wlan port shadow 添加 用戶輸入 guid .net 位置 watermark

802.1x作為網絡準入的驗證，自然有很多好處。但是在實施過程中也遇到了些小問題。我在這裏記錄下來，希望對大家有幫助，遇到問題的時候能有個參考。
基於用戶驗證的方式，當用戶修改了密碼後，驗證失敗。此時應當彈框讓用戶輸入密碼，如果不彈框讓用戶輸入密碼辦？
解決方法是刪除系統存儲的用戶憑證。
無線存儲位置在
HKLM\SOFTWARE\Microsoft\WlanSvc\Profiles{GUID}\MSMUserData
有線存儲位置在
HKLM\SOFTWARE\Microsoft\dot3svc\Interfaces{GUID}\UserData\Profiles{GUID}\Wired

只要刪除MSMUserData或者Wired就可以了。

如果看不到圖片，請點我。
其中以01 00 00 00開頭是明顯的特征碼。如果是PEAP加密的驗證憑據，這裏面存儲的信息可以通過一些方法解密。
將MSMUserData轉換成2進制文件dat，然後用工具解密。
PsExec.exe -s -i cmd /k crypt.exe file.dat
http://www.outerhost.com/www/upload/8t4l1q2g7549/Crypt.zip

解密後，會得到類似這樣的信息。 Decrypted:AAAAAAAAAAAAAAAAAAAAAJAEAAAYAAAAAgAAAJAEAAAAAAAAaQQAACAAAAAAAAAAkAQAA
AAAAAABAAAAGQAAAAAAAAAAAAAAAAAAAAEAAABJBAAAIAAAABkAAAAAAAAAAAAAAAAAAAA1BAAAAgAAA

[...]
A== <<<>>>
在"Decrypted: " 和 " <<<>>>"之間的這些信息是base64編碼過的，再找個工具解開base64編碼就可以了。
對於加入域的計算，這兩個鍵值會從HKLM下轉移到HKCU下。但是刪除對應的MSMUserData和Wired之後的效果是一樣的。

另外，附上簡單的腳本自動配置有線和無線的802.1x

sc config dot3svc start= auto
sc config wlansvc start= auto
net start dot3svc

net start wlanSvc
CERTUTIL -addstore -enterprise -f -v root "C:\yourrootcert.cer"
netsh wlan add profile filename="C:\wifiprofile.xml" user=all
netsh lan add profile filename="C:\wiredprofile.xml"

其中導入受信任的根證書可以根據實際情況來確定是否需要導入。
xml格式的配置文件需要事先從另一臺手動配置好的機器上導出。
導出命令是
netsh wlan show profile #查看無線配置文件
netsh wlan export profile name=yourSSID folder=c:\folder\
netsh lan export profile folder=c:\folder\
會自動在c:\foler目錄下生成xml文件。然後利用這些xml文件直接添加到目標計算機上就可以了。

Windows 客戶端802.1x的一些設置