如果您在 Windows 11 中启用了移动热点,但希望防止连接到该热点的其他设备之间相互访问或扫描,从而避免横向渗透、ARP 欺骗或本地流量嗅探等风险,则需启用热点隔离功能。该功能通过限制客户端间的二层通信,使各设备仅能访问互联网,无法发现或连接彼此。以下是实现此目标的具体操作步骤:
一、通过设置应用启用热点隔离
Windows 11 内置的“移动热点”功能自 22H2 起支持客户端隔离(Client Isolation),该选项默认关闭,需手动开启。启用后,系统将在虚拟交换机层过滤同一热点下的设备间数据帧,阻断非网关方向的以太网通信。
1、按下 Win + I 打开“设置”应用。
2、依次点击“网络和 Internet” → “移动热点”。
3、在“共享我的 Internet 连接”下方,确保开关已打开。
4、向下滚动至“更多热点设置”区域,找到“允许其他设备使用我的 Internet 连接,但不允许它们相互连接”选项。
5、将该选项右侧的开关切换为开启状态。
二、通过注册表强制启用热点隔离(适用于设置项缺失场景)
部分 OEM 定制版或精简系统中,“移动热点”设置页可能未显示隔离开关。此时可直接修改注册表参数 HostedNetworkSettings,向 WLAN 服务注入隔离策略,该方式作用于 WlanSvc 服务启动时加载的配置结构体,优先级高于图形界面。
1、按下 Win + R,输入 regedit 并回车,以管理员权限运行注册表编辑器。
2、导航至路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WcmSvc\HostedNetworkSettings。
3、在右侧窗格中,右键空白处,选择“新建” → “DWORD (32 位) 值”,命名为 EnableClientIsolation。
4、双击该新建项,将“数值数据”设为 1,基数保持“十六进制”。
5、关闭注册表编辑器,重启“WLAN AutoConfig”服务:在 PowerShell(管理员)中执行 Restart-Service wlansvc。
三、通过 PowerShell 启用并验证隔离状态
PowerShell 提供底层命令接口,可直接调用 WLAN API 查询与设置 Hosted Network 的隔离属性。该方法支持即时验证是否生效,并兼容批量部署脚本,无需依赖 GUI 状态刷新延迟。
1、以管理员身份运行 PowerShell。
2、执行命令:netsh wlan show hostednetwork setting=security,确认当前热点已启用且无错误提示。
3、执行命令:Set-NetConnectionProfile -NetworkCategory Private,确保热点所绑定的虚拟适配器网络类别为“专用”,否则隔离策略可能被忽略。
4、执行命令:netsh wlan set hostednetwork setting=ssid “MyHotspot” key=”12345678″ keyUsage=persistent(替换为实际 SSID 与密码),重新提交配置以触发内核策略重载。
5、再次运行 netsh wlan show hostednetwork setting=security,检查输出中是否包含 Client isolation: Enabled 字样。
评论(0)