Jump to content

commk

Members
  • Gesamte Inhalte

    2
  • Registriert seit

  • Letzter Besuch

Beiträge erstellt von commk

  1. MS-Chap ist dafür nicht geeignet. Das Serverzertifikat muss der Benutzer mittels Computerzertifikat nicht überprüfen (und daher folglich auch nicht auf seinem Laptop haben), das lässt sich clientseitig nämlich leider deaktivieren (Häkchen bei "Serverzertifikat überprüfen" entfernen).

     

    EAP-TLS scheint das selbe Problem zu haben. Es wird zwar hier zusätzlich ein Nutzerzertifikat verwendet, das kann der Benutzer aber exportieren. Ein Kollege meinte, dass man das Exportieren aber verhindern kann (lässt sich angeblich im Zertifikat festlegen). Hier wird aber zum automatischen Verteilen mind. Server 2003 Enterprise Edition benötigt. Hat da jemand Erfahrungen, geht das? (Bereitstellung von sicheren 802.11-Unternehmensnetzwerken mit Microsoft Windows)

     

    In der Netzwerk-policy wird derzeit zwar auch die Computergruppe überprüft, sobald sich der Benutzer aber mit seinen Credentials anmeldet, pfeift Windows auf diese Überprüfung (daher evtl. "Computer only"; hat jemand Erfahrungen damit?).

     

    PKI muss nicht sein, wäre aber vorhanden für den Fall, dass es NUR damit geht...

  2. Hallo,

     

    wir wollen unser WLAN absichern, so dass nur bestimmte Geräte zugreifen dürfen (evtl mit Zertifikaten, wenn möglich). Die User sollen also nicht ihr Gerät mitnehmen und am Active Directory anmelden dürfen.

     

    Nun die Frage: wie machen wir das am besten? Verwendet wird derzeit ein Windows Server 2003 mit RADIUS-Authentifizierung mittels Benutzernamen/Kennwort. Geht da was mit Zertifikaten? Eine PKI ist vorhanden.

    Bei den GPOs für Wireless Networks gibt's ja die Authentication Mode "Computer only". Würde das etwas helfen, das zu verwenden? Im AD gibt's eine Gruppe mit den PCs, die zugreifen dürfen.

     

    MAC-Filterung sollte es nicht sein.

×
×
  • Neu erstellen...