WLAN-Richtlinien

Drahtlose Netzwerke gewinnen immer mehr an Bedeutung. Entsprechend wird es auch zunehmend wichtig, sich vor der missbräuchlichen Nutzung zu schützen. Mit den Drahtlosnetzwerk-Richtlinien bietet Windows einen Ansatz dafür, der allerdings nicht immer ausreicht und teilweise eine komplexe Infrastruktur erfordert.

Das wichtigste Instrument für die sichere Konfiguration von Netzwerkumgebungen sind die Gruppenrichtlinien. Bei den Sicherheitseinstellungen unterhalb von Computerkonfiguration/Windows-Einstellungen gibt es unter anderem die Drahtlosnetzwerk-Richtlinien, mit denen wichtige Restriktionen für die Nutzung von WLANs konfiguriert werden können. Damit lässt sich sowohl die Nutzung interner WLANs als auch von bekannten öffentlichen WLANs beschränken. Allerdings decken die Richtlinien keineswegs alle Anforderungsbereiche ab. So kann man darüber zwar steuern, in welcher Weise bestimmte bekannte Wireless LANs genutzt werden, aber nicht abschließend den Zugriff auf andere WLANs verhindern, zumindest nicht bei Windows XP.

Außerdem setzt eine volle Nutzung der Sicherheitsfunktionen eine komplexe Infrastruktur voraus. Bild 1 zeigt eine solche Lösung. Dabei wird mit einer Identifikation von Clients auf Basis von digitalen Zertifikaten gearbeitet. Die Verschlüsselung erfolgt im Idealfall über WPA (Wi-Fi Protected Access), ein relativ neues Verfahren, das besser ist als der meist genutzte Ansatz WEP (Wired Equivalent Privacy).

Bild 1: Die Infrastruktur für sichere WLAN-Umgebungen arbeitet mit digitalen Zertifikaten (Quelle: Microsoft).
Bild 1: Die Infrastruktur für sichere WLAN-Umgebungen arbeitet mit digitalen Zertifikaten (Quelle: Microsoft).

Entscheidend sind die hierfür notwendigen Voraussetzungen:

  • Es wird eine Infrastruktur für die Erstellung und Verteilung digitaler Zertifikate benötigt.

  • Die eingesetzten Wireless-Adapter und Wireless Access Points (WAPs) müssen WPA unterstützen.

  • Der WAP muss die Authentifizierung an einem zentralen Verzeichnis durchführen, was in der Regel wiederum eine RADIUS-Infrastruktur voraussetzt.

Windows XP ab dem Service Pack 2 und der Windows Server 2003 ab dem Service Pack 1 sind ebenfalls erforderlich, da erst diese Versionen WPA unterstützen. Mit älteren Windows-Versionen lässt sich nur WEP nutzen. Schließlich ist auch die Herausforderung der sicheren Konfiguration von WLANs durch Benutzer nicht zu unterschätzen. Auch wenn Microsoft die Einrichtung mit dem Service Pack 2 für Windows XP vereinfacht hat, bleibt doch festzuhalten, dass der Umgang mit Wireless LANs für viele Anwender nicht ganz so einfach ist – von der sicheren Konfiguration einmal ganz abgesehen, bei der ein erhebliches Maß an Kenntnissen vorausgesetzt wird.

Die Konfiguration einer Richtlinie

Im genannten Bereich der Gruppenrichtlinien lassen sich neue Richtlinien über den Befehl Drahtlosnetzwerkrichtlinie erstellen aus dem Kontextmenü einrichten. Wie so oft wird ein Assistent gestartet. In diesem können allerdings nur ein Name und eine Beschreibung eingegeben werden. Die eigentliche Konfiguration der Richtlinie erfolgt anschließend durch die Bearbeitung ihrer Eigenschaften. Hier wird es nun auch gleich interessant.

Bild 2: Die Einstellungen im Register Allgemein einer WLAN-Richtlinie.
Bild 2: Die Einstellungen im Register Allgemein einer WLAN-Richtlinie.

Zu den grundlegenden Festlegungen im Register Allgemein zählen der Name, die Beschreibung und ein Intervall für die Aktualisierung der Richtlinien. Da die WLAN-Richtlinien eine Erweiterung der Gruppenrichtlinien sind, werden sie auch nicht vom regulären Aktualisierungsintervall für Gruppenrichtlinien erfasst. Der Wert von 180 Minuten ist eine Untergrenze. In stabilen Umgebungen kann man ohne weiteres auch mit einem deutlich längeren Intervall arbeiten, wobei sich die Last für die Prüfung nach aktuellen Richtlinien in engen Grenzen hält.

Interessant ist die Einstellung für die Netzwerktypen darunter. Hier kann durch Auswahl von Netzwerken mit einem zentralen Zugriffspunkt (Access Point) erreicht werden, dass Computer-zu-Computer-Netzwerke nicht verwendet werden dürfen. Das ist in vielen Fällen sinnvoll, um die oftmals unsichere Peer-to-Peer-Kommunikation zwischen Clients zu unterbinden. Allerdings gibt es auch Situationen wie bei Beraterteams, in denen genau diese Funktion für den Aufbau eines kleinen „adhoc“-WLANs benötigt werden.

Bild 3: Die (noch leere) Liste der bevorzugten Netzwerke, für die spezielle WLANEinstellungen konfiguriert sind.
Bild 3: Die (noch leere) Liste der bevorzugten Netzwerke, für die spezielle WLANEinstellungen konfiguriert sind.

Die Option Windows für die Drahtlosnetzwerkkonfiguration für Clients verwenden ist normalerweise gesetzt, um die Windows-Schnittstellen zu nutzen. Wenn sie deaktiviert wird, können Anwendungen von Drittherstellern, also beispielsweise dem Lieferanten des WLANAdapters, eingesetzt werden.

Viel interessanter ist die letzte Option. Sie ist normalerweise deaktiviert und sollte es auch bleiben. Wenn sie gesetzt wird, wird auch mit nicht bevorzugten Netzwerken automatisch eine Verbindung hergestellt. Das muss ansonsten manuell erfolgen. Bevorzugte Netzwerke können dagegen in den Richtlinien konfiguriert werden, wobei sich alle Sicherheitseinstellungen vorgeben lassen. Benutzer können allerdings immer noch Verbindungen zu nicht bevorzugten Netzwerken herstellen, müssen das aber manuell tun. Was fehlt, ist eine Option, mit der verhindert werden kann, dass Benutzer auf nicht als bevorzugt konfigurierte WLANs überhaupt zugreifen können. Das wäre aus Sicherheitsgründen wünschenswert, um eine Verbindung mit nicht als sicher bekannten WLAN-Infrastrukturen zu verhindern. Hier müssen gegebenenfalls formale Richtlinien für die Anwender zum Einsatz kommen, die eine solche Verbindung untersagen. Allerdings kann das auch zu erheblichen Einschränkungen für die praktische Nutzung von WLANs bei Notebooks führen, weil man damit den Zugang typischerweise auf wenige ausgewählte Provider beschränkt und manches Hotel-Netzwerk nicht mehr verfügbar ist.

Bild 4: Die Netzwerkeigenschaf ten eines bevorzugten Netzwerks.
Bild 4: Die Netzwerkeigenschaf ten eines bevorzugten Netzwerks.