Jeg havde en snak med en kunde omkring generel sikkerhed og best practice i forhold til hvilke enheder der var på produktions netværket. Som det var indtil da kom alle enheder på samme netværk – produktions netværket.
For at minimere antallet af sårbarheder på netværket er det bedre at lave en segmentering af enhederne, så f.eks. arbejds og privat telefoner, Sonos enheder, video konference udstyr osv kommer væk fra det primære netværk. Der kommer hele tiden meldinger om sårbarheder på alle mulige devices, så det er vigtigt at gøre angrebs fladen så lille som mulig.
Nok om den del, det kunne der bruges mange flere ord på at beskrive. Vi fik snakket om hvordan vi nemmest fik lavet ændringen, og meldinger om at skrive rundt til samtlige brugere for at få dem til at skifte fra et SSID til et andet, nok næppe ville give en 100% succesrate. Beslutningen var at ændre passwordet på det primære SSID, da alle brugere sad på det kablede netværk og kun brugte wifi i mødelokaler eller andre kontorer. Alle brugere fik info om at ændre deres telefoner til at benytte tlf SSID’et. For så at sikre at alle brugere fik det nye SSID tilknyttet, lavede jeg et lille batch script. Det tilknyttede jeg i en GPO samt lave det så alle brugere også i fremtiden fik det automatisk tilknyttet.
Sæt en laptop til at køre på SSID’et med den nye kode Kør netsh wlan export profile key=clear folder=”c:\temp” i en dos prompt.
Under C:\temp ligger nu alle de SSID’er den har på maskinen. Flyt den gældende xml fil, og slet resten.
Opret en .cmd fil med følgende indhold, hvor “server” selvfølgelig bliver skiftet ud med en rigtig sti i domænet. Den tjekker på om den har været importeret ved at den skriver output til c:\wifiset.txt filen når den er kørt. Tjekket kan også fjernes helt, så kører den bare hver gang der logges ind.
@echo off
if not exist “C:\temp\” mkdir C:\temp
SET WIFISET=c:\temp\wifiset.txt
IF EXIST %WIFISET% GOTO END
netsh wlan add profile filename=\\server\deployment\WifiPassword\Wi-Fi-ssid.xml user=all > %WIFISET%
:END
For at få den til at køre via en GPO, så tilføjes der under User Configuration > Policies > Windows Settings > Scripts (Logon/Logoff) i logon det script der blevet lavet ovenover, og så er alt kørende.