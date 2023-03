I. Présentation

Dans ce tutoriel, nous allons voir comment déployer un réseau WiFi par GPO de manière à ce qu'il soit connu automatiquement par les machines de votre parc informatique et intégré à l'Active Directory.

En environnements professionnels, on est amené à rencontrer des réseaux WiFi protégés de différentes façons, notamment par une clé de sécurité (WPA2 / WPA3), ce qui est la méthode traditionnelle, mais aussi par une authentification plus forte basée sur un serveur NPS (Radius). Lorsque l'on souhaite déployer un réseau WiFi protégé par une clé de sécurité, en passant par une GPO, on va être confronté à une problématique : comment diffuser la clé de sécurité ? Éléments de réponses dans cet article.

II. Créer un profil WiFi par GPO

Pour déployer un réseau WiFi par GPO en intégrant le SSID du réseau et la clé de sécurité, il faudra exporter la configuration au format XML. Cela implique de prendre une machine et de la connecter au réseau WiFi une première fois, afin de pouvoir exporter la configuration.

L'export s'effectue à partir de netsh, en invite de commande. L'exemple ci-dessous va générer un fichier de profil pour le réseau "MON-WIFI" et stocker le fichier de sortie à la racine du disque "C". Si l'on veut exporter tous les réseaux WiFi connus par la machine locale, on retirera la précision sur le nom du profil ciblé.

netsh wlan export profile "MON-WIFI" key=clear folder=c:\

J'obtiens un fichier XML qui contient le SSID du réseau, ainsi que la clé de sécurité en clair (keyMaterial) car la commande exécutée contient "key=clear". Si l'on ne précise pas cette option, la clé de sécurité est chiffrée, mais le profil ne fonctionnera pas sur une autre machine. Précision importante.

Ensuite, si l'on crée une stratégie de groupe et que l'on crée une nouvelle stratégie à l'emplacement suivant : Configuration ordinateur, Stratégies, Paramètres Windows, Paramètres de sécurité, Stratégies de réseau sans-fil. On remarque que l'on peut importer un profil en cliquant sur le bouton "Importer". À partir de là, on peut charger le fichier XML généré par la commande netsh.

L'assistant m'informe qu'il a importé le profil, mais qu'il a supprimé la clé de sécurité du réseau : "La clé réseau a été supprimée de ce profil". Ce qui implique que le profil WiFi sera diffusé sur les machines, mais sans la clé de sécurité, ce qui n'apporte pas grand-chose...

Comment faire pour déployer le réseau WiFi avec la clé de sécurité ? La question reste entière...!

La solution consiste à utiliser une GPO, mais sans passer par la création d'une nouvelle stratégie de réseau sans-fil. Nous allons utiliser une méthode plus classique : l'exécution d'un script Batch (ou éventuellement PowerShell) au démarrage du PC qui va exécuter une commande netsh pour charger le fichier XML.

Effectivement, la commande ci-dessous me permettra de charger le fichier "\\mon-serveur\informatique$\Wi-Fi.xml", accessible via le réseau (important !) sur la machine locale. Cette commande va importer le réseau WiFi avec sa clé de sécurité.

netsh wlan add profile filename=\\mon-serveur\informatique$\Wi-Fi.xml

Cette commande doit être intégrée dans un fichier que l'on peut appeler "Import-WiFi.bat".

Ce même fichier devra être appelé dans la GPO pour être exécuté au démarrage de la machine : Configuration ordinateur, Stratégies, Paramètres Windows, Scripts (démarrage/arrêt), Démarrage. Ici, on ajoute un nouveau fichier et on spécifie le chemin réseau vers le script Batch.

À partir de ce moment-là, la stratégie de groupe est prête ! Il ne reste plus qu'à lier cette GPO à une ou plusieurs unités d'organisation. Lorsqu'une machine Windows va démarrer, elle va exécuter le script Batch "Import-WiFi.bat" et importer le réseau WiFi. Ainsi, dans la liste des réseaux connus, il y aura votre réseau et Windows pourra s'y connecter automatiquement !

III. Conclusion

Même si la méthode détaillée dans cet article implique de stocker la clé de sécurité réseau en clair dans le fichier XML, cela vous permettra de diffuser votre réseau WiFi sur les machines de votre parc informatique. C'est un gain de temps pour le service informatique et pour l'utilisateur. N'oubliez pas que la première fois, la machine devra être connectée en filaire pour récupérer la GPO, et donc les informations du réseau WiFi.

En complément de l'exécution de ce script, vous pouvez toujours configurer une stratégie de réseau sans-fil pour autoriser l'utilisateur à se connecter uniquement à certains réseaux WiFi, ou à l'inverse lui refuser l'accès sur certains réseaux.