spinnifex
Goto Top

Auslesen des Sicherheitsschlüssels (WLAN) in Domänennetzwerk verhindern

Hallo Admins!

einige unserer Außendienstler sind mit ihren Laptops per WLAN mit dem Firmennetzwerk verbunden. Leider hat sich Microsoft ja seit Win7 einfallen lassen, dass diese unter den Eigenschaften des Netzwerks / Sicherheit angezeigt werden können. Unsere Nutzer benötigen leider Adminrechte. Das WLAN-Passwort benötigen sie aber definitiv nicht. Kann ich ihnen dennoch die Anzeige des Sicherheitsschlüssels irgendwie verunmöglichen?

Weder die Win2008-Server-Hilfe noch meine Internet-Recherche haben mich weitergebracht.

Vielen Dank im Voraus und Grüße!

Spinnifex

Content-Key: 284368

Url: https://administrator.de/contentid/284368

Printed on: February 27, 2024 at 22:02 o'clock

Mitglied: 117643
117643 Oct 01, 2015 at 12:53:11 (UTC)
Goto Top
Ein Administrator ist ein Administrator ist ein Administrator :P
Wenn man Adminrechte hat hat man diese, da gibts nichts zu rütteln. Sonst wären es ja keine Adminrechte.

Wieso brauchen eure Aussendienstler Adminrechte? Bzw. warum stellt Ihr eure Firmendaten per WLAN und nicht per Kabel zu Verfügung?
Mitglied: 114757
114757 Oct 01, 2015 updated at 13:07:03 (UTC)
Goto Top
Moin Spinnifex,
Zitat von @spinnifex:
Kann ich ihnen dennoch die Anzeige des Sicherheitsschlüssels irgendwie verunmöglichen?
Nein, als Admin kommst du immer an das Passwort.

Ein WLAN in einer Firma sollte aber grundsätzlich per Radius abgesichert werden, dann sind WPA-Passphrases obsolet - alles andere ist ein sicherheitstechnischer GAU und das machen nur Anfänger ... Denn, kommt ein Lappi mal abhanden, ist der Schlüssel kompromittiert und du musst dann alle Clients anpacken und die Passphrase neu setzen, blöd nicht ... ?!

Liest du hier das Tutorial von Aqui: Sichere WLAN-Benutzer Authentisierung über Radius
Dann wird das auch was handfestes.

Gruß jodel32
Member: spinnifex
spinnifex Oct 01, 2015 at 13:15:52 (UTC)
Goto Top
ein Domänen-Admin ist also ein BackUp-Admin, ist also ein ...-Admin? Aha.
Member: spinnifex
spinnifex Oct 01, 2015 updated at 13:31:13 (UTC)
Goto Top
Moin jodel,

Danke für Deine Hinweise, wenn ich sie auch nicht für vollständig zutreffend halte. Sicher ist Radius ein gute Lösung. Der dafür notwendige Aufwand ist im Moment leider noch nicht zu finanzieren. Deine Befürchtungen bezüglich Kompromittierung treffen aber insofern nicht zu, weil die Schleppis (wie auch die Tischbewohner) mit CompuSec gesichert sind und so selbst bei physikalischem Zugriff auf die Geräte ein Auslesen irgendwelcher Daten ziemlich unmöglich ist.

Gibt's nicht irgendeinen RegKey, der schon die Anzeige der entsprechenden Optionen unterbindet? Mir ist klar, dass Admin-Rechte u.U. genügen das wieder zu überschreiben, aber dazu muss man dann schon wissen wie...

Grüße Spinnifex
Mitglied: 114757
114757 Oct 01, 2015 updated at 13:43:49 (UTC)
Goto Top
Der dafür notwendige Aufwand ist im Moment leider noch nicht zu finanzieren.
face-big-smile Nö, das lässt sich gut und gern für 0€ realisieren, Steht und fällt eher mit Wissen des Admins face-wink
Member: spinnifex
spinnifex Oct 01, 2015 at 13:56:21 (UTC)
Goto Top
Danke jodel,

dies war nur der zweite Hinweis, dass ich unwissend und Anfänger bin. Leider ignorierst Du dabei die Tatsache, dass auch Arbeitszeit Geld kostet. Bitte! Können wir uns auf's Thema konzentrieren?

Dankeschön!
Member: rzlbrnft
rzlbrnft Oct 01, 2015 at 14:05:19 (UTC)
Goto Top
Dein Thema war doch oben schon beantwortet. Geht nicht. Admins können das immer.

jodel war nur so freundlich und hat dir eine bessere Lösung angeboten.

Das geht übrigens auch mit Server 2008, wenn du das ja eh schon im Einsatz hast.
http://andrewbevitt.com/tutorials/dd-wrt-radius-authentication-w-server ...
(Der Webserver der Seite spinnt ab und zu, einfach aktualisieren dann kommts schon.)

Das Tutorial benutzt DDWRT, sollte analog dazu aber mit jedem anderen Access Point der nicht grade aus dem Aldi kommt funktionieren.
Mitglied: 119944
119944 Oct 01, 2015 updated at 14:34:14 (UTC)
Goto Top
Moin,

wie die Kollegen schon gesagt haben wäre Radius hier das Mittel der Wahl!

Infos dazu findest du hier mit Anleitungen problemlos im Forum:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Ubuntu 14.04 - 16.04 - 18.04 - 20.04 LTS Server - Freeradius mit AD-Anbindung
Netzwerk Management Server mit Raspberry Pi

VG
Val
Mitglied: 117643
117643 Oct 01, 2015 at 14:22:43 (UTC)
Goto Top
Windows 7 - WLAN entschlüsselung ausblenden

Da wurde das Thema auch schon behandelt und auch dort war kein Registry.Key bekannt mit dem sich das verhindern lässt... face-confused
Member: colinardo
Solution colinardo Oct 01, 2015, updated at Oct 03, 2015 at 17:51:11 (UTC)
Goto Top
Hallo zusammen,
ich schließe mich meinen Vorrednern an. Radius ist das Mittel der Wahl !

Aber um zum Wunsch des TO zurück zu kommen. Wenn es nur darum geht im Dialog "Drahtlosnetzwerkeigenschaften" unter Windows 7 den Key auszublenden, das lässt sich mit einem kleinen AutoIT Skript erledigen das permanent unsichtbar im Hintergrund läuft und darauf wartet das der Dialog angezeigt wird. Ist das der Fall blendet es das Edit-Control und die Checkbox aus:
In diesem Fall für ein deutsches Windows 7
#NoTrayIcon
AutoItSetOption("WinWaitDelay",50)  
while 1
	$win = WinWait("[TITLE:Eigenschaften für Drahtlosnetzwerk;CLASS:#32770]","S&icherheitsschlüssel")  
	ControlHide($win,"S&icherheitsschlüssel","Edit2")  
	;ControlHide($win,"S&icherheitsschlüssel","Edit1")  
	ControlHide($win,"S&icherheitsschlüssel","Button1")  
wend
Wer's ausprobieren will: hide_windows7_wifi_password_284368.exe (Der Prozess läuft im Hintergrund ohne irgendwelche GUI, zum Beenden Task im Taskmanager abschießen. GARANTIERT VIRENFREI)
Sicher kann der Benutzer wenn er denn Bescheid weiß den Prozess abschießen, aber als Admin kann er wie gesagt wurde, auch noch ganz andere Sachen ... das hält nur absolute Noobs davon ab an den Schlüssel zu gelangen.

Grüße Uwe
Member: spinnifex
spinnifex Oct 03, 2015 at 17:53:44 (UTC)
Goto Top
Hallo Uwe,

herzlichen Dank für diesen Vorschlag! Es geht tatsächlich nur darum, den von Win7 so offensichtlich angelegten Weg (zugegeben: scheinbar) zu blockieren. Dazu werde ich natürllich den Prozess etwas umbenennen und hoffen, dass das wenigstens eine Weile funktioniert. Denn das gibt mir die Zeit in Ruhe RADIUS zu installieren (und hoffentlich auch das okay vom Schatzmeister zwecks Aufwand zu bekommen face-wink und bis dahin den Flurfunk zum Thema Passwörter ein wenig zu stören.

Schönes Wochenende noch und Grüße

Spinnifex