Konfigurieren von EAP-Profilen und -Einstellungen in Windows

Artikel
06/22/2023

Gilt für: Windows Server 2022, Windows 11, Windows 10

Dieser Artikel enthält Informationen zu verschiedenen gängigen Methoden zum Konfigurieren von EAP-Einstellungen (Extensible Authentication-Protokoll). Insbesondere wird die Konfiguration von EAP-Profilen mithilfe von XML- und Befehlszeilentools beschrieben. Außerdem wird gezeigt, wie EAP-Einstellungen und -Profile mithilfe verschiedener Benutzeroberflächen in Windows konfiguriert werden.

XML-Profile

Wie unter XML-Profile für EAP beschrieben, handelt es sich bei Verbindungsprofilen für WLAN, Ethernet und VPN um XML-Dateien, die die Konfigurationsoptionen für die entsprechende Verbindung enthalten. Diese Profile können importiert/exportiert und manuell bearbeitet werden. Wenn Profile über die Benutzeroberfläche erstellt oder bearbeitet werden (wie in den folgenden Abschnitten beschrieben), legt Windows intern die entsprechenden XML-Konfigurationsoptionen fest. Daher können Sie die Benutzeroberfläche verwenden, um ein Profil zu erstellen, und es dann exportieren, um die festgelegten XML-Konfigurationsoptionen anzuzeigen.

Hinweis

Nicht jede Konfigurationsoption ist auf der Benutzeroberfläche verfügbar. Je nach Szenario kann es erforderlich sein, das XML-Profil manuell zu bearbeiten, um die gewünschten Konfigurationsoptionen festzulegen, und dann das aktualisierte Profil für die Bereitstellung zu importieren.

Wenn Sie beispielsweise MDM-Richtlinien (Mobile Device Management, Verwaltung mobiler Geräte) wie WLAN-Konfigurationsdienstanbieter verwenden, müssen Sie das vollständige XML-Profil bereitstellen.

Ein Beispiel für ein WLAN-Profil finden Sie hier.

Importieren und Exportieren von Profilen mit Befehlszeilentools

Das Importieren und Exportieren von Profilen mithilfe eines Befehlszeilentools kann in vielen Szenarien hilfreich sein. Wenn beispielsweise keine MDM- oder Gruppenrichtlinie konfiguriert werden kann, ist ggf. die manuelle Ausführung dieser Befehle oder die Erstellung eines Skripts für diese Befehle die schnellste Option. Diese Vorgehensweise kann auch verwendet werden, um Profile zu exportieren, nachdem sie über eine andere Benutzeroberfläche konfiguriert wurden.

Netsh

netsh ist ein Befehlszeilentool, das zum Anzeigen und Konfigurieren verschiedener netzwerkbezogener Einstellungen verwendet werden kann. Weitere Informationen finden Sie unter Network Shell (netsh). netsh kann sowohl über cmd als auch über powershell aufgerufen werden. Die folgende Tabelle enthält einige gängige netsh-Befehle und Beispiele für das Importieren und Exportieren von Profilen. /? kann mit jedem beliebigen netsh-Befehl verwendet werden, um weitere Informationen zum entsprechenden Befehl zu erhalten – einschließlich der Syntax.

WLAN
Kabelgebunden

Befehl	BESCHREIBUNG
`netsh wlan show profiles`	Zeigt alle WLAN-Profile an, einschließlich des Profilnamens.
`netsh wlan show profiles name="ProfileName"`	Zeigt ausführliche Informationen zu einem bestimmten WLAN-Profil an.
`netsh wlan export profile name="ProfileName" folder="C:\Profiles"`	Exportiert ein WLAN-Profil in den angegebenen Ordner. Der Ordner muss vorhanden sein.
`netsh wlan add profile filename="C:\Profiles\ProfileName.xml"`	Fügt ein WLAN-Profil aus der angegebenen Datei hinzu.
`netsh wlan delete profile name="ProfileName"`	Löscht ein WLAN-Profil.

Befehl	BESCHREIBUNG
`netsh lan show profiles`	Zeigt alle Kabelprofile an, einschließlich des Profilnamens und anderer Details.
`netsh lan show profiles interface="Ethernet"`	Zeigt ausführliche Informationen zum Kabelprofil für eine bestimmte Schnittstelle an.
`netsh lan export profile interface="Ethernet" folder="C:\Profiles"`	Exportiert ein Kabelprofil in den angegebenen Ordner. Der Ordner muss vorhanden sein. Ist keine Schnittstelle angegeben, wird das Computerprofil exportiert.
`netsh lan add profile filename="C:\Profiles\ProfileName.xml" interface="Ethernet"`	Fügt der angegebenen Schnittstelle ein Kabelprofil aus der angegebenen Datei hinzu. Ist keine Schnittstelle angegeben, wird das Profil als Computerprofil hinzugefügt.
`netsh lan delete profile interface="ProfileName"`	Löscht ein Kabelprofil. Ist keine Schnittstelle angegeben, wird das Computerprofil gelöscht.

PowerShell

PowerShell ist eine Befehlszeilenshell und eine Skriptsprache, die zum Anzeigen und Konfigurieren verschiedener Einstellungen verwendet werden kann. Sie enthält verschiedene Befehle (Cmdlets), die zum Importieren und Exportieren von Verbindungsprofilen verwendet werden können. Das Cmdlet Get-Help kann mit jedem Cmdlet verwendet werden, um weitere Informationen zum entsprechenden Cmdlet zu erhalten – einschließlich der Syntax.

Ausführliche Informationen zu diesen Cmdlets finden Sie unter Get-VpnConnection, Set-VpnConnection und Add-VpnConnection.

Befehl	BESCHREIBUNG
`Get-VpnConnection`	Zeigt alle VPN-Profile an, einschließlich des Profilnamens und anderer Details.
`Get-VpnConnection -Name "ProfileName"`	Zeigt Zusammenfassungsinformationen zu einem bestimmten VPN-Profil an.
`(Get-VpnConnection -Name "ProfileName").EapConfigXmlStream.InnerXml \\| Out-File -FilePath "C:\Profiles\vpn_eap.xml"`	Exportiert die EAP-Konfiguration für ein bestimmtes VPN-Profil in eine Datei.
`Set-VpnConnection -Name "ProfileName" -EapConfigXmlStream (Get-Content -Path "C:\Profiles\vpn_eap.xml")`	Importiert die EAP-Konfiguration aus einer Datei und aktualisiert das angegebene VPN-Profil damit.

App „Einstellungen“ (Desktop-Windows)

Auf dem Windows-Desktopclient können viele allgemeine WLAN-, Ethernet- und VPN-Einstellungen über die App „Einstellungen“ konfiguriert werden. Die folgenden Screenshots zeigen die App „Einstellungen“ unter Windows 11. Die Benutzeroberfläche ist jedoch unter Windows 10 ähnlich. Bestimmte Features und Optionen sind jedoch möglicherweise nur unter Windows 11 verfügbar.

Windows 10 und 11 unterstützen das Hinzufügen von WLAN-Profilen mit einer bestimmten Konfiguration (einschließlich 802.1X) in der App „Einstellungen“. Diese Einstellung finden Sie in der App „Einstellungen“ unter Netzwerk & Internet>Wi-Fi>Bekannte Netzwerke verwalten>Netzwerk hinzufügen: Screenshot of Network & internet page on Windows 11 settings app. Screenshot of Wi-Fi page on Windows 11 settings app. Screenshot of Manage known networks page on Windows 11 settings app. Screenshot of Add a new network dialog in Windows 11 settings app.

In diesem Dialogfeld können Sie die SSID, den Sicherheitstyp und andere Einstellungen für das WLAN-Profil konfigurieren. Wenn ein Sicherheitstyp ausgewählt wird, der EAP unterstützt (etwa WPA3-Enterprise AES), wird im Dialogfeld eine Option zum Konfigurieren der EAP-Einstellungen angezeigt: Screenshot of Add a new network dialog, showing WPA3-Enterprise and EAP-TLS, on Windows 11 settings app.

Tipp

Sobald das Netzwerk hinzugefügt wurde, können die EAP-Einstellungen nicht mehr über die App „Einstellungen“ bearbeitet werden. Gehen Sie zum Bearbeiten der EAP-Einstellungen wie folgt vor:

Löschen Sie das Profil, und fügen Sie es mit den richtigen Einstellungen erneut hinzu. Oder:
Verwenden Sie die unter netsh beschriebenen netsh-Befehle, um das Profil manuell zu bearbeiten.

Gruppenrichtlinien-Editor (Desktop und Server)

Gruppenrichtlinien sind eine Infrastruktur, die Ihnen das Verwalten von Konfigurationen für Benutzer*innen und Computer ermöglicht. Mit der Gruppenrichtlinie können Sie WLAN-, Ethernet- und VPN-Einstellungen basierend auf von Ihnen definierten Regeln konfigurieren. Die folgenden Screenshots zeigen den Gruppenrichtlinienverwaltungs-Editor von Windows Server 2022, aber die Benutzeroberfläche ähnelt der Systemsteuerung und dem Editor für lokale Gruppenrichtlinien von Windows-Desktops. Weitere Informationen zu den auf den folgenden Screenshots gezeigten Optionen finden Sie unter Extensible Authentication-Protokoll (EAP) für den Netzwerkzugriff.

WLAN
Kabelgebunden

Gruppenrichtlinienoptionen für WLAN befinden sich unter Computerkonfiguration>Richtlinien>Windows-Einstellungen>Sicherheitseinstellungen>Richtlinien für Funknetzwerke (IEEE 802.11): Screenshot showing Wireless Network (IEEE 802.11) Policies option in Group Policy Management Editor.

Wenn Sie mit der rechten Maustaste auf Richtlinien für Funknetzwerke (IEEE 802.11) klicken und Erstellen einer neuen Funknetzwerkrichtlinie für Windows Vista und spätere Versionen auswählen, wird das Dialogfeld Eigenschaften der neuen Richtlinien für Funknetzwerke geöffnet: Screenshot showing Create A New Wireless Network Policy for Windows Vista and Later Releases option in Group Policy Management Editor. Screenshot showing the New Wireless Network Policy Properties dialog.

In diesem Dialogfeld können Sie den Richtliniennamen und eine Beschreibung festlegen. Darüber hinaus stehen Optionen zum Hinzufügen/Bearbeiten/Entfernen von Profilen sowie zum Importieren und Exportieren von XML-Profilen zur Verfügung.

Wenn Sie auf Hinzufügen klicken und Infrastruktur auswählen, wird das Dialogfeld Eigenschaften des neuen Profils geöffnet:

In diesem Dialogfeld können Sie den Profilnamen festlegen und die SSIDs hinzufügen, für die dieses Profil gilt.

Die Auswahl von Sicherheit ermöglicht Ihnen das Konfigurieren der EAP-Einstellungen für das Profil:

In diesem Dialogfeld können Sie den Sicherheitstyp und andere Einstellungen für das WLAN-Profil konfigurieren. Wenn ein Authentifizierungstyp ausgewählt wird, der die 802.1X-Authentifizierung unterstützt (z. B. WPA2-Enterprise), sind die 802.1X-Sicherheitsoptionen sichtbar. Ausführliche Informationen zu den einzelnen Netzwerkauthentifizierungsmethoden finden Sie unter EAP-Methoden.

Wenn die Schaltfläche Erweitert... ausgewählt wird, wird das Dialogfeld Erweitere Sicherheitseinstellungen angezeigt: Screenshot showing the Advanced security settings dialog for Wi-Fi.

In diesem Dialogfeld können Sie einige erweiterte 802.1X-Einstellungen und Optionen für Single Sign-On festlegen.

Tipp

Nicht jede Einstellung kann im Gruppenrichtlinien-Editor konfiguriert werden. Dies kann jedoch durch Importieren eines XML-Profils mit den gewünschten Einstellungen umgangen werden. Weitere Informationen finden Sie unter XML-Profile.

Gruppenrichtlinienoptionen für Funkverbindungen befinden sich unter Computerkonfiguration>Richtlinien>Windows-Einstellungen>Sicherheitseinstellungen>Richtlinien für Kabelnetzwerke (IEEE 802.3): Screenshot showing Wired Network (IEEE 802.3) Policies option in Group Policy Management Editor.

Wenn Sie mit der rechten Maustaste auf Richtlinien für Kabelnetzwerke (IEEE 802.3) klicken und Erstellen einer neuen Richtlinie für Kabelnetzwerke für Windows Vista und spätere Versionen auswählen, wird das Dialogfeld Eigenschaften der neuen Richtlinien für Kabelnetzwerke geöffnet: Screenshot showing Create A New Wired Network Policy for Windows Vista and Later Releases option in Group Policy Management Editor. Screenshot showing the New Wired Network Policy Properties dialog.

In diesem Dialogfeld können Sie den Richtliniennamen, eine Beschreibung und die folgenden Optionen festlegen:

Einstellung	XML-Element	BESCHREIBUNG
Windows-Dienst für automatische Konfiguration verkabelter Netzwerke für Clients verwenden	enableAutoConfig	Wenn diese Option ausgewählt ist, kann die automatische Windows-Konfiguration für Kabelnetzwerke (dot3svc) verwendet werden, um eine Verbindung mit Kabelnetzwerken ohne explizite Konfiguration herzustellen. Wird diese Option nicht ausgewählt, ist das in dieser Richtlinie angegebene Netzwerk das einzige Netzwerk, mit dem eine Verbindung hergestellt werden kann.
Freigegebene Benutzeranmeldeinformationen für die Netzwerkauthentifizierung nicht zulassen	enableExplicitCreds	Wenn diese Option ausgewählt ist, sind freigegebene Benutzeranmeldeinformationen für die Netzwerkauthentifizierung nicht zulässig. Anmeldeinformationen müssen explizit sein.
Blockierungszeitraum aktivieren (Minuten)	blockPeriod	Standardwert: 20 Minuten. Gibt den Zeitraum an, in dem automatische Authentifizierungsversuche nach einem fehlgeschlagenen Authentifizierungsversuch blockiert werden.

Die Auswahl von Sicherheit ermöglicht Ihnen das Konfigurieren der EAP-Einstellungen für das Profil: Screenshot showing the Security tab of the New Wired Network Properties dialog.

In diesem Dialogfeld können Sie den Sicherheitstyp und andere Einstellungen für das Kabelnetzwerk konfigurieren. Weitere Informationen finden Sie unter 802.1X-Sicherheitsoptionen. Ausführliche Informationen zu den einzelnen Netzwerkauthentifizierungsmethoden finden Sie unter EAP-Methoden.

Wenn die Schaltfläche Erweitert... ausgewählt wird, wird das Dialogfeld Erweitere Sicherheitseinstellungen angezeigt: Screenshot showing the Advanced security settings dialog for Wired.

In diesem Dialogfeld können Sie einige erweiterte 802.1X-Einstellungen und Optionen für Single Sign-On festlegen.

Tipp

Nicht jede Einstellung kann im Gruppenrichtlinien-Editor konfiguriert werden. Dies kann jedoch durch Sichern des Gruppenrichtlinienobjekts, Bearbeiten der Datei Backup.xml mit den gewünschten Einstellungen und erneutes Importieren der Datei umgangen werden. Weitere Informationen finden Sie unter XML-Profile.

EAP-Methoden

Eine Übersicht über die verschiedenen EAP-Methoden finden Sie unter Authentifizierungsmethoden.

Microsoft: Smartcard oder anderes Zertifikat

Weitere Informationen zu diesem Dialogfeld finden Sie unter EAP-TLS. Screenshot showing the Smart Card or other certificate Properties dialog.

Durch Auswahl von Erweitert wird das Dialogfeld Zertifikatauswahl konfigurieren geöffnet: Screenshot showing the Configure Certificate Selection dialog.

Microsoft: Geschütztes EAP (PEAP)

Weitere Informationen zu diesem Dialogfeld finden Sie unter PEAP. Screenshot showing the Protected EAP Properties dialog.

Wenn Sie Konfigurieren... auswählen, wenn Sicheres Kennwort (EAP-MSCHAP v2) ausgewählt ist, wird das Dialogfeld EAP MSCHAPv2 geöffnet: Screenshot showing the EAP MSCHAPv2 Properties dialog.