11
Auslesen des Sicherheitsschlüssels (WLAN) in Domänennetzwerk verhindern
Hallo Admins!
einige unserer Außendienstler sind mit ihren Laptops per WLAN mit dem Firmennetzwerk verbunden. Leider hat sich Microsoft ja seit Win7 einfallen lassen, dass diese unter den Eigenschaften des Netzwerks / Sicherheit angezeigt werden können. Unsere Nutzer benötigen leider Adminrechte. Das WLAN-Passwort benötigen sie aber definitiv nicht. Kann ich ihnen dennoch die Anzeige des Sicherheitsschlüssels irgendwie verunmöglichen?
Weder die Win2008-Server-Hilfe noch meine Internet-Recherche haben mich weitergebracht.
Vielen Dank im Voraus und Grüße!
Spinnifex
einige unserer Außendienstler sind mit ihren Laptops per WLAN mit dem Firmennetzwerk verbunden. Leider hat sich Microsoft ja seit Win7 einfallen lassen, dass diese unter den Eigenschaften des Netzwerks / Sicherheit angezeigt werden können. Unsere Nutzer benötigen leider Adminrechte. Das WLAN-Passwort benötigen sie aber definitiv nicht. Kann ich ihnen dennoch die Anzeige des Sicherheitsschlüssels irgendwie verunmöglichen?
Weder die Win2008-Server-Hilfe noch meine Internet-Recherche haben mich weitergebracht.
Vielen Dank im Voraus und Grüße!
Spinnifex
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 284368
Url: https://administrator.de/contentid/284368
Ausgedruckt am: 22.11.2024 um 05:11 Uhr
11 Kommentare
Neuester Kommentar
Ein Administrator ist ein Administrator ist ein Administrator :P
Wenn man Adminrechte hat hat man diese, da gibts nichts zu rütteln. Sonst wären es ja keine Adminrechte.
Wieso brauchen eure Aussendienstler Adminrechte? Bzw. warum stellt Ihr eure Firmendaten per WLAN und nicht per Kabel zu Verfügung?
Wenn man Adminrechte hat hat man diese, da gibts nichts zu rütteln. Sonst wären es ja keine Adminrechte.
Wieso brauchen eure Aussendienstler Adminrechte? Bzw. warum stellt Ihr eure Firmendaten per WLAN und nicht per Kabel zu Verfügung?
Moin Spinnifex,
Ein WLAN in einer Firma sollte aber grundsätzlich per Radius abgesichert werden, dann sind WPA-Passphrases obsolet - alles andere ist ein sicherheitstechnischer GAU und das machen nur Anfänger ... Denn, kommt ein Lappi mal abhanden, ist der Schlüssel kompromittiert und du musst dann alle Clients anpacken und die Passphrase neu setzen, blöd nicht ... ?!
Liest du hier das Tutorial von Aqui: Sichere WLAN-Benutzer Authentisierung über Radius
Dann wird das auch was handfestes.
Gruß jodel32
Zitat von @spinnifex:
Kann ich ihnen dennoch die Anzeige des Sicherheitsschlüssels irgendwie verunmöglichen?
Nein, als Admin kommst du immer an das Passwort.Kann ich ihnen dennoch die Anzeige des Sicherheitsschlüssels irgendwie verunmöglichen?
Ein WLAN in einer Firma sollte aber grundsätzlich per Radius abgesichert werden, dann sind WPA-Passphrases obsolet - alles andere ist ein sicherheitstechnischer GAU und das machen nur Anfänger ... Denn, kommt ein Lappi mal abhanden, ist der Schlüssel kompromittiert und du musst dann alle Clients anpacken und die Passphrase neu setzen, blöd nicht ... ?!
Liest du hier das Tutorial von Aqui: Sichere WLAN-Benutzer Authentisierung über Radius
Dann wird das auch was handfestes.
Gruß jodel32
1
ein Domänen-Admin ist also ein BackUp-Admin, ist also ein ...-Admin? Aha.
Moin jodel,
Danke für Deine Hinweise, wenn ich sie auch nicht für vollständig zutreffend halte. Sicher ist Radius ein gute Lösung. Der dafür notwendige Aufwand ist im Moment leider noch nicht zu finanzieren. Deine Befürchtungen bezüglich Kompromittierung treffen aber insofern nicht zu, weil die Schleppis (wie auch die Tischbewohner) mit CompuSec gesichert sind und so selbst bei physikalischem Zugriff auf die Geräte ein Auslesen irgendwelcher Daten ziemlich unmöglich ist.
Gibt's nicht irgendeinen RegKey, der schon die Anzeige der entsprechenden Optionen unterbindet? Mir ist klar, dass Admin-Rechte u.U. genügen das wieder zu überschreiben, aber dazu muss man dann schon wissen wie...
Grüße Spinnifex
Danke für Deine Hinweise, wenn ich sie auch nicht für vollständig zutreffend halte. Sicher ist Radius ein gute Lösung. Der dafür notwendige Aufwand ist im Moment leider noch nicht zu finanzieren. Deine Befürchtungen bezüglich Kompromittierung treffen aber insofern nicht zu, weil die Schleppis (wie auch die Tischbewohner) mit CompuSec gesichert sind und so selbst bei physikalischem Zugriff auf die Geräte ein Auslesen irgendwelcher Daten ziemlich unmöglich ist.
Gibt's nicht irgendeinen RegKey, der schon die Anzeige der entsprechenden Optionen unterbindet? Mir ist klar, dass Admin-Rechte u.U. genügen das wieder zu überschreiben, aber dazu muss man dann schon wissen wie...
Grüße Spinnifex
Der dafür notwendige Aufwand ist im Moment leider noch nicht zu finanzieren.
Nö, das lässt sich gut und gern für 0€ realisieren, Steht und fällt eher mit Wissen des Admins 
1
Danke jodel,
dies war nur der zweite Hinweis, dass ich unwissend und Anfänger bin. Leider ignorierst Du dabei die Tatsache, dass auch Arbeitszeit Geld kostet. Bitte! Können wir uns auf's Thema konzentrieren?
Dankeschön!
dies war nur der zweite Hinweis, dass ich unwissend und Anfänger bin. Leider ignorierst Du dabei die Tatsache, dass auch Arbeitszeit Geld kostet. Bitte! Können wir uns auf's Thema konzentrieren?
Dankeschön!
Dein Thema war doch oben schon beantwortet. Geht nicht. Admins können das immer.
jodel war nur so freundlich und hat dir eine bessere Lösung angeboten.
Das geht übrigens auch mit Server 2008, wenn du das ja eh schon im Einsatz hast.
http://andrewbevitt.com/tutorials/dd-wrt-radius-authentication-w-server ...
(Der Webserver der Seite spinnt ab und zu, einfach aktualisieren dann kommts schon.)
Das Tutorial benutzt DDWRT, sollte analog dazu aber mit jedem anderen Access Point der nicht grade aus dem Aldi kommt funktionieren.
jodel war nur so freundlich und hat dir eine bessere Lösung angeboten.
Das geht übrigens auch mit Server 2008, wenn du das ja eh schon im Einsatz hast.
http://andrewbevitt.com/tutorials/dd-wrt-radius-authentication-w-server ...
(Der Webserver der Seite spinnt ab und zu, einfach aktualisieren dann kommts schon.)
Das Tutorial benutzt DDWRT, sollte analog dazu aber mit jedem anderen Access Point der nicht grade aus dem Aldi kommt funktionieren.
Moin,
wie die Kollegen schon gesagt haben wäre Radius hier das Mittel der Wahl!
Infos dazu findest du hier mit Anleitungen problemlos im Forum:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Ubuntu 14.04 - 16.04 - 18.04 - 20.04 LTS Server - Freeradius mit AD-Anbindung
Netzwerk Management Server mit Raspberry Pi
VG
Val
wie die Kollegen schon gesagt haben wäre Radius hier das Mittel der Wahl!
Infos dazu findest du hier mit Anleitungen problemlos im Forum:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Ubuntu 14.04 - 16.04 - 18.04 - 20.04 LTS Server - Freeradius mit AD-Anbindung
Netzwerk Management Server mit Raspberry Pi
VG
Val
Windows 7 - WLAN entschlüsselung ausblenden
Da wurde das Thema auch schon behandelt und auch dort war kein Registry.Key bekannt mit dem sich das verhindern lässt...
Da wurde das Thema auch schon behandelt und auch dort war kein Registry.Key bekannt mit dem sich das verhindern lässt...
Hallo zusammen,
ich schließe mich meinen Vorrednern an. Radius ist das Mittel der Wahl !
Aber um zum Wunsch des TO zurück zu kommen. Wenn es nur darum geht im Dialog "Drahtlosnetzwerkeigenschaften" unter Windows 7 den Key auszublenden, das lässt sich mit einem kleinen AutoIT Skript erledigen das permanent unsichtbar im Hintergrund läuft und darauf wartet das der Dialog angezeigt wird. Ist das der Fall blendet es das Edit-Control und die Checkbox aus:
In diesem Fall für ein deutsches Windows 7
Wer's ausprobieren will: hide_windows7_wifi_password_284368.exe (Der Prozess läuft im Hintergrund ohne irgendwelche GUI, zum Beenden Task im Taskmanager abschießen. GARANTIERT VIRENFREI)
Sicher kann der Benutzer wenn er denn Bescheid weiß den Prozess abschießen, aber als Admin kann er wie gesagt wurde, auch noch ganz andere Sachen ... das hält nur absolute Noobs davon ab an den Schlüssel zu gelangen.
Grüße Uwe
ich schließe mich meinen Vorrednern an. Radius ist das Mittel der Wahl !
Aber um zum Wunsch des TO zurück zu kommen. Wenn es nur darum geht im Dialog "Drahtlosnetzwerkeigenschaften" unter Windows 7 den Key auszublenden, das lässt sich mit einem kleinen AutoIT Skript erledigen das permanent unsichtbar im Hintergrund läuft und darauf wartet das der Dialog angezeigt wird. Ist das der Fall blendet es das Edit-Control und die Checkbox aus:
In diesem Fall für ein deutsches Windows 7
#NoTrayIcon
AutoItSetOption("WinWaitDelay",50)
while 1
$win = WinWait("[TITLE:Eigenschaften für Drahtlosnetzwerk;CLASS:#32770]","S&icherheitsschlüssel")
ControlHide($win,"S&icherheitsschlüssel","Edit2")
;ControlHide($win,"S&icherheitsschlüssel","Edit1")
ControlHide($win,"S&icherheitsschlüssel","Button1")
wendSicher kann der Benutzer wenn er denn Bescheid weiß den Prozess abschießen, aber als Admin kann er wie gesagt wurde, auch noch ganz andere Sachen ... das hält nur absolute Noobs davon ab an den Schlüssel zu gelangen.
Grüße Uwe
2
Hallo Uwe,
herzlichen Dank für diesen Vorschlag! Es geht tatsächlich nur darum, den von Win7 so offensichtlich angelegten Weg (zugegeben: scheinbar) zu blockieren. Dazu werde ich natürllich den Prozess etwas umbenennen und hoffen, dass das wenigstens eine Weile funktioniert. Denn das gibt mir die Zeit in Ruhe RADIUS zu installieren (und hoffentlich auch das okay vom Schatzmeister zwecks Aufwand zu bekommen und bis dahin den Flurfunk zum Thema Passwörter ein wenig zu stören.
Schönes Wochenende noch und Grüße
Spinnifex
herzlichen Dank für diesen Vorschlag! Es geht tatsächlich nur darum, den von Win7 so offensichtlich angelegten Weg (zugegeben: scheinbar) zu blockieren. Dazu werde ich natürllich den Prozess etwas umbenennen und hoffen, dass das wenigstens eine Weile funktioniert. Denn das gibt mir die Zeit in Ruhe RADIUS zu installieren (und hoffentlich auch das okay vom Schatzmeister zwecks Aufwand zu bekommen
und bis dahin den Flurfunk zum Thema Passwörter ein wenig zu stören.Schönes Wochenende noch und Grüße
Spinnifex
