Windows Clients zu AD-Server - Firewallregeln
Moin zusammen!
Wie sind eure Erfahrungen, wenn Windows Clients in anderen Netzen stehen, als "seine" AD-Server im Zusammenhang mit Firewalls.
Es gibt im Internet ja diverse Portlisten, die aber in Teilen von einander abweichen.
Wie macht ihr das so wenn ihr externe Standorte habt, die bspw. per IPSEC an die Zentrale, wo der/die Server stehen, angebunden sind?
Benutzt ihr die böse Any-Any-Regel? Filtert ihr tatsächlich die Ports? Wenn ja, nach welcher Quelle geht ihr?
53, 88,445, 389 würden ja schon das meiste erschlagen. Wenn man dann aber noch 1024-65535 hinzufügt wird das Filtern ja schon fast albern.
Einige Quellen meinen aber auch 49152-65535 würden auch reichen.
Wie geht ihr vor? Mich interessiert wirklich, wie ihr es in der Praxis handhabt und nicht, wie das Optimum aussieht.
Grüße
Christoph
Wie sind eure Erfahrungen, wenn Windows Clients in anderen Netzen stehen, als "seine" AD-Server im Zusammenhang mit Firewalls.
Es gibt im Internet ja diverse Portlisten, die aber in Teilen von einander abweichen.
Wie macht ihr das so wenn ihr externe Standorte habt, die bspw. per IPSEC an die Zentrale, wo der/die Server stehen, angebunden sind?
Benutzt ihr die böse Any-Any-Regel? Filtert ihr tatsächlich die Ports? Wenn ja, nach welcher Quelle geht ihr?
53, 88,445, 389 würden ja schon das meiste erschlagen. Wenn man dann aber noch 1024-65535 hinzufügt wird das Filtern ja schon fast albern.
Einige Quellen meinen aber auch 49152-65535 würden auch reichen.
Wie geht ihr vor? Mich interessiert wirklich, wie ihr es in der Praxis handhabt und nicht, wie das Optimum aussieht.
Grüße
Christoph
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 564787
Url: https://administrator.de/forum/windows-clients-zu-ad-server-firewallregeln-564787.html
Ausgedruckt am: 22.12.2024 um 10:12 Uhr
4 Kommentare
Neuester Kommentar
Moin,
Einige Quellen meinen aber auch 49152-65535 würden auch reichen.
Wir haben irgendwanns ab 32xxx bis 65535 konfiguriert.
Gruß,
Dani
Benutzt ihr die böse Any-Any-Regel?
Ja, als Deny Regel. Filtert ihr tatsächlich die Ports?
Ja, wir gehen sogar noch weiter. Source IP, Destination IP, Port (TCP und/oder UDP) sowie Richtung.Wenn ja, nach welcher Quelle geht ihr?
Microsoft Docs und das Logfile der Firewall. Wenn man dann aber noch 1024-65535 hinzufügt wird das Filtern ja schon fast albern.
Ne, warum? Wenn man es auf die Antwort zu deiner zweiten Frage bezieht. Die Ports kommen eben durch die Anwendung von RPC (Port 135) zu Stande. Zudem braucht das nicht jeder Windows Server. Das hängt von den Rollen und installieren Anwendungen ab.Einige Quellen meinen aber auch 49152-65535 würden auch reichen.
Wir haben irgendwanns ab 32xxx bis 65535 konfiguriert.
Wie geht ihr vor? Mich interessiert wirklich, wie ihr es in der Praxis handhabt und nicht, wie das Optimum aussieht.
Das obenbeschrieben ist das Optimum und sieht auch so in der Praxi aus.Gruß,
Dani
Es ist so: Der Server hat mehr Dienste als der Client benötigt. Nicht jeder Client benötigt auch jeden Dienst des Servers. Ziel der Firewall ist es den Clients die nicht benötigten Ports zu sperren. Eigentlich ist der Port auf dem Server schon dicht, wenn kein unnötiger Dienst läuft, aber wenn der Dienst für einen anderen Rechner laufen muss, dann ist es die Aufgabe der Firewall diesen anderen Rechnern den Port durch zu lassen und den anderen Clients eben zu sperren.
Dann gibt es noch böse Leute (oder Trojaner), die Dienste einfach dazu installieren oder aktivieren. Wenn sie keine Berechtigung zur Firewall haben, nutzt ihnen diese Tat dann auch nichts.
Dann gibt es noch böse Leute (oder Trojaner), die Dienste einfach dazu installieren oder aktivieren. Wenn sie keine Berechtigung zur Firewall haben, nutzt ihnen diese Tat dann auch nichts.