lcer00
02.12.2021
view3228
view17
0
Goto Top

Windows 10 Firewall seltsame Blockregeln mit Regelquelle lokale Gruppenrichtlinie

gelöstFrageWindows 10Microsoft
Hallo zusammen,

ich schlage mich derzeit mit einem WMI-Problem herum (PRTG kann auf den Windows 10 Clients keine WMI-Abfragen ausführen). Bei der Überprüfung der Firewall habe ich festgestellt, dass es Drop-Regeln für Port 135 und 445 gibt. Deren Regelguelle soll eine Lokale Gruppemrichtlinie sein.
firewall
Wenn ich Lokal den Gruppenrichtlinieneditor öffne, sind dort aber keine entsprechenden Regeln zu finden. Gesucht habe ich bei Administrative Vorlagen/Netzwerk/Netzwerkverbindungen/Windows Defender Firewall und bei Sicherheitseinstellungen/Windows Defender Firewall mit erweiterter Sicherheit.

Auf dem Rechner läuft noch ESET Endpoint. Das ist so eingestellt, dass die Windows-Firewallregeln auch ausgewertet werden. Warum ESET allerdings zusätzliche Sperregeln definieren sollte, erschließt sich mir nicht.

Wo in aller Welt kommen diese Regeln her? Wie kann ich die deaktivieren?

Grüße

lcer
ShareTeilen
Auf Facebook teilen Auf X (Twitter) teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 1578953917

Url: https://administrator.de/forum/windows-10-firewall-seltsame-blockregeln-mit-regelquelle-lokale-gruppenrichtlinie-1578953917.html

Ausgedruckt am: 10.04.2025 um 16:04 Uhr

17 Kommentare
Neuester Kommentar
Goto Top
Looser27
Looser27 02.12.2021 um 12:01:14 Uhr
Goto Top
Moin,

hast Du mal versucht die betreffenden Regeln per GPO an einem Client zu überschreiben?

Gruß

Looser
DerWoWusste
DerWoWusste 02.12.2021 um 12:18:24 Uhr
Goto Top
Schau Dich mal um unter
HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile
lcer00
lcer00 02.12.2021 um 13:52:03 Uhr
Goto Top
Hallo,
Zitat von @DerWoWusste:

Schau Dich mal um unter
HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile

hab mich umgeschaut (export als Reg_Datei und dann in der Datei nach den Regeln gesucht) -> die sind nicht enthalten! Zwischenzeitlich habe ich den GPO-Cache gelöscht und ein Richtlinienupdate durchgeführt -> keine Änderung (hätte ich da neustarten sollen?).

Grüße

lcer
DerWoWusste
DerWoWusste 02.12.2021 aktualisiert um 14:06:00 Uhr
Goto Top
Denke nicht, dass ein Neustart da was ändert.
Hol dir mal eine zweite Meinung ein. Dieses Skript listet alle über GPos (auch lokale GPOs) erzwungene Regeln:
$colNames = 'DisplayName','DisplayGroup','Name','Enabled','Profile','Direction','Action','Status','EnforcementStatus','PolicyStoreSource','PolicyStoreSourceType'  
$GPOrules = Get-NetFirewallRule -PolicyStore ActiveStore -tracepolicystore -PolicyStoreSourceType GroupPolicy | sort DisplayName | select $colNames
if($psISE){$GPOrules | Out-GridView} else {$GPOrules | ft -a -w}
Zeigt sich da das selbe Bild?
Nochmal zur Registry:
capture
lcer00
lcer00 02.12.2021 um 15:54:34 Uhr
Goto Top
Hallo,
Zitat von @DerWoWusste:

Denke nicht, dass ein Neustart da was ändert.
Hol dir mal eine zweite Meinung ein. Dieses Skript listet alle über GPos (auch lokale GPOs) erzwungene Regeln:
$colNames = 'DisplayName','DisplayGroup','Name','Enabled','Profile','Direction','Action','Status','EnforcementStatus','PolicyStoreSource','PolicyStoreSourceType'  
> $GPOrules = Get-NetFirewallRule -PolicyStore ActiveStore -tracepolicystore -PolicyStoreSourceType GroupPolicy | sort DisplayName | select $colNames
> if($psISE){$GPOrules | Out-GridView} else {$GPOrules | ft -a -w}
Zeigt sich da das selbe Bild?
Hier werden die Regeln mit angezeigt.
Nochmal zur Registry:
capture
Genau da war ich - dort sind sie die Regeln nicht.

Kann es sein, dass sich die Regeln aus irgendwelchen anderen GPO-Einstellungen "ergeben"?

Grüße

lcer
DerWoWusste
DerWoWusste 02.12.2021 um 16:53:29 Uhr
Goto Top
Nee. Keine Ahnung.
Doskias
Doskias 02.12.2021 aktualisiert um 17:09:04 Uhr
Goto Top
Moin

Zitat von @lcer00:
Kann es sein, dass sich die Regeln aus irgendwelchen anderen GPO-Einstellungen "ergeben"?
lcer

Das müsstest du doch mit einem einfach GPRESULT relativ schnell ermitteln können. Wenn die Regeln im GPRESULT auftauchen, siehst du welche GPO dafür zuständig ist. Wenn im GPRESULT die Firewall-Regeln nicht gelistet sind, dann kommen sie nicht via GPO.

Ansonsten: schau mal via secpol.msc. Dort kannst du auch noch lokale Sicherheitsrichtlinien setzen, unter anderem Firewall-Einstellungen. Durchaus möglich, dass Esset als Programm die lokalen Richtlinien füttert. Dann siehst du es natürlich weder mit gpedit.msc noch via GPRESULT

Gruß
Doskias
lcer00
Lösung lcer00 03.12.2021 um 11:08:01 Uhr
Goto Top
Hallo,

ich glaube, ich habe das Problem gefunden.

Ursache ist die Aktivierung der "GPO Netzwerk/Netzwerkverbindungen/Windows Defender Firewall/Domänenprofil Windows Defender Firewall: Eingehende Remoteverwaltungsausnahme zulassen"
Ich habe die folgendermaßen eingestellt:
Unerbetene eingehende Meldungen von diesen IP-Adressen zulassen: 192.168.200.0/24,192.168.0.0/24.192.168.1.0/24,192.168.5.0/24.192.168.95.0/24 

Syntax: 
Geben Sie "*" ein, um Meldungen von allen Netzwerken zuzulassen,   
oder geben Sie eine durch Komma getrennte Liste ein, die eine 
beliebige Anzahl oder Kombination folgender Elemente enthält: 
IP-Adressen wie 10.0.0.1 
Subnetzbeschreibungen wie 10.2.3.0/24 
Die Zeichenfolge "localsubnet"   
Beispiel: Wenn Sie 
Meldungen von 10.0.0.1, 10.0.0.2 und 
von jedem System im lokalen Subnetz bzw. 
im 10.3.4.x-Subnetz zulassen möchten, geben Sie Folgendes unter  
"Unerbetene eingehende Meldungen von diesen IP-Adressen zulassen" ein:   
10.0.0.1,10.0.0.2,localsubnet,10.3.4.0/24

Diese GPO führt offenbar am Client dazu, dass eine "lokale Gruppenrichtlinie" erstellt wird, die die entsprechenden 3 Regeln (Remoteverwaltung NP, RPC, RPC-EPMAP ) enthält.

Nun hatte ich diese GPO-Einstellung in 2 Gruppenrichtlinienobjekten, die beide auf den Client angewendet wurden aktiviert. Nach Deaktivieren einer dieser Regeln verschwand die Drop-Regel, und eine entsprechende Allow-Regel stand plötzlich da.

Nach dem erneuten Aktivieren des 2. GPO, blieb es bei der Allow-Regel. Da muss irgendwo in der Gruppenrichtlinienverarbeitung ein Fehler entstanden sein. Momentan kann ich das Verhalten zwar nicht reproduzieren. Allerdings funktioniert es jetzt auch wie erwartet.

Ich habe mich Entschieden, diese GPO nicht weiter zu verwenden und stattdessen die Regeln über Sicherheistsinstellungen/Firewall direkt zu setzten.

Grüße

lcer
DerWoWusste
DerWoWusste 03.12.2021 um 11:10:22 Uhr
Goto Top
Ursache ist die Aktivierung der "GPO Netzwerk/Netzwerkverbindungen/Windows Defender Firewall/Domänenprofil Windows Defender Firewall: Eingehende Remoteverwaltungsausnahme zulassen"
Und du bist sicher, dass dies keine Spuren in der Registry hinterließ? Muss es doch.
lcer00
lcer00 03.12.2021 aktualisiert um 12:05:28 Uhr
Goto Top
Hallo,
Zitat von @DerWoWusste:

Ursache ist die Aktivierung der "GPO Netzwerk/Netzwerkverbindungen/Windows Defender Firewall/Domänenprofil Windows Defender Firewall: Eingehende Remoteverwaltungsausnahme zulassen"
Und du bist sicher, dass dies keine Spuren in der Registry hinterließ? Muss es doch.

Ich hatte den Registry-Zweig [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\FirewallRules] exportiert. Sicherheitshalber habe ich nochmal nachgeschaut. Nein - keine entsprechenden Block-Rules.

Ich habe das ganze noch einmal überprüft. Nach erneutem aktivieren der GPO wurden mir wieder entsprechende Regeln mit Regelquelle "Lokale Gruppenrichtlinie" angezeigt (mal wieder als Block-Rule). In der Registry findet sich wieder nix.

Grüße

lcer
Doskias
Lösung Doskias 03.12.2021 um 12:11:55 Uhr
Goto Top
Moin,

ich funk nochmal dazwischen: Laut admx.help ist der Registry key für die GPO folgender:

SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile\RemoteAdminSettings

hast du den zur Überprüfung auch einmal exportiert?

Gruß
Doskias
lcer00
lcer00 03.12.2021 um 12:48:23 Uhr
Goto Top
Hallo,

in der Tat, die Einstellungen der GPO werden unter
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\RemoteAdminSettin
gs gespeichert:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\RemoteAdminSettings]
"Enabled"=dword:00000001  
"RemoteAddresses"="192.168.200.0/24,192.168.0.0/24.192.168.1.0/24,192.168.5.0/24.192.168.95.0/24"
Es wird aber unter [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\FirewallRules] keine Regel angezeigt.

Grüße

lcer
DerWoWusste
DerWoWusste 03.12.2021 um 13:01:18 Uhr
Goto Top
Es wird aber unter [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\FirewallRules] keine Regel angezeigt.
Ja doch nicht direkt darunter... da sind doch die Profile drunter und erst darunter die Regeln.
lcer00
lcer00 03.12.2021 um 13:37:23 Uhr
Goto Top
Zitat von @DerWoWusste:

Es wird aber unter [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\FirewallRules] keine Regel angezeigt.
Ja doch nicht direkt darunter... da sind doch die Profile drunter und erst darunter die Regeln.

reg2
nö.

Windows 10 Enterprise 21H2 19044.1348

Grüße

lcer
DerWoWusste
DerWoWusste 03.12.2021 um 13:39:54 Uhr
Goto Top
Vergleiche mit meinem Screenshot - dort sind auch links die GUIDs und erst rechts hinten die Regelnamen.
lcer00
lcer00 03.12.2021 um 15:12:39 Uhr
Goto Top
Zitat von @DerWoWusste:

Vergleiche mit meinem Screenshot - dort sind auch links die GUIDs und erst rechts hinten die Regelnamen.

Ja, schon klar. Aber dennoch werden für die Einstellungen unter RemoteAdminSettings keine speziellen Regeleinträge unter HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\FirewallRules erstellt.

Ich habe das jetzt ein paar mal hin und her getestet. Vielleicht kann das ja jemand bestätigen?

Grüße

lcer
DerWoWusste
Lösung DerWoWusste 03.12.2021 um 16:11:33 Uhr
Goto Top
Ok, kann ich bestätigen.

Ja, das kann einen etwas verwirren, aber schnell finden kann man es dennoch:
Als Admin
gpresult /h %temp%\result.html /scope:computer
Diese Datei erst einmal im Editor öffnen und nach einer der besagten Ips/IP-Ranges suchen, um sich zu orientieren. Dann die Datei im browser öffnen. Man findet dann recht schnell hin.
gelöstFrageWindows 10Microsoft
Mehr von lcer00lcer00Ereignisweiterleitung: Benötigt ein quellinitiiertes Abonnement WinRM eingehend am Quellcomputer?lcer00 - 2 Kommentarelcer00Kann man sich in Teams benachrichtigen lassen, wenn eine neue Email in einem freigegebenen Postfach eintrifft?lcer00 - 2 Kommentarelcer00Was hat einen Salesforce ODBC Treiber installiert?lcer00 - 2 Kommentarelcer00FortiGate 40F, 60E, 60F, 80E, oder 90E kann ab FortiOS 7.2.6 nicht mehr Fabric Root seinlcer00 - 2 Kommentare
Heiß diskutiert
BN2023Windows PC auf Linux umstellen, da Win11 Upgrade nicht möglich?BN2023 - 55 KommentareBN2023Am Verstärker angeschlossene Festplatte über Laptop findenBN2023 - 32 Kommentareds6.euDoppelmoral?ds6.eu - 30 KommentareMysticFoxDEEine alternative Erklärung des Doppler-Effekts durch variable LichtgeschwindigkeitMysticFoxDE - 26 KommentareMysticFoxDEStabilitätsprobleme bei Windows Server 2019 bis 2025 mit CUs ab etwa 12-24MysticFoxDE - 23 KommentareFlashLightzKann PC nicht der Domäne hinzufügenFlashLightz - 18 KommentareDerWoWussteThunderbird per IMAP an Exchange - Lesebestätigung verhindernDerWoWusste - 17 KommentarecoltseaversDebian Linux Fileserver mit ZFS, openZFS oder BTRFS?coltseavers - 16 KommentarekreuzbergerSound-Recording und Sound-Bearbeitungkreuzberger - 16 KommentareitstrueSync Windows Folder zu Webdavitstrue - 15 KommentareZeroOne1Aktuelle IT Ausbildungsberufe? FISI noch zeitgemäß?ZeroOne1 - 14 KommentarewimaflixMikrotik 7.16 WLAN vs. VLANwimaflix - 13 KommentareinsidERRUSB-Dongle wird in der VirtualBox VM (zweiter Host) nicht richtig erkanntinsidERR - 13 Kommentare