netzwerkdude
Goto Top

WMI - Firewall - Security

Hi,

die Idee ist an alle User im Netzwerk via WMI msg nachrichten zukommen zu lassen, z.B. um auf Wartungsarbeiten hinzuweisen.
Dazu ist eine Firewall ausnahme nötig in Form von:
netsh advfirewall firewall add rule dir=in name ="WMI" program=%systemroot%\system32\svchost.exe service=winmgmt action = allow protocol=TCP localport=any  
aus: https://docs.microsoft.com/en-us/windows/desktop/wmisdk/connecting-to-wm ...

Dannach können Domainadmins an diese PCs via
Invoke-WmiMethod -Path Win32_Process -Name Create -ArgumentList "msg * bli bla blub" -ComputerName "NeKiste"  
Eine Nachricht schicken - soweit sogut

Unpriviligierte normale User bekommen beim selbigen Versuch eine System.UnauthorizedAccessException - also soweit auch okay

Die Frage ist: Wie ist die Firewallausnahmeregel einzuschätzen, kann ich mich auf die eingebaute WMI Access Control verlassen, oder ist die davorgeschaltete personal Firewall doch wichtig? Ergo: What can go wrong?

MFG N-Dude

Content-Key: 394193

Url: https://administrator.de/contentid/394193

Printed on: May 21, 2024 at 10:05 o'clock

Member: maretz
maretz Nov 29, 2018 at 16:05:49 (UTC)
Goto Top
Die Frage ist wie sieht der gesamtaufbau aus? Bei ner Firma hast du idR. ja bereits ne Firewall vorgeschaltet... Allerdings wenn du "action = allow, protocol=tcp und port=any" setzt würde das m.e. bedeuten du kannst die Firewall auch einfach komplett abschalten.... Wenn dann würde ich halt nur benötigte Ports freigeben - sonst hast du eben doch wieder chancen auf die alten Dinger wie den Shutdown-Wurm der damals bei Win95 oder 98 so lustig rumging...
Member: NetzwerkDude
NetzwerkDude Nov 29, 2018 at 16:17:39 (UTC)
Goto Top
Danke für den Input.

Drumherum ist es klassich: die Clients sind in einem Domänennetzwerk und eine Firewall verhindert zugriffe von außen.

wg. dem Befehl:
Der sagt ja das "svchost.exe allow any" ist, also für alle anderen programme gilt es ja nicht (oder?!)

Man könnte jetzt die Regel etwas feiner gestalten, dass nur anfragen von bestimmten rechnern / subnetzen erlaubt sind via
remoteip=<IP>
Member: maretz
maretz Nov 29, 2018 at 22:44:30 (UTC)
Goto Top
Eben darum geht es - die svchost ist nunmal eins der grössten Einfallstore überhaupt...
Member: NetzwerkDude
NetzwerkDude Nov 30, 2018 at 11:03:25 (UTC)
Goto Top
Ist die fertige "Remoteverwaltung" gruppe besser?
netsh advfirewall firewall set rule group="Remoteverwaltung" new enable=yes  

Die Ausgabe ist:
3 Regel(n) wurde(n) aktualisiert.
OK.

Was ich noch nicht cheke ist, wo ich prüfen kann was diese Regel über die Gruppen im Detail mach... weil in
netsh advfirewall firewall show rule status=enabled name=all
taucht dann nichts mit "Remoteverwaltung" auf

PS: Ich habe netsh erst gestern angefangen zu benutzen, also nicht lynchen falls ich kapitale Denkfehler habe face-smile