WLANs blockieren oder zulassen mit netsh.exe und GPOs

    , 06.11.2014
    Tags: , ,

    Free WiFiIn manchen Umgebungen sind zahlreiche draht­lose Netzwerke verfügbar, so dass Benutzer auch mit solchen konfrontiert werden, zu denen sie gar keinen Zugang haben. Darüber hinaus ist nicht ungefährlich, wenn sich Mitarbeiter mit ihren Note­books in beliebige offene WLANs einhängen. Daher erlaubt Windows das Black- und White­listing von WLANs anhand ihrer SSID, entweder per Kommandozeile oder GPOs.

    Das Free Public WiFi war ein zumeist harmloses Beispiel dafür, dass sich hinter den Namen von WLANs nicht das verbirgt, was man von ihnen erwartet. An öffentlichen Orten wie Flughäfen oder Bahnhöfen ist es Hackern ein Leichtes, ihre Notebooks mit entsprechender Software als Hotspot zu konfigurieren und Geräte anzugreifen, die sich damit verbinden.

    Reduzierte WLAN-Auswahl von Vorteil

    Unternehmen sollten daher ein Interesse daran haben, die Liste der zugänglichen WLANs zu filtern. Ein weiterer erwünschter Nebeneffekt einer solchen Maßnahme ist eine höhere Benutzerfreundlichkeit, weil die unnötigen Netzwerke ausgeblendet werden und so ein versehentliches Einwählen nicht möglich ist.

    Sind Computer nicht Mitglied in einer Domäne, dann kann der Zugang zu bestimmten WLANs per Kommandozeile bzw. Script erlaubt oder unterbunden werden. Zuständig ist dafür das Dienstprogramm netsh.exe, dessen Ausführung die Rechte eines lokalen Administrators erfordern. Normale Benutzer können somit keine Filter entfernen, die vom Systemverwalter eingerichtet wurden.

    Blacklisting versus Whitelisting

    Wie bei der Konfiguration über Gruppenrichtlinien kann man auch über netsh.exe zwei Strategien verfolgen: Entweder man blockiert nur ausgewählte WLANs und lässt alle anderen zu (Blacklisting) oder man sperrt alle außer jene, die explizit erlaubt sind (Whitelisting).

    Die allgemeine Syntax für das Hinzufügen von Filtern lautet:

    netsh wlan add filter [permission=]allow|block|denyall [[ssid=]<Zeichenfolge>] networktype=]infrastructure|adhoc

    Die Werte allow und block des Parameters permission erlauben oder sperren den Zugang zu einem Netz mit der angegebenen SSID. Dagegen blockiert denyall sämtliche WLANs, so dass man einzelne zulässige Netze mit einem weiteren netsh-Aufruf unter Verwendung von allow freischalten muss.

    Filter hinzufügen

    Bei der Angabe der SSID ist zu beachten, dass dort zwischen Groß- und Kleinschreibung unterschieden wird. Wenn man also das WLAN SNetz blockieren möchte, dann greift eine Regel nicht, die als SSID snetz angibt.

    SSIDs sind case-sensitive, so dass SNet nicht blockiert wird, wenn man snet angibt.

    Beim Parameter networktype fallen all jene Netze in die Kategorie adhoc, die von Mobiletelefonen oder Notebooks bereitgestellt werden. Reguläre Hotspots sind vom Typ infrastructure.

    Beispiel:

    netsh wlan add filter permission=block ssid=snetz networktype=infrastructure

    Dieser Aufruf sperrt den Zugang zum WLAN mit der SSID snetz. Möchte man diese Regel wieder aufheben, dann ersetzt man add durch delete:

    netsh wlan delete filter permission=block ssid=snetz networktype=infrastructure

    Wenn man sich schließlich davon überzeugen möchte, welche Filter in Kraft sind, dann kann man dies durch das Kommando

    netsh wlan show filter

    tun. Praktisch an diesem Befehl ist, dass er nicht nur Regeln anzeigt, die man über netsh.exe definiert hat, sondern separat auch solche ausweist, die über GPOs konfiguriert wurden.

    Blockierte WLANs anzeigen oder ausblenden

    Gegenüber dem Nutzer bestehen zwei Möglichkeiten, gesperrte WLANs darzustellen: Entweder man blendet sie aus, so dass sie gar nicht mehr sichtbar sind, oder man zeigt sie an, wobei sie dann mit einem entsprechenden Symbol als blockiert gekennzeichnet sind. Per Voreinstellung sind gesperrte Netze für den User nicht sichtbar. Mit Hilfe des Befehls

    netsh wlan set blockednetworks display=show

    kann man diesen Zustand ändern. Setzt man den Parameter display auf hide, dann macht man diesen Vorgang wieder rückgängig.

    Wenn man gesperrte WLANs nicht ausblendet, dann werden sie durch ein entsprechendes Symbol gekennzeichnet.

    WLANs einschränken über GPOs

    Gruppenrichtlinien bieten die gleichen Möglichkeiten für das Black- und Whitelisting von WLANs wie netsh.exe, wenn man PCs einer AD-Domäne zentral verwalten will.

    Die entsprechenden Einstellungen findet man unter Computerkonfiguration => Richtlinien => Windows-Einstellungen => Sicherheitseinstellungen => Drahtlosnetzwerkrichtlinien (IEEE 802.11).

    Dort klickt man mit der rechten Maustaste in die rechte Fensterhälfte und aktiviert aus dem Kontextmenü den Befehl Erstellen Sie eine neue Drahtlos­netzwerkrichtlinie für Windows Vista und neuere Versionen.

    Bevor man WLANs auf eine Black- oder Whitelist setzen kann, muss man eine Richtlinie anlegen.

    Nach dem Erscheinen des entsprechenden Dialogs vergibt man dort einen Richtliniennamen und wechselt dann zur Registerkarte Netzwerkberechtigungen.

    Möchte man bestimmte WLANs bannen, dann betätigt man den Button Hinzufügen, trägt anschließend die SSID ein, wählt den Netzwerktyp (Ad-hoc oder Infrastruktur) und stellt die Berechtigung auf Verweigern ein.

    Möchte man ein WLAN sperren, dann fügt man es der Netzwerkliste hinzu und setzt die Berechtigung auf 'Verweigern'.

    Das Vorgehen für das Whitelisting ist ganz ähnlich: Erst aktiviert man die Optionen Verbindung mit Ad-Hoc-Netzwerken verhindern sowie Verbindung mit Infrastrukturnetzwerken verhindern und sperrt damit den Zugang zu sämtlichen WLANs. Nun fügt man jene Netzwerke hinzu, die zugänglich sein sollen, indem man dort als Berechtigung Zulassen festlegt.

    Wie bei netsh.exe kann man auch hier bestimmen, ob die blockierten Netze für die Benutzer sichtbar sein sollen. Zuständig ist dafür die Einstellung Anzeigen von abgelehnten Netzwerken für Benutzer zulassen.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Wolfgang Sommergut

    Wolfgang Sommergut hat lang­jährige Erfahrung als Fach­autor, Berater und Kon­ferenz­sprecher zu ver­schie­denen Themen der IT. Da­ne­ben war er als System­ad­mi­ni­stra­tor und Con­sultant tätig.
    // Kontakt: E-Mail, XING, LinkedIn //

    Ähnliche Beiträge

    Weitere Links

    2 Kommentare

    omanoman (Besucher) sagt:
    1. September 2020 - 11:37

    Eine kleine Ergänzung zur Schreibweise beim Setzen eines Filters - wenn SSID aus bspw. mehreren Worten besteht und zwar durch Leerzeichen getrennt, dann müssen die Anführungszeichen her also z.B. "bla bla netz".

    Leser (Besucher) sagt:
    27. Oktober 2021 - 13:07

    Noch eine Ergänzung. Die SSID ist case-sensitive.

    Lässt sich die WLAN Filterung auf mehr Kriterien als die SSID, z.B. MAC oder IP erweitern? Wenn ich z.B. per GPO nur die SSID eines Firmennetzwerkes "ABC 123" per Whitelist erlaube, dann könnte ein Mitarbeiter sich immer noch auf seinem privaten WLAN Router zu Hause einloggen, wenn er sein eigenes WLAN entsprechend benennt.