Sie sind zurzeit offline. Es wird auf die erneute Herstellung einer Internetverbindung gewartet.

Übersicht über das WPA-Sicherheitsupdate (Wi-Fi Protected Access) in Windows XP

Der Support für Windows XP wurde eingestellt

Microsoft stellte am 8. April 2014 den Support für Windows XP ein. Diese Änderung wirkt sich auf Ihre Softwareupdates und Sicherheitsoptionen aus. Erfahren Sie, was das für Sie bedeutet und wie Sie Ihren Schutz aufrechterhalten können.

Zusammenfassung
Dieser Artikel beschreibt das neue WPA-Update (WPA = Wi-Fi Protected Access) in Microsoft Windows XP.

Die Norm 802.11i des Institute of Electrical & Electronics Engineers (IEEE) für drahtlose Netzwerkverbindungen legt Verbesserungen in Bezug auf die Sicherheit im drahtlosen LAN-Netzwerkverkehr fest. Die Norm 802.11i liegt zurzeit nur als Entwurf vor und wird voraussichtlich gegen Ende des Jahres 2003 ratifiziert. Die Norm 802.11i befasst sich mit vielen Sicherheitsproblemen, die bereits Gegenstand der ursprünglichen Norm 802.11 waren. Bis zur Ratifizierung der neuen IEEE-Norm 802.11i haben sich die Hersteller drahtloser Geräte auf einen vorläufigen Standard mit der Bezeichnung Wi-Fi Protected Access (WPA) geeinigt.

Zurück zum Anfang

Features der WPA-Sicherheit

Die folgenden Sicherheitsfeatures sind Bestandteil des WPA-Standards:

WPA-Authentifizierung

In WPA ist die 802.1x-Authentifizierung erforderlich. In der Norm 802.11 war die 802.1x-Authentifizierung noch optional.

Für Umgebungen ohne RADIUS-Infrastruktur (RADIUS = Remote Authentication Dial-In User Service) unterstützt WPA die Verwendung eines vorinstallierten Schlüssels. Für Umgebungen mit RADIUS-Infrastruktur werden das Extensible Authentication-Protokoll (EAP) und RADIUS unterstützt.

Zurück zum Anfang

WPA-Schlüsselverwaltung

Bei 802.1x ist die Neusetzung von Unicast-Verschlüsselungsschlüsseln optional. Außerdem gibt es bei 802.11 und 802.1x keinen Mechanismus zum Ändern des für Multicast- und Broadcast-Verkehr verwendeten globalen Verschlüsselungsschlüssels. Bei WPA ist die Neusetzung von Unicast- und globalen Verschlüsselungsschlüsseln obligatorisch. Im Fall des Unicast-Verschlüsselungsschlüssels ändert das Temporal Key Integrity-Protokoll (TKIP) den Schlüssel für jeden Frame. Diese Änderung wird dann zwischen dem drahtlosen Client und dem drahtlosen Zugriffspunkt synchronisiert. Für den globalen Verschlüsselungsschlüssel bietet WPA die Möglichkeit, dass der drahtlose Zugriffspunkt den geänderten Schlüssel an die angeschlossenen drahtlosen Clients übermittelt.

Zurück zum Anfang

Temporal Key Integrity-Protokoll (TKIP)

Bei 802.11 ist die WEP-Verschlüsselung (WEP = Wired Equivalent Privacy) optional. Bei WPA ist TKIP obligatorisch. TKIP ersetzt WEP durch einen neuen Verschlüsselungsalgorithmus, der stärker ist als der WEP-Algorithmus, jedoch die Berechnungsmöglichkeiten der bereits existierenden drahtlosen Geräte nutzt, um Verschlüsselungsoperationen auszuführen. TKIP bietet zudem die folgenden Funktionen:
  • Überprüfung der Sicherheitskonfiguration nach Ermittlung der Verschlüsselungsschlüssel.
  • Synchronisiertes Ändern der Unicast-Verschlüsselungsschlüssel für jeden einzelnen Frame.
  • Festlegung eines eindeutigen Startschlüssels für die Unicast-Verschlüsselung für jede Authentifizierung eines vorinstallierten Schlüssels.
Zurück zum Anfang

Michael

Bei 802.11 und WEP wird die Datenintegrität durch einen 32-Bit-Integritätsprüfungswert (Integrity Check Value, ICV) gewährleistet, der an die 802.11-Nutzlast angehängt und mit WEP verschlüsselt wird. Obwohl der ICV verschlüsselt ist, können mithilfe von Kryptoanalyse Bits in der verschlüsselten Nutzlast geändert und der verschlüsselte ICV aktualisiert werden, ohne dass der Empfänger dies erkennt.

Bei WPA legt eine als Michael bezeichnete Methode einen neuen Algorithmus fest, der mithilfe der Berechnungsmöglichkeiten vorhandener drahtloser Geräte einen 8-Byte-Nachrichtenintegritätscode (Message Integrity Code, MIC) berechnet. Der MIC wird zwischen dem Datenbereich des IEEE 802.11-Frames und dem 4-Byte-ICV eingefügt. Das MIC-Feld wird zusammen mit den Framedaten und dem ICV verschlüsselt.

Außerdem bietet Michael einen Replay-Schutz. Ein neuartiger Framezähler im IEEE 802.11-Frame dient der Erkennung und Abwehr von Replay-Attacken.

Zurück zum Anfang

AES-Unterstützung

WPA definiert die Verwendung des Advanced Encryption Standard (AES) als zusätzlichen Ersatz für die WEP-Verschlüsselung. Da Sie die AES-Unterstützung eventuell nicht über ein Firmwareupdate Ihrer existierenden drahtlosen Ausrüstung hinzufügen können, ist AES optional und von entsprechender Treiberunterstützung durch den Hersteller abhängig.

Zurück zum Anfang

Gleichzeitige Unterstützung von drahtlosen WPA- und WEP-Clients

Ein drahtloser Zugriffspunkt kann WEP- und WPA-Clients gleichzeitig unterstützen, um die allmähliche Umstellung von WEP-basierten drahtlosen Netzwerken auf WPA zu unterstützen. Beim Anschließen ermittelt der Zugriffspunkt, welche Clients WEP und welche Clients WPA verwenden. Die Unterstützung einer Mischung aus WEP- und WPA-Clients ist problematisch. Der globale Verschlüsselungsschlüssel ist nicht dynamisch, weil WEP-basierte Clients diesen nicht unterstützen können. Alle sonstigen Vorteile von WPA-Clients, einschließlich der verbesserten Integrität, bleiben erhalten.

Zurück zum Anfang

Für die WPA-Unterstützung erforderliche Änderungen

WPA erfordert Softwareänderungen für folgende Komponenten:
  • Drahtlose Zugriffspunkte
  • Drahtlose Netzwerkadapter
  • Drahtlose Clientprogramme
Zurück zum Anfang

Änderungen an drahtlosen Zugriffspunkten

Die Firmware der drahtlosen Zugriffspunkte muss aktualisiert werden, um die folgenden Komponenten zu unterstützen:
  • Das neue WPA-Informationselement

    Drahtlose Zugriffspunkte senden den Signalframe mit einem neuen 802.11-WPA-Informationselement, das die Sicherheitskonfiguration des drahtlosen Zugriffspunkts enthält (Verschlüsselungsalgorithmen und Informationen zur Sicherheitskonfiguration), um so ihre Unterstützung für WPA anzukündigen.
  • Die zweiphasige WPA-Authentifizierung

    Öffnen Sie System und anschließend 802.1x (EAP mit RADIUS oder vorinstallierter Schlüssel).
  • TKIP
  • Michael
  • AES (optional)
Sie müssen beim Hersteller Ihres drahtlosen Zugriffspunkts ein WPA-Firmwareupdate beziehen und auf dem drahtlosen Zugriffspunkt installieren, um diesen auf WPA-Unterstützung zu aktualisieren.

Zurück zum Anfang

Änderungen an drahtlosen Netzwerkadaptern

Drahtlose Netzwerkadapter benötigen ein Firmwareupdate, um folgende Komponenten zu unterstützen:
  • Das neue WPA-Informationselement
    Drahtlose Clients müssen das WPA-Informationselement verarbeiten können und mit einer spezifischen Sicherheitskonfiguration reagieren.
  • Die zweiphasige WPA-Authentifizierung
  • Öffnen Sie System und anschließend 802.1x (EAP mit RADIUS oder vorinstallierter Schlüssel).
  • TKIP
  • Michael
  • AES (optional)
Sie müssen beim Hersteller Ihres drahtlosen Netzwerkadapters ein WPA-Update beziehen und den Treiber des drahtlosen Netzwerkadapters aktualisieren, um den Netzwerkadapter auf WPA-Unterstützung zu aktualisieren.

Für drahtlose Windows-Clients benötigen Sie einen aktualisierten Netzwerkadaptertreiber, der WPA unterstützt. Für drahtlose Netzwerkadaptertreiber, die mit Windows XP (Service Pack 1) kompatibel sind, muss der aktualisierte Netzwerkadaptertreiber die WPA-Funktionen und die Sicherheitskonfiguration des Adapters an den Konfigurationsfreien Dienst für drahtlose Verbindung übermitteln können.

Microsoft ist es in Zusammenarbeit mit vielen Herstellern von drahtlosen Geräten gelungen, das WPA-Firmwareupdate in den Treiber für den drahtlosen Adapter zu integrieren. Daher müssen Sie nur den neuen WPA-kompatiblen Treiber beziehen und installieren, um Ihren drahtlosen Windows-Client zu aktualisieren. Die Firmware wird automatisch aktualisiert, wenn der Treiber für den drahtlosen Netzwerkadapter in Windows geladen wird.

Zurück zum Anfang

Änderungen an drahtlosen Clientprogrammen

Drahtlose Clientprogramme müssen aktualisiert werden, um die Konfiguration der WPA-Authentifizierung (und vorinstallierter Schlüssel) und die neuen WPA-Verschlüsselungsalgorithmen (TKIP und die optionale AES-Komponente) zu ermöglichen.

Für drahtlose Clients mit Windows XP Service Pack 1 (SP1), die einen drahtlosen Netzwerkadapter verwenden, der den Konfigurationsfreien Dienst für drahtlose Verbindung unterstützt, müssen Sie den Windows-WPA-Client beziehen und installieren. Für drahtlose Clients mit Windows XP Service Pack 2 (SP2), die einen drahtlosen Netzwerkadapter verwenden, der den Konfigurationsfreien Dienst für drahtlose Verbindung unterstützt, ist der Windows-WPA-Client in Windows XP SP2 enthalten. Es sind daher keine zusätzlichen Downloads erforderlich. Der Windows-WPA-Client aktualisiert die Dialogfelder für die Konfiguration des drahtlosen Netzwerks, um neue WPA-Optionen zu unterstützen.

Weitere Informationen zum WPA-Clientprogramm und wie Sie es beziehen können, finden Sie in folgendem Artikel der Microsoft Knowledge Base:
826942 Update Rollup Package für drahtlose Verbindungen in Windows XP verfügbar
Für drahtlose Clients mit Windows 2000 (oder Clients mit Windows XP SP1, die einen drahtlosen Netzwerkadapter verwenden, der den konfigurationsfreien Dienst für drahtlose Verbindung nicht unterstützt) müssen Sie ein neues WPA-kompatibles Konfigurationsprogramm beim Hersteller Ihres drahtlosen Netzwerkadapters beziehen und installieren.

Zurück zum Anfang

Weitere Informationen zu Intel

Weitere Informationen finden Sie auf der folgenden Website von Intel: Die in diesem Artikel genannten Fremdanbieterprodukte stammen von Herstellern, die von Microsoft unabhängig sind. Microsoft gewährt keine implizite oder sonstige Garantie in Bezug auf die Leistung oder Zuverlässigkeit dieser Produkte.

Die Kontaktinformationen bezüglich der in diesem Artikel erwähnten Fremdanbieter sollen Ihnen helfen, den benötigten technischen Support zu finden. Diese Kontaktinformationen können ohne vorherige Ankündigung geändert werden. Sie werden von Microsoft ohne jede Gewähr weitergegeben.
kburl
Eigenschaften

Artikelnummer: 815485 – Letzte Überarbeitung: 06/10/2013 02:26:00 – Revision: 7.3

  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Professional
  • kbresolve kbmsnuseraccounts kbhotfixserver kbqfe kbenv kbnetwork kbdriver kbinfo KB815485
Feedback
://c.microsoft.com/ms.js" '="">