max2020
Goto Top

Windows Firewall besser umfangreicher einsetzen

Hallo zusammen,

es gibt eine Anfrage bei uns, dass der Kunde extra noch Windows Firewall einsetzen möchte und alles mögliche sperren und nur das nötigste freigeben.

Wir hatten schon Windows Firewall nach BSI Vorgaben eingerichtet und per GPO verteielt. Der Kunde hat auch eine Firewall, wo man den Datenverkeher prüfen und ungewünschte Dinge sperren/freigeben.

Deshalb bräuchte ich bitte eure Unterstützung und Ideen, was mann noch in Windows Firewall machen werden soll.
Jeder kann gerne was dazu sagen!!

Viele Grüße,
Max

Content-Key: 6881975700

Url: https://administrator.de/contentid/6881975700

Printed on: May 18, 2024 at 04:05 o'clock

Member: nachgefragt
nachgefragt Apr 18, 2024 updated at 11:19:11 (UTC)
Goto Top
Hallo,

die Windows Firewall ist ein bisschen willkürlich, mit einem Update kommen ggf. neue Regeln rein, mit jeder neuen Software auch.

Mit folgendem Script kannst du mal deine Domain-Computer abfragen, dies z.B. per Aufgabenplanung starten und täglich ausführen lassen. Nach ein paar Tagen oder sofort siehst du, dass es ständig Veränderungen gibt.
$computers = Get-ADComputer -Filter * | Select-Object -ExpandProperty Name
$results = @()
foreach ($computer in $computers) {
    $firewallRules = Invoke-Command -ComputerName $computer -ScriptBlock {
         Get-NetFirewallRule | Where-Object {$_.Enabled -eq 'True'} | Select-Object DisplayName, Enabled, Description  
    }
    foreach ($rule in $firewallRules) {
        $result = [PSCustomObject]@{
            'ComputerName' = $computer  
            'DisplayName' = $rule.DisplayName  
            'Enabled' = $rule.Enabled  
            'Description' = $rule.Description  
        }
        $results += $result
    }
}
$Datum=Get-Date -Format "yyyyMMdd"  
$Dateiname = "Firewall_$Datum"  
$results | Export-Csv  -Path C:\Users\%username%\Dokumente\$Dateiname.csv -Delimiter ';' -NoTypeInformation  

Daher ist ein dediziertes System sinnvoll welche die Segmente trennt und den Verkehr zwischen den Segmenten festlegt, oder auch ein ACL Switch. Wenn es nur um einen PC geht kann man dies auch in einer Endpoint Protection mit Firewall Modul festhalten.

Am besten ein Mix aus allem.
Member: Max2020
Max2020 Apr 18, 2024 at 11:21:37 (UTC)
Goto Top
Vielen Dank für die Antwort!

Ja das stimmt, dass immer wieder neue Regeln gibt.
Member: nachgefragt
nachgefragt Apr 18, 2024 updated at 11:33:34 (UTC)
Goto Top
Zitat von @Max2020:
Ja das stimmt, dass immer wieder neue Regeln gibt.
Das würde ich meinem Kunden erklären, auch mit dem Script aufzeigen. Ein Dienstleister müsste quasi immer nachjustieren, verdient sich durch Klicker-Klicker-Aufgaben dumm und dämlich.

Er könnte besser sein Ziel definieren, wenn er z.B. möchte das ein PC sich nur per RDP auf den Server verbinden soll, sonst aber nix, dann würde ich den Port per ALC nur Port 3389 öffnen.

Wenn es umfangreicher wird, Gleiches in einem VLAN zusammenfassen, die VLANs entsprechend planen und über die Firewall abhandeln.
Member: MysticFoxDE
MysticFoxDE Apr 18, 2024 at 11:48:10 (UTC)
Goto Top
Moin @nachgefragt,

Ein Dienstleister müsste quasi immer nachjustieren, verdient sich durch Klicker-Klicker-Aufgaben dumm und dämlich.

das muss man heute beim Thema Sicherheit immer machen, aber ständig die lokalen FireWall der Clients zu konfigurieren, finde ich ehrlich gesagt, dennoch etwas übertrieben und auch am Ziel vorbeigeschossen.

Wenn es umfangreicher wird, Gleiches in einem VLAN zusammenfassen, die VLANs entsprechend planen und über die Firewall abhandeln.

Jup, Netzsegmentierung ist auf jeden Fall eine gute Idee und bitte mit einem anständigen SGW (Security-Gateway) und nicht nur einem Switch als Router dazwischen.
Am Besten, respektive wenn möglich gleich mit Private-VLAN, insbesondere bei den Clients realisieren, denn dann kann man deren Windows-Firewall, definitiv abschalten, respektive den 🐇 zum Fressen geben. 😁

Gruss Alex (🦊)
Member: Dani
Dani Apr 19, 2024 updated at 15:08:05 (UTC)
Goto Top
Moin,
Deshalb bräuchte ich bitte eure Unterstützung und Ideen, was mann noch in Windows Firewall machen werden soll.
die Windows Firewall ist ein bisschen willkürlich, mit einem Update kommen ggf. neue Regeln rein, mit jeder neuen Software auch.
deshalb steuern wir die WDF vollständig über GPOs. Ist am Anfang etwas schmerzlich, aber danach läuft's. face-wink


Gruß,
Dani