Windows Firewall in Domän Netzwerk sinnvoll?

mexx
Goto Top
Hallo,

wir setzten eine W2k3 Domän Netzwerk ein und haben die Windows Firewall für Clients und Server aktiv. Das Netzwerk selbst ist natürlich von Aussen über eine Firewall gesichert. Jetzt stellt sich mir die Frage, macht dann die aktive Windows Firewall auf den Clients überhaupt Sinn? Gibt es vielleicht sogar negative Effekte? Ein paar Ausnahmen sind in der Firewall per GPOs definiert.

Danke für eure Tipps.

Content-Key: 172481

Url: https://administrator.de/contentid/172481

Ausgedruckt am: 11.08.2022 um 20:08 Uhr

Mitglied: Juckie
Juckie 02.09.2011 um 11:00:22 Uhr
Goto Top
Hallo,

wir haben in unseren Domänen Netzwerken an allen Clients und Servern die Firewall deaktiviert. Von außen her wird das Netzwerk über eine Firewall Appliance geschützt.

Bei aktivierter Windows Firewall hatten wir des öfteren schon Probleme mit den Zugriffszeiten auf Netzlaufwerke.

Gruß
Mitglied: frakaci
frakaci 02.09.2011 um 11:01:34 Uhr
Goto Top
Hallo,

überleg mal: User steckt seinen USB Stick auf dem er unwissentlich einen Virus drauf hat.

Und dann ?????

Lg, frakaci
Mitglied: unzhurst
unzhurst 02.09.2011 um 11:03:25 Uhr
Goto Top
Aus meiner Sicht macht die Firewall auf den Clients Sinn und bildet einfach eine weitere kleine Hürde für sämtlichen Müll den durch Web und Lan geistert.
Die Firewall Richtung Internet ist so oder so obligatorisch.
Negative Effekte gibts immer mal - z.B. eine neue Anwendung funktioniert nicht richtig weil sie nicht mit dem SQL kommunizieren kann usw. usw... wenn zusätzliche
Ports/Freigaben benötigt werden musst du natürlich Hand anlegen... aber lieber so rum, wie jede Woche Malware und Viren usw. von den Clients putzen zu müssen.

Wie gesagt - ist nur meine bescheidene Meinung/Sicht face-wink

Gruß aus dem Badischen
Patrick
Mitglied: 99045
99045 02.09.2011 um 11:11:48 Uhr
Goto Top
überleg mal: User steckt seinen USB Stick auf dem er unwissentlich einen Virus drauf hat
Und dann ?????
Interessiert es die Firewall möglicherweise überhaupt nicht und der hoffentlich installierte Virenscanner schlägt Alarm.
Abgesehen davon: Was hat in einer Firmenumgebung ein USB-Stick an einem Client-Rechner zu suchen? Nach meiner Meinung nichts.
Mitglied: mexx
mexx 02.09.2011 um 11:11:54 Uhr
Goto Top
Ich seh schon. Es gibt unterschiedliche Meinungen. Eine offizielle oder empfohlene Verwahrensweise von Microsoft scheint es nicht zu geben. Auf der einen Seite gibt es den Sicherheitsgewinn. Auf der anderen Seite kann das das Netzwerk verlangsamen, weil alles durch einen Kontrollmechanismus läuft. Ich brauche noch mehr Meinungen.
Mitglied: SlainteMhath
SlainteMhath 02.09.2011 um 11:18:07 Uhr
Goto Top
Und dann ?????
Verbreitet sich der Virus über Lücken in einschlägigen Windows-Protokollen die eh auf jedem Rechner in der FW freigegeben sind... und dann is nix gewonnen face-smile
Mitglied: Jokesoft
Jokesoft 02.09.2011 um 11:37:13 Uhr
Goto Top
Nein, von MS kann man da auch so nichts erwarten. MS empfiehlt ein sicheres Netzwerk. Man kann zu so einen Einzelfall keine Verfahrensweise empfehlen, ohne den Rest des Netzes zu betrachten. face-smile

Aus Netzwerksicht:
So gesehen ist die lokale FW Mist. Wie oben schon erwähnt, kann es da sehr schnell zu Komplikationen kommen.

Aus lokaler Sicherheitssicht
Wie ebenfalls schon erwähnt, benötigt man Sicherheitsmechanismen wie die FW und andere Security Tools, wenn die User mit Datenträgern an den Rechnern rumhantieren.


Meine Empfehlung:
Du musst es aus konzeptioneller Sicht sehen. Es müssen alle Schnittstellen in einem Netzwerk betrachtet werden. Dazu gehören nicht nur der zentrale Internetzugang, eMail etc., sondern auch offene USB-Ports, CD-Laufwerke und Brenner an den PCs. Im Optimalfall hast du die lokale FW aus und machst alle Schnittstellen am PC dicht. Die User müssen dann allerdings über die IT Daten einspielen bzw. auslesen.
So haben wir es z.B. in unserem Netzwerk eingerichtet. Die lokale FW ist m.E. schon ein zu großer Störfaktor und so fackelst du alles zentral ab.
Wie gesagt, nur FW ausschalten ist zu kurz gegriffen. Du musst ein PC-Sicherheitskonzept haben.

Hoffe geholfen zu haben
Arne
Mitglied: mrtux
mrtux 02.09.2011 um 12:04:16 Uhr
Goto Top
Hi !

Wie schon von den Vorschreibern erwähnt, hängt das von deinem Netzwerk und der Sicherheitsstrategie ab....Hast Du ein Netzwerk, das quasi zugenagelt ist und nur die Admins auf sicherheitsrelevate Bereiche zugreifen können oder hast Du auch User (z.B. Softwareentwickler, Abteilungsleiter, Chefs usw.) die "Sonderrechte" haben und auch mal Admin "spielen" dürfen d.h. die z.B. auch mal Software installieren dürfen, dann würde ich auf den Clients die Firewall lieber aktiv lassen oder wenn es das Budget hergibt, diese Rechner gleich in ein separates Segment z.B. mittels der vorhandenen (oder einer weiteren) Firewall legen...

mrtux
Mitglied: goscho
goscho 02.09.2011 um 12:48:42 Uhr
Goto Top
Mahlzeit,
ich möchte hier auch noch meinen Senf dazugeben. face-wink

Es hängt auch sehr stark von den verwendeten Betriebssystemen ab.
Ich kann im Eingangsbeitrag nur was von W2K3-Netzwerk lesen. Dort steht nichts von den verwendeten Client-Systemen.
Und wie unterschiedlich die Firewalls der verschiedenen Windows-Systeme sind, brauche ich ja nicht zu erklären.
W2K bringt bspw. überhaupt keine mit.

BTW:
Die von mir betreuten Umgebungen werden vorwiegend mit der in Symantec Endpoint Protection integrierten Firewall (kam früher mal von Sygate) konfiguriert. Diese kann OS-übergreifend eingerichtet werden und bietet - IMHO - wesentlich mehr Möglichkeiten und Komfort als die mitgelieferte von Windows.
Aber auch hier ist jede Umgebung getrennt zu betrachten. Und so ganz ohne Einarbeitung, kostenpflichtige Schulungen und teilweise schmerzende Erfahrungen geht's auch mit dieser Firewall nicht ab.
Mitglied: 101238
101238 02.09.2011 um 13:32:47 Uhr
Goto Top
Hallo,

na da muss ich auch noch meinen Senf dazu geben.

Ich möchte mich goscho anschließen. Wir benutzen Symantec Endpoint Protection Manager 11 (wird gerade auf 12.1 migriert "stöhn") auf Server 2003. Auf den Clients entsprechend SEP verwaltet vom SEPM. Windows Firewall auf allen Clients aus. Denn SEP bringt eine eigene mit. Wird von uns so konfiguriert (über Manager) das einige User (Entwickler) auch selbst Hand anlgen können.

Aber wie goscho schon gesagt hat , sehr viel Einarbeitung und Schulung usw. nötig. Aber wenn es läuft einfach gut. Symantec bringt gute Funktionen mit. Intrusion Prevention, Firewall, Viren und Antispyware usw..

Desweiteren kann man sich über E-Mail Berichte und Warnungen zukommen lassen.

Viel Erfolg
Mitglied: Jokesoft
Jokesoft 04.09.2011 um 17:56:54 Uhr
Goto Top
Ok, das ist jetzt mal ein konkretes Beispiel wie man es machen kann. - Vor dem Einkauf steht jedoch das nötige Konzept. Was will ich zulassen und was soll am PC nicht möglich sein. Dann erst werden die Produkte ausgeguckt, die meinen Wünschen am ehesten entsprechen. Es ist auf jeden Fall ein bisschen Arbeit. face-smile