Limitare il Wi‑Fi ai soli SSID aziendali in Windows 10/11 con Group Policy (GPO): guida completa

Vuoi garantire che i PC di dominio si colleghino esclusivamente all’SSID aziendale e bloccare ogni altra rete Wi‑Fi? Di seguito trovi una guida operativa, completa e concreta, per Windows 10/11 con Group Policy e accorgimenti di hardening pronti per il rollout.

Scenario e obiettivo

In molte aziende la superficie d’attacco passa dai notebook: un utente che si connette a una rete non controllata (hotspot pubblico, tethering, Wi‑Fi di casa) espone il dispositivo a rischi e bypassa i controlli. L’obiettivo è consentire ai client Windows 10/11 uniti al dominio di collegarsi solo all’Access Point/SSID aziendale, impedendo ogni altra connessione Wi‑Fi.

Prerequisiti e ambito

• Active Directory con Group Policy Management e OU dedicate ai client interessati (circa 30 PC).
• Access point aziendale con SSID definito; consigliata cifratura WPA2/WPA3‑Enterprise (802.1X) e server RADIUS/NPS.
• Client Windows 10/11 Pro/Enterprise uniti al dominio e servizio WLAN AutoConfig attivo (predefinito).
• Connessione iniziale dei client alla rete aziendale (via cavo o già sull’SSID) per ricevere i GPO al primo avvio.

Soluzione consigliata: Wireless Network Policy via Group Policy

La strada più solida è usare le Wireless Network (IEEE 802.11) Policies lato computer, così da definire il profilo dell’SSID aziendale e permettere la connessione solo a reti presenti nell’elenco consentito.

Crea un nuovo GPO

1. Apri Group Policy Management e posizionati sul dominio o sulla OU con i PC da proteggere.
2. Right‑click → New GPO (es. “Wi‑Fi Aziendale Only”), quindi Link an Existing GPO o collegalo subito all’OU corretta.
3. Facoltativo ma consigliato: Security Filtering → limita l’applicazione ai soli Domain Computers o a un gruppo AD dedicato (es. GG‑WiFi‑Locked).

Configura la politica wireless

Percorso: Computer Configuration → Policies → Windows Settings → Security Settings → Wireless Network (IEEE 802.11) Policies

1. Right‑click → Create a New Wireless Network Policy per Windows Vista and Later Releases.
2. Assegna un nome descrittivo, ad esempio “Policy Wi‑Fi Aziendale”.
3. Nella scheda Preferred Networks fai Add e inserisci:
   • Network name (SSID): l’SSID aziendale.
   • Tipo rete: Infrastructure.
   • Sicurezza: imposta cifratura e autenticazione coerenti con l’AP.
     • Enterprise: WPA2‑Enterprise/WPA3‑Enterprise (802.1X), EAP‑TLS o PEAP‑MSCHAPv2.
     • PSK: WPA2‑PSK (sconsigliato in ambienti corporate; usa solo come soluzione temporanea).
   • Se 802.1X: nella sezione EAP definisci il metodo, i certificati e se l’autenticazione è Computer, Utente o Computer o Utente (vedi sezione 802.1X).
4. Nella scheda Network Permissions seleziona l’opzione equivalente a “Only allow connections to networks in the allowed list” (nelle console in italiano spesso riportata come “Usa solo i profili distribuiti tramite Criteri di gruppo per le reti consentite”). Questo è il blocco chiave: impedisce qualunque connessione a reti non presenti nella policy.
5. Abilita anche “Block connections to ad‑hoc networks” e lascia disabilitato qualunque automatismo verso reti non preferite.
6. Salva e chiudi.

Distribuisci la policy

• Collega il GPO all’OU corretta (se non l’hai già fatto) e verifica l’ordine di elaborazione (il GPO deve vincere su eventuali policy meno restrittive).
• Forza l’aggiornamento sui client: gpupdate /force
• In rollout programmati, attendi il normale background refresh dei Criteri di gruppo.

Verifica lato client

Controlla che sia rimasto solo il profilo Wi‑Fi aziendale e che Windows non consenta nuove connessioni:

netsh wlan show profiles
netsh wlan show interfaces

Nel primo comando dovresti vedere esclusivamente il profilo distribuito dal GPO (es. Policy Wi‑Fi Aziendale); nel secondo, lo stato dell’interfaccia Wi‑Fi e l’SSID a cui è connessa.

Accorgimenti supplementari (consigli pratici)

Prima e dopo l’applicazione della policy, adotta questi accorgimenti per semplificare il rollout e ridurre la superficie d’attacco.

Obiettivo	Azione consigliata
Eliminare profili Wi‑Fi preesistenti	Esegui sui client (manualmente o via script di avvio) netsh wlan delete profile name=* per rimuovere tutti i profili legacy prima del rollout.
Autenticazione forte	Passa a WPA2/WPA3‑Enterprise 802.1X con RADIUS/NPS: niente chiave condivisa, gestione centralizzata e possibilità di assegnare VLAN dinamiche. Distribuisci certificati via GPO (auto‑enrollment).
Ridurre rischi fuori sede	In Computer Configuration → Administrative Templates → Network → WLAN Service disattiva opzioni tipo “Connetti automaticamente a hotspot aperti” e funzioni Hotspot 2.0 se non usate.
Guest network separata	Esporre un SSID guest su VLAN isolata. I PC di dominio non lo vedranno né potranno connettersi grazie alla policy allowed list only.
Controlli aggiuntivi	Abilita, se disponibile sul controller/AP, MAC filtering o access list come deterrente (non è una misura di sicurezza definitiva).

Impostazioni correlate utili (GPO hardening)

Queste policy non sostituiscono la Wireless Policy ma la rafforzano e migliorano l’esperienza in sede (es. preferire l’Ethernet).

Percorso GPO	Impostazione	Motivo	Valore consigliato
Computer Configuration → Administrative Templates → Network → Windows Connection Manager	Prohibit connection to non‑domain networks when connected to a domain authenticated network	Impedisce connessioni parallele a reti non di dominio quando il pc è in dominio.	Enabled
… → Windows Connection Manager	Minimize the number of simultaneous connections to the Internet or a Windows domain	Evita doppie connessioni (Ethernet + Wi‑Fi) e riduce percorsi imprevisti.	Preferisci blocca Wi‑Fi quando c’è Ethernet.
Computer Configuration → Administrative Templates → Network → Network Connections	Prohibit use of Internet Connection Sharing (ICS)	Blocca la condivisione Internet dell’utente (hotspot da PC).	Enabled
… → Network Connections	Prohibit installation and configuration of network bridges	Evita bridging tra interfacce che aggirano la segmentazione.	Enabled
Computer Configuration → Administrative Templates → Network → Windows Connect Now	Prohibit access to Windows Connect Now	Impedisce l’uso di WCN (WPS/wizard) per aggiungere reti non autorizzate.	Enabled
Computer Configuration → Administrative Templates → Network → WLAN Service → WLAN Settings	Disable automatic connection to open networks	Evita agganci accidentali a hotspot gratuiti o suggeriti.	Enabled

802.1X con RADIUS/NPS: implementazione rapida

Se vuoi eliminare la PSK e centralizzare l’accesso, configura l’autenticazione 802.1X. In estrema sintesi:

1. PKI interna: installa/usa una Certification Authority AD CS. Abilita Auto‑Enrollment per Computer (e/o User) tramite GPO.
2. NPS (Network Policy Server): su un server membro, installa NPS, registra in AD, aggiungi gli AP/Controller come RADIUS Client.
3. Policy NPS: crea Connection Request Policy (se serve proxy) e Network Policy che autorizza i gruppi AD (es. Domain Computers), EAP‑TLS (consigliato) o PEAP, e opzionalmente VLAN dinamica per device managed.
4. Wireless Policy GPO: nel profilo SSID seleziona EAP coerente con NPS e abilita l’autenticazione Computer (così il PC si connette già alla schermata di logon).
5. AP/Controller: imposta SSID in WPA2/WPA3‑Enterprise e punta al RADIUS/NPS (IP/porta/secret).

Risultato: nessuna password condivisa, onboarding trasparente e possibilità di deny‑by‑default per device non conformi.

Gestione dei portatili e casi fuori sede

Il blocco totale può essere eccessivo per chi viaggia. Ecco tre pattern senza compromettere la sicurezza in sede:

1. Secondo GPO “roaming”: in una OU separata (o con Security Filtering su un gruppo AD “Travel”), crea una Wireless Policy meno restrittiva (o un profilo addizionale, es. “Hotspot aziendale mobile”). Linka questo GPO solo ai notebook interessati.
2. WMI Filter: applica il GPO “Wi‑Fi Aziendale Only” solo ai device fissi. Esempio (semplificato): SELECT * FROM Win32_ComputerSystem WHERE PCSystemType <> 2 per escludere i portatili (PCSystemType=2).
3. VPN Always‑On: se i portatili usano reti esterne, pretendi VPN sempre attiva con split/force‑tunneling definito e posture check.

Nota operativa: i client devono essere cablati o già sull’SSID corretto al primo avvio per ricevere la policy. In scenari difficili abilita in GPO “Apply Group Policy over slow link” e pianifica una finestra assistita.

Automazione: pulizia profili e controllo iniziale

Per partire pulito, uno Startup Script lato computer che rimuove i profili Wi‑Fi esistenti prima di applicare il GPO riduce l’attrito.

Esempio (Batch)

@echo off
REM Rimuove tutti i profili Wi-Fi esistenti
netsh wlan delete profile name=* >nul 2>&1

REM Facoltativo: disabilita Hosted Network legacy
netsh wlan set hostednetwork mode=disallow >nul 2>&1

REM Forza aggiornamento criteri
gpupdate /target:computer /force 

Esempio (PowerShell)

Get-NetAdapter -InterfaceDescription 'Wireless' -ErrorAction SilentlyContinue | ForEach-Object {
  netsh wlan delete profile name=* | Out-Null
}
gpupdate /target:computer /force

Playbook di rollout per ~30 PC

1. Inventario: elenca modelli, driver NIC Wi‑Fi e OU AD; verifica che tutti i PC siano in sede o raggiungibili via VPN.
2. Pilota: 3–5 client di test. Applica script di pulizia, linka il GPO, verifica profilo e blocchi.
3. Fase 1 (10 PC): monitoraggio stretto (Help Desk informato). Correggi eventuali policy conflittuali.
4. Fase 2 (resto): rollout scalato per gruppi/OU.
5. Stabilizzazione: report con gpresult /h e netsh wlan show per campione di macchine; chiudi le azioni aperte.

Troubleshooting: checklist rapida

• Il profilo non arriva?
  • Verifica link GPO all’OU corretta e Security Filtering (il computer deve avere Read + Apply).
  • Controlla il WMI filter (se usato) e l’ordine dei GPO: il più restrittivo deve vincere.
  • Esegui: gpupdate /force gpresult /r /scope computer gpresult /h C:\Temp\gp.html
• Windows continua a vedere altre reti?
  • La discovery è normale; ciò che conta è che non si connetta. Assicurati che in Network Permissions sia attivo “Only allow connections to networks in the allowed list”.
  • Blocca le ad‑hoc (check dedicato) e disattiva WCN/Wi‑Fi Sense/Hotspot 2.0 non necessari.
• Autenticazione 802.1X fallita?
  • Controlla certificati (auto‑enrollment), EAP configurato nel profilo e regole NPS.
  • Verifica orario/ntp del client e la CRL della CA interna.
• Connesso a Ethernet ma anche al Wi‑Fi:
  • Imposta in Windows Connection Manager la riduzione delle connessioni simultanee (disconnetti Wi‑Fi se c’è Ethernet).

Log e strumenti utili

• Registro eventi: Applications and Services Logs → Microsoft → Windows → WLAN‑AutoConfig/Operational.
• Driver e capacità NIC: netsh wlan show drivers
• Stato interfacce/canali: netsh wlan show interfaces
• NPS: Event Viewer sul server e log RADIUS per esiti 802.1X.

FAQ rapide

Gli utenti possono aggiungere manualmente un nuovo SSID?
No. Con l’opzione “Only allow connections to networks in the allowed list” attiva nella Wireless Policy, i client non possono connettersi a reti non incluse nel GPO, anche se visibili.

È utile nascondere l’SSID (non broadcast)?
Non come misura di sicurezza: aumenta solo la complessità di onboarding. Meglio lasciare in broadcast e affidarsi a 802.1X e ai GPO.

Serve rimuovere i profili esistenti se poi li sovrascrivo con GPO?
La policy li rende inefficaci, ma la pulizia preventiva evita conflitti/anomalie e riduce la confusione su client già “sporcati”.

Che differenza c’è tra autenticazione Computer e Utente?
Con Computer il PC si autentica prima del logon (utile per ricevere GPO all’avvio). Con Utente la rete diventa disponibile solo dopo l’accesso. Spesso si usa “Computer o Utente”.

E se alcuni dipendenti devono usare Wi‑Fi esterni?
Crea un GPO specifico per i portatili in trasferta (OU o gruppo AD dedicato). In alternativa, fornisci hotspot aziendali gestiti o profili roaming ben definiti.

La policy blocca anche i tool di terze parti (es. utility del vendor)?
In generale sì, perché l’enforcement è a livello di stack WLAN di Windows. Standardizza i driver e dismetti gestori Wi‑Fi di terze parti per evitare comportamenti non allineati.

Riepilogo operativo

• Crea un GPO dedicato e una Wireless Network Policy per Windows Vista e successivi.
• Aggiungi l’SSID aziendale come unico profilo preferito con impostazioni di sicurezza corrette.
• Attiva “Only allow connections to networks in the allowed list” e blocco ad‑hoc.
• Pulisci i profili legacy e rafforza con policy WCM, ICS e WCN.
• Verifica con netsh wlan show profiles, gpresult ed Event Viewer.
• Gestisci le eccezioni (roaming) con OU/Gruppi dedicati e, se possibile, 802.1X + VPN Always‑On.

Conclusioni

Impostando una Wireless Network Policy via Group Policy puoi vincolare i PC di dominio al solo SSID aziendale e bloccare ogni altra rete in modo affidabile. Completa la soluzione con 802.1X (NPS/RADIUS), pulizia dei profili preesistenti, hardening di Windows Connection Manager/ICS/WCN e un GPO separato per chi viaggia. Con un rollout ordinato e qualche verifica (netsh, gpresult e log), in poche ore metti in sicurezza il Wi‑Fi di circa 30 client senza cambiare hardware né introdurre complessità inutili.

---

Procedura rapida (tl;dr)

1. GPMC → nuovo GPO “Wi‑Fi Aziendale Only”.
2. Computer Configuration → Policies → Windows Settings → Security Settings → Wireless Network (IEEE 802.11) Policies → Create policy “Policy Wi‑Fi Aziendale”.
3. Preferred Networks: aggiungi SSID aziendale e sicurezza (meglio 802.1X).
4. Network Permissions: attiva Only allow connections to networks in the allowed list + blocco ad‑hoc.
5. Distribuisci → gpupdate /force → verifica con netsh wlan show profiles.