WLAN-Optimierung in Windows 10 konfigurieren oder deaktivieren

    Free WiFiEine neue Funktion in Windows 10, die zu zahl­reichen Sicher­heits­beden­ken geführt hat, ist das so genannte Wi-Fi Sense (auf Deutsch "WLAN-Optimierung"). Es gibt die WPA-Schlüssel von WLANs, an denen man sich angemeldet hat, an Kontakte aus sozialen Netz­werken weiter. Auf Firmen-PCs lässt sich das Feature abstellen.

    Die Idee hinter Wi-Fi Sense ist relativ einfach und bestechend: Um den Zugang zu öffentlichen WLANs zu vereinfachen, tauschen Benutzer die Namen von WLANs und deren Passwörter mit Freunden und Bekannten aus, mit denen sie auf Facebook oder Skype als direkte Kontakte verbunden sind.

    Unproblematisch bei öffentlichen WLANs

    Grundsätzlich ist dieses Vorgehen unproblematisch, weil man etwa in Hotels oder Restaurants die Zugangsdaten ohnehin bekommt. Mit etwas Glück muss man aber künftig den Portier oder den Kellner nicht mehr danach fragen, weil die WLAN-Optimierung den WPA-Schlüssel automatisch von einem Facebook-Freund bezieht.

    Die WLAN-Passwörter selbst bekommen die Kontakte aus den sozialen Netzwerken jedoch nicht zu Gesicht. Sie werden von Microsoft verschlüsselt in der Cloud gespeichert und nach dem Herunterladen auf einen PC von Windows 10 im Hintergrund decodiert.

    Voraussetzungen für Wi-Fi Sense

    Mit Sicherheit unerwünscht ist dieses Feature in Unternehmen, wenn diese ihr WLAN nur mit einem WPA(2)-Schlüssel absichern (bei einer Authenti­fizierung über EAP greift Wi-Fi Sense nicht). Allerdings gibt es für die Weitergabe von WLAN-Passwörtern einige Hürden, die zumindest ein unabsichtliches Teilen mit Outlook-Kontakten und Facebook-Freunden unwahr­scheinlich machen.

    Eine Voraussetzung für die WLAN-Optimierung ist das Anmelden mit einem Microsoft-Konto.

    So setzt die WLAN-Optimierung voraus, dass man sich mit einem Microsoft-Konto anmeldet. In einer Windows-Domäne wird man das in der Regel aber nicht tun (bzw. der Administrator kann es über Gruppenrichtlinien verhindern). Zusätzlich muss man im Fall von Facebook auch die Anmeldedaten für das soziale Netzwerk hinterlegen, so dass Windows 10 Zugang zu den Kontakten erhält. Und schließlich muss man jedes WLAN explizit einzeln freigeben.

    Konfiguration über die App Einstellungen

    Akzeptiert man bei der Installation von Windows 10 die Express-Einstellungen, dann wird die WLAN-Optimierung per Vorgabe aktiviert. Um sie zu konfigurieren oder abzuschalten, öffnet man die App Einstellungen und wechselt dort zu Netzwerk und Internet => WLAN. Unterhalb der Liste von verfügbaren Netzwerken folgt man dann dem Link WLAN-Einstellungen verwalten.

    Die Konfiguration der WLAN-Optimierung versteckt sich hinter dem Link WLAN-Einstellungen verwalten.

    Dieser öffnet eine weitere Seite, auf der sich gleich oben die Einstellungen für die WLAN-Optimierung befinden. Dort kann man zum einen bestimmen, ob man offene Netzwerke nutzen möchte, die in Microsofts Datenbank registriert sind (Verbindung mit vorgeschlagenen offenen Hotspots herstellen).

    Die Konfigurationsoptionen für Wi-Fi Sense

    Zum anderen legt man hier fest, ob sich der PC automatisch mit WLANs verbinden soll, deren Anmeldedaten von Facebook-, Skype-oder Outlook-Kontakten freigegeben wurden. Das Abschalten von Verbindung mit Netzwerken herstellen, die von meinen Kontakten freigegeben wurden bewirkt wider Erwarten aber auch, dass man selbst ebenfalls keine Anmeldedaten mehr freigeben kann.

    Im unteren Abschnitt entscheidet man hingegen, für wen man die WLAN-Passwörter freigeben möchte. Hier kann man einzelne soziale Netzwerke ausschließen. Es ist aber nicht möglich, die Weitergabe der Zugangsdaten auf bestimmte Kontakte in Facebook oder Skype zu beschränken.

    WLAN freigeben und Freigabe beenden

    Sobald man sich an WLANs angemeldet hat, finden sich die betreffenden Netze im unteren Bereich dieses Dialogs (Abschnitt "Bekannte Netzwerke verwalten"). Hier kann man für jedes einzelne von ihnen entscheiden, ob man den Zugang mit seinen Kontakten teilen will. Dazu muss man das WLAN-Passwort erneut eingeben. Verwirrend ist hier jedoch, dass die Option Freigeben auch dann angezeigt wird, wenn man sich gar nicht mit einem Microsoft-Konto angemeldet hat.

    Jedes WLAN muss einzeln explizit freigegeben werden.

    Das Teilen der WLAN-Daten mit seinen Skype- oder Facebook-Kontakten lässt sich anschließend auch wieder rückgängig machen. Die Detailansicht jedes freigegebenen Netzwerks im Abschnitt Bekannte Netzwerke verwalten enthält zu diesem Zweck einen Button Nicht mehr freigeben. Der Vorgang kann laut Microsoft aber mehrere Tage dauern.

    Die Anmeldedaten für freigegebene WLANs lassen sich wieder zurückholen.

    Wi-Fi Sense zentral deaktivieren

    Möchte man in einem Unternehmen verhindern, dass Mitarbeitern auf ihren PCs die Daten für WLANs freigeben, dann kann man dies nur über das Setzen eines Registry-Schlüssels tun (HKLM\SOFTWARE\Microsoft\WcmSvc\wifinetworkmanager\config\AutoConnectAllowedOEM, siehe dazu das Support-Dokument KB 3085719). Microsoft bietet bis dato keine administrative Vorlage für Gruppenricht­linien an, um dieses Feature zu deaktivieren.

    Für das zentrale Abschalten von Wi-Fi Sense steht nur ein Registry-Schlüssel zur Verfügung.

    Für das zentrale Management von Wi-Fi Sense empfiehlt es sich daher, den Registry-Schlüssel über Group Policy Preferences zu verteilen (siehe dazu meine Anleitung: Registry-Schlüssel mit Group Policy Preferences erstellen und löschen).

    Nach dem Setzen des Registry-Schlüssels lässt sich die WLAN-Optimierung nicht mehr konfigurieren.

    Diese Maßnahme bewirkt, dass sich der Rechner nicht mehr automatisch mit offenen Hotspots oder mit WLANs verbindet, die von Kontakten in sozialen Netzwerken freigegeben wurden. Außerdem können Benutzer keine WLANs mehr freigeben.

    Offene WLANs gegen Wi-Fi Sense sperren

    Schließlich bietet Microsoft den Betreibern von offenen Drahtlos­netzwerken die Möglichkeit, sich der Aufnahme in seine Datenbank zu entziehen. Sie müssen zu diesem Zweck die Zeichenkette _optout in den Namen des WLAN (SSID) aufnehmen, also zum Beispiel myWiFi_optout.

    Keine Kommentare