У меня более 300 клиентов win7, на которых мне нужно развернуть WPA2 Personal PSK. Я могу использовать GPO для развертывания информации SSID на клиентах, что хорошо, но не PSK. Есть ли чистый / простой способ написать сценарий, чтобы PSK можно было ввести на машинах?
Если возможно, я не хочу отдавать PSK конечным пользователям.
Если вы предварительно установили общий ключ на более чем 300 компьютерах в руках пользователей, не ожидайте, что он останется секретом надолго.
Даже если вы не хотите выполнять аутентификацию для каждого пользователя, вам лучше использовать WPA2-Enterprise (WPA2 с аутентификацией 802.1X) и использовать EAP-TLS и сертификаты для каждой машины. Таким образом, даже если кому-то удастся экспортировать / извлечь закрытый ключ, который идет с сертификатом TLS его машины, вы можете отозвать и переназначить ключ этой одной машины без необходимости переназначать весь свой парк.
(Прошу прощения, если это я тупица)
Если бы вы нашли способ развернуть ключ, вы наверняка нарушили бы беспроводное соединение для своих пользователей, поскольку оказались в ситуации «ловушки 22».
пример
Старый ключ WPA abc
(который в ноутбуках уже хранится). Ваш скрипт развертывает новый ключ 123
. Беспроводная связь теперь не работает, потому что ноутбук теперь думает, что ключ 123
но ваши точки доступа знают, что это все еще abc
.
И наоборот, вы меняете свои точки доступа, поэтому теперь ключ 123
, но ваши ноутбуки все еще верят, что это abc
, поэтому они не могут подключиться, чтобы получить параметры групповой политики, чтобы развернуть этот новый ключ.
У вас также есть проблема, на которую уже указывалось, что ключ можно очень легко получить. Я лично раньше пользовался такими программами в качестве услуги одному из наших сотрудников, который приобрел новый ноутбук, не знал пароля домашней беспроводной сети, но имел его на старом ноутбуке.