Intel® Unite™ 解决方案 适用于受保护的访客访问的插件指南 2016 年 11 月
法律声明和版权 此处提供的所有信息可随时改变而毋需通知。如欲获得英特尔最新的产品规格 和发展蓝图,请联系您的英特尔代表。 英特尔技术特性和优势取决于系统配置,并可能需要支持的硬件、软件或服务 激活。性能会因系统配置的不同而有所差异。没有任何计算机系统能保证绝对 安全。请咨询您的系统制造商或零售商,也可登录 intel.
目录 1. 2. 简介 ......................................................................................................................................... 4 1.1 受众 ............................................................................................................................ 4 1.2 概述 ............................................................................................................................ 4 1.3 推荐的安全控制 .........................................................................
1. 简介 本文档介绍如何在 Intel Unite 解决方案上安装和使用适用于受保护的访客访问的 Intel® Unite™ 插件。 1.1 受众 本文档专供企业环境中负责安装 Intel Unite 软件,并为该应用程序添加可选功能的 IT 专 业人士使用,例如为其企业启用访客访问。 1.2 概述 用于受保护的访客访问的 Intel Unite 插件允许访客客户端设备在无需处于同一个企业网 络就可以连接到集线器。可以做到这一点的原因是集线器可以创建一个对等/托管网络 (接入点),在其中,访客客户端设备可以为其客户端设备连接、下载或加入 Intel Unite 应用程序。 企业接入点 会议室 0808 欢迎来到 Intel Unite 请输入 PIN 0808 集线器无线接入点 适用于集线器上安装的 受保护的访客访问的插件 企业客户端设备 访客客户端设备 Intel® Unite™ 解决方案 – 适用于受保护的访客访问 v1.
1.3 推荐的安全控制 建议 IT 人员遵守下述推荐的安全控制: 关闭正在运行访客访问的集线器上的网络桥接功能。 在 Active Directory 环境中,在限定应用程序和用户(GPO 策略)的集线器上 设置“组策略对象”。 在访客访问计算机与企业连接之间部署防火墙,以限制未经授权的流量。 确保在未使用的端口上使用防火墙。 部署基于软件的解决方案,以防未经授权的可执行文件在访客访问计算机上运 行,例如 McAfee* Application Control 或 Windows* AppLocker。 o 请访问 http://www.mcafee.com/cn/products/application-control.aspx 了解有关 McAfee Application Control 的更多信息。 o 请访问 https://technet.microsoft.
2. 插件安装和组件 2.1 插件组件 下列组件是受保护的访客访问插件的一部分: 访客访问客户端插件 (dll) o 这是集线器加载的插件。它实施在 CFCPlugin.dll 中定义的功能。 访客访问服务(Windows 服务) o 这是一项 Windows 服务,负责创建和配置对等/托管网络(接入点), GuestAccessClientPlugin.dll 发送由此服务接收和处理的命令。 客户端下载页面 o 需要适用于客户端的 Intel Unite 3.0 版应用程序,并配置为运行并连接 到托管对等网络的集线器。创建网络后,它即可下载。 2.2 插件安装 要安装适用于受保护的访客访问的 Intel® Unite™ 插件,您将需要管理员权限。您还需要 验证是否与您的 Intel Unite 解决方案兼容(Intel Unite 软件版本 1.0 和 2.
3. 下一步是获取访客访问客户端插件的证书哈希值(密钥值)。与默认值(默认值 = 空 白)相比,建议获取并使用插件的密钥值,因为密钥值可增加安全性并防止恶意插件 在集线器上进行安装和运行。 注意:对于测试环境,可以使用默认密钥值,但是对于生产环境不建议这样做。 获取证书哈希值 1. 在 Intel Unite\Hub\Plugins 文件夹中,右键单击 GuestAccessClientPlugin.dll 并选择属性。 2. 插件属性窗口打开后,打开数字标牌选项卡。 4. 选择 Intel Unite 插件并单击详细信息。 5. 在数字标牌详细信息窗口中,单击查看证书。 Intel® Unite™ 解决方案 – 适用于受保护的访客访问 v1.
6. 在证书窗口中,选择详细信息选项卡并向下滚动,直到您看到指纹。 7. 选择指纹。当值显示后,将其复制粘贴到记事本或文本文件中,删除空格并保存。 将值复制粘贴到记事本或文本文 件中,删除空格并保存。 8. 在管理员 Web 门户中为插件创建配置文件时会使用此信息。也可以在创建配置文件 之后创建和输入密钥值。 在管理员 Web 门户中创建配置文件 1. 转到管理员 Web 门户,在组下选择配置文件。 Intel® Unite™ 解决方案 – 适用于受保护的访客访问 v1.
2. 通过单击创建来创建访客访问插件证书哈希的密钥,在配置文件属性窗口打开后, 输入以下内容: 密钥: PluginCertificateHash_GuestAccessPlugin (格式是 PluginCertificateHash_XXXX,其中 X 是您为插件提供的名称) 数据类型:文本 值:粘贴获取证书哈希值部分中提到的记事本或文本文件中保存的值(指纹 值)。也可以在创建密钥之后输入此数据。 3. 单击创建以保存配置文件。 4. 在配置文件详细信息窗口中,您会看到插件的新配置文件和输入的密钥值。 5. 还必须确保配置文件详细信息窗口中的验证插件证书哈希密钥处于启用状态(绿 色)。如果未启用,请通过从红色切换为绿色来打开它。 注意:对于测试环境,可以禁用证书检查(对于生产环境不建议这样做)。 Intel® Unite™ 解决方案 – 适用于受保护的访客访问 v1.
受保护的访客访问插件的注册表项 注册表项中定义的数据: a. HKEY_CURRENT_USER\software\Intel\Unite\GuestAccess\SSID b. HKEY_CURRENT_USER\software\Intel\Unite\GuestAccess\PSK 重要:如果指定了密码,则密码必须至少为 8 个字符;如果少于 8 个字符,则访 客访问可能不会启动。 c. HKEY_CURRENT_USER\software\Intel\Unite\GuestAccess\Download 2.2.2 单机版 在单机版中,需要关闭集线器上正在运行的 Intel Unite 应用程序,然后通过单击桌面 启动器或通过开始菜单打开 Intel Unite 应用程序设置。 1. 在“设置”窗口中,进入插件选项卡。 2. 对验证插件证书选择“是”。此设置确保仅加载可信插件。 如果仅应加载数字签名的可信插件,请将此选项设置为“是”。如果设置为 “否”,则允许加载安装的任何插件。 3.
3. 受保护的访客访问插件流程 通过输入在显示 器上显示的 PIN, 客户端设备在 Intel Unite 应用 程序中启动一个 会话,然后启动 访客访问。 在集线器中,启 动已安装的插件 和服务。 访客访问服务会启动托管的 网络。SSID、密码和下载链 接显示在显示器上。 访客(用户)使用关联的密码连接到 SSID,然后加 入或下载应用程序。 Intel® Unite™ 解决方案 – 适用于受保护的访客访问 v1.
4. 如何通过客户端设备启用访客访问 用户将要求客户端计算机使用显示器上显示的 PIN 本地连接到集线器(室内参与者), 或者显示访客访问客户端将能够连接的位置。 在允许访客访问的客户端计算机上: 1. 使用集线器上显示的 PIN 连接到 Intel Unite 应用程序。 2. 连接之后,单击窗口上显示的访客访问图标。 3. 将显示访客访问窗口。现在,您可以单击启动访客访问以启用本地 Wi-Fi 接入,允 许访客加入。 Intel® Unite™ 解决方案 – 适用于受保护的访客访问 v1.
4. 集线器(即室内监视器或显示器)将显示: 访客访问 SSID“唯一网络名称” 要使用的密码 访客访问下载链接 在通过访客访问(会话访客)连接的客户端计算机上: 1. 连接访客访问 SSID,并输入集线器内显示的密码。 2. 在浏览器中,访问显示器上显示的访客访问下载链接。使用显示的格式 http:///guest。 Intel® Unite™ 解决方案 – 适用于受保护的访客访问 v1.
3. 此时将显示下列网页: 4. 根据下列 3 个选项进行选择: 已安装 Intel Unite 3.0 版应用程序? o 当客户端计算机已经安装 Intel Unite 应用程序时,请使用此选项,只 需单击访客加入进行连接(需要 3.0 版) 尚未安装 Intel Unite 3.0 版应用程序?在此获取: o 当客户端计算机未安装 Intel Unite 应用程序时,请使用此选项。根据操 作系统单击 Windows* 或 OS X* 并下载应用程序进行连接。 遇到困难或没有设备的管理员权限? 使用一次性访客访问版本 o 如果设备上未安装 Intel Unite 应用程序和/或下载应用(前 2 个选项) 遇到困难或没有下载和安装应用程序的管理员权限,请使用此选项。您可以 使用一次性访客访问版本。使用此选项,将打开 Intel Unite 应用程序,仅 限一次性使用,不会在客户端计算机上驻留。此选项仅适用于 Windows* 操作系统。 5. 根据您的选择,下载并运行安装程序。 6.
7. 在访客访问窗口中,显示信息图标显示出来时,您将能够看到已连接到会话的访客。 单击显示信息图标时,显示器(集线器)将显示一条 Toast 消息,提示访客所使用的 访客访问信息。 8. 当所有用户断开与会话的连接时,将断开使用访客访问的客户端设备的连接。集线 器(监视器或显示器)将对 Toast 消息显示几秒钟,表示没有用户通过访客访问建立 连接。 Intel® Unite™ 解决方案 – 适用于受保护的访客访问 v1.
附录 A.防火墙例外 请验证和确认 Intel Unite 应用程序和 GuestAccessService 已添加到“防火墙”设置中的 “允许的应用”列表。 需要如下图所示选中下列框。 1. Internet Information Service (IIS) 2. Manager and World Wide Web (HTTP) 3. GuestAccessService Intel® Unite™ 解决方案 – 适用于受保护的访客访问 v1.
附录 B.故障诊断 您也可以查阅 Windows* 事件日志,了解其他信息。 访客访问未启动(或未显示) 验证未在管理员门户中输入阻止插件工作的证书哈希值。 您组织的 GPO 策略(组策略对象)可能不允许虚拟托管网络,请咨询系统管 理员。 确保已在管理员 Web 门户中输入受保护的访客访问的插件证书哈希值(企业 版)。 确保已在管理员 Web 门户中启用插件证书哈希。 确保集线器通过有线连接来连接到公司网络。 在单机版中,验证已在“设置”(“插件”选项卡)部分单击“受信任的插件”来启用 插件。 如果在注册表项 HKCU/software/intel/unite/guestaccess/PSK 中更改了密 码值(未使用默认值),请确保它包含至少 8 个字符。 确保具有最新英特尔无线驱动程序。 Intel® Unite™ 解决方案 – 适用于受保护的访客访问 v1.
