locked
Windows-Firewall mit erweiterter Sicherheit RRS feed

  • Frage

  • Hallo liebe IT-Profs :-)

    Ich habe eine Frage zu oben erwähnten Thema. Ist auch ein wenig schwer zu beschreiben, aber ich hoffe, ihr könnt nachvollziehen, um was es mir geht.

    Folgendes:

    Ich habe bei meinem eigenen und bei einem frisch installierten Testrechner einige Unterschiede zu verschiedenen Firewallregeln festgestellt. Beide Windows 7

    z.B. der Name "Remotedesktop (TCP eingehend)" ist bei beiden Rechnern identisch. Nur, die Profile, für die diese Regel gilt nicht. Soll heissen, bei meinem Rechner gilt sie für "Domäne", bei dem Testrechner für "Domäne,Privat". Woher kommen diese Unterschiede??

    Hintergrund der Geschichte ist, dass ich an einem Script arbeite, um bei Rechnern für gewisse Programme bestimmte Regeln und Ports für die externe Verwaltung erlauben zu können.

    Das Problem ist halt, wenn der "Name" der Regel nicht mit dem in meinem Script übereinstimmt, wird die Regel nicht erkannt und demnach auch nicht aktiviert. Nur kann ich nicht für x- Rechner ein eigenes Script schreiben oder nachsehen, wie die Regel expliziert heisst. Das wäre nicht im Sinne des Erfinders.

    wenn ich mein Anliegen noch zu ungenau beschrieben habe, bitte eine kurze Rückmeldung :-)

     

    Aber eine weitere Frage, bezüglich dieser Thematik, habe ich noch.

    ist es möglich, den Remotedesktop (Unter eigenschaften computer, remote) mit der option "Verbindungen von Computern zulassen, auf denen eine beliebige Version von Remotedesktop ausgeführt wird (weniger Sicherheit)" auch per script zu aktivieren??

    Ich danke vielmals um eure Bemühungen

    Mit freundlichen Grüßen

    Thomas Krupp

     

    • Verschoben Andrei Talmaciu Freitag, 18. Februar 2011 09:16 Windows 7 Thema (aus:Windows Client)
    Montag, 7. Februar 2011 10:17

Alle Antworten

  • Hallo Thomas,

    bei meinem Rechner gilt sie für "Domäne", bei dem Testrechner für "Domäne,Privat". Woher kommen diese Unterschiede??

    Ein Rechner ist auch in einer Domain, was aber den Profilen egal ist.

    Es wird in der Spalte Profil angezeigt für welches genau diese Regel aktiv ist, halt per Komma getrennt.

    per WMI /VBS/Powershell solltest du das schon filtern können, habe ich allerdings nicht probiert.

    Technet Scripting Guy - Startseite

    Technet Scripting Repository - funktionale Beispiele

    Anderes Scripting Forum - auch Kix

    Sollte dir weiterhelfen.


    mfg Michael | www.mbormann.de
    Dienstag, 8. Februar 2011 11:43
  • Zuerst einmal ein Dankeschön für die Antwort. Jedoch habe ich das Gefühl, dass wir aneinander vorbei reden.

    Die Regel ist selbstverständlich gültig und funktioniert auch.

    Bei meinem Rechner sieht die Firewall-Regel (bzw. „Name“ + “Profil“) z.B. für den Remotedesktop so aus:

    Remotedesktop (TCP eingehend), gilt NUR für Profil „domain“

    Bei dem Testrechner sieht die Regel als Standard so aus:

    Remotedesktop (TCP eingehend), gilt für Profil „alle“

     

    Ich möchte per Script die Regeln für bestimmte Profile ändern.

    Hier die Zeile aus meinem Script und die Antwort der Administrator-Konsole auf meinem PC:

    C:\Windows\System32>netsh advfirewall firewall set rule name="Remotedesktop (TCP
     eingehend)" profile="domain" new enable=yes

    1 Regel(n) wurde(n) aktualisiert.
    OK.

    Der gleiche Befehl am Testrechner bewirkt folgendes:

    C:\Windows\system32>netsh advfirewall firewall set rule name="Remotedesktop (TCP
     eingehend)" profile="domain" new enable=Yes

    Keine Regeln stimmen mit den angegebenen Kriterien überein.

    Bei der Firewall-Regel auf meinem Testrechner ist als Profil „alle“ angegeben   und daher funktioniert der Befehl nicht.

    Die Änderung tritt nur in Kraft, wenn „Name“ UND „Profil“ in Script und Firewall-Regel gleich ist. Ansonsten kommt oben genannter Fehler.

    Wenn ich den Befehl nun abändere auf die genauen ProfilNamen, funktioniert das ganze wieder:

    C:\Windows\System32>netsh advfirewall firewall set rule name="Remotedesktop (TCP

      eingehend)" profile="domain,private,public" new enable=no

     

    1 Regel(n) wurde(n) aktualisiert.

    OK.

    Das Problem dabei ist, dass ich das Script nicht für jeden Rechner individuell anpassen will. Alle Konstellationen von Regelnamen zu Profilen möchte ich auch nicht einbinden. Sonst habe ich am Ende ein unübersichtliches und umständliches Script. Außerdem möchte ich wissen, woher diese Unterschiede bei den Zuordnungen der Regelnamen zu den Profilen kommen.

     

    Am liebsten würde ich das Script momentan weiter auf der normalen Shell schreiben

     

    Mittwoch, 9. Februar 2011 13:06
  • Hallo,

    Wenn ich mich zu ungenau ausgedrückt habe und es nicht verständlich ist, wo mein Problem liegt, bitte ein kurze Rückmeldung. Ich werde dann mein Anliegen neu verfassen :-)

     

    Mit freundlichen Grüßen

    Thomas Krupp

    Montag, 14. Februar 2011 10:55
  • Hallo Thomas,

    > Wenn ich mich zu ungenau ausgedrückt habe und es nicht verständlich ist, wo mein Problem liegt,

    Nene, Problem - denke ich wenigstens- erkannt, allein die Zeit um das sauber zu lösen fehlt, anderen Lesern geht es wohl ähnlich.

    Sowie Zeit, interessiert mich das auch, aber leider geht das nicht so fix wie gehofft, sorry.


    mfg Michael | www.mbormann.de
    Montag, 14. Februar 2011 21:24
  • hallo Herr Bormann,

    ich wollte nochmal Nachfragen, ob Sie schon eine Lösung oder einenen Lösungsansatz haben. Ich bin leider noch auf dem selben Stand wie vorher :-(

     

    Mit freundlichen grüßen

    Thomas Krupp

    Donnerstag, 24. Februar 2011 08:50