Настройка профилей и параметров EAP в Windows

В этой статье приводятся сведения о распространенных способах настройки параметров протокола EAP. В частности, он описывает настройку профилей EAP с помощью средств XML и командной строки. В нем также показано, как настроить параметры и профили EAP с помощью различных пользовательских интерфейсов в Windows.

Профили XML

Как описано в профилях XML для EAP, профили подключений для Wi-Fi, Ethernet и VPN являются XML-файлами, содержащими параметры конфигурации для этого подключения. Эти профили можно импортировать или экспортировать и вручную изменить. При создании или изменении профилей в пользовательском интерфейсе (как описано в следующих разделах), Windows внутренне задает соответствующие параметры конфигурации XML. В результате можно использовать пользовательский интерфейс для создания профиля, а затем экспортировать его для просмотра параметров конфигурации XML, заданных.

Примечание.

Не каждый параметр конфигурации предоставляется в пользовательском интерфейсе. В зависимости от сценария может потребоваться вручную изменить XML-профиль, чтобы задать нужные параметры конфигурации, а затем импортировать обновленный профиль для развертывания.

Например, при использовании политик управления мобильными устройствами (MDM) (например, Wi-Fi CSP) необходимо подготовить полный XML-профиль.

Пример профиля Wi-Fi можно найти в этом примере.

Импорт и экспорт профилей с помощью средств командной строки

Импорт и экспорт профилей с помощью средства командной строки может оказаться полезным во многих сценариях. Например, если настройка MDM или групповой политики невозможна, выполнение этих команд вручную или с помощью скриптов может быть самым быстрым вариантом. Его также можно использовать для экспорта профилей после их настройки с помощью другого пользовательского интерфейса.

netsh (сетевой интерфейс)

netsh — это средство командной строки, которое можно использовать для просмотра и настройки различных параметров, связанных с сетью. Дополнительные сведения см. в статье "Сетевая оболочка( netsh)". netsh можно вызывать из обоих cmd и powershell. В следующей таблице перечислены некоторые распространенные netsh команды и примеры импорта и экспорта профилей. /? можно использовать с любой netsh командой для получения дополнительных сведений о команде, включая синтаксис.

Wi-Fi

Команда	Описание
netsh wlan show profiles	Отображает все профили Wi-Fi, включая имя профиля.
netsh wlan show profiles name="ProfileName"	Подробные сведения о конкретном профиле Wi-Fi
netsh wlan export profile name="ProfileName" folder="C:\Profiles"	Экспортирует профиль Wi-Fi в указанную папку. Папка должна существовать.
netsh wlan add profile filename="C:\Profiles\ProfileName.xml"	Добавляет профиль Wi-Fi из указанного файла.
netsh wlan delete profile name="ProfileName"	Удаляет профиль Wi-Fi.

Проводной

Команда	Описание
netsh lan show profiles	Отображает все проводные профили, включая имя профиля и другие сведения.
netsh lan show profiles interface="Ethernet"	Отображает подробные сведения о проводном профиле в определенном интерфейсе.
netsh lan export profile interface="Ethernet" folder="C:\Profiles"	Экспортирует проводной профиль в указанную папку. Папка должна существовать. Если интерфейс не указан, профиль компьютера экспортируется.
netsh lan add profile filename="C:\Profiles\ProfileName.xml" interface="Ethernet"	Добавляет проводной профиль из указанного файла в указанный интерфейс. Если интерфейс не указан, профиль добавляется в качестве профиля компьютера.
netsh lan delete profile interface="ProfileName"	Удаляет проводной профиль. Если интерфейс не указан, профиль компьютера удаляется.

PowerShell

PowerShell — это оболочка командной строки и язык сценариев, который можно использовать для просмотра и настройки различных параметров. Он включает различные команды (командлеты), которые можно использовать для импорта и экспорта профилей подключений. Командлет Get-Help можно использовать с любым командлетом для получения дополнительных сведений об этом командлете, включая синтаксис.

VPN

Подробные сведения об этих командлетах см. в разделе Get-VpnConnection, Set-VpnConnection и Add-VpnConnection.

Команда	Описание
Get-VpnConnection	Отображает все профили VPN, включая имя профиля и другие сведения.
Get-VpnConnection -Name "ProfileName"	Отображает сводную информацию о конкретном профиле VPN.
(Get-VpnConnection -Name "ProfileName").EapConfigXmlStream.InnerXml \| Out-File -FilePath "C:\Profiles\vpn_eap.xml"	Экспортирует конфигурацию EAP для определенного профиля VPN в файл.
Set-VpnConnection -Name "ProfileName" -EapConfigXmlStream (Get-Content -Path "C:\Profiles\vpn_eap.xml")	Импортирует конфигурацию EAP из файла и обновляет указанный профиль VPN.

Приложение "Параметры" (Windows для настольных ПК)

На классическом клиенте Windows многие распространенные параметры Wi-Fi, Ethernet и VPN можно настроить с помощью приложения "Параметры". На следующих снимках экрана показано приложение параметров Windows 11, но пользовательский интерфейс похож на Windows 10. Однако некоторые функции и параметры могут быть доступны только в Windows 11.

Wi-Fi

Windows 10 и 11 поддерживают добавление профилей Wi-Fi с определенной конфигурацией (включая 802.1X) в приложении "Параметры". Этот параметр можно найти в приложении "Параметры" в разделе "Сеть и интернет">Wi-Fi>Управление известными сетями>Добавление новой сети:

Это диалоговое окно позволяет настроить SSID, тип безопасности и другие параметры профиля Wi-Fi. Если выбран тип безопасности, поддерживающий EAP, например WPA3-Enterprise AES, в диалоговом окне показано, как настроить параметры EAP:

Совет

После добавления сети невозможно изменить параметры EAP с помощью приложения "Параметры". Чтобы изменить параметры EAP, выполните следующие действия.

• удалите профиль и повторно добавьте его с правильными параметрами или
• Используйте команды, описанные netsh в netsh , чтобы вручную изменить профиль.

Проводной

Windows 11 добавила поддержку изменения параметров проверки подлинности 802.1X в проводных подключениях в приложении "Параметры". Этот параметр можно найти в приложении "Параметры" в разделе "Сеть и интернет" > "Ethernet" > "Параметры проверки подлинности". Изменить параметры проверки подлинности Ethernet: Снимок экрана: страница "Сеть и интернет" в приложении параметров Windows 11. Снимок экрана: страница Ethernet в приложении параметров Windows 11. Снимок экрана: диалоговое окно параметров проверки подлинности Ethernet в приложении параметров Windows 11.

Переключение параметра в положение Вкл для настройки проверки подлинности IEEE 802.1X позволяет изменять параметры EAP для этого профиля:

Если на компьютере настроен профиль компьютера или интерфейс настроен с помощью групповой политики, параметр проверки подлинности IEEE 802.1X отключен и не может быть изменен:

VPN

Windows 10 и 11 поддерживают изменение профилей VPN, включая параметры EAP, в приложении "Параметры". Этот параметр можно найти в приложении "Параметры" в разделе "Сеть и>ИНТЕРНЕТ VPN:

При выборе "Добавить VPN" можно добавить новый профиль VPN: Screenshot of Add a VPN connection dialog in Windows 11 settings app.

После добавления профиль VPN можно изменить, развернув профиль и выбрав Дополнительные параметры>Изменить:

Редактор групповой политики (рабочий стол и сервер)

Групповая политика — это инфраструктура, которая позволяет управлять конфигурациями для пользователей и компьютеров. С помощью групповой политики можно настроить параметры Wi-Fi, Ethernet и VPN на основе заданных правил. На следующих снимках экрана показан редактор управления групповыми политиками Windows Server 2022, но пользовательский интерфейс аналогичен панель управления классических windows и редактору локальных групповых политик. Дополнительные сведения о параметрах, показанных на следующих снимках экрана, см. в разделе "Расширяемый протокол проверки подлинности" (EAP) для доступа к сети.

Wi-Fi

Параметры групповой политики для Wi-Fi расположены в разделе "конфигурация компьютера>Политики>Параметры Windows>Параметры безопасности>беспроводной сети (IEEE 802.11) Политики:

Щелкните правой кнопкой мыши на политиках беспроводной сети (IEEE 802.11) и выберите Создать новую политику беспроводной сети для Windows Vista и более поздних версий, чтобы открыть диалоговое окно Свойства новой политики беспроводной сети:

Это диалоговое окно позволяет задать имя политики, описание и добавлять/, редактировать/ и удалять профили, а также импортировать и экспортироватьXML-профили.

Щелкнув "Добавить " и выбрав " Инфраструктура" , откроется диалоговое окно "Свойства нового профиля ":

Это диалоговое окно позволяет задать имя профиля и добавить идентификаторы SSID, к которые применяется этот профиль.

Выбор "Безопасность " позволяет настроить параметры EAP для профиля:

Это диалоговое окно позволяет настроить тип безопасности и другие параметры для профиля Wi-Fi. Если выбран тип проверки подлинности, поддерживающий проверку подлинности 802.1X (например , WPA2-Enterprise), параметры безопасности 802.1X отображаются. Дополнительные сведения о каждом методе проверки подлинности сети см. в методах EAP.

При выборе кнопки "Дополнительно..." отображается диалоговое окно "Дополнительные параметры безопасности":

Это диалоговое окно позволяет задать некоторые расширенные параметры 802.1X и параметры единого входа .

Совет

Не все параметры доступны для настройки в редакторе групповой политики. Однако это можно обойти, импортируя XML-профиль с нужными параметрами. Дополнительные сведения см. в разделе "Профили XML".

Проводной

Параметры групповой политики для проводной сети находятся в разделе Конфигурация компьютера>Политики>Параметры Windows>Параметры безопасности>Политики проводной сети (IEEE 802.3):

Щелкните правой кнопкой мыши по политикам проводной сети (IEEE 802.3) и выберите Создать новую политику проводной сети для Windows Vista и более поздних выпусков, откроется диалоговое окно Свойства новой политики проводной сети:

Это диалоговое окно позволяет задать имя политики, описание и следующие параметры:

Настройка	XML-элемент	Описание
Использование службы автоматической настройки Windows Wired для клиентов	enableAutoConfig	При выборе можно использовать автоматическую конфигурацию Windows Wired (dot3svc) для подключения к проводным сетям без явной настройки. Если не выбрано, сеть, указанная в этой политике, является единственной сетью, доступной для подключения.
Не разрешать использование общих учетных данных для аутентификации в сети	enableExplicitCreds	Если выбрано, общие учетные данные пользователей не разрешены для аутентификации в сети. Учетные данные должны быть явными.
Включить период блокировки (в минутах)	период блокировки	Значение по умолчанию составляет 20 минут, указывает длительность, в течение которой попытки автоматической проверки подлинности будут заблокированы после неудачной попытки проверки подлинности.

Выбор "Безопасность " позволяет настроить параметры EAP для профиля:

Это диалоговое окно позволяет настроить тип безопасности и другие параметры для проводной сети. Дополнительные сведения см. в разделе 802.1X параметры безопасности. Дополнительные сведения о каждом методе проверки подлинности сети см. в методах EAP.

При нажатии кнопки «Дополнительно...» отображается диалоговое окно «Дополнительные параметры безопасности»:

Это диалоговое окно позволяет задать некоторые расширенные параметры 802.1X и параметры единого входа .

Совет

Не все параметры доступны для настройки в редакторе групповой политики. Однако это можно обойти, создав резервную копию объекта групповой политики, изменив файлBackup.xml с нужными параметрами и повторно импортируя его. Дополнительные сведения см. в разделе "Профили XML".

Методы EAP

Общие сведения о различных методах EAP см. в разделе "Методы проверки подлинности".

Майкрософт: смарт-карта или другой сертификат

Дополнительные сведения об этом диалоговом окне см. в разделе EAP-TLS.

При выборе " Дополнительно" откроется диалоговое окно "Настройка выбора сертификатов ":

Майкрософт: защищенный EAP (PEAP)

Дополнительные сведения об этом диалоговом окне см. в разделе PEAP.

При выборе параметра "Настройка" при выборе защищенного пароля (EAP-MSCHAP версии 2) откроется диалоговое окно EAP MSCHAPv2 :

Майкрософт: EAP-SIM

Дополнительные сведения об этом диалоговом окне см. в разделе EAP-SIM.

Майкрософт: EAP-TTLS

Дополнительные сведения об этом диалоговом окне см. в разделе EAP-TTLS.

Майкрософт: EAP-AKA

Дополнительные сведения об этом диалоговом окне см. в разделе EAP-AKA.

Майкрософт: EAP-AKA'

Дополнительные сведения об этом диалоговом окне см. в статье EAP-AKA.

Майкрософт: EAP-TEAP

Дополнительные сведения об этом диалоговом окне см. в разделе TEAP.

Дополнительные ресурсы

• Управление параметрами политик новой беспроводной сети (IEEE 802.11)
• Управление параметрами политик новой проводной сети (IEEE 802.3)
• Дополнительные параметры безопасности для политик проводной и беспроводной сети