WPA2 Personal - Развертывание через GPO
У меня более 300 клиентов win7, на которых мне нужно развернуть WPA2 Personal PSK. Я могу использовать объект групповой политики для развертывания информации SSID на клиентах, что хорошо, но не PSK. Существует ли простой / понятный способ написания сценария, чтобы PSK можно было вводить на машинах?
Если возможно, я не хочу давать PSK конечным пользователям.
2 ответа
Если вы предварительно установили общий ключ на более чем 300 компьютерах в руки пользователей, не ждите, что он надолго останется секретом.
Даже если вы не хотите выполнять аутентификацию для каждого пользователя, вам лучше использовать WPA2-Enterprise (WPA2 с аутентификацией 802.1X) и использовать EAP-TLS и сертификаты для каждого компьютера. Таким образом, даже если кому-то удастся экспортировать / извлечь закрытый ключ, который идет с сертификатом TLS его машины, вы можете отозвать и повторно набрать эту одну машину без необходимости повторного ввода всего вашего парка.
(Извиняюсь, если это я, будучи плотным)
Если вы нашли способ развернуть ключ, вы наверняка нарушите беспроводную связь для своих пользователей, поскольку окажетесь в ловушке 22 ситуации.
пример
Старый ключ WPA abc (которые ноутбуки уже сохранили). Ваш скрипт развертывает новый ключ 123, Беспроводная связь теперь сломана, потому что ноутбук теперь думает, что ключ 123 но ваши точки доступа знают, что это все еще abc,
И наоборот, вы меняете свои точки доступа, поэтому ключ теперь 123Но твои ноутбуки все еще верят abcТаким образом, они не могут подключиться, чтобы получить параметры групповой политики, чтобы развернуть этот новый ключ.
У вас также есть проблема, которая уже была отмечена, что ключ может быть очень легко получить. Я лично использовал такие программы раньше как одолжение одному из наших сотрудников, которые получили новый ноутбук, не знали своего домашнего беспроводного пароля, но имели его на своем старом ноутбуке.