Ако постоянно превключвате между домашния си Wi-Fi, офисната мрежа, университетската мрежа или мобилната си точка за достъп, ръчната промяна на мрежовите настройки е истинска мъка. За щастие, Windows и други операционни системи предлагат начини за... създаване на автоматични профили въз основа на WiFi мрежата, към която се свързвате, контролирайте кой интерфейс е активиран във всеки даден момент и прилагайте политики за сигурност или защитни стени, адаптирани към всяка среда.
В тази статия ще видите подробно как работят те мрежови профилиКакво ви позволяват да правите в Windows, как да ги интегрирате с инструменти като Intune или с решения за сигурност, какви програми на трети страни са ви необходими, за да продължите напред, и как всичко това се вписва в концепции като местоположения, групи с приоритет на интерфейса или IPsec профили в корпоративни рутери.
Какво е мрежов профил и защо бихте се заинтересували да го използвате?
Мрежовият профил е основно набор от предварително дефинирани параметри, които се прилагат към връзката (или няколко) в зависимост от определени условия: WiFi мрежата, към която се свързвате, активния интерфейс, местоположението и т.н. Тези параметри могат да варират от IP и DNS до правила на защитната стена, използване на VPN, принтери, споделени ресурси или дори персонализирани скриптове.
В Windows системата вече класифицира мрежите като публичен или частенКогато се свържете с Wi-Fi или LAN мрежа за първи път, системата ви пита дали е надеждна мрежа. Ако отговорите с „да“, тя се счита за частна; ако не, за публична. Въз основа на това решение, системата настройва защитната стена и видимостта на вашето устройство в мрежата, като отслабва сигурността в домашни мрежи или малки офиси и я засилва в мрежи в хотели, летища или кафенета.
В един частна мрежаWindows приема, че вие контролирате кой се свързва и че устройствата са известни. Това ви позволява например да откривате други компютри в мрежата, да осъществявате достъп до споделени папки, да изпращате задания за печат към мрежови принтери или да използвате функции като HomeGroup или стрийминг към Smart TV. Системата намалява ограниченията, защото разбира, че средата е относително сигурна.
В един обществена мрежаWindows приема, че мрежата е ненадеждна. Следователно, той деактивира откриването на устройства, споделянето на файлове и принтери и други услуги, които биха могли да ви изложат на атаки от други свързани устройства. уязвимости като тези в WhatsAppВсе още можете да сърфирате в интернет, но устройството ви е изолирано от останалите, което е от решаващо значение, когато се свързвате с WiFi в търговски център, летище или отворена мрежа.
Проблемът възниква, когато един и същ лаптоп се мести множество мрежи с много различни изискванияНякой може да изисква статичен IP адрес, друг да използва DHCP; някой може да изисква да използвате корпоративен прокси, друг да активира VPN, а трети може да не. Ръчната промяна всеки път е досадна и податлива на грешки. Ето къде се намесват разширените мрежови профили, както в Windows, така и чрез специализирани програми.
Автоматизирайте настройките при превключване на WiFi мрежи в Windows
Windows ви позволява да дефинирате различни параметри за всеки мрежов профил (публичен или частен) и за всяка конкретна връзка, но интегрираното управление е недостатъчно, ако желаете Променете IP, DNS, прокси, VPN и защитна стена наведнъж всеки път, когато откриете различен SSID. За тази цел обичайният подход е да се комбинира това, което системата предлага, с външни инструменти, които управляват разширени профили.
В графичния интерфейс за управление на мрежата на някои среди (например дистрибуции, които използват концепции, подобни на NCP на Solaris) се прави разграничение реактивни и фиксирани мрежови профилиРеактивният профил „Automatic“ първо се опитва да установи кабелна връзка и ако това не успее, прибягва до безжична връзка. Фиксираният профил „DefaultFixed“ определя статичен набор от интерфейси, които остават непроменени, докато не бъдат променени с помощта на инструменти от командния ред.
Тези профили контролират кои интерфейси могат да бъдат активиране или деактивиране по всяко времеНа типичен лаптоп с Ethernet и Wi-Fi, може да искате да използвате само Ethernet, когато има наличен кабел, и да изключите Wi-Fi от съображения за сигурност или обратното. Графичният потребителски интерфейс за мрежови предпочитания обикновено предлага изгледи за състояние на връзката, мрежов профил и свойства на връзката, където можете да видите текущото състояние, кой профил е активен и специфични свойства (IP адрес, IPv4/IPv6, любими безжични мрежи и др.).
Освен това, можете да дефинирате местоположения Тези настройки групират конфигурации като услуги за имена, защитна стена и IPsec и се активират ръчно или условно според правила (например местоположение „Офис“, ако получите IP адрес от определен диапазон, и местоположение „Домашен адрес“ с различни правила). Само едно местоположение може да бъде активно в даден момент и то може да се промени от иконата за състояние на мрежата или с команди като netadm на Solaris-подобни системи.
Програми за създаване на автоматични профили за всяка WiFi мрежа
За да надхвърли това, което Windows предлага по подразбиране, има специфични инструменти, които позволяват създаване и прилагане на пълни мрежови профили Зависи от мрежата (SSID), към която се свързвате, или от активния адаптер. Много от тях поддържат Windows XP до Windows 11.
Лесно превключване на мрежата
Лесно превключване на мрежата Това е платена програма за Windows, която се откроява с огромния брой мрежови настройки, с които може да се справи. Въпреки че интерфейсът ѝ напомня на ерата на Windows XP, тя остава съвместима с... Windows XP, 7, 8, 10 и 11и включва както графичен потребителски интерфейс, така и режим на команден ред за напреднали потребители.
С Easy Net Switch можете да дефинирате профили, които контролират почти всичко: IP адрес, маска на подмрежа, шлюз, DNS, WINS, NetBIOS, MAC spoofing, WiFi, VPN, прокси, защитна стена, принтер по подразбиране, мрежови устройства, статични маршрутии дори да изпълнявате скриптове или да променяте файла hosts. Всеки параметър е по избор; можете да се ограничите до IP адреса и DNS или да настроите много сложен профил за корпоративна среда.
Създаването на профил обикновено се извършва чрез щракване върху бутона „Нов“, като се използва основен помощник, който след това можете да персонализирате. В секцията „Мрежа“ избирате дали IP адресът и DNS да се получават чрез DHCP или са статични, а в „Разширени“ можете да променяте WINS, NetBIOS, да променяте MAC адреса, да изчиствате DNS кеша и много други. Когато прилагате профил, програмата показва Обобщение на промените и евентуални грешкикоето улеснява диагностицирането, ако нещо не работи.
В секцията WiFi, Easy Net Switch ви позволява да дефинирате безжични профили, свързани с конкретни SSIDМожете да сканирате за налични мрежи или да въведете името ръчно и да настроите удостоверяването: от предварително споделени ключове (PSK) до силно удостоверяване с RADIUS и различни EAP протоколи. Това позволява например профилът с правилния ключ, подходящо EAP удостоверяване и, ако е необходимо, VPN да се подготвя автоматично всеки път, когато видите SSID на компанията.
Програмата също така управлява настройките за корпоративен пълномощник (включително удостоверяване), Dial-Up, VPN и дори предлага интегрирани инструменти като ping и traceroute, както и десктоп уиджет за преглед на текущия IP адрес по всяко време. Опциите му включват стартиране с Windows, минимизиране в системния трей, деактивиране на автоматичното откриване на Wi-Fi мрежа и защита на достъпа до програмата с парола, за да се предотвратят неоторизирани промени.
TCP/IP мениджър
TCP/IP мениджър Това е безплатен проект с отворен код, който, въпреки че не е актуализиран от години, все още работи добре на по-нови версии на Windows. Той се фокусира върху създаването на неограничен брой мрежови профили, които бързо променят... IP конфигурация, маска на подмрежата, шлюз, DNS, прокси, име на работна група и MAC адрес.
Едно от предимствата му е, че позволява импортиране на текущата конфигурация Системата ви позволява да създадете профил от съществуващите си настройки, без да се налага ръчно да въвеждате всичко. Тя предлага и опцията за свързване на пакетни файлове с всеки профил, така че активирането му автоматично да изпълнява допълнителни команди (например монтиране на мрежови устройства или стартиране на VPN).
Превключването между профилите може да се извърши от самия интерфейс или чрез горещи клавишиИдеален за потребители, които трябва бързо да се местят между различни среди (корпоративна мрежа, лаборатория, клиент и др.). Освен това, програмата се актуализира автоматично през интернет, когато са налични нови версии, елиминирайки необходимостта от ръчно изтегляне.
IP превключвател
IP превключвател Това е лек и безплатен вариант, предназначен за тези, които се нуждаят от нещо по-просто. Поддържа Windows XP и по-нови версии, включително Windows 10 и Windows 11и работи с различни адаптери, както Ethernet, така и WiFi.
Основната му функция е да ви позволи да променяте без да рестартирате IP конфигурация, маска на подмрежата, шлюз и DNS на адаптерите. Той също така обработва прокси конфигурации за браузъри като Microsoft Edge или Firefox, интегрира бърза команда ping и може да открива устройствата, присъстващи в локалната мрежа, както и да показва публичния IP адрес, който интернет вижда.
Няма нивото на дълбочина на Easy Net Switch или NetSetMan, но за превключване между две или три основни среди (например, статичен IP адрес в индустриална мрежа и DHCP у дома) обикновено е достатъчен.
NetSetMan
NetSetMan Вероятно е най-мощната безплатна алтернатива на Easy Net Switch. Има безплатна версия с до осем профила и платена Pro версия с... Неограничени профили и повече бизнес-ориентирани опцииТяхната философия е, че с едно кликване можете да активирате пълен набор от мрежови настройки.
Сред конфигурациите, които позволява, са класическите (IP, маска, шлюз, DNS), работна група, принтер по подразбиране, мрежови устройства, таблица за маршрутизиране, SMTP сървър, име на компютър, MAC адрес, състояние на мрежовата карта, скорост на интерфейса, MTU, VLAN и много други. Можете също така да дефинирате параметри на VPN сървъра, да стартирате пакетни, VBScript или JavaScript скриптове при превключване на профили, да стартирате други програми и дори да управлявате подробно WiFi настройките.
Pro версията добавя функции като разширени конфигурации на прокси сървъри и мрежови домейниТе са много полезни за интегриране с корпоративни домейни и централизирани прокси сървъри. Безплатната версия обаче не може да се използва на Windows Server и ограничава броя на профилите до осем, нещо, което трябва да се има предвид, ако управлявате много локации.
WiFi профили, управлявани с Microsoft Intune
В корпоративни среди, където управлявате стотици или хиляди устройства, не можете да разчитате на всеки потребител да конфигурира правилно своята Wi-Fi мрежа. Тук се намесва Microsoft Intune, който ви позволява да... Създавайте WiFi профили и ги разпространявайте към устройства с Windows, Android, iOS и macOS. и други, по централизиран начин.
Un Профил на Intune за WiFi Това е набор от параметри за връзка (SSID, тип защита, метод за удостоверяване, парола, сертификати и др.), присвоени на групи потребители или устройства. След като устройството получи профила, мрежата се показва в списъка с известни мрежи и ако е в обхват, устройството може да се свърже автоматично, без потребителят да е необходимо да променя каквито и да било настройки.
За да създадете стандартен WiFi профил в Intune, следвате подобен процес на други правила: осъществявате достъп до Център за администриране на Microsoft IntuneОтидете в „Устройства“, „Настройки“, създайте нова политика, изберете платформата (Android, iOS, macOS, Windows 10/11 и др.) и изберете „Wi-Fi“ или съответния шаблон като тип профил. След това дефинирайте името на профила, описанието и конфигурирайте специфичните за платформата опции: SSID, тип удостоверяване (WPA2, WPA3, EAP-TLS и др.), използване на сертификат, разширени параметри и накрая присвоете профила на съответните групи.
Разпределението може да се филтрира с етикети на обхватаТе са полезни за разделяне на отговорностите между различните ИТ екипи (например, местен екип за поддръжка, управляващ само една държава). След като бъде разпространен, профилът се показва в списъка с профили на Intune и се прилага автоматично при синхронизиране на устройства.
WiFi профили с PSK и XML конфигурация чрез Intune
В допълнение към стандартните WiFi профили, Intune ви позволява да дефинирате WiFi профили, базирани на предварително споделен ключ (PSK) и EAP използвайки персонализирани директиви и WiFi CSP. Това се прави чрез XML файлове, които описват безжичния профил и се изпращат до устройствата чрез OMA-URI.
Предварително споделените ключове обикновено се използват за удостоверяване на потребители в домашни WiFi мрежи или малки безжични локални мрежиС Intune можете да създадете персонализирана политика за конфигурация на устройства, която съдържа Wi-Fi профила в XML формат и OMA-URI конфигурация, която го доставя до операционната система. Тази опция е налична за Android (включително режими на профил „Корпоративен“ и „Работен“), Windows и EAP-базирани мрежи.
За да работи, трябва да подготвите XML файл, който описва профила, включително Име на профила, SSID (в текст и шестнадесетичен формат), тип удостоверяване, тип криптиране, ключ, режим на свързване, дали мрежата е скритаи т.н. По желание можете да извлечете този XML от компютър с Windows, на който вече е конфигурирана мрежата, използвайки команди netsh.
Създаването на персонализирана политика в Intune включва връщане към Устройства, Настройки, създаване на нова политика, избор на платформа и избиране на тип „Персонализирана“. В рамките на опции за конфигурация Добавете нов OMA-URI запис, указващ:
- име и описание на конфигурацията.
- El OMA-URI подходящо, например:
- На Android: ./Vendor/MSFT/WiFi/Profile/{SSID}/Settings
- В Windows: ./Vendor/MSFT/WiFi/Profile/{SSID}/WlanXml
- Тип данни „Низ“.
- В „Стойност“ е пълният XML на WiFi профила.
Важно е стойността на {SSID} в OMA-URI да съвпада с описателно име на мрежата в XML профилаАко името съдържа интервали, те трябва да бъдат кодирани като %20 в OMA-URI. Освен това, в XML, полето Трябва да остане „false“, за да може ключът да се изпраща в открит текст (криптиран от канала за управление, но не и обфускиран в XML). Ако е зададено на „true“, устройството може да очаква криптирана парола и да не успее да се свърже.
Общ пример за WiFi профил с PSK би включвал блокиране с името, SSID в шестнадесетичен формат и текст, ЕСС , кола , блок с типа на удостоверяване (напр. WPA2PSK) и криптиране (AES), както и блок с парола , фалшив и парола , където „парола“ е ключът в открит текст.
За EAP-базирани мрежи, XML е много по-сложен, защото включва конфигурации на EapHostConfig, сертификати, валидиране на сървъра, хеш списъци на CA, EKU и др.Дефинират се параметри като типа EAP (напр. 13 за EAP-TLS), източникът на идентификационни данни (хранилище на сертификати), дали е разрешена проверка на сървъра и възможни филтри за сертификати, използващи EKU за удостоверяване на клиента.
След като персонализираната политика бъде създадена, тя се присвоява на същите групи, които бихте използвали със стандартен Wi-Fi профил. При регистрация или синхронизиране устройството получава XML файла, импортира го като безжичен профил и е готово за автоматично свързване към тази мрежа.
Създаване на XML от съществуваща WiFi връзка
В много случаи е по-удобно да позволите на Windows да генерира XML файла от съществуваща, работеща връзка. За да направите това на компютър с Windows, можете да следвате тези основни стъпки: експортиране на WiFi профил:
- Създайте локална папка, например c:\WiFi.
- Отворете командния ред като администратор.
- тичам Netsh WLAN покажи профили за да видите имената на съществуващите профили.
- Експортирайте желания профил с
netsh wlan export profile name=»ProfileName» folder=c:\WiFi.
Ако профилът включва предварително споделен ключ и искате XML файлът да съдържа паролата в обикновен текст (необходимо за правилното ѝ използване от Intune), параметърът се добавя. ключ = ясно към командата за експортиране. Генерираният XML файл (с име, подобно на Wi-Fi-ProfileName.xml) може да бъде отворен с текстов редактор, прегледан и копиран директно в конфигурационната стойност на OMA-URI в Intune.
Някои детайли трябва да бъдат наблюдавани, като например елементът Експортираният профил не включва интервали, които биха могли да причинят грешки при разпределение при използване на Intune, или стойността съответстват на посочения SSID. Освен това, специалните символи в XML (като например амперсандът &) трябва да бъдат правилно екранирани, за да се избегнат грешки при обработката.
Най-добри практики при използване на PSK и ротиращи ключове
При управление на WiFi мрежи с PSK в корпоративна среда е важно да се планира... ротация на паролатаРязката промяна на паролата без предупреждение може да прекъсне връзката на много устройства, които разчитат на тази мрежа, за да комуникират с Intune и да получават новите настройки.
Препоръчително е първо да проверите дали устройствата могат свържете се директно с точката за достъп С планираната конфигурация, проектирайте промяната на ключа така, че да има алтернативна интернет връзка: мрежа за гости, временна паралелна Wi-Fi мрежа или мобилни данни. По този начин, дори ако корпоративната Wi-Fi мрежа промени своя PSK, устройствата могат да използват вторичната връзка, за да получат новия профил.
Препоръчително е също така да планирате внедряването на нови профили в извън пиковите часове и да уведомяват потребителите, че свързаността може да бъде засегната за определен период от време. Това намалява въздействието върху производителността и улеснява наблюдението на грешки или аномалии по време на процеса.
Профили на мрежова връзка и правила на защитната стена
Някои решения за сигурност, като например пакети за защита на крайни точки (hexlock), позволяват дефинирането персонализирани профили за мрежова връзка Тези профили се прилагат към специфични връзки въз основа на тригери или условия. Те добавят допълнителен слой към конфигурацията на Windows, като настройват защитната стена, видимостта на устройството и други защити според мрежата.
В конзолата за разширена конфигурация обикновено има раздел „Профили на мрежова връзка“ с предварително дефинирани профили, като например частен y Обществен Тези профили не могат да бъдат променяни или изтривани. Частният профил е предназначен за надеждни мрежи (домашни или офисни), където е разрешен достъп до споделени файлове, принтери, входяща RPC комуникация и отдалечен работен плот. Публичният профил, от друга страна, блокира споделянето на файлове и ресурси и е предназначен за ненадеждни мрежи.
В допълнение към тези профили, можете да създавате потребителски профили и да коригирате параметри като име, описание, допълнителни надеждни адреси, дали връзката се счита за надеждна (добавяне на цели подмрежи към защитената зона) и да активирате функции като „Отчет за слабо WiFi криптиране“, който ви предупреждава, когато се свързвате с отворени или слабо защитени мрежи.
Всеки профил може да има активаториТоест, условията, които трябва да бъдат изпълнени, за да бъде приложен даден профил към връзка: IP адрес на шлюза, SSID на Wi-Fi, тип мрежа и др. Профилите се оценяват по приоритетен ред и се прилага първият, който отговаря на условията. Това позволява например да имате специфичен профил за Wi-Fi мрежата на компанията, общ профил за домашни мрежи и много рестриктивен профил за всяка неизвестна обществена мрежа.
Управление на профили и местоположения в напреднали среди
В по-напреднали системи или в корпоративни мрежи със Solaris или други платформи, концепцията за мрежов профил се комбинира с Мрежови конфигурационни единици (NCU), приоритетни групи и местоположенияЧрез графичен интерфейс на мрежовите предпочитания или команди като ipadm, dladm, netcfg и netadm можете да създавате реактивни и фиксирани профили, да групирате интерфейси и да дефинирате правила за активиране.
Изгледът на мрежовия профил на графичния потребителски интерфейс показва списък с налични профилис индикатори, показващи кой е активен. Системно дефинираните профили, като например „Автоматичен“ и „Фиксиран по подразбиране“, не могат да бъдат редактирани или изтривани, но можете да създадете множество персонализирани реактивни профили. Всеки профил включва набор от връзки (NCU), които се активират или деактивират, когато профилът влезе в сила.
За организиране на интерфейси се използват следните елементи: приоритетни групи с три основни вида:
- Ексклузивно: само една връзка в групата може да бъде активна и докато една е активна, групите с по-нисък приоритет не се докосват.
- Споделено: всички възможни връзки в групата са активирани и докато поне една е активна, по-ниските групи не се използват.
- Всички: всички трябва да са активни; ако някоя от тях се провали, всички се деактивират, без да се опитват групи с по-нисък приоритет.
Профилът „Автоматично“, например, обикновено има следното в групата си с най-висок приоритет: кабелни интерфейсиБезжичните връзки са в група с по-нисък приоритет. Следователно, ако има наличен кабел, Ethernet винаги е с приоритет, а Wi-Fi се избягва, освен ако не е абсолютно необходимо.
Относно мрежови местоположенияТези настройки групират конфигурации за услуги за имена (DNS, LDAP и др.) и сигурност (конфигурационни файлове за IP и IPsec защитни стени). Могат да се дефинират системни местоположения (Автоматично, Без мрежа, Фиксирано по подразбиране), ръчни местоположения или условни местоположения. Ръчните местоположения се активират ръчно чрез диалоговия прозорец „Местоположения“, докато условните местоположения се активират въз основа на правила (напр. тип мрежа, получен IP адрес и др.).
От графичния потребителски интерфейс можете да промените режима на активиране на дадено местоположение, да го зададете на „само ръчно“ или „задействано от правила“ и да редактирате тези правила, за да дефинирате точно В какви ситуации се използва всеки набор от политики?Активирането на ново местоположение винаги деактивира предишното, като по този начин се гарантира, че само едно е активно във всеки един момент.
IPsec профили на рутери за сигурни връзки
Цялата тази система за профилиране не е ограничена само до устройства на крайните потребители. Тя се отнася и за професионални рутери, като например серията. Cisco RV160 и RV260Използват се IPsec профили, които определят как трафикът между сайтовете е защитен чрез VPN.
Un IPsec профил Той групира алгоритмите и параметрите, използвани при договарянето на ключове (фаза I и IKE) и криптирането на данни (фаза II). Това включва аспекти като алгоритъма за криптиране (3DES, AES-128, AES-192, AES-256), метода за удостоверяване (MD5, SHA1, SHA2-256), групата на Дифи-Хелман (напр. Група 2 от 1024 бита или Група 5 от 1536 бита), продължителността на асоциациите за сигурност (SAs) и дали се използва автоматичен режим на ключове (IKEv1 или IKEv2) или ръчен режим на ключове.
La фаза I Той установява сигурна, удостоверена комуникация между двете VPN крайни точки, договаряйки ключове и удостоверявайки партньорите. В тази фаза се избира IKEv1 или IKEv2, заедно с DH групата, алгоритъма за криптиране и хеша за удостоверяване, както и времето за живот на SA (например 28800 секунди). IKEv2 обикновено се предпочита, защото е по-ефективен, изисква по-малко обмен на пакети и поддържа повече опции за удостоверяване.
La фаза II Той обработва криптирането на действителния трафик. Вие определяте дали да използвате ESP (за криптиране и, по избор, удостоверяване) или AH (само удостоверяване, без поверителност), избирате отново алгоритмите за криптиране и хеширане, проверявате дали е желана Perfect Forward Secrecy (PFS) и настройвате времето за живот на IPsec SA (например 3600 секунди). Препоръката обикновено е времето за живот на Фаза I да бъде по-голяма от тази на фаза IIтака че ключовете за данни да се обновяват по-често от ключовете за канали.
В конфигурацията на RV160/RV260, отидете в меню VPN > IPSec VPN > IPSec профили, добавете нов профил, наименувайте го (например „HomeOffice“), изберете режима на създаване на ключ (Automatic), версията на IKE (в идеалния случай IKEv2, ако и двата края я поддържат), параметрите Phase I и Phase II, активирайте PFS, ако е възможно, и изберете отново DH групата за Phase II. Накрая, приложете и запазете конфигурацията, така че да се запази след рестартиране, като копирате конфигурация, изпълнявана при стартиране.
Изключително важно е двата края на тунела между обекти да имат същите параметри на профила (едни и същи алгоритми, време на живот, IKE версия, PSK или сертификати и т.н.). В противен случай договарянето ще се провали и тунелът няма да бъде установен.
Взети заедно, тази комбинация от WiFi профили, мрежови профили, местоположения, конфигурация на Intune и IPsec профили на рутери ви позволява да изградите среди, в които вашият компютър, лаптоп или мобилно устройство почти автоматично се адаптира към мрежата, към която е свързано. Изберете правилния интерфейс, приложете правилната защита, свържете се с WiFi без намесата на потребителя, активирайте VPN, когато е необходимо, и настройте защитната стена според контекста.В крайна сметка това е най-практичният и сигурен начин за създаване на автоматични профили въз основа на WiFi мрежата, която използвате. Споделете тази информация, така че повече потребители да знаят за темата..