spinnifex
Goto Top

Auslesen des Sicherheitsschlüssels (WLAN) in Domänennetzwerk verhindern

Hallo Admins!

einige unserer Außendienstler sind mit ihren Laptops per WLAN mit dem Firmennetzwerk verbunden. Leider hat sich Microsoft ja seit Win7 einfallen lassen, dass diese unter den Eigenschaften des Netzwerks / Sicherheit angezeigt werden können. Unsere Nutzer benötigen leider Adminrechte. Das WLAN-Passwort benötigen sie aber definitiv nicht. Kann ich ihnen dennoch die Anzeige des Sicherheitsschlüssels irgendwie verunmöglichen?

Weder die Win2008-Server-Hilfe noch meine Internet-Recherche haben mich weitergebracht.

Vielen Dank im Voraus und Grüße!

Spinnifex

Content-ID: 284368

Url: https://administrator.de/forum/auslesen-des-sicherheitsschluessels-wlan-in-domaenennetzwerk-verhindern-284368.html

Ausgedruckt am: 22.12.2024 um 11:12 Uhr

117643
117643 01.10.2015 um 14:53:11 Uhr
Goto Top
Ein Administrator ist ein Administrator ist ein Administrator :P
Wenn man Adminrechte hat hat man diese, da gibts nichts zu rütteln. Sonst wären es ja keine Adminrechte.

Wieso brauchen eure Aussendienstler Adminrechte? Bzw. warum stellt Ihr eure Firmendaten per WLAN und nicht per Kabel zu Verfügung?
114757
114757 01.10.2015 aktualisiert um 15:07:03 Uhr
Goto Top
Moin Spinnifex,
Zitat von @spinnifex:
Kann ich ihnen dennoch die Anzeige des Sicherheitsschlüssels irgendwie verunmöglichen?
Nein, als Admin kommst du immer an das Passwort.

Ein WLAN in einer Firma sollte aber grundsätzlich per Radius abgesichert werden, dann sind WPA-Passphrases obsolet - alles andere ist ein sicherheitstechnischer GAU und das machen nur Anfänger ... Denn, kommt ein Lappi mal abhanden, ist der Schlüssel kompromittiert und du musst dann alle Clients anpacken und die Passphrase neu setzen, blöd nicht ... ?!

Liest du hier das Tutorial von Aqui: Sichere WLAN-Benutzer Authentisierung über Radius
Dann wird das auch was handfestes.

Gruß jodel32
spinnifex
spinnifex 01.10.2015 um 15:15:52 Uhr
Goto Top
ein Domänen-Admin ist also ein BackUp-Admin, ist also ein ...-Admin? Aha.
spinnifex
spinnifex 01.10.2015 aktualisiert um 15:31:13 Uhr
Goto Top
Moin jodel,

Danke für Deine Hinweise, wenn ich sie auch nicht für vollständig zutreffend halte. Sicher ist Radius ein gute Lösung. Der dafür notwendige Aufwand ist im Moment leider noch nicht zu finanzieren. Deine Befürchtungen bezüglich Kompromittierung treffen aber insofern nicht zu, weil die Schleppis (wie auch die Tischbewohner) mit CompuSec gesichert sind und so selbst bei physikalischem Zugriff auf die Geräte ein Auslesen irgendwelcher Daten ziemlich unmöglich ist.

Gibt's nicht irgendeinen RegKey, der schon die Anzeige der entsprechenden Optionen unterbindet? Mir ist klar, dass Admin-Rechte u.U. genügen das wieder zu überschreiben, aber dazu muss man dann schon wissen wie...

Grüße Spinnifex
114757
114757 01.10.2015 aktualisiert um 15:43:49 Uhr
Goto Top
Der dafür notwendige Aufwand ist im Moment leider noch nicht zu finanzieren.
face-big-smile Nö, das lässt sich gut und gern für 0€ realisieren, Steht und fällt eher mit Wissen des Admins face-wink
spinnifex
spinnifex 01.10.2015 um 15:56:21 Uhr
Goto Top
Danke jodel,

dies war nur der zweite Hinweis, dass ich unwissend und Anfänger bin. Leider ignorierst Du dabei die Tatsache, dass auch Arbeitszeit Geld kostet. Bitte! Können wir uns auf's Thema konzentrieren?

Dankeschön!
rzlbrnft
rzlbrnft 01.10.2015 um 16:05:19 Uhr
Goto Top
Dein Thema war doch oben schon beantwortet. Geht nicht. Admins können das immer.

jodel war nur so freundlich und hat dir eine bessere Lösung angeboten.

Das geht übrigens auch mit Server 2008, wenn du das ja eh schon im Einsatz hast.
http://andrewbevitt.com/tutorials/dd-wrt-radius-authentication-w-server ...
(Der Webserver der Seite spinnt ab und zu, einfach aktualisieren dann kommts schon.)

Das Tutorial benutzt DDWRT, sollte analog dazu aber mit jedem anderen Access Point der nicht grade aus dem Aldi kommt funktionieren.
119944
119944 01.10.2015 aktualisiert um 16:34:14 Uhr
Goto Top
Moin,

wie die Kollegen schon gesagt haben wäre Radius hier das Mittel der Wahl!

Infos dazu findest du hier mit Anleitungen problemlos im Forum:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Ubuntu 14.04 - 16.04 - 18.04 - 20.04 LTS Server - Freeradius mit AD-Anbindung
Netzwerk Management Server mit Raspberry Pi

VG
Val
117643
117643 01.10.2015 um 16:22:43 Uhr
Goto Top
Windows 7 - WLAN entschlüsselung ausblenden

Da wurde das Thema auch schon behandelt und auch dort war kein Registry.Key bekannt mit dem sich das verhindern lässt... face-confused
colinardo
Lösung colinardo 01.10.2015, aktualisiert am 03.10.2015 um 19:51:11 Uhr
Goto Top
Hallo zusammen,
ich schließe mich meinen Vorrednern an. Radius ist das Mittel der Wahl !

Aber um zum Wunsch des TO zurück zu kommen. Wenn es nur darum geht im Dialog "Drahtlosnetzwerkeigenschaften" unter Windows 7 den Key auszublenden, das lässt sich mit einem kleinen AutoIT Skript erledigen das permanent unsichtbar im Hintergrund läuft und darauf wartet das der Dialog angezeigt wird. Ist das der Fall blendet es das Edit-Control und die Checkbox aus:
In diesem Fall für ein deutsches Windows 7
#NoTrayIcon
AutoItSetOption("WinWaitDelay",50)  
while 1
	$win = WinWait("[TITLE:Eigenschaften für Drahtlosnetzwerk;CLASS:#32770]","S&icherheitsschlüssel")  
	ControlHide($win,"S&icherheitsschlüssel","Edit2")  
	;ControlHide($win,"S&icherheitsschlüssel","Edit1")  
	ControlHide($win,"S&icherheitsschlüssel","Button1")  
wend
Wer's ausprobieren will: hide_windows7_wifi_password_284368.exe (Der Prozess läuft im Hintergrund ohne irgendwelche GUI, zum Beenden Task im Taskmanager abschießen. GARANTIERT VIRENFREI)
Sicher kann der Benutzer wenn er denn Bescheid weiß den Prozess abschießen, aber als Admin kann er wie gesagt wurde, auch noch ganz andere Sachen ... das hält nur absolute Noobs davon ab an den Schlüssel zu gelangen.

Grüße Uwe
spinnifex
spinnifex 03.10.2015 um 19:53:44 Uhr
Goto Top
Hallo Uwe,

herzlichen Dank für diesen Vorschlag! Es geht tatsächlich nur darum, den von Win7 so offensichtlich angelegten Weg (zugegeben: scheinbar) zu blockieren. Dazu werde ich natürllich den Prozess etwas umbenennen und hoffen, dass das wenigstens eine Weile funktioniert. Denn das gibt mir die Zeit in Ruhe RADIUS zu installieren (und hoffentlich auch das okay vom Schatzmeister zwecks Aufwand zu bekommen face-wink und bis dahin den Flurfunk zum Thema Passwörter ein wenig zu stören.

Schönes Wochenende noch und Grüße

Spinnifex