Verwendung drahtloser Netzwerke (WLAN) beschränken

    Wartung der WLAN-SicherheitsrichtlinieSich mit dem Notebook versehentlich in ein falsches WLAN einzubuchen, ist potentiell ein großes Sicherheitsrisiko. Administratoren können per Sicherheitsrichtlinie Festlegungen treffen, um dies zu verhindern – also erlaubte und verbotene zum WLAN festlegen. Im Gruppen­richtlinien­editor lassen sich derer 2 definieren: für XP-Clients und für neuere Betriebssysteme. Die für XP ist dabei im Prinzip unwirksam: Sie kann nur bestimmten Funknetzen den Vorzug geben, aber nicht den Zugang zu anderen verhindern. Wer wirksam die Verbindung zu bestimmten SSIDs verhindern will, braucht für die entsprechenden Einstellungen auf dieser Ebene mindestens Windows Vista auf den Clients. Angewendete WLAN-Sicherheitseinstellungen führen jeweils dazu, dass Benutzer der Clients die SSIDs blockierter Funknetze erst gar nicht sehen, so als ob sie von dessen Betreiber versteckt würden.

    Gruppenrichtlinien einrichten

    Die für die WLAN-Sicherheit zuständigen Gruppenrichtlinie findet man – sehr gut am charakteristischen Icon zu erkennen – unter Computerkonfiguration → Windows-Einstellungen → Sicherheitseinstellungen → Drahtlosnetzwerkrichtlinien (IEEE 802.11). Über deren Kontextmenü lässt sich die Richtlinie erstellen, benennen und mit einer Beschreibung versehen. Die eigentlichen Erlaubnisse und Verbote definiert man auf der Registerkarte „Netzwerkberechtigungen“ jeweils über die Schaltfläche „Hinzufügen“.

    Daneben kann man noch global die Verbindung zu allen drahtlosen Netzwerken etwa verbieten, um nur noch die explizit definierten SSIDs für eine Verbindung zuzulassen. Diese Einstellung trifft getrennt jeweils für Infrastruktur- und Adhoc-Netzwerke.

    Für Benutzer: Konfiguration mittels netsh.exe

    WLANs per netsh.exe blockieren: Administratoren bekommen eine GUI, Benutzer nichtWer sich als vorsichtiger Benutzer vor dem Verklicken unterwegs schützen möchte, wird von Microsoft auf die Ebene der Kommandozeile geschickt. Microsoft hat hier ein Kuriosum geschaffen: Während Administratoren eine GUI zur Verfügung steht, müssen sich Benutzer mit dem mächtigen, aber nicht ganz einfachen Tool netsh.exe abmühen; eine entsprechende lokale Richtlinie, die das Ganze ein wenig erleichtern würde, gibt es nicht.

    Die Syntax ist

    netsh wlan add filter permission=block ssid=‹Netzwerkname› 	networktype=‹infrastructure | adhoc›

    Alle existierenden Filter zeigt der Befehl

    netsh wlan show filters

    wobei Filter, welche durch Richtlinien erzeugt wurden, ebenfalls und getrennt von den benutzerdefinierten angezeigt werden. Will man einen Filter wieder löschen, tut dies der netsh-Befehl

    netsh wlan delete filter permission=block ssid=‹Netzwerkname› 	networktype=‹infrastructure | adhoc›

    Dabei kann nicht abgekürzt, etwa nur der SSID-Eintrag aus der Tabelle entfernt, werden. Sämtliche Angaben, also zum Typ des Netzwerks und ob es sich um einen block- oder allow-Filter handelte, muss man noch einmal tätigen.

    Will man global die Verbindung zu allen Funknetzwerken blockieren, so dass nur noch explizit zugelassene möglich sind, tut dies der Befehl

    netsh add filter permission=denyall 	networktype=infrastructure

    beziehungsweise

    netsh add filter permission=denyall 	networktype=adhoc

    Diese Einstellung hebt man mit

    netsh delete filter permission=denyall 	networktype=infrastructure

    beziehungsweise

    netsh delete filter permission=denyall 	networktype=adhoc

    wieder auf.

    Keine Kommentare