A RADIUSサーバーは_radius.example.com
_の自己署名証明書を持っています(Windows Active Directory証明書サービスPKIもあるかもしれませんが、これは同様に機能するはずですよね?)
Protected EAP (PEAP)
Enabled
radius\.example\.com
_[x] radius.example.com
_(単独)Enabled
を承認するようにユーザーに要求しないでください。RADIUSサーバーが_radius.example.com
_で署名されていないサーバーはevil twin APシナリオでは認証されないことを前提としています。ただし、これは難しいWindows 10のGUIから確認します。「一部の設定は組織によって非表示または管理されている」とだけ表示され、適用されている設定の詳細は表示されません。
クライアントコンピューターが実際に証明書を検証していることを確認する最も簡単な方法は何ですか? RSoPは、GPO自体が適用されていることを示しています。証明書はその場所にあります(_certmgr.msc
_)。
最初のアイデアは、evil twin攻撃とテストを実行することでしたが、これには重い調整が必要になります。はるかに簡単なのは、既存のネットワークを一時的に外部環境のように見せることです。これはクライアント側で行うことができます:
radius.example.com
の証明書を手動で削除します偽の代替品を作成します。gpupdate /force
を実行し、必要に応じてコンピューターを再起動します。