Введение

Среди прочих усовершенствований центра управления сетями и общим доступом (Network and Sharing Center) есть пара новых компонентов Wi-Fi, добавленных в Windows 7 и Windows Server 2008 R2. Собственная поддержка Wi-Fi Protected Setup (WPS) позволяет администраторам и пользователям более легко устанавливать и настраивать беспроводные маршрутизаторы или беспроводные точки доступа и клиенты. Беспроводные размещенные сети (Wireless Hosted Networks) позволяют создавать виртуальные сети Wi-Fi. Дополнительные настройки 802.1X дают больше контроля над параметрами проверки подлинности при использовании режима Enterprise для безопасности WPA или WPA2. В этой статье мы обсудим каждый из этих компонентов.

Собственная поддержка Wi-Fi Protected Setup (WPS) и конфигурации беспроводного роутера

Wi-Fi Protected Setup (WPS), разработанная Wi-Fi Alliance, помогает пользователям быстро и просто настраивать WPA/WPA2-Personal (PSK) безопасность на беспроводных роутерах и клиентах. Производители используют один или оба способа конфигурации WPS: личный номер Personal Information Number (PIN) и настройка одним нажатием клавиши Push Button Configuration (PBC).

Метод PIN обычно заключается во вводе PIN-кода беспроводного адаптера в веб-панель управления роутера. Этот PIN номер может быть предустановленным и напечатанным на адаптере или может быть отображен и/или настроен из клиентского ПО.

Метод настройки нажатием одной клавиши Push Button Configuration (PBC) заключается в нажатии кнопки на беспроводном роутере и затем нажатием кнопки на беспроводном адаптере или компьютере (поддерживающем WPS) через минуту или около того. Большинство беспроводных адаптеров не имеет физических кнопок, но они могут иметь кнопки в клиентской программе, если она установлена. Также беспроводные роутеры будут содержать WPS настройки, доступные из веб-панели управления.

Точный принцип работы WPS будет отличаться в зависимости от производителя устройств и программного обеспечения. Однако в общих чертах принцип работы WPS можно описать следующим образом: она создает парольную фразу WPA/WPA2 при первой попытке WPS, когда на беспроводном роутере все еще используются заводские стандартные настройки. Любой клиент, участвующий в первой и последующих попытках WPS, автоматически получит такую же парольную фразу WPA/WPA2. Однако если какие-то параметры по умолчанию в беспроводном роутере (например, SSID) изменяются до первой WPS попытки, безопасность может быть не включена WPS. Если WPA/WPA2 безопасность уже настроена другими способами, WPS все равно поможет настроить клиентские устройства с использованием существующей парольной фразы WPA/WPA2.

Компания Microsoft начала применять WPS в Windows Vista для компонента Windows Connect Now. Использование WPS PIN-кодов поддерживалось, но требовало предварительного подключения к Ethernet. В Windows Vista SP2 была добавлена поддержка Push Button Configuration (PBC). Здесь мы обсуждаем WPS функцию в Windows 7.

Windows 7 поддерживает PBC метод. При первой попытке подключения к беспроводному роутеру с помощью WPS, Windows 7 просит вас ввести секретный ключ или нажать кнопку, как показано на рисунке 1.

Рисунок 1: Запрос на введение PSK ключа или нажатие WPS кнопки на роутере.

Если нажать кнопку WPS на роутере, параметры безопасности автоматически будут переданы на Windows 7, она подключится и будет создан и сохранен профиль для последующих подключений к роутеру.

Windows 7 также поддерживает PIN метод, но не в обычном смысле, а только при настройке роутера в первый раз. Если Windows 7 определит, что роутер использует стандартные заводские настройки при попытке подключения, она попросит вас настроить роутер, как показано на рисунке 2.

Рисунок 2: Запрос настройки нового беспроводного роутера.

Можно продолжить подключение к незащищенному каналу или настроить роутер непосредственно в Windows 7. Если вы выберите настройку роутера, система запросит PIN роутера (рисунок 3).

Рисунок 3: Ввод WPS PIN для настройки нового роутера.

Затем вам нужно будет ввести имя сети Network Name (SSID) и при желании изменить настройки безопасности, как показано на рисунке 4.

Рисунок 4: Ввод параметров беспроводного подключения.

После настройки система отобразит ключ шифрования, который может использоваться на более старых Wi-Fi устройствах, не поддерживающих WPS. Если у вас есть Windows XP машины, вы даже можете вставить USB накопитель и скопировать на него конфигурацию.

Новая функция беспроводных размещенных сетей

Часть старого проекта Microsoft под названием Virtual Wi-Fi, функция Wireless Hosted Network позволяет вам создавать виртуальный беспроводной роутер с поддержкой беспроводного адаптера в Windows 7 или Windows Server 2008 R2. Вы даже можете размещать виртуальную беспроводную сеть, когда подключены к обычной беспроводной сети с помощью одного беспроводного адаптера.

Можно использовать Wireless Hosted Network для настройки временной Wi-Fi сети для безопасного общего доступа к файлам при работе из дома или в офисной сети. Можно также использовать эту функцию для расширения или предоставления общего доступа к сетевому подключению беспроводной или проводной сети. По сути, это улучшенная версия стандартных сетевых подключений.

Если Windows 7 или Windows Server 2008 R2 обнаруживает поддерживаемый беспроводной адаптер, вы увидите виртуальный беспроводной адаптер минипорта Microsoft Virtual Wi-Fi Miniport Adapter в окне сетевых подключений (Network Connections), как показано на рисунке 5.

Рисунок 5: Виртуальный адаптер для беспроводных размещенных сетей.

Чтобы приступить к работе, сначала нужно включить функцию общего доступа к подключениям интернета (Internet Connection Sharing - ICS), чтобы предоставить размещённой сети подключение к интернету. В окне сетевых подключений нажмите правой клавишей на сетевом адаптере, который подключен к интернету через обычную сеть и выберите Свойства (Properties). Выберите закладку доступа (Sharing), отметьте флажком опцию Разрешить другим пользователям сети использовать подключение к Интернету данного компьютера (Allow other network users to connect through this computer’s Internet connection), выберите Подключение размещенной сети (Hosted Network Connection) из раскрывающегося списка и нажмите OK.

Далее, настройте размещенную сеть из интерпретатора команд:

Netsh wlan set hostednetwork mode=allow ssid=YourVirtualNetworkName key=YourNetworkPassword

Теперь запустите размещенную сеть:

Netsh wlan start hostednetwork

Для остановки размещенной сети используйте команду:

netshwlan stop hostednetwork

Примеры этих команд приведены на рисунке 6.

Рисунок 6: Настройка, запуск и остановка беспроводной размещенной сети.

Беспроводные размещенные сети могут быть полезны и интересны для технического персонала, но они также могут представлять собой очередную дыру безопасности в корпоративной сети, которую администратор должен заткнуть. Сотрудники могут намеренно или ненамеренно создавать беспроводную размещенную сеть, открывая неконтролируемый беспроводной доступ к корпоративной сети. Хотя эти сети защищены с помощью WPA2/AES шифрования, они не контролируются администраторами. Если вы используете Windows Server, можно запретить пользователям создание беспроводных размещенных сетей в политиках беспроводных сетей (Wireless Network (IEEE 802.11) Policies).

Добавление дополнительных настроек 802.1X

Microsoft представила дополнительные настройки для 802.1X проверки подлинности в настройках групповой политики в Windows Vista. Теперь большинство этих настроек доступно в графическом интерфейсе Windows 7. Их можно открыть, нажав на кнопку Дополнительные настройки (Advanced Settings) в закладке Безопасность (Security) диалога свойств беспроводной сети Wireless Network Properties (рисунок 7) и в закладке Проверка подлинности (Authentication) диалога свойств локальных подключений Local Area Connection Properties (рисунок 8)

Рисунок 7: Закладка безопасности в диалоге Wireless Network Properties.

Рисунок 8: Закладка проверки подлинности в диалоге Local Area Connection Properties.

На рисунке 9 показан диалог дополнительных настроек.

Рисунок 9: Дополнительные настройки 802.1X.

В первом разделе диалога можно указать режим проверки подлинности: Пользователь, компьютер или гость. Если вы не уверены, есть также опция Пользователь или компьютер. При использовании проверки подлинности пользователя можно нажать кнопку «Сохранить учетные данные» (Save Credentials), чтобы ввести имя пользователя и пароль. К тому же, вы можете удалить сохраненные учетные данные, отметив соответствующую опцию ниже.

Во втором разделе вы сможете включить и настроить функцию единого входа. Если эта функция поддерживается системой и сетью, ее настройка позволит не вводить дополнительно учетные данные входа. Windows будет использовать учетные данные учетной записи Windows во время проверки подлинности 802.1X.

Для беспроводных подключений также можно найти закладку 802.11 Settings, рисунок 10.

Рисунок 10: Диалог Advanced Wireless802.1X Settings.

Здесь вы можете включить и настроить кэширование парного главного ключа (Pairwise Master Key – PMK). Это обеспечивает быстрый переход между несколькими точками беспроводного доступа (APs). Если эта функция включена и поддерживается точками доступа, точки доступа будут делиться друг с другом ключами PMK, и клиентам не придется проходить предварительную или полную проверку подлинности 802.1X при переходе на другую точку доступа.

Когда PMK кэширование включено, можно также включить и настроить предварительную аутентификацию на тот случай, если PMK кэширование не поддерживается какой-либо точкой доступа. Предварительная аутентификация избавляет клиентов от необходимости в прохождении полной проверки подлинности 802.1X при переключении на разные точки доступа, что ускоряет этот процесс.

В этой закладке вы также можете включить режим Federal Information Processing Standards (FIPS), используемый гражданскими правительственными органами и подрядчиками США.

Заключение

Мы рассмотрели три новых компонента Wi-Fi в Windows 7 и Windows Server 2008 R2:

• Поддержка Wi-Fi Protected Setup (WPS) упрощает защиту беспроводных роутеров. PIN поддержка позволяет быстро настроить беспроводной роутер из Windows. А поддержка метода настройки нажатием одной клавиши WPS избавляет от необходимости ввода парольной фразы WPA/WPA2 при подключении к поддерживаемому беспроводному роутеру.
• Беспроводные размещенные сети помогают создать виртуальную Wi-Fi сеть для предоставления общего доступа к ресурсам и расширения сети.
• Дополнительные настройки 802.1X обеспечивают пользователей более высокой степенью контроля над режимами проверки подлинности и учетными данными, поддержкой единого входа, PMK кэшированием и поддержкой FIPS.