Настройка профилей и параметров EAP в Windows

Статья
2023-10-06
Применяется к: ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016, ✅ Windows 11, ✅ Windows 10

В этой статье приводятся сведения о распространенных способах настройки параметров протокола EAP. В частности, он описывает настройку профилей EAP с помощью средств XML и командной строки. В нем также показано, как настроить параметры и профили EAP с помощью различных пользовательских интерфейсов в Windows.

Профили XML

Как описано в профилях XML для EAP, профили подключений для Wi-Fi, Ethernet и VPN являются XML-файлами, содержащими параметры конфигурации для этого подключения. Эти профили можно импортировать или экспортировать и вручную изменить. При создании или изменении профилей в пользовательском интерфейсе (как описано в следующих разделах), Windows внутренне задает соответствующие параметры конфигурации XML. В результате можно использовать пользовательский интерфейс для создания профиля, а затем экспортировать его для просмотра параметров конфигурации XML, заданных.

Примечание.

Не каждый параметр конфигурации предоставляется в пользовательском интерфейсе. В зависимости от сценария может потребоваться вручную изменить XML-профиль, чтобы задать нужные параметры конфигурации, а затем импортировать обновленный профиль для развертывания.

Например, при использовании стратегий управления мобильными устройствами (MDM) (таких как Wi-Fi CSP), необходимо подготовить полный XML-профиль.

Пример профиля Wi-Fi можно найти в этом примере.

Импорт и экспорт профилей с помощью средств командной строки

Импорт и экспорт профилей с помощью средства командной строки может оказаться полезным во многих сценариях. Например, если настройка MDM или групповой политики невозможна, выполнение этих команд вручную или с помощью скриптов может быть самым быстрым вариантом. Его также можно использовать для экспорта профилей после их настройки с помощью другого пользовательского интерфейса.

netsh

netsh — это средство командной строки, которое можно использовать для просмотра и настройки различных параметров, связанных с сетью. Дополнительные сведения см. в статье "Сетевая оболочка( netsh)". netsh можно вызывать из обоих cmd и powershell. В следующей таблице перечислены некоторые распространенные netsh команды и примеры импорта и экспорта профилей. /? можно использовать с любой netsh командой для получения дополнительных сведений о команде, включая синтаксис.

Wi-Fi
Wired

Команда	Описание
`netsh wlan show profiles`	Отображает все профили Wi-Fi, включая имя профиля.
`netsh wlan show profiles name="ProfileName"`	Подробные сведения о конкретном профиле Wi-Fi
`netsh wlan export profile name="ProfileName" folder="C:\Profiles"`	Экспортирует профиль Wi-Fi в указанную папку. Папка должна существовать.
`netsh wlan add profile filename="C:\Profiles\ProfileName.xml"`	Добавляет профиль Wi-Fi из указанного файла.
`netsh wlan delete profile name="ProfileName"`	Удаляет профиль Wi-Fi.

Команда	Description
`netsh lan show profiles`	Отображает все проводные профили, включая имя профиля и другие сведения.
`netsh lan show profiles interface="Ethernet"`	Отображает подробные сведения о проводном профиле в определенном интерфейсе.
`netsh lan export profile interface="Ethernet" folder="C:\Profiles"`	Экспортирует проводной профиль в указанную папку. Папка должна существовать. Если интерфейс не указан, профиль компьютера экспортируется.
`netsh lan add profile filename="C:\Profiles\ProfileName.xml" interface="Ethernet"`	Добавляет проводной профиль из указанного файла в указанный интерфейс. Если интерфейс не указан, профиль добавляется в качестве профиля компьютера.
`netsh lan delete profile interface="ProfileName"`	Удаляет проводной профиль. Если интерфейс не указан, профиль компьютера удаляется.

PowerShell

PowerShell — это оболочка командной строки и язык сценариев, который можно использовать для просмотра и настройки различных параметров. Он включает различные команды (командлеты), которые можно использовать для импорта и экспорта профилей подключений. Командлет Get-Help можно использовать с любым командлетом для получения дополнительных сведений об этом командлете, включая синтаксис.

Подробные сведения об этих командлетах см. в разделе Get-VpnConnection, Set-VpnConnection и Add-VpnConnection .

Команда	Описание
`Get-VpnConnection`	Отображает все профили VPN, включая имя профиля и другие сведения.
`Get-VpnConnection -Name "ProfileName"`	Отображает сводную информацию о конкретном профиле VPN.
`(Get-VpnConnection -Name "ProfileName").EapConfigXmlStream.InnerXml \\| Out-File -FilePath "C:\Profiles\vpn_eap.xml"`	Экспортирует конфигурацию EAP для определенного профиля VPN в файл.
`Set-VpnConnection -Name "ProfileName" -EapConfigXmlStream (Get-Content -Path "C:\Profiles\vpn_eap.xml")`	Импортирует конфигурацию EAP из файла и обновляет указанный профиль VPN.

Приложение "Параметры" (Windows для настольных ПК)

На классическом клиенте Windows многие распространенные параметры Wi-Fi, Ethernet и VPN можно настроить с помощью приложения "Параметры". На следующих снимках экрана показано приложение параметров Windows 11, но пользовательский интерфейс похож на Windows 10. Однако некоторые функции и параметры могут быть доступны только в Windows 11.

Windows 10 и 11 поддерживают добавление профилей Wi-Fi с определенной конфигурацией (включая 802.1X) в приложении "Параметры". Этот параметр можно найти в приложении "Параметры" в разделе Сеть и интернет>Wi-Fi>Управление известными сетями>Добавить сеть: Снимок экрана: страница Снимок экрана: страница Wi-Fi в приложении параметров Windows 11. Снимок экрана: диалог добавления новой сети в приложении параметров Windows 11.

Это диалоговое окно позволяет настроить SSID, тип безопасности и другие параметры профиля Wi-Fi. Если выбран тип безопасности, поддерживающий EAP, например WPA3-Enterprise AES, в диалоговом окне показано, как настроить параметры EAP: Снимок экрана: диалоговое окно

Совет

После добавления сети невозможно изменить параметры EAP с помощью приложения "Параметры". Чтобы изменить параметры EAP, выполните следующие действия.

удалите профиль и повторно добавьте его с правильными параметрами или
Используйте команды, описанные netsh в netsh , чтобы вручную изменить профиль.

Редактор групповой политики (рабочий стол и сервер)

Групповая политика — это инфраструктура, которая позволяет управлять конфигурациями для пользователей и компьютеров. С помощью групповой политики можно настроить параметры Wi-Fi, Ethernet и VPN на основе заданных правил. На следующих снимках экрана показан редактор управления групповыми политиками Windows Server 2022, но пользовательский интерфейс аналогичен панель управления классических windows и редактору локальных групповых политик. Дополнительные сведения о параметрах, показанных на следующих снимках экрана, см. в разделе "Расширяемый протокол проверки подлинности" (EAP) для доступа к сети.

Wi-Fi
Wired

Параметры групповой политики для Wi-Fi находятся в разделе "Конфигурация компьютера">"Политики">"Параметры Windows">"Параметры безопасности">"Политики беспроводной сети (IEEE 802.11)": Снимок экрана: параметр политики беспроводной сети (IEEE 802.11) в редакторе управления групповыми политиками.

Щелкните правой кнопкой мыши политики беспроводной сети (IEEE 802.11) и выберите "Создать новую политику беспроводной сети" для Windows Vista и более поздних выпусков , откроется диалоговое окно "Новые свойства политики беспроводной сети". Снимок экрана: создание новой политики беспроводной сети для Windows Vista и более поздних выпусков в редакторе управления групповыми политиками. Снимок экрана: диалоговое окно

Это диалоговое окно позволяет задать имя политики, описание и добавить, редактировать, удалить профили, а также импортировать и экспортироватьXML-профили.

Щелкнув "Добавить " и выбрав "Инфраструктура" , откроется диалоговое окно " Свойства нового профиля":

Это диалоговое окно позволяет задать имя профиля и добавить идентификаторы SSID, к которые применяется этот профиль.

Выбор безопасности позволяет настроить параметры EAP для профиля:

Это диалоговое окно позволяет настроить тип безопасности и другие параметры для профиля Wi-Fi. Если выбран тип проверки подлинности, поддерживающий проверку подлинности 802.1X (например , WPA2-Enterprise), параметры безопасности 802.1X отображаются. Дополнительные сведения о каждом методе проверки подлинности сети см. в методах EAP.

При выборе кнопки "Дополнительно... " Отображается диалоговое окно "Дополнительные параметры безопасности": Снимок экрана: диалоговое окно

Это диалоговое окно позволяет задать некоторые расширенные параметры 802.1X и параметры единой системы входа.

Совет

Не все параметры доступны для настройки в редакторе групповой политики. Однако это можно обойти, импортируя XML-профиль с нужными параметрами. Дополнительные сведения см. в разделе "Профили XML".

Параметры групповой политики для проводных сетей находятся в разделе Конфигурация компьютера>Политики>Настройки Windows>Параметры безопасности>Политики проводной сети (IEEE 802.3): Снимок экрана, показывающий параметр политики проводной сети (IEEE 802.3) в редакторе управления групповыми политиками.

Щелчок правой кнопкой мыши на Проводная сеть (IEEE 802.3) политик и выбор Создать новую политику проводной сети для Windows Vista и более поздних выпусков откроет диалоговое окно "Новые свойства политики проводной сети": Снимок экрана, показывающий опцию Снимок экрана, показывающий диалоговое окно

Это диалоговое окно позволяет задать имя политики, описание и следующие параметры:

Настройка	XML-элемент	Описание
Использование службы автоматической настройки Windows Wired для клиентов	enableAutoConfig	При выборе можно использовать автоматическую конфигурацию Windows Wired (dot3svc) для подключения к проводным сетям без явной настройки. Если не выбрано, сеть, указанная в этой политике, является единственной сетью, доступной для подключения.
Не разрешать использование общих учетных данных для аутентификации в сети	enableExplicitCreds	Если выбрано, общие учетные данные пользователей не разрешены для аутентификации в сети. Учетные данные должны быть явными.
Включить период блокировки (в минутах)	blockPeriod	Значение по умолчанию составляет 20 минут, указывает длительность, в течение которой попытки автоматической проверки подлинности будут заблокированы после неудачной попытки проверки подлинности.

Выбор безопасности позволяет настроить параметры EAP для профиля: Снимок экрана: вкладка

Это диалоговое окно позволяет настроить тип безопасности и другие параметры для проводной сети. Дополнительные сведения см. в параметрах безопасности 802.1X. Дополнительные сведения о каждом методе проверки подлинности сети см. в методах EAP.

Это диалоговое окно позволяет задать расширенные параметры 802.1X и параметры Единого входа.

Совет

Не все параметры доступны для настройки в редакторе групповой политики. Однако это можно обойти, создав резервную копию объекта групповой политики, изменив файл Backup.xml с нужными параметрами и повторно импортируя его. Дополнительные сведения см. в разделе "Профили XML".

Методы EAP

Общие сведения о различных методах EAP см. в разделе "Методы проверки подлинности".

Майкрософт: смарт-карта или другой сертификат

Дополнительные сведения об этом диалоговом окне см. в разделе EAP-TLS. Снимок экрана: диалоговое окно

При нажатии кнопки "Дополнительно" откроется диалоговое окно "Настройка выбора сертификатов": Снимок экрана: диалоговое окно

Майкрософт: защищенный EAP (PEAP)

Дополнительные сведения об этом диалоговом окне см. в разделе PEAP. Снимок экрана: диалоговое окно

При выборе параметра Configure... при выборе защищенного пароля (EAP-MSCHAP версии 2) откроется диалоговое окно EAP MSCHAPv2 : Снимок экрана: диалоговое окно свойств EAP MSCHAPv2.