發佈日期: 2007 年 3 月 19 日
本頁內容
安全性建議
IEEE 802.11 無線區域網路一向被認為不太安全。然而,這只是針對原始 802.11 標準,最新研發的無線標準 (例如 IEEE 802.1X、Wi-Fi Protected Access? (WPA?) 和 Wi-Fi Protected Access 2? (WPA2?)) 皆在最嚴酷安全環境中對無線傳輸提供強大的防護。如果您部署具有增強式驗證方法的最新一組無線標準,則對未經授權的無線用戶端和被動攻擊者而言會產生密碼編譯障礙。
業界有很多 802.11 無線網路各種無線安全性技術和選購項目的相關資訊。本節會說明 Microsoft Windows 型 802.11 無線網路的安全性建議。
Microsoft 建議您不要使用下列各項:
| • |
服務組識別元 (SSID) 抑制
SSID (也稱為無線網路名稱) 預設是包含在無線存取點 (AP) 所傳送的「指標」框架中。將無線 AP 設定成抑制在「指標」框架中廣告 SSID 資訊項目,可防止無線用戶端無意間找到您的無線網路。然而,SSID 抑制無法防止最不純熟的駭客,擷取您無線 AP 所傳送之其他類型的無線管理框架並判斷出您的 SSID。
如果想要使用 SSID 抑制,則應該瞭解 Windows XP 無線自動設定會連線至廣告其 SSID 的第一個偏好無線網路,即使它在偏好網路清單中的位置低於目前存在但未廣告其 SSID 的無線網路也是一樣。如果無線環境的部分無線網路廣告其 SSID,而部分無線網路未廣告其 SSID,則當您將使用無線自動設定的 Windows 型無線用戶端引進這類無線環境時,此行為可能會讓結果混淆。
如需相關資訊,請參閱Microsoft Windows 的非廣播無線網路 (英文)。 |
| • |
媒體存取控制 (MAC) 定址篩選
MAC 位址篩選可讓您針對允許的無線用戶端,設定具有這組 MAC 位址的無線 AP。MAC 位址篩選為了保留最新的允許 MAC 位址清單,會增加額外的管理負荷,而且也無法防止駭客詐騙允許的 MAC 位址。 |
| • |
靜態 WEP 或共用金鑰驗證
靜態有線等位私密 (WEP) (其中,WEP 金鑰是進行手動設定,而且不會根據用戶端或驗證進行變更) 具有十分明確的安全性弱點,因此非常不鼓勵您使用。使用共用金鑰驗證會更容易判斷出靜態 WEP 加密金鑰,因此非常不鼓勵您使用。 |
| • |
VPN 連線
部分業界人士建議若要克服 WEP 的弱點,您應該使用虛擬私人網路 (VPN) 連線,來保護透過私人無線網路傳送無線框架的安全。而正確使用現代的 802.11 安全性標準 (例如 WPA 或 WPA2),就不需要使用 VPN 連線來保護無線框架的安全。使用 VPN 連線來保護無線網路的安全會增加複雜性,而且會造成無線漫遊使用者的問題。 |
建議的安全性設定
Microsoft 建議您使用下列其中一種安全性技術組合 (排列順序是從最安全到最不安全):
|
1. |
具有可延伸驗證通訊協定-傳輸層安全性 (EAP-TLS) 驗證以及使用者和電腦憑證的 WPA2
EAP-TLS 是 Windows 型無線用戶端支援的最強 802.1X 驗證方法。EAP-TLS 使用數位憑證來提供交互驗證,而在交互驗證中,無線用戶端會向驗證伺服器驗證自己,反之亦然。EAP-TLS 驗證需要公開金鑰基礎結構 (PKI) 來發出憑證,並保持憑證一直為最新版本。如需最高的安全性,請設定 PKI 來發出使用者和電腦憑證,以進行無線存取。 |
|
2. |
具有受保護 EAP-Microsoft Challenge Handshake 驗證通訊協定第 2 版 (PEAP-MS-CHAP v2) 驗證且需要強式使用者密碼的 WPA2
如果無法或不適合進行 PKI 部署,則可以使用 PEAP-MS-CHAP v2。PEAP 是使用 TLS 建立加密通道的單向驗證配置,而無線用戶端可以透過加密通道使用 MS-CHAP v2 來傳送使用者或電腦認證。MS-CHAP v2 一開始是針對撥號和 VPN 遠端存取連線所開發的驗證通訊協定,而且與 EAP-TLS 一樣都可執行相互驗證。只有在網路上要求一起使用強式使用者密碼時,PEAP-MS-CHAP v2 才可以用來提供無線用戶端的強式密碼型驗證。 |
|
3. |
具有 EAP-TLS 驗證以及使用者和電腦憑證的 WPA
如果您的無線設備尚未支援 WPA2,則請使用具有 EAP-TLS 的 WPA。 |
|
4. |
具有 PEAP-MS-CHAP v2 驗證且需要強式使用者密碼的 WPA |
如果您的無線設備尚未支援 WPA2,而且無法或不適合進行 PKI 部署,則可以使用具有 PEAP-MS-CHAP v2 的 WPA。
除非您是要在轉換至 WPA2 或 WPA 型安全性設定時暫時使用,否則並不鼓勵使用下列安全性技術組合 (排列順序是從最安全到最不安全):
|
1. |
具有 802.1X 驗證的 WEP、具有使用者和電腦憑證的 EAP-TLS,以及定期重新驗證
如果您的無線設備不支援 WPA2 或 WPA,則可以使用動態 WEP (具有 802.1X 驗證的 WEP) 與具有使用者及電腦憑證之 EAP-TLS 的組合。若要變更每個用戶端的 WEP 加密金鑰以進行無線用戶端工作階段,請設定無線 AP 或遠端驗證撥入使用者服務 (RADIUS) 型驗證伺服器,強制無線用戶端定期進行重新驗證。 |
|
2. |
具有 802.1X 驗證、PEAP-MS-CHAP v2、定期重新驗證且需要強式使用者密碼的 WEP
如果您的無線設備不支援 WPA2 或 WPA,而且未部署 PKI,則可以使用動態 WEP 與 PEAP-MS-CHAP v2 的組合。然而,您也必須要有強式使用者密碼,強制無線用戶端定期進行重新驗證。 |
防止非法無線 AP
部署安全無線基礎結構,只能防範他人未經授權透過受管理的無線 AP 對無線網路進行存取。安全無線基礎結構無法防止員工,將含有不安全設定的未經管理或非法無線 AP 插入至您的內部網路。插入至內部網路之後,所有可以連線至非法無線 AP 的無線用戶端就可以連線至您的內部網路。
若要解決此問題,您應該將非法無線 AP 插入至內部網路的安全性風險和後果告知員工。為了偵測非法無線 AP,部分類型的網路交換器可讓您掃描已知無線 AP 廠商之六個位元組 MAC 位址的製造商識別碼部分。交換器在偵測到非法無線 AP 時,會關閉交換器連接埠並送出通知。您也可以安裝無線區域網路掃描設備來接聽非法無線 AP。
無線網路基礎結構建議和最佳作法
下列各節提供建議和最佳作法給以下無線網路基礎結構元素:
| • |
無線用戶端 |
| • |
無線 AP |
| • |
網際網路驗證服務 (IAS) 伺服器 |
| • |
Active Directory |
| • |
PKI |
無線用戶端
針對 Windows 型無線用戶端,使用下列作業系統:
| • |
Windows Vista?包含 Microsoft Windows 的最新無線用戶端軟體 (包括 WPA2、WPA 和強化的群組原則) 以及命令列設定支援。 |
| • |
Windows XP (含 Service Pack 2 (SP2)) 包含 WPA 的所有最新無線修復和內建支援。Windows XP SP2 (含 Windows XP Service Pack 2 的無線用戶端更新 ) 中具有 WPA2 支援。
如果您必須使用 Windows XP (含 Service Pack 1),請安裝 Windows XP 適用的無線更新彙總套件,取得 WPA 支援。不建議使用未安裝任何 Service Pack 的 Windows XP。 |
| • |
Windows Server® 2003 (含 Service Pack 2) 包含 WPA、WPA2 和非廣播無線網路的內建支援。 |
WPA2 部署:
| • |
如果您的無線 AP 和交換器基礎結構支援機會性成對主鑰 (PMK) 快取,則不需要變更執行 Windows Vista 或 Windows XP (含 SP2) 的電腦。 |
| • |
如果無線 AP 支援預先驗證,則必須將執行 Windows XP (含 SP2) 之無線用戶端的 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\EAPOL\Parameters\General\Global\PreAuthMode 登錄值變更為 1。如果是 WPA2 預先驗證,則 Microsoft 建議您將 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\EAPOL\Parameters\General\Global\PreAuthThrottle 登錄值保留為其預設值。 |
如需機會性 PMK 快取和預先驗證的相關資訊,請參閱 Wi-Fi 保護的存取 2 (WPA2) 概觀 (英文)。如需修改預先驗證行為之登錄值的相關資訊,請參閱Windows XP (含 Service Pack 2) 的 Wi-Fi 保護的存取 2 (WPA2)/無線提供服務資訊元素 (WPS IE) 更新 (機器翻譯)。
選擇 Windows 型無線用戶端的無線網路介面卡時,請使用下列最佳作法:
| • |
選擇之無線網路介面卡的驅動程式是針對 Windows Vista 或 Windows XP 所設計,並視需要支援 WPA2 和 (或) WPA。 |
| • |
如果您在轉換至 WPA 或 WPA2 期間使用動態 WEP,則選擇的無線網路介面卡需要支援 Windows Vista 或 Windows XP、具有 128 位元金鑰的 WEP 加密,以及 IEEE 802.1X 驗證。 |
| • |
若要簡化部署,請使用驅動程式已併入 Windows Vista 或 Windows XP,或可透過 Windows Update 取得之隨插即用的無線網路介面卡。 |
| • |
避免安裝無線網路介面卡所提供的無線設定工具,並使用 Windows 無線自動設定。 |
無線 AP
如果是 WPA2 型無線網路,選擇的無線 AP 要支援與無線網路介面卡一起使用的 WPA2,且其驅動程式也要支援 WPA2。若要減少無線用戶端在不同無線 AP 之間漫遊時的驗證延遲,請選擇支援機會性 PMK 快取和預先驗證的切換式無線 AP 設定,或支援預先驗證的無線 AP。
如果是 WPA 型無線網路,選擇的無線 AP 要支援與無線網路介面卡一起使用的 WPA,且其驅動程式也要支援 WPA。如果您在轉換至 WPA 或 WPA2 期間使用動態 WEP,則選擇的無線 AP 需要支援具有 128 位元金鑰和 802.1X 驗證的 WEP 加密。
安裝無線 AP 時,請立即變更 SSID 的預設設定、用來設定裝置的系統管理員密碼,以及簡易網路管理通訊協定 (SNMP) 社群名稱 (如果有支援且有需要)。可能時,請使用支援 SNMPv2 的無線 AP。
如果 RADIUS 伺服器也支援具有加密的網際網路通訊協定安全性 (IPsec) 和封裝安全承載 (ESP),請選擇這種無線 AP,以提供無線 AP 與 RADIUS 伺服器間傳送之 RADIUS 流量的資料機密性。請使用三重資料加密標準 (3DES) 加密,以及網際網路金鑰交換 (IKE) 主要模式驗證的憑證 (如果可能)。IAS 伺服器支援 IPsec。
如果您在 Plenum 區域 (屋瓦與天花板之間的空間) 中安裝無線 AP,則必須取得 Plenum 等級的無線 AP 才能符合消防安全法規。
針對效能設計無線 AP 配置時,請使用下列最佳作法:
| • |
不要讓無線 AP 負載太多的已連線無線用戶端。雖然大部分的無線 AP 都可以支援數百個無線連線,但是實際限制是 20-25 個連線的用戶端。每個無線 AP 平均有 2-4 位使用者是較適當的平均值,這樣可以在有效利用無線區域網路的同時還能將效能提升到最高。 |
| • |
如果是密度較高的情況,則請降低無線 AP 的信號強度以減少涵蓋區域,進而在特定空間內放入更多的無線 AP,並將更大的無線頻寬散佈至更多的無線用戶端。 |
IAS 伺服器
部署 RADIUS 基礎結構的 IAS 伺服器時,請使用下列最佳作法:
| • |
至少安裝兩部 IAS RADIUS 伺服器
您至少必須安裝兩部 IAS RADIUS 伺服器:主要和次要伺服器。您可以先設定主要 IAS RADIUS 伺服器,然後將它的設定複製至次要 IAS RADIUS 伺服器。若要平衡驗證負載,請設定無線 AP,讓它們的其中一半使用主要 IAS RADIUS 伺服器做為偏好 RADIUS 伺服器,而另一半則使用次要 IAS RADIUS 伺服器做為偏好 RADIUS 伺服器。 |
| • |
若要達到最佳效能,請在網域控制站上安裝 IAS
為了提供無線連線嘗試的驗證和授權,IAS RADIUS 伺服器必須連絡網域控制站以確認驗證認證,並取得使用者和電腦帳戶的內容。在網域控制站上安裝 IAS,可以排除與遠端網域控制站交換網路流量有關的延遲。 |
| • |
使用強式 RADIUS 共用密碼
為了協助保護 RADIUS 流量,請選擇 RADIUS 共用密碼,此密碼是一串長度至少為 22 個鍵盤字元的隨機大小寫字母、數字和標點符號。請盡可能使用隨機字元產生程式來決定 RADIUS 共用密碼。 |
| • |
盡可能使用多個不同的 RADIUS 共用密碼
實際的 RADIUS 共用密碼數是取決於設定限制和管理考量。例如,IAS 允許根據用戶端或伺服器來設定 RADIUS 共用密碼。然而,許多無線 AP 只允許對偏好和替代 RADIUS 伺服器設定單一 RADIUS 共用密碼。在此情況下,您必須將單一 RADIUS 共用密碼用於兩個不同的 RADIUS 用戶端與 RADIUS 伺服器配對:無線 AP 與其偏好 RADIUS 伺服器,以及無線 AP 與其替代 RADIUS 伺服器。此外,如果將某部 IAS 伺服器 (主要) 的設定複製至另一部伺服器 (次要),則每個無線 AP/偏好 IAS 伺服器配對的 RADIUS 共用密碼,必須與每個無線 AP/替代 IAS 伺服器的 RADIUS 共用密碼相同。
因為 Windows Server 2003 Enterprise Edition 和 Windows Server 2003 Datacenter Edition 中的 IAS,可讓您設定某範圍的網際網路通訊協定 (IP) 位址以定義單一 RADIUS 用戶端 (例如,將單一建築物的所有無線 AP 放在單一子網路時),所以 IAS RADIUS 用戶端定義的所有無線 AP/IAS 伺服器配對都會設定相同的 RADIUS 共用密碼。 |
| • |
將 IAS RADIUS Proxy 用於個別的帳戶資料庫
如果有個別的帳戶資料庫 (例如不同且不具雙向信任的 Active Directory® 目錄服務樹系或網域),您必須在無線 AP 與 RADIUS 伺服器之間使用 RADIUS Proxy,以提供驗證和授權處理。Windows Server 2003 中的 IAS 支援 RADIUS Proxy 功能,而且可以根據連線要求中的使用者或電腦名稱,將連線要求轉遞給不同的 RADIUS 伺服器集合 (例如,位在不同的 Active Directory 樹系中)。
如需將 IAS 設定為 RADIUS Proxy 的相關資訊,請參閱使用 Microsoft Windows 部署安全的 802.11 網路 (英文)。 |
| • |
使用 IAS RADIUS Proxy 調整驗證流量
針對 Active Directory 樹系內的大量驗證流量,請在無線 AP 與 RADIUS 伺服器之間使用一層 RADIUS Proxy。Windows Server 2003 IAS RADIUS Proxy 預設會根據驗證來平衡其所有已設定 RADIUS 伺服器的 RADIUS 流量負載,並使用容錯移轉和容錯回復機制。您也可以設定優先順序和權重設定,讓 IAS RADIUS Proxy 優先使用特定的 RADIUS 伺服器。 |
| • |
使用 IPsec 保護 RADIUS 流量
如果無線 AP 也支援 IPsec 和 ESP,則請使用這二者來加密無線 AP 與 IAS 伺服器以及 IAS 伺服器之間的 RADIUS 流量。請使用 3DES 加密,以及 IKE 主要模式驗證的憑證 (如果可能)。您可以使用群組原則設定 IAS 伺服器間傳送之 RADIUS 流量的 IPsec 設定,並於 Active Directory 系統容器層級指派。如需 IPsec 的相關資訊,請參閱 Microsoft IPsec 網站 (英文)。 |
Active Directory
設定 Active Directory 進行無線存取時,請使用下列最佳作法:
| • |
如果您擁有原始模式網域,請使用萬用群組和全域群組,將無線電腦和使用者帳戶組織為單一群組。例如,建立名稱為 AuthorizedWirelessAccounts 的群組,而此群組含有所有允許建立無線連線的使用者和電腦帳戶。使用單一群組可以大幅簡化 IAS 伺服器進行無線連線的設定,以及無線存取授權的持續管理。 |
| • |
將電腦和使用者帳戶的遠端存取權限設定為 [透過遠端存取規則來控制存取]。 |
| • |
使用無線網路 (IEEE 802.11) 原則群組原則延伸模組中的設定,利用 SSID 和安全性設定自動設定執行 Windows XP 和 Windows Server 2003 的無線用戶端。無線網路 (IEEE 802.11) 原則群組原則延伸模組中的設定,可簡化並集中設定所有 Active Directory 網域成員的無線用戶端。 |
如果使用的是 WPA,則請安裝執行 Windows Server 2003 (含 Service Pack 2) 或 Windows Server 2003 (含 Service Pack 1) 的網域控制站,以利用無線網路 (IEEE 802.11) 原則群組原則延伸模組來設定 WPA 加密和驗證設定。
若要使用無線網路 (IEEE 802.11) 原則群組原則延伸模組,來設定執行 Windows XP (含 SP2) 之無線用戶端的 WPA2 驗證設定,則用戶端電腦必須是 Windows Server 2003 Active Directory 網域成員,而且已安裝 Windows XP Service Pack 2 的無線用戶端更新。無線網路 (IEEE 802.11) 原則群組原則延伸模組中的 WPA2 驗證設定,必須從執行 Windows Vista 之電腦上執行的 [群組原則物件編輯器] 嵌入式管理單元進行設定。
PKI
部署新的 PKI 或利用現有 PKI 進行無線連線的 EAP-TLS 驗證時,請執行下列作業:
| • |
使用自動註冊電腦憑證
在簽發者 CA 層級,如果使用 Windows 2000 或 Windows Server 2003 憑證服務伺服器,做為企業憑證授權單位 (CA),請設定電腦憑證的自動註冊,在所有無線用戶端電腦和 IAS 伺服器上自動安裝電腦憑證。
設定之後,會自動對本身為網域成員或成為網域成員的無線用戶端電腦發出全新和更新過的電腦憑證。 |
| • |
使用自動註冊使用者憑證
在簽發者 CA 層級,如果使用 Windows Server 2003 Enterprise Edition 或 Windows Server 2003 Datacenter Edition 憑證服務伺服器做為企業 CA,請設定為自動註冊使用者憑證,以便在所有無線用戶端電腦上自動安裝使用者憑證。
設定之後,會對所有登入網域的使用者發出全新和更新過的使用者憑證。 |
| • |
因為如果憑證撤銷清單 (CRL) 無法使用或到期,憑證撤銷檢查即可禁止無線存取,所以請設計 PKI,使其 CRL 具有高可用性。例如,針對憑證階層的每個 CA 設定多個 CRL 發佈點,並設定發佈排程,以便永遠使用最新的 CRL。 |
如需 Windows 型 PKI 之最佳作法和建議的其他資訊,請參閱實作 Microsoft Windows Server 2003 公開金鑰基礎結構的最佳作法 TechNet 文章 (英文)。
詳細資訊
如需部署受保護 802.11 無線網路的相關資訊,請參閱下列資源:
