我有 300 多个 win7 客户端需要部署 WPA2 Personal PSK。我可以使用 GPO 在客户端上部署 SSID 信息,这很好,但 PSK 不行。有没有一种干净/简单的方法来编写脚本,以便可以在机器上输入 PSK?
如果可能的话,我不想将 PSK 提供给最终用户。
答案1
如果您在用户手中的 300 多台机器上预先安装了共享密钥,那么不要指望它能长期保持秘密。
即使您不想进行每个用户的身份验证,最好还是使用 WPA2-Enterprise(具有 802.1X 身份验证的 WPA2)并使用 EAP-TLS 和每台机器证书。这样,即使有人设法导出/提取与其机器的 TLS 证书相关的私钥,您也可以撤销并重新密钥该机器,而无需重新密钥整个机群。
答案2
(如果我太愚钝请见谅)
如果您确实找到了部署密钥的方法,那么您肯定会中断用户的无线连接,因为您会发现自己陷入了进退维谷的境地。
例子
旧 WPA 密钥是abc
(笔记本电脑已存储)。您的脚本部署新密钥123
。无线现已中断,因为笔记本电脑现在认为密钥是123
,但您的接入点知道它仍然是abc
。
相反,您更改了接入点,因此密钥现在是123
,但您的笔记本电脑仍然认为它是abc
,因此它们无法连接以获取组策略设置,以部署这个新密钥。
您也遇到了之前已经指出的问题,即密钥很容易被获取。我个人曾经使用过此类程序,帮助我们的一位员工,他买了一台新笔记本电脑,不知道家里的无线密码,但旧笔记本电脑上有密码。