Sicheres WLAN mit PEAP und WPA2-Enterprise – Teil 2

Hier soll es darum gehen, wie Gruppenrichtlinien dazu genutzt werden können Windows Clients über SSO mit einem WPA2 geschützten WLAN zu verbinden.

Voraussetzung ist, ihr habt Teil1 erfolgreich zu Ende geführt.

Wir starten mal direkt im Gruppenrichtlinien Client mit einer neuen GPO Namens „D_WLAN_CFG“. Diese ist bei mir auf das Domain-Root verknüpft:

 

Durch einen Rechtsklick auf die GPO und einen Klick auf „Edit“ gelangt man in den GPO Editor. Hier klappen wir die Ordner „Policies“, „Windows Settings“ und „Security Settings“ aus. Nun können wir als erstes in „Wireless Network (IEEE 802.11) Policies“ wechseln und über einen Rechtsklick eine neue Policy für Windows Vista und neuere Windows-Versionen anlegen.

 

Ich nenne diese Policy mal „WLAN“. Durch einen Klick auf „Add“ können wir ein neues Profil hinzufügen:

 

Der hier eingegebene „Profile Name“ wird später auf den Windows-Clients angezeigt. Unter „Network Names“ fügen wir die SSID, die auf dem Accesspoint eingerichtet ist, hinzu:

 

 

Nun wechseln wir in den Security-Tab und wählen als Authentifizierungsmethode WPA2-Enterprise und als Verschlüsselung AES. Unter wählen wir dann noch MS PEAP aus, und dass sich sowohl User als auch Computer authentifizieren dürfen:

Als nächsten klicken wir auf „Advanced“ und schalten Single Sign On an:

Jetzt bestätigen wir alle Dialoge mit OK und wechseln in den Ordner „Public Key Policies“:

 

Hier werden wir als erstes die Policy Certificate Services Client – Auto-Enrollment bearbeiten und aktivieren:

Als zweites wählen wir die Certficate Path Valvation Settings und aktivieren sie mit den Standards:

 

Das war’s – wenn sich die Clients nun die neue Policy gezogen haben werden sie sich automatisch und per SSO am WLAN authentifizieren.

So sieht die Verbindung auf einem Windows 7 Client dann aus: