跳至主要内容
简体中文

员工离职时如何撤销其 WiFi 访问权限

本指南详细介绍了如何在员工离职时撤销其 WiFi 访问权限,将不安全的共享密码替换为基于用户的 802.1X 证书或 iPSK。它涵盖了通过 SCIM 进行的自动停用,以满足 ISO 27001 和 SOC 2 审计要求。

📖 5 分钟阅读📝 1,063 🔧 2 应用实例3 练习题📚 8 关键定义

收听本指南

查看播客转录
欢迎收听 Purple 技术简报。我是您的主持人,今天我们将探讨企业员工离职流程中最常见的漏洞之一:当员工离职时,他们的 WiFi 访问权限实际上会发生什么变化? 这听起来很简单。员工交回工牌,人力资源部门关闭他们的账户,然后一切照常。但如果您的网络仍运行在共享的 WPA2 密码上,那么该员工走出大门时依然知道该密码。除非您为所有人轮换密码,否则他们甚至可以在停车场重新连接。 这就是我们今天要做解决的问题。我们将介绍三种可行的基于用户的 WiFi 撤销模型,逐步讲解当天撤销清单,并详细说明 ISO 27001 或 SOC 2 审计员希望在您的日志中看到什么。让我们开始吧。 第一部分:为什么共享密码是错误的工具。 WPA2-Personal(标准的家用路由器设置)使用单一的预共享密钥。网络上的每个人都知道相同的密码。当一个人离职时,该密码在他们的手机、笔记本电脑以及他们连接过的任何设备上仍然有效。撤销其访问权限的唯一方法是更改整个网络的密码,并将其重新分发给每个留任的用户和设备。 在一家拥有 200 名员工的酒店中,这意味着要更新每个销售终端、每台后台电脑以及每位经理的手机。在拥有 50 家门店的零售连锁店中,这意味着要在每个站点进行协调部署。运营成本高昂,业务中断是实实在在的,而且离职人员的最后一天与完成密码轮换之间的时间窗口是一个真正的安全漏洞。 PCI DSS(支付卡行业标准)要求,只要知晓共享凭据的人员离职,就必须更改共享凭据。因此,如果您的收银机与员工 WiFi 处于同一网络,员工离职就会触发合规义务,而不仅仅是最佳实践建议。 根本原因很简单:共享密码没有附加身份。网络无法区分当前员工和前员工。要解决这个问题,您需要基于用户的凭据。 第二部分:三种真正有效的模型。 模型一是基于 802.1X 与 EAP-TLS 证书的身份验证。这是企业 WiFi 安全的金牌标准。 在此模型中,每个用户或设备都持有由您的证书颁发机构(CA)颁发的唯一数字证书。当他们连接到 WiFi 时,RADIUS 服务器会对该证书进行加密验证。证书与身份绑定,而不是密码。要撤销访问权限,您只需在 CA 级别撤销该证书。 RADIUS 服务器使用在线证书状态协议(OCSP)实时检查撤销状态。当您将证书标记为已撤销时,该设备下一次尝试进行身份验证时,RADIUS 服务器会查询 OCSP 响应程序,获取已撤销的响应,并向接入点发送 Access-Reject。在下一次身份验证尝试的几秒钟内,该设备就会被移出网络。 对于活动会话,您可以使用 RADIUS 授权变更(CoA)立即终止现有会话。结合使用 OCSP 和 CoA,意味着您可以在不到一分钟的时间内撤销离职人员的 WiFi 访问权限,并在 RADIUS 日志中保留完整的审计追踪。 EAP-TLS 的挑战在于 PKI(公钥基础设施)的开销。您需要一个证书颁发机构、一种向设备颁发证书的机制(通常通过 Microsoft Intune 等 MDM),以及一个撤销证书的流程。对于拥有成熟 MDM 和身份基础设施的组织,这是正确的解决方案。对于较小的团队或拥有无法支持证书身份验证的 IoT 设备的环境,您需要采用不同的方法。 模型二是 iPSK(身份预共享密钥)。Cisco 称其为 iPSK,Ruckus 称其为 DPSK,Aruba 称其为 MPSK,但概念是相同的:每个用户或设备都会获得一个唯一的密码,即使他们都连接到同一个 SSID。 RADIUS 服务器将每个唯一的密钥映射到特定的身份,并可选择映射到特定的 VLAN。当您从 RADIUS 数据库中删除该密钥时,该设备将无法再进行身份验证。离职人员的影响范围仅限于其个人。其他所有人的密钥仍然有效。 iPSK 特别适用于混合设备类型的环境。物联网设备、销售终端和无法支持 802.1X 证书的传统硬件都可以使用 iPSK。它的操作也比完整的 PKI 部署更简单,这使其成为需要基于用户进行撤销但又不想承担基础设施开销的中型市场组织的正确选择。 iPSK 的撤销时间通常是几分钟,而不是几秒钟。密钥删除会同步到 RADIUS 服务器,但活动会话可能会持续存在,直到设备重新进行身份验证,或者直到您发送 CoA 数据包强制断开连接。 模型三是 SCIM 驱动的自动停用。SCIM 代表跨域身份管理系统。它是一个在 RFC 7643 和 RFC 7644 中定义的开放标准,允许您的身份提供商实时将用户生命周期事件推送给下游系统。 以下是它在实践中的工作原理。您的身份提供商(无论是 Microsoft Entra ID、Okta 还是 Google Workspace)是用户账户的权威信任源。当人力资源部门在身份提供商中禁用离职人员的账户时,SCIM 会向每个连接的系统(包括您的 WiFi 管理平台)发送请求。 Purple 通过 SCIM 连接到您的身份提供商。在您于 Entra ID、Okta 或 Google Workspace 中禁用用户的瞬间,Purple 就会收到 SCIM 事件,并在下一次身份验证时撤销其 WiFi 凭据。该事件会被记录下来,包含时间戳、用户身份和所采取的操作。该日志条目正是 ISO 27001 审计员需要看到的内容。 SCIM 并不能取代 802.1X 或 iPSK。它位于它们之上。SCIM 处理身份生命周期;身份验证协议处理网络执行。SCIM 与 802.1X 的结合为您提供了自动、实时的撤销,并带有完整的审计追踪,且无需任何手动步骤。 第三部分:当天撤销清单。 当离职人员的最后一天到来时,以下是您的 IT 团队应该遵循的步骤顺序。 第一步:在您的身份提供商中禁用该账户。这是触发其他所有操作的源头。在 Microsoft Entra ID 中,将账户设置为禁用。在 Okta 中,停用该用户。在 Google Workspace 中,暂停该账户。 第二步:如果您运行了 SCIM,请验证停用事件是否已触发。检查您的 SCIM 日志或 WiFi 管理平台以获取相应的事件。如果未部署 SCIM,请在您的 CA 中手动撤销证书,或从 RADIUS 数据库中删除 iPSK 密钥。 第三步:发送 RADIUS CoA 以终止任何活动的 WiFi 会话。大多数企业 RADIUS 服务器以及像 Purple 这样的平台都可以在发生停用事件时自动执行此操作。如果您是手动操作,请使用 RADIUS 服务器's CoA 接口,通过 MAC 地址或会话 ID 断开用户设备的连接。 第四步:确认没有残留的活动会话。检查您的 WiFi 控制器仪表板。在 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist、Ubiquiti UniFi、Cambium、Extreme 或 Fortinet 上,您应该能够通过用户名或设备进行搜索,并确认活动关联为零。 第五步:归档审计日志条目。导出或标记相关用户和日期的 RADIUS 身份验证日志、SCIM 事件日志和 CoA 日志。将这些日志存储在您的 ITSM 或安全信息和事件管理平台中。ISO 27001 附录 A 控制项 A.9.2.6 要求您在终止雇佣时删除或调整所有员工和承包商的访问权限。您的日志就是证据。 第六步:如果您运行的是 WPA2 共享 PSK 且上述方法均不适用,请轮换密码。如果可能,在离职人员的最后一天之前,或紧随其后,协调在所有站点和设备上完成密码部署。 第四部分:审计员期望看到什么。 ISO 27001 和 SOC 2 都要求您证明在雇佣关系结束时能立即取消访问权限。具体针对 WiFi,审计员会寻找四样东西。第一,一份明确包含网络访问权限的书面离职流程。第二,证明该流程已针对离职人员样本(通常是从过去 12 个月中抽取的 10 到 25 个人)得以执行的证据。第三,显示账户禁用时间戳和 WiFi 访问权限撤销时间戳的日志,且两者之间的时间差清晰可见。第四,确认前员工账户没有显示活动的 WiFi 会话。 如果您运行的是 WPA2 共享 PSK,您将无法提供第三项和第四项的证据。因为没有基于用户的日志。您能做的最好的事情就是展示密码轮换日期,并辩称该操作是在离职人员的最后一天之前或当天完成的。审计员对此的反对意见正越来越多。 如果您运行的是带有 SCIM 的 802.1X,日志是自动生成的。Purple 会记录每个 SCIM 停用事件,并带有 UTC 时间戳、身份提供商来源、用户的唯一标识符以及产生的操作。这是一个干净、可审计的记录。 第五部分:实施陷阱及如何避免。 最常见的错误是认为在身份提供商中禁用账户就足够了。事实并非如此,除非您的 WiFi 平台通过 SCIM 或类似的实时集成连接到该身份提供商。如果没有这种连接,WiFi 系统就无法得知账户已被禁用。 第二个陷阱是证书缓存。即使使用 OCSP,RADIUS 服务器也会在可配置的时间段内(通常为 15 到 60 分钟)缓存良好的响应。如果您撤销了证书,而 RADIUS 服务器拥有缓存的良好响应,则该设备可能会继续通过身份验证,直到缓存过期。对于高安全性的环境,请将您的 OCSP 缓存 TTL 设置为 15 分钟或更短。 第三个陷阱是忘记活动会话。撤销凭据可以阻止新的身份验证,但不会终止现有的 WiFi 会话。在撤销凭据后,务必发送 RADIUS CoA 以立即断开设备连接。 第四个陷阱是物联网和共享设备。注册在离职人员身份下的设备可能是共享工作站或某件运营硬件。在撤销之前,请确认该设备是个人设备而非共享设备。如果是共享设备,请在撤销离职人员凭据之前,将其重新注册在服务账户下。 第六部分:快速问答。 问:基于证书的 WiFi 访问权限撤销速度有多快? 答:结合使用 OCSP 和 RADIUS CoA,从您在 CA 撤销证书的那一刻起,不到 60 秒即可完成。OCSP 检查会在下一次身份验证尝试时发生。CoA 会立即终止活动会话。 问:SCIM 是否适用于所有 WiFi 硬件? 答:SCIM 运行在身份管理层,而不是硬件层。Purple 与硬件无关,适用于 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist、Ubiquiti UniFi、Cambium、Extreme 和 Fortinet。SCIM 集成是与 Purple 进行的,而不是直接与接入点集成。 问:如果我们没有 MDM 且无法部署证书怎么办? 答:iPSK 就是您的解决方案。它为您提供基于用户的撤销,而无需证书基础设施。Purple 可以管理 iPSK 密钥并连接到您的身份提供商以实现生命周期的自动化。 总结与后续步骤。 核心信息是:如果您无法在不影响其他所有人的情况下撤销单个人的 WiFi 访问权限,那么您就存在共享凭据问题。解决方案是基于用户的凭据,无论是通过 802.1X EAP-TLS 的证书,还是通过 iPSK 的唯一密钥,并结合 SCIM 驱动的自动停用,以便在人力资源部门采取行动的瞬间自动执行撤销。 Purple 通过 SCIM 连接到 Microsoft Entra ID、Okta 和 Google Workspace,在 80,000 个活跃场所运行,并记录每个停用事件以供审计。如果您正在为 ISO 27001 或 SOC 2 做准备,或者只是想在离职漏洞演变成安全事件之前将其堵塞,这就是您的起点。 有关证书撤销和 OCSP 的完整技术分析,请参阅我们的《用于 WiFi 身份验证的 OCSP 和证书撤销指南》。有关更广泛的入职-异动-离职自动化全景,请参阅我们的《企业 WiFi 安全指南》。 感谢收听 Purple 技术简报。

📚 核心系列的一部分:企业 WiFi 安全与认证:完整指南

header_image.png

कार्यकारी सारांश

जब कोई कर्मचारी किसी संगठन को छोड़ता है, तो उनके भौतिक एक्सेस को निरस्त करना आसान होता है। लेकिन उनके WiFi एक्सेस को निरस्त करना अक्सर आसान नहीं होता है। यदि आपका नेटवर्क एक साझा WPA2 पासवर्ड पर निर्भर करता है, तो जाने वाला कर्मचारी क्रेडेंशियल्स जानते हुए ही बाहर जाता है। उनके एक्सेस को हटाने का एकमात्र तरीका पूरे नेटवर्क का पासवर्ड बदलना है, जिससे संचालन बाधित होता है और सभी डिवाइस पर मैन्युअल अपडेट करना पड़ता है। यह एक गंभीर सुरक्षा भेद्यता है और PCI-DSS और ISO 27001 जैसे मानकों के तहत अनुपालन की विफलता है।

यह गाइड बताती है कि साझा पासवर्ड से कैसे बचा जाए और प्रति-उपयोगकर्ता WiFi निरस्तीकरण को कैसे लागू किया जाए। हम तीन विश्वसनीय मॉडलों की जांच करते हैं: सर्टिफिकेट निरस्तीकरण के साथ 802.1X EAP-TLS, प्रति-पहचान कुंजी विलोपन के साथ Identity Pre-Shared Key (iPSK), और SCIM-संचालित डीप्रोविज़निंग। नेटवर्क एक्सेस को सीधे अपने पहचान प्रदाता—जैसे कि Microsoft Entra ID, Okta, या Google Workspace—से जोड़कर, आप खाता निष्क्रिय होते ही निरस्तीकरण को स्वचालित कर सकते हैं, जिससे ठीक वैसा ही ऑडिट ट्रेल तैयार होता है जिसकी एक मूल्यांकनकर्ता उम्मीद करता है।

इस विषय पर हमारा तकनीकी ब्रीफिंग पॉडकास्ट सुनें:

तकनीकी गहन विश्लेषण

साझा पासवर्ड के साथ समस्या

एक साझा WPA2-Personal पासवर्ड में पहचान संदर्भ की कमी होती है। नेटवर्क एक वर्तमान कर्मचारी और एक पूर्व कर्मचारी के बीच अंतर नहीं कर सकता है। नतीजतन, एक्सेस को निरस्त करने के लिए कंपनी-व्यापी पासवर्ड रोटेशन की आवश्यकता होती है। यह कर्मचारी के जाने और रोटेशन के पूरा होने के बीच एक सुरक्षा भेद्यता का समय बनाता है।

मॉडल 1: 802.1X EAP-TLS सर्टिफिकेट निरस्तीकरण

WiFi सुरक्षा के लिए एंटरप्राइज़ मानक EAP-TLS का उपयोग करने वाला 802.1X है। इस मॉडल में, प्रत्येक डिवाइस को सर्टिफिकेट अथॉरिटी (CA) से एक अद्वितीय डिजिटल सर्टिफिकेट प्राप्त होता है। जब कोई डिवाइस कनेक्ट होता है, तो RADIUS सर्वर सर्टिफिकेट को क्रिप्टोग्राफिक रूप से सत्यापित करता है।

एक्सेस निरस्त करने के लिए, आप CA पर सर्टिफिकेट को निरस्त करते हैं। RADIUS सर्वर Online Certificate Status Protocol (OCSP) का उपयोग करके वास्तविक समय में निरस्तीकरण स्थिति की जांच करता है। यदि OCSP रिस्पॉन्डर 'Revoked' स्थिति लौटाता है, तो RADIUS सर्वर एक Access-Reject संदेश भेजता है। सक्रिय सत्रों के लिए, सर्वर कनेक्शन को तुरंत समाप्त करने के लिए Change of Authorisation (CoA) जारी करता है। यह प्रक्रिया बाकी नेटवर्क पर शून्य प्रभाव के साथ निरस्तीकरण को केवल एक उपयोगकर्ता तक सीमित कर देती है।

मॉडल 2: iPSK प्रति-पहचान कुंजी विलोपन

मिश्रित डिवाइस प्रकारों वाले वातावरण के लिए, जिसमें हेडलेस हार्डवेयर भी शामिल है जो 802.1X सर्टिफिकेट का समर्थन नहीं कर सकता है, Identity Pre-Shared Key (iPSK) सबसे उपयुक्त समाधान है। iPSK एक ही SSID पर प्रत्येक व्यक्तिगत उपयोगकर्ता या डिवाइस को एक अद्वितीय पासवर्ड प्रदान करता है।

RADIUS सर्वर प्रत्येक अद्वितीय कुंजी को एक विशिष्ट पहचान से मैप करता है। जब कोई कर्मचारी छोड़ता है, तो IT बस RADIUS डेटाबेस से उनकी विशिष्ट कुंजी को हटा देता है। इसका प्रभाव पूरी तरह से केवल उसी एक उपयोगकर्ता तक सीमित रहता है। यह दृष्टिकोण एक क्रेडेंशियल की सरलता के साथ एंटरप्राइज़ नेटवर्क की व्यक्तिगत सुरक्षा प्रदान करता है।

revocation_models_comparison.png

मॉडल 3: SCIM ऑटो-डीप्रोविज़निंग

System for Cross-domain Identity Management (SCIM) एक खुला मानक है जो उपयोगकर्ता पहचान जानकारी के आदान-प्रदान को स्वचालित करता है। SCIM आपके पहचान प्रदाता और आपके WiFi प्रबंधन प्लेटफ़ॉर्म जैसे डाउनस्ट्रीम सिस्टम के बीच एक जोड़ने वाली कड़ी के रूप में कार्य करता है।

जब HR Microsoft Entra ID, Okta, या Google Workspace में जाने वाले कर्मचारी को निष्क्रिय करता है, तो SCIM Purple को एक डीप्रोविज़निंग इवेंट भेजता है। Purple अगले प्रमाणीकरण पर उपयोगकर्ता के WiFi क्रेडेंशियल्स—चाहे सर्टिफिकेट हो या iPSK—को तुरंत निरस्त कर देता है। यह एक क्लोज्ड-लूप सिस्टम बनाता है जहां पहचान जीवनचक्र परिवर्तन स्वचालित रूप से नेटवर्क एक्सेस नीतियों को लागू करते हैं।

कार्यान्वयन गाइड

प्रति-उपयोगकर्ता निरस्तीकरण को लागू करने के लिए आपके पहचान प्रदाता, RADIUS सर्वर और WiFi हार्डवेयर के बीच समन्वय की आवश्यकता होती है। Purple Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme, और Fortinet के हार्डवेयर के साथ एकीकृत होता है।

चरण 1: पहचान को सत्य के एकमात्र स्रोत के रूप में स्थापित करें

सुनिश्चित करें कि आपका पहचान प्रदाता उपयोगकर्ता की स्थिति के लिए सत्य का एकमात्र स्रोत हो। सभी ऑनबोर्डिंग और ऑफबोर्डिंग प्रक्रियाएं Microsoft Entra ID, Okta, या Google Workspace में शुरू और समाप्त होनी चाहिए।

चरण 2: सही प्रमाणीकरण प्रोटोकॉल चुनें

यदि आपके पास एक परिपक्व मोबाइल डिवाइस प्रबंधन (MDM) परिनियोजन है जो सभी कॉर्पोरेट उपकरणों पर सर्टिफिकेट भेजने में सक्षम है, तो 802.1X EAP-TLS चुनें। यदि आपको अप्रबंधित उपकरणों, पॉइंट-ऑफ-सेल टर्मिनलों, या IoT हार्डवेयर की एक विस्तृत श्रृंखला का समर्थन करने की आवश्यकता है, तो iPSK चुनें।

चरण 3: SCIM एकीकरण कॉन्फ़िगर करें

अपने पहचान प्रदाता और Purple के बीच एक SCIM कनेक्शन कॉन्फ़िगर करें। उपयोगकर्ता स्थिति विशेषता को मैप करें ताकि निर्देशिका में 'disabled' स्थिति Purple में एक निरस्तीकरण इवेंट को ट्रिगर करे।

चरण 4: RADIUS टाइमर को ट्यून करें

यदि EAP-TLS का उपयोग कर रहे हैं, तो अपने RADIUS सर्वर के OCSP कैश Time-To-Live (TTL) को उचित रूप से कॉन्फ़िगर करें। एक छोटा TTL (जैसे, 15 मिनट) उस समय को कम करके सुरक्षा बढ़ाता है जिसके दौरान एक निरस्त सर्टिफिकेट वैध रहता है, लेकिन यह CA पर लोड बढ़ाता है।

offboarding_checklist.png

सर्वोत्तम प्रथाएं

उद्योग मानकों के अनुसार, संगठनों को नेटवर्क एक्सेस को कड़ाई से नियंत्रित करना चाहिए। सुरक्षित स्थिति बनाए रखने के लिए इन प्रथाओं को लागू करें:

  1. SCIM के साथ स्वचालित करें: मैन्युअल निरस्तीकरण में मानवीय भूल की संभावना होती है। अपने WiFi प्लेटफ़ॉर्म को सीधे अपने पहचान प्रदाता से जोड़कर इस प्रक्रिया को स्वचालित करें।
  2. RADIUS CoA लागू करें: क्रेडेंशियल्स को निरस्त करने से नए कनेक्शन तो रुक जाते हैं लेकिन सक्रिय सत्र समाप्त नहीं होते हैं। सुनिश्चित करें कि आपका सिस्टम डिवाइस को तुरंत डिस्कनेक्ट करने के लिए Change of Authorisation कमांड भेजता है।
  3. अतिथि और कर्मचारी ट्रैफ़िक को अलग करें: कर्मचारी उपकरणों को कभी भी Guest WiFi नेटवर्क पर न रखें। अलगाव बनाए रखने के लिए अलग VLANs और SSIDs का उपयोग करें।
  4. ऑडिट लॉग: सभी डीप्रोविज़निंग इवेंट्स के अपरिवर्तनीय लॉग बनाए रखें। ISO 27001 मूल्यांकनकर्ताओं को इस बात के प्रमाण की आवश्यकता होती है कि सेवा समाप्ति पर तुरंत एक्सेस हटा दिया गया था।

समस्या निवारण और जोखिम न्यूनीकरण

WiFi निरस्तीकरण में सबसे आम विफलता मोड एक डिस्कनेक्ट की गई प्रक्रिया है। यदि IT निर्देशिका में खाते को निष्क्रिय कर देता है लेकिन स्टैंडअलोन RADIUS डेटाबेस को अपडेट करने में विफल रहता है, तो जाने वाले कर्मचारी के पास एक्सेस बना रहता है। SCIM एकीकरण इस जोखिम को पूरी तरह से कम करता है।

दूसरा जोखिम सर्टिफिकेट कैशिंग है। यदि कोई RADIUS सर्वर 24 घंटे के लिए 'Good' OCSP प्रतिक्रिया को कैश करता है, तो एक निरस्त डिवाइस तब तक प्रमाणित होना जारी रख सकता है जब तक कि कैश समाप्त न हो जाए। प्रदर्शन को सुरक्षा आवश्यकताओं के साथ संतुलित करने के लिए अपने OCSP कैश सेटिंग्स को ट्यून करें।

साझा उपकरणों के लिए, जैसे कि कई शिफ्ट कर्मचारियों द्वारा उपयोग किया जाने वाला रिटेल टैबलेट, डिवाइस प्रमाणीकरण को किसी व्यक्तिगत कर्मचारी की पहचान से न जोड़ें। किसी व्यक्ति के जाने से हार्डवेयर के एक महत्वपूर्ण हिस्से को ऑफ़लाइन होने से बचाने के लिए सेवा खातों या डिवाइस-विशिष्ट सर्टिफिकेट का उपयोग करें।

ROI और व्यावसायिक प्रभाव

प्रति-उपयोगकर्ता WiFi निरस्तीकरण पर जाने से मापने योग्य व्यावसायिक मूल्य मिलता है। यह कंपनी-व्यापी पासवर्ड रोटेशन के समन्वय में खर्च होने वाले IT समर्थन घंटों को समाप्त करता है। यह एक पूर्व कर्मचारी से उत्पन्न होने वाले डेटा उल्लंघन के जोखिम को कम करता है, जिससे संगठन नियामक जुर्मानों और प्रतिष्ठा के नुकसान से बचता है।

इसके अलावा, यह ISO 27001 और SOC 2 मूल्यांकनों को सुचारू रूप से पास करने के लिए आवश्यक स्पष्ट ऑडिट ट्रेल प्रदान करता है। जॉइनर-मूवर-लीवर प्रक्रिया को स्वचालित करके, IT टीमें मैन्युअल क्रेडेंशियल प्रबंधन के बजाय रणनीतिक पहलों पर ध्यान केंद्रित कर सकती हैं। अपने नेटवर्क को सुरक्षित करने के बारे में अधिक विवरण के लिए, हमारा Enterprise WiFi Security: A Complete Guide for 2026 पढ़ें।

关键定义

802.1X

一种用于基于端口的网络访问控制的 IEEE 标准,为希望连接到 LAN 或 WLAN 的设备提供身份验证机制。

企业 WiFi 安全的基石,要求设备在获取网络访问权限之前先通过 RADIUS 服务器进行身份验证。

EAP-TLS

可扩展身份验证协议 - 传输层安全。一种高度安全的身份验证方法,在客户端和服务器端均使用数字证书。

被视为 WiFi 身份验证的金牌标准,因为它完全消除了密码,转而依赖加密证书。

iPSK

身份预共享密钥。一种安全方法,为单一网络名称上的每个个人用户或设备分配唯一的 WiFi 密码。

适用于需要基于用户进行撤销但拥有无法支持 802.1X 证书的设备(如物联网或游戏机)的环境的理想解决方案。

SCIM

跨域身份管理系统。一种用于在身份域之间自动交换用户身份信息的开放标准。

用于自动将“用户已禁用”事件从身份提供商推送至 WiFi 系统,从而触发立即撤销访问权限。

RADIUS

远程用户拨号认证服务。一种提供集中式身份验证、授权和计费管理的网络协议。

在允许设备进入网络之前验证 WiFi 凭据并检查撤销状态的服务器。

OCSP

在线证书状态协议。一种用于获取 X.509 数字证书撤销状态的网络协议。

RADIUS 服务器执行的实时检查,以确保连接设备的证书自颁发以来未被撤销。

CoA

授权变更。一种 RADIUS 功能,允许服务器动态更改活动会话的授权属性。

用于在凭据被撤销的瞬间立即断开设备与 WiFi 网络的连接,而不是等待会话自然过期。

WPA2-Personal

WiFi 保护访问 2。一种安全认证计划,对网络上的所有用户使用单一的共享密码。

在企业环境中应当淘汰的标准,因为仅为了撤销一名离职人员的访问权限,就需要更改所有人的密码。

应用实例

一家拥有 200 间客房的酒店需要撤销一名即将离职的值班经理的 WiFi 访问权限。该酒店混合使用了公司笔记本电脑和无屏幕销售终端(POS),目前所有设备都共享同一个 WPA2 密码。他们应该如何保障离职流程的安全?

该酒店应从共享的 WPA2 密码迁移到 iPSK。通过 SCIM 将 Purple 与其身份提供商集成,他们可以为每位员工和设备分配唯一的 iPSK。当值班经理离职时,人力资源部门会在 Microsoft Entra ID 中禁用其账户。SCIM 会将此事件推送给 Purple,Purple 会立即删除该经理专属的 iPSK。销售终端和其他员工设备仍保持连接,不受任何干扰。

考官评语: 这种方法完美平衡了酒店业的安全需求与运营实际。对于无屏幕的 POS 终端,实施完整的 802.1X EAP-TLS 过于复杂。iPSK 提供了必要的基于用户的撤销功能,而无需进行证书管理,同时 SCIM 实现了审计追踪的自动化。

一个运行 802.1X EAP-TLS 的公共部门组织在上午 9:00 撤销了一名承包商的证书,但该承包商的笔记本电脑直到上午 10:00 仍连接在 WiFi 上。为什么会发生这种情况,应该如何解决?

延迟发生的原因是 RADIUS 服务器缓存了该承包商证书的“良好”(Good)OCSP 响应,且系统未发送 RADIUS 授权变更(CoA)命令。要解决此问题,该组织必须将 RADIUS 服务器上的 OCSP 缓存 TTL 缩短至 15 分钟,并配置系统在证书被撤销的瞬间自动向接入点发送 CoA 断开连接消息。

考官评语: 这凸显了一个关键的区别:撤销凭据可以阻止未来的身份验证,但要终止活动会话则需要 CoA。该解决方案同时解决了缓存时效和活动会话终止的问题。

练习题

Q1. 您正在审计一家零售连锁店的离职流程。他们对员工 WiFi 使用单一的共享 WPA2 密码。他们声称“每季度”轮换一次密码。这是否符合 ISO 27001 关于撤销访问权限的要求?

提示:考虑员工离职与下一次季度轮换之间的时间差。

查看标准答案

不,这不符合 ISO 27001 的要求。ISO 27001 附录 A 控制项 A.9.2.6 要求在终止雇佣时立即取消访问权限。季度轮换留下了长达三个月的漏洞窗口,在此期间前员工仍持有有效凭据。该连锁店必须转向基于用户的凭据(iPSK802.1X)以实现立即撤销。

Q2. 一家医院需要保障其 WiFi 网络上医疗物联网(IoT)设备的安全。这些设备无法支持 802.1X 证书。他们如何实现针对每个设备的撤销?

提示:哪种协议在单个 SSID 上提供唯一的密码?

查看标准答案

医院应部署身份预共享密钥(iPSK)。这允许每个医疗物联网设备拥有自己唯一的 WPA2 密码。如果某个设备报废或遭到入侵,IT 部门可以从 RADIUS 服务器中删除该特定密钥,从而在不影响网络上任何其他设备的情况下撤销其访问权限。

Q3. 您的组织使用 SCIM 将 Google Workspace 连接到 Purple. 一名员工被解雇,其 Google 账户被暂停。您需要手动删除其 WiFi 证书吗?

提示:考虑 SCIM 在身份生命周期中的作用。

查看标准答案

无需手动操作。在 Google Workspace 中暂停账户会触发 SCIM 停用事件。Purple 接收到此事件后,会自动撤销该用户的 WiFi 凭据并记录该操作,从而提供完整的审计追踪。

继续阅读本系列

三大 SSID 统领全局:访客、Passpoint 与 IoT WiFi 设置指南

本技术指南为企业级场馆实施三 SSID WiFi 设计提供了权威蓝图。它详细介绍了开放式访客 Captive Portal 的配置、自动化 Passpoint 引导以及单设备 xPSK 身份验证,以实现完全的 VLAN 隔离和零信任网络访问。

阅读指南 →

无需 Active Directory 或本地服务器的企业级 WiFi 认证

本指南阐述了如何在没有本地 Active Directory、Windows NPS 或 RADIUS 服务器的情况下,部署安全的 WPA2/3-Enterprise WiFi 认证。内容涵盖云身份提供商与 802.1X 之间的协议不匹配问题、采用 EAP-TLS 优于 PEAP-MSCHAPv2 的理由,以及如何针对 Microsoft Entra ID、Okta 或 Google Workspace 部署结合 MDM 颁发证书的云 RADIUS。专为准备淘汰本地基础设施的云优先型及重度使用 Mac/Chromebook 的组织中的 IT 负责人编写。

阅读指南 →

Google Workspace WiFi 认证:Chromebook 和 LDAP 集成

为在 Google Workspace 环境中部署安全 WiFi 的 IT 管理员提供的权威技术参考。本指南涵盖通过 Google Admin Console 为托管 Chromebook 部署 802.1X 证书、将 Google Secure LDAP 集成为 RADIUS 后端,以及针对教育、媒体和企业场所的架构决策。它提供了可操作的实施步骤、真实案例研究,并对 EAP 方法进行了直接比较,帮助团队从脆弱的共享 PSK 过渡到强大的、基于身份的网络访问控制。

阅读指南 →