Windows-Firewall in Domäne
Hallo zusammen,
Firewallregeln sammeln sich ja schön kumulativ an - bei uns wie folgt:
- manuell erstellte Regeln
- durch Installationsprogramme von Anwendungssoftware erstellte Regeln (zum Teil nach jedem Programmupdate zustätzlich und redundant angelegte Regeln)
- per GPO durchgesetze Regeln
Wie handhabt man / Ihr das aufräumen am besten?
Wir versuchen, wenn möglich die Regeln über GPOs zu verteilen, das wird aber immer wieder durch Anwender (manche dürfen das ...) und Anwendungssoftware (die macht das einfach bei jedem Update) unterlaufen. Mach ein regelmäßiger "Regelreset" z.B. per Startskript Sinn?
Oder doch eine Fremdsoftwarelösung für die Endpunkt-Firewall verwenden?
Grüße
lcer
Firewallregeln sammeln sich ja schön kumulativ an - bei uns wie folgt:
- manuell erstellte Regeln
- durch Installationsprogramme von Anwendungssoftware erstellte Regeln (zum Teil nach jedem Programmupdate zustätzlich und redundant angelegte Regeln)
- per GPO durchgesetze Regeln
Wie handhabt man / Ihr das aufräumen am besten?
Wir versuchen, wenn möglich die Regeln über GPOs zu verteilen, das wird aber immer wieder durch Anwender (manche dürfen das ...) und Anwendungssoftware (die macht das einfach bei jedem Update) unterlaufen. Mach ein regelmäßiger "Regelreset" z.B. per Startskript Sinn?
Oder doch eine Fremdsoftwarelösung für die Endpunkt-Firewall verwenden?
Grüße
lcer
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 350467
Url: https://administrator.de/forum/windows-firewall-in-domaene-350467.html
Ausgedruckt am: 03.04.2025 um 14:04 Uhr
7 Kommentare
Neuester Kommentar
Moin,
warum dürfen Deine User Software (vermutlich ohne das Wissen des Admins) installieren???
Dann kannst Du die Windows Firewall vergessen und solltest zu einer Endpoint Security wechseln.
Oder: Du nimmst allen Usern das lokale Admin-Recht weg und schon hat Du wieder die Kontrolle über die Client-Firewalls.
Denn: Ein Reset der Firewallregeln über eine GPO wird dazu führen, dass die User ihre selbst aufgespielte Software unter Umständen nicht mehr nutzen können.
Gruß
Looser
warum dürfen Deine User Software (vermutlich ohne das Wissen des Admins) installieren???
Dann kannst Du die Windows Firewall vergessen und solltest zu einer Endpoint Security wechseln.
Oder: Du nimmst allen Usern das lokale Admin-Recht weg und schon hat Du wieder die Kontrolle über die Client-Firewalls.
Denn: Ein Reset der Firewallregeln über eine GPO wird dazu führen, dass die User ihre selbst aufgespielte Software unter Umständen nicht mehr nutzen können.
Gruß
Looser
Hi.
Es kommt doch sehr darauf an, wie eng man das sieht. Will man volle Kontrolle, so bekommen die User keine Adminrechte und können somit keine Regeln setzen. Weiterhin werden Setups und Updatesetups daraufhin untersucht, was sie für Regeln setzen und ggf. werden diese Ports per Deny-Regel abgedichtet bzw. Exceptions gar nicht erst zugelassen (also Regeln sind zwar da, werden aber nicht berücksichtigt).
Sieht man das nicht so eng und lässt den Nutzern die Freiheiten Software zu installieren/upzudaten/Regeln zu erstellen, hat man eigentlich schon verloren.
Es kommt doch sehr darauf an, wie eng man das sieht. Will man volle Kontrolle, so bekommen die User keine Adminrechte und können somit keine Regeln setzen. Weiterhin werden Setups und Updatesetups daraufhin untersucht, was sie für Regeln setzen und ggf. werden diese Ports per Deny-Regel abgedichtet bzw. Exceptions gar nicht erst zugelassen (also Regeln sind zwar da, werden aber nicht berücksichtigt).
Sieht man das nicht so eng und lässt den Nutzern die Freiheiten Software zu installieren/upzudaten/Regeln zu erstellen, hat man eigentlich schon verloren.
Zitat von @nepixl:
Hallo,
Firewall deaktivieren und eine FW-Appliance installieren die nur Du verwaltest.
Gruß
Hallo,
Firewall deaktivieren und eine FW-Appliance installieren die nur Du verwaltest.
Gruß
...und schon kann sich im Netz hinter der Firewall jeder Schädling rumtreiben.
Je nach deinem Tread Modell.
Für maximale Sicherheit:
*¹ Bei Verwendung eines Softwareshops kann es vorkommen, dass einzelne Regeln bei einzelnen Clients überflüssig sind. Dies muss mittels WMI-Filter verhindert werden. Ansonsten könnte eine schädliche Application sich einfach an diesen Pfad (weil existiert noch nicht) begeben und die bestehende Regel missbrauchen. Aufgrund der Natur von WMI-Filtern sind diese langsam in der Anwendung. Um dies zu umgehen, empfiehlt es sich einfach AppLocker zu verwenden und die ACLs auf die drei o. g. Ordner zu härten. Anschließend kann hier auch auf WMI-Filter verzichtet werden, dies beeinträchtigt die Sicherheit nicht signifikant, weil Benutzer unter keinen Umständen in diese Pfade schreiben können.
P. S. Firewall Regeln nur in Ausnahmefällen auf Ports anlegen. Die Windows Firewall ist auf einen viel höheren Layer (im ISO OSI Modell) aktiv, man kann (und sollte!) immer den Pfad der Anwendung angeben, die den entsprechenden Port geöffnet haben will. Zusätzlich sollte man falls möglich noch die Quell-/Zieladressen mit angeben.
Durch die Definition von IPSec Regeln, kann man hier sogar noch auf die Authentifizierung des Benutzer zurück greifen z. B. Nur authentifizierte Benutzer der Gruppe IT-Support von einem authentifizierten PC der Gruppe IT-Support-PCs dürfen sich mittels WinRM mit dieser Workstation verbinden. Für alle Anderen ist der Port dicht.
Meine Persönliche Empfehlung, falls du aktuell noch kein IPSec nutzt, ist dies zumindest für WinRM, RPC und die Kommunikation von/zu Domänen-Controllern einzusetzen.
Für maximale Sicherheit:
- Kein User hat Administrative Rechte
- Software kommt ausschließlich mittels Software Deployment auf die Rechner (damit können User vorher genehmigte Programme installieren, falls gewünscht)
- Updates werden automatisch mittels Software Deployment gepusht.
- Die lokale Windows Firewall Regel Verwaltung wird mittels GPO deaktiviert (wodurch nur noch via GPO definierte Regeln greifen)
- Default Regelsatz in eine GPO namens fwDefault kopieren und nach den eigenen Bedürfnissen anpassen (z. B.: Ping erlauben).
- Eine GPO mit dem Namen fwRemoteAdministration anlegen und hier WinRM, RPC, RemoteAssistance erlauben (falls benötigt)
- Für jede weitere Anwendung eine extra GPO nach dem Schema fwAPPLICATIONNAME anlegen. Ggf. noch ein _x86 oder _x64 ans ende und einen entsprechenden WMI Filter zuweisen, falls es hier Unterschiede gibt. *¹
- Kein Benutzer hat Schreibrechte in die Verzeichnisse (inkl. Unterverzeichnisse) von: "C:\Program Files", "C:\Program Files (x86)" (mittels GPO auf x86 Installationen anlegen, damit kein User diesen Ordner erstellen kan), "C:\Windows"
- Benutzerprofil Installationen mittels GPO deaktivieren
- Benutzern mittels GPO das recht zum updaten von mittels MSI Installierten Programmen durch signierter MSP Dateien entziehen.
- AppLocker Richtlinien definieren
- Eine minimale Richtlinie sieht so aus: Nur Programme aus "C:\Program Files", "C:\Program Files (x86)" und "C:\Windows" ausführen.
- Falls hier mehr Sicherheit gewünscht ist, kann hier entsprechend auf Nur Signierte Programme gestellt oder eine Whitelist an einzelnen .exe Dateien gepflegt werden.
*¹ Bei Verwendung eines Softwareshops kann es vorkommen, dass einzelne Regeln bei einzelnen Clients überflüssig sind. Dies muss mittels WMI-Filter verhindert werden. Ansonsten könnte eine schädliche Application sich einfach an diesen Pfad (weil existiert noch nicht) begeben und die bestehende Regel missbrauchen. Aufgrund der Natur von WMI-Filtern sind diese langsam in der Anwendung. Um dies zu umgehen, empfiehlt es sich einfach AppLocker zu verwenden und die ACLs auf die drei o. g. Ordner zu härten. Anschließend kann hier auch auf WMI-Filter verzichtet werden, dies beeinträchtigt die Sicherheit nicht signifikant, weil Benutzer unter keinen Umständen in diese Pfade schreiben können.
P. S. Firewall Regeln nur in Ausnahmefällen auf Ports anlegen. Die Windows Firewall ist auf einen viel höheren Layer (im ISO OSI Modell) aktiv, man kann (und sollte!) immer den Pfad der Anwendung angeben, die den entsprechenden Port geöffnet haben will. Zusätzlich sollte man falls möglich noch die Quell-/Zieladressen mit angeben.
Durch die Definition von IPSec Regeln, kann man hier sogar noch auf die Authentifizierung des Benutzer zurück greifen z. B. Nur authentifizierte Benutzer der Gruppe IT-Support von einem authentifizierten PC der Gruppe IT-Support-PCs dürfen sich mittels WinRM mit dieser Workstation verbinden. Für alle Anderen ist der Port dicht.
Meine Persönliche Empfehlung, falls du aktuell noch kein IPSec nutzt, ist dies zumindest für WinRM, RPC und die Kommunikation von/zu Domänen-Controllern einzusetzen.