gelöst GPO Windows Defender Firewall auf Servern - Performance

Mitglied: 1st1

1st1 (Level 1) - Jetzt verbinden

29.09.2020 um 17:34 Uhr, 214 Aufrufe, 2 Kommentare

Hallo, allerseits, gerade plane ich den Einsatz der Windows Defender Firewall auf unseren Servern. Da hat sich bisher niemand dran getraut, aber es ist einfach mal Zeit das zu tun. Das erforderliche Regelwerk wird derzeit für jeden einzelnen Server erfasst, was schon ein immenser Aufwand ist. Auf den Clients ist das schon umgesetzt, das heißt ein Grundschatz an Erfahrungen mit der Win-FW per GPO ist schon da.

Das nachträgliche Einführen der Regeln ist sicher eine haarige Sache, aber wir haben uns da schon diverse Szenarien vorbereitet, wie wir das hoffentlich relativ reibungslos hinbekommen, vorrausgesetzt, die notwendigen Regeln werden vollständig erfasst.

Die Frage, die sich stellt, ist zur Performance bzw. Wartbarkeit der Windows-Firewall-GPO. Es geht dabei um merere hundert Server, die leider wild durcheinander in gleichen Subnetzen stehen, historisch gewachsen und so... Das Basis-Regelset zur Funktionalität des AD, Monitoring, Backup, Administration, Remoteadministration nur über über Admin-TS habe ich schon zusammen gestellt und funktioniert in einer sehr kleinen Tochterumgebung schon (groß rumspielen ist da nicht, denn die ist inzwischen auch produktiv!).

Es gibt da jetzt zwei Möglichkeiten, eine monolithische Regel, in der alle Regeln drin sind (die Server-spezifischen würden dann anhand der lokalen IP-Adresse an dem jeweiligen Server festgebunden), das funktioniert bestimmt. Aber das Regelwerk wird sicher wegen seiner Größe nicht sehr performant, und wenn mehrere Admins gleicheztig was ändern wollen, überschreiben die sich gegenseitig die Regeln.

Die andere Idee ist, und hier bin ich mir nicht sicher, ob das funktioniert, ist dass es eine Basis-Regel gibt, in der die für den allgemeinen Betrieb der Server notwendigen Regeln abgebildet sind, und dann pro Server (Oder Gruppe gleichartiger Server) eine separate Richtlinie mit den für diesen Server und dessen Dienste notwendigen Regeln, die dann einfach per WMI-Filtering nujr an den/die speiellen Server gebunden wird. Sprich, addieren sich diese verschiedenen Regeln, so dass jeder Server die allgemeinen Regeln bekommt, und dann noch die GPO mit den spezifischen Regeln für diesen Server, oder ersetzt die eine die andere vollständig?

Ich könnte jetzt natürlich für jeden Server eine GPO erstellen, wo alle Regeln jeweils drin sind, also allgemeine und die speziellen für diesen Server. Aber wenn sich dann bei den allgemeinen Regeln was ändert, z.B. neuer WSUS-Server oder sowas, dann müsste das ja in hunderten Einzel-GPOs angepasst werden. Auch nicht praktikabel.

Also, addieren/ergänzen sich zwei Firewall-GPOs, oder ersetzen die sich?

(Was mir klar ist, blockieren geht vor erlauben, wenn es mal diesen Konflikt gäbe)

(Und bitte keine Grundsatzdiskussion, ob man die Win-FW für Server nutzt, oder nicht, es ist beschlossen.)
Mitglied: Goldfuchs
LÖSUNG 29.09.2020, aktualisiert um 17:48 Uhr
Erstell doch eine allgemeine Regel mit den für alle Server geltenden Einstellungen und dann eine mit nur spezifisch der speziellen Server geltenden Regeln. Somit ergänzen sich diese dann und es gibt kein Regelgullasch.

Was geht ist dass lokale Regeln sich mit den GPO gesetzten nicht überschneiden:
wdf - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: 1st1
29.09.2020 um 18:43 Uhr
Also addieren sich die, suppi!
Bitte warten ..
Heiß diskutierte Inhalte
Windows Server
Hyper-V Server vs Datacenter?
holliknolliQuestionWindows Server26 Comments

Hallo, hat jemand Erfahrung mit dem - kostenlosen - Hyper-V-Server? Ich meine, warum teure Lizenzen für Datacenter zahlen, wenn ...

Exchange Server
Zustellbestätigung deaktivieren
defiant01QuestionExchange Server12 Comments

Hallo, ich stehe vor der Aufgabe bei einem Postfach die Zustellbestätigung für eingehende Mails zu deaktivieren. Der User geht ...

LAN, WAN, Wireless
Spanning Tree Probleme
solved predator66QuestionLAN, WAN, Wireless12 Comments

Hallo, wir haben hier eigenartige Spanningtree Probleme, die wir zur Zeit nicht gelöst bekommen: New Root Port MAC ist ...

Peripherals
Kaufberatung 32" Monitor mit WQHD Auflösung
solved GrueneSosseMitSpeckQuestionPeripherals10 Comments

Ich wollt mir einen 32" Monitor als 16:9 zulegen, 2560x1440 Pixel (WQHD). muß kein Ultrawide mit 21:9 und curved ...

Notebook & Accessories
Business Support HP, Dell, Lenovo etc
fuzzyLogicQuestionNotebook & Accessories10 Comments

Moin, ich arbeite derzeit fast ausschließlich mit HP und frage mich wie es auf Support Baustelle bei anderen Herstellern ...

Security
Unbefugtes Öffnen zählt nicht als Einbruch
certifiedit.netTickerSecurity9 Comments

Moin, wenn wir das auf die IT übertragen dürfte kaum ein Einbruch etc unter Einbruch zu definieren sein, immerhin ...

Ähnliche Inhalte
Windows Server
Windows Firewall via GPO
gelöst 131361FrageWindows Server2 Kommentare

Hallo zusammen, wollte gerne via GPO die Windows Firewall konfigurieren. Habe dafür folgende Anleitung zu Hilfe gezogen: Hat am ...

Windows 10

Windows Firewall via GPO konfigurieren - Regeln nachträglich ändern

NetzwerkDudeFrageWindows 107 Kommentare

Moin, ich habe hier Firewall Regeln für Clients via GPO konfiguriert, über Computerkonfiguration/Windows-Einstellungen/Sicherheitseinstellungen/Windows-Firewall mit erweiterter Sicherheit Nun würde ich ...

Windows Server

Windows 10, Server 2012 r2, Firewall und GPO

gelöst TheEPOCHFrageWindows Server3 Kommentare

Hallo zusammen, ich habe unter Win Server 2012 r2 eine rudimentäre Firewall Einstellung unter Verwendung von vordefnierten Regeln erstellt, ...

Windows Server

Firewallregeln über Windows GPO oder Drittanbieter Endpoint Firewall verteilen

gelöst lcer00FrageWindows Server6 Kommentare

Hallo zusammen, ich zweifle gerade, ob ich die effektivste Variante zum Verteilen der Firewallregeln an die Windows-Clients benutze. Vielleicht ...

Firewall

Windows Firewall Limitierungen

gelöst VancouveronaFrageFirewall6 Kommentare

Hallo, ich suche nach Limits für die Windows Firewall von Windows Server 2008 R2, 2012 R2 und 2016: 1. ...

Cluster

Windows NLB - Firewall Regeln

gelöst eyetSolutionsFrageCluster8 Kommentare

Hallo zusammen, wir haben in unserem Netzwerk 3 VLANs (23, 28, 29) Wir haben nun 2 Server im 23 ...

Berechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid CloudSmall Business ITSmall Business IT