Windows 11 поддерживает новейший стандарт беспроводных технологий от WFA (Wi-Fi Alliance), включая Wi-Fi 6, Wi-Fi 7 и WPA3. Wi-Fi 6 — это шестое поколение Wi-Fi, которое повышает эффективность, гибкость и масштабируемость, обеспечивая более высокую скорость и емкость для современных приложений. Wi-Fi 7 — это последнее поколение, которое обещает еще более высокую скорость и улучшенную задержку, емкость сети и общую стабильность. WPA3 — это последний стандарт безопасности, который повышает безопасность Wi-Fi, предлагая такие функции, как более надежная проверка подлинности и повышенная криптографическая надежность.
Эти достижения в области технологий и безопасности Wi-Fi предназначены для поддержки растущего спроса на беспроводное подключение в различных средах, от дома до крупных предприятий, обеспечивая лучшее и более безопасное взаимодействие с пользователем.
Чтобы воспользоваться преимуществами повышенной производительности, охвата и безопасности, вам потребуется следующее:
-
Маршрутизатор, поддерживающий Wi-Fi 7, Wi-Fi 6/6E и (или) WPA3. Узнать, поддерживает ли маршрутизатор этот протокол, можно из прилагавшейся к нему документации или на веб-сайте изготовителя. Если вы планируете приобрести новый маршрутизатор, найдите метку Wi-Fi 7 для последних функций Wi-Fi.
-
Windows 11, установленных на компьютере. Чтобы проверка и убедиться, что установлены последние обновления для Windows 11, нажмите кнопку Пуск, а затем выберите Параметры > клиентский компонент Центра обновления Windows > Проверить наличие обновлений.
Примечание: Wi-Fi 7 доступна начиная с Windows 11 версии 24H2.
-
Адаптер беспроводной сети, поддерживающий Wi-Fi 7, Wi-Fi 6/6E и (или) WPA3. Узнать, поддерживает ли ваш компьютер эту функцию, можно из прилагавшейся к компьютеру документации или на веб-сайте производителя компьютера.
Совет: Вы также можете проверка, чтобы узнать, что поддерживает сетевой адаптер, открыв командную строку (или терминал), а затем введя команду netsh wlan show drivers. Посмотрите рядом с разделом Поддерживаемые типы радиосвязи и проверьте, включает ли он 802.11be (для Wi-Fi 7) или 802.11ax (для Wi-Fi 6/6e), а также просмотритераздел Проверка подлинности и шифр, поддерживаемые в режиме инфраструктуры , и проверьте, включает ли он WPA3 Personal и WPA3 Enterprise.
Wi-Fi 7
Wi-Fi 7, также известный как IEEE 802.11be Extremely High Throughput (EHT), — это новейшая технология Wi-Fi, которая обеспечивает беспрецедентную скорость, надежность и эффективность для беспроводных устройств.
Вот некоторые из новых функций Wi-Fi 7:
-
Многоканейная операция (MLO) позволяет устройствам использовать несколько диапазонов (2,4 ГГц, 5 ГГц и/или 6 ГГц) одновременно, чтобы избежать перегрузки сети и поддерживать подключение.
Совет: После подключения вы можете узнать, поддерживается ли многоканальное подключение, выбрав Параметры > Сеть & Интернет > свойства Wi-Fi > (ваша сеть) и проверив значение рядом с пунктом Сетевой диапазон (канал) . Если отображается несколько диапазонов (например, 5 ГГц и 6 ГГц или 2,4 ГГц и 5 ГГц), то поддерживается MLO.
-
Сверхширокая пропускная способность 320 МГц в диапазоне 6 ГГц удваивает скорость устройств и предоставляет новые возможности для приложений и сценариев с высокой пропускной способностью, таких как AR/VR.
-
Модуляция 4096-QAM увеличивает передачу данных на 20 % и улучшает качество потоковой передачи видео, видеоконференций и т. д.
Благодаря Wi-Fi 7 вы можете пользоваться несколькими гигабитными скоростями на компьютере с Windows и работать до 4 раз быстрее, чем Wi-Fi 6 и Wi-Fi 6E, и почти в 6 раз быстрее, чем Wi-Fi 5. Вы также можете пользоваться значительно меньшей задержкой, что повышает скорость реагирования и производительность действий в режиме реального времени, таких как игры и видеоконференции. Обратите внимание, что производительность может отличаться в зависимости от возможностей производителя и оборудования устройства.
Примечание: Wi-Fi 7 (Enterprise) в настоящее время не поддерживается в Windows 11.
Wi-Fi 6/6E
Wi-Fi 6, также известный как IEEE 802.11ax High Efficiency (HE), является шестым поколением стандарта Wi-Fi. Она обеспечивает ряд улучшений беспроводных сетей (WLAN) и предназначена для повышения производительности, эффективности и масштабируемости.
Вот некоторые из новых функций Wi-Fi 6:
-
Многопользовательские передачи с несколькими входами, множественными выходными данными (MU-MIMO), что позволяет нескольким устройствам взаимодействовать одновременно.
-
Удвоение потенциальной пропускной способности с четырех потоков до восьми потоков.
-
Модуляция 1024-QAM для включения трансляции до восьми потоков пространственных данных.
Кроме того, Wi-Fi 6E расширяет поддержку Wi-Fi 6 до диапазона 6 ГГц. Он открывает сверхширокие каналы данных, предоставляя дополнительный спектр для более быстрых и надежных подключений в менее переполненном спектре.
Благодаря Wi-Fi 6/6E вы можете пользоваться повышенной скоростью, емкостью и эффективностью, что делает его идеальным для современных приложений и лучшего общего Wi-Fi опыта.
WPA3
Основываясь на широком внедрении WPA2 на протяжении более десяти лет, WPA3 — это последнее поколение безопасности Wi-Fi от WFA, предлагающее множество функций для упрощения Wi-Fi безопасности, обеспечения более надежной проверки подлинности и обеспечения повышенной надежности шифрования для рынков с высоким уровнем конфиденциальности данных. Дополнительные сведения см. на веб-сайте WFA.
-
WPA3-Personal — это более устойчивая проверка подлинности на основе пароля, даже если пользователи выбирают пароли, которые не соответствуют стандартным рекомендациям по сложности.
Совет: Если у вас есть WPA2 и точка доступа WPA3 (точка доступа), компьютер сначала попытается подключиться с помощью WPA3-Personal, автоматически обновив существующую конфигурацию WPA2-Personal. Для беспроблемного перемещения между WPA2 и WPA3 требуется адаптер беспроводной сети, поддерживающий перекрестный роуминг, если часть вашей сети еще не совместима с WPA3.
-
WPA3-Enterprise основан на WPA2-Enterprise, предоставляя дополнительное требование использования защищенных кадров управления для всех подключений WPA3 с 802.1X для проверки подлинности пользователей на сервере RADIUS.
-
WPA-Enterprise (192 бит) обеспечивает эквивалент 192-разрядной криптографической надежности, обеспечивая дополнительную защиту сетей, передающих конфиденциальные данные, такие как правительственные или финансовые.
More info if needed:
using a Latitude 5410 laptop
Microsoft post:
I’m having an issue connecting my Windows 10 and 11 devices to my WPA3 Enterprise network. Both WPA2 Enterprise and WPA3 work fine, but with WPA3 Enterprise, after entering my domain user credentials, I get an error saying «Can’t connect because the sign-in requirements for your device and network aren’t compatible. Contact your IT person.» I am the IT person, but I cannot figure out what’s causing the issue with Windows devices and WPA3 ENT. Apple’s OS works fine with WPA3 Ent, so could it be a driver issue, certificate issue, or the recent April patch not yet mature enough for a fix? I appreciate any answers or theories.
The sign-in requirements are PEAP and MS-CHAP v2.
I am using Windows server 2019 for my domain controller and NPS/CA server
I am Using a Net gear switch, Netgate SG 3100 as a dhcp server, Net gear insight AXE 7800 as the wireless AP.
Also, When I checked event viewer on my NPS server the code 6273 ,error code 22 states that it denied the user access into the domain.
It’s configured just like my WPA 2 Enterprise profile and WPA2 ENT works just fine.
WPA3 Enterprise
This thread has been viewed 53 times
-
1.
WPA3 EnterprisePosted Apr 24, 2020 08:33 AM
Deploying WPA3 Enterprise is confuzing.
Windows 10 does not have a WPA3 Enterprise option. There are some documents showing you use WPA2 Enterprise option. Windows does have a WPA3 Personal option.
Also WPA3 Enterprise has 2 encryption strengths.
I have searched everywhere trying to figure out how to tell what cipher suite is in use on a active connection. I need to know exactly what cipher is in use.
The network is IAP-305’s..
Also is there a guide, FAQ, Step by step on setting up a WPA3 Enterprise setup. I have a Freeradius WPA2 Enterprise network now.
I want the higher 192 bit encryption. I assume I need CNSA and I will need to use certs ?
-
2.
RE: WPA3 EnterprisePosted Apr 24, 2020 10:42 AM
The following Intel® Wireless Adapters support WPA3-Personal (aka WPA3-SAE) and WPA3- Enterprise on Windows® 10 (May 2019 Update).
- Intel® Wi-Fi 6 (Gig+) Desktop Kit
- Intel® Wi-Fi 6 AX201
- Intel® Wi-Fi 6 AX200
- Intel® Wireless-AC 9560
- Intel® Wireless-AC 9462
- Intel® Wireless-AC 9461
- Intel® Wireless-AC 9260
You didn’t list the type of wireless adaptor you have, but if its intel the above are the only ones that supports WPA3.
If you have one of the above models and it’s not working make sure you have the updated drives for it.
Note Intel® Wireless adapters fully support WPA3-Personal and WPA3-Enterprise using Windows® 10 (May 2019 Update). Users can connect to WPA-3 Enterprise Network with Windows(r) 10 May 2019 release when selecting the WPA2-enterprise option in the User Interface. If you have the supported wireless adaptor and the latest driver and it’s still not working, I would contact the hardware vendor for support.
-
3.
RE: WPA3 EnterprisePosted Apr 24, 2020 05:04 PM
Yes I saw that Intel post. Its almost the only thing that comes up when you google WPA3 Enterprise. The adapters are AX200’s with current drivers that show supported..
BUT also note the Itel post also says
«Users can conect to WPA-3 Enterprise Network with Windows(r) 10 May 2019 release when selecting the WPA2-enterprise option in the User Interface.»
Sooo….. Does that mean WPA3 Enterprise is not working ? Or, that it does work ?
This is one of the reasons I need to know how to look at the cipher.
WPA3 Personal works great. If I set Aruba to WAP3 Enterprize 128 and use WPA2 Enterprise ( only option on client win 10 ) then that works but I have no idea what its doing. WPA3 Enterprise 256 and CNSA don’t work currently for me because I think I need to do better config woth my Freeradius server with the EAP-TLS settings.
WHat I need is a way to know what cipher is use for a client. How do I do that ? I could do it on the Windows 10 side or the Aruba side. I cannot find any tool or way to do this. I need a minimum way to see if the connection is using 128 or 192 bits.
-
4.
RE: WPA3 EnterprisePosted Apr 26, 2020 08:50 AM
On the windows client site you can use «netsh wlan show driver» to see the supported cypher and authentication methods. My windows 10 build 1809 doesn’t support WPA3.
You can sniff some 802.11 frames with a wirelesscard that support monitor mode (most likely with linux or a wlanpi). For example a 802.11 beacon frame send out by the AP advertise his capabilities. See attachment an example with difference beacons between wpa3-personal, wpa3-enterprise 128bit, wpa3-enterprise 256bit or with CNSA.
A good starting point in your journey is to read the documents from the WiFi Alliance.
https://www.wi-fi.org/download.php?file=/sites/default/files/private/WPA3_Security_Considerations_201911.pdf
Something iam not sure about and ask myself. Is the Arubaos Advanced Cryptography licence required to do CSNA? Because SHA-384 is part of suit-B i think this is needed.
https://www.arubanetworks.com/assets/ds/DS_OS_ACR.pdf
CNSA establishes a suite of cryptographic algorithms that all
afford roughly the same level of protection: SHA384 for
hashing, NIST’s p384 elliptic curve for key establishment and
digital signatures, and AES-GCM-256 for data encryption and
authentication. With CNSA, the EAP method must be EAP-TLS
and the negotiated TLS cipher suite must exclusively use
cryptographic algorithms from the CNSA suite.Attachment(s)
Windows 10 21H1 aka Windows 10 version 2103 is the next big feature update for Windows 10 targeted at April/May 2021. This update is also known as “Iron” update.
Now, it seems that Windows 10 21H1 will bring support for the next generation of Wi-Fi encryption. Windows enthusiast Tero Alhonen has posted a code string on Twitter that shows that Windows 10 Iron will support WPA3 Enterprise 192-bit encryption.
Windows 10 Iron supports WPA3 Enterprise 192-bit pic.twitter.com/vpxzHhiEU6
— Tero Alhonen (@teroalhonen) September 2, 2020
Currently Windows 10 2004 only supports WPA3-personal mode and not the WPA3 enterprise encryption. If you check the official document now it only mentions WPA3-personal mode.
As per the Wi-Fi alliance,
The 192-bit security mode offered by WPA3-Enterprise ensures the right combination of cryptographic tools are used and sets a consistent baseline of security within a WPA3 network.
If you ever tried to deploy a W-Fi Profile that is secured by WPA3 Enterprise to Windows Clients in Intune, you probably noticed, that this is not possible using the built-in Wi-Fi Template. Don’t worry, the solution is really simple, you can configure the Wi-Fi Profile on a Client, export it and then deploy it via Custom OMA-URI Policy.
Built-in Wi-Fi Template
If you ever configured a Wi-Fi Profile in Intune, you most likely saw, that you can’t select WPA2 vs. WPA3. The only option is Basic vs. Enterprise:
If you export the resulting profile from an endpoint, you will see it automatically creates it for WPA2:
Create a WPA3 Enterprise Profile
To create a WPA3 Enterprise Wi-Fi Profile, we can simply create it manually from within Windows:
Enter the SSID and select WPA3 Enterprise:
At the last screen of the wizard, you have to modify the freshly created profile to match your configuration needs, like switch to EAP-TLS and modify the certificate selection properties.
Once the Profile is created and working, we just have to export it with the following command: (Replace the Profile Name with your selected SSID)
netsh wlan export profile <ProfileName>
Intune Configuration Profile
Lastly, we just have to create a Custom OMA-URI Configuration Profile in Intune. Use the following OMA-URI and change <SSID> with your SSID:
./Vendor/MSFT/WiFi/Profile/<SSID>/WlanXmlLet’s start with a new blank Custom profile:
Give it a Name:
Add a new Row with the OMA-URI from above and the Data type of “String (XML file) and upload the exported profile from the client:
After the usual stuff, like add Scope Tags and Assignment, we can review our settings and create the Profile.
Conclusion
While it is unfortunately not yet possible to create a WPA3 Enterprise encrypted Wi-Fi Profile in Intune directly, you fortunately create and deploy it pretty easily with the Custom OMA-URI Profile type in Intune.
Update:
If you used this custom OMA-URI Option, you may have noticed, while the Profile works just fine, the added Profile is not marked as “Added by company policy” and therefore can be deleted by any user.
I haven’t found the reason why this happens, but I have a workaround in the form of a small PowerShell script available. We just need to set the connection type in the registry for this profile. I created a small script that searches for the Profile guid using the Profile Name specified in line 2. You can find this script sample on GitHub: Scripts/WPA3-WifiProfile-AddedByCompany.ps1 at main · mmeierm/Scripts
You can deploy it using Platform or Remediation Scripts in Intune.
Once the script has done its job, the profile is now also considered as a managed profile and the user cannot delete it from the settings menu anymore.
