配置高级无线连接
使用“英特尔高级网络安全性设置”来配置 Windows Vista* 或 Windows* 7 未配备的 EAP WiFi 网络设置。
参阅安全性概述了解有关无线网络不同安全性选项的更多信息。
设置新的无线连接
配置英特尔连接设置
设置连接采用“LEAP 网络验证”
设置连接采用“ PEAP 网络验证”
设置连接采用“EAP-FAST 网络验证”
设置连接采用“EAP-SIM 网络验证”
设置连接采用“EAP-TTLS 网络验证”
设置连接采用"EAP-AKA 网络验证"
设置新的无线连接
设置新的无线连接并启用英特尔连接设置:
- 打开 Windows* 网络和共享中心。对 Windows Vista*,单击开始 > 网络 > 网络和共享中心。对 Windows* 7,单击开始 > 控制面板 > 网络和互联网 > 网络和共享中心。
- 单击设置连接或网络。
- 选择手动连接到无线网络。
- 单击下一步以输入无线网络信息。
注意: 如果您安装了英特尔® My WiFi 技术,则应选择一个无线适配器。选择英特尔 WiFi STA。
- 网络名: 输入网络标识符 (SSID)。
- 安全类型: 选择 802.1X。
- 加密类型: 默认设为 WEP。
- 安全密钥/密码: 不需要。
- 可选设置:
- 自动启动这个连接(默认)。
- 即使网络未进行广播也连接。
- 单击下一步以确认已成功添加网络。
-
可选: 单击更改连接设置选项。
配置英特尔连接设置
- 选择启用英特尔网络设置以配置频带选择、强制的接入点,应用程序自动启动、和/或 Cisco 选项。
- 单击配置。
- 可在此窗格配置以下参数。
名称 |
说明 |
频带选择 |
可在此处选择用于此连接配置式的频带:
- 混合频带(默认): 选择此项使英特尔® PROSet/无线 WiFi 连接实用程序尝试将此配置式连接到使用此两种频带之一的可用网络。
- 2.4 GHz 频带: 选择此项使 WiFi 连接实用程序尝试将此配置式仅连接到使用 2.4 GHz 频带的可用网络。
- 5.2 GHz 频带: 选择此项使 WiFi 连接实用程序尝试将此配置式仅连接到使用 5.2 GHz 频带的可用网络。
|
强制的接入点 |
强制 WiFi 适配器连接到一个使用特定 MAC 地址的接入点。输入接入点 (BSSID) 的特定 MAC 地址,48 位的 12 个十六进制数字。例如:00:06:25:0E:9D:84。
清除: 清除当前地址。
注意: 此功能在使用 ad hoc 操作模式时不可用。 |
应用程序自动启动 |
在您连接至此网络时自动启动批处理文件、可执行文件或者脚本。例如:每当您连接到无线网络时便自动启动“虚拟专用网络”(VPN) 会话。
- 单击启用应用程序自动启动。
- 输入要启动的程序的路经和文件名,或单击浏览以在您的硬驱上找到该文件。例如:C:\Program Files\myprogram\myVPNfile.exe。
- 单击确定关闭“连接设置”。
|
Cisco 选项 |
启用无线电测定: 关闭或打开此项服务。让您配置无线电计量和相关服务的 Cisco 设置。选择此项以使 WiFi 适配器为 Cisco 基础架构提供无线电管理。如果在该基础架构上使用“Cisco Radio Management(Cisco 无线电管理)”实用程序,它将配置无线电参数、检测干扰和欺诈接入点。默认设置为关闭。 |
- 要添加额外的安全性,选择安全性选项卡。无线网络属性打开。
- 安全类型: 选择英特尔 - CCKM -企业。
- 加密类型: 选择以下一项:
- WEP: 如果 英特尔 - CCKM - 企业 被选为安全性类型,则此为默认值。
- TKIP: 提供每一数据包密钥混合、消息完整性核实和重新生成密钥机制。
- AES - CCMP: (高级加密标准 - Counter CBC-MAC Protocol)在数据保护至关紧要的情况下被用作数据加密的方法。建议选择 AES-CCMP 。
- 单击确定关闭此窗口。
设置连接采用“LEAP 网络验证”
LEAP 是用于无线 LAN 的一种验证类型。这种验证类型通过使用一个作为共享机密的登录密码支持客户端和后端服务器之间的相互强劲验证。它为每一用户、每一会话提供动态加密密钥。Cisco LEAP 提供:
- 使用 Windows NT/2000 Active Directory 以现有用户名和密码进行真正的单一登录
- 简化而便宜的部署和管理,适用于 IT 经理
- 可靠、可伸缩、集中的安全管理
- 高性能、可升级的企业级别安全性
- 动态隐私保护(当与 TKIP 或 AES 结合使用时)
设置 LEAP 网络验证
- 在“无线网络属性”窗口安全选项卡的安全类型中选择 WPA-企业、WPA2-企业、802.1X、或英特尔-CCKM-企业。
- 在加密类型下,选择需要的加密类型。
- 在选择网络身份验证方法下,选择 LEAP。
- 单击设置。
配置网络身份凭证
- 选择“网络身份凭证”选项卡。选择下列选项之一,配置用户名和密码:
- 使用 Windows 用户名和密码。此选项将 Windows 用户名和密码用作 LEAP 网络验证的身份凭证。
- 自动提示输入用户名和密码。此选项使用独立的 LEAP 用户名和密码于网络验证。用户名和密码需向后端服务器注册。
- 使用保存的用户名和密码。此选项使用保存的 LEAP 用户名和密码于网络验证。此选项不要求每次都输入 LEAP 用户名和密码。在需要时,验证自动发生,此进程使用保存的用户名和密码(该用户名和密码已在后端服务器注册)。
要配置保存的用户名和密码:
- 在用户名字段,输入保存的用户名和域,最多 256 个字符。采用以下格式之一:
> 域合格用户名(域\用户)
> UPN 格式(用户@域)
- 在密码字段中输入密码,最多 256 个字符。
- 在确认密码字段中重新输入密码。
- 单击确定保存设置并关闭“LEAP 属性”对话框。
设置连接采用“ PEAP 网络验证”
PEAP 是用于无线 LAN 的一种验证类型。PEAP 供强大的安全性、用户数据库可扩展性、以及对一次性令牌身分验证和密码更改或老化的支持。PEAP 基于服务器端的 EAP-TLS。采用 PEAP,公司机构可避免 EAP-TLS 所要求的在每一台客户端计算机上安装数字证书的相关问题;并且可选择最适合公司要求的客户端身份验证方法,如登录密码或 OTP。Cisco PEAP客户端还能在 TLS 加密隧道建立之前隐藏用户的名身份,以此提供额外保密性:即在验证阶段中不会将用户名向外广播。PEAP 提供下列安全性优点:
- 借助 TLS 以允许诸如 EAP-GTC 和 OTP 支持等非加密验证类型
- 使用服务器端基于 PKI 的数字证书验证
- 允许对大量不同类型的目录(包括 LDAP、Novell NDS*、和 OTP 数据库等)进行验证
- 采用 TLS 加密所有用户敏感的身份验证信息
- 支持在密码过期时更改
- 不会在 EAP 身份回应时暴露登录用户名
- 不容易遭受字典攻击
- 提供动态隐私保护(当与 TKIP 或 AES 结合使用时)
设置 PEAP 验证
- 在“无线网络属性”窗口安全选项卡的安全类型中选择 WPA-企业、WPA2-企业、802.1X、或英特尔-CCKM-企业。
- 在加密类型下,选择需要的加密类型。
- 在选择网络身份验证方法下,选择 Cisco: PEAP。
- 单击设置。
配置用户身份凭证
- 选择“用户身份凭证”选项卡。选择下列选项之一,配置用户名和密码:
- 使用一次性密码。此选项提示用户提供一个一次性密码作为网络验证的 PEAP 身份凭证。使用一次性密码选项时,需要生成一个一次性密码。身份凭证不会缓存;每次服务器要求身份凭证时,都会提示用户输入身份凭证。
- 使用 Windows 用户名和密码。此选项将 Windows 用户名和密码用作 PEAP 网络验证的身份凭证。
- 自动提示输入用户名和密码。此选项使用独立的 PEAP 用户名和密码于网络验证。用户名和密码需向后端服务器注册。
- 使用保存的用户名和密码。此选项使用保存的 PEAP 用户名和密码于网络验证。此选项不要求每次都输入 PEAP 用户名和密码。在需要时,验证自动发生,此进程使用保存的用户名和密码(该用户名和密码已在后端服务器注册)。
要配置保存的用户名和密码:
- 在用户名字段,输入保存的用户名和域,最多 256 个字符。采用以下格式之一:
> 域合格用户名(域\用户)
> UPN 格式(用户@域)
- 在密码字段中输入密码,最多 256 个字符。
- 在确认密码字段中重新输入密码。
- 选择“连接”选项卡,或者单击确认保存设置并关闭“PEAP 属性”对话框。
配置连接
使用“连接”选项卡来配置控制建立连接的设置。
- 选择“连接”选项卡。
- 如要启用身份隐私保护,选中使用匿名外向身份框。
- 在该字段中输入一个外向身份。此身份被用作外向身份对 EAP 身份请求作出回应。默认值是“anonymous”(匿名);询问管理员是否应更改此默认值。(最多可输入 256 个字符。)
- 如果使用经验证的服务器证书来建立隧道,选中验证服务器证书框。
- 要输入可选的服务器名称,而且该名称必须与服务器提出的服务器证书相符,选中只连接至以下服务器框,然后在该字段中输入服务器名称。要输入多个服务器名称,用分号加以分隔。
注意: 只有当服务器证书中的“常用名称”和主题的“其他名称”与输入的任何服务器名称相符,PEAP 才允许连接继续。
- 要选择用于验证服务器证书的受信任的根 CA 证书,从信任的根核证机关 (CA) 框中选取受信任的证书或证书。
注意: 只有安装在主机系统上的信任的 CA 证书才出现在下拉列表中。双击一份信任的根 CA 证书以查看证书详细信息。
- 如果选中不要提示用户授权新服务器或信任的核证机关框,即指定要是服务器名称不匹配或者要是服务器证书未经选定的受信任 CA 之一签署,不提示用户授权连接。而是令验证失败。
- 选中启用快速重新连接以允许快速重新连接。
- 单击确定保存设置并关闭“PEAP 属性”对话框。
设置连接采用“EAP-FAST 网络验证”
EAP-FAST 是 Cisco Systems 开发的向公众开放的 EAP 类型。有若干种 EAP 协议,可部署于有线和无线网络。最常用的 EAP 协议为:Cisco LEAP、PEAP、和 EAP-TLS。除了这些协议外,Cisco 还开发并实施了 EAP-FAST 协议,作为标化的 EAP 协议,供部署于有线和无线 LAN 网络。EAP-FAST 的主要功能是:
- 在 TLS 随道加密中落实相互验证以防止字典攻击。
- TLS 随道加密和加密绑定共同防止 MITM 攻击。效率高而重量轻,易于部署(不要求证书或 PKI)
- 身份隐私保护
- 快速重新连接
- 保护性和灵活性,以通过各种内向方法支持通用用户数据库
- 效率高及选项多,以减少服务器资源消耗
此项 EAP-FAST 的实现还支持:
- “单一签入”支持、与 Windows Vista* 和 Windows* 7 登录程序和 EAPHost 框架相结合
- 密码老化(支持基于服务器的密码过期)
- Key Cisco Unified Wireless LAN 功能,如快速安全漫游、CCKM、和本地 RADIUS 验证等
- Cisco NAC 和 Microsoft NAP 支持,用于状态证实
设置 EAP-FAST 验证
- 在“无线网络属性”窗口安全类型下的安全选项卡中选择 WPA-企业、WPA2-企业、802.1X、或英特尔-CCKM-企业。
- 在加密类型下,选择需要的加密类型。
- 在选择一个网络验证方法下,选择 EAP-FAST。
- 单击设置。
配置用户身份凭证
- 选择“用户身份凭证”选项卡。选择下列选项之一,配置用户名和密码:
- 使用此计算机上的证书。此证书已由证书权威针对此用户颁发。
- 使用一次性密码。此选项提示用户提供一个一次性密码作为网络验证的 EAP-FAST 身份凭证。使用一次性密码选项时,需要生成一个一次性密码。身份凭证不会缓存;每次服务器要求身份凭证时,都会提示用户输入身份凭证。
- 使用 Windows 用户名和密码。此选项将 Windows 用户名和密码用作 EAP-FAST 网络验证的身份凭证。
- 自动提示输入用户名和密码。此选项将独立的 EAP-FAST 用户名和密码用于网络验证。用户名和密码需向后端服务器注册。
- 使用保存的用户名和密码。此选项将保存的 EAP-FAST 用户名和密码用于网络验证。此选项不要求每次都输入 EAP-FAST 用户名和密码。在需要时,验证自动发生,此进程使用保存的用户名和密码(该用户名和密码已在后端服务器注册)。
要配置保存的用户名和密码:
- 在用户名字段,输入保存的用户名和域,最多 256 个字符。采用以下格式之一:
> 域合格用户名(域\用户)
> UPN 格式(用户@域)
- 在密码字段中输入密码,最多 256 个字符。
- 在确认密码字段中重新输入密码。
- 选择“连接”选项卡,或者单击确认保存设置并关闭“ EAP-FAST 属性”对话框。
配置连接设置
使用“连接”选项卡来配置控制建立连接的设置。
- 如要启用身份隐私保护,在“连接”选项卡,选中使用匿名外向身份框。
- 在该字段中输入一个外向身份。此身份被用作外向身份对 EAP 身份请求作出回应。默认值是“anonymous”(匿名);询问管理员是否应更改此默认值。(最多可输入 256 个字符。)
- 如果使用 PAC 来建立隧道,单击使用保护性接入身份凭证 (PAC)框。如果不选中此框,则 EAP-FAST 将作为 PEAP,每次仅使用经验证的服务器证书来建立隧道。
- 要在 EAP-FAST 验证中允许自动检索 PAC,选中允许自动 PAC 提供框。
- (可选)从 PAC 核证机关下拉列表中选择一个 PAC 核证机关,或者单击导入...以导入一个 *.pac 文件。
注意: 下拉列表含有所有曾为您提供过隧道 PAC 的 PAC 核证机关的名称。如果您尚未被提供过 PAC,那么“无”就是唯一选项。您也可选择“无”以强制主机请求提供 PAC。
- 如果使用经验证的服务器证书来建立隧道,选中验证服务器证书框。
注意: 您可同时选中使用保护性接入身份凭证 (PAC) 框和验证服务器证书框来建立隧道。在此情况下,EAP-FAST 总是首先尝试使用 PAC;如果 PAC 丢失或被服务器拒绝,EAP-FAST 将后退至使用服务器证书。
- 要输入可选的服务器名称,而且该名称必须与服务器提出的服务器证书相符,选中只连接至以下服务器框,然后在该字段中输入服务器名称。用分号分隔多个服务器名称。
注意: 只有当服务器证书的“主题”字段与输入的任何服务器名称相符,EAP-FAST才允许连接继续。
- 从信任的根核证机关 (CA) 列表中选取用于验证服务器证书的受信任的根 CA 证书。只有安装在主机系统上的信任的 CA 证书才出现在下拉列表中。可选择超过一个信任的根 CA。双击一份信任的根 CA 证书以查看证书详细信息。
- 如果选中不要提示用户授权新服务器或信任的核证机关框,即指定要是服务器名称不匹配或者要是服务器证书未经选定的受信任 CA 之一签署,不提示用户授权连接。而是令验证失败。
- 选择另一个要配置的选项卡,或者单击确认保存设置并关闭“EAP-FAST 属性”对话框。
配置身份验证设置
使用“身份验证”选项卡来配置身份验证设置。
- 在“身份验证”选项卡中,从下拉列表中选择验证方法。从以下方法之一:
- 任何方法(默认设置) — 此选项允许 EAP-FAST 挑选任何 EAP 服务器要求的受支持的方法。
- EAP-GTC — 如果在“用户身份凭证”选项卡中选择了使用一次性密码,此选项是唯一可用的选项。
- EAP-MS-CHAP-V2
- EAP-TLS — 如果在“用户身份凭证”选项卡中选择了使用此计算机上的密码,此选项是唯一可用的选项。
注意: EAP-FAST 模块版本 2.0 未启用配置按钮。
- 选中启用快速重新连接以允许会话恢复。
- 选中启用状态核实以允许查询主机的健全性信息。
- 选择另一个要配置的选项卡,或者单击确认保存设置并关闭“EAP-FAST 属性”对话框。
设置连接采用“EAP-SIM 网络验证”
EAP-SIM 使用动态的,基于会话的 WEP 密钥(由客户端适配器和 RADIUS 服务器衍生而来)为数据加密。EAP-SIM 要求您输入用户验证代码,或 PIN,以便与“订购者身份模块”(SIM) 通讯。SIM 卡是一种特殊的智能卡,用于基于“移动通信全球系统”(GSM) 的数字式手机网络。
注意: 为使用 EAP-SIM 验证的 Windows Vista* 或 Windows* 7 创建管理员配置式时,在网络验证类型中无“共享”可用。此外,不能为 EAP-SIM 验证创建“持续管理员”配置式。
注意: 在为 Windows Vista* 或 Windows* 7 创建管理员配置式时,如果“网络验证”被设为“开放”,则“数据加密”将固定为 WEP。
设置 EAP-SIM 验证
- 在“无线网络属性”窗口安全选项卡的安全类型中选择 WPA-企业、WPA2-企业、802.1X、或英特尔-CCKM-企业。
- 在加密类型下,选择需要的加密类型。
- 在 选择网络身份验证方法下选择 EAP-SIM。
- 单击设置。
- 在以下窗格中,指定用户名(身份) 。单击以指定用户名。
- 用户名 输入分配给 SIM 卡的用户名。
- 单击确定。
设置连接采用“EAP-TTLS 网络验证”
TTLS 验证: 这些设置定义用来验证用户的协议和凭证。客户端使用 EAP-TLS 来证实服务器,并在客户端与服务器之间创建一个 TLS 加密的频道。客户端可使用另一个验证协议。通常基于密码的协议促使此类加密的信道启用服务器证实。挑战和相应数据包通过一条非暴露的 TLS 加密频道发送。目前的 TTLS 实现支持所有 EAP 定义的方法。
身份验证协议
- PAP: “密码验证协议”是设计用于 PPP 的双通握手协议。“密码验证协议”是用在老式的 SLIP 系统上的纯文本密码。它不具安全性。
- CHAP: “挑战握手验证协议”是一种三通握手协议,据认为它比 PAP 验证协议较安全。
- MS-CHAP (MD4): 使用 Microsoft 版本的 RSA Message Digest 4 挑战-回应协议。它仅在 Microsoft 系统上工作,并启用数据加密。选择此验证方法使所有数据都加密。
- MS-CHAP-V2: 推出一项在 MS-CHAP-V1 或标准 CHAP 验证中不包含的额外功能:更改密码功能。此功能允许客户端在 RADIUS 服务器报告密码过期时更改帐户密码。
设置 EAP-TTLS 网络验证
步骤 1 / 2: TTLS 用户
要设置连接采用 EAP-TTLS 验证:
- 在“无线网络属性”窗口安全类型下的安全选项卡中选择 WPA-企业、WPA2-企业、802.1X、或英特尔-CCKM-企业。
- 在加密类型下,选择需要的加密类型。
- 在选择网络身份验证方法下: 选择 EAP-TTLS。
- 单击设置。
- 身份验证协议: 此参数指定在 TTLS 隧道中运行的身份验证协议。协议有: PAP(默认)、CHAP、MS-CHAP 和 MS-CHAP-V2。参阅安全性概述获得更多信息。
- 用户身份凭证: 选择我每次连接时提示或者使用以下、或使用 Windows 登录。
名称 |
说明 |
我每次连接时提示 |
选择以在连接到无线网络之前提示用户名和密码。用户名和密码必须首先由管理员在验证服务器上设定。 |
使用以下 |
用户名和密码安全地(加密)保存在配置式中。
-
用户名: 此用户名必须与在验证服务器上设定的用户名匹配。
-
域: 验证服务器上的域的名称。服务器名标识一个域或其中一个子域(例如 zeelans.com,而服务器是 blueberry.zeelans.com)。与管理员联系获得域名。
-
密码: 此密码必须与在验证服务器上设定的密码匹配。输入的密码字符以星号显示。
-
确认密码: 重新输入用户密码。
|
使用 Windows 登录 |
仅须使用 Windows 登录参数,并且不向用户要求更多信息。 |
- 漫游身份: 如果“漫游身份”字段已清除,默认身份为 %domain%\%username%。
将 802.1X MS RADIUS 用作验证服务器时,该服务器验证使用来自 WiFi 连接实用程序的漫游身份用户名的设备,而忽略身份验证协议 MS-CHAP-V2 用户名。此功能是提供给验证者的 802.1X 身份。Microsoft IAS RADIUS 只接受 EAP 客户端的有效用户名(dotNet 用户)。使用 802.1X MS RADIUS 时,输入一个有效的用户名。它对所有其他服务器为可选。因此,建议使用所要的领域(例如:anonymous@myrealm),而不使用真实身份。
步骤 2 / 2: TTLS 服务器
-
选择下列选项之一:
名称 |
说明 |
验证服务器证书 |
证书颁发者: 在 TTLS 消息交换过程中接收的服务器证书必须由这个证书权威 (CA) 颁发。信任的中级认证授权和根颁发机构(它们的证书存在于系统存储中)可供选取。如果选中任何信任的 CA,则列表中的任何 CA 都可接受。 |
指定服务器或证书名称 |
服务器或证书名称: 输入服务器名称。
服务器名称或服务器所属的域,取决于在下列选项中选了哪一个:
-
服务器名称必须与指定条目完全匹配: 选中时,服务器名称必须与证书上的服务器名称完全相符。服务器名称应当包括完整域名(例如,Servername.Domain name)。服务器名称可包含所有字符,包括特殊字符。
-
域名必须以指定条目结尾: 选中时,服务器名称字段必须标识一个域,而且证书必须具有隶属于该域或其一个子域的一个服务器的名称(例如:zeelans.com,其中,服务器是 blueberry.zeelans.com)。这些参数必须从管理员处获得。
|
- 单击确定保存设置并关闭页面。
设置连接采用"EAP-AKA 网络验证"
EAP-AKA (UMTS 身份验证和密钥协议的可扩展身份验证协议方法)是用于身份验证和会话密钥分发的一种机制;它使用“通用移动通信系统”(UMTS) 订购者身份模块(USIM)。USIM 卡是一种特殊的智能卡,用于数字网络对网络上的给定用户进行验证。
设置 EAP-AKA 验证
- 在“无线网络属性”窗口安全选项卡下的安全类型卡中选择 WPA-企业、WPA2-企业、802.1X、或英特尔-CCKM-企业。
- 在加密类型下,选择需要的加密类型。
- 在选择网络身份验证方法下: 选择 EAP-AKA。
- 单击设置。
- 指定用户名(身份): 单击以指定用户名。
- 用户名: 输入指派给 USIM 卡的用户名。
- 单击确定。