配置高级无线连接.docx

配置高级无线连接使用“英特尔高级网络安全性设置”来配置 Windows Vista 操作系统未配备的 EAP 网络设置。 参阅安全性概述了解有关无线网络不同安全性选项的更多信息。设置新的无线连接并配置英特尔连接设置设置连接采用“LEAP 网络验证”设置连接采用“PEAP-GTC 网络验证”设置连接采用“EAP-FAST 网络验证”设置连接采用“EAP-SIM 网络验证”设置连接采用“EAP-TTLS 网络验证” 设置连接采用“EAP-AKA 网络验证设置新的无线连接并配置英特尔连接设置设置新的无线连接并启用英特尔连接设置：1. 单击开始 网络 网络和共享中心。 2. 单击设置连接或网络。 3. 选择手动连接到无线网络。 4. 单击下一步以输入无线网络信息。 5. 网络名：输入网络标识符 (SSID)。 6. 安全类型：选择 802.1X。 7. 加密类型：默认设为 WEP。 8. 安全密钥/密码：不需要。 9. 可选设置： o 自动启动这个连接（默认）。 o 即使网络未进行广播也连接。 10. 单击下一步以确认已成功添加网络。 11. 可选：单击更改连接设置选项。英特尔连接设置12. 选择启用英特尔网络设置以配置强制性接入点，启动应用程序和/或 Cisco 选项。 13. 单击配置。 14. 可在此窗格配置以下参数。 名称说明频带选择 可在此处选择用于此连接配置式的频带： 混合式频带：选择此项使英特尔(R) PROSet/无线 WiFi 连接实用程序软件尝试将此配置式连接到使用此两种频带之一的可用网络。 2.4 GHz 频带：选择此项使 WiFi 连接实用程序尝试将此配置式仅连接到使用 2.4 GHz 频带的可用网络。 5.2 GHz 频带：选择此项使 WiFi 连接实用程序尝试将此配置式仅连接到使用 5.2 GHz 频带的可用网络。 强制的接入点强制无线适配器连接到一个使用特定 MAC 地址的接入点。输入接入点 (BSSID) 的特定 MAC 地址，48 位的 12 个十六进制数字。例如：00:06:25:0E:9D:84。清除：清除当前地址。注意：此功能在使用 ad hoc 操作模式时不可用。应用程序自动启动 在您连接至此网络时自动启动批处理文件、可执行文件或者脚本。例如：每当您连接到无线网络时便自动启动“虚拟专用网络”(VPN) 会话。1. 单击启用应用程序自动启动。 2. 输入要启动的程序的路经和文件名，或单击浏览以在您的硬驱上找到该文件。例如：C:Program FilesmyprogrammyVPNfile.exe。 3. 单击确定关闭“连接设置”。 Cisco 选项 启用无线电计量：关闭或打开此项服务。让您配置无线电计量和相关服务的 Cisco 设置。选择此项以使无线适配器为 Cisco 基础架构提供无线电管理。如果在该基础架构上使用“Cisco Radio Management（Cisco 无线电管理）”实用程序，它将配置无线电参数、检测干扰和欺诈接入点。默认设置是选中。15. 要添加额外的安全性，选择安全性选项卡。无线网络属性打开。 。16. 安全类型：选择英特尔 - CCKM -企业。 17. 加密类型：选择以下一项： o WEP：如果英特尔 - 以 802.1X 打开或 英特尔 - CCKM - 企业被选为安全性类型，则此为默认值。 o TKIP：提供每一数据包密钥混合、消息完整性核实和重新生成密钥机制。如果 英特尔 - WAP - 企业 被选为安全性属性，则此为默认值。 o AES-CCMP：（高级加密标准 - Counter CBC-MAC Protocol）在数据保护至关紧要的情况下被用作数据加密的方法。建议选择 AES-CCMP。如果 英特尔 - WAP - 企业 被选为安全性属性，则此为默认值。 18. 单击配置以设置安全性验证。 设置连接采用“LEAP 网络验证”LEAP 是用于无线 LAN 的一种验证类型。这种验证类型通过使用一个作为共享机密的登录密码支持客户端和后端服务器之间的相互强劲验证。它为每一用户、每一会话提供动态加密密钥。Cisco LEAP 提供： 使用 Windows NT/2000 Active Directory 以现有用户名和密码进行真正的单一登录 简化而便宜的部署和管理，适用于 IT 经理 可靠、可伸缩、集中的安全管理 高性能、可升级的企业级别安全性 动态隐私保护（当与 TKIP 或 AES 结合使用时） 设置 LEAP 网络验证1. 在“无线网络属性”窗口安全性类型下的安全性选项卡中选择 WPA-企业、WPA2-企业、802.1X、或英特尔-CCKM-企业。 2. 在“加密”类型下，选择需要的加密类型。 3. 验证类型：选择 LEAP。 4. 单击设置。 配置网络身份凭证1. 选择“网络身份凭证”选项卡。选择下列选项之一，配置用户名和密码： o 使用 Windows 用户名和密码。此选项将 Windows 用户名和密码用作 LEAP 网络验证的身份凭证。 o 自动提示输入用户名和密码。此选项使用独立的 LEAP 用户名和密码于网络验证。用户名和密码需向后端服务器注册。 o 使用保存的用户名和密码。此选项使用保存的 LEAP 用户名和密码于网络验证。此选项不要求每次都输入 LEAP 用户名和密码。在需要时，验证自动发生，此进程使用保存的用户名和密码（该用户名和密码已在后端服务器注册）。要配置保存的用户名和密码： 1. 在用户名字段，输入保存的用户名和域，最多 256 个字符。采用以下格式之一： 域合格用户名 域用户) UPN 格式 (用户域) 2. 在密码字段中输入密码，最多 256 个字符。 3. 在确认密码字段中重新输入密码。 2. 单击确定保存设置并关闭“LEAP 属性”对话框。 设置连接采用“PEAP-GTC 网络验证”PEAP-GTC 是用于无线 LAN 的一种验证类型。PEAP 供强大的安全性、用户数据库可扩展性、以及对一次性令牌身分验证和密码更改或老化的支持。PEAP 基于服务器端的 EAP-TLS。采用 PEAP，公司机构可避免 EAP-TLS 所要求的在每一台客户端计算机上安装数字证书的相关问题；并且可选择最适合公司要求的客户端身份验证方法，如登录密码或 OTP。Cisco PEAP客户端还能在 TLS 加密隧道建立之前隐藏用户的名身份，以此提供额外保密性：即在验证阶段中不会将用户名向外广播。PEAP 提供下列安全性优点： 借助 TLS 以允许诸如 EAP-GTC 和 OTP 支持等非加密验证类型 使用服务器端基于 PKI 的数字证书验证 允许对大量不同类型的目录（包括 LDAP、Novell NDS*、和 OTP 数据库等）进行验证 采用 TLS 加密所有用户敏感的身份验证信息 支持在密码过期时更改 不会在 EAP 身份回应时暴露登录用户名 不容易遭受字典攻击 提供动态隐私保护（当与 TKIP 或 AES 结合使用时）PEAP-GTC 是用于无线 LAN 的一种验证类型。PEAP 提供强大的安全性、用户数据库可扩展性、以及对一次性令牌身分验证和密码更改或老化的支持。PEAP 基于服务器端的 EAP-TLS。采用 PEAP，公司机构可避免 EAP-TLS 所要求的在每一台客户端计算机上安装数字证书的相关问题；并且可选择最适合公司要求的客户端身份验证方法，如登录密码或 OTP。Cisco PEAP客户端还能在 TLS 加密隧道建立之前隐藏用户的名身份，以此提供额外保密性：即在验证阶段中不会将用户名向外广播。PEAP 提供下列安全性优点： 借助 TLS 以允许诸如 EAP-GTC 和 OTP 支持等非加密验证类型 使用服务器端基于 PKI 的数字证书验证 允许对大量不同类型的目录（包括 LDAP、Novell NDS*、和 OTP 数据库等）进行验证 采用 TLS 加密所有用户敏感的身份验证信息 支持在密码过期时更改 不会在 EAP 身份回应时暴露登录用户名 不容易遭受字典攻击 提供动态隐私保护（当与 TKIP 或 AES 结合使用时） 设置 PEAP-GTC 验证1. 在“无线网络属性”窗口安全性类型下的安全性选项卡中选择 WPA-企业、WPA2-企业、802.1X、或英特尔-CCKM-企业。 2. 在“加密”类型下，选择需要的加密类型。 3. 验证类型：选择 PEAP-GTC。 4. 单击设置。 配置用户身份凭证1. 选择“用户身份凭证”选项卡。选择下列选项之一，配置用户名和密码： o 使用一次性密码。此选项提示用户提供一个一次性密码作为网络验证的 PEAP-GTC 身份凭证。使用一次性密码选项时，需要生成一个一次性密码。身份凭证不会缓存；每次服务器要求身份凭证时，都会提示用户输入身份凭证。 o 使用 Windows 用户名和密码。此选项将 Windows 用户名和密码用作 PEAP-GTC 网络验证的身份凭证。 o 自动提示输入用户名和密码。此选项将独立的 PEAP-GTC 用户名和密码用于网络验证。用户名和密码需向后端服务器注册。 o 使用保存的用户名和密码。此选项将保存的 PEAP-GTC 用户名和密码用于网络验证。此选项不要求每次都输入 PEAP-GTC 用户名和密码。在需要时，验证自动发生，此进程使用保存的用户名和密码（该用户名和密码已在后端服务器注册）。要配置保存的用户名和密码： 1. 在用户名字段，输入保存的用户名和域，最多 256 个字符。采用以下格式之一： 域合格用户名 域用户) UPN 格式 (用户域) 2. 在密码字段中输入密码，最多 256 个字符。 3. 在确认密码字段中重新输入密码。 2. 选择“连接”选项卡，或者单击确认保存设置并关闭“PEAP-GTC 属性”对话框。 配置连接使用“连接”选项卡来配置控制建立连接的设置。1. 选择“连接”选项卡。 2. 如要启用身份隐私保护，选中使用匿名外向身份框。 3. 在该字段中输入一个外向身份。此身份被用作外向身份对 EAP 身份请求作出回应。默认值是“anonymous”（匿名）；询问管理员是否应更改此默认值。（最多可输入 256 个字符。） 4. 如果使用经验证的服务器证书来建立隧道，选中验证服务器证书框。 5. 要输入可选的服务器名称，而且该名称必须与服务器提出的服务器证书相符，选中只连接至以下服务器框，然后在该字段中输入服务器名称。要输入多个服务器名称，用分号加以分隔。 注意：只有当服务器证书中的“常用名称”和主题的“其他名称”与输入的任何服务器名称相符，EAP-FAST才允许连接继续。 6. 要选择用于验证服务器证书的受信任的根 CA 证书，从受信任的根证书核证机关 (CA) 框中选取受信任的证书或证书。 注意：只有安装在主机系统上的信任的 CA 证书才出现在下拉列表中。双击一份信任的根 CA 证书以查看证书详细信息。7. 如果选中不要提示用户授权新服务器或信任的核证机关框，即指定要是服务器名称不匹配或者要是服务器证书未经选定的受信任 CA 之一签署，不提示用户授权连接。而是令验证失败。 8. 选中启用快速重新连接以允许快速重新连接。 9. 单击确定保存设置并关闭 PEAP-GTC 属性对话框。 设置连接采用“EAP-FAST 网络验证”EAP-FAST 是 Cisco Systems 开发的向公众开放的 EAP 类型。有若干种 EAP 协议，可部署于有线和无线网络。最常用的 EAP 协议为：Cisco LEAP、PEAP、和 EAP-TLS。除了这些协议外，Cisco 还开发并实施了 EAP-FAST 协议，作为标化的 EAP 协议，供部署于有线和无线 LAN 网络。EAP-FAST 的主要功能是： 在 TLS 随道加密中落实相互验证以防止字典攻击。 TLS 随道加密和加密绑定防止 MITM 攻击；高效率和低重量便于部署（无需证书或 PKI） 身份隐私保护 快速重新连接 保护性和灵活性，以通过各种内向方法支持通用用户数据库 效率高及选项多，以减少服务器资源消耗 此项 EAP-FAST 的实现还支持： “单一签入”支持、与 Windows Vista 登录程序和 EAPHost 框架相结合 密码老化（支持基于服务器的密码过期） Key Cisco Unified Wireless LAN 功能，如快速安全漫游、CCKM、和本地 RADIUS 验证等 Cisco NAC 和 Microsoft NAP 支持，用于状态证实 设置 EAP-FAST 验证1. 在“无线网络属性”窗口安全性类型下的安全性选项卡中选择 WPA-企业、WPA2-企业、802.1X、或英特尔-CCKM-企业。 2. 在“加密”类型下，选择需要的加密类型。 3. 验证类型：选择 EAP-FAST。 4. 单击设置。 配置用户身份凭证1. 选择“用户身份凭证”选项卡。选择下列选项之一，配置用户名和密码： o 使用一次性密码。此选项提示用户提供一个一次性密码作为网络验证的 PEAP-GTC 身份凭证。使用一次性密码选项时，需要生成一个一次性密码。身份凭证不会缓存；每次服务器要求身份凭证时，都会提示用户输入身份凭证。 o 使用 Windows 用户名和密码。此选项将 Windows 用户名和密码用作 PEAP-GTC 网络验证的身份凭证。 o 自动提示输入用户名和密码。此选项将独立的 PEAP-GTC 用户名和密码用于网络验证。用户名和密码需向后端服务器注册。 o 使用保存的用户名和密码。此选项将保存的 PEAP-GTC 用户名和密码用于网络验证。此选项不要求每次都输入 PEAP-GTC 用户名和密码。在需要时，验证自动发生，此进程使用保存的用户名和密码（该用户名和密码已在后端服务器注册）。要配置保存的用户名和密码： 1. 在用户名字段，输入保存的用户名和域，最多 256 个字符。采用以下格式之一： 域合格用户名 域用户) UPN 格式 (用户域) 2. 在密码字段中输入密码，最多 256 个字符。 3. 在确认密码字段中重新输入密码。 2. 选择“连接”选项卡，或者单击确认保存设置并关闭“PEAP-GTC 属性”对话框。 配置连接设置使用“连接”选项卡来配置控制建立连接的设置。 1. 如要启用身份隐私保护，在“连接”选项卡，选中使用匿名外向身份框。 2. 在该字段中输入一个外向身份。此身份被用作外向身份对 EAP 身份请求作出回应。默认值是“anonymous”（匿名）；询问管理员是否应更改此默认值。（最多可输入 256 个字符。） 3. 如果使用 PAC 来建立隧道，单击使用保护性接入身份凭证 (PAC)框。如果不选中此框，则 EAP-FAST 将作为 PEAP，每次仅使用经验证的服务器证书来建立隧道。 4. 要在 EAP-FAST 验证中允许自动检索 PAC，选中允许自动 PAC 提供框。 5. （可选）从 PAC 核证机关下拉列表中选择一个 PAC 核证机关，或者单击导入以导入一个 *.pac 文件。 注意：下拉列表含有所有曾为您提供过隧道 PAC 的 PAC 核证机关的名称。如果您尚未被提供过 PAC，那么“无”就是唯一选项。您也可选择“无”以强制主机请求提供 PAC。6. 如果使用经验证的服务器证书来建立隧道，选中验证服务器证书框。 注意：您可同时选中使用保护性接入身份凭证 (PAC) 框和验证服务器证书框来建立隧道。在此情况下，EAP-FAST 总是首先尝试使用 PAC；如果 PAC 丢失或被服务器拒绝，EAP-FAST 将后退至使用服务器证书。7. 要输入可选的服务器名称，而且该名称必须与服务器提出的服务器证书相符，选中只连接至以下服务器框，然后在该字段中输入服务器名称。用分号分隔多个服务器名称。 注意：只有当服务器证书的“主题”字段与输入的任何服务器名称相符，EAP-FAST才允许连接继续。8. 从受信任的根证书核证机关 (CA) 列表中选取用于验证服务器证书的受信任的根 CA 证书。可选择超过一个信任的根 CA。 注意：只有安装在主机系统上的信任的 CA 证书才出现在下拉列表中。双击一份信任的根 CA 证书以查看证书详细信息。9. 如果选中不要提示用户授权新服务器或信任的核证机关框，即指定要是服务器名称不匹配或者要是服务器证书未经选定的受信任 CA 之一签署，不提示用户授权连接。而是令验证失败。 10. 选择另一个要配置的选项卡，或者单击确认保存设置并关闭“EAP-FAST 属性”对话框。 配置身份验证设置使用“身份验证”选项卡来配置身份验证设置。1. 在“身份验证”选项卡中，从下拉列表中选择验证方法。从以下方法之一： o 任何方法（默认设置） 此选项允许 EAP-FAST 挑选任何 EAP 服务器要求的受支持的方法。 o EAP-GTC 如果在“用户身份凭证”选项卡中选择了使用一次性密码，此选项是唯一可用的选项。 o EAP-MSCHAPv2 o EAP-TLS 如果在“用户身份凭证”选项卡中选择了使用此计算机上的密码，此选项是唯一可用的选项。注意：EAP-FAST 模块版本 2.0 未启用配置按钮。 2. 选中启用快速重新连接以允许会话恢复。 3. 选中启用状态证实以允许查询主机的健全性信息。 4. 选择另一个要配置的选项卡，或者单击确认保存设置并关闭“EAP-FAST 属性”对话框。 设置连接采用“EAP-SIM 网络验证”EAP-SIM 使用动态的，基于会话的 WEP 密钥（由客户端适配器和 RADIUS 服务器衍生而来）为数据加密。EAP-SIM 要求您输入用户验证代码，或 PIN，以便与“订购者身份模块”(SIM) 通讯。SIM 卡是一种特殊的智能卡，用于基于“移动通信全球系统”(GSM) 的数字式手机网络。 EAP-SIM 验证可用于： 安全类型：英特尔 - 以 802.1X 打开，英特尔 - WPA - 企业，英特尔 - WPA2 - 企业 加密类型：对英特尔 - 以 802.1X 打开：WEP。对“WPA-企业”和“WPA2-企业”：TKIP 或 AES - CCMP 注意：为使用 EAP-SIM 验证的 Windows Vista 创建管理员配置式时，在网络验证类型中无“共享”可用。此外，不能为 EAP-SIM 验证创建“持续管理员”配置式。注意：在为 Windows Vista 创建管理员配置式时，如果“网络验证”被设为“开放”，着“数据加密”将固定为 WEP。 设置 EAP-SIM 验证1. 在“无线网络属性”窗口安全性类型下的安全性选项卡中选择 WPA-企业、WPA2-企业、802.1X、或英特尔-CCKM-企业。 2. 在“加密”类型下，选择需要的加密类型。 3. 身份验证类型：选择 EAP-SIM。 4. 单击设置。 5. 在以下窗格中指定用户名（身份）：单击以指定用户名。 6. 用户名：输入指派给 SIM 卡的用户名。 7. 单击确定。 设置连接采用“EAP-TTLS 网络验证”TTLS 验证：这些设置定义用来验证用户的协议和凭证。客户端使用 EAP-TLS 来证实服务器，并在客户端与服务器之间创建一个 TLS 加密的频道。客户端可使用另一个验证协议。通常基于密码的协议促使此类加密的信道启用服务器证实。挑战和相应数据包通过一条非暴露的 TLS 加密频道发送。目前的 TTLS 实现支持所有 EAP 定义的方法。身份验证协议 PAP：“密码验证协议”是设计用于 PPP 的双通握手协议。“密码验证协议”是用在老式的 SLIP 系统上的纯文本密码。它不具安全性。 CHAP：“挑战握手验证协议”是一种三通握手协议，据认为它比 PAP 验证协议较安全。 MS-CHAP (MD4)：使用 Microsoft 版本的 RSA Message Digest 4 挑战-回应协议。它仅在 Microsoft 系统上工作，并启用数据加密。选择此验证方法使所有数据都加密。 MS-CHAP-V2：推出一项在 MS-CHAP-V1 或标准 CHAP 验证中不包含的额外功能：更改密码功能。此功能允许客户端在 RADIUS 服务器报告密码过期时更改帐户密码。 设置 EAP-TTLS 网络验证步骤 1 / 2：TTLS 用户要设置连接采用 EAP-TTLS 验证：1. 在“无线网络属性”窗口安全性类型下的安全性选项卡中选择 WPA-企业、WPA2-企业、802.1X、或英特尔-CCKM-企业。 2. 在“加密”类型下，选择需要的加密类型。 3. 验证类型：选择 EAP-TTLS。 4. 单击设置。 5. 身份验证协议：此参数指定在 TTLS 隧道中运行的身份验证协议。协议有：PAP（默认）、CHAP、MS-CHAP 和 MS-CHAP-V2。参阅安全性概述获得更多信息。 6. 用户身份凭证：选择每次连接时提示我或者使用以下、或使用 Windows 登录。 名称说明我每次连接时提示 选择以在连接到无线网络之前提示用户名和密码。用户名和密码必须首先由管理员在验证服务器上设定。 使用以下 用户名和密码安全地（加密）保存在配置式中。 用户名：此用户名必须与在验证服务器上设定的用户名匹配。 域：验证服务器上的域的名称。服务器名标识一个域或其中一个子域（例如 ，而服务器是 ）。注意：与管理员联系获得域名。 密码：此密码必须与在验证服务器上设定的密码匹配。输入的密码字符以星号显示。 确认密码：重新输入用户密码。使用 Windows 登录 仅须使用 Windows 登录参数，并且不向用户要求更多信息。 3. 漫游身份：如果“漫游身份”字段已清除，默认身份为 %domain%username%。 将 802.1X MS RA