Настройка профилей и параметров EAP в Windows

Статья
10/06/2023
Применяется к:

✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016, ✅ Windows 11, ✅ Windows 10

В этой статье приводятся сведения о распространенных способах настройки параметров протокола EAP. В частности, он описывает настройку профилей EAP с помощью средств XML и командной строки. В нем также показано, как настроить параметры и профили EAP с помощью различных пользовательских интерфейсов в Windows.

Профили XML

Как описано в профилях XML для EAP, профили подключений для Wi-Fi, Ethernet и VPN являются XML-файлами, содержащими параметры конфигурации для этого подключения. Эти профили можно импортировать или экспортировать и вручную изменить. При создании или изменении профилей в пользовательском интерфейсе (как описано в следующих разделах), Windows внутренне задает соответствующие параметры конфигурации XML. В результате можно использовать пользовательский интерфейс для создания профиля, а затем экспортировать его для просмотра параметров конфигурации XML, заданных.

Примечание.

Не каждый параметр конфигурации предоставляется в пользовательском интерфейсе. В зависимости от сценария может потребоваться вручную изменить XML-профиль, чтобы задать нужные параметры конфигурации, а затем импортировать обновленный профиль для развертывания.

Например, при использовании политик мобильных Управление устройствами (MDM) (таких как Wi-Fi CSP), необходимо подготовить полный XML-профиль.

Пример профиля Wi-Fi можно найти в этом примере.

Импорт и экспорт профилей с помощью средств командной строки

Импорт и экспорт профилей с помощью средства командной строки может оказаться полезным во многих сценариях. Например, при настройке MDM или групповой политики невозможно, вручную или скрипты этих команд могут быть самым быстрым вариантом. Его также можно использовать для экспорта профилей после их настройки с помощью другого пользовательского интерфейса.

netsh

netsh — это средство командной строки, которое можно использовать для просмотра и настройки различных параметров, связанных с сетью. Дополнительные сведения см. в статье "Сетевая оболочка( netsh)". netsh можно вызывать из обоих cmd и powershell. В следующей таблице перечислены некоторые распространенные netsh команды и примеры импорта и экспорта профилей. /? можно использовать с любой netsh командой для получения дополнительных сведений о команде, включая синтаксис.

Wi-Fi
Зашитый

Команда	Description
`netsh wlan show profiles`	Отображает все профили Wi-Fi, включая имя профиля.
`netsh wlan show profiles name="ProfileName"`	Подробные сведения о конкретном профиле Wi-Fi
`netsh wlan export profile name="ProfileName" folder="C:\Profiles"`	Экспортирует профиль Wi-Fi в указанную папку. Папка должна существовать.
`netsh wlan add profile filename="C:\Profiles\ProfileName.xml"`	Добавляет профиль Wi-Fi из указанного файла.
`netsh wlan delete profile name="ProfileName"`	Удаляет профиль Wi-Fi.

Команда	Description
`netsh lan show profiles`	Отображает все проводные профили, включая имя профиля и другие сведения.
`netsh lan show profiles interface="Ethernet"`	Отображает подробные сведения о проводном профиле в определенном интерфейсе.
`netsh lan export profile interface="Ethernet" folder="C:\Profiles"`	Экспортирует проводной профиль в указанную папку. Папка должна существовать. Если интерфейс не указан, профиль компьютера экспортируется.
`netsh lan add profile filename="C:\Profiles\ProfileName.xml" interface="Ethernet"`	Добавляет проводной профиль из указанного файла в указанный интерфейс. Если интерфейс не указан, профиль добавляется в качестве профиля компьютера.
`netsh lan delete profile interface="ProfileName"`	Удаляет проводной профиль. Если интерфейс не указан, профиль компьютера удаляется.

PowerShell

PowerShell — это оболочка командной строки и язык сценариев, который можно использовать для просмотра и настройки различных параметров. Он включает различные команды (командлеты), которые можно использовать для импорта и экспорта профилей подключений. Командлет Get-Help можно использовать с любым командлетом для получения дополнительных сведений об этом командлете, включая синтаксис.

Подробные сведения об этих командлетах см. в разделе Get-VpnConnection, Set-VpnConnection и Add-VpnConnection .

Команда	Description
`Get-VpnConnection`	Отображает все профили VPN, включая имя профиля и другие сведения.
`Get-VpnConnection -Name "ProfileName"`	Отображает сводную информацию о конкретном профиле VPN.
`(Get-VpnConnection -Name "ProfileName").EapConfigXmlStream.InnerXml \\| Out-File -FilePath "C:\Profiles\vpn_eap.xml"`	Экспортирует конфигурацию EAP для определенного профиля VPN в файл.
`Set-VpnConnection -Name "ProfileName" -EapConfigXmlStream (Get-Content -Path "C:\Profiles\vpn_eap.xml")`	Импортирует конфигурацию EAP из файла и обновляет указанный профиль VPN.

Приложение "Параметры" (классическое приложение Windows)

На классическом клиенте Windows многие распространенные параметры Wi-Fi, Ethernet и VPN можно настроить с помощью приложения "Параметры". На следующих снимках экрана показано приложение параметров Windows 11, но пользовательский интерфейс похож на Windows 10. Однако некоторые функции и параметры могут быть доступны только в Windows 11.

Windows 10 и 11 поддерживают добавление профилей Wi-Fi с определенной конфигурацией (включая 802.1X) в приложении "Параметры". Этот параметр можно найти в приложении "Параметры" в разделе Network и Internet>Wi-Fi>Manage известных сетей Add network:> Снимок экрана: страница Снимок экрана: страница Wi-Fi в приложении параметров Windows 11. Снимок экрана: добавление нового диалогового окна сети в приложении параметров Windows 11.

Это диалоговое окно позволяет настроить SSID, тип безопасности и другие параметры профиля Wi-Fi. Если выбран тип безопасности, поддерживающий EAP, например WPA3-Enterprise AES, в диалоговом окне показано, как настроить параметры EAP: Снимок экрана: диалоговое окно

Совет

После добавления сети невозможно изменить параметры EAP с помощью приложения "Параметры". Чтобы изменить параметры EAP, выполните следующие действия.

удалите профиль и повторно добавьте его с правильными параметрами или
Используйте команды, описанные netsh в netsh , чтобы вручную изменить профиль.

Редактор групповой политики (рабочий стол и сервер)

Групповая политика — это инфраструктура, которая позволяет управлять конфигурациями для пользователей и компьютеров. С помощью групповой политики можно настроить параметры Wi-Fi, Ethernet и VPN на основе заданных правил. На следующих снимках экрана показан редактор управления групповыми политиками Windows Server 2022, но пользовательский интерфейс аналогичен панель управления классических windows и редактору локальных групповых политик. Дополнительные сведения о параметрах, показанных на следующих снимках экрана, см. в разделе "Расширяемый протокол проверки подлинности" (EAP) для доступа к сети.

Wi-Fi
Зашитый

Параметры групповой политики для Wi-Fi находятся в разделе "Политики>конфигурации>компьютеров>>" Параметры безопасности беспроводной сети (IEEE 802.11): Снимок экрана: параметр политики беспроводной сети (IEEE 802.11) в редакторе управления групповыми политиками.

Щелкните правой кнопкой мыши политики беспроводной сети (IEEE 802.11) и выберите "Создать новую политику беспроводной сети" для Windows Vista и более поздних выпусков , откроется диалоговое окно "Новые свойства политики беспроводной сети". Снимок экрана: создание новой политики беспроводной сети для Windows Vista и более поздних выпусков в редакторе управления групповыми политиками. Снимок экрана: диалоговое окно

Это диалоговое окно позволяет задать имя политики, описание и /добавить профили редактирования/, а также импортировать и экспортировать XML-профили.

Щелкнув "Добавить " и выбрав "Инфраструктура" , откроется диалоговое окно " Свойства нового профиля":

Это диалоговое окно позволяет задать имя профиля и добавить идентификаторы SSID, к которые применяется этот профиль.

Выбор безопасности позволяет настроить параметры EAP для профиля:

Это диалоговое окно позволяет настроить тип безопасности и другие параметры для профиля Wi-Fi. Если выбран тип проверки подлинности, поддерживающий проверку подлинности 802.1X (например , WPA2-Enterprise), параметры безопасности 802.1X отображаются. Дополнительные сведения о каждом методе проверки подлинности сети см. в методах EAP.

При выборе кнопки "Дополнительно... " Отображается диалоговое окно "Дополнительные параметры безопасности": Снимок экрана: диалоговое окно

Это диалоговое окно позволяет задать некоторые расширенные параметры 802.1X и параметры Единый вход.

Совет

Не все параметры доступны для настройки в редакторе групповой политики. Однако это можно обойти, импортируя XML-профиль с нужными параметрами. Дополнительные сведения см. в разделе "Профили XML".

Параметры групповой политики для проводной передачи находятся в разделе "Политики>конфигурации>компьютера" параметров безопасности параметров>>проводной сети (IEEE 802.3): Снимок экрана: параметр политики проводной сети (IEEE 802.3) в редакторе управления групповыми политиками.

Щелкните правой кнопкой мыши политики проводной сети (IEEE 802.3) и выберите "Создать новую сетевую политику проводной сети" для Windows Vista и более поздних выпусков , откроется диалоговое окно "Новые свойства политики сети проводной сети": Снимок экрана: создание новой сетевой политики проводной сети для Windows Vista и более поздних выпусков в редакторе управления групповыми политиками. Снимок экрана: диалоговое окно

Это диалоговое окно позволяет задать имя политики, описание и следующие параметры:

Параметр	XML-элемент	Description
Использование службы автоматической настройки Windows Wired для клиентов	enableAutoConfig	При выборе можно использовать автоматическую конфигурацию Windows Wired (dot3svc) для подключения к проводным сетям без явной настройки. Если не выбрано, сеть, указанная в этой политике, является единственной сетью, доступной для подключения.
Не разрешать учетные данные общего пользователя для проверки подлинности сети	enableExplicitCreds	Если выбрано, учетные данные общего пользователя не разрешены для проверки подлинности сети. Учетные данные должны быть явными.
Включить период блокировки (в минутах)	blockPeriod	Значение по умолчанию составляет 20 минут, указывает длительность, в течение которой попытки автоматической проверки подлинности будут заблокированы после неудачной попытки проверки подлинности.

Выбор безопасности позволяет настроить параметры EAP для профиля: Снимок экрана: вкладка

Это диалоговое окно позволяет настроить тип безопасности и другие параметры для проводной сети. Дополнительные сведения см. в разделе 802.1X по параметрам безопасности. Дополнительные сведения о каждом методе проверки подлинности сети см. в методах EAP.

Это диалоговое окно позволяет задать некоторые расширенные параметры 802.1X и параметры Единый вход.

Совет

Не все параметры доступны для настройки в редакторе групповой политики. Однако это можно обойти, создав резервную копию объекта групповой политики, изменив файл Backup.xml с нужными параметрами и повторно импортируя его. Дополнительные сведения см. в разделе "Профили XML".

Методы EAP

Общие сведения о различных методах EAP см. в разделе "Методы проверки подлинности".

Майкрософт: смарт-карта или другой сертификат

Дополнительные сведения об этом диалоговом окне см. в разделе EAP-TLS. Снимок экрана: диалоговое окно

При нажатии кнопки "Дополнительно" откроется диалоговое окно "Настройка выбора сертификатов": Снимок экрана: диалоговое окно

Майкрософт: защищенный EAP (PEAP)

Дополнительные сведения об этом диалоговом окне см. в разделе PEAP. Снимок экрана: диалоговое окно

При выборе параметра Configure... при выборе защищенного пароля (EAP-MSCHAP версии 2) откроется диалоговое окно EAP MSCHAPv2 : Снимок экрана: диалоговое окно свойств EAP MSCHAPv2.