So erstellen Sie automatische Profile basierend auf Ihrem WLAN-Netzwerk

  • Netzwerkprofile ermöglichen die Automatisierung von IP, DNS, Firewall, VPN und gemeinsam genutzten Ressourcen basierend auf dem WLAN-Netzwerk oder dem Standort.
  • Tools wie Easy Net Switch, NetSetMan oder TCP/IP Manager erweitern die nativen Funktionen von Windows, um mit einem Klick zwischen verschiedenen Umgebungen zu wechseln.
  • In Unternehmensumgebungen verteilt Intune WLAN-Profile (einschließlich PSK und EAP in XML) zentral an mehrere Plattformen.
  • Zusätzliche Sicherheitsprofile, wie z. B. Verbindungsprofile und IPsec-Profile auf Routern, vervollständigen den Schutz und die Automatisierung standortübergreifend.
Joaquin Romero

19 Minuten

So erstellen Sie automatische Profile für Ihr WLAN-Netzwerk

Wenn Sie ständig zwischen Ihrem Heim-WLAN, dem Büronetzwerk, dem Universitätsnetzwerk oder Ihrem mobilen Hotspot wechseln, ist das manuelle Ändern der Netzwerkeinstellungen wirklich lästig. Glücklicherweise bieten Windows und andere Betriebssysteme Möglichkeiten dazu. Automatische Profile basierend auf dem WLAN-Netzwerk erstellen, mit dem Sie sich verbinden, steuern, welche Schnittstelle jeweils aktiviert ist, und Sicherheitsrichtlinien oder Firewalls anwenden, die auf die jeweilige Umgebung abgestimmt sind.

In diesem Artikel wird Ihnen detailliert gezeigt, wie sie funktionieren. NetzwerkprofileWas sie Ihnen unter Windows ermöglichen, wie Sie sie mit Tools wie Intune oder mit Sicherheitslösungen integrieren, welche Drittanbieterprogramme Sie benötigen, um noch weiter zu gehen, und wie all dies mit Konzepten wie Standorten, Schnittstellenprioritätsgruppen oder IPsec-Profilen in Unternehmensroutern zusammenpasst.

Was ist ein Netzwerkprofil und warum sollte man daran interessiert sein, es zu verwenden?

Ein Netzwerkprofil ist im Grunde eine Reihe von vordefinierte Parameter, die auf eine Verbindung angewendet werden (oder mehrere) abhängig von bestimmten Bedingungen: dem WLAN-Netzwerk, mit dem Sie sich verbinden, der aktiven Schnittstelle, dem Standort usw. Diese Parameter können von IP- und DNS-Servern über Firewall-Regeln, VPN-Nutzung, Drucker, freigegebene Ressourcen bis hin zu benutzerdefinierten Skripten reichen.

Unter Windows klassifiziert das System Netzwerke bereits als öffentlich oder privatWenn Sie sich zum ersten Mal mit einem WLAN- oder LAN-Netzwerk verbinden, fragt das System, ob es sich um ein vertrauenswürdiges Netzwerk handelt. Bejahen Sie die Frage, gilt es als privat; verneinen Sie, als öffentlich. Basierend auf dieser Entscheidung passt das System die Firewall und die Sichtbarkeit Ihres Geräts im Netzwerk an. Die Sicherheit wird in Heimnetzwerken oder kleinen Büros gelockert und in Netzwerken von Hotels, Flughäfen oder Cafés erhöht.

Eine privates NetzwerkWindows geht davon aus, dass Sie die Verbindungen kontrollieren und die Geräte bekannt sind. Dadurch können Sie beispielsweise andere Computer im Netzwerk erkennen, auf freigegebene Ordner zugreifen, Druckaufträge an Netzwerkdrucker senden oder Funktionen wie die Heimnetzgruppe oder das Streaming auf einen Smart-TV nutzen. Das System reduziert die Einschränkungen, da es die Umgebung als relativ sicher einschätzt.

Eine öffentliches NetzwerkWindows geht davon aus, dass das Netzwerk nicht vertrauenswürdig ist. Daher deaktiviert es die Geräteerkennung, die Datei- und Druckerfreigabe sowie andere Dienste, die Sie Angriffen von anderen verbundenen Geräten aussetzen könnten. Sicherheitslücken wie die in WhatsAppSie können weiterhin im Internet surfen, aber Ihr Gerät ist vom Rest isoliert, was von entscheidender Bedeutung ist, wenn Sie sich in einem Einkaufszentrum, Flughafen oder einem offenen Netzwerk mit dem WLAN verbinden.

Das Problem entsteht, wenn derselbe Laptop transportiert wird. mehrere Netzwerke mit sehr unterschiedlichen AnforderungenManche benötigen eine statische IP-Adresse, andere nutzen DHCP; manche erfordern einen Firmenproxy, andere ein aktiviertes VPN, und wieder andere nicht. Diese Einstellungen jedes Mal manuell zu ändern, ist mühsam und fehleranfällig. Hier kommen erweiterte Netzwerkprofile ins Spiel, sowohl in Windows als auch mithilfe spezieller Programme.

Automatisierte Einstellungen beim Wechsel von WLAN-Netzwerken in Windows

Windows ermöglicht es Ihnen, unterschiedliche Parameter pro Netzwerkprofil (öffentlich oder privat) und pro spezifischer Verbindung zu definieren, aber die integrierte Verwaltung ist unzureichend, wenn Sie möchten IP-Adresse, DNS-Server, Proxy, VPN und Firewall gleichzeitig ändern Jedes Mal, wenn eine andere SSID erkannt wird. Üblicherweise kombiniert man hierfür die Systemfunktionen mit externen Tools zur Verwaltung erweiterter Profile.

In der grafischen Netzwerkverwaltungsschnittstelle einiger Umgebungen (z. B. Distributionen, die ähnliche Konzepte wie die NCPs von Solaris verwenden) wird eine Unterscheidung getroffen. reaktive und feste NetzwerkprofileDas reaktive Profil „Automatisch“ versucht zunächst, eine kabelgebundene Verbindung herzustellen und greift bei einem Fehlschlag auf eine drahtlose Verbindung zurück. Das feste Profil „Standardfest“ definiert einen statischen Satz von Schnittstellen, der unverändert bleibt, bis er über Befehlszeilentools geändert wird.

Diese Profile steuern, welche Schnittstellen verwendet werden können. jederzeit aktivieren oder deaktivierenBei einem typischen Laptop mit Ethernet und WLAN empfiehlt es sich, bei verfügbarem Kabel nur Ethernet zu nutzen und WLAN aus Sicherheitsgründen zu deaktivieren – oder umgekehrt. Die Netzwerkeinstellungen bieten üblicherweise Ansichten für Verbindungsstatus, Netzwerkprofil und Verbindungseigenschaften. Dort sehen Sie den aktuellen Status, das aktive Profil und spezifische Eigenschaften (IP-Adresse, IPv4/IPv6, bevorzugte WLAN-Netzwerke usw.).

Darüber hinaus können Sie definieren Standorte Diese Einstellungen fassen Konfigurationen wie Namensdienste, Firewall und IPsec zusammen und werden manuell oder regelbasiert aktiviert (z. B. ein „Büro“-Standort, wenn eine IP-Adresse aus einem bestimmten Bereich bezogen wird, und ein „Heim“-Standort mit anderen Richtlinien). Es kann jeweils nur ein Standort aktiv sein. Dieser kann über das Netzwerksymbol oder mit Befehlen wie netadm auf Solaris-ähnlichen Systemen geändert werden.

Programme zur automatischen Erstellung von Profilen pro WLAN-Netzwerk

Um über die Standardfunktionen von Windows hinauszugehen, gibt es spezielle Tools, die Folgendes ermöglichen: vollständige Netzwerkprofile erstellen und anwenden Das hängt vom Netzwerk (SSID) ab, mit dem Sie verbunden sind, bzw. vom aktiven Adapter. Viele unterstützen Windows XP bis Windows 11.

Easy Net-Switch

Easy Net-Switch Es handelt sich um ein kostenpflichtiges Programm für Windows, das sich durch die enorme Anzahl an Netzwerkeinstellungen auszeichnet, die es verwalten kann. Obwohl die Benutzeroberfläche an die Windows-XP-Ära erinnert, ist es weiterhin kompatibel mit Windows XP, 7, 8, 10 und 11und umfasst sowohl eine grafische Benutzeroberfläche als auch einen Kommandozeilenmodus für fortgeschrittene Benutzer.

Mit Easy Net Switch können Sie Profile definieren, die praktisch alles steuern: IP-Adresse, Subnetzmaske, Gateway, DNS, WINS, NetBIOS, MAC-Spoofing, WLAN, VPN, Proxy, Firewall, Standarddrucker, Netzlaufwerke, statische RoutenSie können sogar Skripte ausführen oder die Hosts-Datei bearbeiten. Jeder Parameter ist optional; Sie können sich auf IP-Adresse und DNS beschränken oder ein sehr komplexes Profil für eine Unternehmensumgebung einrichten.

Das Erstellen eines Profils erfolgt üblicherweise durch Klicken auf die Schaltfläche „Neu“ mithilfe eines einfachen Assistenten, den Sie anschließend anpassen können. Im Abschnitt „Netzwerk“ wählen Sie aus, ob IP-Adresse und DNS-Server per DHCP bezogen oder statisch sind. Unter „Erweitert“ können Sie WINS und NetBIOS bearbeiten, die MAC-Adresse ändern, den DNS-Cache leeren und vieles mehr. Beim Anwenden eines Profils zeigt das Programm eine entsprechende Meldung an. Zusammenfassung der Änderungen und etwaiger FehlerDadurch wird es einfacher zu diagnostizieren, wenn etwas nicht funktioniert.

Im WLAN-Bereich von Easy Net Switch können Sie Folgendes definieren: Drahtlosprofile, die mit bestimmten SSIDs verknüpft sindSie können nach verfügbaren Netzwerken suchen oder den Namen manuell eingeben und die Authentifizierung anpassen: von vorab geteilten Schlüsseln (PSK) bis hin zu starker Authentifizierung mit RADIUS und verschiedenen EAP-Protokollen. So kann beispielsweise das Profil mit dem richtigen Schlüssel, der passenden EAP-Authentifizierung und gegebenenfalls dem VPN automatisch vorbereitet werden, sobald Sie die SSID des Unternehmens sehen.

Das Programm verwaltet auch die Einstellungen für Unternehmensmitteilung (einschließlich Authentifizierung), Einwahlverbindung, VPN und sogar integrierte Tools wie Ping und Traceroute sowie ein Desktop-Widget zur permanenten Anzeige der aktuellen IP-Adresse. Zu den Optionen gehören der Start mit Windows, das Minimieren in die Taskleiste, das Deaktivieren der automatischen WLAN-Netzwerkerkennung und der Passwortschutz für den Programmzugriff, um unbefugte Änderungen zu verhindern.

TCP/IP-Manager

TCP/IP-Manager Es handelt sich um ein kostenloses Open-Source-Projekt, das zwar seit Jahren nicht mehr aktualisiert wurde, aber unter aktuellen Windows-Versionen immer noch gut funktioniert. Der Fokus liegt auf der Erstellung unbegrenzter Netzwerkprofile, die die Netzwerkeinstellungen schnell ändern. IP-Konfiguration, Subnetzmaske, Gateway, DNS, Proxy, Arbeitsgruppenname und MAC-Adresse.

Einer seiner Vorteile ist, dass es Folgendes ermöglicht Aktuelle Konfiguration importieren Das System ermöglicht es Ihnen, ein Profil aus Ihren bestehenden Einstellungen zu erstellen, ohne alles manuell eingeben zu müssen. Es bietet außerdem die Möglichkeit, jedem Profil Batch-Dateien zuzuordnen, sodass beim Aktivieren automatisch zusätzliche Befehle ausgeführt werden (z. B. das Einbinden von Netzlaufwerken oder das Starten eines VPNs).

Das Umschalten zwischen Profilen kann über die Benutzeroberfläche selbst oder über … erfolgen. HotkeysIdeal für Anwender, die schnell zwischen verschiedenen Umgebungen (Firmennetzwerk, Labor, Kundenumgebung usw.) wechseln müssen. Darüber hinaus aktualisiert sich das Programm automatisch über das Web, sobald neue Versionen verfügbar sind, sodass kein manueller Download erforderlich ist.

IP-Shifter

IP-Shifter Es handelt sich um eine schlanke und kostenlose Option, die für Anwender mit einem einfacheren Funktionsumfang entwickelt wurde. Sie unterstützt Windows XP und spätere Versionen, einschließlich Windows 10 und Windows 11und funktioniert mit verschiedenen Adaptern, sowohl Ethernet als auch WLAN.

Seine Hauptfunktion besteht darin, Ihnen Änderungen zu ermöglichen, ohne das System neu starten zu müssen. IP-Konfiguration, Subnetzmaske, Gateway und DNS Es verwaltet außerdem Proxy-Konfigurationen für Browser wie Microsoft Edge oder Firefox, integriert einen schnellen Ping-Befehl und kann die im LAN vorhandenen Geräte erkennen sowie die öffentliche IP-Adresse anzeigen, die das Internet sieht.

Es bietet nicht den Funktionsumfang von Easy Net Switch oder NetSetMan, aber für Wechseln Sie zwischen zwei oder drei Basisumgebungen (z. B. eine statische IP-Adresse in einem industriellen Netzwerk und DHCP zu Hause) ist in der Regel ausreichend.

NetSetMan

NetSetMan Es ist wahrscheinlich die leistungsstärkste kostenlose Alternative zu Easy Net Switch. Es gibt eine kostenlose Version mit bis zu acht Profilen und eine kostenpflichtige Pro-Version mit Unbegrenzte Profile und mehr geschäftsorientierte OptionenIhre Philosophie ist, dass man mit einem einzigen Klick eine komplette Reihe von Netzwerkeinstellungen aktivieren kann.

Zu den Konfigurationen, die es ermöglicht, gehören die klassischen (IP, Maske, Gateway, DNS), die Arbeitsgruppe, Standarddrucker, Netzlaufwerke, Routingtabelle, SMTP-Server, PC-Name, MAC-Adresse, Netzwerkkartenstatus, Schnittstellengeschwindigkeit, MTU, VLAN Und vieles mehr. Sie können außerdem VPN-Serverparameter definieren, Batch-, VBScript- oder JavaScript-Skripte beim Profilwechsel starten, andere Programme ausführen und sogar WLAN-Einstellungen detailliert verwalten.

Die Pro-Version bietet zusätzliche Funktionen wie zum Beispiel Erweiterte Proxy-Konfigurationen und NetzwerkdomänenDiese Tools eignen sich hervorragend für die Integration in Unternehmensdomänen und zentrale Proxyserver. Die kostenlose Version ist jedoch nicht mit Windows Server kompatibel und beschränkt die Anzahl der Profile auf acht. Dies sollten Sie beachten, wenn Sie mehrere Standorte verwalten.

Mit Microsoft Intune verwaltete WLAN-Profile

In Unternehmensumgebungen, in denen Hunderte oder Tausende von Geräten verwaltet werden, kann man sich nicht darauf verlassen, dass jeder Benutzer sein WLAN-Netzwerk korrekt konfiguriert. Hier kommt Microsoft Intune ins Spiel, das Ihnen Folgendes ermöglicht: Erstellen Sie WLAN-Profile und verteilen Sie diese an Windows-, Android-, iOS- und macOS-Geräte. und andere, auf zentralisierte Weise.

Un Intune-WLAN-Profil Es handelt sich um einen Satz von Verbindungsparametern (SSID, Sicherheitstyp, Authentifizierungsmethode, Passwort, Zertifikate usw.), die Benutzergruppen oder Gerätegruppen zugewiesen werden. Sobald ein Gerät das Profil empfängt, erscheint das Netzwerk in der Liste der bekannten Netzwerke. Befindet es sich in Reichweite, kann sich das Gerät automatisch verbinden, ohne dass der Benutzer Einstellungen ändern muss.

Um ein Standard-WLAN-Profil in Intune zu erstellen, gehen Sie ähnlich vor wie bei anderen Richtlinien: Sie greifen auf die Microsoft Intune Admin CenterGehen Sie zu „Geräte“, „Einstellungen“, erstellen Sie eine neue Richtlinie, wählen Sie die Plattform (Android, iOS, macOS, Windows 10/11 usw.) und anschließend „WLAN“ oder die entsprechende Vorlage als Profiltyp. Definieren Sie dann den Profilnamen und eine Beschreibung und konfigurieren Sie die plattformspezifischen Optionen: SSID, Authentifizierungstyp (WPA2, WPA3, EAP-TLS usw.), Zertifikatsverwendung und erweiterte Parameter. Weisen Sie das Profil abschließend den entsprechenden Gruppen zu.

Die Zuordnung kann gefiltert werden mit BereichsbezeichnungenDiese Profile eignen sich zur Trennung von Verantwortlichkeiten zwischen verschiedenen IT-Teams (z. B. ein lokales Support-Team, das nur ein Land betreut). Nach der Verteilung erscheint das Profil in der Intune-Profilliste und wird bei der Gerätesynchronisierung automatisch angewendet.

WLAN-Profile mit PSK- und XML-Konfiguration über Intune

Schritte zum Erstellen automatischer Profile in Ihrem WLAN-Netzwerk

Zusätzlich zu den Standard-WLAN-Profilen ermöglicht Intune die Definition von benutzerdefinierten Profilen. WLAN-Profile basierend auf vorab geteiltem Schlüssel (PSK) und EAP Mithilfe von benutzerdefinierten Direktiven und WiFi CSP. Dies geschieht über XML-Dateien, die das WLAN-Profil beschreiben und über OMA-URI an die Geräte gesendet werden.

Vorab geteilte Schlüssel werden häufig verwendet für Benutzer in Heim-WLANs oder kleinen drahtlosen LANs authentifizierenMit Intune können Sie eine benutzerdefinierte Gerätekonfigurationsrichtlinie erstellen, die das WLAN-Profil im XML-Format und eine OMA-URI-Konfiguration enthält, welche dieses an das Betriebssystem übermittelt. Diese Option ist für Android (einschließlich der Profilmodi „Unternehmen“ und „Arbeit“), Windows und EAP-basierte Netzwerke verfügbar.

Damit es funktioniert, müssen Sie eine XML-Datei vorbereiten, die das Profil beschreibt, einschließlich Profilname, SSID (als Text und Hexadezimaldarstellung), Authentifizierungstyp, Verschlüsselungstyp, Schlüssel, Verbindungsmodus, ob das Netzwerk versteckt istetc. Alternativ können Sie diese XML-Datei auch von einem Windows-Computer extrahieren, auf dem das Netzwerk bereits mit netsh-Befehlen konfiguriert ist.

Um in Intune eine benutzerdefinierte Richtlinie zu erstellen, muss man zu „Geräte“, „Einstellungen“ navigieren, eine neue Richtlinie erstellen, die Plattform auswählen und als Typ „Benutzerdefiniert“ festlegen. Konfigurationsoptionen Fügen Sie einen neuen OMA-URI-Eintrag hinzu, der Folgendes angibt:

  • Name und Konfigurationsbeschreibung.
  • El OMA-URI geeignet, zum Beispiel:
    • Unter Android: ./Vendor/MSFT/WiFi/Profile/{SSID}/Settings
    • Unter Windows: ./Vendor/MSFT/WiFi/Profile/{SSID}/WlanXml
  • Datentyp "Zeichenkette".
  • Im Abschnitt «Value» befindet sich das vollständige XML des WLAN-Profils.

Es ist wichtig, dass der Wert von {SSID} in der OMA-URI übereinstimmt. beschreibender Netzwerkname im XML-ProfilEnthält der Name Leerzeichen, müssen diese in der OMA-URI als %20 kodiert werden. Zusätzlich muss im XML das Feld Der Wert muss auf „false“ gesetzt sein, damit der Schlüssel im Klartext übertragen wird (verschlüsselt durch den Managementkanal, aber nicht innerhalb des XML-Codes verschleiert). Ist er auf „true“ gesetzt, erwartet das Gerät möglicherweise ein verschlüsseltes Passwort und kann keine Verbindung herstellen.

Ein generisches Beispiel für ein WLAN-Profil mit PSK würde einen Block enthalten. mit dem Namen, der SSID in Hexadezimaldarstellung und Text, ESS , Auto , ein Block mit dem Authentifizierungstyp (z. B. WPA2PSK) und der Verschlüsselung (AES) sowie einem Block mit Passphrase , FALSCH Und Passwort , wobei "password" der Klartextschlüssel ist.

Bei EAP-basierten Netzwerken ist das XML wesentlich komplexer, da es Konfigurationen von EapHostConfig, Zertifikate, Servervalidierung, CA-Hashlisten, EKU usw.Es werden Parameter wie der EAP-Typ (z. B. 13 für EAP-TLS), die Quelle der Anmeldeinformationen (Zertifikatspeicher), ob eine Servervalidierung zulässig ist oder nicht, und mögliche Zertifikatsfilter unter Verwendung von Client-Authentifizierungs-EKUs definiert.

Sobald die benutzerdefinierte Richtlinie erstellt ist, wird sie denselben Gruppen zugewiesen wie ein Standard-WLAN-Profil. Bei der Registrierung oder Synchronisierung empfängt das Gerät die XML-Datei, importiert sie als WLAN-Profil und kann sich anschließend automatisch mit dem Netzwerk verbinden.

Erstellen Sie die XML-Datei aus einer bestehenden WLAN-Verbindung.

In vielen Fällen ist es bequemer, Windows die XML-Datei aus einer bestehenden, funktionierenden Verbindung generieren zu lassen. Um dies auf einem Windows-Computer zu tun, können Sie die folgenden grundlegenden Schritte befolgen: WLAN-Profil exportieren:

  1. Erstellen Sie einen lokalen Ordner, zum Beispiel c:\WiFi.
  2. Öffnen Sie die Eingabeaufforderung als Administrator.
  3. Lauf netsh wlan show profiles um die Namen bestehender Profile anzuzeigen.
  4. Exportieren Sie das gewünschte Profil mit
    netsh wlan export profile name=»ProfileName» folder=c:\WiFi.

Wenn das Profil einen vorab vereinbarten Schlüssel enthält und Sie möchten, dass das XML das Passwort im Klartext enthält (was für die korrekte Verwendung durch Intune erforderlich ist), wird der Parameter hinzugefügt. Schlüssel = klar zum Exportbefehl. Die generierte XML-Datei (mit einem Namen ähnlich wie Wi-Fi-Profilname.xml) kann mit einem Texteditor geöffnet, überprüft und direkt in den OMA-URI-Konfigurationswert in Intune kopiert werden.

Bestimmte Details müssen überwacht werden, wie zum Beispiel das Element Das exportierte Profil enthält keine Leerzeichen, die bei der Verwendung von Intune zu Zuordnungsfehlern führen könnten, oder dass der Wert Die angegebene SSID muss übereinstimmen. Außerdem müssen Sonderzeichen in XML (wie das kaufmännische Und-Zeichen &) korrekt maskiert werden, um Verarbeitungsfehler zu vermeiden.

Bewährte Vorgehensweisen bei der Verwendung von PSK und dem Drehen von Tasten

Bei der Verwaltung von WLAN-Netzwerken mit PSK in einer Unternehmensumgebung ist eine sorgfältige Planung unerlässlich. PasswortrotationEine abrupte Änderung des Passworts ohne Vorwarnung kann dazu führen, dass viele Geräte, die auf dieses Netzwerk angewiesen sind, um mit Intune zu kommunizieren und die neuen Einstellungen zu empfangen, von der Verbindung getrennt werden.

Es empfiehlt sich, zunächst zu überprüfen, ob die Geräte kompatibel sind. Stellen Sie eine direkte Verbindung zum Zugangspunkt her. Bei der geplanten Konfiguration sollte der Schlüsselwechsel so gestaltet sein, dass eine alternative Internetverbindung zur Verfügung steht: ein Gastnetzwerk, ein temporäres paralleles WLAN-Netzwerk oder mobile Daten. So können Geräte auch dann das neue Profil empfangen, wenn das Firmen-WLAN seinen PSK ändert.

Es ist außerdem ratsam, die Bereitstellung neuer Profile in einem bestimmten Zeitraum zu planen. außerhalb der Stoßzeiten Die Nutzer werden darüber informiert, dass die Verbindung für einen bestimmten Zeitraum beeinträchtigt sein kann. Dies reduziert die Auswirkungen auf die Produktivität und erleichtert die Überwachung von Fehlern oder Anomalien während des Prozesses.

Netzwerkverbindungsprofile und Firewall-Regeln

Einige Sicherheitslösungen, wie z. B. Endpoint Protection Suites (Sechskant), ermöglichen die Definition benutzerdefinierte Netzwerkverbindungsprofile Diese Profile werden bestimmten Verbindungen basierend auf Auslösern oder Bedingungen zugewiesen. Sie fügen der Windows-Konfiguration eine zusätzliche Ebene hinzu und passen Firewall, Gerätesichtbarkeit und andere Schutzmechanismen an das Netzwerk an.

In der erweiterten Konfigurationskonsole gibt es üblicherweise einen Abschnitt „Netzwerkverbindungsprofile“ mit vordefinierten Profilen wie z. B. privat y Público Diese Profile können nicht geändert oder gelöscht werden. Das private Profil ist für vertrauenswürdige Netzwerke (Heimnetzwerk oder Büronetzwerk) vorgesehen, in denen der Zugriff auf freigegebene Dateien, Drucker, eingehende RPC-Kommunikation und Remote-Desktops erlaubt ist. Das öffentliche Profil hingegen blockiert die gemeinsame Nutzung von Dateien und Ressourcen und ist für nicht vertrauenswürdige Netzwerke gedacht.

Zusätzlich zu diesen Profilen können Sie erstellen benutzerdefinierte Profile und Parameter wie Name, Beschreibung, zusätzliche vertrauenswürdige Adressen, ob die Verbindung als vertrauenswürdig eingestuft wird (Hinzufügen ganzer Subnetze zum sicheren Bereich), anpassen und Funktionen wie den „Bericht über schwache WLAN-Verschlüsselung“ aktivieren, der Sie warnt, wenn Sie eine Verbindung zu offenen oder schlecht geschützten Netzwerken herstellen.

Jedes Profil kann haben AktivatorenDas heißt, es gibt Bedingungen, die erfüllt sein müssen, damit ein Profil einer Verbindung zugewiesen werden kann: Gateway-IP-Adresse, WLAN-SSID, Netzwerktyp usw. Die Profile werden nach Priorität geordnet, und das erste, das die Bedingungen erfüllt, wird angewendet. So kann man beispielsweise ein spezifisches Profil für das Firmen-WLAN, ein generisches für Heimnetzwerke und ein sehr restriktives für unbekannte öffentliche Netzwerke erstellen.

Profil- und Standortverwaltung in fortgeschrittenen Umgebungen

In fortgeschritteneren Systemen oder in Unternehmensnetzwerken mit Solaris oder anderen Plattformen wird das Konzept des Netzwerkprofils kombiniert mit Netzwerkkonfigurationseinheiten (NCUs), Prioritätsgruppen und StandorteÜber eine grafische Benutzeroberfläche der Netzwerkeinstellungen oder Befehle wie ipadm, dladm, netcfg und netadm können Sie reaktive und feste Profile erstellen, Schnittstellen gruppieren und Aktivierungsregeln definieren.

Die Netzwerkprofilansicht der Benutzeroberfläche zeigt ein Liste der verfügbaren ProfileIndikatoren zeigen an, welches Profil aktiv ist. Systemdefinierte Profile wie „Automatisch“ und „Standardfest“ können nicht bearbeitet oder gelöscht werden, Sie können jedoch mehrere benutzerdefinierte reaktive Profile erstellen. Jedes Profil enthält eine Reihe von Verbindungen (NCUs), die beim Inkrafttreten des Profils aktiviert oder deaktiviert werden.

Zur Organisation von Schnittstellen werden folgende Elemente verwendet: Prioritätsgruppen mit drei Haupttypen:

  • Exklusiv: Nur eine Verbindung in der Gruppe kann aktiv sein, und solange eine aktiv ist, werden Gruppen mit niedrigerer Priorität nicht berücksichtigt.
  • Gemeinsam: Alle möglichen Verbindungen in der Gruppe werden aktiviert, und solange mindestens eine aktiv ist, werden keine unteren Gruppen verwendet.
  • Alle: Alle müssen aktiv sein; falls eine ausfällt, werden alle deaktiviert, ohne dass versucht wird, Gruppen mit niedrigerer Priorität zu deaktivieren.

Das Profil „Automatisch“ hat beispielsweise in der höchsten Prioritätsgruppe üblicherweise Folgendes: kabelgebundene SchnittstellenDrahtlose Verbindungen haben eine niedrigere Priorität. Daher wird, sofern ein Kabel verfügbar ist, Ethernet immer bevorzugt und WLAN nur in absolut notwendigen Fällen genutzt.

Da der NetzwerkstandorteDiese Einstellungen gruppieren Konfigurationen für Namensdienste (DNS, LDAP usw.) und Sicherheit (Konfigurationsdateien für IP- und IPsec-Firewalls). Es können Systemstandorte (Automatisch, Kein Netzwerk, Standardfest), manuelle Standorte oder bedingte Standorte definiert werden. Manuelle Standorte werden über das Dialogfeld „Standorte“ aktiviert, während bedingte Standorte anhand von Regeln (z. B. Netzwerktyp, bezogene IP-Adresse usw.) aktiviert werden.

Über die grafische Benutzeroberfläche können Sie den Aktivierungsmodus eines Standorts ändern, ihn auf „Nur manuell“ oder „Regelgesteuert“ einstellen und diese Regeln bearbeiten, um genau festzulegen, wie er aktiviert wird. In welchen Situationen wird welches Maßnahmenpaket angewendet?Durch die Aktivierung eines neuen Standorts wird der vorherige Standort stets deaktiviert, sodass immer nur ein Standort aktiv ist.

IPsec-Profile auf Routern für sichere Verbindungen

Dieses gesamte Profilierungssystem beschränkt sich nicht auf Endgeräte. Es gilt auch für professionelle Router, wie beispielsweise die Router der Serie. Cisco RV160 und RV260Es werden IPsec-Profile verwendet, die festlegen, wie der Datenverkehr zwischen Standorten mithilfe von VPN geschützt wird.

Un IPsec-Profil Es fasst die Algorithmen und Parameter zusammen, die bei der Schlüsselaushandlung (Phase I und IKE) und der Datenverschlüsselung (Phase II) verwendet werden. Dazu gehören Aspekte wie der Verschlüsselungsalgorithmus (3DES, AES-128, AES-192, AES-256), die Authentifizierungsmethode (MD5, SHA1, SHA2-256), die Diffie-Hellman-Gruppe (z. B. Gruppe 2 mit 1024 Bit oder Gruppe 5 mit 1536 Bit), die Dauer der Sicherheitsassoziationen (SAs) und ob der automatische (IKEv1 oder IKEv2) oder der manuelle Schlüsselerzeugungsmodus verwendet wird.

La Phase I Es stellt eine sichere, authentifizierte Verbindung zwischen den beiden VPN-Endpunkten her, indem es Schlüssel aushandelt und die Kommunikationspartner authentifiziert. In dieser Phase werden IKEv1 oder IKEv2, die DH-Gruppe, der Verschlüsselungsalgorithmus, der Authentifizierungs-Hash sowie die SA-Lebensdauer (z. B. 28800 Sekunden) ausgewählt. IKEv2 wird in der Regel bevorzugt, da es effizienter ist, weniger Paketaustausch erfordert und mehr Authentifizierungsoptionen unterstützt.

La Phase II Es übernimmt die Verschlüsselung des eigentlichen Datenverkehrs. Sie legen fest, ob ESP (für Verschlüsselung und optional Authentifizierung) oder AH (nur Authentifizierung, ohne Vertraulichkeit) verwendet werden soll, wählen die Verschlüsselungs- und Hash-Algorithmen erneut aus, prüfen, ob Perfect Forward Secrecy (PFS) gewünscht ist, und passen die Lebensdauer der IPsec-SA an (z. B. 3600 Sekunden). Es wird üblicherweise empfohlen, die Lebensdauer von Phase I wie folgt zu gestalten: größer als in Phase IIsodass Datenschlüssel häufiger erneuert werden als Kanalschlüssel.

Konfigurieren Sie einen RV160/RV260 wie folgt: Gehen Sie im VPN-Menü zu IPSec VPN > IPSec-Profile, fügen Sie ein neues Profil hinzu, benennen Sie es (z. B. „HomeOffice“), wählen Sie den Schlüsselerstellungsmodus (Automatisch), die IKE-Version (idealerweise IKEv2, falls beide Enden dies unterstützen), die Parameter für Phase I und Phase II, aktivieren Sie PFS, falls möglich, und wählen Sie für Phase II erneut die DH-Gruppe aus. Speichern Sie die Konfiguration abschließend, damit sie auch nach Neustarts erhalten bleibt. Konfiguration, die beim Start ausgeführt wird.

Es ist von entscheidender Bedeutung, dass beide Enden eines Tunnels, der eine Baustellenverbindung herstellt, über die gleichen Profilparameter (gleiche Algorithmen, Lebensdauern, IKE-Version, PSK oder Zertifikate usw.). Andernfalls schlägt die Aushandlung fehl und der Tunnel wird nicht aufgebaut.

Zusammengenommen ermöglicht diese Kombination aus WLAN-Profilen, Netzwerkprofilen, Standorten, Intune-Konfiguration und IPsec-Profilen auf Routern die Schaffung von Umgebungen, in denen sich Ihr Computer, Laptop oder Mobilgerät nahezu automatisch an das jeweilige Netzwerk anpasst. Wählen Sie die richtige Schnittstelle, wenden Sie die korrekten Sicherheitsmaßnahmen an, stellen Sie eine WLAN-Verbindung ohne Benutzereingriff her, aktivieren Sie das VPN bei Bedarf und passen Sie die Firewall dem jeweiligen Kontext an.Das ist letztendlich der praktischste und sicherste Weg, um automatische Profile basierend auf dem verwendeten WLAN-Netzwerk zu erstellen. Geben Sie diese Informationen weiter, damit mehr Benutzer über das Thema Bescheid wissen..