Robert Asked: 2010-03-13 11:54:47 +0800 CST2010-03-13 11:54:47 +0800 CST 2010-03-13 11:54:47 +0800 CST WPA2 Personal - 通过 GPO 部署 772 我有 300 多个 win7 客户端需要在其上部署 WPA2 Personal PSK。我可以使用 GPO 在客户端上部署 SSID 信息,这很好,但不是 PSK。是否有一种干净/简单的方法来编写脚本,以便可以在机器上输入 PSK? 如果可能的话,我不想将 PSK 提供给最终用户。 group-policy windows-7 wpa 2 个回答 Voted Spiff 2010-03-13T12:31:28+08:002010-03-13T12:31:28+08:00 如果您在用户手中的 300 多台机器上预先安装了一个共享密钥,请不要指望它会长期保密。 即使您不想进行每用户身份验证,您最好还是使用 WPA2-Enterprise(带有 802.1X 身份验证的 WPA2)并使用 EAP-TLS 和每机器证书。这样,即使有人确实设法导出/提取了与他们机器的 TLS 证书一起使用的私钥,您也可以撤销并重新加密该机器,而无需重新加密整个机队。 Ben Pilbrow 2010-03-13T14:41:52+08:002010-03-13T14:41:52+08:00 (抱歉,如果这是我的密集) 如果您确实找到了部署密钥的方法,那么您肯定会破坏您的用户的无线连接,因为您发现自己处于第 22 条问题的境地。 示例 旧 WPA 密钥是abc(笔记本电脑已经存储了该密钥)。您的脚本部署新密钥123。无线现在坏了,因为笔记本电脑现在认为关键是123,但您的接入点知道它仍然存在abc。 相反,您更改了您的访问点,因此密钥现在是123,但您的笔记本电脑仍然认为它是abc,因此它们无法连接以获取组策略设置,以部署此新密钥。 您也有问题,已经指出可以很容易地获得密钥。我个人以前曾使用过这样的程序来帮助我们的一位员工,他们有一台新笔记本电脑,不知道他们的家庭无线密码,但他们的旧笔记本电脑上有密码。
如果您在用户手中的 300 多台机器上预先安装了一个共享密钥,请不要指望它会长期保密。
即使您不想进行每用户身份验证,您最好还是使用 WPA2-Enterprise(带有 802.1X 身份验证的 WPA2)并使用 EAP-TLS 和每机器证书。这样,即使有人确实设法导出/提取了与他们机器的 TLS 证书一起使用的私钥,您也可以撤销并重新加密该机器,而无需重新加密整个机队。
(抱歉,如果这是我的密集)
如果您确实找到了部署密钥的方法,那么您肯定会破坏您的用户的无线连接,因为您发现自己处于第 22 条问题的境地。
示例
旧 WPA 密钥是
abc(笔记本电脑已经存储了该密钥)。您的脚本部署新密钥123。无线现在坏了,因为笔记本电脑现在认为关键是123,但您的接入点知道它仍然存在abc。相反,您更改了您的访问点,因此密钥现在是
123,但您的笔记本电脑仍然认为它是abc,因此它们无法连接以获取组策略设置,以部署此新密钥。您也有问题,已经指出可以很容易地获得密钥。我个人以前曾使用过这样的程序来帮助我们的一位员工,他们有一台新笔记本电脑,不知道他们的家庭无线密码,但他们的旧笔记本电脑上有密码。