oiooiooioiioooiioiioiooo
Goto Top

Windows 10 Firewall mit CMD konfigurieren

Moin zusammen,

und einen wunderschönen Freitag an alle. :D

Mir ist langsam die Geduld ausgegangen jedes mal nach jeder Neuinstallation einen Rechner zu konfigurieren und möchte diese durch einen Script ersetzen.

Nein ich habe keinen Verteilungsserver. Wird eventuell irgendwann mal kommen. Ich weiß halt nicht wie und womit ich es am besten umsetzen kann.

So nun zu meinem Problem.

Ich versuche eine Regel zu editieren oder bearbeiten. So wie ich es verstanden habe spielt es irgend wie keine Rolle. Und habe folgendes gebastelt:

C:\WINDOWS\system32>netsh advfirewall firewall add rule "Remotedesktop - Benutzermodus (TCP eingehend)" dir=in action=allow program="%SystemRoot%\system32\svchost.exe" service=any enable=yes profile="privat,public" localip=any remoteip="172.16.1.0/24,10.10.251.1/32,10.10.251.2/32,10.10.251.3/32,10.10.251.4/32" protocol=tcp localport=3389  

Mindestens eines der angegebenen Profile ist ungültig. "any" kann nicht angegeben werden, wenn andere Profile angegeben sind.  

hab auch schon alle Any´s entfernt, und bekomme trotzdem die gleiche Ausgabe.

C:\WINDOWS\system32>netsh advfirewall firewall add rule "Remotedesktop - Benutzermodus (TCP eingehend)" dir=in action=allow program="%SystemRoot%\system32\svchost.exe" enable=yes profile="privat,public" remoteip="172.16.1.0/24,10.10.251.1/32,10.10.251.2/32,10.10.251.3/32,10.10.251.4/32" protocol=tcp localport=3389  

Mindestens eines der angegebenen Profile ist ungültig. "any" kann nicht angegeben werden, wenn andere Profile angegeben sind.  

Wenn ich unter profile any angebe dann erstellt es eine neue Regel und bearbeitet die vorhanden nicht ?:o\

bildschirmfoto vom 2021-04-30 09-24-04

Was ich auch merkwirdig finde, ist dass es statt %SystemRoot% das C:\Windows\System32 … angibt.

Könnte mich bitte jemand in die Richtige Richtung schubsen? face-smile

Viele Grüße

Ich

Content-ID: 666258

Url: https://administrator.de/forum/windows-10-firewall-mit-cmd-konfigurieren-666258.html

Ausgedruckt am: 22.12.2024 um 13:12 Uhr

Doskias
Doskias 30.04.2021 aktualisiert um 09:45:07 Uhr
Goto Top
Moin,

ich verstehe ehrlich gesagt nicht mal im Ansatz, wieso du Firewallregeln per CMD konfigurieren möchtest. Nur weil es theoretisch geht muss man es ja nicht gleich machen. Wenn du es wirklich händisch machen willst, dann mach doch folgendes:

1. einen Rechner einmal so konfigurieren wie er sein soll
2. FirewallRegeln exportieren
3. beim neuen Rechner importieren

Ich persönlich würde die Firewallregeln allerdings einfach per GPO verteilen. Dann musst du nie wieder dran denken und wenn sich mal was ändert, dann musst du es nur einmalig ändern und alle Rechner haben die neue Einstellung und nicht nur die neu installieten.

Gruß
Doskias
DerWoWusste
Lösung DerWoWusste 30.04.2021 um 09:45:41 Uhr
Goto Top
Hi.

Schreib den Profilnamen englisch: "private" und nicht "privat" face-smile
OIOOIOOIOIIOOOIIOIIOIOOO
OIOOIOOIOIIOOOIIOIIOIOOO 30.04.2021 um 09:53:25 Uhr
Goto Top
Zitat von @Doskias:
1. einen Rechner einmal so konfigurieren wie er sein soll
2. FirewallRegeln exportieren
3. beim neuen Rechner importieren

könnte man das mit einem Script machen?

Ich persönlich würde die Firewallregeln allerdings einfach per GPO verteilen. Dann musst du nie wieder dran denken und wenn sich mal was ändert, dann musst du es nur einmalig ändern und alle Rechner haben die neue Einstellung und nicht nur die neu installieten.

was würdest du bei einer lokalen GPO nutzen?

Kurzer Nachtrag von mir. Es gibt doch eine Funktion mit Ich erstelle eine neue Regel "add" oder ich möchte eine modifizieren "set" dazu benötigt man jedoch noch das "new" warum auch immer …

Übrig bleibt nur noch wie ich die Profile "Privat" und "Pablic" angeben kann, damit dies auch angenommen wird. Und die Geschichte mit der Variable.
OIOOIOOIOIIOOOIIOIIOIOOO
OIOOIOOIOIIOOOIIOIIOIOOO 30.04.2021 um 09:54:31 Uhr
Goto Top
Zitat von @DerWoWusste:

Schreib den Profilnamen englisch: "private" und nicht "privat" face-smile

lol Wo ist die Wand?? :D

Ok jetzt nur noch die Sache mit dem %SystemRoot%
Doskias
Doskias 30.04.2021 um 10:05:24 Uhr
Goto Top
Zitat von @OIOOIOOIOIIOOOIIOIIOIOOO:
könnte man das mit einem Script machen?
Ja. Sehr gut und ausführlich hier beschrieben: https://winaero.com/export-and-import-specific-firewall-rule-in-windows- ...

was würdest du bei einer lokalen GPO nutzen?
Kein Image-Server kann ich ja noch verstehen, aber keine Domäne?

Gruß
Doskias
OIOOIOOIOIIOOOIIOIIOIOOO
OIOOIOOIOIIOOOIIOIIOIOOO 30.04.2021 um 10:11:44 Uhr
Goto Top
Hier eine Zusammenfassung der Lösung:

Man muss die "set" in Verbindung mit "new" (new darf nicht am Ende der Kette stehen) statt "add" verwenden wenn man eine Regel bearbeiten möchte.

Danke @DerWoWusste:. Man sollte schon Englisch schreiben, also nicht "privat" sondern "private"

Windows löst die Variable im vor der Übergabe auf, was dazu führt, dass %SystemRoot% zu C:\WINDOWS umgebaut wird. Also einfach die Zeichen mit ^ auskommentieren.

Und Präfix "\32" wird sowieso ausgeblendet, also kann man sie diesen auch sparen.

netsh advfirewall firewall set rule "Remotedesktop - Benutzermodus (TCP eingehend)" new dir=in action=allow program=^%SystemRoot^%\system32\svchost.exe service=any enable=yes profile="private,public" localip=any remoteip="172.16.1.0/24,10.10.251.1,10.10.251.2,10.10.251.3,10.10.251.4" protocol=tcp localport=3389  

Ein GPO für einen Netzwerk ohne Domäne ist jedoch trotzdem interessant. Wie kann man das umsetzen?
Doskias
Doskias 30.04.2021 um 10:20:53 Uhr
Goto Top
Ein GPO für einen Netzwerk ohne Domäne ist jedoch trotzdem interessant. Wie kann man das umsetzen?

Steht hier:
https://www.windowspro.de/tool/lgpoexe-lokale-gruppenrichtlinien-importi ...

Gruß
Doskias
OIOOIOOIOIIOOOIIOIIOIOOO
OIOOIOOIOIIOOOIIOIIOIOOO 30.04.2021 um 10:22:11 Uhr
Goto Top
Ich habe eine Firma, da ist es der Wunsch, dass an allen Rechnern immer der gleiche Benutzername und somit gleiche Kennwort ist.

Brauche ich wirklich eine Domäne? oO
OIOOIOOIOIIOOOIIOIIOIOOO
OIOOIOOIOIIOOOIIOIIOIOOO 30.04.2021 um 10:24:38 Uhr
Goto Top
Zitat von @Doskias:

Ein GPO für einen Netzwerk ohne Domäne ist jedoch trotzdem interessant. Wie kann man das umsetzen?

Steht hier:
https://www.windowspro.de/tool/lgpoexe-lokale-gruppenrichtlinien-importi ...

Gruß
Doskias

Cool danke dir … Gucke ich mir gleich genauer an!
Doskias
Doskias 30.04.2021 um 10:34:19 Uhr
Goto Top
Zitat von @OIOOIOOIOIIOOOIIOIIOIOOO:

Ich habe eine Firma, da ist es der Wunsch, dass an allen Rechnern immer der gleiche Benutzername und somit gleiche Kennwort ist.
aber keine Große, oder?

Brauche ich wirklich eine Domäne? oO

Meine Meinung: ja

Eine Domäne ist weitaus mehr als eine Benutzerverwaltung. Du kannst damit auf eine recht leichte Art und Weise dafür sorgen, dass alle Rechner immer gleich sind. Drucker, Freigaben, Firewall, etc. Vollkommen egal. Selbst wenn alle User sich immer mit dem gleichen Benutzer anmelden, greifen die Computer-Einstellungen. Theoretisch kannst du auch eine Domäne aufbauen, die Rechner in die Domäne packen und die User sich weiterhin nur mit lokalen Konten anmelden lassen. Da nimmst du dir halt einige Features weg. Ich habe mal eine Domäne für eine 4-Mann Firma , also 4 PC Arbeitsplätze, aufgebaut. Mein Chef meinte es sei übertrieben, ich hab es dem Kunden dann dennoch erklärt und umgesetzt. Der Kunde hat sich tierisch über die ganzen Möglichkeiten gefreut und waren es nur so banale Sachen wie:
- Ich kann jetzt auf dem Netzlaufwerk Familienfotos ablegen die nur ich und meine Frau sehen und nicht die anderen beiden Kollegen auch noch

Je länger du ohne Domäne arbeitest, desto schwieriger wird es sie später nachträglich zu etablieren.

Gruß
Doskias
OIOOIOOIOIIOOOIIOIIOIOOO
OIOOIOOIOIIOOOIIOIIOIOOO 30.04.2021 aktualisiert um 10:51:11 Uhr
Goto Top
Zitat von @Doskias:

aber keine Große, oder?

20 Arbeitsplätze

Domänencontroller ist bereits eingerichtet, brauch bloß nur noch die Rechner einzuspielen und mich mit der Materie vertraut zu machen.

Ich habe bis jetzt nur die Server in der Domäne, da der Lizenzierungsserver benötigt wird.

Hast du eventuell eine gute Dokumentation welche auch ich verstehen würde? face-smile
Franz-Josef-II
Franz-Josef-II 01.05.2021 um 20:16:06 Uhr
Goto Top
Zitat von @OIOOIOOIOIIOOOIIOIIOIOOO:
Hast du eventuell eine gute Dokumentation welche auch ich verstehen würde? face-smile


Ich würde direkt bei Microsoft nachlesen 😊
OIOOIOOIOIIOOOIIOIIOIOOO
OIOOIOOIOIIOOOIIOIIOIOOO 05.05.2021 um 12:35:13 Uhr
Goto Top
Moin,

Zitat von @Doskias:
- Ich kann jetzt auf dem Netzlaufwerk Familienfotos ablegen die nur ich und meine Frau sehen und nicht die anderen beiden Kollegen auch noch

Eine andere Frage "Redirected Folders" (RF) Ist aus meiner Sicht ganz schön unsicher. Oder? So wie ich das hier sehe, muss ich eine Freigabe einrichten. Ich entscheide mich hier für eine Samba-Lösung. Also bekommt RF einen Ordner /smb/Windowsprofile$ mit 777 Mein Bedenken ist, könnte nicht ein beliebiger Benutzer die Verbindung zum Server auslesen und dann von allen ihm bekannten Benutzern auf die Dateien der anderen Benutzer zugreifen?

Zitat von @Franz-Josef-II:

Ich würde direkt bei Microsoft nachlesen 😊

Danke dir face-smile Jetzt habe ich viel zu lesen und vor allem viel zum nachdenken face-smile

Viele Grüße

Ich
Doskias
Doskias 05.05.2021 um 13:20:04 Uhr
Goto Top
Zitat von @OIOOIOOIOIIOOOIIOIIOIOOO:
Eine andere Frage "Redirected Folders" (RF) Ist aus meiner Sicht ganz schön unsicher. Oder? So wie ich das hier sehe, muss ich eine Freigabe einrichten. Ich entscheide mich hier für eine Samba-Lösung. Also bekommt RF einen Ordner /smb/Windowsprofile$ mit 777 Mein Bedenken ist, könnte nicht ein beliebiger Benutzer die Verbindung zum Server auslesen und dann von allen ihm bekannten Benutzern auf die Dateien der anderen Benutzer zugreifen?

Wenn du es richtig machst nicht. Wenn du es richtig konfigurierst, dann wird das RF bei der Anmeldung des Users angelegt und dann hat nur der User und der Administrator Zugriff darauf. Frag mal google, da wirst du einige Anleitungen dazu finden wie man es einrichtet und zwar so, dass es auch nur von dem User geöffnet werden kann, dessen Ordern hier umgeleitet wird.

Gruß
Doskias