none
Windows Firewall mit erweitertet Sicherheit RRS feed

  • Frage

  • Hallo,

    Ich habe einen Testserver W2012R2 Standard installiert.

    Hier möchte ich die Verbindungssicherheitsregel testen. Als Client verwende ich einen Win8 Enterp. Rechner.

    Wenn ich den Win8 Rechner in die Domäne aufnehme, kann ich auf dem Win8 Rechner auf die Erweiterte Firewalleinstellungen nicht mehr zugreifen, was zuvor möglich ist. Anscheinend besitze ich nicht die erforderlichen Berechtigungen, obwohl ich dort als Administrator eingeloggt bin.

    Ich würde gerne die erweiterten Firewalleinstellungen verändern können wegen der Verbindungssicherheitsregel.

    Muß ich unter Gruppenrichtlinien etwas einrichten oder was ist zu tun?

    Bedanke mich im Voraus

    Sonntag, 29. Mai 2016 01:12

Alle Antworten

  • Hi,
     
    Am 29.05.2016 um 03:12 schrieb Servet Kaplan:
    > Wenn ich den Win8 Rechner in die Domäne aufnehme, kann ich auf dem Win8
    > Rechner auf die Erweiterte Firewalleinstellungen nicht mehr zugreifen,
     
    dann werden sie durch eine Gruppenrichtlinie definiert.
     
    Finde sie und excludiere den Client vom Scope.
    - per WMI Filter
    - per Sicherheitsfilter
    - über die OU
     
    Mark
    --
    Mark Heitbrink - MVP Group Policy - Cloud and Datacenter Management
     
    Homepage:  http://www.gruppenrichtlinien.de - deutsch
     
    Montag, 30. Mai 2016 10:37
  • Hallo Mark,

    wie bereits besagt, ist das Problem erledigt. 

    Zuerst habe ich den Client erneuert, daß Problem ist nach dem Domänenbeitritt sofort entstanden.

    Dann habe ich per Gruppenrichtlinie eine Verbindungssicherheitsregel mit zwei Verschlüsselungen eingerichtet.

    Das lief aus irgendeinem Grund nicht richtig. Dann war die Verbindung eh weg und ich konnte am Server an der Richtlinie drehen wie ich wollte aber die Verbindung (Ping) kam nicht mehr zustande.

    Das Problem könnte unter  Umständen auch an der VMWare liegen.

    Dann habe ich kurzer Hand beide Images entfernt und durch neue ersetzt:-)

    Selbst wenn ich die Verbindung hätte, was würde excludieren bringen?

    Die gesetzten Einstellung per Richtlinie werden dadurch ja nicht entfernt oder? (Dieser Punkt ist mir wichtig:-)

    LG

    Servet

    Dienstag, 31. Mai 2016 08:27
  • Hi,
     
    Am 31.05.2016 um 10:27 schrieb Servet Kaplan:
    > Selbst wenn ich die Verbindung hätte, was würde excludieren bringen?
     
    Wenn die Einstellungen durch eine GPO "ausgegraut" sind und dein Rechner
    wäre nicht mehr von dieser betroffenn, dann kannst du die Einstellungen
    wieder manuell editieren für deine Tests.
     
    > Die gesetzten Einstellung per Richtlinie werden dadurch ja nicht
    > entfernt oder? (Dieser Punkt ist mir wichtig:-)
     
    In dem Fall dann schon. Du hättest eine Rechner /ohne/ Regelwerk durch
    diese Richtlinie.
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Group Policy - Cloud and Datacenter Management
     
    Homepage:  http://www.gruppenrichtlinien.de - deutsch
     
    Dienstag, 31. Mai 2016 10:40
  • Kann nicht ganz folgen

    "Wenn die Einstellungen durch eine GPO "ausgegraut" sind..."

    Kannst du hierfür Beispiel(e) machen?

    "In dem Fall dann schon. Du hättest eine Rechner /ohne/ Regelwerk durch

    diese Richtlinie." auch hier hätte ich gerne ein Beispiel, wenn's Ihnen nichts ausmacht:-)
    Dienstag, 31. Mai 2016 16:06
  • Am 31.05.2016 um 18:06 schrieb Servet Kaplan:
    > Kann nicht ganz folgen
     
    Bildschirmschoner, aber gleiches Prinzip:
    ... GUI ist ausgegraut.
     
    Du konntest die FW nicht editieren nach Aufnahme ins AD. Meine Annahme:
    Sie ist durch eine GPO in der Domäne kontrolliert.
     
    Die Windows Firewall mmit erweiterter Sicherheit kennt unterschiedliche
    Konfigurationen per Gruppenrichtlinie: Lokale Einstellungen Ersetzen,
    oder zusammenführen.
     
    Wenn du etwas testen möchtest ist es meistens doof, wenn man es nicht
    editieren kann, deswegen sollte der TestClient/User immer frei von
    bestimmten Richtlinien sein, damit man diese oder geänderte expliuuit an
    ihnen testen kann.
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Group Policy - Cloud and Datacenter Management
     
    Homepage:  http://www.gruppenrichtlinien.de - deutsch
     
    Dienstag, 31. Mai 2016 16:45
  • Gut verstehe ich. 

    Es waren 2 GPOs, (die Standard GPOs)

    Es bleibt nur noch der Default Domain Policy übrig.

    Im Klartext muß ich zuerst die Verknüpfung entfernen, den Client in die Domäne einfügen, dann z. B. Authentifizierten Client entfernen.

    An welcher Richtlinie (außer Applocker, der Dienst Anwendungsidentiät ist auf dem Client gar nicht gelaufen) muß ich den drehen, daß ich die erweiterten Firewalleinstellungen blockieren kann.

    Aber ich denke, daß Problem lag eher an dem Domänencontroller, der verbogen war.

    Vielen Dank für die Mühe

    Dienstag, 31. Mai 2016 18:18
  • Hi,
     
    Am 31.05.2016 um 20:18 schrieb Servet Kaplan:
    > Im Klartext muß ich zuerst die Verknüpfung entfernen, den Client in die
    > Domäne einfügen, dann z. B. Authentifizierten Client entfernen.
     
    Auth. sind "alle". Das wäre doof. Aber dü konntest den Client per WMI
    filtern, du könntest OUs erstellen und die restriktiven Einstellungen
    nicht auf DomänenEbene setzen oder sogar den Client über DENY in den
    Sicherheitseinstellungen filtern.
     
     
    > An welcher Richtlinie (außer Applocker, der Dienst Anwendungsidentiät
    > ist auf dem Client gar nicht gelaufen) muß ich den drehen, daß ich die
    > erweiterten Firewalleinstellungen blockieren kann.
     
    Windows Firewall mit erweiterter Sicherheit, der Punkt heisst schon so.
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Group Policy - Cloud and Datacenter Management
     
    Homepage:  http://www.gruppenrichtlinien.de - deutsch
     
    Mittwoch, 1. Juni 2016 07:17