服务器 2012配置-组策略创建

这是我们将创建组策略以推送给客户的地方。通过GPO向最精准双色球预测专家推送dot1x设置和证书的想法是使安全性成为强制性的,并且对最精准双色球预测专家尽可能透明。诸如推送dot1x SSID信息以及使最精准双色球预测专家在有效范围内时使最精准双色球预测专家能够自动连接到SSID之类的小事情对最精准双色球预测专家体验来说是很长的路要走。同样,让您的最精准双色球预测专家自动注册有最精准双色球预测专家证书,域PC和计算机证书, 从最精准双色球预测专家的角度来看,它们的NIC卡设置自动为dot1x配置增加了ISE的透明度。理想情况下,最精准双色球预测专家应该永远不知道ISE在这里对他们的公司计算机进行身份验证和授权,并且充当他们与网络其余部分之间的网守,除非某种程度上违反了政策。 

转到“开始”菜单,然后打开“组策略管理”。突出显示该域,然后右键单击它。选择 为此域创建GPO并将其链接。 

快速说明:您还可以在实验室中使用默认域策略,或为特定的OU创建单独的策略,以与生产中的一组最精准双色球预测专家进行测试。我只是出于习惯在这里制定新政策,但出于实验目的,这并不重要。

突出显示刚创建的新组策略,然后右键单击它。选择编辑。 

您的新GPO应该会弹出。这是我们进行政策更改的地方。 Navigate to 电脑配置>Policies>Windows Settings>Security Services>Public Key 政策规定>证书服务客户端-自动注册。打开它并将设置更改为 启用 并选中顶部的两个框。这将使计算机能够使用我们先前创建的计算机证书模板自动注册。

 

导航 最精准双色球预测专家配置>Windows Settings>Public Key 政策规定>证书服务客户端-自动注册 并执行与上一步相同的操作。当最精准双色球预测专家登录到域PC时,这将启用最精准双色球预测专家证书的自动注册

我想做的下一件事是为域PC的有线和无线NIC配置dot1x设置。如前所述,这是为了提高最精准双色球预测专家的透明度并减少管理开销,因此您不必配置企业中的每个NIC。 通过在组策略中进行所有配置,您的域计算机将知道未连接有线时要跳转到的SSID,要使用的dot1x设置,要使用的EAP类型,要信任的根证书等。 

导航 电脑配置>Windows Settings>Security Settings>Wired Network 然后右键单击它。选择 Create a New 有线网络 Policy. 这将打开“新建有线网络策略属性”框。随心所欲地命名您的保单,并确保 对客户端使用Windows Wired Auto Config服务 box is checked. 

在“安全性”选项卡上,我们将选择身份验证类型。 Windows 7本机部署最广泛的一些类型如下:

  • PEAP / MS-CHAPv2
  • PEAP / EAP-TLS
  • PEAP / GTC
  • EAP-TLS

有些方法比其他方法更安全。 EAP-TLS 被认为是黄金标准,但为简单起见,PEAP-MSCHAPv2部署最广泛。 如果要执行PEAP-MSCHAPv2,则将让ISE检查最精准双色球预测专家名/密码,而EAP-TLS检查已颁发的证书。 Windows 8和10引入了一些不同的EAP类型,但是为了简单起见,由于大多数公司还没有将Windows 8/10作为标准运行,因此我不打算深入探讨。我在实验室中执行的方式是让PEAP作为外部隧道,该隧道对内部EAP身份验证(EAP-TLS)进行加密。 

在“安全性”选项卡上,确保 启用将IEEE 802.1X身份验证用于网络访问 框被选中,并从 选择网络认证方式 drop-down, choose Microsoft:受保护的EAP(PEAP)。点击 物产 按钮右边的按钮。

在弹出的“属性”框中,选中“ 安全演示CA 根证明 受信任的根证书颁发机构 标头。 CA Root证书的名称将根据您为域命名的名称而有所不同,但是出于本文档的目的,我将其称为我的域名。 

在下面 选择身份验证方法 下拉菜单,这是我们选择内部方法的地方。选择 智能卡或其他证书 从可用选项中。点击 配置... 旁边的盒子。 

智能卡或其他证书属性 框应弹出。选中复选框 安全演示CA 再次根证书,然后单击确定以保存设置。对于与“有线Dot1x”属性有关的其余所有框,请执行相同的操作。 

 

通常,根据我的经验,默认情况下,Windows 7计算机上默认未启用有线自动配置服务。为了使dot1x有线设置起作用,应启用此设置,以便我喜欢通过组策略来完成。导航 电脑配置>Policies>Windows Settings>Security Settings>System Settings>Wired Autoconfig. 选中复选框 定义此策略设置 然后选择单选按钮 自动。

接下来,我们将在组策略中配置无线设置。它与有线设置非常相似,但有一些小的更改。

导航 电脑配置>Policies>Windows Settings>Security Settings>无线网络(IEEE 802.11)策略。 右键单击它,然后选择 创建新的无线网络策略.

这将打开一个 新的无线策略属性 框。您可以随心所欲地命名该策略,但是我通常会为其命名,这对我为其配置的任何组织都有意义。在这种情况下,我将其称为“我的” 安全 实验室 无线政策 。 下 按照下面列出的配置文件顺序连接到可用网络 box, click 然后选择 基础设施

将打开“新配置文件属性”框。我通常喜欢给配置文件起一些有意义的名称,例如SSID名称。 Under the 网络名称(SSID) 字段中,您必须输入EXACT 您希望客户端连接到的SSID的名称。我也想检查下面的框,如果它们在范围内,则自动连接。

在此配置文件的“安全性”选项卡上,我们将像对“有线”策略那样进行配置。选择 Microsoft:受保护的EAP(PEAP) 从下拉菜单中单击 物产 就在它旁边。

选中根CA证书旁边的框,并为内部方法选择 智能卡或其他证书 从下拉菜单中。请点击 配置... 在它的右边。 

智能卡或其他证书属性 框,再次检查根CA证书,然后单击确定以保存。在与无线策略关联的每个框中单击“确定”以保存并关闭它们。 

在这一点上,我通常在结束并应用GPO之前开始配置PassiveID设置。我现在将为此创建另一个博客文章,以将两者分开。如果您不打算使用PassiveID集成,只需跳到下一篇博客文章的末尾,以获取有关如何应用GPO的指导。