9
Firewall Remote auf Clients abschalten, funktioniert nicht wirklich
Moin moin Admin-Gemeinde,
ich probiere mich nun schon länger an dem Problem innerhalb einer Domain die Firewall an den Clients abzuschalten.
Wir nutzen LANSWEEPER (geiles Produkt) und an der einen oder anderen Stelle kommen die Clients mit einer aktiven Firewall wieder ans Netz und dann habe ich keine Inventarisierung.
Wir haben aus verschiedenen Gründen uns allerdings gegen eine aktive Firewall entschieden (Bitte keine Grundsatzdiskussion
)
Die Clients sind alle Windows 10 / 2004
Ganz klar kenne ich die folgenden Möglichkeiten:
(immer davon ausgehend, dass cmd oder powershell mit Admin rechten gestartet wurde)
(1)
-- psexec -u "admin" -p "pw" \\192.168.xxx.xxx cmd netsh advfirewall set allprofiles state off
--> funktioniert nicht, kommt der Fehler "ich brauche höhere Rechte"
(2)
-- net use \\192.168.xxx.xxx\ipc$ /user: administrator password
oder
-- net use \\192.168.xxx.xxx password /user:Administrator /persistent:no
und den Befehlen
sc \\192.168.xxx.xxx stop SharedAccess
sc \\192.168.xxx.xxx config SharedAccess start= disabled
um den Dienst auf dem Remoteclient zu beenden
--> funktioniert leider auch nicht
Ich glaube hier war die Meldung : "Mehrfache Verbindungen zu einem Server oder einer freigegebenen Ressource..."
(3)
Keiner der Clients hat den winrm dienst automatisch gestartet, steht ja standardmäßig auf manuell.
Daher fallen alle PowerShell scripte hinten über:
-- Set-NetFirewallProfile -Profile Domain,Public,Private -Enabled False
aus.
auch wenn ich die Remotscript Ausführung freigebe, kommt das Script nicht zum Erfolg
-- Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope CurrentUser
Übrigens Anschalten der Firewall über Remote ist gar kein Problem (wer hätte das Gedacht )
aber im gleichen Moment schließe ich mich ja wieder aus, sofern ich nicht eine Regel für die Funktion winrm zulasse
Also, meine Frage ist nun, hat jemand ein Script oder einen Befehl (nicht GPO, das ist klar dass das funktioniert),
der so aufgebaut ist, dass ich innerhalb einer Domain bei den oder dem Client(s) die Firewall wirklich abschaltet?
Bei den oben genannten Befehlen, habe ich natürlich, jede erdenkliche Kombination ausprobiert... Leider ohne Erfolg...
Beste Grüße und schon mal Danke für jeden Hinweis
Nils
ich probiere mich nun schon länger an dem Problem innerhalb einer Domain die Firewall an den Clients abzuschalten.
Wir nutzen LANSWEEPER (geiles Produkt) und an der einen oder anderen Stelle kommen die Clients mit einer aktiven Firewall wieder ans Netz und dann habe ich keine Inventarisierung.
Wir haben aus verschiedenen Gründen uns allerdings gegen eine aktive Firewall entschieden (Bitte keine Grundsatzdiskussion
)Die Clients sind alle Windows 10 / 2004
Ganz klar kenne ich die folgenden Möglichkeiten:
(immer davon ausgehend, dass cmd oder powershell mit Admin rechten gestartet wurde)
(1)
-- psexec -u "admin" -p "pw" \\192.168.xxx.xxx cmd netsh advfirewall set allprofiles state off
--> funktioniert nicht, kommt der Fehler "ich brauche höhere Rechte"
(2)
-- net use \\192.168.xxx.xxx\ipc$ /user: administrator password
oder
-- net use \\192.168.xxx.xxx password /user:Administrator /persistent:no
und den Befehlen
sc \\192.168.xxx.xxx stop SharedAccess
sc \\192.168.xxx.xxx config SharedAccess start= disabled
um den Dienst auf dem Remoteclient zu beenden
--> funktioniert leider auch nicht
Ich glaube hier war die Meldung : "Mehrfache Verbindungen zu einem Server oder einer freigegebenen Ressource..."
(3)
Keiner der Clients hat den winrm dienst automatisch gestartet, steht ja standardmäßig auf manuell.
Daher fallen alle PowerShell scripte hinten über:
-- Set-NetFirewallProfile -Profile Domain,Public,Private -Enabled False
aus.
auch wenn ich die Remotscript Ausführung freigebe, kommt das Script nicht zum Erfolg
-- Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope CurrentUser
Übrigens Anschalten der Firewall über Remote ist gar kein Problem (wer hätte das Gedacht
)aber im gleichen Moment schließe ich mich ja wieder aus, sofern ich nicht eine Regel für die Funktion winrm zulasse
Also, meine Frage ist nun, hat jemand ein Script oder einen Befehl (nicht GPO, das ist klar dass das funktioniert),
der so aufgebaut ist, dass ich innerhalb einer Domain bei den oder dem Client(s) die Firewall wirklich abschaltet?
Bei den oben genannten Befehlen, habe ich natürlich, jede erdenkliche Kombination ausprobiert... Leider ohne Erfolg...
Beste Grüße und schon mal Danke für jeden Hinweis
Nils
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 593779
Url: https://administrator.de/contentid/593779
Printed on: April 19, 2024 at 23:04 o'clock
9 Comments
Latest comment
Hi,
E.
- wenn der Benutzer am Steuer-PC ebenfalls am Zielclient über Admin-Rechte verfügt, dann muss man bei PSEXEC kein Benutzer+Passwort angeben
- wenn 1., dann kann man PSEXEC mit "-s" starten. Dann läuft es als SYSTEM und voll eleviert
- könnte man auf dem Zielclient einen Scheduled Task erstellen, welcher als SYSTEM läuft und die FW ausschaltet
E.
Kurz zu der Berechtigungsproblematik: Hast du auf dem ausführenden Client die Konsole auch schon mit höheren Rechten ausgeführt und den Befehl dann mit den für den Zielclient notwendigen Adminrechten abgesendet?
Servus.
Warum nicht einfach per GPO die Einstellungen setzen ?
Grüße
Warum nicht einfach per GPO die Einstellungen setzen ?
Grüße
Erst einmal Danke, für Eure Antworten
@emeriks: Das mit dem Automatischen Task würde rein theoretisch über die GPO ja schon abgedeckt.
Punkt 1 und 2 funktionieren wenn ich den Befehl händisch eingebe:
Der Befehl: psexec -u *\* -p *** \\192.168.xxx.xxx cmd netsh advfirewall set allprofiles state on
führt nur dazu, dass ich am Gerät angemeldet werde --> Lande dann auf C:\Windows\System32 und muss dort
wenn ich den dann den Befehl netsh advfirewall set allprofiles state on/off noch einmal ausführe,
bekomme ich wieder den Fehler
--> Für den angeforderten Vorgang sind erhöhte Rechte erforderlich (Als Administrator ausführen).
Da ich es als script hinterlegen will, ist es blöd wenn das nicht automatisch ausgeführt werden würde mit nem Exit und ner Fehlercodemeldung 0
@Henere: Weil nicht alle Geräte (Beispiel Laptops) in der AD sind aber von unserer Dokumentations- und Inventarisierungssoftware erreicht werden soll, was mit eingeschalteter FW aber leider nicht funktioniert. Ansonsten muss ich für die Geräte ein Push einrichten, was allerdings immer wieder mal gerne vergessen wird, usw...
@Daemmerung
Äh, was verstehst Du mit höheren rechten ? Ich schrieb ja schon, dass mein CMD mit Adminrechten gestartet wird und der Befehl mit Adminrechten abgesendet wird. Gibt es noch höhere Rechte? Stehe gerade etwas auf dem Schlauch.
@emeriks: Das mit dem Automatischen Task würde rein theoretisch über die GPO ja schon abgedeckt.
Punkt 1 und 2 funktionieren wenn ich den Befehl händisch eingebe:
Der Befehl: psexec -u *\* -p *** \\192.168.xxx.xxx cmd netsh advfirewall set allprofiles state on
führt nur dazu, dass ich am Gerät angemeldet werde --> Lande dann auf C:\Windows\System32 und muss dort
wenn ich den dann den Befehl netsh advfirewall set allprofiles state on/off noch einmal ausführe,
bekomme ich wieder den Fehler
--> Für den angeforderten Vorgang sind erhöhte Rechte erforderlich (Als Administrator ausführen).
Da ich es als script hinterlegen will, ist es blöd wenn das nicht automatisch ausgeführt werden würde mit nem Exit und ner Fehlercodemeldung 0
@Henere: Weil nicht alle Geräte (Beispiel Laptops) in der AD sind aber von unserer Dokumentations- und Inventarisierungssoftware erreicht werden soll, was mit eingeschalteter FW aber leider nicht funktioniert. Ansonsten muss ich für die Geräte ein Push einrichten, was allerdings immer wieder mal gerne vergessen wird, usw...
@Daemmerung
Äh, was verstehst Du mit höheren rechten ? Ich schrieb ja schon, dass mein CMD mit Adminrechten gestartet wird und der Befehl mit Adminrechten abgesendet wird. Gibt es noch höhere Rechte? Stehe gerade etwas auf dem Schlauch.
Zitat von @Dr.Mabuse:
psexec -u *\* -p *** \\192.168.xxx.xxx cmd netsh advfirewall set allprofiles state on
Das ist ja auch falsch.psexec -u *\* -p *** \\192.168.xxx.xxx cmd netsh advfirewall set allprofiles state on
Wenn schon ein "cmd" dazwischen, dann muss das Kommando auch mit "/c" oder "/k" an "cmd" übergeben werden. Oder gleich ohne "cmd":
psexec -u *\* -p *** \\192.168.xxx.xxx netsh advfirewall set allprofiles state onDas mit dem Automatischen Task würde rein theoretisch über die GPO ja schon abgedeckt.
Wieso? Man kann Scheduled Task auch von der Kommandozeile aus erzeugen und von dort starten.
OK.. Danke für die Verbesserung mit dem CMD
Bleibt aber immer noch dabei, dass dieses verdammte Adminrechte Thema nicht hinhaut
Bleibt aber immer noch dabei, dass dieses verdammte Adminrechte Thema nicht hinhaut
Wie ich schon schrieb: "-s" !
psexec -s -u *\* -p *** \\192.168.xxx.xxx netsh advfirewall set allprofiles state on
Holla die Waldfee.... Wer lesen kann ist glatt im Vorteil
Ich verneige mich, ziehe meinen Hut und schenke Dir ein lächeln, während ich Danke schööööö sage
Oh man, wieso habe ich blos solange rumgeeiert (schreibt man das so?), wenn doch die Antwort so nahe lag.
Jetzt bin ich glücklich und das Wochenende ist gerettet...
Merci
Ich verneige mich, ziehe meinen Hut und schenke Dir ein lächeln, während ich Danke schööööö sage
Oh man, wieso habe ich blos solange rumgeeiert (schreibt man das so?), wenn doch die Antwort so nahe lag.
Jetzt bin ich glücklich und das Wochenende ist gerettet...
Merci
Is ja gut ...
