如何根据您使用的 WiFi 网络创建自动配置文件

  • 网络配置文件允许您根据 WiFi 网络或位置自动配置 IP、DNS、防火墙、VPN 和共享资源。
  • Easy Net Switch、NetSetMan 或 TCP/IP Manager 等工具扩展了 Windows 的原生功能,只需单击一下即可切换环境。
  • 在企业环境中,Intune 集中向多个平台分发 WiFi 配置文件(包括 XML 格式的 PSK 和 EAP)。
  • 路由器上的连接配置文件和 IPsec 配置文件等其他安全配置文件,完善了跨站点的保护和自动化。
Joaquin Romero

19分钟

如何为您的 Wi-Fi 网络创建自动配置文件

如果你经常在家庭 Wi-Fi、办公室网络、大学网络或移动热点之间切换,手动更改网络设置会非常麻烦。幸运的是,Windows 和其他操作系统提供了一些方法可以解决这个问题。 根据您连接的 WiFi 网络创建自动配置文件控制在任何给定时间激活哪个接口,并应用适合每个环境的安全策略或防火墙。

本文将详细介绍它们的工作原理。 网络配置文件它们允许您在 Windows 中执行哪些操作,如何将它们与 Intune 等工具或安全解决方案集成,您需要哪些第三方程序才能进一步操作,以及所有这些如何与企业路由器中的位置、接口优先级组或 IPsec 配置文件等概念相契合。

什么是网络配置文件?您为什么会对使用它感兴趣?

网络配置文件本质上是一组 应用于连接的预定义参数 (或多个)具体参数取决于某些条件:您连接的 WiFi 网络、活动接口、位置等。这些参数的范围很广,从 IP 和 DNS 到防火墙规则、VPN 使用情况、打印机、共享资源,甚至自定义脚本。

在 Windows 系统中,系统已经将网络分类为 公立或私立首次连接到 Wi-Fi 或 LAN 网络时,系统会询问该网络是否受信任。如果选择“是”,则视为私有网络;如果选择“否”,则视为公共网络。系统会根据此判断调整防火墙设置以及您设备在网络上的可见性,降低家庭网络或小型办公室网络的安全级别,同时加强酒店、机场或咖啡馆等场所的网络安全。

在一个 私人网路Windows 默认由您控制谁可以连接网络,并且设备信息已知。例如,这使您可以发现网络上的其他计算机、访问共享文件夹、向网络打印机发送打印作业,或使用家庭组或流媒体传输到智能电视等功能。由于系统认为网络环境相对安全,因此会降低限制。

在一个 公共网络Windows 假定网络不受信任。因此,它会禁用设备发现、文件和打印机共享以及其他可能使您面临来自其他连接设备攻击的服务。 WhatsApp 等平台存在的漏洞您仍然可以浏览互联网,但您的设备与其他设备隔离,这在购物中心、机场或开放网络中连接 WiFi 时至关重要。

当同一台笔记本电脑被移动时,问题就出现了。 多个网络,各有不同的需求有的需要静态 IP 地址,有的则使用 DHCP;有的需要通过公司代理,有的需要启用 VPN,还有的则不需要。每次都手动更改这些设置既繁琐又容易出错。这就是高级网络配置文件的用武之地,Windows 系统自带这些功能,也可以通过一些专门的程序来实现。

在 Windows 中切换 WiFi 网络时自动执行设置

Windows 允许您为每个网络配置文件(公共或专用)和每个特定连接定义不同的参数,但如果您想要……,集成管理功能就显得不足了。 同时更改 IP 地址、DNS、代理、VPN 和防火墙 每次检测到不同的 SSID 时,通常的做法是将系统提供的功能与管理高级配置文件的外部工具相结合。

在某些环境(例如,使用类似于 Solaris 网络控制平台 (NCP) 概念的发行版)的图形化网络管理界面中,会做出这样的区分。 反应式和固定式网络配置文件“自动”响应式配置文件首先尝试建立有线连接,如果失败,则转而使用无线连接。“默认固定”固定配置文件定义了一组静态接口,这些接口保持不变,除非使用命令行工具进行修改。

这些配置文件控制哪些接口可以…… 随时激活或停用在配备以太网和 Wi-Fi 的普通笔记本电脑上,您可能希望在有网线连接时仅使用以太网,并出于安全考虑关闭 Wi-Fi,反之亦然。网络首选项图形用户界面通常提供连接状态、网络配置文件和连接属性视图,您可以在其中查看当前状态、激活的配置文件以及特定属性(IP 地址、IPv4/IPv6、收藏的无线网络等)。

此外,您还可以定义 地点 这些设置将名称服务、防火墙和 IPsec 等配置分组在一起,并可根据规则手动或条件性地激活(例如,如果您从特定范围获取 IP 地址,则激活“办公室”位置;对于具有不同策略的“家庭”位置)。一次只能激活一个位置,可以通过网络状态图标或使用类似 Solaris 系统上的 netadm 命令进行更改。

用于为每个 WiFi 网络创建自动配置文件的程序

为了超越 Windows 默认提供的功能,可以使用一些特定的工具。 创建并应用完整的网络配置文件 这取决于您连接的网络(SSID)或当前使用的适配器。许多适配器支持从 Windows XP 到 Windows 11 的操作系统。

易网切换

易网切换 它是一款付费的Windows程序,其突出之处在于能够处理海量的网络设置。虽然它的界面让人想起Windows XP时代,但它仍然兼容…… Windows XP、7、8、10 和 11并且为高级用户提供了图形用户界面和命令行模式。

使用 Easy Net Switch,您可以定义配置文件来控制几乎所有功能: IP地址、子网掩码、网关、DNS、WINS、NetBIOS、MAC地址欺骗、WiFi、VPN、代理、防火墙、默认打印机、网络驱动器、静态路由甚至可以运行脚本或修改 hosts 文件。每个参数都是可选的;您可以仅使用 IP 地址和 DNS,也可以为企业环境设置非常复杂的配置文件。

创建配置文件通常是通过单击“新建”按钮,然后使用一个基本向导,您可以对其进行自定义。在“网络”部分,您可以选择 IP 地址和 DNS 是通过 DHCP 获取还是静态获取;在“高级”部分,您可以修改 WINS、NetBIOS 设置,更改 MAC 地址,清除 DNS 缓存等等。应用配置文件时,程序会显示一个 变更摘要及是否存在任何错误这样更容易诊断出哪里出了问题。

在 WiFi 部分,Easy Net Switch 允许您定义 与特定 SSID 关联的无线配置文件您可以扫描可用网络或手动输入网络名称,并调整身份验证方式:从预共享密钥 (PSK) 到使用 RADIUS 和各种 EAP 协议的强身份验证。例如,这样每次您看到公司 SSID 时,系统都会自动配置正确的密钥、合适的 EAP 身份验证,并在必要时自动建立 VPN 连接。

该程序还管理以下设置: 公司代理 (包括身份验证)、拨号上网、VPN,甚至还提供 ping 和 traceroute 等集成工具,以及一个可随时查看当前 IP 地址的桌面小部件。其选项包括随 Windows 启动、最小化到系统托盘、禁用自动 Wi-Fi 网络检测,以及为程序访问设置密码以防止未经授权的更改。

TCP/IP 管理器

TCP/IP 管理器 这是一个免费开源项目,虽然多年未更新,但在较新版本的 Windows 系统上仍然运行良好。它专注于创建无限数量的网络配置文件,这些配置文件可以快速更改…… IP配置、子网掩码、网关、DNS、代理、工作组名称和MAC地址.

它的优势之一是它允许 导入当前配置 该系统允许您根据现有设置创建配置文件,而无需手动输入所有内容。它还提供将批处理文件与每个配置文件关联的选项,以便激活配置文件时自动执行其他命令(例如,挂载网络驱动器或启动 VPN)。

可以通过界面本身或通过其他方式切换配置文件。 热键对于需要在不同环境(企业网络、实验室、客户现场等)之间快速切换的用户而言,这款软件堪称理想之选。此外,当有新版本可用时,程序会自动通过网络更新,无需手动下载。

IP移位器

IP移位器 它是一款轻量级且免费的软件,专为需要更简单操作的用户而设计。它支持 Windows XP 及更高版本,包括 Windows 10和Windows 11可与不同的适配器配合使用,包括以太网适配器和 WiFi 适配器。

它的主要功能是允许您在不重启的情况下进行更改。 IP配置、子网掩码、网关和DNS 它还可以管理适配器。此外,它还可以处理 Microsoft Edge 或 Firefox 等浏览器的代理配置,集成快速 ping 命令,并能检测局域网上的设备,以及显示互联网上可见的公共 IP 地址。

它没有 Easy Net Switch 或 NetSetMan 那样的深度,但是对于 在两到三种基本环境之间切换 (例如,工业网络中的静态 IP 地址和家庭中的 DHCP)通常就足够了。

的NetSetMan

的NetSetMan 它可能是 Easy Net Switch 最强大的免费替代品。它有一个最多支持八个配置文件的免费版本和一个付费的专业版。 无限个人资料和更多面向企业的选项他们的理念是,只需单击一下即可激活一整套网络设置。

它允许的配置包括经典配置(IP、子网掩码、网关、DNS), 工作组、默认打印机、网络驱动器、路由表、SMTP 服务器、计算机名称、MAC 地址、网卡状态、接口速度、MTU、VLAN 还有更多功能。您还可以定义 VPN 服务器参数,在切换配置文件时启动批处理脚本、VBScript 脚本或 JavaScript 脚本,运行其他程序,甚至可以详细管理 WiFi 设置。

专业版增加了以下功能: 高级代理配置和网络域这些功能对于集成企业域环境和集中式代理服务器非常有用。但是,免费版本无法在 Windows Server 上使用,并且最多只能创建八个配置文件,如果您管理多个办公地点,则需要注意这一点。

使用 Microsoft Intune 管理 WiFi 配置文件

在管理成百上千台设备的企业环境中,您不能指望每个用户都能正确配置其 Wi-Fi 网络。这时,Microsoft Intune 就派上了用场,它可以让您…… 创建 WiFi 配置文件并将其分发到 Windows、Android、iOS 和 macOS 设备。 以及其他方面,以集中方式进行。

Un Intune WiFi配置文件 它是一组分配给用户组或设备的连接参数(SSID、安全类型、身份验证方法、密码、证书等)。设备接收到配置文件后,该网络就会出现在已知网络列表中;如果网络在覆盖范围内,设备即可自动连接,无需用户更改任何设置。

要在 Intune 中创建标准 WiFi 配置文件,您需要遵循与其他策略类似的流程:您需要访问以下位置: Microsoft Intune 管理中心前往“设备”>“设置”,创建新策略,选择平台(Android、iOS、macOS、Windows 10/11 等),然后选择“Wi-Fi”或相应的模板作为配置文件类型。接下来,定义配置文件名称、描述,并配置平台特定的选项:SSID、身份验证类型(WPA2、WPA3、EAP-TLS 等)、证书使用、高级参数,最后将配置文件分配给相应的组。

可以通过以下方式筛选分配情况 范围标签这些功能有助于划分不同 IT 团队之间的职责(例如,一个本地支持团队只负责一个国家/地区的事务)。分配完成后,该配置文件会出现在 Intune 配置文件列表中,并在设备同步时自动应用。

使用 Intune 配置 PSK 和 XML 格式的 WiFi 配置文件

创建 Wi-Fi 网络自动配置文件的步骤

除了标准 WiFi 配置外,Intune 还允许您定义 基于预共享密钥 (PSK) 和 EAP 的 WiFi 配置文件 使用自定义指令和 WiFi CSP。这是通过描述无线配置文件的 XML 文件实现的,这些文件通过 OMA-URI 发送到设备。

预共享密钥通常用于 对家庭 WiFi 网络或小型无线局域网进行用户身份验证借助 Intune,您可以创建自定义设备配置策略,其中包含 XML 格式的 Wi-Fi 配置文件以及将其传递给操作系统的 OMA-URI 配置。此选项适用于 Android(包括企业版和工作版配置文件)、Windows 和基于 EAP 的网络。

要使其正常工作,您需要准备一个描述配置文件的 XML 文件,其中包括 配置文件名称、SSID(文本和十六进制)、身份验证类型、加密类型、密钥、连接模式、网络是否隐藏等等。或者,您可以使用 netsh 命令从已配置网络的 Windows 计算机中提取此 XML。

在 Intune 中创建自定义策略需要依次点击“设备”、“设置”、“创建新策略”、“选择平台”,然后选择“自定义”作为类型。 配置选项 添加一个新的 OMA-URI 条目,内容如下:

  • 名称 以及配置说明。
  • El OMA-URI 例如,适用:
    • 在安卓系统上:./Vendor/MSFT/WiFi/Profile/{SSID}/Settings
    • 在 Windows 系统中:./Vendor/MSFT/WiFi/Profile/{SSID}/WlanXml
  • 数据类型“字符串”。
  • 在“值”中,是 WiFi 配置文件的完整 XML。

OMA-URI 中的 {SSID} 值必须与以下内容匹配: XML配置文件中的描述性网络名称如果名称包含空格,则在 OMA-URI 中必须将其编码为 %20。此外,在 XML 中,该字段该值必须保持为 false,以便密钥以明文形式发送(由管理通​​道加密,但不会在 XML 中进行混淆处理)。如果设置为 true,设备可能会期望收到加密密码,从而导致连接失败。

一个通用的采用 PSK 的 WiFi 配置文件示例将包含一个块。包括名称、十六进制和文本形式的 SSID ESS ,车一个方块包含认证类型(例如 WPA2PSK)和加密方式(AES),以及一个块和通行短语,错误的和密码其中“password”是明文密钥。

对于基于 EAP 的网络,XML 要复杂得多,因为它包含了以下配置: EapHostConfig、证书、服务器验证、CA 哈希列表、EKU 等。定义了诸如 EAP 类型(例如,EAP-TLS 为 13)、凭证来源(证书存储)、是否允许服务器验证以及使用客户端身份验证 EKU 的可能证书过滤器等参数。

自定义策略创建完成后,会将其分配给与标准 Wi-Fi 配置文件相同的用户组。注册或同步时,设备会接收 XML 文件,将其导入为无线配置文件,并准备自动连接到该网络。

从现有 WiFi 连接创建 XML

在许多情况下,让 Windows 从现有的有效连接生成 XML 会更方便。要在 Windows 计算机上执行此操作,您可以按照以下基本步骤操作: 导出 WiFi 配置文件:

  1. 创建一个本地文件夹,例如 c:\WiFi。
  2. 以管理员身份打开命令提示符。
  3. Ejecutar Netsh的WLAN显示配置文件 查看现有个人资料的名称。
  4. 使用以下命令导出所需配置文件
    netsh wlan export profile name=»ProfileName» folder=c:\WiFi.

如果配置文件包含预共享密钥,并且您希望 XML 包含纯文本密码(Intune 正确使用它所必需的),则会添加该参数。 键=清除 执行导出命令后,生成的 XML 文件(文件名类似于 Wi-Fi-ProfileName.xml)可以用文本编辑器打开,进行查看,然后直接复制到 Intune 中的 OMA-URI 配置值中。

某些细节需要监控,例如元素导出的配置文件不包含可能导致在使用 Intune 时出现分配错误的空格,或者该值请匹配指定的 SSID。此外,XML 中的特殊字符(例如 & 符号)必须正确转义,以避免处理错误。

使用PSK和轮换密钥的最佳实践

在企业环境中管理采用预共享密钥(PSK)的WiFi网络时,规划至关重要。 密码轮换突然更改密码而不发出警告可能会导致许多依赖该网络与 Intune 通信并接收新设置的设备断开连接。

建议先检查这些设备是否可以 直接连接到接入点 根据规划的配置,设计关键变更方案,以便提供备用互联网连接:例如访客网络、临时并行 Wi-Fi 网络或移动数据。这样,即使企业 Wi-Fi 的预共享密钥 (PSK) 发生更改,设备也可以使用备用连接接收新的配置文件。

此外,建议安排新配置文件的部署时间。 非高峰时段 并通知用户网络连接可能会在一段时间内受到影响。这有助于减少对生产力的影响,并便于在此过程中监控错误或异常情况。

网络连接配置文件和防火墙规则

一些安全解决方案,例如端点保护套件(六角锁),允许定义 自定义网络连接配置文件 这些配置文件会根据触发条件或特定连接应用。它们在 Windows 配置中添加了额外的层级,根据网络情况调整防火墙、设备可见性和其他保护措施。

在高级配置控制台中,通常会有一个“网络连接配置文件”部分,其中包含预定义的配置文件,例如: 私人 y 检察署 这些配置文件无法修改或删除。“私有”配置文件适用于受信任的网络(例如家庭或办公室),允许访问共享文件、打印机、传入的 RPC 通信和远程桌面。“公共”配置文件则会阻止文件和资源共享,适用于不受信任的网络。

除了这些个人资料之外,您还可以创建 自定义配置文件 并调整名称、描述、其他受信任地址、连接是否被视为受信任(将整个子网添加到安全区域)等参数,并启用“弱 WiFi 加密报告”等功能,该功能会在您连接到开放或保护较差的网络时发出警报。

每个个人资料都可以有 活化剂也就是说,配置文件要应用于连接,必须满足以下条件:网关 IP 地址、Wi-Fi SSID、网络类型等。配置文件会按优先级顺序进行评估,第一个符合条件的配置文件将被应用。这样,例如,可以为公司 Wi-Fi 设置一个专用配置文件,为家庭网络设置一个通用配置文件,而为任何未知的公共网络设置一个限制非常严格的配置文件。

高级环境中的个人资料和位置管理

在更高级的系统或采用 Solaris 或其他平台的企业网络中,网络配置文件的概念与 网络配置单元 (NCU)、优先级组和位置通过网络首选项的图形界面或 ipadm、dladm、netcfg 和 netadm 等命令,您可以创建响应式和固定式配置文件、对接口进行分组以及定义激活规则。

GUI 的网络配置文件视图显示以下内容: 可用个人资料列表并带有指示当前激活状态的指示器。系统定义的配置文件(例如“自动”和“默认固定”)无法编辑或删除,但您可以创建多个自定义响应式配置文件。每个配置文件都包含一组连接(NCU),这些连接会在配置文件生效时激活或停用。

为了组织接口,使用了以下方法: 优先群体 主要分为三种类型:

  • 独占:组内只能有一个连接处于活动状态,并且当一个连接处于活动状态时,优先级较低的组不会被触及。
  • 共享:组内所有可能的连接均被激活,只要至少有一个连接处于活动状态,就不会使用较低级别的组。
  • 全部:所有组必须处于活动状态;如果其中一个组失败,则所有组都将被停用,而不会尝试优先级较低的组。

例如,“自动”配置文件通常将以下内容置于最高优先级组中: 有线接口无线连接的优先级较低。因此,如果有网线可用,以太网连接始终优先,除非绝对必要,否则应避免使用 Wi-Fi。

至于 网络位置这些设置将名称服务(DNS、LDAP 等)和安全(IP 和 IPsec 防火墙的配置文件)的配置分组。可以定义系统位置(自动、NoNet、默认固定)、手动位置或条件位置。手动位置通过“位置”对话框手动激活,而条件位置则根据规则(例如,网络类型、获取的 IP 地址等)激活。

通过图形用户界面,您可以更改位置的激活模式,将其设置为“仅手动”或“由规则触发”,并编辑这些规则以进行精确定义。 每套政策分别在哪些情况下使用?启用新位置总是会停用之前的位置,确保任何时候都只有一个位置处于活动状态。

路由器上的 IPsec 配置用于安全连接

这套完整的用户画像系统不仅限于终端用户设备,也适用于专业路由器,例如该系列产品。 Cisco RV160 和 RV260IPsec配置文件用于定义如何使用VPN保护站点之间的流量。

Un IPsec配置文件 它对密钥协商(第一阶段和IKE)和数据加密(第二阶段)中使用的算法和参数进行分组。这包括加密算法(3DES、AES-128、AES-192、AES-256)、认证方法(MD5、SHA1、SHA2-256)、Diffie-Hellman分组(例如,1024位的第2组或1536位的第5组)、安全关联(SA)的持续时间,以及是否使用自动密钥模式(IKEv1或IKEv2)或手动密钥模式等。

La 第一阶段 它建立两个 VPN 端点之间的安全认证通信,协商密钥并对对等方进行身份验证。在此阶段,系统会选择 IKEv1 或 IKEv2,以及 DH 组、加密算法、认证哈希和 SA 生存期(例如 28800 秒)。IKEv2 通常更受青睐,因为它效率更高,所需的包交换更少,并且支持更多认证选项。

La 第二阶段 它负责加密实际流量。您可以定义是使用 ESP(用于加密,并可选择进行身份验证)还是 AH(仅进行身份验证,不涉及保密性),再次选择加密和哈希算法,检查是否需要完美前向保密 (PFS),并调整 IPsec SA 的生命周期(例如,3600 秒)。通常建议第一阶段的生命周期为 大于第二阶段因此,数据密钥的更新频率要比通道密钥更高。

在 RV160/RV260 的配置中,进入 VPN 菜单 > IPSec VPN > IPSec 配置文件,添加一个新配置文件,并为其命名(例如,“HomeOffice”),选择密钥创建模式(自动),IKE 版本(如果两端都支持,理想情况下选择 IKEv2),第一阶段和第二阶段的参数,如果可能,启用 PFS,并在第二阶段再次选择 DH 组。最后,应用并保存配置,以便重启后配置仍然有效。 启动时运行的配置.

连接场地和场地的隧道两端都必须具备必要的条件。 相同的轮廓参数 (算法、生命周期、IKE 版本、预共享密钥或证书等必须相同)。否则,协商将失败,隧道将无法建立。

综合考虑 WiFi 配置文件、网络配置文件、位置、Intune 配置和路由器上的 IPsec 配置文件,您可以构建计算机、笔记本电脑或移动设备几乎可以自动适应其所处网络的环境。 选择合适的接口,应用正确的安全措施,无需用户干预即可连接 WiFi,在需要时激活 VPN,并根据实际情况调整防火墙。归根结底,这是根据你使用的 WiFi 网络创建自动配置文件的最实用、最安全的方法。 分享此信息以便更多用户了解该主题。.