ich weiß zu dem Thema gibt es bereits etwas hier im Forum, aber so richtig der Weisheit letzter Schluss ist mir noch ins Auge gesprungen, deswegen nochmal die Grundsatzfrage, wie man das WLAN-Passwort idealerweise mit linuxmuster72 auf Windows+Linux-Clients verteilt? Unser Vorgehen ist bei beiden Clienttypen aktuell wie von Roland hier Ubuntu-Clients über "workstations" an das w-LAN grün anbinden - #2 von RolandB beschrieben. Unsere Lehrer und Schüler-User haben keine sudo-Rechte, also ist es sicherheitstechnisch hoffentlich ok (auch bei Windows?)?! Gibt es einen besseren Weg der nicht in großen Aufwand mit Scripten und zusätzlicher Software ausartet? GPO-seitig habe ich nix gefunden, was sicherlich auch aus dem security-Grund nicht sinnvoll ist. Für den Fall, dass man das WLAN-Passwort regelmäßig (zB 1xJahr) tauscht, wäre es halt immer wieder erforderlich ein Imageupload und Imageverteilung zu machen, was ich natürlich gern umgehen würde.
wir hatten/haben das Problem, dass im WLAN der schuleigenen Laptops plötzlich haufenweise Schüler mit eigenen Geräten waren und den Adresspool geleert haben. Da hatte unser Dienstleister seine Hausaufgaben nicht gemacht und zunächst behauptet, es wäre kein Problem die Geräte mit einem Preshared-Key zu versehen und z.B. via GPO auszuliefern.
Problem:
Die Verteilung des WLAN-Profils via GPO klappt nicht.
Der Preshared-Key wurde ins Image geschrieben: Windows speichert für jeden Typ WLAN-Karte ein eigenes Profil, heißt, für jede Hardware (nicht nur Hardwareklasse) mit anderem Kartentyp musste das Image neugebaut werden und der Key aufgenommen werden.
Und dann der SUPERGAU: Der Dienstleister hatte sich null darum gekümmert, zu verhindern, dass die Passwörter auf den Windowsgeräten nicht ausgelesen werden können.
Also nach einem Fallout mit unserem Anbieter und darauf folgendem Zuständigkeitswechsel, habe ich selbst Hand angelegt:
Via GPO (Erklärung folgt) habe ich zunächst das Auslesen des Preshared-Keys unterbunden. Bin mir aber noch nicht sicher ob das der Weisheit letzter Schluss ist. Hier bin ich für Feedback dankbar.
Über sysstart und/oder sysstop Skripte lade ich ein verändertes WLAN-Profil auf den Rechner, falls es dort nicht bereits importiert wurde. Dieses habe ich so geschrieben, dass ich im Dateinamen des WLAN-Profils das Datum und die Version mit angebe und zudem eine leere .txt Datei mit gleichem Namen auf den Rechner laden. Auf diese Weise kann ich prüfen, ob das Profil bereits auf dem Rechner geladen wurde und die Profildatei nach Anwendung wieder löschen (so kann sie nicht ausgelesen werden).
Nach Änderung des WLAN-Kennworts muss ich leider aber erstmal alle Laptops mit dem LAN verbinden und einmal neustarten. Alternativ könnte ich auch erst das Profil verteilen (also alle Rechner neustarten) und dann das Kennwort ändern. Beides umständlich - hier hoffe ich, dass das mit der LMN7.2 und der neuen Möglichkeit Linbo via WLAN zu betreiben, einfacher wird.
Details:
Folgenden Code in sysstart.bat und/oder sysstop.bat einfügen (Pfade und Werte in <…> entsprechend anpassen):
rem # Aktualisiere Wlan Profil
if not exist C:\linuxmuster-win\<profilname>-<datum>-<version>.txt (
xcopy \\server\netlogon\<schule-multischullösung>custom\windows\computer\<profilname>-<datum>-<version>.txt C:\linuxmuster-win\
xcopy \\server\netlogon\<schule-multischullösung>\custom\windows\computer\<profilname>-<datum>-<version>.xml C:\linuxmuster-win\
netsh wlan delete profile name=<pofilname>
netsh wlan add profile filename=C:\linuxmuster-win\<profilname>-<datum>-<version>.xml
del C:\linuxmuster-win\<profilname>-<datum>-<version>.xml
)
Das WLAN-Profil (xml-Datei) ensprechend mit neuem Preshared-Key anpassen und als neue Datei entsprechend anlegen: \\server\netlogon\<schule-multischullösung>\custom\windows\computer\<profilname>-<datum>-<version>.xml und die zugehörige leere txt Datei ebenso anlegen.
Anleitung zur Erst-Erstellung des Profils: z.B. Deploying WPA2 WiFi profile (including Pre-Shared key) using Group Policy • God Damn PC
das Script habe ich ähnlich gemacht, nur dass ich die Ausgabe des Scriptes in eine Textdatei umgeleitet habe. Dann kann man dort gleich sehen, ob alles fehlerfrei lief:
Bsp:
Die Textdatei verwende ich gleichzeitig als Kontrolle, ob das Profil schon installiert ist.
Im obigen Fall werden die Meldungen immer wieder am Dateiende angehängt. Will man, dass der bisherige Inhalt gelöscht und neu befüllt wird, verwendet man nur ein „>“ statt „>>“.
Der Trick „How to disable Users …“ verhindert vermutlich nur die GUI für die WLAN-Einstellungen. Über die Kommandozeile wäre es vermutlich immer noch möglich.
Ansonsten könnte man einen Radius-Server so aufsetzen, dass er zusätzlich ein Clientzertifikat abfragt, das installiert sein muss. (Geht nur mit Admin-Rechten.) Da wird’s aber aufwändig.
vielen Dank für euren Input. Ihr bringt mich auf Ideen, was man hier noch alles bedenken sollte. Das Problem mit den Hardwareklassen hätten wir mit unserem Ansatz eigentlich schon haben müssen, da wir in der Regel mit 2 oder 3 verschiedenen Laptopklassensätzen a 20 Geräten arbeiten. Aber hier hat es sowohl in der Verteilung innerhalb eines Laptopklassensatz und auch bei dem anderen Laptopklassensatz bisher funktioniert. Ggf. war es Zufall, dass die WLAN-Karten sehr ähnlich/gleich waren oder wir sowieso nochmal ein Image-Update gezogen haben wegen den fehlenden Treibern. Ich werde das bei unseren Geräten testen, aber dieses Auslesen über die CMD wäre natürlich dann trotzdem für pfiffige Schüler machbar und sollte verhindert werden. Bei ersten Tests hat sich aber herausgestellt, dass die cmd-Befehle als NichtAdmin die WLAN-Profile nur mit geschütztem/verschlüsseltem Passwort exportieren.
Können die Schüler die Dateien unter netlogon herunterladen und dann in ihre Geräte einlesen? Auf ihren Geräten haben sie Admin-Rechte und können den Schlüssel auslesen.
Wenn netsh nicht per GPO gesperrt ist und die Schüler die Konfiguration von den Schulgeräten auslesen und speichern, dann können sie diese auf ihren eigenen Geräten einspielen und da den Schlüssel auslesen.
In der Registry ist der Schlüssel gespeichert. Also die Festplatte verschlüsseln.
Windows bindet die IP und Zugangsdaten immer an die Netzwerkkarte selbst.
danke für deine Ergänzungen.
Zu 2.: Das heißt man kann sich das Profil mit geschütztem Passwort als XML in der Schule exportieren und zu Hause auf meinem privaten PC importieren und dann das WLAN-Passwort im Klartext wieder exportieren?
Zu 3.: An welcher Stelle in der Registry finde ich das PW im Klartext? Unter Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Profiles\ sehe ich die Profile, aber keine PW-Infos.