Vuoi garantire che i PC di dominio si colleghino esclusivamente all’SSID aziendale e bloccare ogni altra rete Wi‑Fi? Di seguito trovi una guida operativa, completa e concreta, per Windows 10/11 con Group Policy e accorgimenti di hardening pronti per il rollout.
Scenario e obiettivo
In molte aziende la superficie d’attacco passa dai notebook: un utente che si connette a una rete non controllata (hotspot pubblico, tethering, Wi‑Fi di casa) espone il dispositivo a rischi e bypassa i controlli. L’obiettivo è consentire ai client Windows 10/11 uniti al dominio di collegarsi solo all’Access Point/SSID aziendale, impedendo ogni altra connessione Wi‑Fi.
Prerequisiti e ambito
- Active Directory con Group Policy Management e OU dedicate ai client interessati (circa 30 PC).
- Access point aziendale con SSID definito; consigliata cifratura WPA2/WPA3‑Enterprise (802.1X) e server RADIUS/NPS.
- Client Windows 10/11 Pro/Enterprise uniti al dominio e servizio WLAN AutoConfig attivo (predefinito).
- Connessione iniziale dei client alla rete aziendale (via cavo o già sull’SSID) per ricevere i GPO al primo avvio.
Soluzione consigliata: Wireless Network Policy via Group Policy
La strada più solida è usare le Wireless Network (IEEE 802.11) Policies lato computer, così da definire il profilo dell’SSID aziendale e permettere la connessione solo a reti presenti nell’elenco consentito.
Crea un nuovo GPO
- Apri Group Policy Management e posizionati sul dominio o sulla OU con i PC da proteggere.
- Right‑click → New GPO (es. “Wi‑Fi Aziendale Only”), quindi Link an Existing GPO o collegalo subito all’OU corretta.
- Facoltativo ma consigliato: Security Filtering → limita l’applicazione ai soli Domain Computers o a un gruppo AD dedicato (es. GG‑WiFi‑Locked).
Configura la politica wireless
Percorso: Computer Configuration → Policies → Windows Settings → Security Settings → Wireless Network (IEEE 802.11) Policies
- Right‑click → Create a New Wireless Network Policy per Windows Vista and Later Releases.
- Assegna un nome descrittivo, ad esempio “Policy Wi‑Fi Aziendale”.
- Nella scheda Preferred Networks fai Add e inserisci:
- Network name (SSID): l’SSID aziendale.
- Tipo rete: Infrastructure.
- Sicurezza: imposta cifratura e autenticazione coerenti con l’AP.
- Enterprise: WPA2‑Enterprise/WPA3‑Enterprise (802.1X), EAP‑TLS o PEAP‑MSCHAPv2.
- PSK: WPA2‑PSK (sconsigliato in ambienti corporate; usa solo come soluzione temporanea).
- Se 802.1X: nella sezione EAP definisci il metodo, i certificati e se l’autenticazione è Computer, Utente o Computer o Utente (vedi sezione 802.1X).
- Nella scheda Network Permissions seleziona l’opzione equivalente a “Only allow connections to networks in the allowed list” (nelle console in italiano spesso riportata come “Usa solo i profili distribuiti tramite Criteri di gruppo per le reti consentite”). Questo è il blocco chiave: impedisce qualunque connessione a reti non presenti nella policy.
- Abilita anche “Block connections to ad‑hoc networks” e lascia disabilitato qualunque automatismo verso reti non preferite.
- Salva e chiudi.
Distribuisci la policy
- Collega il GPO all’OU corretta (se non l’hai già fatto) e verifica l’ordine di elaborazione (il GPO deve vincere su eventuali policy meno restrittive).
- Forza l’aggiornamento sui client:
gpupdate /force
- In rollout programmati, attendi il normale background refresh dei Criteri di gruppo.
Verifica lato client
Controlla che sia rimasto solo il profilo Wi‑Fi aziendale e che Windows non consenta nuove connessioni:
netsh wlan show profiles
netsh wlan show interfaces
Nel primo comando dovresti vedere esclusivamente il profilo distribuito dal GPO (es. Policy Wi‑Fi Aziendale); nel secondo, lo stato dell’interfaccia Wi‑Fi e l’SSID a cui è connessa.
Accorgimenti supplementari (consigli pratici)
Prima e dopo l’applicazione della policy, adotta questi accorgimenti per semplificare il rollout e ridurre la superficie d’attacco.
Obiettivo | Azione consigliata |
---|---|
Eliminare profili Wi‑Fi preesistenti | Esegui sui client (manualmente o via script di avvio) netsh wlan delete profile name=* per rimuovere tutti i profili legacy prima del rollout. |
Autenticazione forte | Passa a WPA2/WPA3‑Enterprise 802.1X con RADIUS/NPS: niente chiave condivisa, gestione centralizzata e possibilità di assegnare VLAN dinamiche. Distribuisci certificati via GPO (auto‑enrollment). |
Ridurre rischi fuori sede | In Computer Configuration → Administrative Templates → Network → WLAN Service disattiva opzioni tipo “Connetti automaticamente a hotspot aperti” e funzioni Hotspot 2.0 se non usate. |
Guest network separata | Esporre un SSID guest su VLAN isolata. I PC di dominio non lo vedranno né potranno connettersi grazie alla policy allowed list only. |
Controlli aggiuntivi | Abilita, se disponibile sul controller/AP, MAC filtering o access list come deterrente (non è una misura di sicurezza definitiva). |
Impostazioni correlate utili (GPO hardening)
Queste policy non sostituiscono la Wireless Policy ma la rafforzano e migliorano l’esperienza in sede (es. preferire l’Ethernet).
Percorso GPO | Impostazione | Motivo | Valore consigliato |
---|---|---|---|
Computer Configuration → Administrative Templates → Network → Windows Connection Manager | Prohibit connection to non‑domain networks when connected to a domain authenticated network | Impedisce connessioni parallele a reti non di dominio quando il pc è in dominio. | Enabled |
… → Windows Connection Manager | Minimize the number of simultaneous connections to the Internet or a Windows domain | Evita doppie connessioni (Ethernet + Wi‑Fi) e riduce percorsi imprevisti. | Preferisci blocca Wi‑Fi quando c’è Ethernet. |
Computer Configuration → Administrative Templates → Network → Network Connections | Prohibit use of Internet Connection Sharing (ICS) | Blocca la condivisione Internet dell’utente (hotspot da PC). | Enabled |
… → Network Connections | Prohibit installation and configuration of network bridges | Evita bridging tra interfacce che aggirano la segmentazione. | Enabled |
Computer Configuration → Administrative Templates → Network → Windows Connect Now | Prohibit access to Windows Connect Now | Impedisce l’uso di WCN (WPS/wizard) per aggiungere reti non autorizzate. | Enabled |
Computer Configuration → Administrative Templates → Network → WLAN Service → WLAN Settings | Disable automatic connection to open networks | Evita agganci accidentali a hotspot gratuiti o suggeriti. | Enabled |
802.1X con RADIUS/NPS: implementazione rapida
Se vuoi eliminare la PSK e centralizzare l’accesso, configura l’autenticazione 802.1X. In estrema sintesi:
- PKI interna: installa/usa una Certification Authority AD CS. Abilita Auto‑Enrollment per Computer (e/o User) tramite GPO.
- NPS (Network Policy Server): su un server membro, installa NPS, registra in AD, aggiungi gli AP/Controller come RADIUS Client.
- Policy NPS: crea Connection Request Policy (se serve proxy) e Network Policy che autorizza i gruppi AD (es. Domain Computers), EAP‑TLS (consigliato) o PEAP, e opzionalmente VLAN dinamica per device managed.
- Wireless Policy GPO: nel profilo SSID seleziona EAP coerente con NPS e abilita l’autenticazione Computer (così il PC si connette già alla schermata di logon).
- AP/Controller: imposta SSID in WPA2/WPA3‑Enterprise e punta al RADIUS/NPS (IP/porta/secret).
Risultato: nessuna password condivisa, onboarding trasparente e possibilità di deny‑by‑default per device non conformi.
Gestione dei portatili e casi fuori sede
Il blocco totale può essere eccessivo per chi viaggia. Ecco tre pattern senza compromettere la sicurezza in sede:
- Secondo GPO “roaming”: in una OU separata (o con Security Filtering su un gruppo AD “Travel”), crea una Wireless Policy meno restrittiva (o un profilo addizionale, es. “Hotspot aziendale mobile”). Linka questo GPO solo ai notebook interessati.
- WMI Filter: applica il GPO “Wi‑Fi Aziendale Only” solo ai device fissi. Esempio (semplificato):
SELECT * FROM Win32_ComputerSystem WHERE PCSystemType <> 2
per escludere i portatili (PCSystemType=2). - VPN Always‑On: se i portatili usano reti esterne, pretendi VPN sempre attiva con split/force‑tunneling definito e posture check.
Nota operativa: i client devono essere cablati o già sull’SSID corretto al primo avvio per ricevere la policy. In scenari difficili abilita in GPO “Apply Group Policy over slow link” e pianifica una finestra assistita.
Automazione: pulizia profili e controllo iniziale
Per partire pulito, uno Startup Script lato computer che rimuove i profili Wi‑Fi esistenti prima di applicare il GPO riduce l’attrito.
Esempio (Batch)
@echo off
REM Rimuove tutti i profili Wi-Fi esistenti
netsh wlan delete profile name=* >nul 2>&1
REM Facoltativo: disabilita Hosted Network legacy
netsh wlan set hostednetwork mode=disallow >nul 2>&1
REM Forza aggiornamento criteri
gpupdate /target:computer /force
Esempio (PowerShell)
Get-NetAdapter -InterfaceDescription 'Wireless' -ErrorAction SilentlyContinue | ForEach-Object {
netsh wlan delete profile name=* | Out-Null
}
gpupdate /target:computer /force
Playbook di rollout per ~30 PC
- Inventario: elenca modelli, driver NIC Wi‑Fi e OU AD; verifica che tutti i PC siano in sede o raggiungibili via VPN.
- Pilota: 3–5 client di test. Applica script di pulizia, linka il GPO, verifica profilo e blocchi.
- Fase 1 (10 PC): monitoraggio stretto (Help Desk informato). Correggi eventuali policy conflittuali.
- Fase 2 (resto): rollout scalato per gruppi/OU.
- Stabilizzazione: report con
gpresult /h
enetsh wlan show
per campione di macchine; chiudi le azioni aperte.
Troubleshooting: checklist rapida
- Il profilo non arriva?
- Verifica link GPO all’OU corretta e Security Filtering (il computer deve avere Read + Apply).
- Controlla il WMI filter (se usato) e l’ordine dei GPO: il più restrittivo deve vincere.
- Esegui:
gpupdate /force gpresult /r /scope computer gpresult /h C:\Temp\gp.html
- Windows continua a vedere altre reti?
- La discovery è normale; ciò che conta è che non si connetta. Assicurati che in Network Permissions sia attivo “Only allow connections to networks in the allowed list”.
- Blocca le ad‑hoc (check dedicato) e disattiva WCN/Wi‑Fi Sense/Hotspot 2.0 non necessari.
- Autenticazione 802.1X fallita?
- Controlla certificati (auto‑enrollment), EAP configurato nel profilo e regole NPS.
- Verifica orario/ntp del client e la CRL della CA interna.
- Connesso a Ethernet ma anche al Wi‑Fi:
- Imposta in Windows Connection Manager la riduzione delle connessioni simultanee (disconnetti Wi‑Fi se c’è Ethernet).
Log e strumenti utili
- Registro eventi: Applications and Services Logs → Microsoft → Windows → WLAN‑AutoConfig/Operational.
- Driver e capacità NIC:
netsh wlan show drivers
- Stato interfacce/canali:
netsh wlan show interfaces
- NPS: Event Viewer sul server e log RADIUS per esiti 802.1X.
FAQ rapide
Gli utenti possono aggiungere manualmente un nuovo SSID?
No. Con l’opzione “Only allow connections to networks in the allowed list” attiva nella Wireless Policy, i client non possono connettersi a reti non incluse nel GPO, anche se visibili.
È utile nascondere l’SSID (non broadcast)?
Non come misura di sicurezza: aumenta solo la complessità di onboarding. Meglio lasciare in broadcast e affidarsi a 802.1X e ai GPO.
Serve rimuovere i profili esistenti se poi li sovrascrivo con GPO?
La policy li rende inefficaci, ma la pulizia preventiva evita conflitti/anomalie e riduce la confusione su client già “sporcati”.
Che differenza c’è tra autenticazione Computer e Utente?
Con Computer il PC si autentica prima del logon (utile per ricevere GPO all’avvio). Con Utente la rete diventa disponibile solo dopo l’accesso. Spesso si usa “Computer o Utente”.
E se alcuni dipendenti devono usare Wi‑Fi esterni?
Crea un GPO specifico per i portatili in trasferta (OU o gruppo AD dedicato). In alternativa, fornisci hotspot aziendali gestiti o profili roaming ben definiti.
La policy blocca anche i tool di terze parti (es. utility del vendor)?
In generale sì, perché l’enforcement è a livello di stack WLAN di Windows. Standardizza i driver e dismetti gestori Wi‑Fi di terze parti per evitare comportamenti non allineati.
Riepilogo operativo
- Crea un GPO dedicato e una Wireless Network Policy per Windows Vista e successivi.
- Aggiungi l’SSID aziendale come unico profilo preferito con impostazioni di sicurezza corrette.
- Attiva “Only allow connections to networks in the allowed list” e blocco ad‑hoc.
- Pulisci i profili legacy e rafforza con policy WCM, ICS e WCN.
- Verifica con
netsh wlan show profiles
,gpresult
ed Event Viewer. - Gestisci le eccezioni (roaming) con OU/Gruppi dedicati e, se possibile, 802.1X + VPN Always‑On.
Conclusioni
Impostando una Wireless Network Policy via Group Policy puoi vincolare i PC di dominio al solo SSID aziendale e bloccare ogni altra rete in modo affidabile. Completa la soluzione con 802.1X (NPS/RADIUS), pulizia dei profili preesistenti, hardening di Windows Connection Manager/ICS/WCN e un GPO separato per chi viaggia. Con un rollout ordinato e qualche verifica (netsh
, gpresult
e log), in poche ore metti in sicurezza il Wi‑Fi di circa 30 client senza cambiare hardware né introdurre complessità inutili.
Procedura rapida (tl;dr)
- GPMC → nuovo GPO “Wi‑Fi Aziendale Only”.
Computer Configuration → Policies → Windows Settings → Security Settings → Wireless Network (IEEE 802.11) Policies
→ Create policy “Policy Wi‑Fi Aziendale”.- Preferred Networks: aggiungi SSID aziendale e sicurezza (meglio 802.1X).
- Network Permissions: attiva Only allow connections to networks in the allowed list + blocco ad‑hoc.
- Distribuisci →
gpupdate /force
→ verifica connetsh wlan show profiles
.