Powrót do Spisu treści

Konfigurowanie zabezpieczeń profili

Korzystanie z oprogramowania Intel(R) PROSet/Wireless
Zabezpieczenia indywidualne
Ustawienia zabezpieczeń indywidualnych
Konfigurowanie szyfrowania danych i uwierzytelniania

Zabezpieczenia korporacyjne
Ustawienia zabezpieczeń korporacyjnych

Korzystanie z oprogramowania Intel(R) PROSet/Wireless

W poniższych sekcjach opisano konfigurowanie wymaganych ustawień zabezpieczeń dla karty sieci bezprzewodowej przy użyciu oprogramowania Intel PROSet/Wireless. Zobacz Zabezpieczenia indywidualne.

Niniejszy rozdział zawiera również informacje dotyczące sposobu konfiguracji zaawansowanych ustawień zabezpieczeń karty bezprzewodowej. Konfiguracja wymaga informacji od administratora systemu (środowisko korporacyjne) lub zaawansowanych ustawień zabezpieczeń dla punktu dostępu (użytkownicy domowi). Zobacz Zabezpieczenia korporacyjne.

Ogólne informacje na temat ustawień zabezpieczeń można znaleźć w rozdziale Przegląd zabezpieczeń.

Zabezpieczenia indywidualne

Zabezpieczenia indywidualne umożliwiają użytkownikom indywidualnym i małym firmom korzystanie z różnych prostych procedur zabezpieczających połączenie bezprzewodowe. Można je wybierać z listy ustawień zabezpieczeń, dla których nie jest wymagane skomplikowane konfigurowanie infrastruktury sieci bezprzewodowej. Serwery RADIUS ani AAA nie są wymagane.

UWAGA: Opcje zabezpieczeń indywidualnych w Narzędziu administratora są niedostępne podczas tworzenia profili administratora Windows Vista.

Ustawienia zabezpieczeń indywidualnych

Opis ustawień zabezpieczeń indywidualnych

Nazwa Ustawienie

Zabezpieczenia indywidualne

Zaznacz, aby otworzyć ustawienia Zabezpieczenia indywidualne. Dostępne ustawienia zabezpieczeń zależą od trybu działania wybranego na stronie Ustawienia zabezpieczeń menedżera tworzenia profili sieci bezprzewodowej.

Urządzenie z urządzeniem (ad hoc): W trybie "urządzenie z urządzeniem", zwanym również trybem ad hoc, komputery bezprzewodowe wysyłają informacje bezpośrednio do innych komputerów bezprzewodowych. Trybu ad hoc można na przykład użyć do utworzenia sieci wielu komputerów w domu lub niewielkim biurze albo do utworzenia tymczasowej sieci bezprzewodowej na czas spotkania.

UWAGA: Sieci "urządzenie z urządzeniem" (ad hoc) są na liście sieci bezprzewodowych i profili oznaczane obrazem notebooka (notebook).

Sieć (Infrastruktura): Sieć typu Sieć (infrastruktura) składa się z co najmniej jednego punktu dostępu oraz co najmniej jednego komputera z zainstalowaną kartą sieci bezprzewodowej. Co najmniej jeden punkt dostępu powinien mieć także dostęp do sieci przewodowej. W przypadku użytkowników domowych zwykle jest to sieć szerokopasmowa lub kablowa.

UWAGA: Sieci typu Sieć (infrastruktura) są na liście sieci bezprzewodowych i profili oznaczane ikoną punktu dostępu (access point).

Ustawienia zabezpieczeń

W przypadku konfigurowania profilu Urządzenie z urządzeniem (ad hoc), wybierz jedno z następujących ustawień szyfrowania danych:

W przypadku konfigurowania profilu Sieć (infrastruktura), wybierz opcję:

Przycisk Zaawansowane

Zaznacz, aby uzyskać dostęp do karty Ustawienia zaawansowane w celu skonfigurowania następujących opcji:

Wstecz

Wyświetla poprzednią stronę menedżera profili.

OK

Zamyka menedżera profili i zapisuje profil.

Anuluj

Zamyka menedżera profili i anuluje wprowadzone zmiany.

Pomoc?

Zawiera informacje Pomocy dla tej strony.

Konfigurowanie szyfrowania danych i uwierzytelniania

Dla domowych sieci bezprzewodowych można używać różnych prostych procedur zabezpieczających połączenie bezprzewodowe. Zaliczają się do nich:

Szyfrowanie WPA zapewnia ochronę danych w sieci. W szyfrowaniu WPA używany jest klucz szyfrowania nazywany "kluczem wstępnym" (PSK), który szyfruje dane przed transmisją. We wszystkich komputerach i punktach dostępu w sieci domowej lub sieci małej firmy należy wprowadzić to samo hasło. Uzyskiwanie dostępu do sieci oraz odszyfrowywanie zaszyfrowanych danych, przesyłanych przez inne komputery, jest możliwe tylko w przypadku urządzeń z tym samym kluczem szyfrowania. Hasło automatycznie inicjuje proces szyfrowania danych stosowany przy użyciu protokołu TKIP (Temporal Key Integrity Protocol) lub AES-CCMP.

Klucze sieciowe

Szyfrowanie WEP zapewnia zabezpieczenia na dwóch poziomach:

Wyższy poziom bezpieczeństwa zapewnia klucz 128-bitowy. Jeśli używane jest szyfrowanie, wszystkie urządzenia bezprzewodowe w sieci bezprzewodowej muszą korzystać z tych samych kluczy szyfrowania.

Klucz można utworzyć samemu, a następnie określić jego długość (64-bitowy lub 128-bitowy) i indeks (lokalizację, w której jest przechowywany). Im klucz jest dłuższy, tym zapewnia wyższy poziom bezpieczeństwa.

Długość klucza: 64-bitowe

Fraza hasła (64 bitów): Należy wprowadzić pięć (5) znaków alfanumerycznych (0–9, a–z lub A–Z).
Klucz szesnastkowy (64 bitów): Należy wprowadzić 10 znaków w systemie szesnastkowym (0-9 i A-F).

Długość klucza: 128-bitowe

Fraza hasła (128 bitów): Należy wprowadzić 13 znaków alfanumerycznych (0–9, a–z lub A–Z).
Klucz szesnastkowy (128-bitowy): Należy wprowadzić 26 znaków w systemie szesnastkowym (0–9 i A–F).

W przypadku szyfrowania danych WEP dla stacji podłączonej do sieci bezprzewodowej można skonfigurować maksymalnie cztery klucze (wartości indeksów kluczy: 1, 2, 3 i 4). Kiedy z punktu dostępu lub stacji w sieci bezprzewodowej wysyłana jest wiadomość zaszyfrowana za pomocą klucza przechowywanego w określonym indeksie, w wiadomości tej zawarte są informacje o indeksie klucza użytego do szyfrowania treści wiadomości. Klucz przechowywany w indeksie może zostać pobrany przez odbiorczy punkt dostępu lub stację w sieci bezprzewodowej, a następnie użyty do odszyfrowania treści wiadomości.

Konfigurowanie klienta z otwartym uwierzytelnianiem i bez szyfrowania danych

W trybie "urządzenie z urządzeniem", zwanym również trybem ad hoc, komputery bezprzewodowe wysyłają informacje bezpośrednio do innych komputerów bezprzewodowych. Trybu ad hoc można na przykład użyć do utworzenia sieci wielu komputerów w domu lub niewielkim biurze albo do utworzenia tymczasowej sieci bezprzewodowej na czas spotkania.

W oknie głównym programu Intel(R)PROSet/Wireless wybierz jedną z następujących metod łączenia się z siecią "urządzenie z urządzeniem":

Aby utworzyć profil połączenia z siecią bezprzewodową bez szyfrowania:

  1. Kliknij przycisk Profile w oknie głównym programu Intel PROSet/Wireless.
  2. Na liście Profile kliknij przycisk Dodaj, aby otworzyć stronę Ustawienia ogólne danego profilu sieci bezprzewodowej.
  3. Nazwa profilu: Wprowadź opisową nazwę profilu.
  4. Nazwa sieci bezprzewodowej (SSID): Wprowadź nazwę sieci bezprzewodowej.
  5. Tryb działania:Kliknij opcję Urządzenie z urządzeniem (ad hoc).
  6. Kliknij przycisk Dalej, aby otworzyć stronę Ustawienia zabezpieczeń.
  7. Opcja Zabezpieczenia indywidualne jest domyślnie zaznaczona.
  8. Ustawienia zabezpieczeń: Ustawieniem domyślnym jest Brak — oznacza to, że dla danej sieci bezprzewodowej nie istnieją żadne zabezpieczenia.
  9. Kliknij przycisk OK. Profil zostanie dodany do listy profili i połączony z siecią bezprzewodową.

Konfigurowanie klienta z 64-bitowym lub 128-bitowym szyfrowaniem danych WEP

Jeśli włączone zostało szyfrowanie danych WEP, Do szyfrowania używany jest klucz sieciowy lub hasło.

Klucz sieciowy może być dostarczany automatycznie (np. przez producenta karty sieci bezprzewodowej) lub wprowadzany przez użytkownika poprzez podanie klucza, jego długości (64-bitowy lub 128-bitowy), formatu (znaki ASCII lub liczby w systemie szesnastkowym) oraz indeksu (miejsca przechowywania). Im klucz jest dłuższy, tym zapewnia wyższy poziom bezpieczeństwa.

Aby dodać klucz sieciowy do połączenia sieciowego Urządzenie z urządzeniem (ad hoc):

  1. W oknie głównym programu Intel PROSet/Wireless kliknij dwukrotnie sieć "urządzenie z urządzeniem" (ad hoc) na liście Sieci bezprzewodowe lub wybierz sieć i kliknij przycisk Połącz.
  2. Kliknij przycisk Profile, aby uzyskać dostęp do listy profili.
  3. Kliknij przycisk Właściwości, aby otworzyć stronę Ustawienia ogólne danego profilu sieci bezprzewodowej. Wyświetlona zostanie nazwa profilu i nazwa sieci bezprzewodowej (SSID). Jako tryb działania należy wybrać Urządzenie z urządzeniem (ad hoc).
  4. Kliknij przycisk Dalej, aby otworzyć stronę Ustawienia zabezpieczeń.
  5. Opcja Zabezpieczenia indywidualne jest domyślnie zaznaczona.
  6. Ustawienia zabezpieczeń: Ustawieniem domyślnym jest Brak — oznacza to, że dla danej sieci bezprzewodowej nie istnieją żadne zabezpieczenia.

Aby dodać hasło lub klucz sieciowy:

  1. Ustawienia zabezpieczeń: Wybierz opcję 64-bitowe szyfrowanie WEP lub 128-bitowe szyfrowanie WEP, aby skonfigurować szyfrowanie danych WEP kluczem 64- lub 128-bitowym.

    2. Jeśli dla punktu dostępu włączone zostanie szyfrowanie WEP, dostęp do sieci jest weryfikowany przy użyciu klucza WEP. Jeśli urządzenie nie korzysta z odpowiedniego klucza WEP, nie będzie można przy jego użyciu wysyłać danych do punktu dostępu ani odbierać danych z punktu dostępu (nawet jeśli uwierzytelnianie zostanie zakończone powodzeniem).

Nazwa Opis

Hasło

Wprowadź Hasło zabezpieczające sieci bezprzewodowej (frazę hasła) lub klucz szyfrowania (klucz WEP).

Fraza hasła (64 bitów)

Należy wprowadzić pięć (5) znaków alfanumerycznych (0–9, a–z lub A–Z).

Klucz WEP (64-bitowy)

Należy wprowadzić 10 znaków w systemie szesnastkowym (0–9 i A–F).

Fraza hasła (128 bitów)

Należy wprowadzić 13 znaków alfanumerycznych (0–9, a–z lub A–Z).

Klucz WEP (128-bitowy)

Należy wprowadzić 26 znaków w systemie szesnastkowym (0–9 i A–F).
  1. Indeks klucza: Zmień indeks klucza, aby skonfigurować maksymalnie cztery hasła.
  2. Kliknij przycisk OK, aby powrócić do listy profili.

Aby dodać więcej niż jedno hasło:

  1. Wybierz numer indeksu klucza: 1, 2, 3, lub 4.
  2. Wprowadź hasło zabezpieczające sieci bezprzewodowej.
  3. Wybierz kolejny numer indeksu klucza.
  4. Wprowadź kolejne hasło zabezpieczające sieci bezprzewodowej.

Konfigurowanie klienta z ustawieniami zabezpieczeń WPA-Indywidualne (TKIP) i WPA2-Indywidualne (TKIP)

Dla trybu WPA-Indywidualne wymagane jest ręczne skonfigurowanie klucza wstępnego (PSK) w punktach dostępu i na klientach. Klucz PSK służy do uwierzytelniania przy użyciu hasła lub kodu identyfikacyjnego w stacji klienta i punkcie dostępu. Serwer uwierzytelniania nie jest potrzebny. Tryb WPA-Indywidualne jest przeznaczony dla środowisk domowych i małych firm.

Szyfrowanie WPA2 stanowi zabezpieczenie WPA drugiej generacji i zapewnia użytkownikom korporacyjnych i komercyjnych sieci bezprzewodowych wysoki stopień pewności, że tylko autoryzowani użytkownicy będą mogli uzyskiwać dostęp do ich sieci bezprzewodowych. Dzięki standardowi AES (wymaganemu przez niektórych użytkowników korporacyjnych i rządowych) mechanizm szyfrowania WPA2 jest silniejszy.

Aby skonfigurować profil z uwierzytelnianiem sieci WPA-Indywidualne i szyfrowaniem danych TKIP:

  1. W oknie głównym programu Intel PROSet/Wireless kliknij dwukrotnie sieć typu Sieć (infrastruktura) na liście Sieci bezprzewodowe lub wybierz sieć i kliknij przycisk Połącz.
  2. Kliknij przycisk Profile, aby uzyskać dostęp do listy profili.
  3. Kliknij przycisk Właściwości, aby otworzyć stronę Ustawienia ogólne danego profilu sieci bezprzewodowej. Wyświetlona zostanie nazwa profilu i nazwa sieci bezprzewodowej (SSID). Jako tryb działania należy wybrać opcję Sieć (Infrastruktura).
  4. Kliknij przycisk Dalej, aby otworzyć stronę Ustawienia zabezpieczeń.
  5. Opcja Zabezpieczenia indywidualne jest domyślnie zaznaczona.
  6. Ustawienia zabezpieczeń: Wybierz opcję WPA-Indywidualne (TKIP), aby zabezpieczyć sieć małej firmy lub środowisko domowe. W tym trybie używane jest hasło zwane również kluczem wstępnym (PSK). Im dłuższe jest to hasło, tym lepiej zabezpieczona zostaje sieć bezprzewodowa.

Jeśli tryb WPA2-Indywidualne jest obsługiwany przez punkt dostępu lub router sieci bezprzewodowej, należy go włączyć i ustawić długie, silne hasło. Im dłuższe jest to hasło, tym lepiej zabezpieczona zostaje sieć bezprzewodowa. Hasło wprowadzone dla punktu dostępu musi być używane również na danym komputerze i wszystkich urządzeniach bezprzewodowych, uzyskujących dostęp do danej sieci.

UWAGA: Tryby WPA-Indywidualne i WPA2-Indywidualne współdziałają ze sobą.

  1. Hasło zabezpieczające sieci bezprzewodowej (klucz szyfrowania): Wprowadź frazę tekstową, składającą się z 8–63 znaków. Sprawdź, czy klucz sieciowy jest zgodny z hasłem w punkcie dostępu do sieci bezprzewodowej.
  2. Kliknij przycisk OK, aby powrócić do listy profili.

Konfigurowanie klienta z ustawieniami zabezpieczeń WPA-Indywidualne (AES-CCMP) i WPA2-Indywidualne (AES-CCMP)

Dostęp zabezpieczony Wi-Fi (WPA) to udoskonalenie zabezpieczeń, znacznie zwiększające poziom ochrony danych i kontrolę dostępu do sieci bezprzewodowej. Tryb WPA wymusza uwierzytelnianie i wymianę kluczy w standardzie 802.1X oraz działa tylko z użyciem dynamicznych kluczy szyfrowania. W przypadku użytkowników domowych i małych firm dla trybu WPA-Indywidualne używany jest protokół AES-CCMP lub TKIP.

Aby utworzyć profil z uwierzytelnianiem sieci WPA2-Indywidualne i szyfrowaniem danych AES-CCMP:

  1. W oknie głównym programu Intel PROSet/Wireless kliknij dwukrotnie sieć typu Sieć (infrastruktura) na liście Sieci bezprzewodowe lub wybierz sieć i kliknij przycisk Połącz.
  2. Kliknij przycisk Właściwości, aby otworzyć stronę Ustawienia ogólne danego profilu sieci bezprzewodowej. Wyświetlona zostanie nazwa profilu i nazwa sieci bezprzewodowej (SSID). Jako tryb działania należy wybrać opcję Sieć (Infrastruktura).
  3. Kliknij przycisk Dalej, aby otworzyć stronę Ustawienia zabezpieczeń.
  4. Opcja Zabezpieczenia indywidualne jest domyślnie zaznaczona.
  5. Ustawienia zabezpieczeń: Wybierz opcję WPA-Indywidualne (AES-CCMP), aby zapewnić ten poziom zabezpieczeń w małych sieciach lub środowisku domowym. W tym trybie używane jest hasło zwane również kluczem wstępnym (PSK). Im dłuższe jest to hasło, tym lepiej zabezpieczona zostaje sieć bezprzewodowa.

AES-CCMP (Advanced Encryption Standard - Counter CBC-MAC Protocol) jest nową metodą ochrony prywatności transmisji bezprzewodowej określona w normie IEEE 802.11i. AES-CCMP zapewnia skuteczniejszą metodę szyfrowania niż TKIP. AES-CCMP należy wybrać jako metodę szyfrowania danych, gdy istotny jest wysoki poziom ochrony danych.

Jeśli tryb WPA2-Indywidualne jest obsługiwany przez punkt dostępu lub router sieci bezprzewodowej, należy go włączyć i ustawić długie, silne hasło. Hasło wprowadzone dla punktu dostępu musi być używane również na danym komputerze i wszystkich urządzeniach bezprzewodowych, uzyskujących dostęp do danej sieci.

UWAGA: Tryby WPA-Indywidualne i WPA2-Indywidualne współdziałają ze sobą.

Niektóre rozwiązania w zakresie zabezpieczeń mogą być nieobsługiwane przez system operacyjny komputera. Wymagane może być dodatkowe oprogramowanie lub sprzęt, jak również obsługa infrastruktury sieci bezprzewodowej LAN. Szczegóły można uzyskać u producenta komputera.

  1. Hasło: Hasło zabezpieczające sieci bezprzewodowej (klucz szyfrowania): Wprowadź frazę tekstową (składającą się z 8–63 znaków). Sprawdź, czy klucz sieciowy jest zgodny z kluczem punktu dostępu do sieci bezprzewodowej.
  2. Kliknij przycisk OK, aby powrócić do listy profili.

Zabezpieczenia korporacyjne

Na stronie Ustawienia zabezpieczeń można wprowadzać wymagane ustawienia zabezpieczeń dla wybranej sieci bezprzewodowej.

Zabezpieczeń korporacyjnych należy używać, jeśli w środowisku korporacyjnym wymagane jest uwierzytelnianie 802.1X.

Korporacyjne ustawienia zabezpieczeń

Opis korporacyjnych ustawień zabezpieczeń

Nazwa Ustawienie
Zabezpieczenia korporacyjne

Zaznacz, aby otworzyć ustawienia Zabezpieczenia korporacyjne.
Uwierzytelnianie sieci

Wybierz jedną z następujących metod uwierzytelniania:
Szyfrowanie danych

Kliknij, aby otworzyć następujące typy szyfrowania danych:
Włącz 802.1X (Typ uwierzytelniania) Kliknij, aby otworzyć następujące typy uwierzytelniania 802.11x:
Opcje Cisco Kliknij, aby wyświetlić opcje Rozszerzenia Cisco.

UWAGA: Rozszerzenia Cisco są automatycznie włączane dla profili CKIP i LEAP.
Przycisk Zaawansowane Zaznacz, aby uzyskać dostęp do karty Ustawienia zaawansowane w celu skonfigurowania następujących opcji:
Poświadczenia użytkownika

Dla profilu skonfigurowanego dla uwierzytelniania TTLS, PEAP lub EAP-FAST wymagana jest jedna z następujących metod :

Użyj logowania systemu Windows: Poświadczenia sieci 802.1X są zgodne z nazwą użytkownika i hasłem w systemie Windows. Przed nawiązaniem połączenia wyświetlany jest monit o poświadczenia logowania w systemie Windows.

UWAGA: Ta opcja jest niedostępna, jeśli podczas instalacji oprogramowania Intel PROSet/Wireless nie wybrano opcji Łączenie przed logowaniem/wspólne. Informacje na ten temat można znaleźć w sekcji Instalowanie i odinstalowywanie funkcji logowania pojedynczego.

UWAGA: W przypadku profili LEAP jest to opcja Użyj nazwy użytkownika i hasła logowania Windows.

Monituj przy każdym łączeniu: Monitowanie o nazwę użytkownika i hasło odbywa się przy każdym logowaniu do sieci bezprzewodowej.

UWAGA: W przypadku profili LEAP jest to opcja Monituj o nazwę użytkownika i hasło.

Użyj: Logowanie do sieci odbywa się przy użyciu zapisanych poświadczeń.

  • Nazwa użytkownika: Nazwa użytkownika musi być taka sama, jak nazwa użytkownika podana w serwerze uwierzytelniania przez administratora przed uwierzytelnieniem klienta. W nazwie użytkownika uwzględniana jest wielkość liter. Nazwa określa tożsamość podawaną stronie uwierzytelniającej przez protokół uwierzytelniania (przez tunel TLS). Tożsamość zostaje bezpiecznie przesłana do serwera tylko wtedy, gdy szyfrowany kanał zostanie ustalony.
  • Domena: Nazwa domeny serwera uwierzytelniania. Nazwa serwera określa domenę lub jedną z jej poddomen (np. zeelans.com, gdzie serwer to blueberry.zeelans.com).
  • Hasło: Określa hasło użytkownika. Znaki hasła są wyświetlane w postaci gwiazdek. Hasło musi być takie samo, jak hasło podane dla serwera uwierzytelniania.
  • Potwierdź hasło: Wprowadź hasło użytkownika ponownie.

UWAGA: Aby uzyskać nazwę domeny, należy skontaktować się z administratorem.

UWAGA: W przypadku profili LEAP jest to opcja Użyj następującej nazwy użytkownika i hasła.
Opcje servera

Wybierz jedną z następujących metod pobierania poświadczeń:

Sprawdź poprawność certyfikatu serwera: Zaznacz, aby weryfikować certyfikat serwera.

Wystawca certyfikatu Certyfikat serwera otrzymany w trakcie wymiany komunikatów TLS powinien być wydany przez ten urząd certyfikacji. Dostępne będą zaufane pośrednie urzędy certyfikacji i urzędy podstawowe, których certyfikaty są dostępne do wyboru w magazynie systemowym. W przypadku wybrania opcji Dowolny zaufany urząd certyfikacji dopuszczalny będzie każdy urząd certyfikacji z listy. Kliknij opcję Dowolny zaufany urząd certyfikacji jako opcję domyślną lub wybierz wystawcę certyfikatu z listy.

Określ nazwę serwera lub certyfikatu: Wprowadź nazwę serwera.

Nazwa serwera lub domena, do której należy serwer, w zależności od tego, która z dwóch podanych niżej opcji została wybrana.

  • Nazwa serwera musi być dokładnie zgodna z określonym wpisem:Jeśli to pole jest zaznaczone, nazwa serwera musi dokładnie odpowiadać nazwie serwera w certyfikacie. Nazwa serwera powinna obejmować pełną nazwę domeny (np. nazwa NazwaSerwera.Domena).
  • Nazwa domeny musi kończyć się określonym wpisem:Jeśli to pole jest zaznaczone, nazwa serwera określa domenę, a certyfikat musi posiadać nazwę serwera należącą do tej domeny lub do jednej z jej domen podrzędnych (np. zeelans.com, gdzie serwer to blueberry.zeelans.com).

UWAGA: Wskazane parametry należy uzyskać od administratora.
Opcje certyfikatu Aby uzyskać certyfikat uwierzytelniania TLS, wybierz jedną z następujących opcji:

Użyj karty inteligentnej: Wybierz, jeśli certyfikat znajduje się na karcie inteligentnej.

Użyj certyfikatu wystawionego dla tego komputera: Wybierz certyfikat przechowywany w magazynie komputera.

Użyj certyfikatu użytkownika na tym komputerze: Kliknij przycisk Wybierz, aby wybrać certyfikat znajdujący się na tym komputerze.

UWAGA: Oprogramowanie Intel PROSet/Wireless obsługuje certyfikaty komputera. Nie są one jednak wyświetlane na listach certyfikatów.

Uwagi dotyczące certyfikatów: Określona tożsamość powinna odpowiadać tożsamości Wystawiony dla w certyfikacie i powinna zostać zarejestrowana na serwerze uwierzytelniania (tj. na serwerze RADIUS) używanym przez stronę uwierzytelniającą. Certyfikat musi być prawidłowy względem serwera uwierzytelniania. To wymaganie jest zależne od danego serwera uwierzytelniania i oznacza, że serwer musi uznawać wystawcę certyfikatu za urząd certyfikacji. Użytkownik powinien logować się pod nazwą, która została użyta podczas instalowania certyfikatu.
Wstecz Wyświetla poprzednią stronę menedżera tworzenia profili sieci bezprzewodowej.
Dalej Wyświetla następną stronę menedżera tworzenia profili sieci bezprzewodowej. Jeśli wymaganych jest więcej informacji, wyświetlany jest następny punkt strony Zabezpieczenia.
OK Zamyka menedżera tworzenia profili sieci bezprzewodowej i zapisuje profil.
Anuluj Zamyka menedżera tworzenia profili sieci bezprzewodowej i anuluje wprowadzone zmiany.
Pomoc? Zawiera informacje Pomocy dla tej strony.

Konfigurowanie profili dla sieci infrastrukturalnych

Sieć infrastrukturalna składa się z co najmniej jednego punktu dostępu oraz co najmniej jednego komputera z zainstalowaną kartą sieci bezprzewodowej. Każdy punkt dostępu musi być przewodowo podłączony do sieci bezprzewodowej.

Konfigurowanie klienta z otwartym lub udostępnianym uwierzytelnianiem sieci

W przypadku uwierzytelniania przy użyciu klucza udostępnianego zakłada się, że każda stacja sieci bezprzewodowej uzyskała tajny klucz udostępniany (bezpiecznym kanałem, niezależnym od kanału komunikacyjnego sieci bezprzewodowej 802.11). W przypadku uwierzytelniania przy użyciu klucza udostępnianego, dla klienta należy skonfigurować statyczny klucz WEP lub CKIP. Klient może uzyskać dostęp do sieci pod warunkiem, że zostanie uwierzytelniony. Klucz CKIP zapewnia skuteczniejszą metodę szyfrowania danych niż WEP, ale nie jest obsługiwany przez wszystkie systemy operacyjne i punkty dostępu.

UWAGA: Wydawałoby się, że klucz wspólny zapewnia wyższy poziom bezpieczeństwa, jednak znanym słabym punktem tego rozwiązania jest przesyłanie ciągu wyzwania do klienta w postaci czystego tekstu. Jeśli intruz uzyska ciąg wyzwania, klucz uwierzytelniania udostępnianego może zostać łatwo odtworzony. Zatem wbrew intuicji szyfrowanie otwarte jest w rzeczywistości bezpieczniejsze. Aby utworzyć profil z uwierzytelnianiem udostępnianym:

  1. Kliknij przycisk Profile w oknie głównym programu Intel PROSet/Wireless.
  2. Na stronie Profil kliknij przycisk Dodaj, aby otworzyć stronę ustawień ogólnych menedżera tworzenia profili sieci bezprzewodowej.
  3. Nazwa profilu: Wprowadź opisową nazwę profilu.
  4. Nazwa sieci bezprzewodowej (SSID): Wprowadź identyfikator sieci.
  5. Tryb działania:Kliknij opcję Sieć (Infrastruktura).
  6. Kliknij przycisk Dalej, aby otworzyć stronę Ustawienia zabezpieczeń.
  7. Kliknij opcję Zabezpieczenia korporacyjne.
  8. Uwierzytelnianie sieci:Wybierz opcję Udostępniane. Udostępniane uwierzytelnianie uzyskuje się, za pomocą prekonfigurowanego klucza szyfrowania WEP.
  9. Szyfrowanie danych: Wybierz opcję Brak, WEP (64-bitowe lub 128-bitowe) lub CKIP (64-bitowe lub 128-bitowe).
  10. Włącz 802.1X:Wyłączone.
  11. Poziom szyfrowania: 64-bitowy lub 128-bitowy: Podczas przełączania między szyfrowaniem 64-bitowym i 128-bitowym poprzednie ustawienia zostają usunięte i konieczne jest wprowadzanie nowego klucza.
  12. Hasło zabezpieczające sieci bezprzewodowej (klucz szyfrowania):Wprowadź hasło sieci bezprzewodowej (klucz szyfrowania WEP). Hasło jest wartością używaną przez punkt dostępu lub router sieci bezprzewodowej. Aby uzyskać to hasło, należy skontaktować się z administratorem.
Nazwa Opis
Hasło

Wprowadź Hasło zabezpieczające sieci bezprzewodowej (frazę hasła) lub klucz szyfrowania (klucz WEP).
Fraza hasła (64 bitów)

Należy wprowadzić pięć (5) znaków alfanumerycznych (0–9, a–z lub A–Z).
Klucz WEP (64-bitowy)

Należy wprowadzić 10 znaków w systemie szesnastkowym (0–9 i A–F).
Fraza hasła (128 bitów)

Należy wprowadzić 13 znaków alfanumerycznych (0–9, a–z lub A–Z).
Klucz WEP (128-bitowy)

Należy wprowadzić 26 znaków w systemie szesnastkowym (0–9 i A–F).
  1. Indeks klucza:Wybierz opcję: 1, 2, 3 lub 4. Zmień indeks klucza, aby skonfigurować maksymalnie cztery hasła.
  2. Kliknij przycisk OK.

Konfigurowanie klienta z uwierzytelnianiem sieci WPA-Korporacyjne i WPA2-Korporacyjne

Dla trybu WPA2-Korporacyjne wymagany jest serwer uwierzytelniania.

UWAGA: Tryby WPA-Korporacyjne i WPA2-Korporacyjne współdziałają ze sobą.

Aby dodać profil z uwierzytelnianiem sieci WPA-Korporacyjne lub WPA2-Korporacyjne:

  1. Uzyskaj od administratora nazwę użytkownika i hasło na serwerze RADIUS.
  2. Niektóre typy uwierzytelniania wymagają uzyskania i zainstalowania certyfikatu klienta. Więcej informacji można znaleźć w sekcji Konfigurowanie klienta z uwierzytelnianiem TLS lub uzyskać od administratora.
  3. Kliknij przycisk Profile w oknie głównym programu Intel PROSet/Wireless.
  4. Na stronie Profil kliknij przycisk Dodaj, aby otworzyć stronę ustawień ogólnych menedżera tworzenia profili sieci bezprzewodowej.
  5. Nazwa profilu: Wprowadź opisową nazwę profilu.
  6. Nazwa sieci bezprzewodowej (SSID): Wprowadź identyfikator sieci.
  7. Tryb działania:Kliknij opcję Sieć (Infrastruktura).
  8. Kliknij przycisk Dalej.
  9. Kliknij opcję Zabezpieczenia korporacyjne.
  10. Uwierzytelnianie sieci: Wybierz opcję WPA-Korporacyjne lub WPA2-Korporacyjne.
  11. Szyfrowanie danych: Wybierz jedną z opcji:
  12. Włącz 802.1X:Zaznaczone.
  13. Typ uwierzytelniania: Wybierz jedną z opcji: EAP-SIM, LEAP, TLS, TTLS, PEAP, EAP-FAST.

Konfigurowanie klienta z uwierzytelnianiem sieci EAP-SIM

W uwierzytelnianiu EAP-SIM dane są szyfrowane za pomocą dynamicznego klucza WEP sesji, pobieranego z karty klienta i serwera RADIUS. W przypadku uwierzytelniania EAP-SIM wymagane jest wprowadzenie kodu weryfikacyjnego użytkownika (kodu PIN), umożliwiającego komunikację z kartą SIM. Karta SIM to specjalna karta inteligentna używana w cyfrowych sieciach komórkowych GSM. Aby dodać profil z uwierzytelnianiem EAP-SIM:

  1. Na stronie Profil kliknij przycisk Dodaj, aby otworzyć stronę ustawień ogólnych menedżera tworzenia profili sieci bezprzewodowej.
  2. Nazwa profilu: Wprowadź nazwę profilu.
  3. Nazwa sieci bezprzewodowej (SSID): Wprowadź identyfikator sieci.
  4. Tryb działania:Kliknij opcję Sieć (Infrastruktura).
  5. Kliknij przycisk Dalej, aby otworzyć stronę Ustawienia zabezpieczeń.
  6. Kliknij opcję Zabezpieczenia korporacyjne.
  7. Uwierzytelnianie sieci: Wybierz opcję Otwarte (zalecane).
  8. Szyfrowanie danych: Wybierz opcję WEP.
  9. Kliknij pole wyboru Włącz 802.1X.
  10. Typ uwierzytelniania: Wybierz opcję EAP-SIM.

Użycie uwierzytelniania EAP-SIM:

Użytkownik EAP-SIM (opcjonalnie)

  1. Określ nazwę użytkownika (tożsamość): Kliknij, aby określić nazwę użytkownika.
  2. Kliknij przycisk OK.

Konfigurowanie klienta z uwierzytelnianiem sieci TLS

Te ustawienia określają protokół i poświadczenia używane do uwierzytelniania użytkownika. TLS jest metodą uwierzytelniania dwukierunkowego, w której do weryfikacji tożsamości klienta i serwera używane są wyłącznie certyfikaty cyfrowe.

Aby dodać profil z uwierzytelnianiem TLS:

  1. Kliknij przycisk Profile w oknie głównym programu Intel PROSet/Wireless.
  2. Na stronie Profil kliknij przycisk Dodaj, aby otworzyć stronę ustawień ogólnych menedżera tworzenia profili sieci bezprzewodowej.
  3. Nazwa profilu: Wprowadź opisową nazwę profilu.
  4. Nazwa sieci bezprzewodowej (SSID):Wprowadź identyfikator sieci.
  5. Tryb działania:Kliknij opcję Sieć (Infrastruktura).
  6. Kliknij przycisk Dalej, aby otworzyć stronę Ustawienia zabezpieczeń.
  7. Kliknij opcję Zabezpieczenia korporacyjne.
  8. Uwierzytelnianie sieci: Wybierz opcję WPA-Korporacyjne lub WPA2-Korporacyjne.
  9. Szyfrowanie danych: Wybierz opcję AES-CCMP (zalecane).
  10. Włącz 802.1X:Zaznaczone.
  11. Typ uwierzytelniania: Wybierz uwierzytelnianie TLS, które będzie używane dla tego połączenia.

Użytkownik TLS

Krok 1 z 2: Użytkownik TLS

  1. Uzyskaj i zainstaluj certyfikat klienta. W tym celu zapoznaj się z sekcją Konfigurowanie klienta z uwierzytelnianiem TLS lub skontaktuj się z administratorem systemu.
  2. Aby uzyskać certyfikat, wybierz jedną z opcji: Użyj karty inteligentnej, Użyj certyfikatu wystawionego dla tego komputera, lub Użyj certyfikatu użytkownika na tym komputerze.
  3. Kliknij przycisk Dalej, aby otworzyć stronę ustawień serwera TLS.

Serwer TLS

Krok 2 z 2: Serwer TLS

  1. Wybierz jedną z następujących metod pobierania poświadczeń: Sprawdź poprawność certyfikatu serwera lub Określ nazwę serwera lub certyfikatu.
  2. Kliknij przycisk OK. Profil zostanie dodany do listy profili.
  3. Kliknij nowy profil umieszczony na końcu listy profili. Za pomocą strzałki w górę lub w dół zmień priorytet nowego profilu.
  4. Kliknij przycisk Połącz, aby połączyć się z wybraną siecią bezprzewodową.
  5. Kliknij przycisk OK, aby zamknąć program Intel PROSet/Wireless.

Konfigurowanie klienta z uwierzytelnianiem sieci TTLS

Uwierzytelnianie TTLS: Te ustawienia określają protokół i poświadczenia używane do uwierzytelniania użytkownika. Klient korzysta z usługi EAP-TLS w celu sprawdzenia serwera i utworzenia między klientem i serwerem kanału zaszyfrowanego metodą TLS. Klient może korzystać z innego protokołu uwierzytelniania (zwykle jest to protokół z hasłem). Pakiety żądania i odpowiedzi wysyłane są przez ukryty kanał zaszyfrowany metodą TLS. W poniższym przykładzie opisano korzystanie z dostępu zabezpieczonego WPA z szyfrowaniem AES-CCMP przy użyciu uwierzytelniania TTLS.

Konfigurowanie klienta z uwierzytelnianiem sieci TTLS:

  1. Kliknij przycisk Profile w oknie głównym programu Intel PROSet/Wireless.
  2. Na stronie Profil kliknij przycisk Dodaj, aby otworzyć stronę ustawień ogólnych menedżera tworzenia profili sieci bezprzewodowej.
  3. Nazwa profilu: Wprowadź opisową nazwę profilu.
  4. Nazwa sieci bezprzewodowej (SSID): Wprowadź identyfikator sieci.
  5. Tryb działania:Kliknij opcję Sieć (Infrastruktura).
  6. Kliknij przycisk Dalej, aby otworzyć stronę Ustawienia zabezpieczeń.
  7. Kliknij opcję Zabezpieczenia korporacyjne.
  8. Uwierzytelnianie sieci: Wybierz opcję WPA-Korporacyjne lub WPA2-Korporacyjne.
  9. Szyfrowanie danych: Wybierz jedną z opcji:
  10. Włącz 802.1X:Zaznaczone.
  11. Typ uwierzytelniania: Wybierz uwierzytelnianie TTLS, które będzie używane dla tego połączenia.

Krok 1 z 2: Użytkownik TTLS

  1. Protokół uwierzytelniania: Ten parametr określa protokół uwierzytelniania używany w tunelu TTLS. Dostępne protokoły: PAP (domyślny), CHAP, MS-CHAP i MS-CHAP-V2. Informacje na ten temat można znaleźć w sekcji Przegląd zabezpieczeń.
  2. Poświadczenia użytkownika: W przypadku korzystania z protokołów PAP, CHAP, MS-CHAP i MS-CHAP-V2 należy wybrać jedną z następujących metod uwierzytelniania: Użyj logowania systemu Windows, Monituj przy każdym łączeniu lub Używane wartości.
  3. Tożsamość mobilna: W tym polu można wpisać tożsamość mobilną lub użyć domyślnego formatu tożsamości mobilnej: %domena%\%nazwa_użytkownika%.

W przypadku stosowania 802.1X Microsoft IAS RADIUS jako serwera uwierzytelniania, serwer uwierzytelnia urządzenie przy użyciu nazwy użytkownika Tożsamość mobilna z programu Intel PROSet/Wireless i ignoruje nazwę użytkownika protokołu uwierzytelniania MS-CHAP-V2. Microsoft IAS RADIUS akceptuje tylko prawidłowe nazwy użytkowników (użytkownik dotNet) dla tożsamości mobilnej. W przypadku innych serwerów uwierzytelniania tożsamość mobilna jest opcjonalna. Zalecane jest więc, aby zamiast prawdziwej tożsamości używany był żądany obszar (np. anonim@obszar) tożsamości mobilnej.

  1. Kliknij przycisk Dalej, aby przejść do ustawień serwera TTLS.

Krok 2 z 2: Serwer TTLS

  1. Wybierz jedną z następujących metod pobierania poświadczeń: Sprawdź poprawność certyfikatu serwera lub Określ nazwę serwera lub certyfikatu.
  2. Kliknij przycisk OK, aby zapisać ustawienia i zamknąć stronę.

Konfigurowanie klienta z uwierzytelnianiem sieci PEAP

Uwierzytelnianie PEAP: Ustawienia protokołu PEAP są wymagane do uwierzytelniania klienta przez serwer uwierzytelniania. Klient korzysta z usługi EAP-TLS w celu sprawdzenia serwera i utworzenia między klientem i serwerem kanału zaszyfrowanego metodą TLS. Aby możliwe było sprawdzanie serwera, klient może w odniesieniu do tego kanału korzystać z innych mechanizmów EAP (np. protokołu uwierzytelniania Microsoft Challenge Authentication Protocol w wersji 2). Pakiety żądania i odpowiedzi wysyłane są przez ukryty kanał zaszyfrowany metodą TLS. W poniższym przykładzie opisano korzystanie z dostępu zabezpieczonego WPA z szyfrowaniem AES-CCMP lub TKIP przy użyciu uwierzytelniania PEAP.

Konfigurowanie klienta z uwierzytelnianiem PEAP:

Uzyskaj i zainstaluj certyfikat klienta. Więcej informacji można znaleźć w sekcji Konfigurowanie klienta z uwierzytelnianiem TLS lub uzyskać od administratora.

  1. Kliknij przycisk Profile w oknie głównym programu Intel PROSet/Wireless.
  2. Na stronie Profil kliknij przycisk Dodaj, aby otworzyć stronę ustawień ogólnych menedżera tworzenia profili sieci bezprzewodowej.
  3. Nazwa profilu: Wprowadź opisową nazwę profilu.
  4. Nazwa sieci bezprzewodowej (SSID): Wprowadź identyfikator sieci.
  5. Tryb działania:Kliknij opcję Sieć (Infrastruktura).
  6. Kliknij przycisk Dalej, aby otworzyć stronę Ustawienia zabezpieczeń.
  7. Kliknij opcję Zabezpieczenia korporacyjne.
  8. Uwierzytelnianie sieci: Wybierz opcję WPA-Korporacyjne lub WPA2-Korporacyjne.
  9. Szyfrowanie danych: Wybierz jedną z opcji:
  10. Włącz 802.1X:Zaznaczone.
  11. Typ uwierzytelniania:Wybierz uwierzytelnianie PEAP, które będzie używane dla tego połączenia.

Krok 1 z 2: Użytkownik PEAP

Protokół PEAP opiera się na metodzie TLS (Transport Layer Security) i umożliwia obsługę nieszyfrowanego uwierzytelniania EAP-GTC i hasła jednorazowego.

  1. Protokół uwierzytelniania: Wybierz opcję GTC, MS-CHAP-V2 (domyślny) lub TLS. Więcej informacji na ten temat można znaleźć w sekcji Protokoły uwierzytelniania.
  2. Poświadczenia użytkownika: Wybierz jedną z opcji: Użyj logowania systemu Windows, Monituj przy każdym łączeniu lub Używane wartości.
  3. Tożsamość mobilna: W tym polu można wpisać tożsamość mobilną lub użyć domyślnego formatu tożsamości mobilnej: %domena%\%nazwa_użytkownika%.

W przypadku stosowania 802.1X Microsoft IAS RADIUS jako serwera uwierzytelniania, serwer uwierzytelnia urządzenie przy użyciu nazwy użytkownika Tożsamość mobilna z programu Intel PROSet/Wireless i ignoruje nazwę użytkownika protokołu uwierzytelniania MS-CHAP-V2. Microsoft IAS RADIUS akceptuje tylko prawidłowe nazwy użytkowników (użytkownik dotNet) dla tożsamości mobilnej. W przypadku innych serwerów uwierzytelniania tożsamość mobilna jest opcjonalna. Zalecane jest więc, aby zamiast prawdziwej tożsamości używany był żądany obszar (np. anonim@obszar) tożsamości mobilnej.

Konfigurowanie tożsamości mobilnej do obsługi wielu użytkowników

Jeśli używany jest profil przed logowaniem/wspólnego, dla którego wymagana jest tożsamość mobilna oparta na poświadczeniach logowania systemu Windows, twórca profilu może dodać tożsamość mobilną z wykorzystaniem parametrów %username% (nazwa użytkownika) i %domain% (domena). Składnia tożsamości mobilnej jest analizowana, a słowa kluczowe są zastępowane odpowiednimi danymi logowania. Dzięki temu konfigurowanej tożsamości mobilnej zostaje zapewniona maksymalna elastyczność, a jednocześnie profil może być udostępniany wielu użytkownikom.

Wskazówki dotyczące formatowania odpowiedniej tożsamości mobilnej można znaleźć w instrukcji obsługi serwera uwierzytelniania. Możliwe formaty:

%domena%\%nazwa_użytkownika%
%nazwa_użytkownika%@%domena%
%nazwa_użytkownika%@%domena%.com
%nazwa_użytkownika%@moja_siec.com

Jeśli pole Tożsamość mobilna jest puste, formatem domyślnym jest %domena%\%nazwa_użytkownika%.

Uwagi dotyczące poświadczeń: Nazwa użytkownika i domena musi być taka sama, jak nazwa użytkownika podana w serwerze uwierzytelniania przez administratora przed uwierzytelnieniem klienta. W nazwie użytkownika uwzględniana jest wielkość liter. Nazwa określa tożsamość podawaną stronie uwierzytelniającej przez protokół uwierzytelniania (przez tunel TLS). Tożsamość użytkownika zostaje bezpiecznie przesłana do serwera tylko wtedy, gdy szyfrowany kanał został sprawdzony i ustalony.

Protokoły uwierzytelniania: Ten parametr określa protokół uwierzytelniania używany w tunelu TTLS. Poniżej przedstawiono instrukcje konfigurowania profilu, w którym używane jest uwierzytelnianie PEAP

i protokoły uwierzytelniania: GTC, MS-CHAP-V2 (ustawienie domyślne) lub TLS.

GTC

Użytkownik PEAP

Aby skonfigurować hasło jednorazowe:

  1. Protokół uwierzytelniania: Wybierz opcję GTC.
  2. Poświadczenia użytkownika: Wybierz opcję Monituj przy każdym łączeniu.
  3. Przy połączeniu monituj o: Wybierz jedną z opcji:
Nazwa Opis
Hasło statyczne Przy łączeniu wprowadź poświadczenia użytkownika.
Hasło je&dnorazowe Uzyskaj hasło z urządzenia tokenu sprzętowego.
PIN (token programowy) Uzyskaj hasło z programu tokenu programowego.
  1. Kliknij przycisk OK.
  2. Wybierz profil z listy Sieci bezprzewodowe.
  3. Kliknij przycisk Połącz. Po wyświetleniu monitu podaj nazwę użytkownika, domenę i hasło jednorazowego.
  4. Kliknij przycisk OK. Wyświetlony zostanie monit o zweryfikowanie danych logowania.

UWAGA: Jeśli ustawienie Buforuj poświadczenia zostało w Narzędziu administratora wyłączone, opcja Monituj przy każdym łączeniu jest niedostępna. Więcej informacji na ten temat można znaleźć w sekcji Ustawienia administratora.

Hasło jednorazowe

MS-CHAP-V2

Ten parametr określa protokół uwierzytelniania używany w tunelu PEAP.

  1. Poświadczenia użytkownika:Wybierz jedną z opcji: Użyj logowania systemu Windows, Monituj przy każdym łączeniu lub Używane wartości.
  2. Kliknij przycisk Dalej, aby otworzyć stronę ustawień serwera PEAP.

TLS

TLS jest metodą uwierzytelniania dwukierunkowego, w której do weryfikacji tożsamości klienta i serwera używane są wyłącznie certyfikaty cyfrowe.

  1. Uzyskaj i zainstaluj certyfikat klienta. W tym celu zapoznaj się z sekcją Konfigurowanie klienta z uwierzytelnianiem TLS lub skontaktuj się z administratorem systemu.
  2. Aby uzyskać certyfikat, wybierz jedną z opcji: Użyj karty inteligentnej, Użyj certyfikatu wystawionego dla tego komputera lub Użyj certyfikatu użytkownika na tym komputerze.
  3. Kliknij przycisk Dalej, aby otworzyć stronę ustawień serwera PEAP.

Krok 2 z 2: Serwer PEAP

Serwer PEAP
  1. Wybierz jedną z następujących metod pobierania poświadczeń: Sprawdź poprawność certyfikatu serwera lub Określ nazwę serwera lub certyfikatu.
  2. Kliknij przycisk OK. Profil zostanie dodany do listy profili.
  3. Kliknij nowy profil umieszczony na końcu listy profili. Za pomocą strzałki w górę lub w dół zmień priorytet nowego profilu.
  4. Kliknij przycisk Połącz, aby połączyć się z wybraną siecią bezprzewodową.

Jeśli nie wybrano opcji Użyj logowania Windows (Punkt 17) na stronie Ustawienia zabezpieczeń i nie skonfigurowano poświadczeń użytkownika, wówczas dla profilu nie są zapisywane żadne poświadczenia. Aby uwierzytelnić komputer w sieci należy wprowadzić poświadczenia.

  1. Kliknij przycisk OK, aby zamknąć program Intel PROSet/Wireless.

Automatyczne rejestrowanie certyfikatu PEAP-TLS

Aby w przypadku odrzucenia certyfikatu PEAP-TLS wyświetlane było ostrzeżenie, na stronie Ustawienia aplikacji zaznacz opcję Ostrzeżenie o odrzuceniu certyfikatu Intel(R) PROSet/Wireless TLS. Jeśli data ważności pola certyfikatu jest nieprawidłowa, wyświetlane jest powiadomienie o konieczności wykonania jednej z następujących czynności: Wykryto potencjalny problem związany z uwierzytelnianiem profilu <nazwa_profilu>. Prawdopodobnie data ważności w skojarzonym certyfikacie jest nieprawidłowa. Wybierz jedną z następujących opcji:

Element sterujący Opis
Kontynuuj z bieżącymi parametrami. Kontynuuj z bieżącym certyfikatem.
Zaktualizuj certyfikat ręcznie. Otwarta zostanie strona Wybierz certyfikat, na której można wybrać inny certyfikat.
Zaktualizuj certyfikat automatycznie na podstawie certyfikatów w magazynie lokalnym. Ta opcja jest włączona tylko wtedy, gdy w magazynie lokalnym przechowywany jest co najmniej jeden certyfikat, którego pola Wystawiony dla i Wystawiony przez są zgodne z certyfikatem bieżącym i dla którego jeszcze nie upłynęła data ważności. Jeśli opcja zostanie wybrana, aplikacja wybierze pierwszy ważny certyfikat.
Wyloguj się, aby uzyskać certyfikat podczas procesu logowania (nie spowoduje to aktualizacji profilu i dotyczy tylko certyfikatów, dla których skonfigurowano automatyczną rejestrację). Wylogowywanie użytkownika, który następnie musi uzyskać odpowiedni certyfikat w trakcie następnego procesu logowania. Aby można było wybrać nowy certyfikat, profil musi zostać zaktualizowany.
Automatyczna rejestracja Wyświetlone zostanie powiadomienie: Zaczekaj, system podejmuje próbę automatycznego uzyskania certyfikatu. Kliknij przycisk Anuluj, aby zakończyć pobieranie certyfikatu.
Nie pokazuj więcej tego komunikatu. Użytkownik może pomijać ten krok w następnych sesjach. Wybór jest zapamiętywany na potrzeby przyszłych sesji.

Konfigurowanie klienta z uwierzytelnianiem sieci LEAP

Cisco LEAP (Light Extensible Authentication Protocol) jest typem uwierzytelniania 802.1X, obsługującym silne uwierzytelnianie wzajemne klienta i serwera RADIUS. Ustawienia profili LEAP uwzględniają szyfrowanie LEAP, CKIP i wykrywanie nielegalnego punktu dostępu. Konfigurowanie klienta z uwierzytelnianiem PEAP:

  1. Kliknij przycisk Profile w oknie głównym programu Intel PROSet/Wireless.
  2. Na stronie Profil kliknij opcję Dodaj. Otwarta zostanie strona ustawień ogólnych menedżera tworzenia profili sieci bezprzewodowej.
  3. Nazwa profilu: Wprowadź opisową nazwę profilu.
  4. Nazwa sieci bezprzewodowej (SSID): Wprowadź identyfikator sieci.
  5. Tryb działania:Kliknij opcję Sieć (Infrastruktura).
  6. Kliknij przycisk Dalej, aby otworzyć stronę Ustawienia zabezpieczeń.
  7. Kliknij opcję Zabezpieczenia korporacyjne.
  8. Uwierzytelnianie sieci: Wybierz opcję WPA-Korporacyjne lub WPA2-Korporacyjne.
  9. Szyfrowanie danych: Wybierz jedną z opcji:
  10. Włącz 802.1X:Zaznaczone.
  11. Typ uwierzytelniania:Wybierz uwierzytelnianie LEAP, które będzie używane dla tego połączenia.
  12. Kliknij przycisk Opcje Cisco.
  13. Kliknij opcję Włącz rozszerzenia Cisco, aby włączyć zabezpieczenia rozszerzeń Cisco (CCX) (Zezwalaj na szybką mobilność (CCKM), Włącz obsługę zarządzania łącznością radiową, Włącz tryb mieszanej sieci komórkowej).

Rozszerzenia Cisco

  1. Kliknij Włącz obsługę zarządzania łącznością radiową. Obsługa zarządzania łącznością radiową służy do wykrywania nielegalnych punktów dostępu.
  2. Kliknij przycisk OK, aby powrócić do strony Ustawienia zabezpieczeń.

Użytkownik LEAP

Użytkownik LEAP

  1. Wybierz jedną z następujących metod uwierzytelniania: Użyj nazwy użytkownika i hasła logowania Windows, Monituj o nazwę użytkownika i hasło lub Użyj następującej nazwy użytkownika i hasła.
  2. Kliknij przycisk OK, aby zapisać ustawienia i zamknąć stronę.

Opcje rozszerzeń Cisco

Opcje Cisco: Umożliwia włączanie i wyłączanie trybu zarządzania łącznością radiową i mieszanej sieci komórkowej oraz zezwalania na szybką mobilność (CCKM).

UWAGA: Rozszerzenia Cisco są automatycznie włączane dla profili CKIP, LEAP i EAP-FAST. Aby zmienić to zachowanie, należy zaznaczyć lub usunąć zaznaczenie opcji na tej stronie.

Włącz opcje Cisco:Wybierz, aby włączyć rozszerzenia CCX dla tego profilu połączenia bezprzewodowego.

Konfigurowanie klienta z uwierzytelnianiem sieci EAP-FAST

Rozszerzenia Cisco, wersja 3 (CCXv3) udostępniły funkcję podawania poświadczeń EAP-FAST (Extensible Authentication Protocol-Flexible Authentication via Secure Tunneling), która wykorzystuje poświadczenia dostępu zabezpieczonego do ustanawiania uwierzytelnionego tunelu łączącego klienta i serwer.

Rozszerzenia Cisco w wersji 4 (CCXv4) udoskonalają metody podawania poświadczeń i oferują inne innowacyjne rozwiązania, zapewniając wyższy poziom bezpieczeństwa, mobilności, obsługi i zarządzania siecią.

Rozszerzenia Cisco, wersja 3 (CCXv3)

Konfigurowanie klienta z uwierzytelnianiem EAP-FAST za pomocą rozszerzeń Cisco, wersja 3 (CCXv3):

  1. Kliknij przycisk Profile w oknie głównym programu Intel PROSet/Wireless.
  2. Na stronie Profil kliknij przycisk Dodaj, aby otworzyć stronę ustawień ogólnych menedżera tworzenia profili sieci bezprzewodowej.
  3. Nazwa sieci bezprzewodowej (SSID): Wprowadź identyfikator sieci.
  4. Nazwa profilu: Wprowadź opisową nazwę profilu.
  5. Tryb działania:Kliknij opcję Sieć (Infrastruktura).
  6. Kliknij przycisk Dalej, aby otworzyć stronę Ustawienia zabezpieczeń.
  7. Kliknij opcję Zabezpieczenia korporacyjne.
  8. Uwierzytelnianie sieci: Wybierz opcję WPA-Korporacyjne lub WPA2-Korporacyjne.
  9. Szyfrowanie danych: Wybierz jedną z opcji:
  10. Włącz 802.1X:Zaznaczone.
  11. Typ uwierzytelniania: Wybierz uwierzytelnianie EAP-FAST, które będzie używane dla tego połączenia.

Podawanie poświadczeń EAP-FAST

UWAGA: Jeśli ustawienia aplikacji rozszerzeń CCXv4 nie zostały zainstalowane za pomocą pakietu administratora, skonfigurować można tylko ustawienia użytkownika EAP-FAST. Więcej informacji na ten temat można znaleźć w sekcji Ustawienia użytkownika EAP-FAST.

Krok 1 z 2: Podawanie poświadczeń EAP-FAST

  1. Kliknij przycisk Wyłącz ulepszenia trybu EAP-FAST (CCXv4), aby umożliwić podawanie w nieuwierzytelnionym przez serwer tunel TLS (tryb podawania Unauthenticated-TLS-Server).
  2. Aby przejrzeć wszystkie nieuwierzytelnione poświadczenia dostępu zabezpieczonego, które były podawane i znajdują się na danym komputerze, kliknij przycisk Wybierz serwer.

UWAGA: Jeśli podane poświadczenia dostępu zabezpieczonego są prawidłowe, oprogramowanie Intel(R) PROSet/Wireless nie monituje użytkownika o zaakceptowanie poświadczeń dostępu zabezpieczonego. Jeśli poświadczenia dostępu zabezpieczonego są nieprawidłowe, podawanie poświadczeń przez oprogramowanie Intel PROSet/Wireless automatycznie kończy się niepowodzeniem. W przeglądarce zdarzeń sieci bezprzewodowej wyświetlany jest komunikat o stanie, który administrator może przeglądać na komputerze użytkownika.

Aby zaimportować poświadczenia dostępu zabezpieczonego:

Poświadczenia dostępu zabezpieczonego

  1. Kliknij przycisk Dalej, aby wybrać metodę pobierania poświadczeń, lub kliknij przycisk OK, aby zapisać ustawienia EAP-FAST i powrócić do listy profili. Poświadczenia dostępu zabezpieczanego będą używane dla tego profilu połączenia bezprzewodowego.

Krok 2 z 2: EAP-FAST - informacje dodatkowe

Podczas uwierzytelniania klienta w ustanowionym tunelu klient wysyła nazwę użytkownika i hasło do uwierzytelnienia oraz ustanawia zasady uwierzytelniania.

  1. Kliknij przycisk Poświadczenia użytkownika, aby wybrać jedną z następujących metod pobierania poświadczeń: Użyj logowania systemu Windows, Monituj przy każdym łączeniu lub Używane wartości.
  2. Kliknij przycisk OK, aby zapisać ustawienia i zamknąć stronę. Weryfikacja serwera nie jest wymagana.

Rozszerzenia Cisco, wersja 4 (CCXv4)

Konfigurowanie klienta z uwierzytelnianiem EAP-FAST za pomocą rozszerzeń Cisco, wersja 4 (CCXv4):

  1. Kliknij przycisk Profile w oknie głównym programu Intel PROSet/Wireless.
  2. Na stronie Profil kliknij przycisk Dodaj, aby otworzyć kartę Ustawienia ogólne Kreatora profili.
  3. Nazwa sieci bezprzewodowej (SSID): Wprowadź identyfikator sieci.
  4. Nazwa profilu: Wprowadź opisową nazwę profilu.
  5. Tryb działania:Kliknij opcję Sieć (Infrastruktura).
  6. Kliknij przycisk Dalej, aby otworzyć stronę Ustawienia zabezpieczeń.
  7. Kliknij opcję Zabezpieczenia korporacyjne.
  8. Uwierzytelnianie sieci: Wybierz opcję WPA-Korporacyjne lub WPA2-Korporacyjne.
  9. Szyfrowanie danych: Wybierz jedną z opcji:
  10. Szyfrowanie danych. Wybierz opcję AES-CCMP.
  11. Włącz 802.1X:Zaznaczone.
  12. Typ uwierzytelniania: Wybierz uwierzytelnianie EAP-FAST, które będzie używane dla tego połączenia.

Krok 1 z 3: Podawanie poświadczeń EAP-FAST

W przypadku rozszerzeń CCXv4 podawanie poświadczeń EAP-FAST przebiega w jednym z dwóch trybów:

UWAGA: Tryb podawania uwierzytelnionego przez serwer zapewnia wyższy poziom zabezpieczeń niż tryb podawania nieuwierzytelnionego. także w przypadku, gdy metodą wewnętrzną jest EAP-MSCHAPv2. Tryb ten chroni informacje wymieniane metodą EAP-MSCHAPv2 przed atakami typu "Man in the Middle", weryfikując autentyczność serwera przed rozpoczęciem wymiany przy użyciu metody MSCHAPv2. Dlatego, o ile to możliwe, zawsze należy używać trybu podawania uwierzytelnionego. Aby zapewnić uwierzytelnienie serwera i optymalny poziom zabezpieczeń, jeśli dostępny jest certyfikat lub klucz publiczny, każdy równorzędny komputer musi w przypadku podawania EAP-FAST używać trybu podawania uwierzytelnionego.

Podawanie poświadczeń dostępu zabezpieczonego:

W przypadku protokołu EAP-FAST używany jest klucz PAC, umożliwiający ochronę wymienianych poświadczeń użytkownika. Wszystkie strony uwierzytelniające EAP-FAST są określane identyfikatorem urzędu (A-ID). Lokalna strona uwierzytelniająca wysyła identyfikator AID do klienta uwierzytelniającego, a klient szuka zgodnego identyfikatora AID w bazie danych. Jeśli klient nie rozpoznaje identyfikatora AID, żąda nowych poświadczeń dostępu zabezpieczonego.

UWAGA: Jeśli podane poświadczenia dostępu zabezpieczonego są prawidłowe, oprogramowanie Intel(R) PROSet/Wireless nie monituje użytkownika o zaakceptowanie poświadczeń dostępu zabezpieczonego. Jeśli poświadczenia dostępu zabezpieczonego są nieprawidłowe, podawanie poświadczeń przez oprogramowanie Intel PROSet/Wireless automatycznie kończy się niepowodzeniem. W przeglądarce zdarzeń sieci bezprzewodowej wyświetlany jest komunikat o stanie, który administrator może przeglądać na komputerze użytkownika.

  1. Sprawdź, czy opcja Wyłącz ulepszenia trybu EAP-FAST (CCXv4) nie jest zaznaczona. Opcje Zezwalaj na podawanie nieuwierzytelnione i Zezwalaj na podawanie uwierzytelnione są domyślnie zaznaczone. Po wybraniu poświadczeń dostępu zabezpieczonego z domyślnego serwera można cofnąć wybór dowolnych z tych metod podawania.
  2. Serwer domyślny: Opcją zaznaczoną domyślnie jest Brak. Kliknij przycisk Wybierz serwer, aby wybrać poświadczenia dostępu zabezpieczonego z domyślnego serwera urzędu poświadczeń dostępu zabezpieczonego lub wybrać serwer z listy Grupa serwerów. Otwarta zostanie strona wyboru serwera domyślnego EAP-FAST (urzędu poświadczeń dostępu zabezpieczonego).

UWAGA: Lista zawiera grupy serwerów tylko w przypadku, gdy zainstalowano pakiet administratora, który zawiera ustawienia grupy identyfikatorów urzędów EAP-FAST.

Przekazywanie poświadczeń dostępu zabezpieczonego może być również wykonywane ręcznie. Podawanie ręczne umożliwia tworzenie poświadczeń dostępu zabezpieczonego dla użytkownika na serwerze ACS, a następnie importowanie ich do komputera użytkownika. Plik poświadczeń dostępu zabezpieczonego może być chroniony hasłem, które użytkownik musi wprowadzić podczas importowania poświadczeń.

Aby zaimportować poświadczenia dostępu zabezpieczonego:

  1. Kliknij opcję Importuj, aby zaimportować poświadczenia dostępu zabezpieczonego z serwera.
  2. Kliknij opcję Otwórz.
  3. Podaj hasło poświadczeń dostępu zabezpieczonego. (Opcjonalnie).
  4. Kliknij przycisk OK, aby zamknąć stronę. Wybrane poświadczenia dostępu zabezpieczanego będą używane dla tego profilu połączenia bezprzewodowego.

Rozszerzenia EAP-FAST CCXv4 obsługują podawanie poświadczeń innych niż poświadczenia dostępu zabezpieczonego podane dla ustanowienia tunelu. Obsługiwane są między innymi certyfikaty zaufanego urzędu certyfikacji, poświadczenia komputera na potrzeby uwierzytelniania komputera oraz tymczasowe poświadczenia użytkownika używane do omijania uwierzytelniania użytkownika.

Użyj certyfikatu (uwierzytelnianie TLS)

  1. Kliknij opcję Użyj certyfikatu (uwierzytelnianie TLS)
  2. Kliknij opcję Ochrona tożsamości po zabezpieczeniu tunelu.
  3. Wybierz jedną z opcji:
  4. Nazwa użytkownika: Wprowadź nazwę użytkownika przypisaną do certyfikatu użytkownika.
  5. Kliknij przycisk Dalej.

Krok 2 z 3: EAP-FAST - informacje dodatkowe

W przypadku wybrania opcji Użyj certyfikatu (uwierzytelnianie TLS) i Użyj certyfikatu użytkownika na tym komputerze, kliknij przycisk Dalej (tożsamość mobilna nie jest wymagana) i przejdź do Kroku 3, aby skonfigurować ustawienia certyfikatu serwera EAP-FAST. Jeśli konfigurowanie ustawień certyfikatu serwera EAP-FAST nie jest wymagane, kliknij przycisk OK, aby zapisać ustawienia i powrócić do listy profili.

W przypadku wybrania opcji użycia karty inteligentnej, dodaj tożsamość mobilną, jeśli jest wymagana. Kliknij przycisk OK, aby zapisać ustawienia i powrócić do strony Profile.

Jeśli opcja Użyj certyfikatu (uwierzytelnianie TLS) nie została wybrana, kliknij przycisk Dalej, aby wybrać protokół uwierzytelniania. Rozszerzenia CCXv4 pozwalają ustanawiać tunele przy użyciu dodatkowych poświadczeń lub uzgodnień szyfrów TLS.

Protokół uwierzytelniania: Wybierz opcję GTC lub MS-CHAP-V2 (domyślna). 

GTC

Karta GTC może być używana w trybie podawania uwierzytelnionego przez serwer. Dzięki temu komputery równorzędne używające baz danych innych użytkowników mogą korzystać z podawania z użyciem protokołu LDAP i technologii hasła jednorazowego w obrębie pasma. Zastępowanie jest jednak możliwe tylko w sytuacji, gdy stosowane są uzgodnienia szyfrów TLS zapewniające uwierzytelnianie serwera.

Aby skonfigurować hasło jednorazowe:

  1. Protokół uwierzytelniania: Wybierz opcję GTC.
  2. Poświadczenia użytkownika: Wybierz opcję Monituj przy każdym łączeniu.
  3. Przy połączeniu monituj o: Wybierz jedną z opcji:
Nazwa Opis
Hasło statyczne Przy łączeniu wprowadź poświadczenia użytkownika.
Hasło je&dnorazowe Uzyskaj hasło z urządzenia tokenu sprzętowego.
PIN (token programowy) Uzyskaj hasło z programu tokenu programowego.
  1. Kliknij przycisk OK.
  2. Wybierz profil z listy Sieci bezprzewodowe.
  3. Kliknij przycisk Połącz. Po wyświetleniu monitu podaj nazwę użytkownika, domenę i hasło jednorazowego.
  4. Kliknij przycisk OK.

MS-CHAP-V2

Ten parametr określa protokół uwierzytelniania używany w tunelu PEAP.

  1. Wybierz poświadczenia użytkownika: Użyj logowania systemu Windows, Monituj przy każdym łączeniu lub Używane wartości.
  2. Tożsamość mobilna: W tym polu można wpisać tożsamość mobilną lub użyć domyślnego formatu tożsamości mobilnej: %domena%\%nazwa_użytkownika%.

W przypadku stosowania 802.1X Microsoft IAS RADIUS jako serwera uwierzytelniania, serwer uwierzytelnia urządzenie przy użyciu nazwy użytkownika Tożsamość mobilna z programu Intel PROSet/Wireless i ignoruje nazwę użytkownika protokołu uwierzytelniania MS-CHAP-V2. Microsoft IAS RADIUS akceptuje tylko prawidłowe nazwy użytkowników (użytkownik dotNet) dla tożsamości mobilnej. W przypadku innych serwerów uwierzytelniania tożsamość mobilna jest opcjonalna. Zalecane jest więc, aby zamiast prawdziwej tożsamości używany był żądany obszar (np. anonim@obszar) tożsamości mobilnej.

Krok 3 z 3: Serwer EAP-FAST

Tryb podawania w uwierzytelnionym przez serwer tunelu TLS wykorzystuje certyfikat zaufanego urzędu certyfikacji, certyfikat serwera podpisany przez serwer lub klucze publiczne serwera i kartę GTC jako wewnętrzną metodę EAP.

  1. Wybierz jedną z następujących metod pobierania poświadczeń: Sprawdź poprawność certyfikatu serwera lub Określ nazwę serwera lub certyfikatu.
  2. Kliknij przycisk OK, aby zamknąć stronę Ustawienia zabezpieczeń.

Ustawienia użytkownika EAP-FAST

UWAGA: Jeśli na komputerze użytkownika zainstalowano pakiet administratora, który nie zastosował rozszerzeń CCXv4, skonfigurować można tylko ustawienia użytkownika EAP-FAST.

Konfigurowanie klienta z uwierzytelnianiem EAP-FAST:

  1. Kliknij przycisk Profile w oknie głównym programu Intel PROSet/Wireless.
  2. Na stronie Profil kliknij przycisk Dodaj, aby otworzyć stronę ustawień ogólnych menedżera tworzenia profili sieci bezprzewodowej.
  3. Nazwa sieci bezprzewodowej (SSID): Wprowadź identyfikator sieci.
  4. Nazwa profilu: Wprowadź opisową nazwę profilu.
  5. Tryb działania:Kliknij opcję Sieć (Infrastruktura).
  6. Kliknij przycisk Dalej, aby otworzyć stronę Ustawienia zabezpieczeń.
  7. Kliknij opcję Zabezpieczenia korporacyjne.
  8. Uwierzytelnianie sieci: Wybierz opcję WPA-Korporacyjne lub WPA2-Korporacyjne.
  9. Szyfrowanie danych: Wybierz jedną z opcji:
  10. Włącz 802.1X:Zaznaczone.
  11. Typ uwierzytelniania: Wybierz uwierzytelnianie EAP-FAST, które będzie używane dla tego połączenia.
  12. Kliknij opcję Opcje Cisco i Zezwalaj na szybką mobilność, aby włączyć szybką bezpieczną mobilność dla karty sieci bezprzewodowej klienta.

Użytkownik EAP-FAST

Wybierz metodę pobierania poświadczenia:

  1. Wybierz poświadczenia użytkownika: Użyj logowania systemu Windows, Monituj przy każdym łączeniu lub Używane wartości.
  2. Zezwalaj na automatyczne podawanie poświadczeń dostępu zabezpieczonego:

W przypadku protokołu EAP-FAST używany jest klucz PAC, umożliwiający ochronę wymienianych poświadczeń użytkownika. Wszystkie strony uwierzytelniające EAP-FAST są określane identyfikatorem urzędu (A-ID). Lokalna strona uwierzytelniająca wysyła identyfikator AID do klienta uwierzytelniającego, a klient szuka zgodnego identyfikatora AID w bazie danych. Jeśli klient nie rozpoznaje identyfikatora AID, żąda nowych poświadczeń dostępu zabezpieczonego.

Aby przejrzeć wszystkie poświadczenia dostępu zabezpieczonego, które były podawane i znajdują się na danym komputerze, należy kliknąć przycisk Poświadczenia dostępu zabezpieczonego. Poświadczenia dostępu zabezpieczonego musiały już zostać uzyskane w celu usunięcia zaznaczenia opcji Zezwalaj na podawanie automatycznie na stronie Ustawienia zabezpieczeń.

UWAGA: Jeśli podane poświadczenia dostępu zabezpieczonego są prawidłowe, oprogramowanie Intel(R) PROSet/Wireless nie monituje użytkownika o zaakceptowanie poświadczeń dostępu zabezpieczonego. Jeśli poświadczenia dostępu zabezpieczonego są nieprawidłowe, podawanie poświadczeń przez oprogramowanie Intel PROSet/Wireless automatycznie kończy się niepowodzeniem. W przeglądarce zdarzeń sieci bezprzewodowej wyświetlany jest komunikat o stanie, który administrator może przeglądać na komputerze użytkownika.

Przekazywanie poświadczeń dostępu zabezpieczonego może być również wykonywane ręcznie. Podawanie ręczne umożliwia tworzenie poświadczeń dostępu zabezpieczonego dla użytkownika na serwerze ACS, a następnie importowanie ich do komputera użytkownika. Plik poświadczeń dostępu zabezpieczonego może być chroniony hasłem, które użytkownik musi wprowadzić podczas importowania poświadczeń.

Aby zaimportować poświadczenia dostępu zabezpieczonego:

  1. Kliknij przycisk Poświadczenia dostępu zabezpieczonego, aby otworzyć listę Poświadczenia dostępu zabezpieczonego.
  2. Kliknij przycisk Importuj, aby zaimportować poświadczenia dostępu zabezpieczonego, znajdujące się na danym komputerze lub serwerze.
  3. Wybierz poświadczenia i kliknij przycisk Otwórz.
  4. Podaj hasło poświadczeń dostępu zabezpieczonego (opcjonalnie).
  5. Kliknij przycisk OK, aby zamknąć stronę. Wybrane poświadczenia zostaną dodane do listy poświadczeń dostępu zabezpieczonego.
  6. Kliknij przycisk OK, aby zapisać ustawienia EAP-FAST i powrócić do listy profili. Poświadczenia dostępu zabezpieczanego będą używane dla tego profilu połączenia bezprzewodowego.

Powrót do początku

Powrót do Spisu treści

Znaki towarowe i zastrzeżenia