Windows 10 Firewall seltsame Blockregeln mit Regelquelle lokale Gruppenrichtlinie

Hallo zusammen,

ich schlage mich derzeit mit einem WMI-Problem herum (PRTG kann auf den Windows 10 Clients keine WMI-Abfragen ausführen). Bei der Überprüfung der Firewall habe ich festgestellt, dass es Drop-Regeln für Port 135 und 445 gibt. Deren Regelguelle soll eine Lokale Gruppemrichtlinie sein.
firewall
Wenn ich Lokal den Gruppenrichtlinieneditor öffne, sind dort aber keine entsprechenden Regeln zu finden. Gesucht habe ich bei Administrative Vorlagen/Netzwerk/Netzwerkverbindungen/Windows Defender Firewall und bei Sicherheitseinstellungen/Windows Defender Firewall mit erweiterter Sicherheit.

Auf dem Rechner läuft noch ESET Endpoint. Das ist so eingestellt, dass die Windows-Firewallregeln auch ausgewertet werden. Warum ESET allerdings zusätzliche Sperregeln definieren sollte, erschließt sich mir nicht.

Wo in aller Welt kommen diese Regeln her? Wie kann ich die deaktivieren?

Grüße

lcer

Content-Key: 1578953917

Url: https://administrator.de/contentid/1578953917

Ausgedruckt am: 23.01.2022 um 04:01 Uhr

Mitglied: Looser27
Looser27 02.12.2021 um 12:01:14 Uhr
Goto Top
Moin,

hast Du mal versucht die betreffenden Regeln per GPO an einem Client zu überschreiben?

Gruß

Looser
Mitglied: DerWoWusste
DerWoWusste 02.12.2021 um 12:18:24 Uhr
Goto Top
Schau Dich mal um unter
HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile
Mitglied: lcer00
lcer00 02.12.2021 um 13:52:03 Uhr
Goto Top
Hallo,
Zitat von @DerWoWusste:

Schau Dich mal um unter
HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile

hab mich umgeschaut (export als Reg_Datei und dann in der Datei nach den Regeln gesucht) -> die sind nicht enthalten! Zwischenzeitlich habe ich den GPO-Cache gelöscht und ein Richtlinienupdate durchgeführt -> keine Änderung (hätte ich da neustarten sollen?).

Grüße

lcer
Mitglied: DerWoWusste
DerWoWusste 02.12.2021 aktualisiert um 14:06:00 Uhr
Goto Top
Denke nicht, dass ein Neustart da was ändert.
Hol dir mal eine zweite Meinung ein. Dieses Skript listet alle über GPos (auch lokale GPOs) erzwungene Regeln:
Zeigt sich da das selbe Bild?
Nochmal zur Registry:
capture
Mitglied: lcer00
lcer00 02.12.2021 um 15:54:34 Uhr
Goto Top
Hallo,
Zitat von @DerWoWusste:

Denke nicht, dass ein Neustart da was ändert.
Hol dir mal eine zweite Meinung ein. Dieses Skript listet alle über GPos (auch lokale GPOs) erzwungene Regeln:
Zeigt sich da das selbe Bild?
Hier werden die Regeln mit angezeigt.
Nochmal zur Registry:
capture
Genau da war ich - dort sind sie die Regeln nicht.

Kann es sein, dass sich die Regeln aus irgendwelchen anderen GPO-Einstellungen "ergeben"?

Grüße

lcer
Mitglied: DerWoWusste
DerWoWusste 02.12.2021 um 16:53:29 Uhr
Goto Top
Nee. Keine Ahnung.
Mitglied: Doskias
Doskias 02.12.2021 aktualisiert um 17:09:04 Uhr
Goto Top
Moin

Zitat von @lcer00:
Kann es sein, dass sich die Regeln aus irgendwelchen anderen GPO-Einstellungen "ergeben"?
lcer

Das müsstest du doch mit einem einfach GPRESULT relativ schnell ermitteln können. Wenn die Regeln im GPRESULT auftauchen, siehst du welche GPO dafür zuständig ist. Wenn im GPRESULT die Firewall-Regeln nicht gelistet sind, dann kommen sie nicht via GPO.

Ansonsten: schau mal via secpol.msc. Dort kannst du auch noch lokale Sicherheitsrichtlinien setzen, unter anderem Firewall-Einstellungen. Durchaus möglich, dass Esset als Programm die lokalen Richtlinien füttert. Dann siehst du es natürlich weder mit gpedit.msc noch via GPRESULT

Gruß
Doskias
Mitglied: lcer00
Lösung lcer00 03.12.2021 um 11:08:01 Uhr
Goto Top
Hallo,

ich glaube, ich habe das Problem gefunden.

Ursache ist die Aktivierung der "GPO Netzwerk/Netzwerkverbindungen/Windows Defender Firewall/Domänenprofil Windows Defender Firewall: Eingehende Remoteverwaltungsausnahme zulassen"
Ich habe die folgendermaßen eingestellt:

Diese GPO führt offenbar am Client dazu, dass eine "lokale Gruppenrichtlinie" erstellt wird, die die entsprechenden 3 Regeln (Remoteverwaltung NP, RPC, RPC-EPMAP ) enthält.

Nun hatte ich diese GPO-Einstellung in 2 Gruppenrichtlinienobjekten, die beide auf den Client angewendet wurden aktiviert. Nach Deaktivieren einer dieser Regeln verschwand die Drop-Regel, und eine entsprechende Allow-Regel stand plötzlich da.

Nach dem erneuten Aktivieren des 2. GPO, blieb es bei der Allow-Regel. Da muss irgendwo in der Gruppenrichtlinienverarbeitung ein Fehler entstanden sein. Momentan kann ich das Verhalten zwar nicht reproduzieren. Allerdings funktioniert es jetzt auch wie erwartet.

Ich habe mich Entschieden, diese GPO nicht weiter zu verwenden und stattdessen die Regeln über Sicherheistsinstellungen/Firewall direkt zu setzten.

Grüße

lcer
Mitglied: DerWoWusste
DerWoWusste 03.12.2021 um 11:10:22 Uhr
Goto Top
Ursache ist die Aktivierung der "GPO Netzwerk/Netzwerkverbindungen/Windows Defender Firewall/Domänenprofil Windows Defender Firewall: Eingehende Remoteverwaltungsausnahme zulassen"
Und du bist sicher, dass dies keine Spuren in der Registry hinterließ? Muss es doch.
Mitglied: lcer00
lcer00 03.12.2021 aktualisiert um 12:05:28 Uhr
Goto Top
Hallo,
Zitat von @DerWoWusste:

Ursache ist die Aktivierung der "GPO Netzwerk/Netzwerkverbindungen/Windows Defender Firewall/Domänenprofil Windows Defender Firewall: Eingehende Remoteverwaltungsausnahme zulassen"
Und du bist sicher, dass dies keine Spuren in der Registry hinterließ? Muss es doch.

Ich hatte den Registry-Zweig [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\FirewallRules] exportiert. Sicherheitshalber habe ich nochmal nachgeschaut. Nein - keine entsprechenden Block-Rules.

Ich habe das ganze noch einmal überprüft. Nach erneutem aktivieren der GPO wurden mir wieder entsprechende Regeln mit Regelquelle "Lokale Gruppenrichtlinie" angezeigt (mal wieder als Block-Rule). In der Registry findet sich wieder nix.

Grüße

lcer
Mitglied: Doskias
Lösung Doskias 03.12.2021 um 12:11:55 Uhr
Goto Top
Moin,

ich funk nochmal dazwischen: Laut admx.help ist der Registry key für die GPO folgender:

SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile\RemoteAdminSettings

hast du den zur Überprüfung auch einmal exportiert?

Gruß
Doskias
Mitglied: lcer00
lcer00 03.12.2021 um 12:48:23 Uhr
Goto Top
Hallo,

in der Tat, die Einstellungen der GPO werden unter
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\RemoteAdminSettin
gs gespeichert:

Es wird aber unter [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\FirewallRules] keine Regel angezeigt.

Grüße

lcer
Mitglied: DerWoWusste
DerWoWusste 03.12.2021 um 13:01:18 Uhr
Goto Top
Es wird aber unter [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\FirewallRules] keine Regel angezeigt.
Ja doch nicht direkt darunter... da sind doch die Profile drunter und erst darunter die Regeln.
Mitglied: lcer00
lcer00 03.12.2021 um 13:37:23 Uhr
Goto Top
Zitat von @DerWoWusste:

Es wird aber unter [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\FirewallRules] keine Regel angezeigt.
Ja doch nicht direkt darunter... da sind doch die Profile drunter und erst darunter die Regeln.

reg2
nö.

Windows 10 Enterprise 21H2 19044.1348

Grüße

lcer
Mitglied: DerWoWusste
DerWoWusste 03.12.2021 um 13:39:54 Uhr
Goto Top
Vergleiche mit meinem Screenshot - dort sind auch links die GUIDs und erst rechts hinten die Regelnamen.
Mitglied: lcer00
lcer00 03.12.2021 um 15:12:39 Uhr
Goto Top
Zitat von @DerWoWusste:

Vergleiche mit meinem Screenshot - dort sind auch links die GUIDs und erst rechts hinten die Regelnamen.

Ja, schon klar. Aber dennoch werden für die Einstellungen unter RemoteAdminSettings keine speziellen Regeleinträge unter HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\FirewallRules erstellt.

Ich habe das jetzt ein paar mal hin und her getestet. Vielleicht kann das ja jemand bestätigen?

Grüße

lcer
Mitglied: DerWoWusste
Lösung DerWoWusste 03.12.2021 um 16:11:33 Uhr
Goto Top
Ok, kann ich bestätigen.

Ja, das kann einen etwas verwirren, aber schnell finden kann man es dennoch:
Als Admin
Diese Datei erst einmal im Editor öffnen und nach einer der besagten Ips/IP-Ranges suchen, um sich zu orientieren. Dann die Datei im browser öffnen. Man findet dann recht schnell hin.
Heiß diskutierte Beiträge
general
Liste von URLs in wininet.dllFennek11Vor 1 TagAllgemeinInternet13 Kommentare

Hallo, die Frage ist zugleich enrsthaft und Satire: Windows enthält die Datei "c:\windows\system32\wininet.dll", die für viele Verbindungen ins Internet benötigt wird. Ein Blick in die ...

question
2 Faktor Authentifizierung generell abschaltenratzekahl1Vor 1 TagFrageGoogle Android9 Kommentare

Hallo zusammen, ich habe eine Frage: Kann ich in Google die 2 Faktor Authentifizierzung generell abschalten? Wenn ich ein Gerät als vertrauenswürdig hinzugefügt habe, ja, ...

question
Netzwerk Grafisch darstellen?FireWorldVor 1 TagFrageInternet8 Kommentare

Hallo, ich bin der Zeit auf der Suche nach einem Programm zur Grafischen Darstellung von inbound/outbound eines Servers in einem Rechenzentrum. Hat Jemand eine idee ...

info
Ruhe in Frieden, HackbratenVision2015Vor 1 TagInformationOff Topic5 Kommentare

Der US-Sänger Meat Loaf ist tot. Er starb laut seiner Facebook-Seite in der vergangenen Nacht im Alter von 74 Jahren. Meat Loaf, mit bürgerlichem Namen ...

question
Fritz Repeater 1750E "verloren"reksierpVor 1 TagFrageHardware9 Kommentare

Hallo, ich habe ein 150 Jahre altes Haus (ehemaliger Dorf-Bahnhof), sehr verwinkelt, viele Räume, mit Anbau, 2 Kriech-Dachböden. Vor mehreren Jahren hab ich einige Repeater ...

question
Tablet-Display defekt: wie Zugriff auf DatenMahstarDVor 1 TagFrageGoogle Android6 Kommentare

Guten Abend, ich habe ein Tablet überreicht bekommen mit der Bitte um den Versuch einer Datenrettung. Tablet: Samsung Galaxy Tab-A (2016, SM-T585) Das Display ist ...

question
Cisco Switche mit Daten überflutet, daher Abstürze??? gelöst PeterGygerVor 1 TagFrageRouter & Routing6 Kommentare

Guten Morgen Ist es eine realistische Möglichkeit, dass 2022 aktuelle PC / Notebooks im Business Umfeld einen Cisco Switch 2960X mit Daten überfluten können? So ...

info
SonicWall Bootloop seit letzter NachtSt-AndreasVor 1 TagInformationFirewall2 Kommentare

Sonicwall Gen 7 spielen Bootloop seit letzter Nacht. Hilfe dazu hier ...