Windows 10 "ruhigstellen" - Firewallprotokoll wird "zugespamt"

"das Ding einfach abschalten"

Du meinst die Diagnosedaten? Habe ich versucht aber bislang keinen Erfolg gehabt. Zudem bin ich mir auch nicht sicher, ob es ausschließlich davon kommt.

pi-Hole kenne ich nicht. Muss ich mir mal ansehen, wie ich das hinbekomme und ob es ggf. mit einem internen Dienst kollidiert. Danke für den Hinweis.
EDIT: Sind die MS-IPs in den Filterlisten denn enthalten? Ansonsten liefe es ja trotzdem wieder darauf hinaus, dass ich die Listen händisch pflegen muss, soweit ich das auf die Schnelle erfasst habe. Dann kann ich mir den Aufwand auch sparen und es weiter an der Firewall machen.

Die Firewall trennt verschiedene Netzwerksegmente. Wir reden hier von einem Firmennetz mit sensiblen Bereichen, DMZ, Internet zwar nicht direkt aber über Terminal-Server. Das spielt aber bezüglich des Themas eigentlich keine Rolle. Diesen Denkansatz brauchen wir nicht weiterzudenken aber danke trotzdem.

Nachtrag bezüglich pi-Hole: Ich habe auch schon versucht, FAKE-DNS-Einträge zu setzen. Das hat nur bedingt funktioniert. Ich bin mir daher relativ sicher, dass da auch "hart codierte" IPs im Spiel sind. Lasse mich aber gerne vom Gegenteil überzeugen.

Ja, externe Firewall. Sophos UTM. Im Grunde ein reiner Paketfilter aus Sicht der betroffenen Clients. Also in erster Instanz ganz simpel Quell-IP XY darf auf Port Z auf Ziel-IP AB.
Das Protokoll des geblockten Traffics möchte ich bereinigen. Für internen "Falschtraffic" der regelmäßig vorkommt, ist das ja kein Thema. Den nehme ich einmalig aus und gut ist. Aber dieser verdammte Windows10-Traffic ändert ja ständig die Ziel-IP.

PiHole scheint dann wirklich eine Möglichkeit zu sein, zumindest für die Dinge, die per DNS laufen. Das klingt so, als wären da konkrete Erfahrungen vorhanden. Das Meiste kann man sich sicher zusammensuchen aber für einen schnellen Test würde es mir definitiv helfen, wenn ich ein paar Stichworte oder Links "zur Weiterbildung" bekommen könnte. Der verlinkte Beitrag geht ja nur grundsätzlich auf pi-Hole ein und ich würde es ohnehin als VM bereitstellen wollen. Und dann stellt sich mir die Frage, was sind "die richtigen Listen".

GPO's habe ich alle schon durch. Alles, was man so in den gängigen Guides und bei Google findet, wenn man nach "Windows 10 Internetverbindungen verhindern" u.Ä. sucht. Das hat schon sehr viel gebracht aber ein bisschen was bleibt immer noch übrig.
Zum Teil sicher die Diagnosedatenübermittlung, da man die definitiv nicht unterbinden kann mit offiziellen Mitteln. Aber da sind ziemlich sicher noch mehr sachen. Ich muss zugeben, ich bin da bislang nicht ins Detail gegangen. Also kein Wireshark o.Ä. Halte ich aber auch nur bedingt für notwendig.
Klar, genau herauszufinden, was da noch funkt und es möglichst direkt an der Quelle unterbinden, wäre die beste Lösung aber ich bin da jetzt schon relativ lange dran und habe schon sehr viel probiert. Ich bezweifle mittlerweile, dass sich das wirklich alles abstellen lässt im Sinne von "die Quelle deaktivieren".

Viele Dank. Wir haben diese Funktionalität halt auch in der UTM als Webfilter. Daher war das Thema für uns im Prinzip bislang nicht relevant.
Letztlich wird das sicher diffizil, die Listen zu konfigurieren aber es sollte machbar sein, soweit ich das bislang sehe.
Denn eigentlich soll das Ding wirklich nur und ausschließlich den MS-Traffic aussortieren. Der Rest soll zwecks Logging/Reporting ja explizit auf der Firewall aufschlagen. Zumindest alles, was auf eine Infektion u.Ä. hinweisen könnte.

Das bezog sich eher auf das finale Ausarbeiten, was vom pi-Hole geblockt wird (und wie, damit es nicht trotzdem auf der Firewall aufschlägt - Stichwort "Fake-IP") sowie, was zwar unerwünscht und in diversen Listen enthalten ist aber eben trotzdem nicht geblockt werden soll, damit es im Reporting der Firewall auftaucht und dort im Zweifel einen Alarm triggert. Ob das letztlich so umsetzbar ist, dass man es einmal einrichtet und dann Ruhe hat, da bin ich mir noch nicht sicher. Aber es ist ein vielversprechender Ansatz und ohne es getestet zu haben ist es von mir auch nur Spekulation auf Grund der ersten Eindrücke aus den Anleitungen. Vielleicht bzw. hoffentlich ist es ja doch so, wie du sagst.

Um mal noch kurz auf ein paar Anmerkungen einzugehen, mir ist bewusst, dass man GPO und Skripte nutzen kann. Problem ist eher, dass ich damit fast alles durch habe. Aber auch in einer Domäne gibt es halt Dinge, die sich nur sehr schwer per GPO/Skript umsetzen lassen. Aber es war im Prinzip nur als Hinweis, dass eventuelle Tipps halt eben auch umsetzbar sein müssen, ohne hin zu rennen.
Mittlerweile ist das aber eigentlich hinfällig.

Zum Thema "Silent Drops" das ist ja das, was wir bisher versucht haben und teilweise auch noch so umsetzen. Traffic, der zwar verworfen wird, den wir aber zuvor eindeutig als "ungefährlich" und trotzdem als "nicht vermeidbar" eingestuft haben, verwerfen wir unprotokolliert. Der Haken ist die schiere Anzahl an noch dazu wechselnden (IP-)Zieladressen bei dem Windows-Traffic. Mehrmals im Monat muss die Liste angepasst werden und man bekommt trotzdem nie für längere Zeit Ruhe. Ob pi-Hole da die Lösung sein wird, muss man sehen. Es ist zumindest einen Versuch wert, weil es vorgefertigte Listen gibt, die sich noch dazu feiner justieren lassen, als in unserer Firewall.
Dort könnte ich lediglich den gesamten geblockten Traffic der Clients für HTTP/HTTPS unprotokolliert verwerfen. Dann würde aber auch jedweder Traffic einer durch z.B. USB eingeschleppten Infektion unbeachtet bleiben. Und das ist ja gerade der Sinn der ganzen Aktion. Die Protokolle der Firewall sollen soweit sauber werden, dass es wieder möglich ist, nachträglich auftretendes auffälliges Verhalten darin zu entdecken.

Für mich wäre der Aufbau bei uns dann in der Theorie folgender: Client->Domänen-DNS->pi-Hole->Firewall-DNS->"externerDNS". Dann greift der pi-Hole nur bei Anfragen zu Adressen, die der Domänen-DNS nicht selbst auflösen kann und damit für Anfragen, die die betroffenen Clients eh nicht erreichen können.
Die Terminalserver mit Internetzugang haben ohnehin eine abweichende DNS-Konfiguration. Anfragen, die nicht die Domäne betreffen, landen erst gar nicht beim Domänen-DNS und daher wäre es verkraftbar, wenn der pi-Hole abschmiert.

Am Ende steht und fällt die ganze Sache aber halt damit, inwiefern sich der Filter im pi-Hole an unsere Wünsche anpassen lässt ohne, dass man letztlich dann doch wieder mehrmals im Monat händisch nachbessern muss. Dazu muss ich hier aber weniger Schreiben und stattdessen den Test mal angehen. Theorie und Praxis und so.

Ansonsten, wenn noch wer ne andere Idee hat, ich bin für fast Alles offen.