Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Gestione dell'infrastruttura di protezione RADIUS e LAN senza fili
In questa pagina
Argomenti del modulo Obiettivi Ambito di applicazione Utilizzo del modulo Attività fondamentali di manutenzione Ruoli amministrativi di RADIUS e della protezione WLAN Attività della fase operativa Attività della fase di supporto Attività della fase di ottimizzazione Attività della fase di modifica Tabelle di configurazione Ulteriori informazioni
Argomenti del modulo
In questo modulo vengono descritte le procedure operative necessarie per la gestione dell'infrastruttura RADIUS (Remote Authentication Dial-In User Service) e della protezione WLAN implementate nel contesto della soluzione Securing Wireless LAN - Microsoft® Windows® Server™ 2003 Certificate Services Solution (in inglese). La struttura si basa sulle categorie MOF (Microsoft Operational Framework) e sui concetti discussi nel primo modulo della Guida operativa.
Lo scopo di questo modulo è di consentire l'implementazione di un sistema di gestione completo per l'infrastruttura RADIUS e la protezione WLAN. Tale sistema include tutte le attività di impostazione necessarie per avviare il monitoraggio e la manutenzione del sistema. Vengono inoltre descritte le attività operative da eseguire con regolarità per mantenere il corretto funzionamento del sistema, le procedure per consentire all'utente di gestire problemi di supporto, modifiche all'ambiente, nonché di ottimizzare le prestazioni del sistema.
Obiettivi
Il modulo consente di:
Comprendere le attività da eseguire per la gestione protetta del sistema.
Assegnare i ruoli amministrativi necessari per l'amministrazione del sistema.
Fornire un documento di riferimento per la gestione dell'infrastruttura RADIUS.
Ambito di applicazione
Questo modulo si applica ai seguenti prodotti e tecnologie:
Microsoft Windows Server 2003
Servizi di Autenticazione Internet di Microsoft (IAS)
Servizio Microsoft Active Directory®
Utilizzo del modulo
In questo modulo sono descritte le fasi necessarie a mantenere un ambiente gestito correttamente per l'infrastruttura RADIUS. La parte restante del modulo deve essere considerata come materiale di riferimento.
Per sfruttare al massimo il presente modulo:
- Leggere il modulo "Guida operativa alla protezione delle LAN senza fili: introduzione", in cui viene illustrato Microsoft Operations Framework, dal momento che il presente modulo è strutturato come una guida operativa di MOF.
Attività fondamentali di manutenzione
In questa sezione sono elencate le attività principali da eseguire per un corretto funzionamento dell'infrastruttura RADIUS e della protezione WLAN. Le attività sono elencate in due tabelle: attività iniziali di configurazione e attività operative continue. I nomi delle attività elencate nelle tabelle sono descritti dettagliatamente più avanti nel documento. Le attività sono raggruppate in base alla fase MOF, mentre la funzione di gestione dei servizi (SMF, Service Management Function) cui appartiene l'attività è indicata accanto a questa, in modo che sia più semplice trovarla.
In questa sezione è incluso anche un elenco degli strumenti e delle tecnologie utilizzate nelle procedure di questo modulo.
Attività iniziali di configurazione
In questa tabella sono illustrate le attività che occorre eseguire per rendere operative l'infrastruttura RADIUS e la protezione WLAN. A seconda dello standard operativo e delle procedure utilizzate potrebbe non essere necessario eseguire tutte le attività. Esaminare in dettaglio le attività per decidere se eseguirle o meno. È anche possibile che alcune di queste attività debbano essere eseguite nuovamente. Ad esempio, se viene installato un nuovo server IAS, sarà necessario configurare le operazioni di backup e di monitoraggio per questo server.
Tabella 1. Attività iniziali di configurazione
| Nome attività | Cluster di ruoli | Funzione SMF MOF |
|---|---|---|
| Fase di operatività | ||
| Aggiunta di client RADIUS ai server IAS | Infrastruttura | Amministrazione di rete |
| Aggiunta di computer ai gruppi di criteri delle reti senza fili | Infrastruttura | Amministrazione dei servizi directory |
| Aggiunta di computer e utenti ai gruppi di criteri di accesso remoto | Infrastruttura | Amministrazione dei servizi directory |
| Classificazione degli avvisi di monitoraggio | Infrastruttura | Monitoraggio e controllo dei servizi |
| Monitoraggio dei vincoli di capacità di IAS | Infrastruttura | Monitoraggio e controllo dei servizi |
| Configurazione dell'esportazione della configurazione IAS | Gestione delle operazioni | Gestione dell'archiviazione |
| Esportazione della configurazione dei client RADIUS | Gestione delle operazioni | Gestione dell'archiviazione |
| Configurazione del backup delle directory di dati IAS | Gestione delle operazioni | Gestione dell'archiviazione |
| Test del backup IAS | Gestione delle operazioni | Gestione dell'archiviazione |
| Fase di ottimizzazione | ||
| Determinazione del carico massimo sul server IAS | Infrastruttura | Gestione della capacità |
| Determinazione dei requisiti di archiviazione e di backup per un server IAS | Infrastruttura | Gestione della capacità |
| Fase di modifica | ||
| Gestione delle patch del sistema operativo | Infrastruttura | Gestione delle modifiche e gestione dei rilasci |
| Nome attività | Cluster di ruoli | Frequenza |
|---|---|---|
| Aggiunta di client RADIUS ai server IAS | Infrastruttura | Ogni volta che vengono aggiunti alla rete dei punti di accesso senza fili (AP, Access Points) |
| Rimozione di client RADIUS dal server IAS | Infrastruttura | Ogni volta che dei punti di accesso senza fili vengono rimossi dalla rete |
| Aggiunta di computer ai gruppi di criteri delle reti senza fili | Infrastruttura | Ogni volta che vengono aggiunti dei computer alla rete |
| Aggiunta di computer e utenti ai gruppi di criteri di accesso remoto | Infrastruttura | Ogni volta che ai dipendenti viene concesso l'accesso alla rete WLAN |
| Esportazione della configurazione dei client RADIUS | Gestione delle operazioni | Ogni volta che alla rete vengono aggiunti punti di accesso senza fili |
| Test del backup IAS | Gestione delle operazioni | Ogni mese |
| Accesso ai registri delle richieste RADIUS IAS | Protezione | Ogni giorno oppure ogni settimana (a seconda dei requisiti di protezione) |
| Verifica delle voci del Registro eventi di autenticazione RADIUS IAS | Protezione | Ogni giorno oppure ogni settimana (a seconda dei requisiti di protezione) |
| Archiviazione ed eliminazione delle voci del registro RADIUS IAS | Protezione | Ogni mese |
| Gestione delle patch del sistema operativo | Ogni giorno |
| Nome elemento | Origine |
|---|---|
| Console di gestione Utenti e computer di Active Directory | Windows Server 2003 |
| Script MSS | Questa soluzione |
| Editor di testo | Blocco note — Windows Server 2003 |
| Servizio Utilità di pianificazione di Windows | Windows Server 2003 |
| SchTasks.exe | Windows Server 2003 |
| Backup di Windows | Windows Server 2003 |
| Visualizzatore eventi | Windows Server 2003 |
| Performance Monitor | Windows Server 2003 |
| Net.exe | Windows Server 2003 |
| Console avvisi operativi | Microsoft Operations Manager (MOM) |
| Supporti rimovibili per l'archiviazione esterna ai computer | Disco floppy, CD riscrivibile o nastro |
| Backup server IAS | Servizio di backup aziendale o Periferica di backup locale |
| Console di gestione Criteri di gruppo | Download Web da Microsoft.com |
| IASParse | Strumenti di supporto di Windows Server 2003 |
| Microsoft Access 2002 | Microsoft Office XP |
| Nome elemento | Origine |
|---|---|
| Console avvisi operativi | Microsoft Operations Manager o altro sistema di monitoraggio dei servizi |
| Infrastruttura di posta elettronica per gli avvisi operativi (in alternativa a MOM) | Server e client SMTP/POP3/IMAP, ad esempio Microsoft Exchange Server e il client di messaggistica e collaborazione Microsoft Outlook® |
| Eventquery.vbs | Windows Server 2003 |
| Strumenti per la pianificazione della capacità | Microsoft Operations Manager o altri strumenti per la pianificazione della capacità |
| Sistema di distribuzione delle patch | Microsoft Systems Management Server o Microsoft Software Update Services |
| Nome del ruolo | Cluster di ruoli MOF | Ambito | Descrizione |
|---|---|---|---|
| Amministratore del Servizio di autenticazione Internet | Infrastruttura | Organizzazione di grandi dimensioni | Responsabile dell'amministrazione e della configurazione generale di IAS per l'organizzazione di grandi dimensioni |
| Controllore del Servizio di autenticazione Internet | Protezione | Organizzazione di grandi dimensioni | Responsabile della verifica, dell'archiviazione e dell'eliminazione dei registri RADIUS nei computer server IAS |
| Operatore di backup del Servizio di autenticazione Internet | Operatività | Organizzazione di grandi dimensioni | Responsabile del backup e del ripristino dello stato di configurazione IAS e dei dati cronologici |
| Personale del supporto tecnico WLAN | Supporto | Organizzazione di grandi dimensioni | Responsabile principale del personale del supporto tecnico per la risoluzione dei problemi WLAN |
| Nome del ruolo | Cluster di ruoli MOF | Ambito | Descrizione |
|---|---|---|---|
| Operatore di monitoraggio | Gestione delle operazioni | Organizzazione di grandi dimensioni | Responsabile del monitoraggio degli eventi |
| Pianificatore della capacità | Infrastruttura | Organizzazione di grandi dimensioni | Responsabile dell'analisi delle prestazioni e del carico per la previsione dei requisiti di capacità futuri |
| Amministratore di Active Directory | Infrastruttura e supporto | Organizzazione di grandi dimensioni | Responsabile della configurazione e del supporto dell'infrastruttura Active Directory |
| Gestione delle operazioni di Active Directory | Operatore | Organizzazione di grandi dimensioni | Responsabile della manutenzione quotidiana della directory, ad esempio della manutenzione dei gruppi di protezione, della creazione degli account e così via |
| Amministratore desktop | Infrastruttura e supporto | Organizzazione di grandi dimensioni | Responsabile della configurazione e del supporto dei computer desktop |
| Consiglio di approvazione delle modifiche | Rilascio | Organizzazione di grandi dimensioni | Rappresentanti aziendali e tecnici ai quali viene richiesto di approvare le modifiche all'infrastruttura |
| Nome del ruolo | Gruppo di protezione di dominio | Gruppo di protezione locale | Privilegi |
|---|---|---|---|
| Amministratore del Servizio di autenticazione Internet | IAS Admins | Administrators | Funzionalità di amministrazione complete sul server IAS, inclusi l'avvio e l'arresto del servizio IAS e la modifica della configurazione di tale servizio |
| Controllori del Servizio di autenticazione Internet | IAS Security Auditors | N/D | Capacità di leggere ed eliminare i file registro delle richieste RADIUS nel volume di registrazione |
| Operatori di backup IAS | N/D | Backup Operators | Backup e ripristino completi dello stato del sistema operativo e dei dati di configurazione IAS |
| Personale del supporto tecnico WLAN | N/D | N/D | Collabora con il gruppo IAS Administrators per risolvere i problemi di autenticazione IAS (in alcuni casi può disporre delle autorizzazioni di lettura per le stesse risorse dei controllori della protezione IAS) |
| Responsabile del cluster di ruoli: | Infrastruttura |
| Frequenza: | Ogni volta che alla rete vengono aggiunti nuovi punti di accesso senza fili |
| Requisiti di protezione: | Appartenenza al gruppo di protezione IAS Admins |
| Dipendenze: | Informazioni relative ai punti di accesso senza fili Accesso al disco dei client RADIUS di ciascun server (ubicato in un archivio protetto) |
| Tecnologia richiesta: | Snap-in MMC (Microsoft Management Console) IAS Script MSS (per GenPwd) Unità disco floppy o altro unità per supporti rimovibili e scrivibili Disco floppy o altri supporti rimovibili e scrivibili |
Dettagli relativi all'attività
Per la massima protezione occorre aggiungere ogni punto di accesso senza fili a ciascun server IAS utilizzando una password pseudo-casuale (segreto) unica per la coppia. La condivisione di segreti RADIUS tra i punti di accesso senza fili e i server RADIUS aumenta il rischio che il segreto condiviso non resti tale a lungo.
Windows Server 2003 Enterprise Edition consente agli amministratori l'aggiunta globale di punti di accesso a IAS aggiungendo la subnet client RADIUS dedicata e utilizzando il segreto condiviso. Tuttavia, questa strategia presenta un rischio di protezione e deve essere considerata con attenzione.
Questa soluzione implementa, mediante la crittografia, segreti casuali generati dallo script GenPwd incluso in queste guide.
Per aggiungere singoli client RADIUS a IAS
Dallo snap-in MMC IAS, fare clic con il pulsante destro del mouse sulla cartella Client RADIUS, quindi su Nuovo client RADIUS.
Immettere il nome descrittivo nel campo Nome e l'indirizzo del client nel campo Indirizzo client (IP o DNS) per il punto di accesso senza fili. Selezionare l'indirizzo IP piuttosto che il nome DNS se possibile, dal momento che IAS cercherà di risolvere ciascun client RADIUS all'avvio del server e questa operazione, in ambienti di grandi dimensioni con un gran numero di punti di accesso senza fili, può influire sui parametri della capacità del server. Scegliere Avanti.
Selezionare Standard RADIUS come attributo client-fornitore e immettere il segreto condiviso per questo particolare punto di accesso senza fili.
Nota: per le fasi che seguono si utilizzerà un disco floppy o un altro supporto rimovibile e scrivibile. Individuare un disco formattato ed etichettarlo "Client RADIUS per MSS server - IAS - 01". Sostituire, nell'etichetta, "MSS - IAS - 01" con il nome del server IAS in uso.
È possibile utilizzare lo script GenPwd incluso in queste guide per generare un segreto sicuro pseudo-casuale per l'utilizzo singolo da parte di ciascun WAP configurato come client RADIUS. GenPwd genererà un segreto e lo archivierà in un file Clients.txt insieme a un nome descrittivo per ciascun client RADIUS. GenPwd aggiunge automaticamente le informazioni a un file Clients.txt nella directory corrente sotto forma di valori separati da virgola. Tuttavia, se si dispone di un metodo per generare e archiviare segreti RADIUS sicuri, è possibile utilizzarlo al posto dei passaggi di GenPwd indicati di seguito.
Aprire il prompt dei comandi e rendere la directory A:\ la directory corrente. Il percorso della directory nel file system è importante, in quanto le nuove informazioni verranno aggiunte al file Clients.txt della directory corrente. Se non esiste un file Clients.txt, ne verrà creato uno.
Eseguire il seguente comando. Accertarsi di sostituire il [nome client] con il nome descrittivo del punto di accesso senza fili. Questo potrebbe essere un nome DNS, un indirizzo IP o un'altra stringa:
cscript //job:GenPwd C:\MSSScripts\wl_tools.wsf /client:[nome client]
Una volta creato, il file separato da virgole può essere facilmente importato in un foglio di calcolo o in un'applicazione di database come riferimento e per le modifiche.
Nota: è opportuno cambiare i segreti RADIUS per ciascun server IAS e punto di accesso senza fili periodicamente. Accertarsi di utilizzare GenPwd o un'altra utilità per generare segreti sicuri e archiviare il nuovo segreto e il nome del punto di accesso senza fili nel file Clients.txt.
Immettere il segreto condiviso RADIUS nei campi Segreto condiviso e Conferma segreto condiviso. Selezionare il campo La richiesta deve contenere l'attributo autenticatore del messaggio e fare clic su Fine:
Nota: alcuni client RADIUS potrebbero richiedere attributi di configurazione specifici del fornitore per funzionare correttamente. Per informazioni sui requisiti degli attributi specifici del fornitore, consultare la documentazione del fornitore.
Rimozione di client RADIUS dai server IAS
La rimozione di punti di accesso senza fili di versioni precedenti utilizzati come client RADIUS è una delle poche modifiche da apportare a un server IAS di produzione distribuito. Mediante questa attività i punto di accessi senza fili perdono la capacità di partecipare all'autenticazione RADIUS e all'accounting con il server IAS. Eseguire questa attività ogni volta che i punti di accesso senza fili vengono ritirati, in modo da disattivare la capacità di eseguire l'autenticazione RADIUS e l'accounting con IAS.
| Responsabile del cluster di ruoli: | Infrastruttura |
| Frequenza: | Ogni volta che dei punti di accesso senza fili vengono rimossi dalla rete |
| Requisiti di protezione: | Membro del gruppo IAS Administrators |
| Dipendenze: | Informazioni sul client RADIUS, quali indirizzo IP o nome |
| Tecnologia richiesta: | - Snap-in MMC IAS - Editor di file di testo Notepad.exe |
Dettagli relativi all'attività
Ciascun punto di accesso senza fili deve essere rimosso in modo indipendente e occorre eliminare la voce corrispondente nel file Clients.txt del disco floppy del client RADIUS memorizzato in un archivio protetto. Il file Clients.txt viene creato mediante la procedura riportata nell'attività Esportazione della configurazione dei client RADIUS.
Per rimuovere i client RADIUS dal server IAS
Dallo snap-in MMC IAS, selezionare la cartella Client RADIUS.
Dal riquadro di destra, selezionare la voce che rappresenta il client RADIUS da rimuovere e premere Canc.
Alla richiesta di conferma, scegliere Sì.
Nota: nei passaggi che seguono è previsto l'utilizzo di un disco floppy o di altro supporto rimovibile e scrivibile con l'etichetta "Client RADIUS per MSS server - IAS - 01", creato nella sezione precedente. Sostituire, nell'etichetta, "MSS - IAS - 01" con il nome del server IAS in uso. Accertarsi di utilizzare il disco corretto con il server appropriato per evitare la perdita di dati.
Individuare il disco floppy del client RADIUS per questo server e aprire il file A:\Clients.txt utilizzando Blocco note.
Trovare ed eliminare la voce associata al client RADIUS da ritirare.
Amministrazione dei servizi directory
I servizi directory consentono agli utenti e alle applicazioni di trovare risorse di rete quali utenti, server, applicazioni, strumenti, servizi e altre informazioni nella rete. L'amministrazione dei servizi directory si occupa delle operazioni quotidiane, della manutenzione e del supporto della directory di un'organizzazione di grandi dimensioni. L'obiettivo dell'amministrazione dei servizi directory è assicurare che le informazioni nella rete siano accessibili tramite un processo semplice e organizzato, da parte di coloro che le richiedono e che dispongono delle autorizzazioni appropriate.
Aggiunta di computer ai gruppi di criteri per le reti senza fili
L'aggiunta di computer ai gruppi di protezione Criteri di gruppo basati su Active Directory della rete senza fili consente la configurazione automatica delle impostazioni della rete senza fili nei computer client. È necessario eseguire questa attività ogni volta che nell'ambiente viene introdotto un nuovo computer che dovrà utilizzare la rete senza fili.
| Responsabile del cluster di ruoli: | Infrastruttura |
| Frequenza: | Ogni volta che alla rete vengono aggiunti computer portatili |
| Requisiti di protezione: | - Amministratore di dominio o autorizzazione all'aggiunta di utenti al gruppo di protezione Criterio rete senza fili - Computer in Active Directory |
| Dipendenze: | - Creazione dell'oggetto Criteri di gruppo Wireless Network - Creazione del gruppo di protezione Wireless Network Policy - Computer |
| Tecnologia richiesta: | Console di gestione Utenti e computer di Active Directory |
| Responsabile del cluster di ruoli: | Infrastruttura |
| Frequenza: | Ogni volta che agli utenti viene concesso l'accesso alla WLAN |
| Requisiti di protezione: | Amministratore di dominio o autorizzazione alla modifica dell'appartenenza dei gruppi di protezione Remote Access Policy - Wireless Users e Remote Access Policy - Wireless Computers in Active Directory |
| Dipendenze | Creazione di gruppi di protezione dei criteri di accesso remoto Esistenza di computer e account utente in Active Directory |
| Tecnologia richiesta | Console di gestione di Utenti e computer di Active Directory |
| Cluster di ruoli: | Infrastruttura |
| Frequenza: | Attività di configurazione |
| Requisiti di protezione: | Nessuno |
| Dipendenze: | - Esistenza di un processo di pianificazione della capacità nell'organizzazione - Strumenti di analisi per supportare il processo |
| Requisiti di tecnologia: | Console avvisi operativi (ad esempio MOM) |
| Categoria di avvisi | Descrizione |
|---|---|
| Servizio non disponibile | Quando l'applicazione o il componente sono completamente non disponibili. |
| Violazione della protezione | Quando l'applicazione viene violata oppure è stata compromessa. |
| Errore critico | Quando nell'applicazione si è verificato un errore critico che richiede un'azione amministrativa rapida (ma non necessariamente immediata). L'applicazione o il componente funziona a un livello di prestazioni al di sotto della norma ma è ancora in grado di eseguire le operazioni più critiche. |
| Errore | Quando nell'applicazione si verifica un problema temporaneo che non richiede un'azione amministrativa o una risoluzione immediata o che addirittura non richiede alcuna azione. L'applicazione o il componente funziona a un livello di prestazioni accettabile ed è ancora in grado di eseguire tutte le operazioni critiche. |
| Avviso | Quando l'applicazione genera un messaggio di avviso che non richiede un'azione amministrativa o una risoluzione immediata o che addirittura non richiede alcuna azione. L'applicazione o il componente funziona a un livello di prestazioni accettabile ed è ancora in grado di eseguire tutte le operazioni critiche. Tuttavia, se il problema persiste, questa situazione potrebbe generare avvisi quali Errore, Errore critico oppure Servizio non disponibile. |
| Informazioni | Quando l'applicazione genera un evento informativo. L'applicazione o il componente funziona a un livello di prestazioni accettabile ed esegue tutte le operazioni critiche e non critiche. |
| Operazione riuscita | Quando l'applicazione genera un evento riuscito. L'applicazione o il componente funziona a un livello di prestazioni accettabile ed esegue tutte le operazioni critiche e non critiche. |
| Cluster di ruoli: | - Infrastruttura |
| Frequenza: | - Attività di configurazione |
| Requisiti di protezione: | Autorizzazione necessaria come indicato dalla soluzione di monitoraggio |
| Dipendenze: | Output alla funzione SMF della Gestione della capacità |
| Requisiti di tecnologia: | - Performance Monitor - Consolidatore dei contatori delle prestazioni (ad esempio MOM) - Console avvisi operativi (ad esempio MOM) - Strumenti di pianificazione della capacità |
Dettagli relativi all'attività
I seguenti contatori delle prestazioni sono i più utili per l'identificazione dei vincoli di capacità in IAS. Il processore e il disco sono le due risorse utilizzate in modo più intensivo da IAS, pertanto è probabile che indicheranno dei vincoli prima della rete o della memoria.
Tabella 9. Elementi per i quali monitorare i vincoli di capacità IAS
| Oggetto prestazioni | Contatore prestazioni | Istanza |
|---|---|---|
| Processore | % Tempo processore | _Total |
| Disco fisico | % Tempo disco | _Total |
| Disco fisico | Lunghezza media lettura coda del disco | _Total |
| Disco fisico | Lunghezza media scrittura coda del disco | D: (IAS - DATA) |
| Interfaccia di rete | Byte totali/sec | Scheda di rete |
| Memoria | % Byte vincolati in uso | --- |
| Responsabile del cluster di ruoli: | Gestione delle operazioni |
| Frequenza: | Attività di configurazione |
| Requisiti di protezione: | Membro del gruppo di protezione Administrators locale |
| Dipendenze: | Presenza delle funzionalità o dei processi seguenti: - Backup dei dischi/file dei server aziendali - Percorsi di archiviazione protetti - Sistema di escalation e di monitoraggio degli avvisi (ad esempio MOM) |
| Tecnologia richiesta: | - Script MSS - Servizio Utilità di pianificazione di Windows - SchTasks.exe |
Dettagli relativi all'attività
Questa attività consente di configurare un'attività pianificata con cui eseguire un backup notturno dello stato di configurazione del server IAS. Il backup di IAS presume l'esistenza di un sistema di backup dei server aziendali; l'output del backup di questa procedura sarà un file di backup che, a sua volta, può essere sottoposto a backup da parte del sistema di backup aziendale. Potrebbe trattarsi di un backup in rete oppure di un backup su periferica locale. La soluzione presume anche che il sistema di backup dei server aziendali esegua ogni notte il backup dei dischi del server IAS.
Per configurare il backup della configurazione IAS
Pianificare il processo di backup in modo che venga eseguito di notte mediante il seguente comando, mediante il quale il processo viene impostato per essere eseguito alle 02.00 di notte.
SCHTASKS /Create /RU system /SC Daily /TN "IAS Backup" /TR C:\MSSScripts\IASExport.bat /ST 02:00
Nota: il comando viene mostrato su due righe per motivi di stampa; immetterlo come riga singola.
Configurare il sistema di backup dei server aziendali in modo da eseguire il backup del contenuto della directory D:\IASConfig ogni notte su supporti rimovibili. Se possibile, impostare uno script preliminare per verificare che la data e l'ora dei file di testo della configurazione IAS creati a partire dal file IASExport.bat non risalgano a oltre 24 ore prima. Se la data e l'indicatore orario dei file superano le 24 ore, il backup precedente non è riuscito oppure è ancora in esecuzione.
Nota: lo script IASExport.bat fornito può essere utilizzato come punto di partenza per questa attività. È necessario modificare la logica dello script IASExport.bat in modo che gli eventi di errore dello strumento netsh all'interno dello script generino eventi o notifiche che saranno rilevate dal personale operativo.
È opportuno considerare l'attivazione del controllo dei file di Windows nella directory D:\IASConfig e indicare ai controllori della protezione dei server di verificare periodicamente l'eventuale presenza di attività insolite nei dati di controllo (accesso non riuscito, ad esempio). Le informazioni contenute nella directory D:\IASConfig potrebbero consentire a un intruso di conoscere il modo di compromettere il controllo dell'accesso alla rete.
Esportazione della configurazione dei client RADIUS
Per assicurare la possibilità di ripristino in caso di errore irreversibile del server, è necessario esportare la configurazione dei client RADIUS dal server IAS. Le informazioni sui client RADIUS sono riservate e vanno protette, dal momento che contengono i segreti RADIUS univoci tra ciascun server e il relativo punto di accesso senza fili. Pertanto, le esportazioni dei client RADIUS vengono archiviate su supporti rimovibili che occorre sistemare in un luogo sicuro. Ogni backup di configurazione dei client RADIUS è univoco per ciascun server IAS.
Per consentire un ripristino completo dello stato di configurazione IAS, le configurazioni dei client RADIUS create mediante questa attività devono essere associate alla configurazione del sistema IAS creata utilizzando lo script IASClientExport.bat, illustrato dettagliatamente in un altro punto di questo modulo.
| Responsabile del cluster di ruoli: | Infrastruttura |
| Frequenza: | Attività di configurazione |
| Requisiti di protezione: | Membro del gruppo di protezione IAS Admins |
| Dipendenze: | Presenza delle funzionalità o dei processi seguenti: - Backup dei dischi/file del server aziendale - Percorsi di archiviazione protetti |
| Tecnologia richiesta: | - Script MSS - Disco floppy o altri supporti rimovibili e scrivibili |
Dettagli relativi all'attività
Le informazioni relative ai client RADIUS vengono esportate mediante il comando netsh. In questa soluzione è incluso un file batch mediante il quale le informazioni sui client RADIUS verranno esportate in un disco floppy o su altri supporti scrivibili e rimovibili.
Per esportare la configurazione dei client RADIUS
Dal prompt dei comandi del server IAS che sta esportando lo stato dei client RADIUS, eseguire il comando seguente:
C:\MSSScripts\IASClientExport.bat
Esaminare la presenza di eventuali errori o avvisi rilevati e correggerli. Dopo aver risolto la situazione, eseguire nuovamente lo script.
Archiviare i supporti di backup in modo appropriato. I dati di questo backup sono riservati in quanto contengono segreti che potrebbero essere utilizzati per accedere alla rete WLAN dell'azienda. Per questo motivo occorre trasportarli e archiviarli con la stessa attenzione e protezione utilizzate per il server IAS. È opportuno archiviare i dati di backup in un luogo fisico diverso dal server IAS stesso. In questo modo sarà possibile ripristinare il server IAS nel caso in cui tutti i computer del sito venissero distrutti o diventassero inaccessibili.
Configurazione del backup delle directory di dati IAS
Scopo di questa attività è fornire indicazioni sulle directory del server IAS che richiedono il backup per assicurare un ripristino completo dello stato di configurazione IAS e dei dati del registro RADIUS dopo un errore irreversibile del server. In un backup completo del server IAS sono incluse tutte le informazioni di configurazione del sistema operativo e tutte le altre informazioni di stato da cui dipende il server IAS.
| Responsabile del cluster di ruoli: | Infrastruttura |
| Frequenza: | Attività di configurazione |
| Requisiti di protezione: | Membro del gruppo di protezione locale Backup Operators |
| Dipendenze: | Presenza delle funzionalità o dei processi seguenti: - Backup dei dischi/file dei server aziendali - Percorsi di archiviazione protetti - Sistema di escalation e di monitoraggio degli avvisi (ad esempio MOM) |
| Tecnologia richiesta: | - Backup di Windows o sistema di backup aziendale - Servizio Utilità di pianificazione di Windows - SchTasks.exe |
Dettagli relativi all'attività
In questa attività vengono indicate dettagliatamente tutte le directory di cui eseguire il backup per assicurare il ripristino completo dello stato di configurazione IAS e dei dati dei file registro. L'attività presume la presenza di un sistema di backup dei server aziendali. Potrebbe trattarsi di un backup in rete oppure di un backup su periferica locale. La soluzione presume anche che il sistema di backup dei server aziendali venga eseguito di notte, dopo il backup dello stato di configurazione IAS (02.00), per eseguire il backup dei dischi del server IAS.
Per configurare il backup delle directory di dati IAS
Verificare che il backup dello stato di configurazione IAS sia pianificato correttamente e che venga eseguito con esito positivo. L'attività pianificata dello stato di configurazione IAS genera file dello stato della configurazione IAS sul disco rigido.
Utilizzare Blocco note per creare un file denominato backuptest.txt nella directory D:\IASLogs. All'interno del file, digitare Utilizzato per la verifica del backup e del ripristino. Salvare il file e chiudere Blocco note. Questo file sarà utilizzato in seguito nelle procedure di verifica del ripristino.
Configurare il sistema di backup dei server aziendali in modo da eseguire un backup completo, incrementale o differenziale delle seguenti directory:
D:\IASConfig
D:\IASLogs
Visualizzare i file registro del sistema di backup dei server aziendali per assicurarsi che non si siano verificati errori o avvisi. In caso di rilevamento di errori o avvisi, prendere in considerazione l'esecuzione manuale degli script di esportazione della configurazione IAS e l'esecuzione di un altro backup completo di entrambe le directory.
Archiviare i supporti di backup in modo appropriato. I dati di questo backup sono riservati in quanto contengono la configurazione del software del server che consente di accedere alla rete WLAN dell'azienda. Per questo motivo occorre trasportarli e archiviarli con la stessa attenzione e protezione utilizzate per il server IAS. È opportuno archiviare i dati di backup in un luogo fisico diverso dal server IAS stesso. In questo modo sarà possibile ripristinare il server IAS nel caso in cui tutti i computer del sito venissero distrutti o diventassero inaccessibili.
Test del backup di IAS
Scopo di questa attività è verificare, mediante un ripristino di prova, che il processo e la tecnologia di backup funzionino correttamente. L'esecuzione di un ripristino completo dei backup su hardware server di riserva assicura con la massima affidabilità che le procedure di backup funzionino correttamente. Tuttavia, tale procedura è stata creata in modo da consentire ai clienti che non dispongono dell'accesso ad hardware server di riserva di collaudare le procedure di ripristino sull'hardware di produzione con un certo grado di rischio. Il test delle procedure di ripristino sui server di produzione implica il rischio che un ripristino parziale possa rendere il server inutilizzabile. Inoltre, assicura una buona conoscenza delle fasi di ripristino e l'assenza di errori di procedura o tecnici che potrebbero impedirne il completamento in caso di errore irreversibile del server.
I dati di ripristino del server IAS includono:
Dati di esportazione dello stato di configurazione IAS, che si trovano nella directory D:\IASConfig. Se ripristinate da un nastro, queste informazioni vengono utilizzate per importare nuovamente la configurazione sul server IAS.
Dati di esportazione dei client RADIUS, che si trovano sul disco floppy o su altri supporti rimovibili scrivibili con l'etichetta "Client RADIUS per il server MSS - IAS - 01". "MSS - IAS - 01" sull'etichetta sarà sostituito con il nome del server IAS in uso. Queste informazioni sono utilizzate per il ripristino, sul server IAS, della configurazione dei client RADIUS.
Dati dei registri delle richieste RADIUS, che si trovano nella directory D:\IASLogs. Se ripristinate da un nastro, queste informazioni contengono i dati cronologici utilizzati dai controllori della protezione IAS.
Prima di eseguire un ripristino di prova, è necessario esportare manualmente i dati di esportazione della configurazione IAS e i dati di esportazione dei client RADIUS. Successivamente eseguire un backup non pianificato dei dati del server e metterlo da parte per utilizzarlo solo in caso di problemi del ripristino di prova. In questo modo si riduce il rischio che nastri difettosi ed errori che potrebbero non essere notati durante i backup normali causino un ripristino parziale di un server di produzione.
| Responsabile del cluster di ruoli: | Gestione delle operazioni |
| Frequenza: | - Prima che il server IAS diventi operativo - Ogni mese - Collaudare nuovamente quando si apportano modifiche alla tecnologia o al processo di backup |
| Requisiti di protezione: | Privilegi di Local Administrators o di Backup Operators sul computer di prova |
| Dipendenze: | Backup dei dischi/file dei server aziendali |
| Tecnologia richiesta: | - Backup di Windows o sistema di backup aziendale - Script MSS |
Dettagli relativi all'attività
In questa attività sono descritti dettagliatamente il ripristino e la verifica dei dati IAS. Saranno ripristinati tutti e tre i tipi di dati e utilizzate procedure speciali per la convalida del ripristino. Se non si esegue la verifica avanzata del ripristino, accertarsi di utilizzare un backup completo recente (quello della notte precedente) completato con esito positivo. Accertarsi anche che durante la verifica non siano state effettuate attività amministrative sul server di destinazione dall'ultimo backup.
Se questa attività viene eseguita per verificare il ripristino di un server dall'installazione iniziale di Windows Server 2003 al ripristino della configurazione IAS, è necessario eseguire i passaggi preliminari di creazione del server descritti nel modulo "Implementazione dell'infrastruttura RADIUS per la protezione di reti LAN senza fili", per assicurare che l'hardware e il software del server siano configurati correttamente per IAS. L'ordine suggerito per il ripristino di un server a seguito di una reinstallazione è il seguente:
Installare e configurare il server seguendo le indicazioni fornite nel modulo "Implementazione dell'infrastruttura RADIUS per la protezione di reti LAN senza fili" nella Guida realizzativa.
Eseguire il ripristino seguendo i passaggi indicati in questa attività.
Nota: è possibile che occorra selezionare nuovamente il certificato di autenticazione dei server RAS e IAS appena installato all'interno del criterio di accesso remoto per le reti WLAN ripristinato.
- Per verificare il backup di IAS
Nota: il primo passaggio della procedura è facoltativo ed è utilizzato in un ambiente di laboratorio di prova su hardware server non di produzione. Tuttavia assicura il ripristino di un server con uno stato instabile o la cui protezione è compromessa.
Per ripristinare un server che è diventato instabile o nel quale la protezione è stata violata, reinstallare Windows Server 2003 come indicato nel modulo "Implementazione dell'infrastruttura RADIUS per la protezione di reti LAN senza fili" della Guida realizzativa e accertarsi di copiare gli script MSS dai supporti di distribuzione alla directory C:\MSSScripts del server.
Individuare la directory D:\IASLogs e cercare il file bakuptest.txt. Se non esistono file, andare al passaggio successivo. Se si trova il file backuptest.txt, eliminarlo. Il file backuptest.txt è stato creato durante l'attività di configurazione del backup delle directory di dati IAS per simulare il ripristino di un file registro delle richieste RADIUS IAS per la convalida dei supporti e della procedura di backup. Se si preferisce, è possibile ripristinare i dati effettivi del registro delle richieste da D:\IASLogs. Si noti tuttavia che la sovrascrittura dei dati del file registro potrebbe causare la perdita di dati in caso di ripristino parziale.
Aprire lo snap-in MMC IAS, selezionare le proprietà dell'oggetto Servizio di Autenticazione Internet (locale) e controllare la scheda Generale. Aggiungere (Test di ripristino) al campo Descrizione server. Scegliere OK per chiudere la finestra di dialogo delle proprietà di IAS. La modifica della stringa di descrizione del server consente di verificare il ripristino delle impostazioni di configurazione IAS. Al termine del ripristino delle impostazioni di configurazione IAS, la stringa di descrizione del server non dovrà essere presente.
Utilizzando lo snap-in MMC IAS, fare clic con il pulsante destro del mouse sulla cartella Client RADIUS e selezionare Nuovo client RADIUS. Immettere Test di ripristino come nome descrittivoe digitare 127.0.0.1 nel campo Indirizzo client (IP o DNS). Immettere una password nei campi Segreto condiviso e Conferma segreto condiviso relativi a questo client RADIUS, quindi scegliere Fine. La creazione del nuovo client RADIUS viene utilizzata per il test dei supporti e della procedura di ripristino dei client RADIUS. Dopo il ripristino, il client RADIUS Test di ripristino non dovrebbe essere presente.
Individuare i supporti di backup che si desidera verificare(ad esempio il backup della notte precedente) in base a una pianificazione e utilizzarli per il ripristino dei seguenti dati sul disco rigido del server:
D:\IASConfig\*.*
D:\IASLogs\BACKUPTEST.TXT
Avviso: il ripristino parziale dell'intera cartella D:\IASLogs in un server di produzione potrebbe sovrascrivere i dati di produzione dei file registro RADIUS.
Dal prompt dei comandi, eseguire il comando riportato di seguito per ripristinare, nel database IAS, la configurazione IAS salvata in precedenza come file di testo. Accertarsi di controllare l'eventuale visualizzazione di errori o avvisi durante l'esecuzione dello script:
C:\MSSScripts\IASImport.bat
Nota: nei passaggi che seguono è previsto l'utilizzo di un disco floppy o di altri supporti rimovibili e scrivibili con l'etichetta "Client RADIUS per server MSS - IAS - 01", creato nel passaggio precedente. Sostituire, nell'etichetta, "MSS - IAS - 01" con il nome del server IAS in uso. Accertarsi di utilizzare il disco corretto con il server appropriato per evitare la perdita di dati.
Individuare il disco floppy (o gli altri supporti rimovibili e scrivibili) di configurazione dei client RADIUS per questo server, e inserirli nell'unità del server. Dal prompt dei comandi, eseguire il comando riportato di seguito. Accertarsi di controllare l'eventuale visualizzazione di errori o avvisi durante l'esecuzione dello script:
C:\MSSScripts\IASClientImport.bat
Chiudere e riaprire lo snap-in MMC IAS, selezionare le proprietà dell'oggetto Servizio Autenticazione Internet (locale) e controllare la scheda Generale per accertarsi che il testo (Test di ripristino) non sia più visualizzato nel campo Descrizione server. Scegliere OK per chiudere la finestra di dialogo delle proprietà di IAS.
Selezionare la cartella Client RADIUS e accertarsi che il client RADIUS Test di ripristino non sia più visualizzato nel campo a destra.
Nella parte restante della configurazione all'interno dello snap-in MMC IAS dovranno essere visualizzate le impostazioni precedenti il backup utilizzato durante la verifica.
Individuare la directory D:\IASLogs e accertarsi della presenza del file backuptest.txt. Se i passaggi di questa procedura erano relativi a un server di produzione, fare in modo che un controllore della protezione IAS controlli i file registro per assicurare che siano intatti e che siano aggiornati almeno al momento in cui è stato eseguito il backup.
È opportuno mettere nuovamente i supporti di backup e il disco floppy in un archivio protetto.
Amministrazione della protezione
L'amministrazione della protezione è responsabile del mantenimento di un ambiente informatico protetto. La protezione è una parte importante dell'infrastruttura di un'organizzazione di grandi dimensioni. In un sistema informatico con una protezione debole è probabile che si verifichino violazioni della protezione.
Accesso ai registri delle richieste RADIUS IAS
Il server IAS è in grado di registrare, a scelta, diversi eventi derivanti dalle richieste RADIUS dei punti di accesso senza fili nei registri delle richieste RADIUS che si trovano sul disco rigido del server. I registri RADIUS sono utili per un gran numero di motivi, tra cui l'identificazione di eventuali attacchi al sistema e di accesso non autorizzato alla rete aziendale. Sebbene la discussione dettagliata dell'analisi dei registri delle richieste RADIUS non rientri nell'ambito di questa guida, in questa attività saranno illustrati i metodi per controllare i registri delle richieste RADIUS.
Per analizzare i registri delle richieste RADIUS archiviati come testo in formato IAS oppure nel formato di importazione per database, possono essere utilizzati diversi metodi. In questa soluzione è stato scelto il formato di importazione per database, in quanto l'importazione di questo tipo di file in applicazioni che riconoscono il testo delimitato da virgole è relativamente semplice. Tra i metodi per l'analisi dei registri delle richieste RADIUS IAS sono inclusi i seguenti:
Individuazione diretta dei file registro mediante l'utilità IASPARSE dagli strumenti di supporto di Windows Server 2003. Questo strumento in genere viene installato ed eseguito sul server IAS stesso, per cui è necessaria una sessione remota di Telnet o di Servizi terminal. Per impostazione predefinita questa soluzione non è configurata per supportare questo metodo di visualizzazione dei file registro.
Importazione dei file registro in Microsoft Access 2002 da un computer di amministrazione remoto. Questo metodo consente a un amministratore di importare i registri in una tabella di Microsoft Access per query occasionali o nell'ambito di uno schema più ampio di reporting e archiviazione. Si tratta del metodo scelto in questa soluzione per la visualizzazione dei file registro. È opportuno che le organizzazioni di grandi dimensioni prendano in considerazione la registrazione basata su Microsoft SQL Server™ 2000 descritta di seguito.
Accesso alle informazioni dei registri tramite un cluster centrale di SQL Server 2000 di cui sono stati replicati i dati sul server IAS mediante la registrazione basata su MSDE 2000. Sebbene la configurazione di questo scenario sia piuttosto complessa, è stato pubblicato un white paper con relativo codice per supportare questo processo. Per assistenza durante il processo di configurazione di questo tipo di registrazione SQL, consultare il partner Microsoft di riferimento oppure contattare l'addetto ai clienti Microsoft che è in grado di mettere l'utente in contatto con il partner appropriato oppure con il personale dei Servizi di consulenza Microsoft.
| Responsabile del cluster di ruoli: | Protezione |
| Frequenza: | Ogni giorno oppure ogni settimana, a seconda dei requisiti di protezione |
| Requisiti di protezione: | Membro del gruppo di protezione IAS Security Auditors |
| Dipendenze: | Archiviazione su disco per l'archiviazione temporanea dei registri delle richieste RADIUS |
| Tecnologia richiesta: | IASPARSE Microsoft Access Microsoft Excel |
Dettagli relativi all'attività
I registri delle richieste RADIUS vengono generati su ciascun server di questa soluzione e archiviati in un volume disco dedicato ai file registro. I passaggi da compiere per accedere a questi file registro includono la creazione di una connessione di rete a ciascun server IAS, nonché l'analisi e l'eliminazione dei file registro non più necessari. I server IAS di questa soluzione sono configurati per la creazione di un nuovo file registro delle richieste RADIUS ogni mese. Gli amministratori IAS possono modificare questo intervallo e adattarlo alle proprie esigenze specifiche.
La tabella creata con Access verrà formattata in base al tipo di dati contenuti in ciascun campo. Sebbene in questo esempio vengano illustrate le modalità di creazione di una nuova tabella, è anche possibile importare un registro in una tabella esistente.
Per importare i file registro delle richieste RADIUS in Microsoft Access
Accedere a una workstation di amministrazione come membro del gruppo di protezione IAS Security Auditors di Active Directory ed eseguire la connessione di un'unità a un server da analizzare mediante il seguente comando digitato dal prompt dei comandi. Accertarsi di sostituire MSS - IAS - 01 con il nome del server IAS in uso:
NET USE X: \\MSS - IAS - 01\IASLogs
Individuare il file registro che rappresenta il mese che si desidera esaminare utilizzando il nome del file registro, la data e l'indicatore orario. Il nome del file registro conterrà un formato di denominazione che indica la data di creazione del file. Creare una copia del database che si desidera importare e aggiungere l'estensione **.**txt.
Prima di creare la tabella, aggiungere all'inizio del file registro creato da IAS le due righe complete fornite nel file di testo "C:\MSSScripts\IASAccessPrep.txt". La prima riga contiene i nomi degli attributi di ciascun campo del registro, utilizzati da Access per creare i nomi dei campi della tabella. L'utilizzo di questi nomi rende più semplice l'interpretazione delle voci del registro. La seconda riga viene utilizzata da Access per configurare il tipo di dati appropriato a ciascuna colonna della tabella. Dopo aver importato il file registro, è necessario eliminare queste voci dalla tabella di Access.
In Access 2002 scegliere Database vuoto. In Salva nuovo database specificare un nome file, quindi scegliere Crea una tabella mediante l'immissione di dati. Scegliere File, quindi Carica dati esterni e poi Importa.
Scegliere Importa, Tipo file, quindi File di testo, individuare il file registro IAS, selezionarlo e scegliere Importa. In Importazione guidata testo scegliere Avanzate.
Scegliere Specifica di importazione:
In Formato file scegliere Delimitato.
In Delimitatore di campo scegliere , (virgola).
In Qualificatore testo scegliere " (virgolette).
Nei campi Date, Ore e Numeri selezionare Formato anno esteso e Date con zero iniziale, quindi digitare il Formato data (ad esempio MGA), il Separatore data (ad esempio / o barra), il Separatore ora (ad esempio : o due punti) e il Separatore decimale (ad esempio , o virgola) appropriati.
Nella finestra di dialogo Importazione guidata testo scegliere Avanti, selezionare Nomi di campo nella prima riga, quindi scegliere Avanti. Scegliere Tabella nuova, quindi Avanti.
Lasciare le impostazioni predefinite in Opzioni per i campi, quindi scegliere Avanti. Scegliere Chiave primaria aggiunta automaticamente, quindi Avanti. In Importa nella tabella digitare il nome della nuova tabella. Scegliere Fine.
Nella finestra di dialogo Nome file:Database selezionare il nome del database in uso, quindi scegliere Apri per visualizzare la tabella.
Verifica delle voci del Registro eventi di autenticazione RADIUS IAS
I controllori della protezione possono utilizzare quest'attività periodicamente per controllare i tentativi di accesso non autorizzato alla rete senza fili. È possibile che i criteri di protezione interni impongano di verificare periodicamente gli eventi di autenticazione RADIUS nel Registro eventi per rilevare i tentativi di autenticazione oppure l'utilizzo di credenziali di certificati rubati.
Questa attività è facoltativa ed è segnalata solo per le piccole organizzazioni che dispongono di personale IT ridotto e che hanno scelto di disattivare gli eventi IAS di riuscita e rifiuto nei registri eventi di sistema. L'attività richiede l'appartenenza al gruppo IAS Admins oppure l'appartenenza diretta al gruppo Administrators locale. Le attività destinate a questa soluzione consentono ai controllori della protezione IAS di leggere gli eventi di autenticazione sulla condivisione IASLogs senza richiedere l'accesso al server con privilegi di amministratore completi.
| Responsabile del cluster di ruoli: | Protezione |
| Frequenza: | Ogni giorno oppure ogni settimana, a seconda dei requisiti di protezione |
| Requisiti di protezione: | Appartenenza al gruppo IAS Admins o al gruppo Administrators locale/incorporato |
| Dipendenze: | Questa attività è facoltativa e dipende dal privilegio di amministratore locale per il ruolo di controllore della protezione |
| Tecnologia richiesta: | Visualizzatore eventi o, a scelta, EventCombMT incluso in Windows Server 2003 Resource Kit |
| Responsabile del cluster di ruoli: | Protezione |
| Frequenza: | Ogni mese |
| Requisiti di protezione: | Appartenenza al gruppo di protezione IAS Security Auditors di Active Directory |
| Dipendenze: | Supporti rimovibili per memorizzare i file registro RADIUS archiviati |
| Tecnologia richiesta: | Comandi nativi di Windows |
| Responsabile del cluster di ruoli: | Supporto |
| Frequenza: | Durante la risoluzione dei problemi di un utente |
| Requisiti di protezione: | Appartenenza al gruppo di protezione Administrators locale per apportare modifiche alle impostazioni della rete WLAN |
| Dipendenze: | Potrebbe richiedere la connessione LAN per l'assistenza remota durante la risoluzione dei problemi |
| Tecnologia richiesta: | Windows XP Professional |
| Responsabile del cluster di ruoli: | Supporto |
| Frequenza: | Se necessario, durante la risoluzione dei problemi di rete WLAN di un client |
| Requisiti di protezione: | Appartenenza al gruppo di protezione Administrators locale |
| Dipendenze: | Potrebbe richiedere la connessione LAN per l'assistenza remota durante la risoluzione dei problemi |
| Tecnologia richiesta: | - Windows XP Professional - Notepad.exe |
Dettagli relativi all'attività
Una volta emessi i comandi riportati di seguito, tentare nuovamente il processo di autenticazione e visualizzare i file Eapol.log e Rastls.log della cartella %SystemRoot%\Tracing.
Per attivare l'analisi sui computer client
Eseguire i comandi seguenti:
netsh ras set tracing eapol enabled
netsh ras set tracing rastls enabled
Per disattivare l'analisi sui computer client
Eseguire i comandi seguenti:
netsh ras set tracing eapol disabled
netsh ras set tracing rastls disabled
Nota: l'analisi richiede una grande quantità di risorse del sistema e crea file registro che aumentano di dimensioni nel corso del tempo. Accertarsi di disattivare l'analisi nuovamente una volta completata la risoluzione dei problemi.
Verifica della stringa del nome di dominio sui computer client
Durante l'autenticazione reciproca EAP - TLSI i computer client non possono eseguire il controllo dei certificati revocati, in quanto i percorsi degli elenchi CRL (Certificate Revocation List) in genere non sono accessibili se prima non si è ottenuto l'accesso. Pertanto, i client Windows sono in grado di convalidare tutto o parte del nome del server nel certificato presentato dal server IAS.
L'autenticazione non riesce se il client senza fili sta effettuando la convalida del certificato del server (attivata per impostazione predefinita) ed è stato immesso un valore errato per il dominio del server IAS nel campo che indica di eseguire la connessione qualora il nome del server termini con un determinato elemento. Se si è scelto di attivare l'opzione Connetti ai server seguenti, è necessario eseguire questa attività durante la risoluzione dei problemi di autenticazione dei client. Questa soluzione non attiva l'impostazione appena descritta in quanto può visualizzare finestre di dialogo WLAN agli utenti finali. Windows XP Professional SP1 è configurato con questa opzione disattivata per impostazione predefinita.
| Responsabile del cluster di ruoli: | Supporto |
| Frequenza: | Configurazione oppure durante la risoluzione dei problemi WLAN degli utenti |
| Requisiti di protezione: | Appartenenza al gruppo di protezione Administrators locale |
| Dipendenze: | Conoscenza del percorso di dominio di IAS |
| Tecnologia richiesta: | Windows XP Professional |
| Responsabile del cluster di ruoli: | Supporto |
| Frequenza: | Durante la risoluzione dei problemi di autenticazione dei client |
| Requisiti di protezione: | Appartenenza al gruppo di protezione IAS Administrators locale oppure a un gruppo che dispone dell'accesso in lettura/salvataggio al Registro eventi di sistema |
| Dipendenze: | Approvazione da parte degli amministratori del servizio directory e del personale della protezione per l'appartenenza al gruppo di protezione appropriato |
| Tecnologia richiesta: | Snap-in MMC Visualizzatore eventi o EventCombMT incluso in Windows Server 2003 Resource Kit |
| Responsabile del cluster di ruoli: | Supporto |
| Frequenza: | Se necessario, durante la risoluzione dei problemi di connessione alla rete WLAN dei client |
| Requisiti di protezione: | Appartenenza al gruppo di protezione Administrators locale del server IAS |
| Dipendenze: | È necessaria la generazione di traffico di rete durante la risoluzione dei problemi |
| Tecnologia richiesta: | Comando netsh Blocco note |
| Responsabile del cluster di ruoli: | Supporto |
| Frequenza: | Se necessario, durante la risoluzione dei problemi di connessione client sul server IAS |
| Requisiti di protezione: | Appartenenza al gruppo di protezione Administrators locale |
| Dipendenze: | Capacità di carico sul server sufficiente a sostenere la registrazione aggiuntiva Requisiti di spazio su disco inferiori sul volume del sistema operativo |
| Tecnologia richiesta: | REGEDIT Blocco note |
Dettagli relativi all'attività
La registrazione degli errori di convalida dei certificati dei client è un evento SChannel e non è attiva sul server IAS per impostazione predefinita.
- Attivazione della registrazione SChannel sul server IAS
È possibile attivare eventi aggiuntivi SChannel modificando il valore della seguente chiave del Registro di sistema da 1 (tipo REG_DWORD, dati 0x00000001) a 3 (tipo REG_DWORD, dati 0x00000003):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\EventLogging
Avviso: modifiche non corrette al Registro di sistema potrebbero danneggiare gravemente il sistema. Prima di apportare modifiche al Registro di sistema, è consigliabile eseguire il backup di tutti i dati importanti presenti nel computer.
Accertarsi di disattivare la registrazione SChannel durante l'attività di risoluzione dei problemi.
Attività della fase di ottimizzazione
Nella fase di ottimizzazione sono incluse le funzioni SMF con cui gestire i costi mantenendo o migliorando i livelli di servizio. Tra queste rientrano l'analisi delle interruzioni o delle emergenze, l'esame delle strutture di costo, le valutazioni del personale, la disponibilità, l'analisi delle prestazioni e la previsione della capacità.
In questa sezione vengono fornite le informazioni relative alle seguenti funzioni SMF:
- Gestione della capacità
Non esistono attività per le restanti funzioni di gestione dei servizi:
Gestione dei livelli di servizio
Gestione finanziaria
Gestione della disponibilità
Gestione della continuità dei servizi IT
Gestione della forza lavoro
Gestione della capacità
La gestione della capacità è il processo di pianificazione, dimensionamento e controllo della capacità della soluzione di servizi in modo che soddisfi la richiesta degli utenti entro i livelli di prestazioni stabiliti nel contratto del livello di servizio. Il processo richiede informazioni relative agli scenari di utilizzo, agli schemi e alle caratteristiche di carico massimo della soluzione di servizi, nonché requisiti di prestazione definiti.
Determinazione del carico massimo sul server IAS
In questa sezione vengono fornite alcune informazioni sul carico massimo probabile del server IAS.
Raramente le prestazioni costituiscono un problema per i server RADIUS IAS che sono dimensionati e configurati correttamente. I server RADIUS IAS subiscono un carico maggiore durante le ore di punta, ad esempio al mattino, quando un gran numero di utenti accede contemporaneamente, subito dopo un'interruzione di rete importante o durante un errore del server RADIUS nel failover dei punti di accesso senza fili al server di backup.
| Cluster di ruoli: | Infrastruttura |
| Frequenza: | Secondo necessità |
| Requisiti di protezione: | Nessuno |
| Dipendenze: | Nessuno |
| Requisiti di tecnologia: | Nessuno |
| Tipo di autenticazione | Autenticazioni al secondo |
|---|---|
| Nuove autenticazioni EAP-TLS | 36 |
| Nuove autenticazioni EAP-TLS con scheda di supporto per la ripartizione del carico | 50 |
| Autenticazioni con Riconnessione rapida | 166 |
| Cluster di ruoli: | Infrastruttura |
| Frequenza: | Secondo necessità |
| Requisiti di protezione: | Nessuno |
| Dipendenze: | Nessuno |
| Requisiti di tecnologia: | Nessuno |
| Elemento di configurazione | Impostazione | Nome variabile |
|---|---|---|
| Nome DNS del dominio principale dell'insieme di strutture di Microsoft Active Directory | woodgrovebank.com | ForestRootDomain |
| Nome NetBIOS (Network Basic Input/Output System) del dominio | WOODGROVEBANK | NBDomainName |
| Nome server del server IAS principale | MSS - IAS - 01 | PrimaryIAShostname |
| Nome server del server IAS secondario | MSS - IAS - 02 | SecondaryIAShostname |
| Elemento di configurazione | Impostazione | Nome variabile |
|---|---|---|
| [Account] Nome completo del gruppo amministrativo che controlla la configurazione di IAS | IAS Admins | IASAdminsGroup |
| [Account] Nome pre-Windows 2000 del gruppo amministrativo che controlla la configurazione di IAS | IAS Admins | IASAdminsNTGroup |
| [Account] Nome completo del gruppo che esamina i registri delle richieste di autenticazione e accounting IAS a fini di protezione | IAS Security Auditors | IASSecAuditGroup |
| [Account] Nome pre-Windows 2000 del gruppo che esamina i registri delle richieste di autenticazione e accounting IAS a fini di protezione | IAS Security Auditors | IASSecAuditNTGroup |
| [Account] Gruppo globale Active Directory contenente gli utenti che richiedono certificati di autenticazione 802.1x | AutoEnroll Client Authentication - User Certificate | EnrollUserCertGroup |
| [Account] Gruppo globale Active Directory contenente i computer che richiedono certificati di autenticazione 802.1x | AutoEnroll Client Authentication - Computer Certificate | EnrollComputerCertGroup |
| [Account] Gruppo globale Active Directory contenente i server IAS che richiedono certificati di autenticazione 802.1X | AutoEnroll RAS and IAS Server Authentication Certificate | EnrollIASCertGroup |
| [Account] Nome pre-Windows 2000 del gruppo globale Microsoft Active Directory contenente i server IAS che richiedono certificati di autenticazione 802.1X | AutoEnroll RAS and IAS Server Authentication Certificate | EnrollIASCertNTGroup |
| [Account] Gruppo globale Active Directory contenente gli utenti a cui è consentito l'accesso alla rete senza fili | Remote Access Policy - Wireless Users | WLANUsersGroup |
| [Account] Gruppo globale Active Directory contenente i computer a cui è consentito l'accesso alla rete senza fili | Remote Access Policy - Wireless Computers | WLANComputersGroup |
| [Account] Gruppo universale Active Directory contenente il gruppo Wireless Users e il gruppo Wireless Computers | Remote Access Policy - Wireless Access | WLANAccessGroup |
| [Account] Gruppo globale Active Directory contenente i computer che richiedono la configurazione delle proprietà della rete senza fili mediante Criteri di gruppo di Active Directory | Wireless Network Policy - Computer | WLANConfigPolicyGroup |
| [Certificati] Modello di certificato utilizzato per generare i certificati per l'autenticazione client degli utenti | Client Authentication - User | UserClientAuthTemplate |
| [Certificati] Modello di certificato utilizzato per generare i certificati per l'autenticazione client dei computer | Client Authentication - Computer | ComputerClientAuthTemplate |
| [Certificati] Modello di certificato utilizzato per generare i certificati di autenticazione server che dovranno essere utilizzati da IAS | RAS and IAS Server Authentication | IASServerCertificate |
| [Script] Percorso degli script di installazione | C:\MSSScripts | ScriptPath |
| [Script] File batch di esportazione della configurazione IAS | IASExport.bat | IASExportBatch |
| [Script] File batch di importazione della configurazione IAS | IASImport.bat | IASImportBatch |
| [Script] File batch di esportazione della configurazione dei client IAS | IASClientExport.bat | IASClientExportBatch |
| [Script] File batch di importazione della configurazione dei client IAS | IASClientImport.bat | IASClientImportBatch |
| [Config] Percorso dei file di backup della configurazione | D:\IASConfig | ConfigPath |
| [Registri richieste] Percorso dei registri delle richieste di autenticazione e controllo IAS | D:\IASLogs | IASRequestLogLocation |
| [Registri richieste] Nome della condivisione dei registri delle richieste RADIUS | IASLogs | IASLogShare |
| [Criterio di accesso remoto] Nome del criterio | Allow Wireless Access | IASRAPName |
| [Criteri di gruppo] Nome dell'oggetto Criteri di gruppo (GPO) di Active Directory | Wireless Network Policy | GPONameForWLAN |
| [Criteri di gruppo] Criterio della rete senza fili all'interno dell'oggetto Criteri di gruppo | Client Computer Wireless Configuration | ClientWLANPolicy |