Intel® Unite™ 解決方案 受保護訪客存取外掛程式指南 2016 年 11 月
法律免責聲明與著作權 此處所有資訊隨時可能變更,恕不另行通知。請聯絡 Intel 代表以取得最新的 Intel 產品規格表與發展藍圖。 Intel 技術的功能與優勢取決於系統配置,而且可能需要支援的硬體、軟體或服 務啟動。效能會依系統組態而有所不同。任何電腦系統都不可能保證絕對安全。 請洽詢您的系統製造商或零售商,或造訪 intel.
目錄 1. 2. 簡介 ......................................................................................................................................... 4 1.1 目標使用者 .............................................................................................................. 4 1.2 概述 ............................................................................................................................ 4 1.3 安全性控制建議 ....................................................................................
1. 簡介 本文件說明如何在 Intel Unite 解決方案上安裝和使用 Intel® Unite™ 受保護訪客存取外掛 程式。 1.1 目標使用者 本文件專供企業環境內負責安裝 Intel Unite 軟體以及新增應用程式選用功能,例如為了 業務而啟用訪客存取功能的專業 IT 人員使用。 1.2 概述 Intel Unite 的受保護訪客存取外掛程式允許一台訪客用戶端裝置連接到顯示中樞但是不 必位在相同的企業網路上。這種做法之所以可行,是因為顯示中樞可以建立一個特設/代 管網路 (存取點),讓訪客用戶端裝置可以為其用戶端裝置連線、下載或加入 Intel Unite 應用程式。 企業存取點 會議室 0808 歡迎使用 Intel Unite 請輸入 PIN 0808 顯示中樞無線存取點 顯示中樞上安裝了適用於 受保護訪客存取的外掛程式 企業用戶端裝置 訪客用戶端裝置 Intel® Unite™ 解決方案 – 受保護訪客存取外掛程式指南 1.
1.3 安全性控制建議 建議 IT 人員遵循以下安全控制建議: 執行訪客存取的顯示中樞應關閉網路橋接功能。 在 Active Directory 環境中,在顯示中樞上設定用來限制應用程式和使用者的 「群組原則物件」(GPO 原則)。 在訪客存取機器和企業連線之間部署防火牆以阻擋未經授權的流量。 確認未使用的通訊埠上設有防火牆。 部署如 McAfee* Application Control 或 Windows* AppLocker 等軟體型解 決方案,防止在訪客存取機器上執行未經授權的可執行檔。 o 關於 McAfee Application Control 的詳細資訊請至 http://www.mcafee.com/us/products/application-control.aspx。 o 關於 Windows AppLocker 的詳細資訊請至 https://technet.microsoft.
2. 外掛程式安裝與元件 2.1 外掛程式元件 受保護訪客存取外掛程式具有下列元件: 訪客存取用戶端外掛程式 (dll) o 這是由顯示中樞載入的外掛程式。它會執行 CFCPlugin.dll 中定義的功 能。 訪客存取服務 (Windows 服務) o 這是一項負責建立和配置特設/代管網路 (存取點) 的 Windows 服務,這 項服務會接收並處理 GuestAccessClientPlugin.dll 所傳送的命令。 用戶端下載頁面 o 必須安裝適用於用戶端的 Intel® Unite™ app 3.0 版,而且經過設定後會 執行並連接到代管特設網路的顯示中樞。網路建立完成時即可下載。 2.2 安裝外掛程式 要安裝 Intel® Unite™ 受保護訪客存取外掛程式,您必須擁有管理員權限。您也需要確認 與目標版本的 Intel Unite 解決方案之間的相容性 (Intel Unite 軟體版本 1.0 和 2.
2. 前往其中安裝有 GuestAccessClient Plugin.dll 的外掛程式資料夾,資料夾位於 Program Files(x86)\Intel\Intel Unite\Hub\Plugins。 3. 接著,取得訪客存取用戶端外掛程式的憑證雜湊值 (金鑰值)。建議取得並使用外掛程 式的金鑰值而非預設值 (預設值 = 空白),因為金鑰值可增加額外的安全保護,並防止 在顯示中樞上安裝並執行惡意的外掛程式。 注意:您可以在測試環境中使用預設金鑰值,但在生產環境中不建議使用。 取得憑證雜湊值 1. 在 Intel Unite\Hub\Plugins 資料夾中,以滑鼠右鍵按一下 GuestAccessClientPlugin.dll 並選擇內容。 2. 當外掛程式的內容視窗開啟後,開啟數位簽章索引標籤。 4. 選取 Intel Unite 外掛程式 並按一下詳細資料。 5. 在數位簽章詳細資料視窗中,按一下檢視憑證。 Intel® Unite™ 解決方案 – 受保護訪客存取外掛程式指南 1.
6. 在憑證視窗中,選取詳細資料索引標籤並向下捲動至憑證指紋。 7. 選取憑證指紋。待系統顯示數值後,將該數值複製並貼到記事本或文字檔案,移除空 格後儲存。 將數值複製並貼到記事本或文字 檔案,移除空格後儲存。 8. 此資訊將用於在管理入口網站上,為外掛程式建立設定檔。您也可以在建立設定檔後 再建立並輸入金鑰值。 在管理入口網站上建立設定檔 1. 前往管理入口網站,在群組下,選取設定檔。 Intel® Unite™ 解決方案 – 受保護訪客存取外掛程式指南 1.
2. 為訪客存取外掛程式憑證雜湊建立金鑰,方法是按一下建立,在設定檔內容開啟後, 輸入下列資訊: 金鑰: PluginCertificateHash_GuestAccessPlugin (格式為 PluginCertificateHash_XXXX,其中 X 代表您為外掛程式的命名) 資料類型:文字 值:貼上儲存在記事本或文字檔案中的值 (如「取得憑證雜湊值」一節中所 述) - (「憑證指紋」值)。您也可以在建立金鑰後再輸入此資料。 3. 按一下建立以儲存設定檔。 4. 在設定檔詳細資料視窗中,您會看到針對外掛程式與輸入的金鑰值所建立的新設定 檔。 5. 您還需要確認驗證外掛程式憑證雜湊金鑰 (位於設定檔詳細資料視窗中) 已啟用 (綠 色)。如未啟用,請將紅色切換為綠色,將其開啟。 注意:您可以在測試環境中停用憑證檢查 (在生產環境中不建議停用)。 Intel® Unite™ 解決方案 – 受保護訪客存取外掛程式指南 1.
受保護訪客存取外掛程式的登錄機碼 登錄機碼中定義的資料: a. HKEY_CURRENT_USER\software\Intel\Unite\GuestAccess\SSID b. HKEY_CURRENT_USER\software\Intel\Unite\GuestAccess\PSK 重要事項:如有指定密碼,則密碼必須至少為 8 個字元;如果少於 8 個字元,可 能無法啟動訪客存取。 c. HKEY_CURRENT_USER\software\Intel\Unite\GuestAccess\Download 2.2.2 獨立版 如果是獨立版,您必須關閉顯示中樞上執行的 Intel Unite 應用程式並開啟 Intel Unite 應用程式設定,只需要點選桌面上的啟動程式或是利用開始功能表即可完成。 1. 在「設定」視窗中,前往外掛程式索引標籤。 2. 在驗證外掛程式的憑證中,選取「是」。此設定將確保唯有可信任的外掛程式會被 載入。 如果只能載入您信賴的擁有數位簽名的外掛程式,則設定為是。設為否則允 許載入任何已安裝的外掛程式。 3.
3. 受保護訪客存取外掛程式流程 用戶端裝置只要 輸入螢幕上顯示 的 PIN 密碼並啟 動訪客存取,即 可在 Intel Unite 應用程式中啟動 一個工作階段。 顯示中樞中已開 始安裝外掛程式 和服務。 訪客存取服務啟動代管網 路。在螢幕上顯示 SSID、密 碼和下載連線。 訪客 (使用者) 使用相關的密碼連接到 SSID 然後加入 或下載應用程式。 Intel® Unite™ 解決方案 – 受保護訪客存取外掛程式指南 1.
4. 如何使用用戶端裝置啟用訪客存取 使用者必須使用訪客存取用戶端所能夠連接的顯示器或螢幕上顯示的 PIN 密碼,讓用戶 端機器本機與顯示中樞 (會議室內與會者) 連接。 在允許訪客存取的用戶端機器上: 1. 使用顯示中樞上顯示的 PIN 密碼連接 Intel Unite 應用程式。 2. 連接後馬上按一下視窗上顯示的訪客存取圖示。 3. 訪客存取視窗即會顯示。您現在可以按一下啟動訪客存取啟用本機 Wi-Fi 存取權限, 讓訪客加入網路。 Intel® Unite™ 解決方案 – 受保護訪客存取外掛程式指南 1.
4. 顯示中樞,即會議室內的顯示器或螢幕,將顯示: 訪客存取 SSID 「唯一的網路名稱」 所需密碼 訪客存取下載連結 在經由訪客存取 (工作階段訪客) 連接的用戶端機器上: 1. 連接到訪客存取 SSID 並輸入顯示中樞上顯示的密碼。 2. 使用瀏覽器前往顯示器上所顯示的訪客存取下載連結。請使用下列顯示格式: http:///guest。 Intel® Unite™ 解決方案 – 受保護訪客存取外掛程式指南 1.
3. 接著會顯示下列網頁: 4. 按照下列 3 個選項進行選擇: 是否已經安裝 Intel Unite 應用程式 3.0 版? o 若您的用戶端機器已經安裝 Intel Unite 應用程式請選擇這個選項,只 要按一下訪客加入即可連線 (必須是 3.0 版) 尚未安裝 Intel Unite 應用程式 3.0 版?請至這裡下載: o 如果用戶端機器未安裝 Intel Unite app,請使用此選項。根據作業系統 按一下 Windows* 或 OS X* 並下載 app 以進行連線。 安裝有問題或是您的機器沒有管理員權限? 使用訪客存取單次版本 o 若您的機器尚未安裝 Intel Unite 應用程式和 (或) 您無法下載應用程式 (前述 2 個選項) 或沒有管理員權限來下載和安裝應用程式,請選擇這個選項。 您可以使用訪客存取單次版本。選擇這個選項時,Intel® Unite™ app 將會 開啟供您單次使用而且不會保留在用戶端機器上。僅有 Windows* 作業系 統提供這個選項。 5. 根據您的選擇下載和執行安裝程式。 6.
7. 當訪客存取視窗上出現顯示資訊圖示時,您會看到連接到工作階段的訪客。按一下 顯示資訊圖示時,顯示器 (顯示中樞) 將出現訊息提示,內含訪客所使用的訪客存取服 務資訊。 8. 當所有使用者與工作階段中斷連線時,使用訪客存取的用戶端裝置也會中斷連線。 顯示中樞 (您的顯示器或螢幕) 會有數秒時間出現快顯通知訊息,表示沒有使用者經由 訪客存取連線。 Intel® Unite™ 解決方案 – 受保護訪客存取外掛程式指南 1.
附錄 A、防火牆例外清單 請檢查並確認 Intel Unite 應用程式和 GuestAccessService 已經加入防火牆設定的允許 連線應用程式清單。 您必須勾選下列方塊,如以下範例所示。 1. 網際網路資訊服務 (IIS) 2. 管理程式與全球資訊網 (HTTP) 3. GuestAccessService Intel® Unite™ 解決方案 – 受保護訪客存取外掛程式指南 1.
附錄 B、疑難排解 您也可以查詢 Windows* 事件日誌取得更多資訊。 訪客存取未啟動 (或未顯示) 確認管理入口網站所輸入的不是妨礙外掛程式運作的憑證散列。 貴組織的 GPO 政策 (群組政策物件) 可能不允許虛擬代管網路,請洽您的系統 管理員。 確認已在管理入口網站上輸入受保護訪客存取外掛程式的憑證雜湊金鑰值 (企 業版)。 確認已在管理入口網站上啟用外掛程式憑證雜湊。 確認顯示中樞已透過有線連線的方式連線至企業網路。 使用獨立版時,請檢查是否已經在「設定」 - 「外掛程式」索引標籤的區塊中 點選「可信任外掛程式」的核取方塊來啟用外掛程式。 如果在登錄機碼 HKCU/software/intel/unite/guestaccess/PSK 中變更密碼 值 (不使用預設值),請確認其包含至少 8 個字元。 確認您擁有最新的 Intel 無線驅動程式。 Intel® Unite™ 解決方案 – 受保護訪客存取外掛程式指南 1.
