在我公司,网络和信息安全团队注意到公司笔记本电脑在我们的网络上发出神秘的 Wi-Fi Direct 广播。我目前正在调查此问题,以找出导致这些广播的原因以及如何关闭它们。
看起来这可能是由 Windows 10 的“投影到此 PC”功能引起的,因为这似乎是使用 Wi-Fi Direct 的唯一 Win10 功能(如果我错了,请纠正我!)。由于我无法在工作时间远程访问这些机器进行验证,因此我编写了一个 PowerShell 脚本来检查注册表项。结果看起来类似于此:
| 姓名 | 维里森 | WiFi直连服务 | WiFiDirectAdapter 状态 | 网络资格已启用 | 同意吐司 | 自动启用 | 共享体验(密钥:EnableCdp) |
|---|---|---|---|---|---|---|---|
| 设备 1 | 1909 | 已停止 | 向上 | 0 | 2 | 1 | 值不存在 |
| 设备 2 | 2004 | 已停止 | 值不存在 | 值不存在 | 值不存在 | 值不存在 | |
| 设备 3 | 1909 | 已停止 | 向上 | 0 | 2 | 1 | 值不存在 |
| 设备 4 | 1909 | 已停止 | 1 | 2 | 1 | 值不存在 | |
| 设备 5 | 2004 | 已停止 | 值不存在 | 值不存在 | 值不存在 | 值不存在 | |
| 设备 6 | 2004 | 已停止 | 值不存在 | 值不存在 | 值不存在 | 值不存在 | |
| 设备 7 | 2004 | 已停止 | 值不存在 | 2 | 值不存在 | 值不存在 | |
| 设备 8 | 1909 | 已停止 | 值不存在 | 值不存在 | 值不存在 | 值不存在 | |
| 设备 9 | 2004 | 已停止 | 值不存在 | 值不存在 | 值不存在 | 值不存在 | |
| 设备 10 | 1909 | 已停止 | 值不存在 | 值不存在 | 值不存在 | 值不存在 | |
| 设备 11 | 1909 | 已停止 | 值不存在 | 值不存在 | 值不存在 | 值不存在 | |
| 设备 12 | 2004 | 已停止 | 1 | 2 | 1 | 值不存在 | |
| 0 = 始终关闭/随处可用 | 1 = 仅限第一次 | 0 = 始终关闭 | |||||
| 1 = 在安全网络上随处可用 | 2 = 每次请求连接时 | 1 = 随处可用/在安全网络上随处可用 | |||||
| “当您说没问题时,某些 Windows 和 Android 设备可以投影到这台电脑” | “请求投影到这台电脑” |
我还发现这些页面对这些按键进行了一些解释:
- https://www.tenforums.com/tutorials/49083-turn-off-projecting-pc-windows-10-a.html
- https://www.tenforums.com/tutorials/49088-change-when-ask-project-pc-windows-10-a.html
通过测试,我的理解是将“AutoEnabled”更改为 1 将启用该功能,并更改“NetworkQualificationEnabled”控件(如果它在任何地方都可用或仅在安全网络上可用)。在 Wi-Fi Direct 适配器上运行 Wireshark 跟踪可确认当该功能被禁用时,流量/广播会停止。
我的发现非常有趣的是,对于某些设备,这些键根本不存在,而且我在网上找不到任何与此相关的信息。当用于控制“投影到此 PC”功能的注册表项不存在时,为什么这些设备会出现 Wi-Fi Direct 广播?
这让我开始研究共享体验功能(包含在我的审核中),并且只需不存在“EnableCdp”键即可启用它。但是,在大型文件传输期间运行 Wireshark 跟踪显示,流量是通过普通 Wi-Fi 适配器而不是 Wi-Fi Direct 适配器进行的。这让我相信这与我们遇到的问题无关。
有谁有这方面的经验可以帮助我指明正确的方向吗?