14
Windows 10 Firewall mit CMD konfigurieren
Moin zusammen,
und einen wunderschönen Freitag an alle. :D
Mir ist langsam die Geduld ausgegangen jedes mal nach jeder Neuinstallation einen Rechner zu konfigurieren und möchte diese durch einen Script ersetzen.
Nein ich habe keinen Verteilungsserver. Wird eventuell irgendwann mal kommen. Ich weiß halt nicht wie und womit ich es am besten umsetzen kann.
So nun zu meinem Problem.
Ich versuche eine Regel zu editieren oder bearbeiten. So wie ich es verstanden habe spielt es irgend wie keine Rolle. Und habe folgendes gebastelt:
hab auch schon alle Any´s entfernt, und bekomme trotzdem die gleiche Ausgabe.
Wenn ich unter profile any angebe dann erstellt es eine neue Regel und bearbeitet die vorhanden nicht ?:o\
Was ich auch merkwirdig finde, ist dass es statt %SystemRoot% das C:\Windows\System32 … angibt.
Könnte mich bitte jemand in die Richtige Richtung schubsen?
Viele Grüße
Ich
und einen wunderschönen Freitag an alle. :D
Mir ist langsam die Geduld ausgegangen jedes mal nach jeder Neuinstallation einen Rechner zu konfigurieren und möchte diese durch einen Script ersetzen.
Nein ich habe keinen Verteilungsserver. Wird eventuell irgendwann mal kommen. Ich weiß halt nicht wie und womit ich es am besten umsetzen kann.
So nun zu meinem Problem.
Ich versuche eine Regel zu editieren oder bearbeiten. So wie ich es verstanden habe spielt es irgend wie keine Rolle. Und habe folgendes gebastelt:
C:\WINDOWS\system32>netsh advfirewall firewall add rule "Remotedesktop - Benutzermodus (TCP eingehend)" dir=in action=allow program="%SystemRoot%\system32\svchost.exe" service=any enable=yes profile="privat,public" localip=any remoteip="172.16.1.0/24,10.10.251.1/32,10.10.251.2/32,10.10.251.3/32,10.10.251.4/32" protocol=tcp localport=3389
Mindestens eines der angegebenen Profile ist ungültig. "any" kann nicht angegeben werden, wenn andere Profile angegeben sind. hab auch schon alle Any´s entfernt, und bekomme trotzdem die gleiche Ausgabe.
C:\WINDOWS\system32>netsh advfirewall firewall add rule "Remotedesktop - Benutzermodus (TCP eingehend)" dir=in action=allow program="%SystemRoot%\system32\svchost.exe" enable=yes profile="privat,public" remoteip="172.16.1.0/24,10.10.251.1/32,10.10.251.2/32,10.10.251.3/32,10.10.251.4/32" protocol=tcp localport=3389
Mindestens eines der angegebenen Profile ist ungültig. "any" kann nicht angegeben werden, wenn andere Profile angegeben sind. Wenn ich unter profile any angebe dann erstellt es eine neue Regel und bearbeitet die vorhanden nicht ?:o\
Was ich auch merkwirdig finde, ist dass es statt %SystemRoot% das C:\Windows\System32 … angibt.
Könnte mich bitte jemand in die Richtige Richtung schubsen?
Viele Grüße
Ich
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 666258
Url: https://administrator.de/contentid/666258
Ausgedruckt am: 21.11.2024 um 22:11 Uhr
14 Kommentare
Neuester Kommentar
Moin,
ich verstehe ehrlich gesagt nicht mal im Ansatz, wieso du Firewallregeln per CMD konfigurieren möchtest. Nur weil es theoretisch geht muss man es ja nicht gleich machen. Wenn du es wirklich händisch machen willst, dann mach doch folgendes:
1. einen Rechner einmal so konfigurieren wie er sein soll
2. FirewallRegeln exportieren
3. beim neuen Rechner importieren
Ich persönlich würde die Firewallregeln allerdings einfach per GPO verteilen. Dann musst du nie wieder dran denken und wenn sich mal was ändert, dann musst du es nur einmalig ändern und alle Rechner haben die neue Einstellung und nicht nur die neu installieten.
Gruß
Doskias
ich verstehe ehrlich gesagt nicht mal im Ansatz, wieso du Firewallregeln per CMD konfigurieren möchtest. Nur weil es theoretisch geht muss man es ja nicht gleich machen. Wenn du es wirklich händisch machen willst, dann mach doch folgendes:
1. einen Rechner einmal so konfigurieren wie er sein soll
2. FirewallRegeln exportieren
3. beim neuen Rechner importieren
Ich persönlich würde die Firewallregeln allerdings einfach per GPO verteilen. Dann musst du nie wieder dran denken und wenn sich mal was ändert, dann musst du es nur einmalig ändern und alle Rechner haben die neue Einstellung und nicht nur die neu installieten.
Gruß
Doskias
Hi.
Schreib den Profilnamen englisch: "private" und nicht "privat"
Schreib den Profilnamen englisch: "private" und nicht "privat"
1
Zitat von @Doskias:
1. einen Rechner einmal so konfigurieren wie er sein soll
2. FirewallRegeln exportieren
3. beim neuen Rechner importieren
1. einen Rechner einmal so konfigurieren wie er sein soll
2. FirewallRegeln exportieren
3. beim neuen Rechner importieren
könnte man das mit einem Script machen?
Ich persönlich würde die Firewallregeln allerdings einfach per GPO verteilen. Dann musst du nie wieder dran denken und wenn sich mal was ändert, dann musst du es nur einmalig ändern und alle Rechner haben die neue Einstellung und nicht nur die neu installieten.
was würdest du bei einer lokalen GPO nutzen?
Kurzer Nachtrag von mir. Es gibt doch eine Funktion mit Ich erstelle eine neue Regel "add" oder ich möchte eine modifizieren "set" dazu benötigt man jedoch noch das "new" warum auch immer …
Übrig bleibt nur noch wie ich die Profile "Privat" und "Pablic" angeben kann, damit dies auch angenommen wird. Und die Geschichte mit der Variable.
lol Wo ist die Wand?? :D
Ok jetzt nur noch die Sache mit dem %SystemRoot%
Ja. Sehr gut und ausführlich hier beschrieben: https://winaero.com/export-and-import-specific-firewall-rule-in-windows- ...
Gruß
Doskias
was würdest du bei einer lokalen GPO nutzen?
Kein Image-Server kann ich ja noch verstehen, aber keine Domäne?Gruß
Doskias
Hier eine Zusammenfassung der Lösung:
Man muss die "set" in Verbindung mit "new" (new darf nicht am Ende der Kette stehen) statt "add" verwenden wenn man eine Regel bearbeiten möchte.
Danke @DerWoWusste:. Man sollte schon Englisch schreiben, also nicht "privat" sondern "private"
Windows löst die Variable im vor der Übergabe auf, was dazu führt, dass %SystemRoot% zu C:\WINDOWS umgebaut wird. Also einfach die Zeichen mit ^ auskommentieren.
Und Präfix "\32" wird sowieso ausgeblendet, also kann man sie diesen auch sparen.
Ein GPO für einen Netzwerk ohne Domäne ist jedoch trotzdem interessant. Wie kann man das umsetzen?
Man muss die "set" in Verbindung mit "new" (new darf nicht am Ende der Kette stehen) statt "add" verwenden wenn man eine Regel bearbeiten möchte.
Danke @DerWoWusste:. Man sollte schon Englisch schreiben, also nicht "privat" sondern "private"
Windows löst die Variable im vor der Übergabe auf, was dazu führt, dass %SystemRoot% zu C:\WINDOWS umgebaut wird. Also einfach die Zeichen mit ^ auskommentieren.
Und Präfix "\32" wird sowieso ausgeblendet, also kann man sie diesen auch sparen.
netsh advfirewall firewall set rule "Remotedesktop - Benutzermodus (TCP eingehend)" new dir=in action=allow program=^%SystemRoot^%\system32\svchost.exe service=any enable=yes profile="private,public" localip=any remoteip="172.16.1.0/24,10.10.251.1,10.10.251.2,10.10.251.3,10.10.251.4" protocol=tcp localport=3389 Ein GPO für einen Netzwerk ohne Domäne ist jedoch trotzdem interessant. Wie kann man das umsetzen?
Ein GPO für einen Netzwerk ohne Domäne ist jedoch trotzdem interessant. Wie kann man das umsetzen?
Steht hier:
https://www.windowspro.de/tool/lgpoexe-lokale-gruppenrichtlinien-importi ...
Gruß
Doskias
1
Ich habe eine Firma, da ist es der Wunsch, dass an allen Rechnern immer der gleiche Benutzername und somit gleiche Kennwort ist.
Brauche ich wirklich eine Domäne? oO
Brauche ich wirklich eine Domäne? oO
Zitat von @Doskias:
Steht hier:
https://www.windowspro.de/tool/lgpoexe-lokale-gruppenrichtlinien-importi ...
Gruß
Doskias
Ein GPO für einen Netzwerk ohne Domäne ist jedoch trotzdem interessant. Wie kann man das umsetzen?
Steht hier:
https://www.windowspro.de/tool/lgpoexe-lokale-gruppenrichtlinien-importi ...
Gruß
Doskias
Cool danke dir … Gucke ich mir gleich genauer an!
Zitat von @OIOOIOOIOIIOOOIIOIIOIOOO:
Ich habe eine Firma, da ist es der Wunsch, dass an allen Rechnern immer der gleiche Benutzername und somit gleiche Kennwort ist.
aber keine Große, oder?Ich habe eine Firma, da ist es der Wunsch, dass an allen Rechnern immer der gleiche Benutzername und somit gleiche Kennwort ist.
Brauche ich wirklich eine Domäne? oO
Meine Meinung: ja
Eine Domäne ist weitaus mehr als eine Benutzerverwaltung. Du kannst damit auf eine recht leichte Art und Weise dafür sorgen, dass alle Rechner immer gleich sind. Drucker, Freigaben, Firewall, etc. Vollkommen egal. Selbst wenn alle User sich immer mit dem gleichen Benutzer anmelden, greifen die Computer-Einstellungen. Theoretisch kannst du auch eine Domäne aufbauen, die Rechner in die Domäne packen und die User sich weiterhin nur mit lokalen Konten anmelden lassen. Da nimmst du dir halt einige Features weg. Ich habe mal eine Domäne für eine 4-Mann Firma , also 4 PC Arbeitsplätze, aufgebaut. Mein Chef meinte es sei übertrieben, ich hab es dem Kunden dann dennoch erklärt und umgesetzt. Der Kunde hat sich tierisch über die ganzen Möglichkeiten gefreut und waren es nur so banale Sachen wie:
- Ich kann jetzt auf dem Netzlaufwerk Familienfotos ablegen die nur ich und meine Frau sehen und nicht die anderen beiden Kollegen auch noch
Je länger du ohne Domäne arbeitest, desto schwieriger wird es sie später nachträglich zu etablieren.
Gruß
Doskias
20 Arbeitsplätze
Domänencontroller ist bereits eingerichtet, brauch bloß nur noch die Rechner einzuspielen und mich mit der Materie vertraut zu machen.
Ich habe bis jetzt nur die Server in der Domäne, da der Lizenzierungsserver benötigt wird.
Hast du eventuell eine gute Dokumentation welche auch ich verstehen würde?
Zitat von @OIOOIOOIOIIOOOIIOIIOIOOO:
Hast du eventuell eine gute Dokumentation welche auch ich verstehen würde?
Hast du eventuell eine gute Dokumentation welche auch ich verstehen würde?
Ich würde direkt bei Microsoft nachlesen 😊
Moin,
Eine andere Frage "Redirected Folders" (RF) Ist aus meiner Sicht ganz schön unsicher. Oder? So wie ich das hier sehe, muss ich eine Freigabe einrichten. Ich entscheide mich hier für eine Samba-Lösung. Also bekommt RF einen Ordner /smb/Windowsprofile$ mit 777 Mein Bedenken ist, könnte nicht ein beliebiger Benutzer die Verbindung zum Server auslesen und dann von allen ihm bekannten Benutzern auf die Dateien der anderen Benutzer zugreifen?
Danke dir Jetzt habe ich viel zu lesen und vor allem viel zum nachdenken
Viele Grüße
Ich
Zitat von @Doskias:
- Ich kann jetzt auf dem Netzlaufwerk Familienfotos ablegen die nur ich und meine Frau sehen und nicht die anderen beiden Kollegen auch noch
- Ich kann jetzt auf dem Netzlaufwerk Familienfotos ablegen die nur ich und meine Frau sehen und nicht die anderen beiden Kollegen auch noch
Eine andere Frage "Redirected Folders" (RF) Ist aus meiner Sicht ganz schön unsicher. Oder? So wie ich das hier sehe, muss ich eine Freigabe einrichten. Ich entscheide mich hier für eine Samba-Lösung. Also bekommt RF einen Ordner /smb/Windowsprofile$ mit 777 Mein Bedenken ist, könnte nicht ein beliebiger Benutzer die Verbindung zum Server auslesen und dann von allen ihm bekannten Benutzern auf die Dateien der anderen Benutzer zugreifen?
Danke dir
Jetzt habe ich viel zu lesen und vor allem viel zum nachdenken Viele Grüße
Ich
Zitat von @OIOOIOOIOIIOOOIIOIIOIOOO:
Eine andere Frage "Redirected Folders" (RF) Ist aus meiner Sicht ganz schön unsicher. Oder? So wie ich das hier sehe, muss ich eine Freigabe einrichten. Ich entscheide mich hier für eine Samba-Lösung. Also bekommt RF einen Ordner /smb/Windowsprofile$ mit 777 Mein Bedenken ist, könnte nicht ein beliebiger Benutzer die Verbindung zum Server auslesen und dann von allen ihm bekannten Benutzern auf die Dateien der anderen Benutzer zugreifen?
Eine andere Frage "Redirected Folders" (RF) Ist aus meiner Sicht ganz schön unsicher. Oder? So wie ich das hier sehe, muss ich eine Freigabe einrichten. Ich entscheide mich hier für eine Samba-Lösung. Also bekommt RF einen Ordner /smb/Windowsprofile$ mit 777 Mein Bedenken ist, könnte nicht ein beliebiger Benutzer die Verbindung zum Server auslesen und dann von allen ihm bekannten Benutzern auf die Dateien der anderen Benutzer zugreifen?
Wenn du es richtig machst nicht. Wenn du es richtig konfigurierst, dann wird das RF bei der Anmeldung des Users angelegt und dann hat nur der User und der Administrator Zugriff darauf. Frag mal google, da wirst du einige Anleitungen dazu finden wie man es einrichtet und zwar so, dass es auch nur von dem User geöffnet werden kann, dessen Ordern hier umgeleitet wird.
Gruß
Doskias
