Wireless policies & Vista

  • Article

Et emne jeg har fått en del spørsmål rundt, tenkte derfor å få ut en blogpost om det. (har jo blitt litt lite poster i det siste, men kan love mer moro når vi begynner å slippe mer info om windows 7..)

 

I Windows XP, Vista, Server 2003 og 2008 er det en ting kalt Wireless Network (IEEE 802.11) Policies extension innebygget. Denne prosesserer den delen av GPO’en som inneholder wireless innstillinger, siden dette ikke er like rett fram registry settings som så mange andre innstillinger i en GPO egentlig er.

 

Du finner wireless innstillingene under følgende sti: Group Policy Object Editor snap-in: Computer Configuration | Windows Settings | Security Settings | Wireless Network (IEEE 802.11) Policies

 

Som standard er det ingen policier her overhodet. Hos oss har vi konfigurert for våre standard nett på alle kontorer, samt lagt inn blokkering for Ad-hoc baserte WLAN med samme SID som våre. For at personell med mindre kjennskap til wireless ikke skal bli lurt.

 

Det er noen mindre forskjeller på XP og Vista policiene. Hvis både en Vista og en XP policy er definert i en GPO vil XP og vista maskiner bruker hver sin. Dersom kun en XP policy er definert vil Vista bruke denne også.

For å få XP til å støtte den mulighetene kan du enten installer support.microsoft.com/kb/917021 eller oppgradre til SP3. Forskjellene i policy består i alle hovedsak av innstillinger for non-broadcasting networks, WP2 autentiseringsmetoder og wpa2 fast roaming innstillinger. Resten av posten tar utgangspunkt i Vista innstillinger.

 

 

Lage en policy

Når du lager en wireless policy i en GPO får du først opp General tab’en. Her angir du litt meta info og velger på WLAN Autoconfig skal benyttes. Denne tab’en har også en liste i bunn med de ulike prefererte nettverkene du ønsker å konfigurere (profiler). Her legger du til nettene og konfigurerer innstillinger for hver av dem, rekkefølgen de ligger i er viktig, mest prefert øverst. På den andre tab’en her kan du sette generelle Network Permissions (hele denne tab’en er ny for vista policier). Du kan blant annet konfigurere hvilke nettverk man har lov å koble, både generelt basert på type (infrastructure/ad-hoc) og spesifikt basert på SSID.  Du velger også om brukeren i det hele tatt skal se nettverk han/hun ikke har lov å koble til.   		  Technet: WLAN AutoConfig is a service that configures wireless security and connectivity settings. WLAN AutoConfig configures Institute of Electrical and Electronics Engineers (IEEE) 802.11 wireless adapters for connectivity to ad-hoc wireless networks, small-office wireless infrastructure networks, and for networks that provide 802.1X-authenticated network access. When enabled, WLAN AutoConfig settings apply to all IEEE 802.11 wireless network adapters that are installed on a computer. Home-network: WLAN AutoConfig service in Vista is actually similar to Wireless Zero Configuration service in XP that is used to detect available wireless network and manage wireless network profile. If you do not enable this feature, you need to use the other wireless utility which is provided by wireless adapter manufacturer in order to connect to wireless network.
Network permissions kan f.eks brukes slik jeg fortalte lenger opp at vi gjør det internt, men også til f.eks å sørge for at ikke brukere kobler til feil nettverk dersom man deler kontorbygg med andre firmaer som har gjestenett etc.    

Legge til profiler

På General tab’en kan du som sagt legge til profiler for ulike nett. Trykk på Add knappen for å få opp bildet under:

Her angir du navn på profilen og legger til SSID’er for nettet.

I boksene nederst kan du huke av for om maskina skal koble til automatisk når en av SSID’ene listet over er tilgjengelig og om et mer prefert nettverk, definert i en annen profil, skal benyttes istedet hvis det blir tilgjengelig. Isåfall vil maskina koble fra nettet du har definert her.

 

Til slutt kan du angi om det skal kobles til dettet nettet selvom det ikke broadcaster sin SSID. (selv ser jeg ingen grunn til å forsøksvis gjemme et wlan av sikkerhetsmessige grunner, ettersom det ikke funker. Se wikipedia sin korte forklaring til høyre. Men mulig det kan være praktiske årsaker som gjør det nyttig i noen tilfeller)

 

På security tab’en kan du legge til nettopp de aktuelle sikkerhetsinnstillingene for nettverket.

Hvis du velger 802.1x eller en av Enterprise modusene vil du få opp valgene rundt autentisering som vist i bilde til venstre.

 

Du kan også med vista/SP3 versjonen av policy motoren definerer ulike profiler for samme SSID, med forskjellige sikkerhetsinnstillinger, hvis du har klienter med ulik støtte for wireless sikkerhet/autentisering.

   Wikipedia: A service set identifier, or SSID, is a name used to identify the particular 802.11 wireless LANs to which a user wants to attach. A client device will receive broadcast messages from all access points within range advertising their SSIDs, and can choose one to connect to based on pre-configuration, or by displaying a list of SSIDs in range […] Some people have erroneously attempted to improve security by turning off the broadcast of the SSID.[2] To a user, depending on the wireless software, the network either does not show up, or is displayed as "Unnamed Network". […] This method is not secure, because every time someone connects to the network, the SSID is transmitted in cleartext even if the wireless connection is otherwise encrypted.

Schema extensions

For å få støtte for de nye innstillingene som er i Vista, Server 2008 og XP SP3 i et 2003 basert domene trenger du å utvide AD Schema litt. Se link til høyre for mer info og alt du trenger til dette.

 

   Schema extension for wireless, step-by-step på technet