131993
Mar 07, 2017
1084
7
0
Windows Firewall Outgoing Default Drop
Hallo, Ich möchte hier kurz nach Konfigurationen fragen. Hat schon mal jemand ein Windows Firewall Ruleset erstellt, beidem die Standardmäßig sämtlicher ausgehender Datenverkehr gesperrt ist.
Ich möchte die ausgehenden Regeln so eng wie möglich schnallen, sprich für jede Verbindung
Die Zieladresse, Zielports und Application (exe) möchte ich für jede einzelne Regel angeben.
Bis jetzt funktioniert viel, aber nur oberflächlich. Ich habe bis jetzt die folgenden Probleme festgestellt:
- Terminalserver kann keine Verbindung zum Lizenzserver herstellen
- Vertrauensstellung zur Domäne verloren.
- Office 365 keine Verbindung zum Lizenzserver
Hat jemand eventuell schon ein fertiges Regelset, das er mir zur Verfügungstellungen könnte?
Ich möchte die ausgehenden Regeln so eng wie möglich schnallen, sprich für jede Verbindung
Die Zieladresse, Zielports und Application (exe) möchte ich für jede einzelne Regel angeben.
Bis jetzt funktioniert viel, aber nur oberflächlich. Ich habe bis jetzt die folgenden Probleme festgestellt:
- Terminalserver kann keine Verbindung zum Lizenzserver herstellen
- Vertrauensstellung zur Domäne verloren.
- Office 365 keine Verbindung zum Lizenzserver
Hat jemand eventuell schon ein fertiges Regelset, das er mir zur Verfügungstellungen könnte?
Please also mark the comments that contributed to the solution of the article
Content-Key: 331430
Url: https://administrator.de/contentid/331430
Printed on: April 26, 2024 at 04:04 o'clock
7 Comments
Latest comment
Hi.
Erlaube bekannten Anwendungen die Kommunikation.
Öffne den für die Domäne benötigten Verkehr zum DC.
Alles weitere ist nur nach sorgfältiger Analyse möglich.
Es wäre vielleicht hilfreich, wenn man Dir klar machen könnte, was das denn bringen kann/bringen wird.
Was möchtest Du erreichen und warum?
Hat jemand eventuell schon ein fertiges Regelset, das er mir zur Verfügungstellungen könnte?
Darf ich fragen, wie Du dir das vorstellst? Ein fertiges Regelset, von mir, was auf Deine (mir komplett unbekannten) Anwendungen passt?Erlaube bekannten Anwendungen die Kommunikation.
Öffne den für die Domäne benötigten Verkehr zum DC.
Alles weitere ist nur nach sorgfältiger Analyse möglich.
Es wäre vielleicht hilfreich, wenn man Dir klar machen könnte, was das denn bringen kann/bringen wird.
Was möchtest Du erreichen und warum?
Für die DC Kommunikation entweder jeden ausgehenden Verkehr zum DC zulassen, oder sich belesen:
https://technet.microsoft.com/en-us/library/dd772723(v=ws.10).aspx
http://blogs.msmvps.com/acefekay/2011/11/01/active-directory-firewall-p ...
Zu Deinem Ansinnen, den Kunden zufriedenzustellen,. ohne sich damit auszukennen: das wird nun schwierig. Er hat doch nicht nur Windows alleine vor sich, sondern auch Anwendungen darauf - will er das jedes Mal nachpflegen, wenn eine neue hinzukommt?
Mach es doch lieber so, dass Du den Traffic zu bekannten Servern generell zulässt (die Server schützen sich schon selbst firewalltechnisch) und zusätzlich kontrollierst, welche Anwendungen gestartet werden dürfen (Applocker oder Softwareeinschränkungsrichtlinien).
https://technet.microsoft.com/en-us/library/dd772723(v=ws.10).aspx
http://blogs.msmvps.com/acefekay/2011/11/01/active-directory-firewall-p ...
Zu Deinem Ansinnen, den Kunden zufriedenzustellen,. ohne sich damit auszukennen: das wird nun schwierig. Er hat doch nicht nur Windows alleine vor sich, sondern auch Anwendungen darauf - will er das jedes Mal nachpflegen, wenn eine neue hinzukommt?
Mach es doch lieber so, dass Du den Traffic zu bekannten Servern generell zulässt (die Server schützen sich schon selbst firewalltechnisch) und zusätzlich kontrollierst, welche Anwendungen gestartet werden dürfen (Applocker oder Softwareeinschränkungsrichtlinien).
Da muss ich noch einmal angreifen:
Das ist nun etwas widersprüchlich. Die technisch bessere Variante der Einschränkung ist Applocker. Du kannst Anwendungen nun einmal entweder vertrauen und zulassen, was sie wollen, oder nicht, dann musst Du sie komplett blocken. Diese Diskussionen zum blocken ausgehenden Traffics sind antik. Die Befürworter des Blockens ausgehender Verbindungen sind ausgestorben oder vergreist.
"beides", ausgehenden Traffic auf den unvertrauten Rechnern blocken und dann eingehenden auf den potentiellen Angriffszielen. ist nichts, was ich empfehlen würde und du wirst kaum einen Befürworter finden.
Den Domänentraffic nach executables freizuschalten ist nun noch die Krönung. Überlege bitte, warum Microsoft das nicht auflistet: es wäre unsinnig, beispielsweise zuzulassen, dass Dienst x mit dem DC kommuniziert (DNS-Anfragen, Kerberos, LDAP) aber Anwendung Y nicht. Wenn eine Anwendung raus will, beauftragt sie eine andere, vertraute Anwendung, dies zu tun - auch diese Diskussionen sind millionenfach geführt worden und mittlerweile verstummt, da keiner mehr daran zweifelt, was man hier tun sollte.
Mach es doch lieber so, dass Du den Traffic zu bekannten Servern generell zulässt (die Server schützen sich schon selbst firewalltechnisch) und zusätzlich kontrollierst, welche Anwendungen gestartet werden dürfen (Applocker oder Softwareeinschränkungsrichtlinien).
Das ist dem Kunden nicht ausreichend genug. Er möchte das soweit wie technisch möglich eingeschränkt haben."beides", ausgehenden Traffic auf den unvertrauten Rechnern blocken und dann eingehenden auf den potentiellen Angriffszielen. ist nichts, was ich empfehlen würde und du wirst kaum einen Befürworter finden.
Den Domänentraffic nach executables freizuschalten ist nun noch die Krönung. Überlege bitte, warum Microsoft das nicht auflistet: es wäre unsinnig, beispielsweise zuzulassen, dass Dienst x mit dem DC kommuniziert (DNS-Anfragen, Kerberos, LDAP) aber Anwendung Y nicht. Wenn eine Anwendung raus will, beauftragt sie eine andere, vertraute Anwendung, dies zu tun - auch diese Diskussionen sind millionenfach geführt worden und mittlerweile verstummt, da keiner mehr daran zweifelt, was man hier tun sollte.
Eben, denn wenn es eine Anwendung geschafft hat sich genug Rechte zu verschaffen ist für sie die Firewall auch kein Hindernis mehr!
Deswegen Regelwerk für Anwendungen statt nichtsbringendes Firewall gebastel.
Gruß
Deswegen Regelwerk für Anwendungen statt nichtsbringendes Firewall gebastel.
Gruß