4
WLAN-Profile mit PreShared-Key in Domäne verteilen - wie möglich?
Hallo Community,
folgendes Thema stellt sich uns gerade:
Wir haben mehrere Notebooks im Unternehmen und mehrere WLAN-Netzwerke. Diese Netzwerke sind alle verschlüsselt, jedes WLAN-Netzwerk soll auf den Notebooks automatisch eingetragen werden.
Ich habe schon recherchiert und getestet, allerdings noch nicht mit dem gewünschten Ergebnis...
Am besten wäre es, wenn man via Gruppenrichtlinie die Netzwerke verteilen könnte - das geht aber wohl nicht, oder?
Zweite Möglichkeit, die ich versucht habe, ist, es über netsh zu lösen. Folgendes habe ich getan:
netsh wlan export profile name=“WLAN" folder=“c:\“ (erstellt mir ein XML-File)
netsh wlan add profile filename=“WLAN.xml“ user=“all“ (legt mir das Netzwerk wieder an)
Das hat einwandfrei funktioniert, jedoch nur auf dem Notebook, welches das XML-File erstellt hat. Wenn ich dieses XML-File auf einem anderen Notebook importieren möchte, werden zwar die Netzwerke angelegt, jedoch trotzdem der Netzwerksicherheitsschlüssel verlangt. Sprich der verschlüsselte Key im XML-File scheint auf einem anderen physiches Gerät, als das Quellgerät welches das File erstellt hat, nicht zu funktionieren... Stimmt meine Annahme?
Nun kenne ich keine weitere Möglichkeit, WLAN-Netzwerke verteilen zu können und hoffe, dass ihr mir weiterhelfen könnt
Beste Grüße
ribrob
folgendes Thema stellt sich uns gerade:
Wir haben mehrere Notebooks im Unternehmen und mehrere WLAN-Netzwerke. Diese Netzwerke sind alle verschlüsselt, jedes WLAN-Netzwerk soll auf den Notebooks automatisch eingetragen werden.
Ich habe schon recherchiert und getestet, allerdings noch nicht mit dem gewünschten Ergebnis...
Am besten wäre es, wenn man via Gruppenrichtlinie die Netzwerke verteilen könnte - das geht aber wohl nicht, oder?
Zweite Möglichkeit, die ich versucht habe, ist, es über netsh zu lösen. Folgendes habe ich getan:
netsh wlan export profile name=“WLAN" folder=“c:\“ (erstellt mir ein XML-File)
netsh wlan add profile filename=“WLAN.xml“ user=“all“ (legt mir das Netzwerk wieder an)
Das hat einwandfrei funktioniert, jedoch nur auf dem Notebook, welches das XML-File erstellt hat. Wenn ich dieses XML-File auf einem anderen Notebook importieren möchte, werden zwar die Netzwerke angelegt, jedoch trotzdem der Netzwerksicherheitsschlüssel verlangt. Sprich der verschlüsselte Key im XML-File scheint auf einem anderen physiches Gerät, als das Quellgerät welches das File erstellt hat, nicht zu funktionieren... Stimmt meine Annahme?
Nun kenne ich keine weitere Möglichkeit, WLAN-Netzwerke verteilen zu können und hoffe, dass ihr mir weiterhelfen könnt
Beste Grüße
ribrob
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 357406
Url: https://administrator.de/contentid/357406
Printed on: April 18, 2024 at 22:04 o'clock
4 Comments
Latest comment
Hallo,
Ist eher der Standard und zu erwarten. Hoffentlich mit WPA2
Anstelle von E:\WLANS kannst du auch eine Freigabe nehmen.
Gruß,
Peter
Ist eher der Standard und zu erwarten. Hoffentlich mit WPA2
Ich habe schon recherchiert und getestet, allerdings noch nicht mit dem gewünschten Ergebnis...
Dann bist du nicht über Radius gestolpert?netsh wlan export profile name=“WLAN" folder=“c:\“ (erstellt mir ein XML-File)
Den Export mit den Parameter Key=Clear machen. Beispiel: Selektiv : netsh wlan export profile name="AirForce_Two" key=clear folder="E:\WLANS"
Alle WLAN: netsh wlan export profile key=clear folder="E:\WLANS\win8.1"Das hat einwandfrei funktioniert, jedoch nur auf dem Notebook, welches das XML-File erstellt hat.
OKSprich der verschlüsselte Key im XML-File scheint auf einem anderen physiches Gerät, als das Quellgerät welches das File erstellt hat, nicht zu funktionieren... Stimmt meine Annahme?
Si. Deshalb ja Key=Clear verwenden. Allerdings steht das Passwort/PassPhrase dann in Klarschrift in deine XML Dateien drin, dafür können die aber dann Importiert werden, daher warum kein Radius?Nun kenne ich keine weitere Möglichkeit, WLAN-Netzwerke verteilen zu können und hoffe, dass ihr mir weiterhelfen könnt
Per GPO geht das schon, nur halt mit den Passwörtern, daher warum kein Radius?Gruß,
Peter
Hallo Pjordorf,
erst einmal danke für deine Antworten.
Über Radius bin ich da wirklich (leider) noch nicht gestolpert... Das würde auch eine Veränderung auf den AccessPoints bedeuten, oder? Sehe ich das richtig?
Wenn ja, dann würde ich zur Maßnahme key=clear tendieren, da der User nie in Kontakt mit der XML kommt. Das werde ich dann gleich mal testen - das klingt vielversprechend!
Viele Grüße
erst einmal danke für deine Antworten.
Über Radius bin ich da wirklich (leider) noch nicht gestolpert... Das würde auch eine Veränderung auf den AccessPoints bedeuten, oder? Sehe ich das richtig?
Wenn ja, dann würde ich zur Maßnahme key=clear tendieren, da der User nie in Kontakt mit der XML kommt. Das werde ich dann gleich mal testen - das klingt vielversprechend!
Viele Grüße
Und jeder Himpel kann dann die Keys auf den Geräten schön gemütlich auslesen. D.h. dann wenn euch nur ein unverschlüsseltes Gerät abhanden kommt das euer gesamtes Firmennetzwerk bedroht ist.
Deswegen macht man in Firmen sowas generell nur über 802.1x Radius Authentifizierung am besten mit Clientzertifikaten. Bei dem oben geschilderten Szenario musst du dan nur das Zertifikat des betroffenen Clients "revoken" und bist wieder sicher, wohingegen du bei WPA2-Personal (PSK) auf allen Clients alle Schlüssel und an den APs alle Schlüssel austauschen musst.
Nun jetzt kannst du selbst urteilen was besser ist!
Deswegen heißt das auch WPA2-Personal (mit PSK) und nicht WPA2-Enterprise(Radius), PSK ist also definitiv die schlechteste Wahl für ein Unternehmen, nur unerfahrene Anfänger machen das so.
Beispielhafte Anleitungen dazu, auch wenn nur Winblows Erfahrung da ist, gibt es genug z.B.
http://bent-blog.de/update-sicheres-w-lan-mit-ieee-802-1x-und-radius-mi ...
Und WPA2-Enterprise kann heutzutage jeder Popels-AP, also nutzen!
Deswegen macht man in Firmen sowas generell nur über 802.1x Radius Authentifizierung am besten mit Clientzertifikaten. Bei dem oben geschilderten Szenario musst du dan nur das Zertifikat des betroffenen Clients "revoken" und bist wieder sicher, wohingegen du bei WPA2-Personal (PSK) auf allen Clients alle Schlüssel und an den APs alle Schlüssel austauschen musst.
Nun jetzt kannst du selbst urteilen was besser ist!
Deswegen heißt das auch WPA2-Personal (mit PSK) und nicht WPA2-Enterprise(Radius), PSK ist also definitiv die schlechteste Wahl für ein Unternehmen, nur unerfahrene Anfänger machen das so.
Beispielhafte Anleitungen dazu, auch wenn nur Winblows Erfahrung da ist, gibt es genug z.B.
http://bent-blog.de/update-sicheres-w-lan-mit-ieee-802-1x-und-radius-mi ...
Und WPA2-Enterprise kann heutzutage jeder Popels-AP, also nutzen!
Danke für die beschriebenen Wege, diese führen auf jeden Fall zum Ziel - in den kommenden Tagen werde ich es umsetzen!
Bis dahin noch eine angenehme Vorweihnachtszeit, vg ribrob
Bis dahin noch eine angenehme Vorweihnachtszeit, vg ribrob
