14
Windows Server Firewall - Wie macht ihr das?
Hallo zusammen
bis jetzt haben wir die Windows Firewall der internen Server nicht verwendet. Wurden also beim Aufsetzen deaktiviert. Ich muss nun ein kleines Konzept schreiben, wie wir die Windows Firewall in Zukunft aktivieren können und auch pflegen.
Wir betreiben etwa 150 virtuelle Windows Server (Server 2008 - 2012R2) auf einem ESXi Cluster. Wobei vermutlich jeder zweite andere Firewall Einstellungen brauchen wird.
Wie macht Ihr das so in mittel grossen Unternehmen? Werden die Firewalls aktiviert und wie Dokumentiert ihr das? Einfach ein einer Zentralen DB (z.B Sharepoint) die nicht standard geöffneten Ports pro Server dokumentieren?
Bin auf eure Erfahrungen gespannt.
Gruss twisters
bis jetzt haben wir die Windows Firewall der internen Server nicht verwendet. Wurden also beim Aufsetzen deaktiviert. Ich muss nun ein kleines Konzept schreiben, wie wir die Windows Firewall in Zukunft aktivieren können und auch pflegen.
Wir betreiben etwa 150 virtuelle Windows Server (Server 2008 - 2012R2) auf einem ESXi Cluster. Wobei vermutlich jeder zweite andere Firewall Einstellungen brauchen wird.
Wie macht Ihr das so in mittel grossen Unternehmen? Werden die Firewalls aktiviert und wie Dokumentiert ihr das? Einfach ein einer Zentralen DB (z.B Sharepoint) die nicht standard geöffneten Ports pro Server dokumentieren?
Bin auf eure Erfahrungen gespannt.
Gruss twisters
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 324101
Url: https://administrator.de/contentid/324101
Printed on: April 26, 2024 at 02:04 o'clock
14 Comments
Latest comment
Hallo twisters,
welche Firewalls stehen denn vor den Servern?
VG
welche Firewalls stehen denn vor den Servern?
VG
nach aussen gesehen sind Cisco und Juniper Firewall drin. das interne Netz ist transparent. Von aussen gesehn stehen wir sehr gut da. Die Frage ist ob ich die Windows Firewall auch im LAN aktivieren soll?
Besser wäre eine solide Netzsegmentierung. (DMZ/VLANS)
Moin,
Und ja, auch im internen Netz sollte man die Firewalls der Server aktivieren das hat mehrere Gründe, unter anderem das sich Malware auch im internen Netz nicht so schnell verbreiten kann wenn Sicherheitslücken bestimmte Dienste betreffen.
Außerdem ist das Einrichten mit aktiver Firewall heutzutage Standard, Windows übernimmt beim Hinzufügen von Rollen und Diensten ja meist die Hauptarbeit und schaltet die für Rollen benötigten Porta frei.
Wenn man eigene Software verwendet muss man natürlich entsprechend Hand anlegen wenn bestimmte Ports benötigt werden, aber das ist absolut überschaubar.
Die Ports von Anwendungen sind allseits bekannt, es ist also überhaupt kein Problem sich zu belesen und mit aktiver Firewall zu arbeiten. Wer die Windows-Firewall ganz abschaltet hat meiner Meinung nach seinen Beruf verfehlt oder will sich nicht mit dem Thema auseinandersetzen.
Es gibt nämlich auch Dienste die erfordern eine aktive Windows-Firewall damit sie funktionieren, wie z.B. der RRAS und die VPN-Funktionen.
Gruß mik
Wurden also beim Aufsetzen deaktiviert.
Wieso das?? Da hatte wohl ein Admin null Ahnung was das betrifft.Und ja, auch im internen Netz sollte man die Firewalls der Server aktivieren das hat mehrere Gründe, unter anderem das sich Malware auch im internen Netz nicht so schnell verbreiten kann wenn Sicherheitslücken bestimmte Dienste betreffen.
Außerdem ist das Einrichten mit aktiver Firewall heutzutage Standard, Windows übernimmt beim Hinzufügen von Rollen und Diensten ja meist die Hauptarbeit und schaltet die für Rollen benötigten Porta frei.
Wenn man eigene Software verwendet muss man natürlich entsprechend Hand anlegen wenn bestimmte Ports benötigt werden, aber das ist absolut überschaubar.
Die Ports von Anwendungen sind allseits bekannt, es ist also überhaupt kein Problem sich zu belesen und mit aktiver Firewall zu arbeiten. Wer die Windows-Firewall ganz abschaltet hat meiner Meinung nach seinen Beruf verfehlt oder will sich nicht mit dem Thema auseinandersetzen.
Es gibt nämlich auch Dienste die erfordern eine aktive Windows-Firewall damit sie funktionieren, wie z.B. der RRAS und die VPN-Funktionen.
Gruß mik
1
Moin,
??
Und tatsächlich habe ich im LAN auf meinen popeligen 3 Servern die firewall ebenfalls inaktiv ... keine-ahnung was die mir helfen sollten.
LG, Thomas
Wer die Windows-Firewall ganz abschaltet hat meiner Meinung nach seinen Beruf verfehlt
was hat eine firewall mit meinem Beruf zu tun ??Und tatsächlich habe ich im LAN auf meinen popeligen 3 Servern die firewall ebenfalls inaktiv ... keine-ahnung was die mir helfen sollten.
LG, Thomas
Moin,
Gruß,
Dani
Werden die Firewalls aktiviert....
Ja. Einfach ein einer Zentralen DB (z.B Sharepoint) die nicht standard geöffneten Ports pro Server dokumentieren?
Die zuständigen Teams in der jeweiligen Form. Die Einen in der Dokumentation der Software, andere pflegen eine Excel-Liste in Sharepoint.Gruß,
Dani
Wir machen das nach Gamp5. Also eine komplette Dokumentation der Server inkl. Landschaft. Diese Dokumentation ist teil der Validierung der Infrastruktur. Soviel zum Thema Dokumentation.
Zur Implementierung: Ich würde dir empfehlen, die Firewall Einstellungen per GPO zu tätigen. In der Doku des Servers kannst du auf dein GPO Konzept verweisen. Zu der Doku für die GPO Struktur kannst du dann die HTML Reports der Richtlinien anhängen...
Somit bist du valide, du hast eine zentrale Übersicht der Firewalleinstellungen und kannst auch schnell etwas ändern ohne Zugriff auf den Server haben zu müssen... Einfach per GPO.
Zur Implementierung: Ich würde dir empfehlen, die Firewall Einstellungen per GPO zu tätigen. In der Doku des Servers kannst du auf dein GPO Konzept verweisen. Zu der Doku für die GPO Struktur kannst du dann die HTML Reports der Richtlinien anhängen...
Somit bist du valide, du hast eine zentrale Übersicht der Firewalleinstellungen und kannst auch schnell etwas ändern ohne Zugriff auf den Server haben zu müssen... Einfach per GPO.
Zitat von @keine-ahnung:
Und tatsächlich habe ich im LAN auf meinen popeligen 3 Servern die firewall ebenfalls inaktiv ... keine-ahnung was die mir helfen sollten.
Und tatsächlich habe ich im LAN auf meinen popeligen 3 Servern die firewall ebenfalls inaktiv ... keine-ahnung was die mir helfen sollten.
z.B. verhindern, daß jemand aus fremden netzwerken RDP mit deinen Servern spielt.
lks
Moin LKS,
LG, Thomas
z.B. verhindern, daß jemand aus fremden netzwerken RDP mit deinen Servern spielt.
und die fremden "Netzwerker" kommen jetzt wie durch meine firewall, die vor dem LAN steht? Wasserleitung? Over the air? LG, Thomas
Zitat von @keine-ahnung:
Moin LKS,
Moin LKS,
z.B. verhindern, daß jemand aus fremden netzwerken RDP mit deinen Servern spielt.
und die fremden "Netzwerker" kommen jetzt wie durch meine firewall, die vor dem LAN steht? Wasserleitung? Over the air? Über die Buchse im Wartezimmer.
Aber es gibt auch für die meisten Firewalls, die das LAN schützen sollen Exploits.
Und manchmal kann man sogar die Browser der Arbeiststationen als Tunnelkopf benutzen.
lks
Sie schützt dich vor den Patienten die zu viel chilli con carne intus haben
Moin,
LG, Thomas
Über die Buchse im Wartezimmer.
dort gibt es keine Buchse (ist kein Platz, da steht mein core-switch).Sie schützt dich vor den Patienten die zu viel chilli con carne intus haben
Verdammt! Darüber hatte ich nicht nachgedacht ...LG, Thomas
Zitat von @FernandeZLP:
Wir machen das nach Gamp5. Also eine komplette Dokumentation der Server inkl. Landschaft. Diese Dokumentation ist teil der Validierung der Infrastruktur. Soviel zum Thema Dokumentation.
Zur Implementierung: Ich würde dir empfehlen, die Firewall Einstellungen per GPO zu tätigen. In der Doku des Servers kannst du auf dein GPO Konzept verweisen. Zu der Doku für die GPO Struktur kannst du dann die HTML Reports der Richtlinien anhängen...
Somit bist du valide, du hast eine zentrale Übersicht der Firewalleinstellungen und kannst auch schnell etwas ändern ohne Zugriff auf den Server haben zu müssen... Einfach per GPO.
Wir machen das nach Gamp5. Also eine komplette Dokumentation der Server inkl. Landschaft. Diese Dokumentation ist teil der Validierung der Infrastruktur. Soviel zum Thema Dokumentation.
Zur Implementierung: Ich würde dir empfehlen, die Firewall Einstellungen per GPO zu tätigen. In der Doku des Servers kannst du auf dein GPO Konzept verweisen. Zu der Doku für die GPO Struktur kannst du dann die HTML Reports der Richtlinien anhängen...
Somit bist du valide, du hast eine zentrale Übersicht der Firewalleinstellungen und kannst auch schnell etwas ändern ohne Zugriff auf den Server haben zu müssen... Einfach per GPO.
Sehr guter Ansatz!
Genau so würde ich es auch machen bzw. dokumentieren wir es auch.
Wieviele Admins gibt es bei Euch denn? Und hat jeder "Vollzugriff" auf alles?
Prinzpiell würde ich die Firewall in Produktivumgebungen nie deaktivieren, auch wenn es "nur" die Windows Firewall ist.
Danke für die vielen Anregungen.
Vor allem der Ansatz mit der Dokumentation via Gamp5 und GPO finden ich auch sehr gut.
@Holle1991: Wir sind 5 Admins und 4 haben VollZugriff auf alles.
Twisters
Vor allem der Ansatz mit der Dokumentation via Gamp5 und GPO finden ich auch sehr gut.
@Holle1991: Wir sind 5 Admins und 4 haben VollZugriff auf alles.
Twisters
