none
Windows 10 Firewall RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo zusammen,

    ich habe mal auf einem System Windows 10 Prof installiert. Weil ich das schon immer so mache, habe ich auch hier erst mal sämtliche Regeln der Firewall gelöscht und eine Handvoll Regeln für eingehenden sowie ausgehenden Verkehr definiert und die FW so eingestellt, dass in beiden Richtungen Verkehr standardmäßig geblockt wird.

    Erstaunlicher Weise werden nun nach einer Weile ein ordentlicher Teil der gelöschten Regeln vom System autonom wieder hergestellt, XBOX, OneNote und dieses Gedöns, was ich definitv nicht brauche und auch nicht haben möchte.

    Ist das eigentlich akzeptabel, dass Windows/Microsoft mir meine Firewall "einrichtet"? Ich muss, um die Regeln bearbeiten zu können, immer "Ausführen als Admininstrator" machen. Windows kann das offensichtlich unabhängig davon, in welchem Kontext ich selbst angemeldet bin.

    Kann man das irgendwie unterbinden? Ich sehe das jedenfalls nicht als erwünschte "Reparatur" sondern als unerwünschten Eingriff in meine Infrastruktur an.

    Danke für jeden hilfreichen Tip...

    Donnerstag, 25. Februar 2016 19:38
    |

Antworten

  • Question
    Anmelden
    1
    Anmelden
    Hi,
     
    Am 27.02.2016 um 11:19 schrieb K. Pater:
    > Die so eingeführten Regeln sind erst mal gegen Änderungen geschützt
    > ("Diese Regel wurde vom Sys... und kann nicht geändert...").Allerdings
    > hindert das vermutlich ja noch keinen Prozess, weitere Regeln zu
    > definieren
     
    Das ist leider so.
     
    > oder diese Regeln tw. ausser Kraft zu setzen.
     
    Das sollte dann nicht mehr möglich sein, wenn du unter "Profilname"
    - Einstellungen
    -- Anpassen
    --- Lokale Firwall Regeln zulassen = Nein
        Lokale Verbindungsregeln zulassen = Nein
    konfiguriert hast.
     
    Tschö
    Mark
     
    --
    Mark Heitbrink - MVP Windows Server - Group Policy
     
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter
     
    • Als Antwort markiert K. Pater Samstag, 27. Februar 2016 11:18
    Samstag, 27. Februar 2016 10:44
    |

Alle Antworten

  • Question
    Anmelden
    1
    Anmelden
    Hi,
     
    Am 25.02.2016 um 20:38 schrieb K. Pater:
    > Ist das eigentlich akzeptabel, dass Windows/Microsoft mir meine Firewall
    > "einrichtet"?
     
    Grundsätzlich nein, jein, ja könnte passieren.
     
    > Ich muss, um die Regeln bearbeiten zu können, immer
    > "Ausführen als Admininstrator" machen. Windows kann das offensichtlich
    > unabhängig davon, in welchem Kontext ich selbst angemeldet bin.
     
    Setz mal die UAC nach "ganz oben".
     
    Der Unterschied zwischen der 3ten und 4ten Stufe liegt in der
    AutoElevation, die auf Stufe 4 nicht mehr erlaubt ist.
     
    Microsoft hat ca. 100 Ausführbare Dateien mit einem speziellen
    Zertifikat ausgestattet, sodass beim Aufruf dieser Dateien keine UAC
    mehr verlangt wird. Das war das Zugestädnins von Vista zu 7, wo sich die
    Leute beschwert haben zu oft die UAC betätigen zu müssen.
     
    Diese besonders signierten Dateien können nicht mit eigenen erweitert
    werden und sie sind die einzige Ausnahme an der UAC "vorbeizukommen".
     
    Meine Theorie ist: Bei UAC Stufe 4 sollte das mit den FW Regeln nicht
    mehr passieren
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Windows Server - Group Policy
     
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter
     
    Freitag, 26. Februar 2016 08:29
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    danke für den Tip, ich werde das mal ausprobieren.

    Andererseits sind die UAC-Einstellung per Account und ich bezweifele, dass dieser partielle "Rollback" im Kontext eines angelegten Benutzers (Standard: "UAC Stufe 4") oder Admins (Standard: "UAC Stufe 3") erfolgt.

    Da würden sich dann allerdings auch ganz neue Fragen ergeben (Kontextübernahme, ...)

    Gruß

    Freitag, 26. Februar 2016 09:49
    |
  • Question
    Anmelden
    1
    Anmelden
    Hi,
     
    Am 26.02.2016 um 10:49 schrieb K. Pater:
    > Andererseits sind die UAC-Einstellung per Account
     
    Nein. Es ist eine Computerkonfiguration -> secpol.msc
    Sicherheitseinstellungen\lokale Richtlinien\Sicherheitsoptionen
     
    UAC kann ein unterschiedliches Verhalten für /den/ Administrator, für
    Administratoren und Benutzer zeigen.
     
    - Für /den/ Admin (RID -500) kann es ausgeschaltet werden, für alle
    anderen an.
     
    - wenn aktiviert kann sich das Verhalten der Eingabeaufforderung für
    erhöhte Rechte für Administratoren im Administratorgenehmigungsmodus,
    bzw.  für Standardbenutzer unterscheiden.
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Windows Server - Group Policy
     
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter
     
    Freitag, 26. Februar 2016 10:20
    |
  • Question
    Anmelden
    0
    Anmelden

    Hi,

    danke, dass das auf Gruppen definiert ist, wusste ich nicht (hatte das in der Benutzerverwaltung geändert).

    Andererseits habe ich den "SuperAdministrator" generell deaktiviert und verwende für notwendig Aufgaben einen neuen Administratoren-Account.

    Den hatte ich nun auch von "Stufe 3" auf "Stufe 4" hochgesetzt, aber die Änderungen an der FW gehen weiter. Das passiert "tröpfchenweise", mittlerweile sind es 4 (als ich es gestern bemerkte waren es gefühlt über 30).

    Vielleicht als Anmerkung, ich benutze keine der den Regeln zugrunde liegenden Programme und laut Taskmanager kann ich auch keinen Prozess entdecken bzw. zuordnen, den ich in Zusammenhang bringen könnte.

    Im ausgehenden Bereich siehts ähnlich aus.

    Hast du eventuell noch andere Ideen :-)

    Jedenfalls schon mal besten Dank.

    Gruß

    Freitag, 26. Februar 2016 13:57
    |
  • Question
    Anmelden
    1
    Anmelden
    Moin,
     
    Am 2/26/2016 um 2:57 PM schrieb K. Pater:
    > danke, dass das auf Gruppen definiert ist, wusste ich nicht (hatte das
    > in der Benutzerverwaltung geändert).
     
    Nah dran ... es auf dem Computer definiert, aber in Abhängigkeit eines
    User Objekts ... /Klugscheissermmodus  off :-)
     
    > Im ausgehenden Bereich siehts ähnlich aus.
    > Hast du eventuell noch andere Ideen :-)
     
    Hm, ich hätte gedacht, das wir den Automatismus damit erwischen.
     
    Idee:
    Du definierst deine FW Regeln nicht mehr direkt über die "Windows
    Firewall mit erweiterter Sicherheit", sondern über deinen
    Gruppenrichtlinien Editor.
     
    gpedit.msc -> CompKonf\Windows
    Einstellungen\Sicherheitseinstellungen\Windows Firewall mit erweiterter
    Sicherheit
     
    Innerhalb der Profile definierst du für "Lokale Regel"=Nein
     
    Das wäre vielleicht ein Umweg. Die Programme bauen dann immer noch
    Regeln, aber sie sind dann nicht mehr aktiv ...?
     
    Wobei ich gerade beim testen/basteln feststelle:
    Ohne AD im Standalone "resettet" sich meine "Advanced Firewall" immer
    wieder auf "Nicht konfiguriert". Passiert das bei dir auch?
     
    Ich bin mir nicht sicher, ob das evtl. ein rein domänenabhängiges
    Feature ist ?? Bin so selten ohne DC unterwegs :-)
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Windows Server - Group Policy
     
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter
     
    Freitag, 26. Februar 2016 16:01
    |
  • Question
    Anmelden
    1
    Anmelden
    Nachtrag
     
    Am 2/26/2016 um 5:01 PM schrieb Mark Heitbrink [MVP]:
    > Du definierst deine FW Regeln nicht mehr direkt über die "Windows
    > Firewall mit erweiterter Sicherheit", sondern über deinen
    > Gruppenrichtlinien Editor.
     
    Du kannst dein aktuell lokales Firewall Profil über das Kontext Menü in
    eine *.wfw Datei exportieren und an gleicher Stelle im GPEditor wieder
    importieren.
    Das spart dann etwas Arbeit.
     
    Tschö
    Mark
     
    --
    Mark Heitbrink - MVP Windows Server - Group Policy
     
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter
     
    Freitag, 26. Februar 2016 18:13
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    wenn dir das Verhalten der Windows Firewall nicht gefällt, dann kannst du doch einfach eine Firewall Lösung eines anderen Herstellers installieren und die Windows Firewall vollständig abschalten. So braucht dich das Verhalten der Windows Firewall nicht zu stören und du hast trotzdem dein Ziel erreicht.

    Gruß Benjamin

    Benjamin Hoch
    MCSE: Data Platform,
    MCSA: Windows Server 2012,

    Samstag, 27. Februar 2016 08:47
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Mark,

    habe das jetzt mal so wie vorgeschlagen umgesetzt.

    Die so eingeführten Regeln sind erst mal gegen Änderungen geschützt ("Diese Regel wurde vom Sys... und kann nicht geändert...").Allerdings hindert das vermutlich ja noch keinen Prozess, weitere Regeln zu definieren oder diese Regeln tw. ausser Kraft zu setzen. Ich werde das jetzt mal eine Weile beobachten. Herzlichen Dank soweit.

    @Benjamin: Ja, das wäre eine Möglichkeit. Ich würde eigentlich nur gerne mit systemeigenen Mitteln auskommen. Wenn sich allerdings nun herausstellt, dass das Betriebssystem die vom Benutzer festgelegten Einschränkungen aus welchen Gründen auch immer aushebelt, sehe ich da für mich ein anderes Problem. Ich möchte herausfinden, ob es sich um ein "Feature" handelt und ob ich dieses "Feature" abstellen kann.

    Ein schönes Wochende


    • Bearbeitet K. Pater Samstag, 27. Februar 2016 10:20
    Samstag, 27. Februar 2016 10:19
    |
  • Question
    Anmelden
    1
    Anmelden
    Hi,
     
    Am 27.02.2016 um 11:19 schrieb K. Pater:
    > Die so eingeführten Regeln sind erst mal gegen Änderungen geschützt
    > ("Diese Regel wurde vom Sys... und kann nicht geändert...").Allerdings
    > hindert das vermutlich ja noch keinen Prozess, weitere Regeln zu
    > definieren
     
    Das ist leider so.
     
    > oder diese Regeln tw. ausser Kraft zu setzen.
     
    Das sollte dann nicht mehr möglich sein, wenn du unter "Profilname"
    - Einstellungen
    -- Anpassen
    --- Lokale Firwall Regeln zulassen = Nein
        Lokale Verbindungsregeln zulassen = Nein
    konfiguriert hast.
     
    Tschö
    Mark
     
    --
    Mark Heitbrink - MVP Windows Server - Group Policy
     
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter
     
    • Als Antwort markiert K. Pater Samstag, 27. Februar 2016 11:18
    Samstag, 27. Februar 2016 10:44
    |
  • Question
    Anmelden
    1
    Anmelden
    Am 26.02.2016 um 19:13 schrieb Mark Heitbrink [MVP]:
    > Das spart dann etwas Arbeit.
     
    Aprospos das spart Arbeit.
    in gpedit.msc ist das aschon ne Menge klicken ...
     
    Bau dir über die MMC eine eigene Konsole:
    mmc.exe
    - SnapIn Gruppenrichtlinien
    -- klicken bis Windows Firewall mit erweiterter Ansicht-Lokales
    Gruppenrichtlinienobjekt
    --- Kontext menü -> Neues Fenster hier öffnen
    ---- Fenster im Rahmen nebeneinander anordnen
    ----- Das vom GPEditor schliessen, sodass nur das neue geöffnet ist
    ------ Konsole speichern
     
    Dann ist sie praktisch genauso schnell erreichbar wie die normale
    Firewall Konsole, es braucht nach dem editieren halt nur ein "gpupdate"
    in der CMD
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Windows Server - Group Policy
     
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter
     
    Samstag, 27. Februar 2016 10:55
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Mark,

    besten Dank. Das von dir empfohlene Vorgehen und die Konfigurationsvorschläge sind plausibel und nachvollziehbar. Ich nehme an, dass das von mir gewünschte Verhalten der FW damit erreicht ist. Falls sich das wider Erwarten doch noch anders darstellt, melde ich mich wieder.

    Gruß und schönes Wochende

    Samstag, 27. Februar 2016 11:17
    |