Clientverbindungen per Windows Firewall blockieren
Hallo an alle,
u.a. vom BSI Empfohlen sollen in einem Firmennetzwerk die Clientverbindungen untereinander über die Windows Firewall blockiert werden.
In der Praxis gibt es also eine Windows Firewall Block Regel die alle Verbindungen aus dem eigenen Subnetz blockiert.
Server sind in einem anderen Subnetz und sind deshalb nicht betroffen.
Es zeigt sich jetzt aber in der Praxis, dass es doch Fälle gibt in denen vereinzelte Clients untereinander kommunizieren müssen.
In der Windows Firewall kann man ja nicht Regeln so anordnen, dass evtl. eine Allow Regel vor der Block Regel kommt und der Traffic somit durchgelassen wird.
Ich möchte vermeiden, dass die Ausnahmen zu undurchsichtig sind.
Hat hier jemand einen Tipp der schon mal eine ähnliche Anforderung hatte?
Vielen Dank.
u.a. vom BSI Empfohlen sollen in einem Firmennetzwerk die Clientverbindungen untereinander über die Windows Firewall blockiert werden.
In der Praxis gibt es also eine Windows Firewall Block Regel die alle Verbindungen aus dem eigenen Subnetz blockiert.
Server sind in einem anderen Subnetz und sind deshalb nicht betroffen.
Es zeigt sich jetzt aber in der Praxis, dass es doch Fälle gibt in denen vereinzelte Clients untereinander kommunizieren müssen.
In der Windows Firewall kann man ja nicht Regeln so anordnen, dass evtl. eine Allow Regel vor der Block Regel kommt und der Traffic somit durchgelassen wird.
Ich möchte vermeiden, dass die Ausnahmen zu undurchsichtig sind.
Hat hier jemand einen Tipp der schon mal eine ähnliche Anforderung hatte?
Vielen Dank.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 7897880710
Url: https://administrator.de/forum/clientverbindungen-per-windows-firewall-blockieren-7897880710.html
Ausgedruckt am: 25.12.2024 um 12:12 Uhr
7 Kommentare
Neuester Kommentar
Vielleicht verkomplizierst Du das unnötig.
Per default: alle eingehenden Verbindungen werden geblockt. Somit sind auf den Clients, auf denen einzelne eingehende Verbindungen erlaubt werden sollen, lediglich diese Ausnahmen zu setzen. Eine Regel "alles eingehende blockieren" braucht man nicht, denn das ist wie gesagt default.
Per default: alle eingehenden Verbindungen werden geblockt. Somit sind auf den Clients, auf denen einzelne eingehende Verbindungen erlaubt werden sollen, lediglich diese Ausnahmen zu setzen. Eine Regel "alles eingehende blockieren" braucht man nicht, denn das ist wie gesagt default.
Moin @Michael-ITler,
die MS Firewall kennt keine Regelreihenfolge, so wie das bei anderen FireWall's sonst üblich ist.
Statt dessen funktioniert diese eher nach dem Prinzip der Rechtevergabe.
Sprich, bei der MS FireWall hat eine zutreffende "Verbindung blockieren" Regel, immer Vorrang vor einer zutreffenden "Verbindung zulassen" Regel.
Gruss Alex
Die Positionen der Regeln lassen sich zwar per Drag & Drop verschieben, nach einer "Ansicht-Aktualisierung" wird dies jedoch wieder verworfen. Ein Test per PING mit der Allow Regel war auch negativ. Leider ist das also keine Lösung.
die MS Firewall kennt keine Regelreihenfolge, so wie das bei anderen FireWall's sonst üblich ist.
Statt dessen funktioniert diese eher nach dem Prinzip der Rechtevergabe.
Sprich, bei der MS FireWall hat eine zutreffende "Verbindung blockieren" Regel, immer Vorrang vor einer zutreffenden "Verbindung zulassen" Regel.
Gruss Alex
Und hier die Doku: https://learn.microsoft.com/de-de/windows/security/operating-system-secu ...
1 Explizit definierte Zulassungsregeln haben Vorrang vor der Standardblockeinstellung.
2 Explizite Blockregeln haben Vorrang vor allen in Konflikt stehenden Zulassungsregeln.
3 Spezifischere Regeln haben Vorrang vor weniger spezifischen Regeln, es sei denn, es gibt explizite Blockregeln wie in 2 erwähnt. (Wenn die Parameter von Regel 1 beispielsweise einen IP-Adressbereich enthalten, während die Parameter von Regel 2 eine einzelne IP-Hostadresse enthalten, hat Regel 2 Vorrang.)
2 Explizite Blockregeln haben Vorrang vor allen in Konflikt stehenden Zulassungsregeln.
3 Spezifischere Regeln haben Vorrang vor weniger spezifischen Regeln, es sei denn, es gibt explizite Blockregeln wie in 2 erwähnt. (Wenn die Parameter von Regel 1 beispielsweise einen IP-Adressbereich enthalten, während die Parameter von Regel 2 eine einzelne IP-Hostadresse enthalten, hat Regel 2 Vorrang.)