4
WMI - Firewall - Security
Hi,
die Idee ist an alle User im Netzwerk via WMI msg nachrichten zukommen zu lassen, z.B. um auf Wartungsarbeiten hinzuweisen.
Dazu ist eine Firewall ausnahme nötig in Form von:
aus: https://docs.microsoft.com/en-us/windows/desktop/wmisdk/connecting-to-wm ...
Dannach können Domainadmins an diese PCs via
Eine Nachricht schicken - soweit sogut
Unpriviligierte normale User bekommen beim selbigen Versuch eine System.UnauthorizedAccessException - also soweit auch okay
Die Frage ist: Wie ist die Firewallausnahmeregel einzuschätzen, kann ich mich auf die eingebaute WMI Access Control verlassen, oder ist die davorgeschaltete personal Firewall doch wichtig? Ergo: What can go wrong?
MFG N-Dude
die Idee ist an alle User im Netzwerk via WMI msg nachrichten zukommen zu lassen, z.B. um auf Wartungsarbeiten hinzuweisen.
Dazu ist eine Firewall ausnahme nötig in Form von:
netsh advfirewall firewall add rule dir=in name ="WMI" program=%systemroot%\system32\svchost.exe service=winmgmt action = allow protocol=TCP localport=any Dannach können Domainadmins an diese PCs via
Invoke-WmiMethod -Path Win32_Process -Name Create -ArgumentList "msg * bli bla blub" -ComputerName "NeKiste" Unpriviligierte normale User bekommen beim selbigen Versuch eine System.UnauthorizedAccessException - also soweit auch okay
Die Frage ist: Wie ist die Firewallausnahmeregel einzuschätzen, kann ich mich auf die eingebaute WMI Access Control verlassen, oder ist die davorgeschaltete personal Firewall doch wichtig? Ergo: What can go wrong?
MFG N-Dude
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 394193
Url: https://administrator.de/contentid/394193
Printed on: April 23, 2024 at 18:04 o'clock
4 Comments
Latest comment
Die Frage ist wie sieht der gesamtaufbau aus? Bei ner Firma hast du idR. ja bereits ne Firewall vorgeschaltet... Allerdings wenn du "action = allow, protocol=tcp und port=any" setzt würde das m.e. bedeuten du kannst die Firewall auch einfach komplett abschalten.... Wenn dann würde ich halt nur benötigte Ports freigeben - sonst hast du eben doch wieder chancen auf die alten Dinger wie den Shutdown-Wurm der damals bei Win95 oder 98 so lustig rumging...
Danke für den Input.
Drumherum ist es klassich: die Clients sind in einem Domänennetzwerk und eine Firewall verhindert zugriffe von außen.
wg. dem Befehl:
Der sagt ja das "svchost.exe allow any" ist, also für alle anderen programme gilt es ja nicht (oder?!)
Man könnte jetzt die Regel etwas feiner gestalten, dass nur anfragen von bestimmten rechnern / subnetzen erlaubt sind via
Drumherum ist es klassich: die Clients sind in einem Domänennetzwerk und eine Firewall verhindert zugriffe von außen.
wg. dem Befehl:
Der sagt ja das "svchost.exe allow any" ist, also für alle anderen programme gilt es ja nicht (oder?!)
Man könnte jetzt die Regel etwas feiner gestalten, dass nur anfragen von bestimmten rechnern / subnetzen erlaubt sind via
remoteip=<IP>
Eben darum geht es - die svchost ist nunmal eins der grössten Einfallstore überhaupt...
Ist die fertige "Remoteverwaltung" gruppe besser?
Die Ausgabe ist:
Was ich noch nicht cheke ist, wo ich prüfen kann was diese Regel über die Gruppen im Detail mach... weil in
taucht dann nichts mit "Remoteverwaltung" auf
PS: Ich habe netsh erst gestern angefangen zu benutzen, also nicht lynchen falls ich kapitale Denkfehler habe
netsh advfirewall firewall set rule group="Remoteverwaltung" new enable=yes Die Ausgabe ist:
3 Regel(n) wurde(n) aktualisiert.
OK.Was ich noch nicht cheke ist, wo ich prüfen kann was diese Regel über die Gruppen im Detail mach... weil in
netsh advfirewall firewall show rule status=enabled name=allPS: Ich habe netsh erst gestern angefangen zu benutzen, also nicht lynchen falls ich kapitale Denkfehler habe
