLS lub TTLS, należy wyłączyć silną ochronę klucza prywatnego. W przeciwnym przypadku uwierzytelnianie usługi 802.1X zakończy się niepowodzeniem z powodu braku zalogowanego użytkownika, mogącego podać wymagane hasło.

Uwagi dotyczące kart inteligentnych:

Po zainstalowaniu karty inteligentnej certyfikat jest automatycznie zapisywany na komputerze i jest dostępny w osobistym magazynie certyfikatów lub głównym magazynie certyfikatów.

Konfigurowanie klienta z uwierzytelnianiem sieci TLS

Krok 1: Uzyskiwanie certyfikatu

Aby umożliwić uwierzytelnianie w standardzie TLS, w składzie lokalnym musi znajdować się certyfikat klienta dla konta zalogowanego użytkownika. Wymagany jest także certyfikat zaufanego urzędu certyfikacji w magazynie głównym (root store).

Poniższe informacje dotyczą dwóch metod uzyskiwania certyfikatu:

• z korporacyjnego urzędu certyfikacji zaimplementowanego na serwerze Windows 2000,
• importowania certyfikatu z pliku za pomocą kreatora importu certyfikatów programu Internet Explorer.

Jeśli nie wiadomo, w jaki sposób uzyskać certyfikat użytkownika z urzędu certyfikacji, należy skontaktować się w tej sprawie z administratorem.

Aby zainstalować urząd certyfikacji na komputerze lokalnym:

1. Uzyskaj urząd certyfikacji i zachowaj go na dysku lokalnym.
2. Kliknij przycisk Importuj. Otwarty zostanie Kreator importu certyfikatów.
3. Kliknij przycisk Dalej.
4. Kliknij przycisk Przeglądaj, aby zlokalizować certyfikat na dysku lokalnym.
5. Kliknij eksportowany certyfikat.
6. Kliknij opcję Otwórz.
7. Kliknij przycisk Dalej.
8. Kliknij opcję Umieść wszystkie certyfikaty w następującym magazynie.
9. Kliknij przycisk Przeglądaj, aby otworzyć stronę Wybieranie magazynu certyfikatów.
10. Kliknij opcję Pokaż magazyny fizyczne.
11. Kliknij przycisk OK.
12. Na liście magazynów rozwiń element Zaufane główne urzędy certyfikacji.
13. Kliknij element Komputer lokalny.
14. Kliknij przycisk OK.
15. Kliknij przycisk Dalej.
16. Kliknij przycisk Zakończ, aby zakończyć proces.
17. Po zainstalowaniu certyfikatu uruchom system ponownie.

Za pomocą programu Microsoft Management Console (MMC) sprawdź, czy urząd certyfikacji został zainstalowany w magazynie komputera.

1. W menu Start kliknij polecenie Uruchom.
2. Wprowadź polecenie MMC.
3. Kliknij przycisk OK, aby otworzyć program Microsoft Management Console.
4. Kliknij menu Plik.
5. Kliknij polecenie Dodaj/Usuń przystawkę.
6. Kliknij przycisk Dodaj, aby otworzyć stronę Dodawanie przystawki autonomicznej.
7. Kliknij opcję Certyfikaty.
8. Kliknij przycisk Dodaj.    
9. Kliknij opcję Konto komputera.
10. Kliknij przycisk Dalej.
11. Kliknij przycisk Zakończ .
12. Kliknij przycisk Zamknij.
13. Kliknij przycisk OK.
14. W konsoli kliknij opcję Certyfikaty (komputer lokalny).
15. Kliknij opcję Zaufane główne urzędy certyfikacji.
16. Kliknij opcję Certyfikaty.
17. Sprawdź, czy zainstalowany urząd certyfikacji znajduje się na liście.
18. Kliknij menu Plik.
19. Kliknij opcję Zakończ, aby zamknąć konsolę.

Uzyskiwanie certyfikatu z urzędu certyfikacji Microsoft Windows 2000* CA:

1. Uruchom program Internet Explorer i przejdź do usługi HTTP urzędu certyfikacji (przy użyciu adresu URL, np. http://MójSerwerDomeny.MojaDomena/certsrv, gdzie certsrv oznacza polecenie odwołujące się do urzędu certyfikacji). Można również użyć adresu IP serwera. Na przykład: 192.0.2.12/certsrv.
2. Zaloguj się w urzędzie certyfikacji, używając nazwy i hasła użytkownika utworzonych na serwerze uwierzytelniania. Nazwa użytkownika i hasło nie muszą być takie same, jak nazwa i hasło aktualnie zalogowanego użytkownika systemu Windows.
3. Na stronie powitalnej urzędu certyfikacji wybierz zadanie Żądaj certyfikatu i wyślij formularz.
4. Wybierz typ żądania: wybierz opcję Żądania zaawansowane.
5. Kliknij przycisk Dalej.
6. Zaawansowane żądania certyfikatów: Kliknij opcję Prześlij żądanie certyfikatu do tego urzędu certyfikacji za pomocą formularza.
7. Kliknij opcję Prześlij.
8. Zaawansowane żądanie certyfikatu: Wybierz opcję Szablon certyfikatu użytkownika.
9. Kliknij opcję Oznacz klucze jako możliwe do eksportu.
10. Kliknij przycisk Dalej. Użyj podanych wartości domyślnych.
11. Certyfikat został wystawiony: Kliknij przycisk Instaluj ten certyfikat.

UWAGA: Jeśli jest to pierwszy uzyskany certyfikat, użytkownik zostanie zapytany, czy w magazynie głównym ma zostać zainstalowany certyfikat zaufanego urzędu certyfikacji. To nie jest certyfikat zaufanego urzędu certyfikacji. Nazwa na certyfikacie to nazwa hosta urzędu certyfikacji. Wybierz opcję Tak. Certyfikat ma być używany zarówno w usłudze TLS, jak i TTLS.

12. Po poprawnym zainstalowaniu certyfikatu zostanie wyświetlony komunikat "Nowy certyfikat został zainstalowany pomyślnie".
13. Aby sprawdzić instalacje, kliknij polecenia Internet Explorer > Narzędzia > Opcje internetowe > Zawartość > Certyfikaty. Nowy certyfikat powinien być zainstalowany w folderze Osobiste.

Importowanie certyfikatu z pliku

1. Otwórz okno Właściwości: Internet (kliknij prawym klawiszem myszy ikonę Internet Explorer na pulpicie).
2. Kliknij opcję Właściwości.
3. Zawartość: Kliknij opcję Certyfikaty. Wyświetlona zostanie lista certyfikatów.
4. Kliknij przycisk Importuj, aby otworzyć stronę Kreator importu certyfikatów.
5. Wybierz plik.
6. Określ hasło dostępu do pliku. Usuń zaznaczenie pola wyboru Włącz silną ochronę klucza prywatnego.
7. Magazyn certyfikatów: Zaznacz opcję Automatycznie wybierz magazyn certyfikatów na podstawie typu certyfikatu (certyfikat musi zostać umieszczony w magazynie osobistym kont użytkownika, aby był dostępny).
8. Przejdź do strony Kończenie działania Kreatora importu certyfikatów i kliknij przycisk Zakończ.

Aby skonfigurować profil przy użyciu uwierzytelniania WPA z szyfrowaniem WEP lub TKIP i uwierzytelnianiem TLS:

UWAGA: Uzyskaj i zainstaluj certyfikat klienta (patrz Punkt 1 lub skontaktuj się z administratorem).

Określ certyfikat używany przez narzędzie do połączeń WiFi.

1. Na stronie Profil kliknij przycisk Dodaj, aby otworzyć kartę Ustawienia ogólne.
2. Nazwa profilu: Wprowadź nazwę profilu.
3. Nazwa sieci bezprzewodowej (SSID): Wprowadź identyfikator sieci.
4. Tryb działania: Sieć (Infrastruktura) — opcja zaznaczona domyślnie.
5. Kliknij przycisk Dalej, aby otworzyć stronę Ustawienia zabezpieczeń.
6. Kliknij opcję Zabezpieczenia korporacyjne.
7. Uwierzytelnianie sieci: Wybierz opcję Otwarte (zalecane).
8. Szyfrowanie danych: Wybierz opcję WEP.
9. Włącz 802.1X: Zaznaczone.
10. Typ uwierzytelniania: Wybierz opcję TLS.

Krok 1 z 2: Użytkownik TLS

1. Uzyskaj i zainstaluj certyfikat klienta.
2. Aby uzyskać certyfikat, wybierz jedną z opcji:

Nazwa	Opis
Hasło statyczne	Przy łączeniu wprowadź poświadczenia użytkownika.
Hasło jednorazowe	Uzyskaj hasło z urządzenia tokenu sprzętowego.
PIN (token programowy)	Uzyskaj hasło z programu tokenu programowego.

3. Kliknij przycisk Dalej.

Krok 2 z 2: Serwer TLS

1. Wybierz jedną z następujących metod pobierania poświadczeń: Sprawdź poprawność certyfikatu serwera lub Określ nazwę serwera lub certyfikatu.
2. Kliknij przycisk OK. Profil zostanie dodany do listy profili.
3. Kliknij nowy profil umieszczony na końcu listy profili. Za pomocą strzałki w górę lub w dół zmień priorytet nowego profilu.
4. Kliknij przycisk Połącz, aby połączyć się z wybraną siecią bezprzewodową.
5. Kliknij przycisk OK, aby zamknąć aplikację.

Powrót do początku

Powrót do Spisu treści