Меню

Настройка подлинности что выбрать



Рекомендуемые настройки для маршрутизаторов и точек доступа Wi-Fi

В целях обеспечения максимальной безопасности, производительности и надежности мы рекомендуем следующие настройки для маршрутизаторов Wi-Fi, базовых станций или точек доступа, используемых в сочетании с продуктами Apple.

Эта статья предназначена для сетевых администраторов и всех, кто управляет собственными сетями. Если вы пытаетесь подключиться к сети Wi-Fi, то найдете полезную информацию в одной из этих статей.

Прежде чем менять настройки маршрутизатора

  1. Сделайте резервную копию настроек вашего маршрутизатора на случай, если вам потребуется восстановить настройки.
  2. Обновите программное обеспечение на ваших устройствах. Крайне важно установить последние обновления системы безопасности, чтобы ваши устройства максимально эффективно работали вместе.
    • Сначала установите последние обновления прошивки для вашего маршрутизатора.
    • Затем обновите программное обеспечение на других устройствах, таких как компьютер Mac и iPhone или iPad.
  3. На каждом устройстве, которое вы ранее подключали к сети, может потребоваться забыть сеть, чтобы устройство использовало новые настройки маршрутизатора при подключении к сети.

Настройки маршрутизатора

Для обеспечения надежного повторного подключения ваших устройств к сети примените эти параметры последовательно к каждому маршрутизатору и точке доступа Wi-Fi, а также к каждому диапазону двухканального, трехканального или другого многоканального маршрутизатора.

Имя сети (SSID)

Одно уникальное имя (с учетом регистра)

Имя сети Wi-Fi или SSID (идентификатор набора услуг) — это имя, которое ваша сеть использует для сообщения о своей доступности другим устройствам. То же имя находящиеся поблизости пользователи видят в списке доступных сетей своего устройства.

Используйте уникальное для вашей сети имя и убедитесь, что все маршрутизаторы в вашей сети используют одно и то же имя для каждого поддерживаемого ими диапазона. Например, не рекомендуется использовать такие распространенные имена или имена по умолчанию, как linksys, netgear, dlink, wireless или 2wire, а также присваивать разные имена диапазонам 2,4 ГГц и 5 ГГц.

Если вы не воспользуетесь данной рекомендацией, устройства не смогут должным образом подключиться к вашей сети, всем маршрутизаторам в вашей сети или всем доступным диапазонам ваших маршрутизаторов. Более того, устройства, которые подключаются к вашей сети, могут обнаружить другие сети с таким же именем, а затем автоматически пытаться подключиться к ним.

Скрытая сеть

Отключено

Маршрутизатор можно настроить так, чтобы он скрывал свое имя сети (SSID). Ваш маршрутизатор может некорректно использовать обозначение «закрытая» вместо «скрытая» и «транслируется» вместо «не скрытая».

Скрытие имени сети не предотвращает ее обнаружение и не защищает ее от несанкционированного доступа. В связи с особенностями алгоритма, который устройства используют для поиска сетей Wi-Fi и подключения к ним, использование скрытой сети может привести к разглашению идентифицирующей информации о вас и используемых вами скрытых сетях, таких как ваша домашняя сеть. При подключении к скрытой сети на вашем устройстве может отображаться предупреждение об угрозе конфиденциальности.

В целях обеспечения безопасности доступа к вашей сети рекомендуем использовать соответствующие настройки безопасности.

Безопасность

WPA3 Personal для оптимальной безопасности или WPA2/WPA3 Transitional для совместимости с устройствами более ранних моделей

Настройки безопасности определяют тип аутентификации и шифрования, используемых вашим маршрутизатором, а также уровень защиты конфиденциальности данных, передаваемых по соответствующей сети. Какой бы уровень безопасности вы ни выбрали, всегда устанавливайте надежный пароль для подключения к сети.

  • WPA3 Personal — это самый безопасный на сегодняшний день протокол, доступный для подключения устройств к сети Wi-Fi. Он работает со всеми устройствами, поддерживающими Wi-Fi 6 (802.11ax), а также некоторыми устройствами более ранних моделей.
  • WPA2/WPA3 Transitional — это смешанный режим, при котором используется WPA3 Personal с устройствами, поддерживающими данный протокол, при этом для устройств более ранних моделей доступен протокол WPA2 Personal (AES).
  • WPA2 Personal (AES) подойдет вам, если у вас нет возможности использовать один из более безопасных режимов. В этом случае также рекомендуем выбрать AES в качестве типа шифрования, если он доступен.

Настоятельно не рекомендуем вам использовать параметры, отключающие функции защиты сети, такие как «Без защиты», «Открытая» или «Незащищенная». Отключение функций защиты отключает аутентификацию и шифрование и позволяет любому лицу подключиться к вашей сети, получить доступ к ее общим ресурсам (включая принтеры, компьютеры и интеллектуальные устройства), использовать ваше интернет-соединение и контролировать данные, передаваемые через вашу сеть или интернет-соединение (включая веб-сайты, которые вы посещаете). Такое решение сопряжено с риском, даже если функции безопасности отключены временно или для гостевой сети.

Не создавайте сети и не подключайтесь к сетям, в которых используются устаревшие протоколы безопасности, такие как WPA/WPA2 Mixed Mode, WPA Personal, TKIP, Dynamic WEP (WEP с 802.1X), WEP Open или WEP Shared. Они уже не считаются безопасными и снижают надежность и производительность сети. При подключении к таким сетям на устройствах Apple отображается предупреждение об угрозе безопасности.

Фильтрация MAC-адресов, аутентификация, контроль доступа

Отключено

Включите эту функцию для настройки маршрутизатора таким образом, чтобы он допускал подключение к сети исключительно устройств с определенными MAC-адресами (управление доступом к среде). Включение данной функции не гарантирует защиты сети от несанкционированного доступа по следующим причинам.

  • Она не препятствует сетевым наблюдателям отслеживать или перехватывать трафик сети.
  • MAC-адреса можно легко скопировать, подделать (имитировать) или изменить.
  • Чтобы защитить конфиденциальность пользователей, некоторые устройства Apple используют разные MAC-адреса для каждой сети Wi-Fi.

В целях обеспечения безопасности доступа к вашей сети рекомендуем использовать соответствующие настройки безопасности.

Автоматическое обновление прошивки

Включено

Если возможно, настройте маршрутизатор таким образом, чтобы производилась автоматическая установка обновлений программного обеспечения и прошивки по мере их появления. Обновления прошивки могут повлиять на доступные вам настройки безопасности и обеспечивают оптимизацию стабильности, производительности и безопасности вашего маршрутизатора.

Читайте также:  Стандартные настройки принтера canon

Радиорежим

Все (рекомендуется) или Wi-Fi 2 – Wi-Fi 6 (802.11a/g/n/ac/ax)

Эти параметры, доступные отдельно для диапазонов 2,4 ГГц и 5 ГГц, определяют, какие версии стандарта Wi-Fi маршрутизатор использует для беспроводной связи. Более новые версии предлагают оптимизированную производительность и поддерживают одновременное использование большего количества устройств.

В большинстве случаев оптимальным решением является включение всех режимов, доступных для вашего маршрутизатора, а не какого-то ограниченного набора таких режимов. В таком случае все устройства, в том числе устройства более поздних моделей, смогут подключаться к наиболее скоростному поддерживаемому ими радиорежиму. Это также поможет сократить помехи, создаваемые устаревшими сетями и устройствами, находящимися поблизости.

Диапазоны

Включите все диапазоны, поддерживаемые вашим маршрутизатором

Диапазон Wi-Fi подобен улице, по которой перемещаются данные. Чем больше диапазонов, тем больше объем передаваемых данных и производительность вашей сети.

Канал

Авто

Каждый диапазон вашего маршрутизатора разделен на несколько независимых каналов связи, подобных полосам движения на проезжей части. Когда установлен автоматический выбор канала, ваш маршрутизатор выбирает оптимальный канал Wi-Fi за вас.

Если ваш маршрутизатор не поддерживает автоматический выбор канала, выберите тот канал, который лучше всего работает в вашей сетевой среде. Это зависит от помех Wi-Fi в вашей сетевой среде, в том числе от помех, создаваемых любыми другими маршрутизаторами и устройствами, использующим тот же канал. Если у вас несколько маршрутизаторов, настройте каждый так, чтобы он использовал отдельный канал, особенно если маршрутизаторы расположены близко друг к другу.

Ширина канала

20 МГц для диапазона 2,4 ГГц
Авто или каналы любой ширины (20 МГц, 40 МГц, 80 МГц) для диапазона 5 ГГц

Настройка ширины канала определяет ширину полосы пропускания, доступную для передачи данных. Более широкие каналы отличаются более высокой скоростью, однако они в большей степени подвержены помехам и могут мешать работе других устройств.

  • 20 МГц для диапазона 2,4 ГГц помогает избежать проблем с производительностью и надежностью, особенно вблизи других сетей Wi-Fi и устройств 2,4 ГГц, включая устройства Bluetooth.
  • Режимы «Авто» или «Каналы любой ширины» для диапазона 5 ГГц обеспечивают наилучшую производительность и совместимость со всеми устройствами. Помехи, создаваемые беспроводными устройствами, не являются актуальной проблемой в диапазоне 5 ГГц.

Включено, если ваш маршрутизатор является единственным DHCP-сервером в сети

DHCP (протокол динамической конфигурации хоста) назначает IP-адреса устройствам в вашей сети. Каждый IP-адрес идентифицирует устройство в сети и позволяет ему обмениваться данными с другими устройствами в сети и через Интернет. Сетевому устройству нужен IP-адрес, подобно тому как телефону нужен номер телефона.

В вашей сети может быть только один DHCP-сервер. Если DHCP включен более чем на одном устройстве (например, на кабельном модеме и маршрутизаторе), конфликты адресов могут помешать некоторым устройствам подключаться к Интернету или использовать сетевые ресурсы.

Время аренды DHCP

8 часов для домашних или офисных сетей; 1 час для точек доступа или гостевых сетей

Время аренды DHCP — это время, в течение которого IP-адрес, назначенный устройству, зарезервирован для этого устройства.

Маршрутизаторы Wi-Fi обычно имеют ограниченное количество IP-адресов, которые они могут назначать устройствам в сети. Если это число исчерпано, маршрутизатор не может назначать IP-адреса новым устройствам, и эти устройства не могут связываться с другими устройствами в сети и в Интернете. Сокращение времени аренды DHCP позволяет маршрутизатору быстрее восстанавливать и переназначать старые IP-адреса, которые больше не используются.

Включено, если ваш маршрутизатор является единственным устройством, осуществляющим функцию NAT в сети.

NAT (преобразование сетевых адресов) — это преобразование адресов в Интернете в адреса в вашей сети. NAT можно сравнить с почтовым отделом компании, который распределяет отправления в адрес сотрудников, направленные по почтовому адресу компании, по кабинетам этих сотрудников внутри здания.

В большинстве случаев NAT требуется включить только на маршрутизаторе. Если функция NAT включена более чем на одном устройстве (например, на кабельном модеме и маршрутизаторе), «двойная функция NAT» может привести к потере устройствами доступа к определенным ресурсам в сети или в Интернете.

Включено

WMM (Wi-Fi multimedia) определяет приоритет сетевого трафика для повышения производительности различных сетевых приложений, таких как видео и голосовая связь. На всех маршрутизаторах, поддерживающих Wi-Fi 4 (802.11n) или более поздней версии, функция WMM должна быть включена по умолчанию. Отключение WMM может повлиять на производительность и надежность устройств в сети.

Источник

Настройка методов проверки подлинности Configure Authentication Methods

Относится к: Applies to

  • Windows 10 Windows10
  • Windows Server2016 Windows Server 2016

В этой процедуре показано, как настроить методы проверки подлинности, которые могут использоваться компьютерами в изолированном домене или изолированной изолированной зоне сервера. This procedure shows you how to configure the authentication methods that can be used by computers in an isolated domain or standalone isolated server zone.

Примечание. Если выполнить действия, описанные в этой статье, вы измените параметры по умолчанию для всей системы. Note: If you follow the steps in the procedure in this topic, you alter the system-wide default settings. Любое правило безопасности подключения может использовать эти параметры, указав значение по умолчанию на вкладке Проверка подлинности . Any connection security rule can use these settings by specifying Default on the Authentication tab.

Учетные данные администратора Administrative credentials

Для выполнения описанных ниже действий необходимо быть членом группы администраторов домена или иным образом делегированными разрешениями для изменения объектов групповой политики. To complete these procedures, you must be a member of the Domain Administrators group, or otherwise be delegated permissions to modify the GPOs.

Читайте также:  Настройки для нокиа 1100

Настройка способов проверки подлинности To configure authentication methods

В области сведений на главном экране брандмауэра защитника Windows на странице Advanced Security выберите Свойства брандмауэра защитника Windows. In the details pane on the main Windows Defender Firewall with Advanced Security page, click Windows Defender Firewall Properties.

На вкладке Параметры IPsec нажмите кнопку настроить. On the IPsec Settings tab, click Customize.

В разделе способ проверки подлинности выберите тип проверки подлинности, который вы хотите использовать, в следующих случаях: In the Authentication Method section, select the type of authentication that you want to use from among the following:

По умолчанию. Default. Выбор этого параметра указывает на то, что компьютер будет использовать метод проверки подлинности, который в настоящее время определен локальным администратором в брандмауэре защитника Windows или групповой политикой по умолчанию. Selecting this option tells the computer to use the authentication method currently defined by the local administrator in Windows Defender Firewall or by Group Policy as the default.

Компьютер и пользователь (с использованием Kerberos V5). Computer and User (using Kerberos V5). Если выбрать этот параметр, компьютер будет использовать и требовать проверки подлинности как компьютера, так и пользователя, который вошел в систему, используя свои учетные данные домена. Selecting this option tells the computer to use and require authentication of both the computer and the currently logged-on user by using their domain credentials.

Компьютер (с помощью Kerberos V5). Computer (using Kerberos V5). Если выбрать этот параметр, компьютер будет использовать и требовать проверки подлинности компьютера с использованием учетных данных домена. Selecting this option tells the computer to use and require authentication of the computer by using its domain credentials. Этот параметр работает на других компьютерах, которые могут использовать IKE v1, в том числе в более ранних версиях Windows. This option works with other computers that can use IKE v1, including earlier versions of Windows.

Пользователь (с использованием Kerberos V5). User (using Kerberos V5). Если выбрать этот параметр, компьютер будет использовать и требовать проверку подлинности пользователя, выполнившего вход в систему, используя свои учетные данные своего домена. Selecting this option tells the computer to use and require authentication of the currently logged-on user by using his or her domain credentials.

Сертификат компьютера, предоставленный этим центром сертификации. Computer certificate from this certification authority. Выбрав этот параметр и указав идентификатор центра сертификации (ЦС), вы узнаете, что компьютер должен использовать и требовать проверку подлинности с помощью сертификата, выданного выбранным центром сертификации. Selecting this option and entering the identification of a certification authority (CA) tells the computer to use and require authentication by using a certificate that is issued by the selected CA. Если вы также выберете параметр принимать только сертификаты работоспособности, то для этого правила можно использовать только сертификаты с расширенным использованием ключа проверки подлинности системы (EKU), которое обычно используется в инфраструктуре защиты доступа к сети (NAP). If you also select Accept only health certificates, then only certificates that include the system health authentication enhanced key usage (EKU) typically provided in a Network Access Protection (NAP) infrastructure can be used for this rule.

Дополнительно. Advanced. Нажмите кнопку настроить , чтобы указать пользовательскую комбинацию методов проверки подлинности, необходимых для вашего сценария. Click Customize to specify a custom combination of authentication methods required for your scenario. Вы можете задать один и тот же метод проверки подлинности , и второй способ проверки подлинности. You can specify both a First authentication method and a Second authentication method.

Первый способ проверки подлинности может принимать одно из следующих значений: The first authentication method can be one of the following:

Компьютер (Kerberos V5). Computer (Kerberos V5). Если выбрать этот параметр, компьютер будет использовать и требовать проверки подлинности компьютера с использованием учетных данных домена. Selecting this option tells the computer to use and require authentication of the computer by using its domain credentials. Этот параметр работает на других компьютерах, которые могут использовать IKE v1, в том числе в более ранних версиях Windows. This option works with other computers that can use IKE v1, including earlier versions of Windows.

Компьютер (NTLMv2). Computer (NTLMv2). Если выбрать этот параметр, компьютер будет использовать и требовать проверки подлинности компьютера с использованием учетных данных домена. Selecting this option tells the computer to use and require authentication of the computer by using its domain credentials. Этот параметр работает только с другими компьютерами, которые могут использовать AuthIP. This option works only with other computers that can use AuthIP. Проверка подлинности на основе пользователей с помощью протокола Kerberos V5 не поддерживается IKE v1. User-based authentication using Kerberos V5 is not supported by IKE v1.

Сертификат компьютера от этого центра сертификации (ЦС). Computer certificate from this certification authority (CA). Выбрав этот параметр и введя идентификатор ЦС, вы узнаете, что компьютер должен использовать и требовать проверку подлинности с помощью сертификата, выданного этим центром сертификации. Selecting this option and entering the identification of a CA tells the computer to use and require authentication by using a certificate that is issued by that CA. Если вы также выберете параметр принимать только сертификаты работоспособности, можно использовать только сертификаты, выданные сервером NAP. If you also select Accept only health certificates, then only certificates issued by a NAP server can be used.

Читайте также:  Настройка internet explorer для chrome

Предварительного ключа (не рекомендуется). Preshared key (not recommended). Выбирая этот метод и вводя общий ключ, вы сообщаете компьютеру о необходимости проверки подлинности, перетаскивая эти общие ключи. Selecting this method and entering a preshared key tells the computer to authenticate by exchanging the preshared keys. Если они совпадают, проверка подлинности завершается успешно. If they match, then the authentication succeeds. Этот метод не рекомендуется и включается только в целях обратной совместимости и тестирования. This method is not recommended, and is included only for backward compatibility and testing purposes.

Если вы выбрали вариант Первая проверка подлинности, то соединение может быть успешно установлено, даже если попытка проверки подлинности, указанная в этом столбце, завершается сбоем. If you select First authentication is optional, then the connection can succeed even if the authentication attempt specified in this column fails.

Второй способ проверки подлинности может принимать одно из следующих значений: The second authentication method can be one of the following:

User (Kerberos V5). User (Kerberos V5). Если выбрать этот параметр, компьютер будет использовать и требовать проверку подлинности пользователя, выполнившего вход в систему, используя свои учетные данные своего домена. Selecting this option tells the computer to use and require authentication of the currently logged-on user by using his or her domain credentials. Этот метод проверки подлинности работает только с другими компьютерами, которые могут использовать AuthIP. This authentication method works only with other computers that can use AuthIP. Проверка подлинности на основе пользователей с помощью протокола Kerberos V5 не поддерживается IKE v1. User-based authentication using Kerberos V5 is not supported by IKE v1.

User (NTLMv2). User (NTLMv2). Если выбрать этот параметр, компьютер будет использовать и требовать проверки подлинности пользователя, который вошел в систему, используя его учетные данные домена, и использует протокол NTLMv2 вместо Kerberos V5. Selecting this option tells the computer to use and require authentication of the currently logged-on user by using his or her domain credentials, and uses the NTLMv2 protocol instead of Kerberos V5. Этот метод проверки подлинности работает только с другими компьютерами, которые могут использовать AuthIP. This authentication method works only with other computers that can use AuthIP. Проверка подлинности на основе пользователей с помощью протокола Kerberos V5 не поддерживается IKE v1. User-based authentication using Kerberos V5 is not supported by IKE v1.

Сертификат работоспособности пользователя от этого центра сертификации (ЦС). User health certificate from this certification authority (CA). Если выбрать этот параметр и ввести идентификацию центра сертификации, компьютер будет использовать для проверки подлинности пользователей сертификат, выданный указанным центром сертификации. Selecting this option and entering the identification of a CA tells the computer to use and require user-based authentication by using a certificate that is issued by the specified CA. Если вы также выберете параметр Включить сопоставление сертификатов с учетными записями, то для предоставления или запрета доступа к указанным пользователям или группам пользователей сертификат может быть связан с пользователем в службе каталогов Active Directory. If you also select Enable certificate to account mapping, then the certificate can be associated with a user in Active Directory for purposes of granting or denying access to specified users or user groups.

Сертификат работоспособности компьютера от этого центра сертификации (ЦС). Computer health certificate from this certification authority (CA). Выбрав этот параметр и введя идентификатор ЦС, вы узнаете, что компьютер должен использовать и требовать проверку подлинности с помощью сертификата, выданного указанным центром сертификации. Selecting this option and entering the identification of a CA tells the computer to use and require authentication by using a certificate that is issued by the specified CA. Если вы также выбираете параметр принимать только сертификаты работоспособности, для этого правила можно использовать только сертификаты, включающие EKU проверки подлинности системы, которые обычно используются в инфраструктуре NAP. If you also select Accept only health certificates, then only certificates that include the system health authentication EKU typically provided in a NAP infrastructure can be used for this rule.

Если выбрать параметр Вторая проверка подлинности, соединение может быть успешно установлено, даже если попытка проверки подлинности, указанная в этом столбце, завершается сбоем. If you select Second authentication is optional, then the connection can succeed even if the authentication attempt specified in this column fails.

Внимание! Убедитесь, что не устанавливайте флажки, чтобы сделать первую и вторую проверку подлинности необязательной. Important: Make sure that you do not select the check boxes to make both first and second authentication optional. Это делает возможным соединение с открытым текстом при сбое проверки подлинности. Doing so allows plaintext connections whenever authentication fails.

Нажмите кнопку » ОК » в каждом диалоговом окне, чтобы сохранить изменения и вернуться в редактор управления групповыми политиками. Click OK on each dialog box to save your changes and return to the Group Policy Management Editor.

Источник

Adblock
detector