Управляем беспроводными сетями в Windows 7 с помощью групповых политик

Данная статья посвящена методике блокировки беспроводных сетей на компьютерах с Windows 7 (в данном примере мы будем блокировать беспроводную сеть с SSID – «dlink»). В первой части мы поговорим о методике, заключающейся в создании черного списка (Black List) Wi-Fi сетей, доступ к которым ваших пользователей вы хотите ограничить, ведь некоторые бесплатные общедоступные сети Wi-Fi являются ни чем иным, как местом сбора злоумышленниками конфиденциальной информации и паролей пользователей.

Во второй части мы смоделируем обратную ситуацию, когда нужно заблокировать все беспроводные сети, кроме указанной (SSID — “private_ab”) — White List. Эта методика используется, если вы хотите разрешить пользователям подключаться только к доверенным и безопасным сетям.

И, наконец, я покажу, как можно полностью заблокировать беспроводному адаптеру подключаться к какой-бы то не было Wi-Fi сети.

Данная инструкция основывается на применении групповых политик и будет работать на Windows 7 и Vista, в которых появились специальные параметры групповых политик по управлению беспроводными подключениями.

Блокируем/ разрешаем подключение к беспроводным сетям с помощью групповых политик

Примечание: Шаги с 1 по 5 являются общими, и неважно организуете ли вы черный или белый список беспроводных сетей. Шаги 6 и 7 немного отличаются, в зависимости от того какой тип фильтрации WI-FI вы хотите использовать.

1. Создайте новый объект групповой политики Group Policy Object — GPO (или же воспользуйтесь уже существующим), прилинкованный к OU, на который должна действовать данная политика (если вы работаете с отдельно стоящей машиной, отредактируйте локальную политику).

2. Перейдите в раздел групповых политик: Computer Configuration > Policies > Windows Settings > Security Settings > Wireless Network (IEEE 802.11) Policies

3. В меню выберите пункт “Action” и создайте новую политику, выбрав пункт “Create A New Wireless Network Policy for Windows Vista and Later Releases”.

4. Затем укажем имя политики (Policy Name) и ее описание (Description). Удостоверьтесь, что опция “Use Windows WLAN AutoConfig service for clients” включена, тем самым вы запретите управление беспроводными адаптерами сторонним программным обеспечением (например, Intel Wireless LAN configuration Tool), управлять ими будет сама ОС Windows.

5. Перейдите на вкладку Network Permission и нажмите “Add…”

Настройка черного списка беспроводных сетей

6. Укажите SSID той, сети которую необходимо заблокировать (например, “dlink”), затем укажите тип сети Network Type (например, Infrastructure) и в разделе разрешений выберите «Deny”, нажмите “OK”

После применения данной политики пользователи больше не смогут подключаться к беспроводным сетям, настроенным как Deny (в этом случае это “dlink”)

Настройка белого списка беспроводных сетей

6. Укажите SSID той сети, которую вы хотите добавить в белый список (пусть это будет “private_ab”), укажите тип сети (Infrastructure) и в качестве разрешения — «Allow”, затем нажмите “OK”

7. Отметьте опции “Prevent connections to ad-hoc networks” и “Prevent connections to infrastructure networks” и “OK”

Теперь, на компьютерах, к которым применяется эта политика невозможно будет подключиться ни к одной беспроводной сети, кроме сети с именем “private_ab”.

Как заблокировать беспроводной доступ с помощью групповой политики

Если вы хотите полностью запретить вашим пользователям подключаться к Wi-Fi сетям, пропустите шаг 6 в процедуре создания доверенного списка сетей, просто включите опции “Prevent connections to ad-hoc networks” и “Prevent connections to infrastructure networks”.

Теперь пользователи не смогут подключиться ни к одной из доступных беспроводных сетей, а при попытке подключения будут получать сообщение “Your network administrator has blocked you from connecting to this network”.

Аналогичные операции можно выполнить и без помощи групповых политик, подробности в статье Настраиваем фильтрацию Wi-Fi сетей в Windows 8 с помощью команды netsh.

Network Policies

Applies to: Windows Server (Semi-Annual Channel), Windows Server 2016

You can use this topic for an overview of network policies in NPS.

In addition to this topic, the following network policy documentation is available.

Network policies are sets of conditions, constraints, and settings that allow you to designate who is authorized to connect to the network and the circumstances under which they can or cannot connect.

When processing connection requests as a Remote Authentication Dial-In User Service (RADIUS) server, NPS performs both authentication and authorization for the connection request. During the authentication process, NPS verifies the identity of the user or computer that is connecting to the network. During the authorization process, NPS determines whether the user or computer is allowed to access the network.

To make these determinations, NPS uses network policies that are configured in the NPS console. NPS also examines the dial-in properties of the user account in Active DirectoryВ® Domain Services (AD DS) to perform authorization.

Network Policies — An Ordered Set of Rules

Network policies can be viewed as rules. Each rule has a set of conditions and settings. NPS compares the conditions of the rule to the properties of connection requests. If a match occurs between the rule and the connection request, the settings defined in the rule are applied to the connection.

When multiple network policies are configured in NPS, they are an ordered set of rules. NPS checks each connection request against the first rule in the list, then the second, and so on, until a match is found.

Each network policy has a Policy State setting that allows you to enable or disable the policy. When you disable a network policy, NPS does not evaluate the policy when authorizing connection requests.

If you want NPS to evaluate a network policy when performing authorization for connection requests, you must configure the Policy State setting by selecting the Policy enabled check box.

Network policy properties

There are four categories of properties for each network policy:

Overview

These properties allow you to specify whether the policy is enabled, whether the policy grants or denies access, and whether a specific network connection method, or type of network access server (NAS), is required for connection requests. Overview properties also allow you to specify whether the dial-in properties of user accounts in AD DS are ignored. If you select this option, only the settings in the network policy are used by NPS to determine whether the connection is authorized.

Conditions

These properties allow you to specify the conditions that the connection request must have in order to match the network policy; if the conditions configured in the policy match the connection request, NPS applies the settings designated in the network policy to the connection. For example, if you specify the NAS IPv4 address as a condition of the network policy and NPS receives a connection request from a NAS that has the specified IP address, the condition in the policy matches the connection request.

Constraints

Constraints are additional parameters of the network policy that are required to match the connection request. If a constraint is not matched by the connection request, NPS automatically rejects the request. Unlike the NPS response to unmatched conditions in the network policy, if a constraint is not matched, NPS denies the connection request without evaluating additional network policies.

Settings

These properties allow you to specify the settings that NPS applies to the connection request if all of the network policy conditions for the policy are matched.

When you add a new network policy by using the NPS console, you must use the New Network Policy Wizard. After you have created a network policy by using the wizard, you can customize the policy by double-clicking the policy in the NPS console to obtain the policy properties.

For examples of pattern-matching syntax to specify network policy attributes, see Use Regular Expressions in NPS.

For more information about NPS, see Network Policy Server (NPS).

Политики диспетчера списка сетей Network List Manager policies

Область применения Applies to

Политики диспетчера списков сетей — это параметры безопасности, которые можно использовать для настройки различных аспектов отображения сетей на одном или многих устройствах. Network List Manager policies are security settings that you can use to configure different aspects of how networks are listed and displayed on one device or on many devices.

Чтобы настроить политики диспетчера сетевых списков для одного устройства, можно использовать консоль управления (MMC) с оснасткой редактора объектов групповой политики и изменить политику локального компьютера. To configure Network List Manager Policies for one device, you can use the Microsoft Management Console (MMC) with the Group Policy Object Editor snap-in, and edit the local computer policy. Политики диспетчера сетевых списков расположены по следующему пути в редакторе объектов групповой политики: конфигурация компьютера | Параметры Windows | Параметры безопасности | Политики диспетчера списков сетей The Network List Manager Policies are located at the following path in Group Policy Object Editor: Computer Configuration | Windows Settings | Security Settings | Network List Manager Policies

Чтобы настроить политики диспетчера сетевых списков для многих компьютеров, например для всех доменных компьютеров в домене Active Directory, следуйте документации по групповой политике, чтобы узнать, как изменить политики для требуемого объекта. To configure Network List Manager Policies for many computers, such as for all of the Domain Computers in an Active Directory domain, follow Group Policy documentation to learn how to edit the policies for the object that you require. Путь к политикам диспетчера списков сетей такой же, как и в списке выше. The path to the Network List Manager Policies is the same as the path listed above.

Параметры политики для политик диспетчера списков сетей Policy settings for Network List Manager Policies

Для политик диспетчера сетевых списков предоставляются следующие параметры политики. The following policy settings are provided for Network List Manager Policies. Эти параметры политики находятся в области сведений редактора объектов групповой политики в сетевом имени. These policy settings are located in the details pane of the Group Policy Object Editor, in Network Name.

Неопознанных сетей Unidentified Networks

Этот параметр политики позволяет настроить сетевое расположение, включая тип расположения и разрешения пользователей, для сетей, которые Windows не может определить из-за проблемы с сетью или отсутствия идентифицируемых символов в данных сети, полученных операционной системой из сети. This policy setting allows you to configure the Network Location, including the location type and the user permissions, for networks that Windows cannot identify due to a network issue or a lack of identifiable characters in the network information received by the operating system from the network. Сетевое расположение определяет тип сети, к которую подключен компьютер, и автоматически задает соответствующие параметры брандмауэра для этого расположения. A network location identifies the type of network that a computer is connected to and automatically sets the appropriate firewall settings for that location. Для этого параметра политики можно настроить следующие элементы: You can configure the following items for this policy setting:

Тип расположения. Location type. Для этого элемента доступны следующие параметры: For this item, the following options are available:

Не настроено. Not configured. При выборе этого параметра этот параметр политики не применяет тип расположения к неопознанным сетевым подключениям. If you select this option, this policy setting does not apply a location type to unidentified network connections.

Частный. Private. При выборе этого параметра этот параметр политики применяет тип расположения Private к неопознанным сетевым подключениям. If you select this option, this policy setting applies a location type of Private to unidentified network connections. Частная сеть, например домашняя или работа, это тип расположения, который предполагает, что вы доверяете другим компьютерам в сети. A private network, such as a home or work network, is a location type that assumes that you trust the other computers on the network. Не выбирайте этот элемент, если существует вероятность того, что активная, неопознанный сеть находится в публичном месте. Do not select this item if there is a possibility that an active, unidentified network is in a public place.

Public. Public. При выборе этого параметра этот параметр политики применяет тип расположения Public к неопознанным сетевым подключениям. If you select this option, this policy setting applies a location type of Public to unidentified network connections. Общедоступные сети, такие как беспроводная сеть в аэропорту или кафе, — это тип расположения, который предполагает, что вы не доверяете другим компьютерам в сети. A public network, such as a wireless network at an airport or coffee shop, is a location type that assumes that you do not trust the other computers on the network.

Разрешения пользователей. User permissions. Для этого элемента доступны следующие параметры: For this item, the following options are available:

• Не настроено.Not configured. При выборе этого параметра этот параметр политики не указывает, могут ли пользователи изменять расположение для неидентифицированных сетевых подключений. If you select this option, this policy setting does not specify whether users can change the location for unidentified network connections.
• Пользователь может изменить расположение.User can change location. При выборе этого параметра политики пользователи могут изменить расположение сетевого подключения с «Частное» на «Открытое» или с «Открытое» на «Частное». If you select this option, this policy setting allows users to change an unidentified network connection location from Private to Public or from Public to Private.
• Пользователь не может изменить расположение.User cannot change location. При выборе этого параметра этот параметр политики не позволяет пользователям изменять расположение неопознанных сетевых подключений. If you select this option, this policy setting does not allow users to change the location of an unidentified network connection.

Определение сетей Identifying Networks

Этот параметр политики позволяет настроить **** сетевое расположение для сетей, которые находятся во временном состоянии, пока Windows работает для определения сети и типа расположения. This policy setting allows you to configure the Network Location for networks that are in a temporary state while Windows works to identify the network and location type. Сетевое расположение определяет тип сети, к которую подключен компьютер, и автоматически задает соответствующие параметры брандмауэра для этого расположения. A network location identifies the type of network that a computer is connected to and automatically sets the appropriate firewall settings for that location. Для этого параметра политики можно настроить следующие элементы: You can configure the following items for this policy setting:

Тип расположения. Location type. Для этого элемента доступны следующие параметры: For this item, the following options are available:

• Не настроено.Not configured. При выборе этого параметра этот параметр политики не применяет тип расположения к сетевым подключениям, которые находятся в процессе определения Windows. If you select this option, this policy setting does not apply a location type to network connections that are in the process of being identified by Windows.
• Частный. Private. При выборе этого параметра этот параметр политики применяет тип расположения Private к сетевым подключениям, которые находятся в процессе определения. If you select this option, this policy setting applies a location type of Private to network connections that are in the process of being identified. Частная сеть, например домашняя или работа, — это тип расположения, который предполагает, что вы доверяете другим устройствам в сети. A private network, such as a home or work network, is a location type that assumes that you trust the other devices on the network. Не выбирайте этот элемент, если существует вероятность того, что активная, неопознанный сеть находится в публичном месте. Do not select this item if there is a possibility that an active, unidentified network is in a public place.
• Public. Public. Если выбран этот параметр политики, этот параметр политики применяет тип расположения Public к сетевым подключениям, которые находятся в процессе определения Windows. If you select this option, this policy setting applies a location type of Public to network connections that are in the process of being identified by Windows. Общедоступные сети, например беспроводная сеть в аэропорту или кафе, — это тип расположения, который предполагает, что вы не доверяете другим устройствам в сети. A public network, such as a wireless network at an airport or coffee shop, is a location type that assumes that you do not trust the other devices on the network.

Все сети All Networks

Этот параметр политики позволяет указать разрешения пользователя, которые определяют, могут ли пользователи изменять имя, расположение или значок сети для всех сетей, к которым пользователь подключается. **** This policy setting allows you to specify the User Permissions that control whether users can change the network name, location, or icon, for all networks to which the user connects. Для этого параметра политики можно настроить следующие элементы: You can configure the following items for this policy setting:

Имя сети. Network name. Для этого элемента доступны следующие параметры: For this item, the following options are available:

• Не настроено.Not configured. При выборе этого параметра этот параметр политики не указывает, могут ли пользователи изменять имя сети для всех сетевых подключений. If you select this option, this policy setting does not specify whether users can change the network name for all network connections.
• Пользователь может изменить имя.User can change name. При выборе этого параметра пользователи могут изменить имя сети для всех сетей, к которым они подключаются. If you select this option, users can change the network name for all networks to which they connect.
• Пользователь не может изменить имя.User cannot change name. При выборе этого параметра пользователи не смогут изменить имя сети для сетей, к которым они подключаются. If you select this option, users cannot change the network name for any networks to which they connect.

Сетевое расположение. Network location. Для этого элемента доступны следующие параметры: For this item, the following options are available:

• Не настроено.Not configured. При выборе этого параметра этот параметр политики не указывает, могут ли пользователи изменять расположение для всех сетевых подключений. If you select this option, this policy setting does not specify whether users can change the location for all network connections.
• Пользователь может изменить расположение.User can change location. Если выбран этот параметр, этот параметр политики позволяет пользователям изменять все сетевые расположения с «Частное» на «Открытое» или «Открытое» на «Частное». If you select this option, this policy setting allows users to change all network locations from Private to Public or from Public to Private.
• Пользователь не может изменить расположение.User cannot change location. При выборе этого параметра этот параметр политики не позволяет пользователям изменять расположение для сетей, к которым они подключаются. If you select this option, this policy setting does not allow users to change the location for any networks to which they connect.

Значок сети. Network icon. Для этого элемента доступны следующие параметры: For this item, the following options are available:

• Не настроено.Not configured. При выборе этого параметра этот параметр политики не указывает, могут ли пользователи изменять значок сети для всех сетевых подключений. If you select this option, this policy setting does not specify whether users can change the network icon for all network connections.
• Пользователь может изменить значок. User can change icon. Если выбран этот параметр, этот параметр политики позволяет пользователям изменять значок сети для всех сетей, к которым пользователь подключается. If you select this option, this policy setting allows users to change the network icon for all networks to which the user connects.
• Пользователь не может изменить значок. User cannot change icon. Если выбран этот параметр, этот параметр политики не позволяет пользователям изменять значок сети для сетей, к которым пользователь подключается. If you select this option, this policy setting does not allow users to change the network icon for any networks to which the user connects.

—>