itler891
11.12.2014, aktualisiert am 13.12.2014
view17125
view12
0
Goto Top

WLAN Password anzeigen - sperren

gelöstFrageMicrosoftWindows 8
Hallo zusammen,

wir werden demnächst Windows 8.1 Clients ausrollen, diese hängen in unserem WLAN.
Leider wissen viele unsere Mitarbeiter wie man unter Windows sich das WLAN Kennwort anzeigen lassen kann.
Diese Funktion würden wir gerne sperren.
Kennt jemand vielleicht eine möglichkeit wie wir dies tun könnten, die Clients sind nicht in der Domäne.

Danke und Grüße
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 257402

Url: https://administrator.de/contentid/257402

Ausgedruckt am: 25.11.2024 um 19:11 Uhr

12 Kommentare
Neuester Kommentar
Goto Top
114757
114757 11.12.2014 aktualisiert um 15:33:25 Uhr
Goto Top
Moin,
das anzeigen verhindern wird sie nicht daran hindern in Besitz des Keys zu kommen, denn der Key lässt sich auch mit anderen Tools leicht auslesen.

Wesentlich sicherer wäre hier eine WLAN-Implementation nach 802.1x mit Radius Authentifizierung. Dann können die Leute nur mit dem WLAN-Key nicht viel anfangen denn es ist dann zusätzlich die Authentifizierung mit Benutzername und Kennwort nötig, so dass man dann fein regeln kann wer das WLAN nutzen darf! Schau dir mal die NPS Rolle auf einem Windows Server an, die bietet das gewünschte Out-Of-The-Box. Dann braucht Ihr nur noch Access-Points die WPA-Enterprise Auth unterstützen (tun heutzutage die meisten).

Gruß jodel32

speeren
kommst du aus Beelgien face-smile ?
heart1
Lochkartenstanzer
Lochkartenstanzer 11.12.2014 um 15:21:54 Uhr
Goto Top
Zitat von @ITler891:

Leider wissen viele unsere Mitarbeiter wie man unter Windows sich das WLAN Kennwort anzeigen lassen kann.

Ihr habt also lauter "Hacker" in eurem Netz?

Diese Funktion würden wir gerne sperren.

Lösch einfach die WLAN-Verbindung. Dann kann man die passphrase auch mit andern Tools nicht auslesen.

Kennt jemand vielleicht eine möglichkeit wie wir dies tun könnten, die Clients sind nicht in der Domäne.


Gastnetz aufspannen und da regelmäßg das Paßwort ändern, eine Benutzerauthentifizierung nach IEEE 802.1X einführen oder ein Ticket-System, wie es @aqui in WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion) beschreibt.

lks
aqui
aqui 11.12.2014 aktualisiert um 16:24:50 Uhr
Goto Top
Leider wissen viele unsere Mitarbeiter wie man unter Windows sich das WLAN Kennwort anzeigen lassen kann.
Leider der ganz falsche Ansatz für ein Firmennetz und zeigt dein selbstverschuldetes Dilemma !!
Schon mal was von 802.1x gehört ??
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
So löst man das heutzutage, alles andere ist doch Kasperkram, denn an den WLAN Key kommt man auch so problemlos wenn man ein WLAN so dilettantisch mit statischen Keys einrichtet. Sorry, aber so blauäugig kann man doch wohl nicht sein, oder ist das pure Unwissenheit ?
Es gibt immer einen der einen kennt der das Passwort weiss.
Mit Radius und ggf. noch einen Zertifikat schiebst du dem sicher einen Riegel vor so das du dir die andere laienhafte Fricklei sparen kannst.
Ein bequemere User Verwaltung springt da dann auch noch bei raus.
Bei dir musst du ja mit jeder Kündigung oder Wechsel den Key erneuern. Wie oft willst du denn solchen Unsinn machen und das dem Rest der Mitarbeiter zumuten ?!
Außerdem sehen sie ja auch dann wieder den Key weil du den neuen ja irgendwie ins Feld bringen musst. Vergiss sowas also besser schnell wieder !
DerWoWusste
DerWoWusste 11.12.2014 um 22:29:01 Uhr
Goto Top
Moin.

Das Kennwort kann man in Windows nur mit Adminrechten auslesen.
kaiand1
kaiand1 12.12.2014 um 16:04:54 Uhr
Goto Top
Aber es gibt Wege wo dies nunmal kein Hinderniss ist.
Sniffen ect...
Nur mit Radius Auth ist es "egal" welches Wlan PWD gesetzt ist...
DerWoWusste
DerWoWusste 12.12.2014 um 17:27:14 Uhr
Goto Top
Kaiand, wie snifft man denn sein eigenes Kennwort, nachdem sich der PC mit dem WLAN verbunden hat? Erklär mal, wie das technisch abläuft, bitte, das interessiert mich.
kaiand1
kaiand1 12.12.2014 um 17:36:41 Uhr
Goto Top
Backtrack 5 währe dafür geeigent..
Aber im Grunde brauchst du ja nur von dem PC ein Image ziehen, HDD Clonen ect und kannst darüber Adminrechte erlangen und wieder den Urzustand Herstellen ohne das die IT was merkt....
Carlss
Carlss 12.12.2014 um 18:03:14 Uhr
Goto Top
Sind das alles fest installierte Rechner? LAN währe auch stabiler....
DerWoWusste
DerWoWusste 12.12.2014 aktualisiert um 20:05:43 Uhr
Goto Top
...von dem PC ein Image ziehen, HDD Clonen ect und kannst darüber Adminrechte erlangen ...
Ok, nun verlässt Du die WLAN-Ebene. Von gesicherten Rechnern kannst Du (als Nicht-Admin) kein Image ziehen, auch nicht offline, denn diese sind immer verschlüsselt. Aber Backtrack 5? Und wie macht BT5 das vom groben Ablauf her? Wäre das nicht der selbe Aufwand wie bei einem normalen Aircrack? Ich frage deshalb, weil Radius und Konsorten schön und gut sind, ich dennoch nicht zwingend Ihre Notwendigkeit sehe, wenn man WPA2 (starkes Kennwort) nutzt und nur nicht-Admins drauf rumlaufen.

Sei's drum, ich möchte den Thread nicht unnötig ablenken. Wenn Du, Kaiand, noch was zu Backtrack5 sagen magst, dann vielleicht lieber per persönlicher Nachricht.
aqui
aqui 12.12.2014 um 19:08:40 Uhr
Goto Top
ich dennoch nicht zwingend Ihre Notwendigkeit sehe, wenn man WPA2 (starkes Kennwort) nutzt und nur nicht-Admins drauf rumlaufen.
Der Vorteil ist das du nicht ein starres statisches WLAN Passwort hast sondern individuell pro User. Auch wenn das Passwort noch so stark ist, sofern es nur ein Einziger verrät ist damit das gesamte WLAN kompromitiert !
Ist ein WPA Passwort kompomitiert gilt das generell für alle User und der Admin muss dann zwingend Hand anlegen.
Bei einer Radius Lösung ist das nicht der Fall. Das ist immer User gebunden und nutzt entweder LDAP oder das AD um die Benutzer zu authentisieren und zu verwalten was das ganze sehr vereinfacht und sicherer macht.
Der Königsweg sind dann Zertifikate für User. Dann spart man sich im WLAN die komplette User/Password Authentisierung.
Lochkartenstanzer
Lochkartenstanzer 12.12.2014 um 20:03:11 Uhr
Goto Top
Zitat von @DerWoWusste:

Das Kennwort kann man in Windows nur mit Adminrechten auslesen.

Wenn ich die Aussage des TO
... die Clients sind nicht in der Domäne.

richtig Interpretiere, sind das meine rErfahrung nach vermutlich irgendwelche Notebooks von Außendienstlern, die unter der Verwaltund der User selber stehen, die also Adminrechte haben. vermutlich scheut sich der admin, die Dinger bei jedem "Pups" selbst anfassen zu müssen.

lks
ITler891
ITler891 13.12.2014 um 16:28:56 Uhr
Goto Top
Danke für die vielen Kommentare und die Hilfe.
gelöstFrageMicrosoftWindows 8
Mehr von ITler891ITler891WSUS automatische Updates auf Windows Server 2012 R2 Pending rebootITler891 - 2 KommentareITler891Alle aktiven User per PowerShell auslesenITler891 - 1 KommentarITler8913 Bildschirme an HD6850ITler891 - 2 KommentareITler891Clonezilla image wiederherstellenITler891 - 1 Kommentar
Heiß diskutiert
superfun2k24Sophos SFOS 20 DNAT funktioniert nichtsuperfun2k24 - 26 KommentareLangaberWindows Server Sicherung Restore - MöglichkeitenLangaber - 21 KommentaremaisenkaiserSwitch ohne STP ins Netzwerkmaisenkaiser - 20 Kommentareprplemk2Testumgebung bauen (Grundlegend)prplemk2 - 19 KommentareBlitterWindows 10 u. 11 und 802.1x Netzwerk PortsecurityBlitter - 15 KommentareTJ.Hooker74Dom.Admin-Passwort ändern - Auswirkungen auf EX, HCW, AADCTJ.Hooker74 - 15 KommentaremaxMicrosoft plant für 2025 mehrere Preiserhöhungenmax - 14 KommentareleberkaeseFB7590 ISDN Fax-Funktionleberkaese - 13 KommentareUnluckyProccess1999Creo 4.0 Lizenz Server (LMTOOLS)UnluckyProccess1999 - 13 KommentareEnrixkHilfe bei Netzwerkinfrastruktur für AbschlussprojektEnrixk - 12 KommentareDaniSIP Zugangsdaten von Vodafone erhaltenDani - 12 KommentareSarekHLLegaler Einsatz vom M365 Family in Business-UmgebungSarekHL - 11 Kommentare