131993
Mar 07, 2017
1084
7
0
Windows Firewall Outgoing Default Drop
Hallo, Ich möchte hier kurz nach Konfigurationen fragen. Hat schon mal jemand ein Windows Firewall Ruleset erstellt, beidem die Standardmäßig sämtlicher ausgehender Datenverkehr gesperrt ist.
Ich möchte die ausgehenden Regeln so eng wie möglich schnallen, sprich für jede Verbindung
Die Zieladresse, Zielports und Application (exe) möchte ich für jede einzelne Regel angeben.
Bis jetzt funktioniert viel, aber nur oberflächlich. Ich habe bis jetzt die folgenden Probleme festgestellt:
- Terminalserver kann keine Verbindung zum Lizenzserver herstellen
- Vertrauensstellung zur Domäne verloren.
- Office 365 keine Verbindung zum Lizenzserver
Hat jemand eventuell schon ein fertiges Regelset, das er mir zur Verfügungstellungen könnte?
Ich möchte die ausgehenden Regeln so eng wie möglich schnallen, sprich für jede Verbindung
Die Zieladresse, Zielports und Application (exe) möchte ich für jede einzelne Regel angeben.
Bis jetzt funktioniert viel, aber nur oberflächlich. Ich habe bis jetzt die folgenden Probleme festgestellt:
- Terminalserver kann keine Verbindung zum Lizenzserver herstellen
- Vertrauensstellung zur Domäne verloren.
- Office 365 keine Verbindung zum Lizenzserver
Hat jemand eventuell schon ein fertiges Regelset, das er mir zur Verfügungstellungen könnte?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 331430
Url: https://administrator.de/contentid/331430
Printed on: April 26, 2024 at 04:04 o'clock
7 Comments
Latest comment
Hi.
Erlaube bekannten Anwendungen die Kommunikation.
Öffne den für die Domäne benötigten Verkehr zum DC.
Alles weitere ist nur nach sorgfältiger Analyse möglich.
Es wäre vielleicht hilfreich, wenn man Dir klar machen könnte, was das denn bringen kann/bringen wird.
Was möchtest Du erreichen und warum?
Hat jemand eventuell schon ein fertiges Regelset, das er mir zur Verfügungstellungen könnte?
Darf ich fragen, wie Du dir das vorstellst? Ein fertiges Regelset, von mir, was auf Deine (mir komplett unbekannten) Anwendungen passt?Erlaube bekannten Anwendungen die Kommunikation.
Öffne den für die Domäne benötigten Verkehr zum DC.
Alles weitere ist nur nach sorgfältiger Analyse möglich.
Es wäre vielleicht hilfreich, wenn man Dir klar machen könnte, was das denn bringen kann/bringen wird.
Was möchtest Du erreichen und warum?
Zitat von @DerWoWusste:
In einer Art Tabelle für eine Standard Windows Installation (Terminalserver mit Office 365),Hat jemand eventuell schon ein fertiges Regelset, das er mir zur Verfügungstellungen könnte?
Darf ich fragen, wie Du dir das vorstellst? Ein fertiges Regelset, von mir, was auf Deine (mir komplett unbekannten) Anwendungen passt?Anwendung | Ziel | Port
foo.exe | Domaincontroller | TCP-123
Erlaube bekannten Anwendungen die Kommunikation.
Öffne den für die Domäne benötigten Verkehr zum DC.
Weißt du welche Anwendung welche Ports zum DC braucht? Die Windows Firewall erlaubt ja die Angabe der genauen exe, für die die Regel gilt.Öffne den für die Domäne benötigten Verkehr zum DC.
Was ich aus dem Firewall Log weiß, ist dass aktuell eine Verbindung zum Global Catalog auf Port TCP-3268 geblockt wird. Leider steht im log nicht der Name und Pfad der Anwendung (oder Service), der die Verbindung herstellen möchte.
Alles weitere ist nur nach sorgfältiger Analyse möglich.
Deshalb hoffe ich, dass dies zumindest für Windows ohne Drittanbieter Software schon gemacht hat, auf das man aufbauen kann.Es wäre vielleicht hilfreich, wenn man Dir klar machen könnte, was das denn bringen kann/bringen wird.
Was möchtest Du erreichen und warum?
Ich muss sämtlichen Ausgehenden traffic soweit wie möglich einschränken, weil dies durch einen Kunden so gewünscht ist.Was möchtest Du erreichen und warum?
Für die DC Kommunikation entweder jeden ausgehenden Verkehr zum DC zulassen, oder sich belesen:
https://technet.microsoft.com/en-us/library/dd772723(v=ws.10).aspx
http://blogs.msmvps.com/acefekay/2011/11/01/active-directory-firewall-p ...
Zu Deinem Ansinnen, den Kunden zufriedenzustellen,. ohne sich damit auszukennen: das wird nun schwierig. Er hat doch nicht nur Windows alleine vor sich, sondern auch Anwendungen darauf - will er das jedes Mal nachpflegen, wenn eine neue hinzukommt?
Mach es doch lieber so, dass Du den Traffic zu bekannten Servern generell zulässt (die Server schützen sich schon selbst firewalltechnisch) und zusätzlich kontrollierst, welche Anwendungen gestartet werden dürfen (Applocker oder Softwareeinschränkungsrichtlinien).
https://technet.microsoft.com/en-us/library/dd772723(v=ws.10).aspx
http://blogs.msmvps.com/acefekay/2011/11/01/active-directory-firewall-p ...
Zu Deinem Ansinnen, den Kunden zufriedenzustellen,. ohne sich damit auszukennen: das wird nun schwierig. Er hat doch nicht nur Windows alleine vor sich, sondern auch Anwendungen darauf - will er das jedes Mal nachpflegen, wenn eine neue hinzukommt?
Mach es doch lieber so, dass Du den Traffic zu bekannten Servern generell zulässt (die Server schützen sich schon selbst firewalltechnisch) und zusätzlich kontrollierst, welche Anwendungen gestartet werden dürfen (Applocker oder Softwareeinschränkungsrichtlinien).
Ach, noch was: ein berühmter Grundsatz für Endpoint-Firewalls lautet
Protection belongs on the asset you are trying to protect, not the one you are trying to protect against!
Auch wenn der Kunde es sich anders vorstellt, gilt das uneingeschränkt.Zitat von @DerWoWusste:
Für die DC Kommunikation entweder jeden ausgehenden Verkehr zum DC zulassen, oder sich belesen:
https://technet.microsoft.com/en-us/library/dd772723(v=ws.10).aspx
http://blogs.msmvps.com/acefekay/2011/11/01/active-directory-firewall-p ...
Die Liste kenne ich bereits. Dort ist leider der Pfad zur exe bzw. der Name des Services nicht mit angegeben. Der die Verbindung vom Client zum Server aufbaut.Für die DC Kommunikation entweder jeden ausgehenden Verkehr zum DC zulassen, oder sich belesen:
https://technet.microsoft.com/en-us/library/dd772723(v=ws.10).aspx
http://blogs.msmvps.com/acefekay/2011/11/01/active-directory-firewall-p ...
Zu Deinem Ansinnen, den Kunden zufriedenzustellen,. ohne sich damit auszukennen: das wird nun schwierig. Er hat doch nicht nur Windows alleine vor sich, sondern auch Anwendungen darauf - will er das jedes Mal nachpflegen, wenn eine neue hinzukommt?
Ja, das ist auch nicht das Problem. Windows ist hier eine größere "Blackbox" was die Ausgehenden Verbindungen angeht...Mach es doch lieber so, dass Du den Traffic zu bekannten Servern generell zulässt (die Server schützen sich schon selbst firewalltechnisch) und zusätzlich kontrollierst, welche Anwendungen gestartet werden dürfen (Applocker oder Softwareeinschränkungsrichtlinien).
Das ist dem Kunden nicht ausreichend genug. Er möchte das soweit wie technisch möglich eingeschränkt haben.Zitat von @DerWoWusste:
Ach, noch was: ein berühmter Grundsatz für Endpoint-Firewalls lautet
Der Kunde wünscht beides. Macht zwar das Regelwerk etwas dicker, erlaubt aber vor allem für die Verbindungen zu Servern im Internet eine gute Kontrolle (falls eine Anwendung darf und eine andere nicht) zusätzlich zur Firewall mit DPI.Ach, noch was: ein berühmter Grundsatz für Endpoint-Firewalls lautet
Protection belongs on the asset you are trying to protect, not the one you are trying to protect against!
Auch wenn der Kunde es sich anders vorstellt, gilt das uneingeschränkt.
Da muss ich noch einmal angreifen:
Das ist nun etwas widersprüchlich. Die technisch bessere Variante der Einschränkung ist Applocker. Du kannst Anwendungen nun einmal entweder vertrauen und zulassen, was sie wollen, oder nicht, dann musst Du sie komplett blocken. Diese Diskussionen zum blocken ausgehenden Traffics sind antik. Die Befürworter des Blockens ausgehender Verbindungen sind ausgestorben oder vergreist.
"beides", ausgehenden Traffic auf den unvertrauten Rechnern blocken und dann eingehenden auf den potentiellen Angriffszielen. ist nichts, was ich empfehlen würde und du wirst kaum einen Befürworter finden.
Den Domänentraffic nach executables freizuschalten ist nun noch die Krönung. Überlege bitte, warum Microsoft das nicht auflistet: es wäre unsinnig, beispielsweise zuzulassen, dass Dienst x mit dem DC kommuniziert (DNS-Anfragen, Kerberos, LDAP) aber Anwendung Y nicht. Wenn eine Anwendung raus will, beauftragt sie eine andere, vertraute Anwendung, dies zu tun - auch diese Diskussionen sind millionenfach geführt worden und mittlerweile verstummt, da keiner mehr daran zweifelt, was man hier tun sollte.
Mach es doch lieber so, dass Du den Traffic zu bekannten Servern generell zulässt (die Server schützen sich schon selbst firewalltechnisch) und zusätzlich kontrollierst, welche Anwendungen gestartet werden dürfen (Applocker oder Softwareeinschränkungsrichtlinien).
Das ist dem Kunden nicht ausreichend genug. Er möchte das soweit wie technisch möglich eingeschränkt haben."beides", ausgehenden Traffic auf den unvertrauten Rechnern blocken und dann eingehenden auf den potentiellen Angriffszielen. ist nichts, was ich empfehlen würde und du wirst kaum einen Befürworter finden.
Den Domänentraffic nach executables freizuschalten ist nun noch die Krönung. Überlege bitte, warum Microsoft das nicht auflistet: es wäre unsinnig, beispielsweise zuzulassen, dass Dienst x mit dem DC kommuniziert (DNS-Anfragen, Kerberos, LDAP) aber Anwendung Y nicht. Wenn eine Anwendung raus will, beauftragt sie eine andere, vertraute Anwendung, dies zu tun - auch diese Diskussionen sind millionenfach geführt worden und mittlerweile verstummt, da keiner mehr daran zweifelt, was man hier tun sollte.
Eben, denn wenn es eine Anwendung geschafft hat sich genug Rechte zu verschaffen ist für sie die Firewall auch kein Hindernis mehr!
Deswegen Regelwerk für Anwendungen statt nichtsbringendes Firewall gebastel.
Gruß
Deswegen Regelwerk für Anwendungen statt nichtsbringendes Firewall gebastel.
Gruß
