无线网络安全指南：Windows Wireless Client手动部署PEAP

对于系统管理员和企业CIO来说，企业无线局域网的安全问题一直是他们关注的重心。在4月份中，我们会连续关注企业无线局域网安全，今天我们将向大家介绍如何使用Windows自带的无线网络客户端工具Windows Wireless Client。

Windows Wireless Client以前也被称作Wireless Zero Configuration (WZC)服务，它是Windows内置的一款无线网络客户端程序。如果你的系统是Windows Server 2003 SP1 或 Windows Server 2003 R2，那么可以通过活动目录的组策略自动配置这个客户端。本文所采用的是Windows XP Service Pack 1 和 2 的环境（如图W所示），而SP1之前的版本由于无线安全性极差，以及不支持PEAP验证，因此不建议用户使用。

图W网络连接

在XP SP1和SP2中，用户可以通过右键点击“网络连接”文件夹中的无线以太网设备，然后选择“属性”，对无线客户端进行配置。配置窗口如图X所示。

图X 连接到无线网络

在SP2中，有一个如图Y所示的升级界面，用户可以通过右键点击系统托盘区的无线网络图标，选择“View Available Networks”的方式开启该界面。选择“Change advanced settings”将出现如图X所示的窗口。

图Y选择无线网络

在XP SP2下，用户可以点击“Add”按钮在"Preferred networks"区域建立一个网络配置。如图Z所示，在新窗口中，用户只需要输入用来登录无线接入点的SSID即可。

图Z 添加一个无线连接

在 "Network Authentication"项中选择 "WPA"

WPA验证模式需要系统为XP SP2 或 Vista。如果用户在XP中安装了WPA2补丁，也可以选择WPA验证。另外，用户所使用的无线接入点也必须能够支持WPA验证模式，Wi-Fi网卡驱动也需要支持WPA。

在 "Data encryption"项中选择"TKIP"

在WPA 或WPA2验证模式下，用户必须选择TKIP 或 AES加密方法。AES加密方法相对较好，但是并不是全部的接入点或者客户端设备都可以支持AES加密，因此在选择时应该考虑到兼容性问题。如果没有任何兼容问题，那么就应该选择AES方式，如果不能肯定，则选择TKIP方式。另外，就算使用了RADIUS和密钥交换，也不要再采用WEP方式了，因为这种加密方式相当不安全，2005年就出现了大量此类攻击事件。

接下来我们转到“Authentication”标签，如图AA所示。选中“Enable IEEE 802.1x authentication for this network”（为此网络开启IEEE 802.1x验证）然后选择“Protected EAP (PEAP)”

图AA 无线验证属性

另外，我们还要勾选“Authenticate as computer when computer information is available”（当计算机信息可用时对其进行验证），从而开启“Machine Authentication”，也就是“Computer Authentication”（机器级验证）。机器验证可以让用户的电脑在连接到网络后就对电脑进行验证，而不管合法用户是否已经登录上电脑。这一设置可以让电脑像连接到有线网络那样收到组策略的制约，而且这也是Windows无线客户端的独有功能。

如果用户没有设置“机器验证”，那么组策略将无法正常的执行，而且那些没有在某台电脑上成功登录过的用户将无法用合法的身份从该电脑登录域。“机器验证”将让用户体验到在有线网络时代的验证过程。为了实现“机器验证”，PEAP验证只需要该计算机加入一个正常的域即可。该计算机将通过“计算机密码”登录网络。需要注意的是，如果采用了EAP-TLS 或 PEAP-EAP-TLS（比PEAP更强的验证方式）方式进行验证，那么必须安装来自Enterprise Root CA的“机器证书”。

点击“EAP type”下的 "Properties"按钮 ，会出现如图BB所示的窗口。

图BB Protected EAP属性

在这个窗口中，我们首先要勾选“Validate server certificate”，否则PEAP的安全性将比EAP-FAST匿名DH模式还要差。

接着我们要在“Trusted Root Certificate Authority”区域里选择合适此无线连接的CA。需要注意的是，在SP2中新增了一个安全功能，即“Do not prompt user to authorize new servers or trusted certification authorities”我们也要选中这一项。这个窗口中的各项设置对于无线连接的安全性来说至关重要，它可以让我们的无线局域网只允许具有授权的用户才能访问。

在接下来的下拉菜单中选中“EAP-MSCHAP v2”，这是大多数人常用的选项。不要选中下面的“Enable Fast Reconnect”，否则某些品牌的无线接入点（如cisco）会出现认证方面的问题。如果用户选中了这一项，在出现问题的时候，可能需要很长时间才能发现这个问题的根源。

如果你选中了 “Smart Card or other Certificate”，那么这意味着你使用了PEAP-EAP-TLS认证模式。这是一种较新的认证模式，比EAP-TLS传统模式的安全性要高一些，但是在一些非Windows系统中会产生兼容性问题，因此我并不推荐你采用这种方式。如果希望使用EAP-TLS验证模式，可以在图AA所示的窗口中选择“Smart Card or other Certificate”而不是前面所说的“Protected EAP (PEAP)”。EAP-TLS和PEAP-EAP-TLS都需要客户端支持“机器证书”，这使得这两种验证方式比其它认证方式更为安全，但是部署的难度也随之加大了。

在图BB中点击“Configure”则出现如图CC所示的对话框。这个选项可以通过用户的Windows证书自动为用户登录。如果你试图通过一个无线网络连接到Windows域，而你的用户账户并不属于这个域，自动登录将无法成功，因此你必须取消这个选择，并进行域信任方面的 。在这个过程中你可以将证书保存下来。

图CC默认配置

从我上面的介绍大家不难看出，虽然PEAP (PEAP-EAP-MSCHAPv2)设计的目的是为了让验证更简单，但是实际部署过程仍然比较复杂。而采用EAP-TLS或PEAP-EAP-TLS方式则更加复杂。为了能实现自动部署，我们都希望能够使用Windows Server 2003活动目录组策略建立一个全局的部署策略。

从部署和安全性的角度考虑，一定要在客户端采用自动部署方案，因为将设置工作交给终端用户去完成会出现很多意想不到的问题。一个配置错误的客户端就会危害到整个企业的网络安全。再加上要为每个员工进行技术方面的培训，以及让员工自己完成如此复杂的操作，不论是从人力财力还是时间上，都不是好主意。

（责任编辑:陈毅东）