6
Firewallregeln über Windows GPO oder Drittanbieter Endpoint Firewall verteilen
Hallo zusammen,
ich zweifle gerade, ob ich die effektivste Variante zum Verteilen der Firewallregeln an die Windows-Clients benutze. Vielleicht habt ihr Tips oder Erfahrungswerte.
Ist-Stand:
Möglich wäre auch:
Bei der ersten Variante bin ich davon abhängig, dass ESET die Windows-Firewallregeln "versteht". Das ist kein Problem bei einfachen Regeln, aber bei z.B. WMI und applikationsbezogenen Regeln gibt es hin un wieder "Missverständnisse". Vorteil der ersten Variante ist, dass ich in den GPOs neben den Firewallregeln auch gleich andere erforderliche Einstellungen für eine Programm zusammenfassen kann.
Variante zwei stellt sicher, dass die Firewallregeln klar und aus einer Hand definiert sind. Aber die Gruppenzuordnung ist komplizierter.
Wie macht ihr sowas?
Ach ja, ich will nicht wissen, ob die Windows-Firewall ausreicht und eine Drittanbieter-Firewall entbehrlich ist.
Grüße
lcer
ich zweifle gerade, ob ich die effektivste Variante zum Verteilen der Firewallregeln an die Windows-Clients benutze. Vielleicht habt ihr Tips oder Erfahrungswerte.
Ist-Stand:
- Windows 2012R2 Domäne, ESET Endpoint Firewall - zerntral administriert ( ESET Security Management Center 7.0)
- Die Windows-Firewallregeln wergen über GPOs verteilt. Diese werden nur auf entsprechende Sicherheitsgruppen angewandt.
- der ESET Enpoint Protectin Client übernimmt die Windows-Firewallregeln und benutzt diese
Möglich wäre auch:
- Es werden keine Windows-Firewall-Regeln definiert
- Stattdessen werden nur Firewallregeln über den ESET erstellt, zugeteilt und angewandt.
- ESET kann dabei die bestehenden AD-OUs importieren und die Firewallregeln auf die Computer in den AD-OUs anwenden.
Bei der ersten Variante bin ich davon abhängig, dass ESET die Windows-Firewallregeln "versteht". Das ist kein Problem bei einfachen Regeln, aber bei z.B. WMI und applikationsbezogenen Regeln gibt es hin un wieder "Missverständnisse". Vorteil der ersten Variante ist, dass ich in den GPOs neben den Firewallregeln auch gleich andere erforderliche Einstellungen für eine Programm zusammenfassen kann.
Variante zwei stellt sicher, dass die Firewallregeln klar und aus einer Hand definiert sind. Aber die Gruppenzuordnung ist komplizierter.
Wie macht ihr sowas?
Ach ja, ich will nicht wissen, ob die Windows-Firewall ausreicht und eine Drittanbieter-Firewall entbehrlich ist.
Grüße
lcer
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 445897
Url: https://administrator.de/forum/firewallregeln-ueber-windows-gpo-oder-drittanbieter-endpoint-firewall-verteilen-445897.html
Ausgedruckt am: 02.04.2025 um 17:04 Uhr
6 Kommentare
Neuester Kommentar
Moin,
kurze Frage zum Verständnis: Wenn eset installiert ist, bleibt Deine Windows-Firewall aktiv? Dies ist bei TrendMicro z.B. nicht so.
Gruß
Looser
kurze Frage zum Verständnis: Wenn eset installiert ist, bleibt Deine Windows-Firewall aktiv? Dies ist bei TrendMicro z.B. nicht so.
Gruß
Looser
Hallo,
Und warum ein Drittanbieter Firewall auf Clients in einer Firmenumgebung?
Gruß,
Peter
Zitat von @Looser27:
Wenn eset installiert ist, bleibt Deine Windows-Firewall aktiv? Dies ist bei TrendMicro z.B. nicht so.
Warum sollte die Windows eigene Firewall aktiv bleiben wenn ich eine Drittanbieter Firewall installiert habe? Macht das irgendein Anbieter von Firewalls? Das wär doch nur Chaos.Wenn eset installiert ist, bleibt Deine Windows-Firewall aktiv? Dies ist bei TrendMicro z.B. nicht so.
Und warum ein Drittanbieter Firewall auf Clients in einer Firmenumgebung?
Gruß,
Peter
So ist auch mein Verständnis. Doch da ich eset nicht kenne, frage ich nach 
Grundsätzlich setze ich auf die WFBS von TrendMicro in unserem Hause. Die ist für mich besser einzustellen.
Das soll aber jetzt keinen Glaubenskrieg auslösen.
Gruß
Looser
Grundsätzlich setze ich auf die WFBS von TrendMicro in unserem Hause. Die ist für mich besser einzustellen.
Das soll aber jetzt keinen Glaubenskrieg auslösen.
Gruß
Looser
Hallo
Und bitte keine Glaubenskriege. Die Endpunkt-Firewall wird nicht abgeschafft. Basta!
Grüße
lcer
Zitat von @Looser27:
Moin,
kurze Frage zum Verständnis: Wenn eset installiert ist, bleibt Deine Windows-Firewall aktiv? Dies ist bei TrendMicro z.B. nicht so.
Die Windows Firewall wird von ESET deaktiviert. ESET verwendet die Regeln, die die Windows-Firewall verwendet hätte, wenn sie aktiv wäre. Und zusätzlich ggf. eigene Regeln.Moin,
kurze Frage zum Verständnis: Wenn eset installiert ist, bleibt Deine Windows-Firewall aktiv? Dies ist bei TrendMicro z.B. nicht so.
Und bitte keine Glaubenskriege. Die Endpunkt-Firewall wird nicht abgeschafft. Basta!
Grüße
lcer
Nun, was ist denn wahrscheinlicher
1) das die zentral per GPO erstellten Windows FW Regeln nicht gezogen/aktualisiert werden
2) das die zentral per GPO erstellten und verteilten Windows FW Regeln von ESET nicht richtig interpretiert werden können und daher nicht greifen
3) das die per ESMC verteilten Regeln nicht gezogen/aktualisiert werden
4) das die per ESMC erstellbaren Regeln nicht "fein" genug für Eure Anforderungen konfiguriert werden können
Meine persönliche Vermutung: Ihr habt ESET auf Geräte im Einsatz die außerhalb Eures ADs betrieben werden, daher würde ich ESET bevorzugen.
Üblicherweise sollten die für den Endpoint zu erstellenden Regeln auch nicht zu komplex sein, so dass die Möglichkeiten mit dem ESET auch ausreichend sein sollten. Andernfalls würde ich mal Euer komplettes Design hinterfragen.
Daher mein Rat: Firewallregeln für den Endpoint so simpel wie möglich halten. Da es simpel ist würde ich die Regeln sowohl per GPO als auch per ESET verteilen.
1) das die zentral per GPO erstellten Windows FW Regeln nicht gezogen/aktualisiert werden
2) das die zentral per GPO erstellten und verteilten Windows FW Regeln von ESET nicht richtig interpretiert werden können und daher nicht greifen
3) das die per ESMC verteilten Regeln nicht gezogen/aktualisiert werden
4) das die per ESMC erstellbaren Regeln nicht "fein" genug für Eure Anforderungen konfiguriert werden können
Meine persönliche Vermutung: Ihr habt ESET auf Geräte im Einsatz die außerhalb Eures ADs betrieben werden, daher würde ich ESET bevorzugen.
Üblicherweise sollten die für den Endpoint zu erstellenden Regeln auch nicht zu komplex sein, so dass die Möglichkeiten mit dem ESET auch ausreichend sein sollten. Andernfalls würde ich mal Euer komplettes Design hinterfragen.
Daher mein Rat: Firewallregeln für den Endpoint so simpel wie möglich halten. Da es simpel ist würde ich die Regeln sowohl per GPO als auch per ESET verteilen.
Hallo,
Gruß,
Peter
Zitat von @lcer00:
Und bitte keine Glaubenskriege. Die Endpunkt-Firewall wird nicht abgeschafft. Basta!
Dir will dort gar keiner reinreden, aber technisch tut auch die Windows 7 Firewall auf einen Client genau das was auch ein Produkt xyz Firewall nur kann.Und bitte keine Glaubenskriege. Die Endpunkt-Firewall wird nicht abgeschafft. Basta!
Gruß,
Peter
