michael-itler
Goto Top

Clientverbindungen per Windows Firewall blockieren

Hallo an alle,

u.a. vom BSI Empfohlen sollen in einem Firmennetzwerk die Clientverbindungen untereinander über die Windows Firewall blockiert werden.
In der Praxis gibt es also eine Windows Firewall Block Regel die alle Verbindungen aus dem eigenen Subnetz blockiert.
Server sind in einem anderen Subnetz und sind deshalb nicht betroffen.
Es zeigt sich jetzt aber in der Praxis, dass es doch Fälle gibt in denen vereinzelte Clients untereinander kommunizieren müssen.
In der Windows Firewall kann man ja nicht Regeln so anordnen, dass evtl. eine Allow Regel vor der Block Regel kommt und der Traffic somit durchgelassen wird.
Ich möchte vermeiden, dass die Ausnahmen zu undurchsichtig sind.
Hat hier jemand einen Tipp der schon mal eine ähnliche Anforderung hatte?

Vielen Dank.

Content-ID: 7897880710

Url: https://administrator.de/forum/clientverbindungen-per-windows-firewall-blockieren-7897880710.html

Ausgedruckt am: 25.12.2024 um 12:12 Uhr

Tezzla
Tezzla 19.07.2023 um 15:10:23 Uhr
Goto Top
Moin,

mein letzter Stand ist, dass die Windows Firewall die Reihenfolge ebenso respektiert.
Wenn du deine Allow Regel für einige Clients also vor der generellen Deny Regel platzierst, sollte das funktionieren.

VG
Michael-ITler
Michael-ITler 19.07.2023 um 15:38:14 Uhr
Goto Top
Zitat von @Tezzla:

Moin,

mein letzter Stand ist, dass die Windows Firewall die Reihenfolge ebenso respektiert.
Wenn du deine Allow Regel für einige Clients also vor der generellen Deny Regel platzierst, sollte das funktionieren.

VG

Die Positionen der Regeln lassen sich zwar per Drag & Drop verschieben, nach einer "Ansicht-Aktualisierung" wird dies jedoch wieder verworfen. Ein Test per PING mit der Allow Regel war auch negativ. Leider ist das also keine Lösung.
DerWoWusste
DerWoWusste 19.07.2023 um 16:16:52 Uhr
Goto Top
Vielleicht verkomplizierst Du das unnötig.
Per default: alle eingehenden Verbindungen werden geblockt. Somit sind auf den Clients, auf denen einzelne eingehende Verbindungen erlaubt werden sollen, lediglich diese Ausnahmen zu setzen. Eine Regel "alles eingehende blockieren" braucht man nicht, denn das ist wie gesagt default.
MysticFoxDE
MysticFoxDE 19.07.2023 um 19:31:13 Uhr
Goto Top
Moin @Michael-ITler,

Die Positionen der Regeln lassen sich zwar per Drag & Drop verschieben, nach einer "Ansicht-Aktualisierung" wird dies jedoch wieder verworfen. Ein Test per PING mit der Allow Regel war auch negativ. Leider ist das also keine Lösung.

die MS Firewall kennt keine Regelreihenfolge, so wie das bei anderen FireWall's sonst üblich ist.
Statt dessen funktioniert diese eher nach dem Prinzip der Rechtevergabe.
Sprich, bei der MS FireWall hat eine zutreffende "Verbindung blockieren" Regel, immer Vorrang vor einer zutreffenden "Verbindung zulassen" Regel.

Gruss Alex
DerWoWusste
DerWoWusste 19.07.2023 um 20:25:10 Uhr
Goto Top
Und hier die Doku: https://learn.microsoft.com/de-de/windows/security/operating-system-secu ...
1 Explizit definierte Zulassungsregeln haben Vorrang vor der Standardblockeinstellung.
2 Explizite Blockregeln haben Vorrang vor allen in Konflikt stehenden Zulassungsregeln.
3 Spezifischere Regeln haben Vorrang vor weniger spezifischen Regeln, es sei denn, es gibt explizite Blockregeln wie in 2 erwähnt. (Wenn die Parameter von Regel 1 beispielsweise einen IP-Adressbereich enthalten, während die Parameter von Regel 2 eine einzelne IP-Hostadresse enthalten, hat Regel 2 Vorrang.)
Michael-ITler
Michael-ITler 11.09.2023 um 14:28:58 Uhr
Goto Top
So nach längerer Zeit möchte ich hier nochmal ein Update geben.
Wie die Antworten gezeigt haben wurde das Thema in der Tat falsch angegangen.
Ich habe nun das Prinzip umgesetzt, dass die Windows Firewall per Default alles blockiert und lasse nur explizit Verbindungen von z.B. Server IP-Adressen zu.

In der Praxis zeigt sich nun das einzelne Clients gewissen Sonderfunktionen haben und im kleinen Kreis von anderen Clients zu unterschiedlichen zwecken erreicht werden müssen.
Jetzt stellt sich mir die Frage der vernünftigen Umsetzung von solchen Ausnahmen.

- Für alle Sonderfälle eine eigene GPO bauen scheint mir nicht praktikabel.
- Die Sonderfälle lokal an der FW zu konfigurieren würde wohl funktionieren jedoch fehlt hier dann ein gewisser Überblick.

Vielleicht hat hier noch jemand einen Tipp der vor dem ähnlichen Problem stand.
DerWoWusste
DerWoWusste 11.09.2023 um 14:45:43 Uhr
Goto Top
Die Sonderfälle lokal an der FW zu konfigurieren würde wohl funktionieren jedoch fehlt hier dann ein gewisser Überblick.
Nun, wenn Du das parallel dokumentierst, dann ist doch Übersicht gegeben.