Назад | Перейти на главную страницу

WPA2 Personal - развертывание через GPO

У меня более 300 клиентов win7, на которых мне нужно развернуть WPA2 Personal PSK. Я могу использовать GPO для развертывания информации SSID на клиентах, что хорошо, но не PSK. Есть ли чистый / простой способ написать сценарий, чтобы PSK можно было ввести на машинах?

Если возможно, я не хочу отдавать PSK конечным пользователям.

Если вы предварительно установили общий ключ на более чем 300 компьютерах в руках пользователей, не ожидайте, что он останется секретом надолго.

Даже если вы не хотите выполнять аутентификацию для каждого пользователя, вам лучше использовать WPA2-Enterprise (WPA2 с аутентификацией 802.1X) и использовать EAP-TLS и сертификаты для каждой машины. Таким образом, даже если кому-то удастся экспортировать / извлечь закрытый ключ, который идет с сертификатом TLS его машины, вы можете отозвать и переназначить ключ этой одной машины без необходимости переназначать весь свой парк.

(Прошу прощения, если это я тупица)

Если бы вы нашли способ развернуть ключ, вы наверняка нарушили бы беспроводное соединение для своих пользователей, поскольку оказались в ситуации «ловушки 22».

пример
Старый ключ WPA abc (который в ноутбуках уже хранится). Ваш скрипт развертывает новый ключ 123. Беспроводная связь теперь не работает, потому что ноутбук теперь думает, что ключ 123 но ваши точки доступа знают, что это все еще abc.

И наоборот, вы меняете свои точки доступа, поэтому теперь ключ 123, но ваши ноутбуки все еще верят, что это abc, поэтому они не могут подключиться, чтобы получить параметры групповой политики, чтобы развернуть этот новый ключ.

У вас также есть проблема, на которую уже указывалось, что ключ можно очень легко получить. Я лично раньше пользовался такими программами в качестве услуги одному из наших сотрудников, который приобрел новый ноутбук, не знал пароля домашней беспроводной сети, но имел его на старом ноутбуке.