leon123
Goto Top

Windows 10 abriegeln?

Hallo zusammen,

wir haben hier einen W10 PC der 24/7 in einer Außenstelle läuft. Ich hab leider nicht regelmäßig zugriff auf dem Rechner.

Da der Rechner nicht regelmäßig mit Updates versorgt werden kann, überlege ich mir gerade, wie man den Rechner bestmöglich vor Angriffen die aus diesem Netzwerk kommen könnten schützen kann. (z.B. ein Virus auf einem anderen PC versucht diesen Rechner anzugreifen).

Ich habe mir überlegt einen Router (theoretisch würde sogar ein TP-Link reichen, denke aber eher an Mikrotik) vor den Rechner zu packen. Somit hätte ich eine Hardware Firewall vor dem System.

Softwareseite ist das vermutlich nur über die Windows Firewall zu lösen?

Habt ihr mir Tipps wie ich das Problem am besten angehen könnte?

Danke

Content-ID: 1011650263

Url: https://administrator.de/forum/windows-10-abriegeln-1011650263.html

Ausgedruckt am: 26.12.2024 um 12:12 Uhr

DerWoWusste
DerWoWusste 15.07.2021 um 15:02:07 Uhr
Goto Top
Hi.

Per default sind keine Ports offen, ein Router davor bietet keinen weiteren Schutz. Du musst nichts weiter tun, als darauf zu achten, dass keine Software installiert wird, die Ports öffnet bzw. Firewallregeln verbiegt.
leon123
leon123 15.07.2021 um 15:07:48 Uhr
Goto Top
Danke für deine Antwort.

Wenn keine Ports offen sind, wie verteilt sich dann die Schadsoftware im Netzwerk? Danke ;)
StefanKittel
StefanKittel 15.07.2021 um 15:16:47 Uhr
Goto Top
Zitat von @leon123:
Wenn keine Ports offen sind, wie verteilt sich dann die Schadsoftware im Netzwerk? Danke ;)
Weil in Firmennetzen meist doch Ports offen sind. Oder auch privat weil Jemand ganz wichtig seinen Drucker, Fotos oder Dokumente freigeben wollte.

Einen NAT-Router davorzustellen schützt vor dem Benutzer der was anklicken eingehend.
Ein besserer Schutz, zu einem höheren Preis, bietet eine UTM-Firewall.

Dazu dem Benutzer keine Admin-Rechte geben und, je nach Bedarf eine kleine Datensicherung mit einem einem kleinem NAS.
Dazu den MAC-Filter aktivieren und die anderen Switch-Ports abschalten. Windows Updates könnte man auch über ein RMM oder Skripte (ABC-Update) automaitsch täglich installieren.

Stefan
Pjordorf
Pjordorf 15.07.2021 um 15:19:58 Uhr
Goto Top
Hallo,

Zitat von @leon123:
Wenn keine Ports offen sind, wie verteilt sich dann die Schadsoftware im Netzwerk? Danke ;)
Gar nicht. Wenn dein Wasserschlauch keine Löcher hat, eignet der sich nicht zum rasensprengen.
/Wasserverteilen.

Gruß,
Peter
Visucius
Visucius 15.07.2021 aktualisiert um 16:41:09 Uhr
Goto Top
Du musst doch nur das lokale Netzwerk "öffentlich" setzen?!

... und dann kannst Du doch zudem genau prüfen, welche Ports ggfs. offen sind?!
leon123
leon123 15.07.2021 um 16:48:00 Uhr
Goto Top
Zitat von @Visucius:

Du musst doch nur das lokale Netzwerk "öffentlich" setzen?!

... und dann kannst Du doch zudem genau prüfen, welche Ports ggfs. offen sind?!

Gibts da nen Tool? Ich kenn nur netstat -a...
DerWoWusste
DerWoWusste 15.07.2021 um 16:53:48 Uhr
Goto Top
Wenn keine Ports offen sind, wie verteilt sich dann die Schadsoftware im Netzwerk? Danke ;)
Weil die Admins mitunter ahnungslos sind und alle möglichen Ports aufreißen und/oder gleichzeitig die Windowsfirewall ganz deaktivieren ("wir haben ja 'ne Hardwarefirewall").
Visucius
Visucius 15.07.2021 um 18:34:20 Uhr
Goto Top
Windows > Suche > „Firewall“ nennt sich die App 😂
Penny.Cilin
Penny.Cilin 15.07.2021 um 20:13:18 Uhr
Goto Top
Dann nutze die Internetsuche und suche nach
  • Windows 10 Hardening

Es gibt Dokumente von Microsoft und vom BSI
BSI Link 1
BSI Link 2
Link von Microsoft

Gruss Penny.
leon123
leon123 16.07.2021 aktualisiert um 06:40:28 Uhr
Goto Top
Zitat von @DerWoWusste:

Wenn keine Ports offen sind, wie verteilt sich dann die Schadsoftware im Netzwerk? Danke ;)
Weil die Admins mitunter ahnungslos sind und alle möglichen Ports aufreißen und/oder gleichzeitig die Windowsfirewall ganz deaktivieren ("wir haben ja 'ne Hardwarefirewall").

Ich bin ja der Meinung sobald die Rechner in der Domäne sind und ein Rechner mit Administrator gehakt worden ist, kommen die überall auf der Domänen Authentifizierungsebene hin?

Oder ist Port zu, port zu? face-smile
DerWoWusste
DerWoWusste 16.07.2021 aktualisiert um 09:20:20 Uhr
Goto Top
Ich bin ja der Meinung ...
Echt jetzt, ist das eine Frage der Meinung/Ansicht face-smile ?
Nee, Port zu ist Port zu. Die Windows-Firewall kann zwar in der Tat (wenn von einem fähigen Admin bedient) so eingestellt werden, dass sie nutzerbasiert (und nicht IP-basiert) Zugriff gewährt/verwehrt, aber by default wird das nicht benutzt - die Ports sind nicht zugänglich. Installiere bitte einen Testrechner - da geht nicht einmal Ping.
Visucius
Visucius 16.07.2021 aktualisiert um 09:32:13 Uhr
Goto Top
Ich bin ja der Meinung sobald die Rechner in der Domäne sind und ein Rechner mit Administrator gehakt worden ist, kommen die überall auf der Domänen Authentifizierungsebene hin?
Die Frage ist ja dann eher, wie Dich ein (zusätzlicher) Router/NAT davor schützen kann. Hängt dieser Rechner NICHT in der Domäne?! Und ich könnte mir vorstellen, dass Du ganz andere Probleme hast, wenn Dein AD übernommen wurde face-wink

Du könntest ihn ja ebenso in ein eigenes vLAN packen und mit der FW zwischen den vLANs die Zugriffsregeln definieren?! Am Ende ist die Frage, wie Du mit dem Rechner interagieren möchtest - d.h. welche Ports müssen - von außen - offen bleiben.
aqui
aqui 16.07.2021 um 10:48:20 Uhr
Goto Top
und ein Rechner mit Administrator gehakt worden ist
Der TO meinte vermutlich harken denn ein Rechner hat ja keinen Haken ?
Nur...wie harkt man einen Rechner ?? 🤣
https://www.duden.de/rechtschreibung/einhacken
leon123
leon123 16.07.2021 um 22:18:33 Uhr
Goto Top
Zitat von @aqui:

und ein Rechner mit Administrator gehakt worden ist
Der TO meinte vermutlich harken denn ein Rechner hat ja keinen Haken ?
Nur...wie harkt man einen Rechner ?? 🤣
https://www.duden.de/rechtschreibung/einhacken

Oh ein Deutsch Lehrer im Admin Forum...
aqui
aqui 17.07.2021 um 09:03:14 Uhr
Goto Top
Nope ! Nur ein dezenter Hinweis auf die Foren Regel Nummer 2: face-wink
Diskussionsrichtlinien - die Regeln zu unseren Inhalten