一、禁用RADIUS服务器上的未用的可扩展的身份验证协议 (EAP)类型

如果你的企业正使用PEAP作为唯一的身份验证机制，一定要确保PEAP是可允许的唯一的EAP类型。

二、使用可信任的证书用于身份验证

远程身份验证拨入用户服务(RADIUS)的服务器必须要用一个数字证书进行配置，这个数字证书由一个可信任的认证授权(CA)签署，它使用的应是一个私有的或公有的CA。

三、确认服务器证书在全部客户端上的有效性和合法性

所有PEAP客户端必须确认身份验证服务器证书的合法性。如果不能确认服务器证书的合法性会损害PEAP交换的完整性。

四、在客户端上确认发布认证授权

默认情况下，Windows XP客户端信任证书存储中所有的根授权（root certificate ）认证。工作站应该加以配置使其仅选择签发服务器证书的认证授权。

五、确认身份验证服务器在客户端上的主机名

默认情况下，Windows XP PEAP请求方会接受任何用于身份验证的可信任数字证书 ，如果这种签字权被信任，就会允许一个攻击者能够模拟合法的RADIUS服务器。为了减轻这种攻击的可能性，我们需要选择“连接到这些服务器”这个选项，用来配置PEAP请求方从而确认经授权的RADIUS服务器。需要提供RADIUS服务器的名字，这个名字应与在服务器证书上得以确认的主机名相匹配。

为了满足我们推荐的这些措施，如果需要配置或者重新配置的客户端数量很大时，这可能是一件令人望而生畏的工作。我们可以利用组策略对象(GPO)来使这些设置的应用自动化。使用组策略对象编辑器，企业就可以为无线网络对象容器添加一个策略，并使用我们推荐的配置，将公司的SSID确认为一个PEAP网络。

如果能够持续一致地用这些推荐的配置来安装PEAP，PEAP就可以成为一个无线网络安全身份验证的很好的选择；如果不依照我们描述的方法来部署，企业的WLAN就会易于遭受攻击。