Das WPA2 (Wi-Fi Protected Access 2)-/WPS IE (Wireless Provisioning Services Information Element)-Update für Windows XP mit Service Pack 2 ist verfügbar

Das WPA2 (Wi-Fi Protected Access 2)-/WPS IE (Wireless Provisioning Services Information Element)-Update für Microsoft Windows XP-Computer mit Service Pack 2 ist verfügbar. Dieses Update erweitert die Windows XP-Software für drahtlose Clients um Unterstützung für die neue Wi-Fi Alliance-Zertifizierung für drahtlose Sicherheit. Das Update erleichtert auch die Verbindung zu sicheren öffentlichen Bereichen, die mit drahtlosen Internetzugängen ausgestattet sind. Diese Bereiche sind sonst als "Wi-Fi-Hotspots" bekannt.

Wichtige Informationen zu diesem Update

Dieses Update wird durch das in Microsoft Knowledge Base-Artikel 917021 beschriebenen Update ersetzt: Weitere Informationen finden Sie im folgenden Artikel der Microsoft Knowledge Base:

WPA2

WPA2 ist eine Produktzertifizierung, die über die Wi-Fi Alliance verfügbar ist. WPA2 zertifiziert, dass die drahtlose Ausrüstung mit dem Standard IEEE 802.11i kompatibel ist. Die WPA2-Produktzertifizierung ersetzt formal WEP (Wired Equivalent Privacy) und die anderen Sicherheitsfunktionen des ursprünglichen Standards IEEE 802.11. Das Ziel der WPA2-Zertifizierung ist, die zusätzlichen obligatorischen Sicherheitsfunktionen des Standards IEEE 802.11i zu unterstützen, die noch nicht für Produkte enthalten sind, die WPA unterstützen.

Das WPA2-/WPS IE-Update unterstützt die folgenden Funktionen von WPA2:

• WPA2 Enterprise mit Verwendung der IEEE 802.1X-Authentifizierung und WPA2 Personal mit Verwendung eines vordefinierten Schlüssels.
• Der AES (Advanced Encryption Standard) mit Verwendung von Counter Mode-Cipher Block Chaining (CBC)-Message Authentication Code (MAC) Protocol (CCMP), das Datenvertraulichkeit, Datenursprungsauthentifizierung und Datenintegrität für drahtlose Frames bietet.
• Die optionale Verwendung von PMK-Zwischenspeicherung (Pairwise Master Key) und opportunistische PMK-Zwischenspeicherung. Bei der PMK-Zwischenspeicherung speichern drahtlose Clients und drahtlose Zugriffspunkt die Ergebnisse aus den 802.1X-Authentifizierungen. Aus diesem Grund erfolgt der Zugang viel schneller, wenn ein drahtloser Client zurück zu einem drahtlosen Zugriffspunkt wechselt, zu dem bereits eine Authentifizierung vom Client erfolgt ist.
• Die optionale Verwendung von Vorauthentifizierung. Bei der Vorauthentifizierung kann ein drahtloser WPA2-Client eine 802.1X-Authentifizierung mit anderen drahtlosen Zugriffspunkten in seinem Bereich durchführen, wenn er noch mit seinem derzeitigen drahtlosen Zugriffspunkt verbunden ist.

Sie müssen das WPA2/WPS IE-Update zusammen mit folgenden Elementen verwenden:

• Drahtlose Zugriffspunkte, die WPA2 unterstützen.
• Drahtlose Netzwerkadapter, die WPA2 unterstützen.
• Treiber für drahtlose Netzwerkadapter in Windows XP, die das Übermitteln von WPA2-Funktionen an die drahtlose automatische Windows-Konfiguration unterstützen.

Das WPA2/WPS IE-Update modifiziert die folgenden Dialogfelder:

• Wenn Sie mit einem drahtlosen WPA2-zulässigen Netzwerk verbunden sind, wird die Art des Netzwerks im Dialogfeld Drahtlosnetzwerk auswählen als WPA2 angezeigt.
• Die Liste Netzwerkauthentifizierung auf der Registerkarte Zuordnung für die Eigenschaften eines Drahtlosnetzwerks enthält die folgenden zusätzlichen Optionen:
  • WPA2 - für WPA2 Enterprise
  • WPA2-PSK - für WPA2 Personal

Hinweis Diese Optionen stehen nicht zur Verfügung, wenn der Treiber für drahtlose Netzwerkadapter kein WPA2 unterstützt.

Weitere Informationen zu den WPA2-Sicherheitsfunktionen finden Sie unter "Wi-Fi Protected Access 2 (WPA2) Overview" auf folgender Microsoft-Website:

Registrierungswerte, die Vorauthentifizierung und PMK-Zwischenspeicherung steuern

Die folgenden Registrierungseinträge im Unterschlüssel HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\EAPOL\Parameters\General\Global steuern das Verhalten der Vorauthentifizierung und der PMK-Zwischenspeicherung für das WPA2/WPS IE-Update:

• PMKCacheMode
• PMKCacheTTL
• PMKCacheSize
• PreAuthMode
• PreAuthThrottle

PMKCacheMode

PMKCacheTTL

PMKCacheSize

PreAuthMode

PreAuthThrottle

Hinweis Die an einem oder mehreren Werten dieser Registrierungseinträge vorgenommenen Änderungen treten erst dann in Kraft, wenn Sie das nächste Mal den drahtlosen Dienst oder den Computer neu starten.

Wireless Provisioning Services Information Element (WPS IE)

Drahtlose Internetdienstanbieter (Wireless Internet Service Providers, WISPs) haben anfangs Zugriff auf das Internet ohne Sicherheitsfunktionen angeboten. Daher mussten Kunden keine drahtlosen Sicherheitseinstellungen konfigurieren. Da Sicherheit für den drahtlosen Netzwerkzugang immer wichtiger geworden ist, wollen WISPs dazu übergehen, öffentliche Wi-Fi-Netzwerke zu sichern. Während der Migration müssen WISPs sowohl nicht sichere als auch sichere drahtlose Verbindungen zum Internet unterstützen können. Aus Kostengründen müssen WISPs während der Migration in der Lage sein, zwei unterschiedliche logische drahtlose Netzwerke unterstützen und ankündigen zu können, die zwei unterschiedliche drahtlose Netzwerknamen haben und die eine einzige physikalische Netzwerkinfrastruktur verwenden.

Hinweis Namen drahtloser Netzwerke sind auch als Service Set Identifiers (SSIDs) bekannt.

Einige drahtlose Zugriffspunkte, die heute verfügbar sind, können mehrere SSIDs ankündigen und mehrere logische Netzwerkkonfigurationen gleichzeitig unterstützen. Aufgrund von Beschränkungen der Hardware lassen die meisten drahtlosen Zugriffspunkte, die heute in öffentlichen Wi-Fi-Hotspots bereitgestellt werden, jedoch nur einen SSID in Beacon- and Probe-Response-Frames zu. Durch dieses Verhalten werden sekundäre SSIDs effektiv vor drahtlosen Clientcomputern verborgen. Aus diesem Grund ist es für Sie viel schwieriger, öffentliche Wi-Fi-Netzwerknamen auszumachen und eine Verbindung zu diesen herzustellen, wenn Sie zuvor noch keine Verbindung zu diesen Wi-Fi-Netzwerknamen hergestellt hatten. Ohne drahtlose AP-Unterstützung, um mehrere SSIDs in Beacon- and Probe-Response-Frames anzukündigen, müssen die zusätzlichen drahtlosen Netzwerke entweder unter Verwendung eines zusätzlichen Satzes physikalischer drahtloser Zugriffspunkte implementiert sein, oder Benutzer müssen ihre drahtlosen Clients unter Verwendung der Namen verborgener SSIDs manuell konfigurieren. Die Implementierung eines zusätzlichen Satzes drahtloser Zugriffspunkte ist für WISPs nicht kostengünstig. Die manuelle Konfiguration drahtloser Clients ist für Kunden schwierig und nicht für umfangreiche WISP-Netzwerke geeignet.

Das WPS IE ist ein neu definiertes 802.11-Informationselement, das für WISPs die verborgenen SSID-Probleme löst. Das WPS IE bietet drahtlosen Zugriffspunkten auch einen Weg, um zusätzliche SSIDs in Beacon- and Probe-Response-Frames anzukündigen. Das WPS IE enthält den SSID und weitere Details, wie beispielsweise:

• Ob IEEE 802.1X-Authentifizierung notwendig ist.
• Ob das drahtlose Netzwerk dem drahtlosen Client Einrichtungsinformationen liefern kann.

Das WPS IE muss in Beacon- and Probe-Response-Frames enthalten sein und von drahtlosen Clientcomputern erkannt und verarbeitet werden. Sie können häufig WPS IE-Unterstützung zu drahtlosen Zugriffspunkten über ein Firmwareupdate hinzufügen. Aus diesem Grund müssen Sie in der Regel keine bestehenden drahtlosen Zugriffspunkte ersetzen oder zusätzliche installieren. Überprüfen Sie anhand der Herstellerdokumentation Ihres drahtlosen AP oder auf der Website des Herstellers, ob ein Firmwareupdate für Ihren drahtlosen AP verfügbar ist. Für einen drahtlosen Windows XP SP2-Client müssen Sie das WPA2/WPS IE-Update installieren.

Wenn Sie das WPA2/WPS IE-Update auf drahtlosen Windows XP SP2-Clientcomputern installieren, erkennen die drahtlosen Komponenten von Windows XP den WPS IE in den Beacon- and Probe-Response-Frames. Diese Funktionalität sorgt dafür, dass dem Benutzer zuvor verborgene SSIDs im Dialogfeld Drahtlosnetzwerk auswählen angezeigt werden. Drahtlose Windows XP-Clientcomputer, auf denen nicht das WPA2/WPS IE-Update installiert ist, erkennen das WPS IE nicht und zeigen die verborgenen SSIDs nicht an.

Sie müssen über folgendes verfügen, wenn Sie Unterstützung für das WPS IE bereitstellen möchten:

• Drahtlose Zugriffspunkte, die die Konfiguration zusätzlicher SSIDs und deren Ankündigung mit dem WPS IE unterstützen. Cisco hat beispielsweise Firmwareupdates für seine drahtlosen Zugriffspunkte zur Unterstützung der neuen WPS IE freigegeben. Weitere Informationen finden Sie auf folgender Cisco-Website:
  http://www.cisco.com/en/US/prod/collateral/wireless/ps5678/ps430/prod_bulletin0900aecd801b83b0_ps6087_Products_Bulletin.html (http://www.cisco.com/en/US/prod/collateral/wireless/ps5678/ps430/prod_bulletin0900aecd801b83b0_ps6087_Products_Bulletin.html)
• Drahtlose Clientcomputer, auf denen Windows XP mit SP2 und dem WPA2/WPS IE-Update ausgeführt wird.

Nachdem das Update bereitgestellt wurde, bietet die Verwendung des WPS IE die folgenden Vorteile:

• Sie ermöglicht eine einfache und kostengünstige Migration von nicht sicheren öffentlichen drahtlosen Wi-Fi-Hotspotverbindungen zu sicheren öffentlichen drahtlosen Wi-Fi-Hotspotverbindungen. Die sicheren öffentlichen Wi-Fi-Hotspots müssen 802.1X-Authentifizierung, Verschlüsselung und WPS (Wireless Provisioning Services) verwenden, um drahtlose Einstellungen mithilfe des gleichen Satzes drahtloser Zugriffspunkte einrichten zu können.
• Sie bietet drahtlosen Benutzern die Möglichkeit, einfach zu erkennen und zu entscheiden, ob sie nicht sichere oder sichere drahtlose Verbindungen nutzen möchten. Darüber hinaus können drahtlose Benutzer schnell drahtlose Einstellungen konfigurieren.

Weitere Informationen zu WPS finden Sie im Whitepaper "Deploying Wireless Provisioning Services (WPS) Technology". Rufen Sie die folgende Website von Microsoft auf, um das Whitepaper herunterzuladen:

Zusätzliche Änderungen im WPA2/WPS IE-Update

Die folgenden Änderungen sind ebenfalls im WPA2/WPS IE-Update enthalten:

• Windows XP fordert Sie nun auf zu bestätigen, ob Sie ein nicht sicheres bevorzugtes Drahtlosnetzwerk erstellen möchten. "Nicht sicher" wird als eine offene, vom System authentifizierte Verbindung definiert, die keine Verschlüsselung zum Schutz der Daten verwendet. Darüber hinaus wird bei einer Verbindung zu einem nicht sicheren Drahtlosnetzwerk das Drahtlosnetzwerk mit der Kennzeichnung Nicht gesichert (Unsecured) angezeigt. Diese Änderungen wurden eingeführt, um sicherzustellen, dass Sie sich bewusst sind, eine Verbindung zu einem drahtlosen Netzwerk herzustellen, das vor Angriffen nicht geschützt ist.
• Das Dialogfeld Drahtlosnetzwerk auswählen in Windows XP mit SP2 führte Infrastruktur und Ad-hoc-Netzwerke unter Verwendung des gleichen Drahtlosnetzwerknamens zusammen, sodass nur eines in der Liste der verfügbaren Netzwerke angezeigt wurde. Dieses Problem wurde behoben. Wenn das Update installiert ist, zeigt das Dialogfeld Drahtlosnetzwerk auswählen beide Drahtlosnetzwerkarten in der Liste der verfügbaren Netzwerke getrennten voneinander an.
• Das statische API zur Bereitstellung der Schnittstelle für WPS (Wireless Provisioning Services) wurde aktualisiert, sodass Sie WPA2 als Authentifizierungsmethode angeben können. Weitere Informationen zu diesem API finden Sie auf folgender Website von Microsoft:
  http://msdn2.microsoft.com/en-us/library/ms940173.aspx (http://msdn2.microsoft.com/en-us/library/ms940173.aspx)
• Zuvor lag beim Starten des Computers eine 1-minütige Verzögerung bei der Verbindung vor, wenn eine Verbindung zu einem durch WPS bereitgestellten Drahtlosnetzwerk bestand. Dieses Problem wurde behoben.

Die in diesem Artikel genannten Produkte anderer Anbieter stammen von Herstellern, die von Microsoft unabhängig sind. Microsoft gewährt keine implizite oder sonstige Garantie in Bezug auf die Leistung oder Zuverlässigkeit dieser Produkte.