17
Windows 10 Firewall seltsame Blockregeln mit Regelquelle lokale Gruppenrichtlinie
Hallo zusammen,
ich schlage mich derzeit mit einem WMI-Problem herum (PRTG kann auf den Windows 10 Clients keine WMI-Abfragen ausführen). Bei der Überprüfung der Firewall habe ich festgestellt, dass es Drop-Regeln für Port 135 und 445 gibt. Deren Regelguelle soll eine Lokale Gruppemrichtlinie sein.
Wenn ich Lokal den Gruppenrichtlinieneditor öffne, sind dort aber keine entsprechenden Regeln zu finden. Gesucht habe ich bei Administrative Vorlagen/Netzwerk/Netzwerkverbindungen/Windows Defender Firewall und bei Sicherheitseinstellungen/Windows Defender Firewall mit erweiterter Sicherheit.
Auf dem Rechner läuft noch ESET Endpoint. Das ist so eingestellt, dass die Windows-Firewallregeln auch ausgewertet werden. Warum ESET allerdings zusätzliche Sperregeln definieren sollte, erschließt sich mir nicht.
Wo in aller Welt kommen diese Regeln her? Wie kann ich die deaktivieren?
Grüße
lcer
ich schlage mich derzeit mit einem WMI-Problem herum (PRTG kann auf den Windows 10 Clients keine WMI-Abfragen ausführen). Bei der Überprüfung der Firewall habe ich festgestellt, dass es Drop-Regeln für Port 135 und 445 gibt. Deren Regelguelle soll eine Lokale Gruppemrichtlinie sein.
Auf dem Rechner läuft noch ESET Endpoint. Das ist so eingestellt, dass die Windows-Firewallregeln auch ausgewertet werden. Warum ESET allerdings zusätzliche Sperregeln definieren sollte, erschließt sich mir nicht.
Wo in aller Welt kommen diese Regeln her? Wie kann ich die deaktivieren?
Grüße
lcer
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1578953917
Url: https://administrator.de/contentid/1578953917
Printed on: April 16, 2024 at 16:04 o'clock
17 Comments
Latest comment
Moin,
hast Du mal versucht die betreffenden Regeln per GPO an einem Client zu überschreiben?
Gruß
Looser
hast Du mal versucht die betreffenden Regeln per GPO an einem Client zu überschreiben?
Gruß
Looser
Schau Dich mal um unter
HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile
HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile
Hallo,
hab mich umgeschaut (export als Reg_Datei und dann in der Datei nach den Regeln gesucht) -> die sind nicht enthalten! Zwischenzeitlich habe ich den GPO-Cache gelöscht und ein Richtlinienupdate durchgeführt -> keine Änderung (hätte ich da neustarten sollen?).
Grüße
lcer
Zitat von @DerWoWusste:
Schau Dich mal um unter
HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile
Schau Dich mal um unter
HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile
hab mich umgeschaut (export als Reg_Datei und dann in der Datei nach den Regeln gesucht) -> die sind nicht enthalten! Zwischenzeitlich habe ich den GPO-Cache gelöscht und ein Richtlinienupdate durchgeführt -> keine Änderung (hätte ich da neustarten sollen?).
Grüße
lcer
Denke nicht, dass ein Neustart da was ändert.
Hol dir mal eine zweite Meinung ein. Dieses Skript listet alle über GPos (auch lokale GPOs) erzwungene Regeln:
Zeigt sich da das selbe Bild?
Nochmal zur Registry:
Hol dir mal eine zweite Meinung ein. Dieses Skript listet alle über GPos (auch lokale GPOs) erzwungene Regeln:
$colNames = 'DisplayName','DisplayGroup','Name','Enabled','Profile','Direction','Action','Status','EnforcementStatus','PolicyStoreSource','PolicyStoreSourceType'
$GPOrules = Get-NetFirewallRule -PolicyStore ActiveStore -tracepolicystore -PolicyStoreSourceType GroupPolicy | sort DisplayName | select $colNames
if($psISE){$GPOrules | Out-GridView} else {$GPOrules | ft -a -w}Nochmal zur Registry:
Hallo,
Kann es sein, dass sich die Regeln aus irgendwelchen anderen GPO-Einstellungen "ergeben"?
Grüße
lcer
Zitat von @DerWoWusste:
Denke nicht, dass ein Neustart da was ändert.
Hol dir mal eine zweite Meinung ein. Dieses Skript listet alle über GPos (auch lokale GPOs) erzwungene Regeln:
Zeigt sich da das selbe Bild?
Hier werden die Regeln mit angezeigt.Denke nicht, dass ein Neustart da was ändert.
Hol dir mal eine zweite Meinung ein. Dieses Skript listet alle über GPos (auch lokale GPOs) erzwungene Regeln:
$colNames = 'DisplayName','DisplayGroup','Name','Enabled','Profile','Direction','Action','Status','EnforcementStatus','PolicyStoreSource','PolicyStoreSourceType'
> $GPOrules = Get-NetFirewallRule -PolicyStore ActiveStore -tracepolicystore -PolicyStoreSourceType GroupPolicy | sort DisplayName | select $colNames
> if($psISE){$GPOrules | Out-GridView} else {$GPOrules | ft -a -w}Nochmal zur Registry:
Genau da war ich - dort sind sie die Regeln nicht.Kann es sein, dass sich die Regeln aus irgendwelchen anderen GPO-Einstellungen "ergeben"?
Grüße
lcer
Nee. Keine Ahnung.
Moin
Das müsstest du doch mit einem einfach GPRESULT relativ schnell ermitteln können. Wenn die Regeln im GPRESULT auftauchen, siehst du welche GPO dafür zuständig ist. Wenn im GPRESULT die Firewall-Regeln nicht gelistet sind, dann kommen sie nicht via GPO.
Ansonsten: schau mal via secpol.msc. Dort kannst du auch noch lokale Sicherheitsrichtlinien setzen, unter anderem Firewall-Einstellungen. Durchaus möglich, dass Esset als Programm die lokalen Richtlinien füttert. Dann siehst du es natürlich weder mit gpedit.msc noch via GPRESULT
Gruß
Doskias
Zitat von @lcer00:
Kann es sein, dass sich die Regeln aus irgendwelchen anderen GPO-Einstellungen "ergeben"?
lcer
Kann es sein, dass sich die Regeln aus irgendwelchen anderen GPO-Einstellungen "ergeben"?
lcer
Das müsstest du doch mit einem einfach GPRESULT relativ schnell ermitteln können. Wenn die Regeln im GPRESULT auftauchen, siehst du welche GPO dafür zuständig ist. Wenn im GPRESULT die Firewall-Regeln nicht gelistet sind, dann kommen sie nicht via GPO.
Ansonsten: schau mal via secpol.msc. Dort kannst du auch noch lokale Sicherheitsrichtlinien setzen, unter anderem Firewall-Einstellungen. Durchaus möglich, dass Esset als Programm die lokalen Richtlinien füttert. Dann siehst du es natürlich weder mit gpedit.msc noch via GPRESULT
Gruß
Doskias
Hallo,
ich glaube, ich habe das Problem gefunden.
Ursache ist die Aktivierung der "GPO Netzwerk/Netzwerkverbindungen/Windows Defender Firewall/Domänenprofil Windows Defender Firewall: Eingehende Remoteverwaltungsausnahme zulassen"
Ich habe die folgendermaßen eingestellt:
Diese GPO führt offenbar am Client dazu, dass eine "lokale Gruppenrichtlinie" erstellt wird, die die entsprechenden 3 Regeln (Remoteverwaltung NP, RPC, RPC-EPMAP ) enthält.
Nun hatte ich diese GPO-Einstellung in 2 Gruppenrichtlinienobjekten, die beide auf den Client angewendet wurden aktiviert. Nach Deaktivieren einer dieser Regeln verschwand die Drop-Regel, und eine entsprechende Allow-Regel stand plötzlich da.
Nach dem erneuten Aktivieren des 2. GPO, blieb es bei der Allow-Regel. Da muss irgendwo in der Gruppenrichtlinienverarbeitung ein Fehler entstanden sein. Momentan kann ich das Verhalten zwar nicht reproduzieren. Allerdings funktioniert es jetzt auch wie erwartet.
Ich habe mich Entschieden, diese GPO nicht weiter zu verwenden und stattdessen die Regeln über Sicherheistsinstellungen/Firewall direkt zu setzten.
Grüße
lcer
ich glaube, ich habe das Problem gefunden.
Ursache ist die Aktivierung der "GPO Netzwerk/Netzwerkverbindungen/Windows Defender Firewall/Domänenprofil Windows Defender Firewall: Eingehende Remoteverwaltungsausnahme zulassen"
Ich habe die folgendermaßen eingestellt:
Unerbetene eingehende Meldungen von diesen IP-Adressen zulassen: 192.168.200.0/24,192.168.0.0/24.192.168.1.0/24,192.168.5.0/24.192.168.95.0/24
Syntax:
Geben Sie "*" ein, um Meldungen von allen Netzwerken zuzulassen,
oder geben Sie eine durch Komma getrennte Liste ein, die eine
beliebige Anzahl oder Kombination folgender Elemente enthält:
IP-Adressen wie 10.0.0.1
Subnetzbeschreibungen wie 10.2.3.0/24
Die Zeichenfolge "localsubnet"
Beispiel: Wenn Sie
Meldungen von 10.0.0.1, 10.0.0.2 und
von jedem System im lokalen Subnetz bzw.
im 10.3.4.x-Subnetz zulassen möchten, geben Sie Folgendes unter
"Unerbetene eingehende Meldungen von diesen IP-Adressen zulassen" ein:
10.0.0.1,10.0.0.2,localsubnet,10.3.4.0/24 Diese GPO führt offenbar am Client dazu, dass eine "lokale Gruppenrichtlinie" erstellt wird, die die entsprechenden 3 Regeln (Remoteverwaltung NP, RPC, RPC-EPMAP ) enthält.
Nun hatte ich diese GPO-Einstellung in 2 Gruppenrichtlinienobjekten, die beide auf den Client angewendet wurden aktiviert. Nach Deaktivieren einer dieser Regeln verschwand die Drop-Regel, und eine entsprechende Allow-Regel stand plötzlich da.
Nach dem erneuten Aktivieren des 2. GPO, blieb es bei der Allow-Regel. Da muss irgendwo in der Gruppenrichtlinienverarbeitung ein Fehler entstanden sein. Momentan kann ich das Verhalten zwar nicht reproduzieren. Allerdings funktioniert es jetzt auch wie erwartet.
Ich habe mich Entschieden, diese GPO nicht weiter zu verwenden und stattdessen die Regeln über Sicherheistsinstellungen/Firewall direkt zu setzten.
Grüße
lcer
Ursache ist die Aktivierung der "GPO Netzwerk/Netzwerkverbindungen/Windows Defender Firewall/Domänenprofil Windows Defender Firewall: Eingehende Remoteverwaltungsausnahme zulassen"
Und du bist sicher, dass dies keine Spuren in der Registry hinterließ? Muss es doch.
Hallo,
Ich hatte den Registry-Zweig [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\FirewallRules] exportiert. Sicherheitshalber habe ich nochmal nachgeschaut. Nein - keine entsprechenden Block-Rules.
Ich habe das ganze noch einmal überprüft. Nach erneutem aktivieren der GPO wurden mir wieder entsprechende Regeln mit Regelquelle "Lokale Gruppenrichtlinie" angezeigt (mal wieder als Block-Rule). In der Registry findet sich wieder nix.
Grüße
lcer
Zitat von @DerWoWusste:
Ursache ist die Aktivierung der "GPO Netzwerk/Netzwerkverbindungen/Windows Defender Firewall/Domänenprofil Windows Defender Firewall: Eingehende Remoteverwaltungsausnahme zulassen"
Und du bist sicher, dass dies keine Spuren in der Registry hinterließ? Muss es doch.Ich hatte den Registry-Zweig [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\FirewallRules] exportiert. Sicherheitshalber habe ich nochmal nachgeschaut. Nein - keine entsprechenden Block-Rules.
Ich habe das ganze noch einmal überprüft. Nach erneutem aktivieren der GPO wurden mir wieder entsprechende Regeln mit Regelquelle "Lokale Gruppenrichtlinie" angezeigt (mal wieder als Block-Rule). In der Registry findet sich wieder nix.
Grüße
lcer
Moin,
ich funk nochmal dazwischen: Laut admx.help ist der Registry key für die GPO folgender:
SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile\RemoteAdminSettings
hast du den zur Überprüfung auch einmal exportiert?
Gruß
Doskias
ich funk nochmal dazwischen: Laut admx.help ist der Registry key für die GPO folgender:
SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile\RemoteAdminSettings
hast du den zur Überprüfung auch einmal exportiert?
Gruß
Doskias
Hallo,
in der Tat, die Einstellungen der GPO werden unter
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\RemoteAdminSettin
gs gespeichert:
Es wird aber unter [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\FirewallRules] keine Regel angezeigt.
Grüße
lcer
in der Tat, die Einstellungen der GPO werden unter
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\RemoteAdminSettin
gs gespeichert:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\RemoteAdminSettings]
"Enabled"=dword:00000001
"RemoteAddresses"="192.168.200.0/24,192.168.0.0/24.192.168.1.0/24,192.168.5.0/24.192.168.95.0/24" Grüße
lcer
Es wird aber unter [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\FirewallRules] keine Regel angezeigt.
Ja doch nicht direkt darunter... da sind doch die Profile drunter und erst darunter die Regeln.Zitat von @DerWoWusste:
Es wird aber unter [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\FirewallRules] keine Regel angezeigt.
Ja doch nicht direkt darunter... da sind doch die Profile drunter und erst darunter die Regeln.
Windows 10 Enterprise 21H2 19044.1348
Grüße
lcer
Vergleiche mit meinem Screenshot - dort sind auch links die GUIDs und erst rechts hinten die Regelnamen.
Zitat von @DerWoWusste:
Vergleiche mit meinem Screenshot - dort sind auch links die GUIDs und erst rechts hinten die Regelnamen.
Vergleiche mit meinem Screenshot - dort sind auch links die GUIDs und erst rechts hinten die Regelnamen.
Ja, schon klar. Aber dennoch werden für die Einstellungen unter RemoteAdminSettings keine speziellen Regeleinträge unter HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\FirewallRules erstellt.
Ich habe das jetzt ein paar mal hin und her getestet. Vielleicht kann das ja jemand bestätigen?
Grüße
lcer
Ok, kann ich bestätigen.
Ja, das kann einen etwas verwirren, aber schnell finden kann man es dennoch:
Als Admin
Diese Datei erst einmal im Editor öffnen und nach einer der besagten Ips/IP-Ranges suchen, um sich zu orientieren. Dann die Datei im browser öffnen. Man findet dann recht schnell hin.
Ja, das kann einen etwas verwirren, aber schnell finden kann man es dennoch:
Als Admin
gpresult /h %temp%\result.html /scope:computer