Windows 7 Firewall und Portfreigaben für Domänennetzwerke
Hallo,
nachdem ich schon Jahre immer in diesem Portal nach Lösungen gesucht habe muss ich mich nun auch mal mit meinem eigenen speziellen Problem an die Community wenden.
Wir haben 2 Windows 7 Tablett PCs, Teil einer Windows 2003 AD Domäne und möchten diese mittels der erweiterten Firewall so einschränken, dass diese nur innerhalb des Firmen WLANs kommunizieren können. Wir möchten es abblocken, dass sich der angemeldete Anwender mit einer anderen SSID verbindet und dann möglicherweise mit dem Firmen internen Gerät im Internet surfen könnte.
Um dies zu realsieren haben wir in der Windows Firewall eine ausgehende und eine eingehende Regel erstellt, bei der alle Ports geblockt werden. Diese Regel habe ich als gültig für private und öffentliche Netze deklariert, nicht jedoch für Domänen Netzwerke.
Das ganze funktioniert auch, bis zum nächsten Neustart. Dann scheint die Firewall so gut zu blocken, dass der Rechner sich nichtmal mehr mit der Domäne autenthizieren kann. Das Firmen WLAN Netz, das vor dem Neustart noch als Domänen Netzwerk angezeigt wurde, ist jetzt nur noch ein Arbeitsplatz Netzwerk und wird ebenfalls durch die Firewall geblockt.
Frage ist nun: Welchen Port müsste ich freigeben damit diese Authentifizierung wieder stattfinden kann und das Netz wieder korrekt erkannt wird.
Oder anders gefragt:
Kann unser Ziel diese 2 Tablett PCs nur innerhalb dieser einen SSID zu betreiben auch anders realisiert werden? Vielleicht eine Sperre auf SSID Ebene? Ich habe nichts derartiges gefunden und dachte mit den Firewall Regeln meine Lösung schon gefunden zu haben.
Danke für eure Antworten.
Gruß Stefan
nachdem ich schon Jahre immer in diesem Portal nach Lösungen gesucht habe muss ich mich nun auch mal mit meinem eigenen speziellen Problem an die Community wenden.
Wir haben 2 Windows 7 Tablett PCs, Teil einer Windows 2003 AD Domäne und möchten diese mittels der erweiterten Firewall so einschränken, dass diese nur innerhalb des Firmen WLANs kommunizieren können. Wir möchten es abblocken, dass sich der angemeldete Anwender mit einer anderen SSID verbindet und dann möglicherweise mit dem Firmen internen Gerät im Internet surfen könnte.
Um dies zu realsieren haben wir in der Windows Firewall eine ausgehende und eine eingehende Regel erstellt, bei der alle Ports geblockt werden. Diese Regel habe ich als gültig für private und öffentliche Netze deklariert, nicht jedoch für Domänen Netzwerke.
Das ganze funktioniert auch, bis zum nächsten Neustart. Dann scheint die Firewall so gut zu blocken, dass der Rechner sich nichtmal mehr mit der Domäne autenthizieren kann. Das Firmen WLAN Netz, das vor dem Neustart noch als Domänen Netzwerk angezeigt wurde, ist jetzt nur noch ein Arbeitsplatz Netzwerk und wird ebenfalls durch die Firewall geblockt.
Frage ist nun: Welchen Port müsste ich freigeben damit diese Authentifizierung wieder stattfinden kann und das Netz wieder korrekt erkannt wird.
Oder anders gefragt:
Kann unser Ziel diese 2 Tablett PCs nur innerhalb dieser einen SSID zu betreiben auch anders realisiert werden? Vielleicht eine Sperre auf SSID Ebene? Ich habe nichts derartiges gefunden und dachte mit den Firewall Regeln meine Lösung schon gefunden zu haben.
Danke für eure Antworten.
Gruß Stefan
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 183441
Url: https://administrator.de/forum/windows-7-firewall-und-portfreigaben-fuer-domaenennetzwerke-183441.html
Ausgedruckt am: 04.05.2025 um 04:05 Uhr
6 Kommentare
Neuester Kommentar
Moin,
für AD sind idR die Ports 53, 135-139 + 445 notwendig.
lg,
Slainte
für AD sind idR die Ports 53, 135-139 + 445 notwendig.
Kann unser Ziel diese 2 Tablett PCs nur innerhalb dieser einen SSID zu betreiben auch anders realisiert werden?
WLAN Einstellungen können nur von Benutzern mit Admin- (ggfs. auch Hauptbenutzer-)Rechten geändert werden. Kein Admin => Keine Änderung. Wenn die Tablets nicht ins Inet sollen einfach das Default-GW entfernen und das wars lg,
Slainte
Zitat von @SlainteMhath:
Moin,
für AD sind idR die Ports 53, 135-139 + 445 notwendig.
> Kann unser Ziel diese 2 Tablett PCs nur innerhalb dieser einen SSID zu betreiben auch anders realisiert werden?
Moin,
für AD sind idR die Ports 53, 135-139 + 445 notwendig.
> Kann unser Ziel diese 2 Tablett PCs nur innerhalb dieser einen SSID zu betreiben auch anders realisiert werden?
Das ist ein sehr guter Hinweis, das könnte ich auch mal austesten. Die "normalen" Domänenuser sind maximal Hauptbenutzer, aber keinesfalls Admins.
WLAN Einstellungen können nur von Benutzern mit Admin- (ggfs. auch Hauptbenutzer-)Rechten geändert werden. Kein Admin
=> Keine Änderung. Wenn die Tablets nicht ins Inet sollen einfach das Default-GW entfernen und das wars
=> Keine Änderung. Wenn die Tablets nicht ins Inet sollen einfach das Default-GW entfernen und das wars
Herrje nein!
In einer abgefahrenen Netzwerkstruktur mit Subnetzen und übergeordneten Domänen geht ohne Standard GW gar nichts! Außerdem verteilen wir die IP natürlich über DHCP und da ist das Standard GW natürlich mit dabei.
In einer abgefahrenen Netzwerkstruktur mit Subnetzen und übergeordneten Domänen geht ohne Standard GW gar nichts!
Naja, sicherlich reicht da eine manuelle Route für 10.0.0.0/8 (oder ähnlich triviales) aus 
Hallo,
Gruß,
Peter
Zitat von @stefan241:
Die "normalen" Domänenuser sind maximal Hauptbenutzer, aber keinesfalls Admins.
Und ein Hauptbenutzer kann jederzeit das WLAN wechseln!.Die "normalen" Domänenuser sind maximal Hauptbenutzer, aber keinesfalls Admins.
Herrje nein!
Mag sein das du jetzt erschrocken bist.In einer abgefahrenen Netzwerkstruktur mit Subnetzen und übergeordneten Domänen geht ohne Standard GW gar nichts!
Davon hast du bisher aber null erwähnt, also mecker nicht über Vorschläge Außerdem verteilen wir die IP natürlich über DHCP und da ist das Standard GW natürlich mit dabei.
Mit Reservierung kannst du auch diese beiden Geräten eine anderes bzw. kein Gateway mitgeben (Sofern der DHCP erreicht werden kann).Gruß,
Peter
Ich habe die Hauptbenutzer Rechte des Domänen Users entfernt. Das Ergebnis sieht so aus dass ich nun nicht mehr nach einem Admin Account gefragt werde wenn ich zb die Firewall oder die Computerverwaltung öffnen möchte. Die Fenster öffnen sich und es kommt wie im Fall der Firewall zu einer Fehlermeldung. Ist aber auch nur nebensächlich, denn ich kann leider auch als normaler Benutzer einer anderen WLAN SSID beitreten... Leider doch nicht die Lösung...
Ich glaube ich starte ein neues Topic, da der Titel und das eigentliche Ziel nichts mehr miteinander zu tun haben.
Ich glaube ich starte ein neues Topic, da der Titel und das eigentliche Ziel nichts mehr miteinander zu tun haben.
