RADIUS i NPS w Windows Server: Wdrażanie scentralizowanego uwierzytelniania sieciowego
RADIUS i NPS w Windows Server: Wdrażanie scentralizowanego uwierzytelniania sieciowego
🎯 Cel artykułu
Ten zaawansowany przewodnik jest przeznaczony dla administratorów systemów i specjalistów ds. sieci, którzy chcą wdrożyć scalony system uwierzytelniania użytkowników i urządzeń sieciowych przy użyciu protokołu RADIUS oraz komponentu Network Policy Server (NPS) w środowisku Windows Server. Omówimy nie tylko podstawy i architekturę, ale również zabezpieczenia, integrację z Active Directory oraz scenariusze produkcyjne.
🔐 Wprowadzenie do RADIUS i NPS
RADIUS (Remote Authentication Dial-In User Service) to protokół AAA (Authentication, Authorization, Accounting) stosowany do uwierzytelniania użytkowników w sieciach komputerowych. W systemie Windows Server rolę serwera RADIUS pełni Network Policy Server (NPS).
NPS w Windows Server umożliwia:
- Centralizację uwierzytelniania i autoryzacji
- Wymuszanie polityk dostępu do sieci
- Obsługę 802.1X (switch, Wi-Fi)
- Rozliczanie sesji (accounting)
- Integrację z Active Directory i usługami certyfikatów
🏗️ Architektura i komponenty NPS
[NPS] <---> [Active Directory]
|
|
[Access Clients] <--> [802.1X Switch / AP] <--> [RADIUS Client]
Kluczowe komponenty:
- NPS (serwer RADIUS) – główny punkt decyzyjny
- RADIUS Clients – np. punkty dostępowe, przełączniki
- Connection Request Policies – warunki przyjmowania zapytań
- Network Policies – reguły uwierzytelniania użytkowników
- RADIUS Accounting – logowanie sesji i danych
📡 Scenariusze wdrożeń RADIUS
🔹 1. Autoryzacja logowania do sieci LAN/Wi-Fi przez 802.1X
Uwierzytelnianie użytkowników Windows przez AD – gwarantuje kontrolowany dostęp.
🔹 2. Uwierzytelnianie VPN
NPS jako backend RADIUS dla usług RRAS lub rozwiązania zewnętrznego (np. Cisco ASA, Fortinet).
🔹 3. Uwierzytelnianie do systemów monitoringu, firewalli, routerów
Centralna kontrola nad kontami administratorów z jednego miejsca.
👤 Integracja z Active Directory
NPS działa bezpośrednio z kontrolerami domeny Active Directory. Dzięki temu można używać istniejących kont i grup AD do uwierzytelniania oraz przypisywać polityki dostępu.
🔐 Korzyści:
- Brak konieczności tworzenia osobnych kont
- Integracja z GPO, certyfikatami i auditingiem
- Pełna kontrola nad regułami dostępu
⚙️ Zaawansowana konfiguracja polityk NPS
🔧 Connection Request Policies
Definiują, jakie zapytania będą obsługiwane przez NPS, a które zostaną przekierowane dalej.
📜 Network Policies
Pozwalają określić, którzy użytkownicy i urządzenia mogą uzyskać dostęp na podstawie:
- Grupy AD
- Typu uwierzytelniania (EAP/MSCHAPv2)
- Czasu, adresu IP klienta, ID urządzenia
Przykład warunku:
Group: „UzytkownicyVPN” + EAP-TLS + SSID: „CORPORATE”
🌐 Uwierzytelnianie 802.1X: przewodowe i bezprzewodowe
🔌 Ethernet 802.1X (switch)
Każdy port switcha żąda uwierzytelnienia użytkownika zanim pozwoli na przesył danych.
📶 Wi-Fi 802.1X (Enterprise WPA2/WPA3)
Access Point deleguje zapytanie do NPS przez protokół RADIUS.
Konfiguracja na kliencie (GPO):
Computer Configuration > Windows Settings > Security Settings > Wired Network (IEEE 802.3) Policies
🔏 Certyfikaty i EAP-TLS w środowisku produkcyjnym
Uwierzytelnianie EAP-TLS to najbezpieczniejsza metoda (certyfikaty klienta i serwera).
Wymagania:
- Usługa Active Directory Certificate Services (AD CS)
- Szablony certyfikatów dla użytkowników i komputerów
- Automatyczne rejestrowanie przez GPO
Przykład użycia EAP-TLS:
<EapType>13</EapType> <!-- TLS -->
Uwierzytelnienie odbywa się bez przesyłania haseł — tylko certyfikaty.
🛡️ Zabezpieczenia RADIUS i logowanie zdarzeń
1. Silne klucze współdzielone (Shared Secrets)
Długość min. 32 znaki, najlepiej alfanumeryczne + znaki specjalne
2. Audyt logowań NPS
Logi RADIUS znajdziesz w:
%SystemRoot%\System32\LogFiles
Możesz też logować do SQL Server lub syslog.
3. Ograniczenie dostępu do serwera NPS
Firewall + IP whitelist + RBAC
4. Segmentacja VLAN na podstawie polityk NPS
Przypisanie użytkownika do konkretnego VLAN po zalogowaniu.
🔍 Monitorowanie i troubleshooting NPS
📋 Narzędzia:
- Event Viewer (Microsoft-NPS logs)
- Network Monitor / Wireshark – analiza EAP i RADIUS
- NPS Debug Logging – zaawansowana analiza:
C:\Windows\System32\LogFiles
🔄 Komendy diagnostyczne:
Get-NpsRadiusClient
Get-NpsNetworkPolicy
✅ Najlepsze praktyki
✔️ Stosuj EAP-TLS lub PEAP zamiast MSCHAPv2
✔️ Używaj tylko zaufanych certyfikatów z wewnętrznego CA
✔️ Wymuszaj uwierzytelnianie 802.1X w LAN i Wi-Fi
✔️ Wdrażaj monitoring i logowanie RADIUS
✔️ Konfiguruj redundantne serwery NPS dla HA
✔️ Używaj PowerShell do zarządzania politykami i klientami RADIUS
✔️ Testuj polityki z kontami testowymi przed wdrożeniem
🧾 Podsumowanie
Implementacja RADIUS z użyciem Network Policy Server w Windows Server zapewnia pełną kontrolę nad dostępem do zasobów sieciowych, centralizację uwierzytelniania i integrację z Active Directory. Dzięki odpowiednio skonfigurowanym politykom, certyfikatom i mechanizmom zabezpieczającym, możliwe jest stworzenie bezpiecznej, skalowalnej i zgodnej z najlepszymi praktykami infrastruktury sieciowej.
Wdrażanie NPS i RADIUS powinno być standardem w każdej średniej i dużej organizacji, która wymaga elastyczności i bezpieczeństwa w uwierzytelnianiu użytkowników i urządzeń.
Szyfrowanie danych w pamięci RAM za pomocą VSM (Virtual Secure Mode) w Windows Server Bezpieczeństwo systemów IT stało się kluczowym Czytaj dalej
S/MIME w Windows Server – jak szyfruje i podpisuje wiadomości e-mail Bezpieczeństwo korespondencji e-mail to kluczowy element ochrony informacji w Czytaj dalej
