ribrob
Goto Top

WLAN-Profile mit PreShared-Key in Domäne verteilen - wie möglich?

Hallo Community,

folgendes Thema stellt sich uns gerade:
Wir haben mehrere Notebooks im Unternehmen und mehrere WLAN-Netzwerke. Diese Netzwerke sind alle verschlüsselt, jedes WLAN-Netzwerk soll auf den Notebooks automatisch eingetragen werden.

Ich habe schon recherchiert und getestet, allerdings noch nicht mit dem gewünschten Ergebnis...

Am besten wäre es, wenn man via Gruppenrichtlinie die Netzwerke verteilen könnte - das geht aber wohl nicht, oder?

Zweite Möglichkeit, die ich versucht habe, ist, es über netsh zu lösen. Folgendes habe ich getan:
netsh wlan export profile name=“WLAN" folder=“c:\“ (erstellt mir ein XML-File)
netsh wlan add profile filename=“WLAN.xml“ user=“all“ (legt mir das Netzwerk wieder an)
Das hat einwandfrei funktioniert, jedoch nur auf dem Notebook, welches das XML-File erstellt hat. Wenn ich dieses XML-File auf einem anderen Notebook importieren möchte, werden zwar die Netzwerke angelegt, jedoch trotzdem der Netzwerksicherheitsschlüssel verlangt. Sprich der verschlüsselte Key im XML-File scheint auf einem anderen physiches Gerät, als das Quellgerät welches das File erstellt hat, nicht zu funktionieren... Stimmt meine Annahme?

Nun kenne ich keine weitere Möglichkeit, WLAN-Netzwerke verteilen zu können und hoffe, dass ihr mir weiterhelfen könnt face-smile

Beste Grüße
ribrob

Content-ID: 357406

Url: https://administrator.de/forum/wlan-profile-mit-preshared-key-in-domaene-verteilen-wie-moeglich-357406.html

Ausgedruckt am: 24.12.2024 um 00:12 Uhr

Pjordorf
Lösung Pjordorf 07.12.2017 um 14:24:44 Uhr
Goto Top
Hallo,

Zitat von @ribrob:
Diese Netzwerke sind alle verschlüsselt
Ist eher der Standard und zu erwarten. Hoffentlich mit WPA2

Ich habe schon recherchiert und getestet, allerdings noch nicht mit dem gewünschten Ergebnis...
Dann bist du nicht über Radius gestolpert?

netsh wlan export profile name=“WLAN" folder=“c:\“ (erstellt mir ein XML-File)
Den Export mit den Parameter Key=Clear machen. Beispiel:
Selektiv : netsh wlan export profile name="AirForce_Two" key=clear folder="E:\WLANS"
Alle WLAN: netsh wlan export profile key=clear folder="E:\WLANS\win8.1"
Anstelle von E:\WLANS kannst du auch eine Freigabe nehmen.

Das hat einwandfrei funktioniert, jedoch nur auf dem Notebook, welches das XML-File erstellt hat.
OK

Sprich der verschlüsselte Key im XML-File scheint auf einem anderen physiches Gerät, als das Quellgerät welches das File erstellt hat, nicht zu funktionieren... Stimmt meine Annahme?
Si. Deshalb ja Key=Clear verwenden. Allerdings steht das Passwort/PassPhrase dann in Klarschrift in deine XML Dateien drin, dafür können die aber dann Importiert werden, daher warum kein Radius?

Nun kenne ich keine weitere Möglichkeit, WLAN-Netzwerke verteilen zu können und hoffe, dass ihr mir weiterhelfen könnt face-smile
Per GPO geht das schon, nur halt mit den Passwörtern, daher warum kein Radius?

Gruß,
Peter
ribrob
ribrob 07.12.2017 um 15:45:25 Uhr
Goto Top
Hallo Pjordorf,

erst einmal danke für deine Antworten.
Über Radius bin ich da wirklich (leider) noch nicht gestolpert... Das würde auch eine Veränderung auf den AccessPoints bedeuten, oder? Sehe ich das richtig?

Wenn ja, dann würde ich zur Maßnahme key=clear tendieren, da der User nie in Kontakt mit der XML kommt. Das werde ich dann gleich mal testen - das klingt vielversprechend!

Viele Grüße
134464
Lösung 134464 07.12.2017 aktualisiert um 16:30:34 Uhr
Goto Top
Und jeder Himpel kann dann die Keys auf den Geräten schön gemütlich auslesen. D.h. dann wenn euch nur ein unverschlüsseltes Gerät abhanden kommt das euer gesamtes Firmennetzwerk bedroht ist.
Deswegen macht man in Firmen sowas generell nur über 802.1x Radius Authentifizierung am besten mit Clientzertifikaten. Bei dem oben geschilderten Szenario musst du dan nur das Zertifikat des betroffenen Clients "revoken" und bist wieder sicher, wohingegen du bei WPA2-Personal (PSK) auf allen Clients alle Schlüssel und an den APs alle Schlüssel austauschen musst.

Nun jetzt kannst du selbst urteilen was besser ist!

Deswegen heißt das auch WPA2-Personal (mit PSK) und nicht WPA2-Enterprise(Radius), PSK ist also definitiv die schlechteste Wahl für ein Unternehmen, nur unerfahrene Anfänger machen das so.

Beispielhafte Anleitungen dazu, auch wenn nur Winblows Erfahrung da ist, gibt es genug z.B.
http://bent-blog.de/update-sicheres-w-lan-mit-ieee-802-1x-und-radius-mi ...

Und WPA2-Enterprise kann heutzutage jeder Popels-AP, also nutzen!
ribrob
ribrob 13.12.2017 um 13:53:25 Uhr
Goto Top
Danke für die beschriebenen Wege, diese führen auf jeden Fall zum Ziel - in den kommenden Tagen werde ich es umsetzen!

Bis dahin noch eine angenehme Vorweihnachtszeit, vg ribrob