Es gibt verschieden Möglichkeiten, eine WLAN Verbindung zu realisieren. Bisher haben wir die eigentlich sicherste Variante umgesetzt, bei der sich ein Computer mit einem persönlichen Zertifikat bei einem Radiusserver anmeldet (vgl. diesen Beitrag). Diese Variante wird auch als “WPA2 – Enterprise” bezeichnet.

Zuhause verwendet man meist eine Variante, die auch als “WPA2 – Personal” bezeichnet wird. Die Verschlüsselung ist die gleiche (WPA2 (und bald wohl der Nachfolger WPA3)), aber die Art der Authentifizierung unterscheidet sich. Statt mit einem von einer Zertifikatinfrastruktur ausgestellten Zertifikat meldet man sich mit einem Passwort an. Alle Geräte mit demselben.

Im Zusammenhang mit Neuaufsetzen übers Internet (Stichwort Autopilot über Intune) werden wir wohl auch auf “WPA2 – Personal” wechseln müssen. Mit zertifikatbasiertem “WPA-Enterprise” kann es nicht funktionieren: Um ins interne Netzwerk zu kommen, benötigt der Computer ein Zertifikat und um ein Zertifikat zu erhalten, muss er sich im internen Netzwerk befinden…

Passwörter für “WPA2 – Personal” können unter Windows ausgelesen werden, aber nur mit lokalen Adminrechten:

“WPA-Enterprise” ist die sicherste Möglichkeit um Computer über ein WLAN mit dem internen Netzwerk zu verbinden. Der Sicherheitsverlust bei einem Wechsel zu „WPA-Personal“  ist aber meiner Meinung nach vertretbar. Im Gegenzug kann man mit “Autopilot” arbeiten und die Komplexität deutlich reduzieren, indem man den Server für PKI und Radius nicht mehr benötigt. Ein weiterer Schritt zu einer Cloud-only Umgebung.

Das Passwort für “WPA-Personal” kann man mit Intune verteilen. Dazu muss man über Intune –> “Device Configuration” –> “Profiles” ein entsprechendes WLAN Profil mit “WPA/WPA2-Personal” und einem “Pre-shared key” erstellen.