# Windows WiFi: Profile, Enterprise Security & WPA3
TL;DR / Management Summary WLAN ist in modernen Büros das primäre Zugangsnetzwerk. Senior Admins nutzen keine Shared-Keys (WPA2-PSK), da diese schwer zu rotieren sind. Stattdessen setzen wir auf WPA2/WPA3 Enterprise (802.1X) mit zertifikatsbasierter Authentifizierung. Die Konfiguration erfolgt zentral via GPO oder Intune, sodass der User nie ein Passwort eingeben muss und der Zugriff beim Ausscheiden eines Mitarbeiters automatisch erlischt.
# 1. Einführung & Standards
Die Entwicklung der Verschlüsselung.
- WPA2 (CCMP/AES): Der aktuelle Standard. Sicher, aber anfällig für Offline-Wörterbuchangriffe (bei PSK).
- WPA3 (SAE): Der Nachfolger. Bietet Schutz vor Brute-Force und Perfect Forward Secrecy.
- 802.1X (Enterprise): Nutzer/PCs melden sich individuell gegen einen RADIUS-Server an.
# Warum WPA3?
WPA3 verhindert, dass Angreifer durch das Mitschneiden des Handshakes (4-Way-Handshake) später den Traffic entschlüsseln können, selbst wenn sie das Passwort nachträglich erfahren.
# 2. WiFi Management via CLI (netsh wlan)
Profile exportieren und importieren.
Admins nutzen netsh, um funktionierende Profile als XML zu sichern und auf andere Geräte zu verteilen.
# Alle gespeicherten WLAN-Profile anzeigen
netsh wlan show profiles
# Ein Profil als XML exportieren
netsh wlan export profile name="Firma-WLAN" folder=C:\Temp
# Passwort im Klartext anzeigen (lokal)
netsh wlan show profile name="Firma-WLAN" key=clear# Profil Import
netsh wlan add profile filename="C:\Temp\WLAN-Profil.xml"# 3. Deep Dive: 802.1X Enterprise Setup
Identität statt Passwort.
In einer Proxmox/Windows Umgebung nutzen wir meist einen Windows NPS (Network Policy Server) als RADIUS-Gateway.
# Der Authentifizierungs-Fluss
- Der Client sendet eine EAP-Request an den Access Point (Authenticator).
- Der AP leitet die Daten an den NPS-Server weiter.
- Der NPS prüft das Computer-Zertifikat im Active Directory.
- Der Client bekommt ein “Accept” und den VLAN-Tag zugewiesen.
# GPO-Konfiguration
Computerkonfiguration -> Windows-Einstellungen -> Sicherheitseinstellungen -> Drahtlosnetzwerk (IEEE 802.11)-Richtlinien
- Hier definieren wir die SSID, den Verschlüsselungstyp und dass das Computer-Zertifikat zur Anmeldung genutzt werden soll.
# 4. Day-2 Operations: Bandbreite & Roaming
Wenn das WLAN stockt.
# Wi-Fi Analyse mit Bordmitteln
# Erstellt einen detaillierten Report über die Signalqualität und Fehler
netsh wlan show wlanreport# Roaming Aggressiveness
Laptops “kleben” oft an weit entfernten Access Points. Lösung: Im Treiber-Eigenschaften (via PowerShell/GPO) die “Roaming-Aggressivität” auf “Mittel-Hoch” setzen.
# 5. Troubleshooting & “War Stories”
Funklöcher und Treiber-Bugs.
# Top 3 Fehlerbilder
-
Symptom: “Keine Verbindung mit diesem Netzwerk möglich” bei WPA3.
- Ursache: Veraltete WLAN-Karten (z.B. Intel 7260) unterstützen WPA3 hardwareseitig nicht.
- Lösung: Fallback auf WPA2/WPA3 Mixed Mode oder Hardware-Upgrade.
-
Symptom: User verliert die Verbindung beim Wechsel des Besprechungsraums.
- Ursache: Fehlkonfiguration im RADIUS-Roaming oder fehlendes “Fast Roaming” (802.11r) am AP.
-
Symptom: WLAN-Profile sind plötzlich verschwunden.
- Ursache: Ein “Cleaner”-Tool oder eine aggressive GPO hat den
WlansvcCache gelöscht.
- Ursache: Ein “Cleaner”-Tool oder eine aggressive GPO hat den
# “War Story”: Die “Schatten-SSID”
Ein Unternehmen wunderte sich über sporadische Account-Lockouts. Die Entdeckung: Ein Mitarbeiter hatte einen privaten Travel-Router mit der gleichen SSID wie das Firmen-WLAN aufgestellt. Die Laptops versuchten sich dort anzumelden, scheiterten (wegen falscher Auth-Methode) und sendeten dabei hunderte falsche Login-Versuche an das AD. Lehre: Aktivieren Sie Management Frame Protection (MFP) via WPA3, um das Spoofing von APs zu erschweren.
# 6. Monitoring & Sicherheit
Wer funkt hier?
# Rogue AP Detection
Überwachen Sie mit Ihren Managed Access Points (z.B. UniFi, Cisco), ob fremde Geräte Ihre Firmen-SSID ausstrahlen.
# Event Log Analyse
System Log -> Quelle WLAN-AutoConfig.
- ID 8001: Erfolgreiche Verbindung.
- ID 8003: Verbindung getrennt.
# 7. Fazit & Empfehlung
WLAN-Sicherheit steht und fällt mit der Wahl der Authentifizierung.
- Empfehlung: Nutzen Sie 802.1X mit Computer-Zertifikaten. Es ist am sichersten und für den User am komfortabelsten.
- Zukunft: Planen Sie die Einführung von WiFi 6E/7, um das 6-GHz Band für störungsfreie Kommunikation zu nutzen.
# Anhang: Cheatsheet
| Aufgabe | Befehl |
|---|---|
| Signalstärke live | netsh wlan show interfaces |
| Verfügbare SSIDs | netsh wlan show networks |
| Driver Details | netsh wlan show drivers |
| WLAN-Dienst Neustart | netsh wlan stop / start |