1. 程式人生 > >Windows 客戶端802.1x的一些設置

Windows 客戶端802.1x的一些設置

wlan port shadow 添加 用戶輸入 guid .net 位置 watermark

802.1x作為網絡準入的驗證,自然有很多好處。但是在實施過程中也遇到了些小問題。我在這裏記錄下來,希望對大家有幫助,遇到問題的時候能有個參考。
基於用戶驗證的方式,當用戶修改了密碼後,驗證失敗。此時應當彈框讓用戶輸入密碼,如果不彈框讓用戶輸入密碼辦?
解決方法是刪除系統存儲的用戶憑證。
無線存儲位置在
HKLM\SOFTWARE\Microsoft\WlanSvc\Profiles{GUID}\MSMUserData
有線存儲位置在
HKLM\SOFTWARE\Microsoft\dot3svc\Interfaces{GUID}\UserData\Profiles{GUID}\Wired

只要刪除MSMUserData或者Wired就可以了。

技術分享圖片
技術分享圖片
如果看不到圖片,請點我。
其中以01 00 00 00開頭是明顯的特征碼。如果是PEAP加密的驗證憑據,這裏面存儲的信息可以通過一些方法解密。
將MSMUserData轉換成2進制文件dat,然後用工具解密。
PsExec.exe -s -i cmd /k crypt.exe file.dat
http://www.outerhost.com/www/upload/8t4l1q2g7549/Crypt.zip

解密後,會得到類似這樣的信息。 Decrypted:AAAAAAAAAAAAAAAAAAAAAJAEAAAYAAAAAgAAAJAEAAAAAAAAaQQAACAAAAAAAAAAkAQAA
AAAAAABAAAAGQAAAAAAAAAAAAAAAAAAAAEAAABJBAAAIAAAABkAAAAAAAAAAAAAAAAAAAA1BAAAAgAAA

[...]
A== <<<>>>
在"Decrypted: " 和 " <<<>>>"之間的這些信息是base64編碼過的,再找個工具解開base64編碼就可以了。
對於加入域的計算,這兩個鍵值會從HKLM下轉移到HKCU下。但是刪除對應的MSMUserData和Wired之後的效果是一樣的。

另外,附上簡單的腳本自動配置有線和無線的802.1x

sc config dot3svc start= auto
sc config wlansvc start= auto
net start dot3svc

net start wlanSvc
CERTUTIL -addstore -enterprise -f -v root "C:\yourrootcert.cer"
netsh wlan add profile filename="C:\wifiprofile.xml" user=all
netsh lan add profile filename="C:\wiredprofile.xml"

其中導入受信任的根證書可以根據實際情況來確定是否需要導入。
xml格式的配置文件需要事先從另一臺手動配置好的機器上導出。
導出命令是
netsh wlan show profile #查看無線配置文件
netsh wlan export profile name=yourSSID folder=c:\folder\
netsh lan export profile folder=c:\folder\
會自動在c:\foler目錄下生成xml文件。然後利用這些xml文件直接添加到目標計算機上就可以了。

Windows 客戶端802.1x的一些設置