Программа Администратор

Пакеты администратора для Windows XP*

ПРИМЕЧАНИЕ. Для создания и экспорта пакета в компьютер, работающий под управлением Microsoft Windows Vista*, необходимо создать пакет на компьютере с работающей системой Windows Vista. Нельзя создавать пакет для Windows Vista на компьютере под управлением Microsoft Windows XP*.

Профили администратора

Эти профили являются общими для всех пользователей этого компьютера. Конечные пользователи не могут изменять эти профили. Их можно модифицировать только в защищенной паролем программе Администратор.

Однако можно создать профили Передача голоса по (VoIP) для экспорта в приложение управления голосовой связью и добавить их в пакет вместе с созданными заранее общими или существующими профилями VoIP. Существует два типа профилей администратора: постоянные и предварительные или общие.

Постоянные профили

Профили постоянного подключения используются во время загрузки компьютера, или когда в систему еще не вошел ни один пользователь. После выхода пользователя из системы беспроводное подключение обслуживается постоянным профилем до тех пор, пока компьютер не будет выключен или в систему не войдет другой пользователь.

Ключевые положения для постоянного профиля:

• Профили следующих типов можно создать в качестве постоянных:
  • Все профили, для которых не требуется аутентификация 802.1X (например, открытая аутентификация с WEP-шифрованием, открытая аутентификация без шифрования).
  • Все профили с аутентификацией 802.1X, с сохраненными учетными данными: LEAP или EAP-FAST.
  • Профили с настройками защиты, включающими параметр "Использовать следующие имя пользователя и пароль".
  • Профили, использующие для аутентификации сертификат компьютера.
  • Профили WPA*-предприятие, которые не используют сертификат пользователя.
  • Профили WPA-персональная.
• Постоянные профили применяются в системе во время включения питания и выхода пользователя из сеанса Windows.

ПРИМЕЧАНИЕ. Утилита подключений WiFi поддерживает сертификаты безопасности компьютеров. Однако они не отображаются в списке сертификатов.

Для создания постоянного профиля:

1. Выберите Включить профили в этот пакет.
2. Щелкните Постоянный.
3. Щелкните Добавить для открытия страницы "Общие настройки".
4. Имя профиля: Введите описательное имя.
5. Имя сети WiFi (SSID): Введите имя своей сети WiFi.
6. Режим работы: Сеть (Infrastructure) - выбрано по умолчанию.
7. Тип профиля администратора: Постоянный: Активен, когда в системе нет пользователей.
8. Щелкните Далее.
9. Выберите Корпоративная защита для открытия страницы Настройки защиты. См. разделы TLS, TTLS, PEAP, LEAP или EAP-FAST для получения информации о конфигурации защиты для сетей 802.1X.
10. Щелкните OK.

Предварительное подключение/общий

Предварительные/общие профили применяются до входа пользователя в систему. Если в компьютере установлена функция Single Sign On, подключение выполняется перед процедурой входа пользователя в сеанс Windows (предварительное/общее подключение).

Если поддержка Single Sign On не установлена, профиль начинает работу после того, как станет активен сеанс пользователя. Предварительные/общие профили всегда находятся в верхней части списка профилей. Пользователь может установить приоритет использования для профилей, но не может это сделать для предварительных/общих профилей. Так как эти профили появляются в верхней части списка профилей, утилита подключений WiFi начинает автоматически использовать для подключения профили администратора, и только затем профили, созданные пользователем.

ПРИМЕЧАНИЕ. Только администраторы могут создавать или экспортировать предварительные/общие профили.

Ключевые положения для предварительного подключения:

• Предварительное подключение активно во время входа в Windows.
• Профили следующих типов можно создать в качестве профилей предварительного/общего подключения:
  • Профили 802.1X PEAP, TTLS или EAP-FAST с настройками защиты, имеющие включенные параметры "Использовать имя пользователя и пароль входа Windows" или "Использовать следующие имя пользователя и пароль".
  • Профили LEAP - это профили, используемые с параметром "Запрашивать имя пользователя и пароль" во время конфигурации настроек защиты профиля.
  • Профили 802.1X PEAP или TTLS, использующие сертификат компьютера или пользователя (пользователь должен иметь административные права для использования сертификатов компьютера).
  • Профили TLS, использующие цифровые сертификаты для проверки идентификации клиента и сервера.
  • Профили EAP-SIM, использующие SIM-карту (Subscriber Identity Module) для проверки подлинности вашей идентификационной информации в сети.
  • Все общие профили и профили пользователей не-802.1X (профили открытой и WEP-аутентификации).
• Профиль предварительного/общего подключения применяется во время входа пользователя в Windows.

Состояние предварительного/общего подключения

Поддержка профилей предварительного/общего подключения устанавливается во время выборочной установки утилиты подключений WiFi. Подробную информацию см. в разделе Установка или удаление функций единого входа (Single Sign On).

ПРИМЕЧАНИЕ. Если функции Single Sign On или предварительного подключения не установлены, администратор все еще может создать предварительные / общие профили для их экспорта в компьютеры пользователей.

Далее приведена информация о том, как работает функция "Pre-Logon Connect" (Предварительное подключение) с момента активизации системы. Предполагается, что будет использован ранее созданный профиль. Предполагается также, что был создан профиль с действительными настройками защиты "Использовать вход Windows" или "Сохраненная идентификационная информация", которые используются во время входа в Windows.

1. После включения питания системы введите информацию входа в домен, имя пользователя и пароль.
2. Щелкните OK. На странице состояния предварительного/общего профиля отображается информация об установлении сетевого соединения. После подключения адаптера WiFi к сетевой точке доступа страница состояния будет закрыта и отобразится диалог входа в Windows.
   • Если соответствующая точка доступа отклонит вашу идентификационную информацию во время предварительного/общего подключения, отобразится диалог ввода учетных данных.
   • Введите идентификационную информацию.
   • Щелкните OK. Профиль будет применен, и отображен диалог состояния, показывающий выполнение подключения во время вашего входа в Windows.
   • Нажмите Отмена на странице "Идентификационная информация" для выбора другого профиля.

ПРИМЕЧАНИЕ. Сертификат пользователя доступен только для пользователя, аутентифицированного в компьютере. Поэтому, пользователю необходимо один раз войти в систему компьютера (через кабельное подключение, используя другой профиль или локально) перед использованием профиля предварительного/общего подключения, аутентификация которого использует сертификат.

После выхода из системы, любое беспроводное подключение будет разорвано и будет применен (если доступен) профиль постоянного подключения. Это необходимо в определенных ситуациях, когда нужно поддержание текущего подключения (например, если требуется загрузка на сервер пользовательских данных после выхода из системы или если используются профили роуминга).

Для активизирования этой функции нужно создать профиль, имеющий эти две характеристики - предварительного/общего и постоянного подключения. Если такой профиль работал во время выхода пользователя из системы, текущее подключение останется активным.

Для создания предварительного/общего профиля:

1. Выберите Включить профили в этот пакет.
2. Щелкните Предварительное подключение/общий.
3. Щелкните Добавить для открытия страницы "Общие настройки".
4. Имя профиля: Введите описательное имя.
5. Имя сети WiFi (SSID): Введите идентификатор сети.
6. Режим работы: Сеть (Infrastructure) - выбрано по умолчанию.
7. Тип профиля администратора: Предварительное подключение/общий: Активен, когда пользователь находится в системе. Этот профиль используется всеми пользователями. Этот тип профиля уже выбран.
8. Щелкните Далее.
9. Щелкните Дополнительно для открытия и конфигурации дополнительных настроек. См. раздел Дополнительные настройки.
10. Щелкните OK для закрытия страницы дополнительных настроек.
11. Выберите Корпоративная защита для открытия страницы Настройки защиты. См. разделы EAP-SIM, TLS, TTLS, PEAP, LEAP, EAP-FAST для получения информации о конфигурации защиты для сетей 802.1X.
12. Щелкните кнопку OK для сохранения профиля и добавления его в список профилей администратора.

ПРИМЕЧАНИЕ. Если постоянное подключение уже установлено и если профиль сконфигурирован для обеих функций предварительного/общего и постоянного подключения, профиль предварительного/общего подключения будет игнорирован.

---

Исключение сетей

Администраторы могут выбрать нужные сети WiFi для исключения их из списка подключений. После исключения сети только администратор может удалить ее из списка исключений. Исключенная сеть отображается в списке "Управление списком исключений" с помощью следующего значка:

Для исключения сети WiFi:

1. Выберите Включить профили в этот пакет.
2. Щелкните Исключить.
3. Щелкните Добавить для открытия страницы "Исключение сети (SSID)".
4. Имя сети: Введите имя сети, которую вы хотите исключить.
5. Щелкните OK для добавления имени сети в список.

Для удаления сети WiFi из списка исключений:

1. Выберите сеть в списке исключений.
2. Щелкните Удалить. Сеть будет удалена из списка.

---

Подключение для передачи голоса по IP (VoIP)

Утилита подключений WiFi поддерживает приложения телефонных систем для передачи голоса по протоколу IP производства сторонних производителей. Приложения передачи голоса по IP независимых изготовителей содержат кодеки обработки голосовых данных. Обычно кодеки выполняют сжатие данных для сохранения полосы пропускания сети. Утилита подключений WiFi поддерживает следующие международные стандарты кодеков союза ITU (International Telecommunications Union):

Группы A-ID EAP-FAST

ПРИМЕЧАНИЕ. Данная функция недоступна, если параметр CCXv4 не был выбран в настройках приложения программы Администратор.

Идентификатор установления подлинности (A-ID) – это сервер RADIUS, который идентифицирует ключи PAC (Protected Access Credentials) групп A-ID. Группы A-ID – это группы, используемые всеми пользователями компьютера и разрешающие профилям EAP-FAST поддерживать несколько ключей PAC от нескольких идентификаторов установления подлинности (A-ID).

Группы A-ID могут быть заранее сконфигурированы администратором на странице Пакет администратора в компьютере пользователя. После обнаружения сетевым профилем WiFi сервера с идентификатором A-ID, принадлежащим к той же группе, что и идентификатор A-ID указанный в профиле сети WiFi, он начинает использовать этот ключ PAC без запроса информации пользователя.

Для добавления группы A-ID:

1. Выберите Включить использование групп A-ID.
2. Щелкните Добавить.
3. Введите имя новой группы A-ID.
4. Щелкните OK. Группа A-ID будет добавлена в список групп A-ID.

Если группа A-ID блокирована, дополнительные группы A-ID не могут быть добавлены.

Для добавления A-ID в группу A-ID:

1. Выберите группу из списка групп A-ID.
2. Выберите Добавить в разделе A-ID.
3. Выберите A-ID.
4. Щелкните OK. Группа A-ID добавлена в список.

После того, как группа A-ID выбрана, идентификаторы A-ID извлекаются из ключей PAC в сервер групп A-ID. Список идентификаторов A-ID заполняется автоматически.

---

Задачи администратора

Как получить сертификат клиента

Если у вас нет никаких сертификатов для EAP-TLS (TLS) или EAP-TTLS (TTLS), вы должны получить сертификат клиента, чтобы выполнить аутентификацию.

Управление сертификатами может осуществляться из меню "Свойства обозревателя", доступного из Internet Explorer или панели управления Windows.

Windows XP: При получении сертификата клиента не включайте повышенную защиту личного ключа. Если вы включите повышенную защиту личного ключа для сертификата, вы должны будете вводить пароль доступа для сертификата при каждом его использовании. Если вы конфигурируете службу TLS- или TTLS-аутентификации, необходимо отключить повышенную защиту личного ключа для сертификата. В противном случае произойдет ошибка аутентификации 802.1X, так как пользователь еще не вошел в систему для предоставления требуемого пароля.

Замечания по использованию смарт-карт

После установки службы использования смарт-карт сертификат будет автоматически установлен в ваш компьютер и его можно будет выбрать из списка личных сертификатов или из списка сертификатов корневого контейнера.

Настройка клиента с сетевой аутентификацией TLS

Действие 1. Получение сертификата

Для включения TLS-аутентификации необходимо иметь допустимый сертификат (пользователя) в локальном контейнере пользователя, входящего в систему. Вам также потребуется сертификат доверенного центра сертификации в корневом контейнере.

Далее представлены два способа получения сертификата:

• из корпоративного центра сертификации Windows 2000 Server:
• с помощью импорта сертификата из файла с использованием Internet Explorer.

Если вы не знаете, как получить сертификат пользователя из ЦС, обратитесь к сетевому администратору.

Для установки ЦС в локальной системе:

1. Получите ЦС и храните его на локальном диске.
2. Щелкните Импорт. Будет открыт мастер импорта сертификатов.
3. Щелкните Далее.
4. Нажмите Обзор для нахождения сертификата на локальном диске.
5. Выберите экспорт сертификата.
6. Щелкните Открыть.
7. Щелкните Далее.
8. Выберите Поместить все сертификаты в следующее хранилище.
9. Щелкните Обзор для доступа к странице Выбор хранилища сертификата.
10. Щелкните Показать физические хранилища.
11. Щелкните OK.
12. В списке хранилищ разверните доверенное корневое хранилище центров сертификации.
13. Выберите Локальный компьютер.
14. Щелкните OK.
15. Щелкните Далее.
16. Щелкните Готово для завершения установки.
17. Перезагрузите систему после установки сертификата.

Используйте консоль MMC (Microsoft Management Console) для проверки того, что ЦС установлен в хранилище сертификатов машины.

1. В меню "Пуск" выберите Выполнить.
2. Введите MMC.
3. Щелкните кнопку OK для открытия консоли управления Microsoft.
4. Щелкните Файл.
5. Щелкните Добавить/удалить оснастку.
6. Щелкните Добавить для закрытия страницы добавления отдельного подключаемого модуля.
7. Щелкните Сертификаты.
8. Щелкните Добавить.
9. Щелкните Учетная запись компьютера.
10. Щелкните Далее.
11. Щелкните Готово.
12. Щелкните Закрыть.
13. Щелкните OK.
14. На консоли щелкните Сертификаты (локальный компьютер).
15. Щелкните Корневое хранилище центров сертификации.
16. Щелкните Сертификаты.
17. Убедитесь, что установленный центр сертификации находится в списке.
18. Щелкните Файл.
19. Щелкните Выход для закрытия консоли.

Получение сертификата из ЦС Microsoft Windows 2000*:

1. Запустите Internet Explorer и перейдите к службе "Certificate Authority HTTP Service" (используя ссылку, например, http://yourdomainserver.yourdomain/certsrv, где "certsrv" - команда, которая откроет для вас центр сертификатов). Вы также можете использовать IP-адрес сервера. Например, "192.0.2.12/certsrv".
2. Войдите в центр сертификации (ЦС) с именем и паролем пользователя, созданного вами ранее в сервере аутентификации. Имя пользователя и пароль не должны быть теми же самыми, какие имеет ваш текущий пользователь Windows.
3. На странице приветствия ЦС выберите запрос сертификата и отправку формы.
4. Выбор типа запроса: Выберите Расширенный запрос.
5. Щелкните Далее.
6. Расширенный запрос сертификата: Выберите Отправить запрос сертификата в ЦС с помощью формы.
7. Щелкните Отправить.
8. Расширенный запрос сертификата: Выберите Шаблон сертификата пользователя.
9. Выберите Пометить ключи для экспорта.
10. Щелкните Далее. Используйте предложенные установки.
11. Сертификат выдан: Щелкните Установить этот сертификат.

ПРИМЕЧАНИЕ. Если это первый, полученный вами сертификат, центр сертификатов сделает у вас запрос, хотите ли вы установить доверенный сертификат ЦС в корневом контейнере. Это не сертификат доверенного ЦС. Имя сертификата отражает хост центра сертификации. Щелкните Да. Вам нужен этот сертификат для TLS и TTLS.

12. Если ваш сертификат успешно установлен, вы увидите сообщение "Ваш новый сертификат успешно установлен".
13. Для проверки установки щелкните Internet Explorer > Инструменты > Свойства обозревателя > Содержание > Сертификаты. Новый сертификат должен быть записан в папку "Личные".

Импорт сертификата из файла

1. Откройте "Свойства обозревателя" (щелкните правой кнопкой значок Internet Explorer на рабочем столе).
2. Выберите Свойства.
3. Содержимое: Щелкните Сертификаты. Появится список установленных сертификатов.
4. Щелкните Импорт для запуска мастера импорта сертификатов.
5. Выберите файл.
6. Укажите ваш пароль доступа к файлу. Отмените параметр Включить повышенную защиту личного ключа.
7. Хранилище сертификатов: Выберите Автоматически выбирать контейнер сертификата на основании типа сертификата (сертификат должен находиться личном в контейнере пользователя).
8. Перейдите к окну Завершение импорта сертификата и щелкните кнопку Готово.

Для конфигурации профиля с сетевой аутентификацией WPA-персональная и шифрованием данных WEP или TKIP с использованием аутентификации TLS:

ПРИМЕЧАНИЕ. Для получения и установки сертификата см. действие 1 или обратитесь к сетевому администратору.

Укажите сертификат, используемый утилитой подключений WiFi.

1. На странице "Профили" щелкните Добавить для открытия страницы "Общие настройки".
2. Имя профиля: Введите имя профиля.
3. Имя сети WiFi (SSID): Введите идентификатор сети.
4. Режим работы: Сеть (Infrastructure) - выбрано по умолчанию.
5. Нажмите Далее для открытия страницы Настройки защиты.
6. Щелкните Корпоративная защита.
7. Сетевая аутентификация: Выберите Открытая (рекомендуется).
8. Шифрование данных: Выберите WEP.
9. Включить 802.1X: Выбрано.
10. Тип аутентификации: Выберите TLS.

Действие 1 из 2. Пользователь TLS

1. Получите и установите сертификат клиента.
2. Выберите одно из следующих действий для получения сертификата:

Имя	Описание
Статический пароль	При подключении пользователь должен ввести свои учетные данные.
Одноразовый пароль (OTP)	Получает пароль из аппаратного устройства или программы выдачи идентификационной информации.
PIN-код (простая идентификация)	Получает пароль из программы выдачи простой идентификационной информации.

3. Щелкните Далее.

Действие 2 из 2. Сервер TLS

1. Выберите один из следующих методов запроса идентификации: Проверить сертификат сервера или Указать имя сервера/сертификат.
2. Щелкните OK. Профиль будет добавлен в список профилей.
3. Выберите новый профиль в конце списка "Профили". Используйте клавиши со стрелками вверх и вниз для установки приоритета нового профиля в списке приоритетов.
4. Нажмите кнопку Подключить для подключения к выбранной сети WiFi.
5. Щелкните OK для закрытия приложения.

---

К началу страницы

К содержанию