小型辦公室或家庭辦公室的無線網路建議

發佈日期: 2006 年 12 月 6 日

本頁內容

提要
建議
使用驗證與資料加密
變更無線 AP 的預設無線網路名稱
不使用非廣播無線網路
不使用 MAC 位址篩選
不使用共用金鑰驗證
詳細資訊

提要

本文章針對不使用 Microsoft® Windows® 網域的小型辦公室或家庭辦公室提供設定受保護無線網路的建議。

建議

下面是 Microsoft 對保護小型辦公室與家庭辦公室 IEEE 802.11 無線網路所提供的建議:

  • 使用驗證與資料加密

  • 變更無線存取點的預設無線網路名稱

  • 不使用非廣播無線網路

  • 不使用媒體存取控制 (MAC) 位址篩選

  • 不使用共用金鑰驗證

下節將詳細說明這些建議。

使用驗證與資料加密

IEEE 802.11 無線網路的保護是由加密與驗證組成。資料在無線網路上傳送之前,加密會編碼無線框架中的資料來防止竊聽者解譯無線資料框架的內容。驗證會要求無線用戶端在被允許加入無線網路之前提供安全性憑證,以防止未經授權與可能的惡意使用者使用無線網路。不使用驗證與資料加密的無線網路,很容易讓惡意使用者攻擊無線網路上的電腦,或讓惡意使用者使用您的網際網路連線來從事惡意或不合法的活動。

對於不使用 Windows 網域的小型辦公室或家庭辦公室無線網路,您應該使用下列其中一種驗證與加密組合 (或多或少可受到保護):

  • 使用進階加密標準 (AES) 加密之 Wi-Fi 保護的存取 2 (WPA2)-Personal 驗證 (也稱為預先共用金鑰 [WPA2-PSK])

  • 使用暫存金鑰整合通訊協定 (TKIP) 加密之 Wi-Fi 保護的存取 (WPA)-Personal (也稱為 WPA-PSK 驗證)

  • 使用有線等位私密 (WEP) 加密的開放系統驗證

您還需要將您的無線存取點 (AP) 設定為與無線用戶端使用相同的驗證方法、加密方法、驗證金鑰以及加密金鑰的組合。

如需有關不同的 Windows 版本如何支援不同的無線安全性技術的詳細資訊,請參閱無線區域網路技術和 Microsoft Windows (英文)。如需有關無線安全性驗證與加密方法的詳細資訊,請參閱 Microsoft Windows 的 IEEE 802.11 無線區域網路安全性 (英文)。

使用 AES 加密的 WPA2-Personal 驗證

若要設定 Windows Vista™ 型的無線用戶端,請執行下列各項動作:

  • 在連線到網路精靈的 [手動連線到無線網路] 頁面上,選取 [安全性類型] 中的 [WPA2-Personal] 以及 [加密類型] 中的 [AES]。然後,在 [安全性金鑰/複雜密碼] 中輸入 WPA2 預先共用金鑰。

  • 或者,您可以使用連線到網路精靈的 [設定無線網路路由器或存取點] 選項,自動設定 WPA2 預先共用金鑰。

若要針對 WPA2-Personal 驗證與 AES 加密設定 Windows XP 型無線用戶端,請執行下列各項:

  • 在無線網路內容的 [關聯] 索引標籤上,選取 [網路驗證] 中的 [WPA2-PSK] 以及 [資料加密] 中的 [AES]。然後在 [網路金鑰][確認網路金鑰] 中輸入 WPA2 預先共用金鑰。

如果您手動輸入 WPA2 預先共用金鑰,則您應該建立至少 20 個字元長度的鍵盤字元 (大小寫字母、數字及標點符號) 或至少 24 個數字的十六進位數字 (數字 0-9 與字母 A-F) 組成的隨機序列。如果您使用連線到網路精靈的 [設定無線網路路由器或存取點] 選項,則 Windows Vista 會自動建立隨機 63 字元的 WPA2 預先共用金鑰。

使用 TKIP 加密的 WPA-Personal 驗證

若要設定 Windows Vista 型無線用戶端,請執行下列各項動作:

  • 在連線到網路精靈中,選取 [安全性類型] 中的 [WPA-Personal] 以及選取 [加密類型] 中的 [TKIP]。然後,在 [安全性金鑰/複雜密碼] 中輸入 WPA 預先共用金鑰。

  • 或者,您可以使用連線到網路精靈的 [設定無線網路路由器或存取點] 選項,自動設定 WPA 預先共用金鑰。

若要設定 Windows XP 型無線用戶端,請執行下列各項動作:

  • 在無線網路內容的 [關聯] 索引標籤上,選取 [網路驗證] 中的 [WPA-PSK] 以及 [資料加密] 中的 [TKIP]。然後在 [網路金鑰][確認網路金鑰] 中輸入 WPA 預先共用金鑰。

  • 或者,您可以使用 Windows XP (含 SP2) 中的無線網路安裝精靈來自動設定 WPA 預先共用金鑰。如需相關資訊,請參閱 Windows XP SP2 的新無線網路安裝精靈 (英文)

如果您手動輸入 WPA 預先共用金鑰,則您應該建立至少 20 個字元長度的鍵盤字元 (大小寫字母、數字及標點符號) 或至少 24 個數字的十六進位數字 (數字 0-9 與字母 A-F) 組成的隨機序列。

使用 WEP 加密的開放系統驗證

建議只在升級無線硬體以支援 WPA,或以支援 WPA2 的無線硬體取代它時,才暫時使用 WEP 加密安全性設定的開放系統驗證。支援無線硬體的 WPA 已從 2002 年 2 月開始提供。如果您的無線硬體不支援 WPA,請連絡您的無線硬體廠商,適當地升級您的無線 AP 與無線網路卡。

Bb727047.note(zh-tw,TechNet.10).gif附註:

開放系統驗證並不是真正的驗證。它會包含在這裡是因為如果沒有 WPA 或 WPA2,WEP 就會是唯一的加密選項,而使用共用金鑰驗證會讓 WEP 加密更容易受到攻擊。如需詳細資訊,請參閱本文件的<不使用共用金鑰驗證>一節。建議不要使用靜態 WEP (手動設定 WEP 金鑰。除非手動重新設定,否則不會變更),因為有充分證據顯示它有安全性漏洞。不過設定無線網路時,使用 WEP 加密的開放系統驗證比使用無加密的開放系統驗證來得好。因此,Microsoft 不建議您使用 WEP 加密的開放系統驗證,除非是在將無線硬體升級成支援 WPA 或 WPA2 時當做過渡期間設定使用。

變更無線 AP 的預設無線網路名稱

無線 AP 已預先設定無線網路名稱,也稱為服務組識別元 (SSID)。Microsoft 強烈建議您將小型辦公室或家庭辦公室位置的預設無線網路名稱變更為唯一的名稱。換句話說,無線網路的名稱不應該與小型辦公室或家庭辦公室中可搜尋到的其他無線網路名稱重複。若您不變更預設的無線網路名稱,而您的位置附近有另一個使用相同預設名稱的無線網路,則您的無線用戶端可能連線到相鄰的無線網路,而造成無線連線混亂。

不使用非廣播無線網路

許多無線 AP 可被設定為不廣播它們的無線網路名稱。不廣播其無線網路名稱的無線網路稱為非廣播或隱藏的無線網路。這個無線 AP 功能的目的是要防止未經授權的無線用戶端偵測到此無線網路。不過,非廣播網路並不是無法偵測的。非廣播網路名稱會經由無線用戶端與無線 AP 所傳送的各種訊息來公告。

將無線 AP 設定為非廣播模式並無法讓一般無線用戶端探索不到您的無線網路。而且即使是技巧最差的惡意使用者也可以擷取無線用戶端或無線 AP 所傳送的無線網路名稱,然後判斷您的無線網路名稱。

除了在無線網路名稱私密性的部分較弱外,非廣播無線網路也會讓想要自動連線到非廣播無線網路的授權無線用戶端發生問題。例如,因為並未公告無線網路名稱,所以無線用戶端必須傳送含有無線網路名稱的訊息來嘗試定位無線網路的無線 AP。這些訊息會公告無線網路的名稱,進而降低了無線用戶端之無線設定的私密性。如需相關資訊,請參閱 Microsoft Windows 的非廣播無線網路

基於這些原因,Microsoft 強烈建議您與其嘗試隱藏無線網路,不如公告它的存在,並使用功能最強大的驗證與加密選項來保護無線網路,如本文件<使用驗證與資料加密>一節所述。

不使用 MAC 位址篩選

有些無線 AP 可讓您設定被允許之無線用戶端的媒體存取控制 (MAC) 位址的清單。MAC 位址是製造商指定給無線網路卡的唯一編號。這個功能稱為 MAC 位址篩選,只允許您和使用已知的 MAC 位址的無線用戶端通訊,來達到保護的目的。

不過,MAC 位址篩選要求您使用允許的 MAC 位址清單來設定無線 AP,然後為新的無線用戶端與裝置維護該清單。此外,MAC 位址篩選是一種弱勢的保護型態。即使是技巧最差的惡意使用者也可以輕易從無線網路上允許的無線用戶端擷取往返傳送的資料流量,判斷允許的 MAC 位址,然後將它自己的無線網路卡設定為使用允許的 MAC 位址。

基於這些原因,Microsoft 強烈建議您與其嘗試避免未經授權的無線使用者使用您以 MAC 位址篩選保護的無線網路,不如使用功能最強大的驗證與加密選項來避免未經授權的存取,如本文件<使用驗證與資料加密>一節所述。

不使用共用金鑰驗證

共用金鑰驗證是您使用靜態 WEP 加密時的另一種驗證方法 (另一種是開放系統驗證)。對多數的無線用戶端與無線 AP 而言,共用金鑰驗證金鑰與靜態 WEP 加密金鑰相同。惡意使用者若擷取到共用金鑰驗證成功的訊息,便可以使用分析工具來判斷共用金鑰驗證金鑰,也因此可判斷出靜態 WEP 加密金鑰。惡意使用者判斷出 WEP 加密金鑰之後,即可完整存取您的網路,使得 WEP 加密毫無作用。

雖然共用金鑰驗證的功能好像比開放系統驗證方法來得有效,但 Microsoft 不建議您使用共用金鑰驗證,因為它會讓人更容易判斷靜態 WEP 加密金鑰。

詳細資訊

如需有關為小型辦公室或家庭辦公室無線網路設定以 Windows 為基礎的無線用戶端的詳細資訊,請參閱下列各項:

顯示: