katja56
Goto Top

Defender Firewall lässt sich nicht korrekt über GPO steuern

Hi zusammen,

bin gerade sehr frustriert, da die Defender Firewall macht was sie will. Hintergrund:

Eine GPO schaltet die im Domänenprofil die FW an und steht eingehend auf "Alle blockieren"

01-fw


Es existieren dann noch 4 zusätzliche GPOs, die jeweils verschiedene eigehende Regeln erlauben. Diese Regeln sind im folgenden Screenshot durch Nummern gekennzeichnet. die Gelb markierten Regeln sind willkürlich am Client aktiv worden, bzw. waren alte lokale Regeln


02-fw

Meine Erwartung an den getätigten Einstellungen wäre eigentlich, dass vorhanden Regeln, also lokale Regeln, durch setzen der GPOs deaktiviert werden. Nun ist es aber so, dass z.B. an meinem Testrechner irgendwelche Programme, oder Micsorosoft selbst, einfach wieder Regeln hinzufügen bzw. auf aktiviert setzen. Erst heute wieder gesehen dass auf einmal Edge 2 Regeln hinzufügt. Ich will dieses Verhalten nicht.

Habe ich da einen Denkfehler oder irgendwo einen Haken vergessen? Muss ich erst alle lokalen Regeln manuell löschen, damit es mit den GPOs richtig funktioniert

Content-ID: 41382064199

Url: https://administrator.de/forum/defender-firewall-laesst-sich-nicht-korrekt-ueber-gpo-steuern-41382064199.html

Ausgedruckt am: 24.12.2024 um 16:12 Uhr

DerWoWusste
DerWoWusste 29.05.2024 um 13:23:58 Uhr
Goto Top
Moin.

Dort steht "lokale Regeln anwenden: nein".
Dort steht nicht: "lokale Regeln deaktivieren".

Hast Du geprüft, ob diese Regeln wirken?
Kannst Du sicherstellen, dass zugelassener Datenverkehr nicht durch andere (deine eigenen) Regeln erlaubt ist?
kpunkt
kpunkt 29.05.2024 aktualisiert um 13:30:26 Uhr
Goto Top
Zitat von @katja56:

Erst heute wieder gesehen dass auf einmal Edge 2 Regeln hinzufügt. Ich will dieses Verhalten nicht.
IMHO musst du dann auf Microsoft-Produkte verzichten. Microsoft braucht halt eingehende Verbindungen für Updates und Schmonz und lässt da eben immer wieder was durch.
Ich kann auch falsch liegen und das ist ein Fehler bei dir, aber ich denke ohne separate Firewall wirst du da immer was geöffnet haben. Weil ich kann mir vorstellen dass die Defender Firewall solche Dingers durchlässt, ohne tatsächlich Regeln anzulegen.
DerWoWusste
DerWoWusste 29.05.2024 um 13:46:33 Uhr
Goto Top
Microsoft braucht halt eingehende Verbindungen für Updates und Schmonz und lässt da eben immer wieder was durch.
Nö. Das ist ausgehend und vom Updatedienst des Clients initiiert.
katja56
katja56 29.05.2024 um 13:52:54 Uhr
Goto Top
Mir ist klar was da steht, aber es impliziert etwas anderes und weckt auch andere Erwartungen. Wie gesagt, nicht anwenden würde ich gleichsetzen mit auf deaktiviert setzen, denn wenn eine Regel auf grün, als aktiviert ist, lässt das doch stark vermuten, dass eben diese Regel auch das macht, was drin steht. Im Zweifel irgendeinen Port öffnen.

Was ich mit Sicherheit sagen kann ist, dass die Regeln für HNS und SplasTop definitiv nirgends in einer GPO aktiviert werden, auch nicht für Edge. Habe gerade alle 3 Regeln deaktiviert( HNS, SPlahTop, Edge) und rebootet. Edge blieb aus. HNS und SplashTop waren wieder aktiv.

Ob die jetzt was machen, sprich, ob Pakete entgegengenommen, oder verworfen werden kann ich nicht prüfen. wüsste zumindest nicht wie. Hab mal via Telnet versucht von einem anderen PC aus auf Port 53, was ja durch HNS geöffnet wird ( zumindest ist die Regel aktiv), zuzugreifen, aber Telnet meldet da nix. Kann mir aber auch nicht vorstellen, dass das funktionieren sollte, selbst bei abgeschalteter FW.

Was wäre denn dein Vorschlag?
DerWoWusste
DerWoWusste 29.05.2024 um 14:08:30 Uhr
Goto Top
Was wäre denn dein Vorschlag?
Man prüft, ob das Regelwerk tut, was es soll. Wenn Du nicht weißt, wie, dann hast Du noch einigen Lernbedarf und das Auslegen von Microsoft-Sprech sollte da die kleinste Sorge sein. Nicht übelnehmen, bitte face-smile

Mit Telnet oder psping https://learn.microsoft.com/en-us/sysinternals/downloads/psping kannst Du sehen, ob z.B. Port 53 von außen erreichbar ist. Vorher prüfst du natürlich am Server, ob er überhaupt auf 53 lauscht:
netstat -ano | findstr /c:":53"  
katja56
katja56 29.05.2024 um 15:02:43 Uhr
Goto Top
Nicht so überheblich bitte. Jeder hat zu lernen, an der einen oder anderen Stelle. Mit netstat ist schon klar, das meinte ich auch nicht. Es läuft ja ein DNS auf Port 53 via UDP, zumindest lässt die Port/Protokoll Kombi das vermuten. Der Dienst läuft, da Hyper-V aktiviert ist. Das ist ja auch gar nicht problematisch.

Meine Frage an dich war so gemeint, wie ich testen könnte, ob der Port 53 in der jetzigen Konfiguration tatsächlich Anfragen annimmt von extern, oder ob die Regel da einfach nur blöd rumdümpelt und viel wichtiger, warum ich das nicht deaktivieren kann bzw. warum Windows meint, meine Einstellungen zu übersteuern. Mag ja sein, dass Hyper-V das so braucht, obwohl das nicht wirklich schlüssig erscheint, zumindest nicht von einer beliebigen Remoteadresse.

Und bevor du wieder damit kommst zu sagen, ich wüsste nix. In dem Zusammenhang ist mir das klar, darum stelle ich ja auch hier meine Frage und nicht meinem Ego. Also falls Du mir da praktisch weiterhelfen möchtest nehme ich das gern an, ansonsten setz ich mich jetzt 1 Woche hin und büffel Defender face-wink
DerWoWusste
DerWoWusste 29.05.2024 um 15:51:49 Uhr
Goto Top
Das soll nicht überheblich verstanden werden - dazu gab's den Smiley. Und ich sage nicht, dass Du nichts weißt. Auch weiß ich, dass man in Foren ist, um zu fragen und sein Wissen zu erweitern - ich frage ja selbst andauernd hier Dinge. face-smile
Meine Frage an dich war so gemeint, wie ich testen könnte, ob der Port 53 in der jetzigen Konfiguration tatsächlich Anfragen annimmt von extern
Das habe ich doch beantwortet: mit netstat schauen, ob auf 53 gelauscht wird. Beispieloutput von dem Befehl oben wäre:
TCP    192.168.xxx.xxx:53          0.0.0.0:0              LISTENING
Wenn nichts Vergleichbares kommt, dann wird da auch nicht gelauscht. Wird gelauscht, kannst Du mittels des zweiten genannten Befehls von extern prüfen, ob der Port erreichbar ist. Beispieloutput (zu unserem DC, der auf TCP53 lauscht):
psping mydc:53
Connecting to 192.168.xxx.xxx:53 (warmup): from meineIP:58619: 0.60ms
Wenn der Port durch die Firewall geschlossen wäre, käme (im Beispiel hier mit dem RDP-Port des DCs):
Connecting to 192.168.xxx.xxx:3389 (warmup): from 0.0.0.0:1586:
Dieser Vorgang wurde wegen Zeitüberschreitung zurückgegeben
Pjordorf
Pjordorf 29.05.2024 um 16:13:17 Uhr
Goto Top
Hallo,

Zitat von @katja56:

ansonsten setz ich mich jetzt 1 Woche hin und büffel Defender face-wink
Defender zu kennen und zu beherschen ist nur ein KlitzeKleine Teil des nötigen Wissens um zu Verstehen wie MS Tickt und handelt, sprich was die Programmieren und was teils als Bulls... gemacht wird. Hinzukommt das wenn due wie ein echte Ami denken würdest, wäre es alles Gold und Platin, für uns in DE als De...er ist oftmals nix nachvollziehbar. Abstraktes Beispiel: Du bist besitzer einer Bus Rep. Werkstatt. Du kündigst einen Mitarbeiter. In En geht der sofort nachdem er sein Restlohn erhalten hat. Er Nimmt den grossen Waagenheber auch mit da es seiner war. Sein genutztes Werkzeug liegt auf der Werkbank, aber es ist nur verrostetes und vergammeletes Werkzeug. In seiner Werkzeugtasche ist alles von HAZET und glänzt. Nun, du bist inhaber einer Firma in EN, nicht in DE. In DE undenckbar, in USA haben gar Polizisten Alle Private Waffen und Uniformen. Selbst in ES ist es anders als hier in DE. Datenschutz wie in DE bzw. Europa kennt MS nur vom hörensagen und kümmern sich nicht drum, ausser ein Amerikanisches Gericht zwingt die.
Lade dir mal den Kabelhai Kabelhai und schaue dir an was genau auf dein Kabel passiert. Bedenke aber dabei wie ein Netzwerk grundsätzlich funktioniert und warum du hilfsmittel brauchst (Port Mirror am Switch). Es kein COAX Kabel mehr sondern es sind geschaltete Punkt-zu-Punkt Verbindungen (Switch eben) https://www.varonis.com/de/blog/verwendung-von-wireshark hilft dir dein Netzwerk anzuschauen. Es kommt nicht darauf an aussen an der Leitung zu schauen, sondern was auf den Kupferadern bzw. Glasfasern an Daten transportiert werden. Und dann macht der Defender auch wieder sinn oder nicht, nur das du das dann prüfen und schwarz auf weiss belegen kannst.

Gruss,
Peter
ThePinky777
ThePinky777 30.05.2024 aktualisiert um 10:48:14 Uhr
Goto Top
also Meine Meinung zum Thema.

Am Client existieren vorgefertigte Rules, kann man sehen wenn man sichs am client anschaut.

Wenn man per GPO regeln definiert kann man additionale regeln hinzufügen. diese nehmen aber keinen einfluss auf die regeln die schon am client existieren.

Diese kommen teils von MS und teils wenn man software installiert werden additionale rules hier hinterlegt.

hab mir bisher keinen kopf gemacht gehabt die standard rules zu deaktivieren, da es meist ausgehende rules vom client zu X sind, um sich z.B. Updates zu holen, oder nen Ping rauswärts zu machen etc...

Daher mach halt nen portscann auf den client und check was wirklich offen ist.
oder "suche" nach der thematik wie man alle standard rules da deaktivierten kann, wobei dann garantiert irgendwas nicht mehr laufen wird was dir dann kopfschmerzen verursachen wird face-smile

EDIT:

hier schon mal was in die richtung geht:
https://www.windowspro.de/wolfgang-sommergut/firewall-regeln-ueber-grupp ...

und ggf. per Powershell Existierende Rules bearbeiten/auslesen sonst was:
https://learn.microsoft.com/en-us/windows/security/operating-system-secu ...

Get-NetFirewallRule
und
Set-NetFirewallRule

Hier z.b. kann man bestimmt auslesen mit Get-NetFirewallRule, anahand des Display namen dann mit Set-NetFirewallRule dann die Rule deaktivieren oder so... und mit IF / Else quasi alle ausser deine deaktivieren...

da das ganze dynmisch sein kann, also existierende Rules musst du das per Script dann steuern...

aber nochmal ich rate davon ab da zu fummeln, hab grad bei mir gesehen, diverse Applikationen legen da eigene rules fest, z.B. bei uns der Virenscanner usw... am ende klappen irgendwelche update oder sonstiges nicht mehr....
Andere Apps wie Browser, Edge, Firefox, Chrome, dann Warenwirtschaftssystem, usw.. usf...
katja56
katja56 03.06.2024 um 14:17:01 Uhr
Goto Top
@DerWoWusste

Peace face-wink

Der Tipp mit psping ist super. Hat bei Port 53 tatsächlich eine Zeitüberschreitung angezeigt, also ist das dann von Extern nicht erreichbar. Leider bleibt noch die Frage, ob die FW Regeln innerhalb der GPO additiv zu den lokalen Regeln sind. Würde in meinen Augen überhaupt keinen Sinn ergeben, da man ja gerade das nicht möchte, wenn man zentral etwas konfiguriert.

Auf der anderen Seite scheint trotz aktivierter FW Regel für Port 53 dieser nicht aktiv zu sein, zumindest zeigt mir nmap ihn als nicht offen.

So richtig weiter komme ich mit den gewonnen Erkenntnissen aber auch nicht. Finde auch bei MS keine Aussagen dazu. Vielleich muss ich dort im Technet mal nachfragen
DerWoWusste
Lösung DerWoWusste 03.06.2024 um 14:25:35 Uhr
Goto Top
Peace
Genau face-smile

Wenn Du setzt, dass die lokalen Regeln nicht angewendet werden, werden sie nicht angewendet. Alles so, wie es soll. Sie bleiben in der Liste und behalten den Status aktiviert, aber werden eben nicht mehr ausgewertet.
katja56
katja56 03.06.2024 um 14:34:25 Uhr
Goto Top
Wenn das so ist, dann ist es so, aber ich finde es wegen der Übersichtlichkeit eher ungünstig, aber das muss ich dann wohl akzeptieren.