WindowsXP/7: 限制特有的無線網路串連

文章目錄

• WindowsXP/7: 限制特有的無線網路串連

WindowsXP/7: 限制特有的無線網路串連

情境是這樣的：在我們的學校環境中，提供三種不同的無線網路服務，一個是我們內部所有電腦伺服器印表機等等裝置所使用的相對安全的內部網路，登陸認證使用AD；第二個是為學生準備的服務，它提供基本的串連Internet的服務，但是不能串連學校內部網路，適用於有有學校賬戶的人群使用個人網路裝置，使用者串連後，需要進入瀏覽器，瀏覽器提示使用者認證，使用者輸入普通的在學校的賬戶確認之後，就可以使用了；第三個與第二個類似，不同的是它適合於學校以外的訪問者使用，學校可以臨時產生一個賬戶供客人使用，這個特殊賬戶有使用時限，同樣不能訪問內部網路，只提供有限的Internet服務。不僅如此，在學校裡，還可以串連到外部其他無線訊號。

面對複雜的網路環境，很多時候會造成麻煩，最主要的是，學校的無線裝置，比如膝上型電腦，可能由於串連到其他無線網路上，而無法讓使用者登陸，因為無法串連到AD，或者是無法訪問學校網路資源，比如印表機等。 而由於學生的好奇心或者是惡作劇，他們可能會有意無意地通過狀態列上的無線網路表徵圖，手動串連到其他網路，下一個使用者登陸時，當然就登陸不上去，或者是即便可以登陸，但是無法訪問學校的內部服務，這樣造成網路支援的麻煩，而且學生們會樂此不疲。

應對的方法就是，不讓普通使用者變更網路。

首先使用組策略禁止開啟Control Panel，不能使用Command Prompt等基本配置這是第一步，然後把學校的無線網路添加到預設網路列表(PreferredNetwork)中並且放在第一位，設定即便沒有廣播SSID都可以串連等等配置，而組策略不能阻止使用者添加一個無線網路串連到預設網路列表(PreferredNetwork)中。所以要進行下面的操作。

注意，不是所有的移動無線裝置都應該被限制，比如有員工可以被准許拿膝上型電腦離開校園使用(off-site)，這樣的裝置，使用者需要被培訓，如何使用和配置無線網路，那麼在出現上述問題的時候他們可以自我解決。

 

針對Windows 7:

我們可以只准許使用者看到特定的無線網路，而不是所有的，這樣即便普通使用者想改變，也是無計可施，這個特性，只有在WindowsVista之後才提供。比如說，學校內部無線網路的SSID是SchoolOwned Devices，那麼下面的命令可以只顯示該網路。

netsh wlanadd filter permission=denyall networktype=adhocnetsh wlanadd filter permission=denyall networktype=infrastructurenetsh wlanset blockednetworks display=hidenetsh wlanadd filter permission=allow ssid="School Owned Devices"networktype=infrastructure

 

粗看上面的命令，首先它在無線網路中使用過濾器禁止了兩種類型的網路，然後禁止顯示所有無線網路，最後是讓它顯示一個特定的無線網路。

要恢複原始狀態，使用下面的命令

netsh wlandelete filter permission=denyall networktype=adhocnetsh wlandelete filter permission=denyall networktype=infrastructurenetsh wlanset blockednetworks display=show

 

針對Windows XP:

Windows XP中不如Windows 7那樣簡單明了，不過可以通過修改註冊表可以讓無線表徵圖不再顯示在狀態列中，加上上面的諸多限制，使用者沒有手段來變更無線串連，這也是不得已的這種策略了。

其實很簡單，也容易編寫成指令碼執行

[-HKEY_CLASSES_ROOT\CLSID\{7007ACCF-3202-11D1-AAD2-00805FC1270E}]

 

Reference:

Windows XP and Windows Server 2003 Behavior When Connected toBoth Wired and Wireless Networks [http://technet.microsoft.com/en-us/library/bb878031.aspx].

Links to the WS08 version of the product help for these settingsare: Group Policy settings that prohibit home and small office networking onyour domain [http://technet.microsoft.com/en-us/library/cc758455(WS.10).aspx]:
-- Enable or Disable Internet Connection Sharing by Using Group Policy [http://technet.microsoft.com/en-us/library/cc770930(WS.10).aspx
-- Enable or Disable the Network Bridge by Using Group Policy [http://technet.microsoft.com/en-us/library/cc732103(WS.10).aspx

In WS03-based Group Policy:  Add, edit, or remove Active
Directory-based wireless network policies [http://technet.microsoft.com/en-us/library/cc787324(WS.10).aspx]

In WS08 and WS08 R2-based Group Policy:

Deploying 802.1XAuthenticated Wireless Access with PEAP-MS-CHAPv2 [http://technet.microsoft.com/en-us/library/dd183603(WS.10).aspx],in thesections:
-- Configure Windows Vista Wireless Network (IEEE 802.11) Policies [http://technet.microsoft.com/en-us/library/dd145296(WS.10).aspx]
-- Configure Windows XP Wireless Network (IEEE 802.11) Policies [http://technet.microsoft.com/en-us/library/dd183688(WS.10).aspx

Win7 wireless clients: Hosted Network at: About the WirelessHosted Network [http://msdn.microsoft.com/en-us/library/dd815243(VS.85).aspx]

in WS08 R2, they can follow the steps provided in the topicConfigure Network Permissions and Connection
Preferences [http://technet.microsoft.com/en-us/library/dd759204.aspx.