none
Firewall (3) Regeln lassen sich nicht löschen oder ändern RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo an das Forum,

    Windows 2016 DC, AD, DNS, DHCP
    In der Domäne ist das SMB Protokoll 445 TCP durch eine Regel blockiert.
    Die Regel die den Port blockiert ist Remoteverwaltung (NP eingehend), aktiviert, Domäne, alle Blockieren.
    Ändern/deaktivieren/löschen geht nicht...

    Bisher gibt es außer der default Domain Policy nur 3 weitere GPo. Die aber alle nicht die Regel beinhalten.
    Zu finden müsste die Regel sein unter Computerkonfiguration/Richtlinien/Windows Einstellungen/Sicherheitseinstellungen/Windows Firewall/Windows Firewall mit erw Sicherheit/Eingehende Regeln

    Auch per Powershell kann ich die Regel anzeigen lassen aber nicht löschen/ändern/deaktivieren.

    Bin gerade etwas Ratlos, wo ich die Regel ändern oder löschen kann

    -GPo's sind leer!

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules auch nicht vorhanden

    - die Default Domain Controller Policy habe ich nicht geänder und hab das auch nicht vor. Das zumindest ist klar (war nur vom umsortieren markiert)
    - ich bin mit dem domadmin angemeldet, der sollte doch genügend rechte haben?
    - spielen ist nicht!-)
    - bei gpresult /r bekomme ich
    Angewendete Gruppenrichtlinienobjekte
    --------------------------------------
    Default Domain Policy
    und die beinhaltet nicht die Regel

    - bei gpresult /z bekomme ich
    Angewendete Gruppenrichtlinienobjekte
    --------------------------------------
    Default Domain Controllers Policy
    Default Domain Policy
    WMI-Verwaltung-zulassen

    Folgende herausgefilterte Gruppenrichtlinien werden nicht angewendet.
    ----------------------------------------------------------------------
    Richtlinien der lokalen Gruppe
    Filterung: Nicht angewendet (Leer)
    Und auch bei den 3en finde ich die Regel, die es blockiert nicht. Die habe ich mir ja schon in der Verwaltungskonsole angeschaut

    /snip/

    Firewall Problem die Fortsetztung,

    Gestern habe ich festgestellt, dass die Replikation zwischen den DCs nicht klappt.
    Der Ursache bin ich auf die Spur gekommen. Die lokale Firewall der DCs blockieren die Kommunikation. Vermutlich auch weil der Port 445 und 135 domänenweit blockiert wird.
    Nachdem ich die Firewall deaktiviere klappts mit der Replikation.
    So,
    dann habe ich versucht die Firewallregeln
    Pic1
    Per Powershell zu löschen
    Firewall Regel, die Blockieren anzeigen durch

    Get-NetFirewallRule -Action block -Enabled True -Direction Inbound 
    Pic2
    Hmm, die Regel wird im GUI angezeigt, aber nicht via powershell!? Oder habe ich da einen Fehler eingebaut?
    Eine Firewallregel Port 0815 Domänenweit blockieren erzeugt
    Pic3
    Nochmal die Get-NetFirewallRule -Action block -Enabled True -Direction Inbound anzeigen
    Pic4
    Und siehe da die 0815 Regel wird angezeigt und die anderen 3, die ich nicht löschen kann NICHT!?
    Dann deaktiviere ich einfach die Regel.
    Disable-NetFirewallRule -Action Block -Enabled True -Direction Inbound
    Pic5
    Hmm hat geklappt.
    Keine mehr da (in der Powershell)
    Dann schauen wir uns das in der GUI nochmal an.
    Pic6
    Siehe da, die Test0815 Regel ist deaktivert, aber nicht die, die ich eigentlich löschen will!!
    So, wenn ich jetzt Remove-NetFirewallRule -Action block -Direction Inbound ausführe, müssten eigentlich alle 4 Regeln gelöscht werden
    Pic7

    Die Test0815 ist gelöscht, die 3 anderen nicht…
    Pic8

    Die Regeln gibt’s übrigens domänenweit.
    Nochmal zu den Einzelheiten der Regeln, die sich nicht löschen lassen
    Pic9
    Pic10
    Pic11
    Und der Administrator / Domadmin darf die Regel nicht ändern!
    Noch Ideen? 
    Oder Tipps, wer uns da bei der Lösung helfen kann?

    Hier habe ich den Teil mit den Screenshots wehwehweh.honignet.de/images/pdf/Firewall_Problem_20190824.pdf


    ...

    Genervte Grüße Jörg

    Jetzt ist Wochenende
    Jörg

    Samstag, 24. August 2019 15:37
    |

Alle Antworten

  • Question
    Anmelden
    1
    Anmelden

    Hallo,

    hier mal ein Lösungsvorschlag

    Programm PsExec von Sysinternals downloaden https://docs.microsoft.com/en-us/sysinternals/downloads/psexec

    PsExec in einer Admin Console starten mit 

    .\PsExec.exe -i -s powershell.exe

    das folgende Kommando absetzten

    Get-NetFirewallRule -Action block -Description "*Remoteverwaltung* named*" | set-netNetFirewallRule -Action allow

    Benjamin Hoch
    MCSE: Data Platform & Data Management and Analytics
    MCSA: SQL Server 2012/2014 & 2016 DB Administration
    MCSA: Windows Server 2012

    Montag, 26. August 2019 05:17
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Benjamin,

    leider findet der Befehl keine Blocked Regel und bricht mit Fehlermeldung ab.

    Das war aber vorherzusehen, da ich das mit einer testweise erzeugten Regel versucht habe. Die wird angezeigt, die kann ich ändern, die kann ich löschen.

    Die 3, die ich löschen muss, aber nicht.

    Das ist wie Geister Jagen!

    Wo in der Tiefe des Systems kann ich denn das noch finden.

    Würde Dir gern Screenshots hinzufügen, darf aber keine Bilder und Links hier einfügen...

    Herzliche Grüße

    Jörg

    Montag, 26. August 2019 17:02
    |
  • Question
    Anmelden
    1
    Anmelden

    Regedit, lösche HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\FirewallRules

    Greetings/Grüße, Martin - https://mvp.microsoft.com/en-us/PublicProfile/5000017 Mal ein gutes Buch über GPOs lesen? - http://www.amazon.de/Windows-Server-2012--8-Gruppenrichtlinien/dp/3866456956 Good or bad GPOs? My blog - http://evilgpo.blogspot.com And if IT bothers me? Coke bottle design refreshment - http://sdrv.ms/14t35cq

    Dienstag, 27. August 2019 11:30
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Martin,

    danke für Deine Info.

    Auf das bin ich auch schon gekommen.

    Dort finde ich allerdings nur 1 Regel

    v2.26|Action=Allow|Active=TRUE|Dir=In|Protocol=6|LPort=445|Name=445 Test|

    Die habe ich selbst (zum Test) angelegt. Aber die 3 Regeln, die den Netzwerkverkehr auf Port 135 und 445 blocken sind auch da nicht dabei.

    Leider noch keine Lösung in Sicht?!

    Herzlichen Gruß

    Jörg

    Dienstag, 27. August 2019 11:40
    |
  • Question
    Anmelden
    1
    Anmelden
    Dann füge in wf.msc in der Ansicht ausgehender/eingehender Regeln doch mal die Spalte "Regelquelle" hinzu, vielleicht bringt die Licht ins Dunkel?

    Greetings/Grüße, Martin - https://mvp.microsoft.com/en-us/PublicProfile/5000017 Mal ein gutes Buch über GPOs lesen? - http://www.amazon.de/Windows-Server-2012--8-Gruppenrichtlinien/dp/3866456956 Good or bad GPOs? My blog - http://evilgpo.blogspot.com And if IT bothers me? Coke bottle design refreshment - http://sdrv.ms/14t35cq

    Dienstag, 27. August 2019 12:13
    |
  • Question
    Anmelden
    0
    Anmelden

    Steht auf lokale Gruppenrichtlinieneinstellung.

    Übrigens auf allen Servern / Clients (Stichprobenartig geprüft)

    in der GPo Verwaltung exisitiert die

    Default Domain Controller pol
    Default Domain Policy
    Test (zum testen)
    WMI-Verwaltung-Zulassen

    In allen 3 ist die Regel NICHT in Computerconfiguration/Richtlinie/Windows-Einstellungen/Sicherheitseinstellungen/Windows-Firewall.../Windows-Firewall-mit-erwe.../Eingehende Regel definiert!

    Ich vermute es gibt eine GPo, die nicht angezeigt wird oder anders "unsichtbar" ist.

    Eine Idee wie ich der auf die Spur kommen kann?

    Noch eine Idee?

    Herzlichen Gruß

    Jörg

    Dienstag, 27. August 2019 12:39
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo zurück,

    die Regelquelle ist 

    "Lokale Gruppenrichtlinienenstellung"

    Aber auch in der gpdit.msc unter Richtlinie/Computer/Windows/Sicherheit/Windows Firewall/Windows Firewall mit erw/Eingehende Regeln ist KEINE definiert.

    Ich bin ratlos

    Gruß Jörg

    Dienstag, 27. August 2019 15:12
    |
  • Question
    Anmelden
    0
    Anmelden

    Ist eventuell eine andere Gruppe treffender?
    Kann mir jemand einen Tipp geben, wer mir da beim Finde den Fehler effektiv helfen kann?

    Bin für jeden Tipp dankbar.

    Dienstag, 27. August 2019 17:13
    |
  • Question
    Anmelden
    1
    Anmelden
    Dann starte mal mmc.exe - Snapin hinzufügen - "Gruppenrichtlinienverwaltung" - lokaler Computer. AFAIR ist das nicht das gleiche wie direkt gpedit.msc...

    Greetings/Grüße, Martin - https://mvp.microsoft.com/en-us/PublicProfile/5000017 Mal ein gutes Buch über GPOs lesen? - http://www.amazon.de/Windows-Server-2012--8-Gruppenrichtlinien/dp/3866456956 Good or bad GPOs? My blog - http://evilgpo.blogspot.com And if IT bothers me? Coke bottle design refreshment - http://sdrv.ms/14t35cq

    Mittwoch, 28. August 2019 11:44
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Martin,
    danke für Deine Idee.
    in der MMC sind die Regeln angezeigt, lassen sich aber weder ändern noch löschen.
    Im gpedit ist einfach leer.

    Wenn ich in der MMC mir die Regeln anschaue sehe ich als Regelquelle lokale Gruppenrichtlinieneinstellung.
    Die lokale Gruppenrichtlinie scheint es aber nicht zu geben!?

    Alle Regeln durchgeschaut und in keine ist eine Firewallregel festgelegt.

    Gibt auch "nur" 6 GPos. Ist also überschaubar...

    Und ich finde auch 6 Ordner in Sysvol\domain\policies

    Gruß Jörg

    Dienstag, 24. September 2019 08:59
    |
  • Question
    Anmelden
    1
    Anmelden
    Hallo All,
    in den letzten tagen haben wir
    das Problem mit dem Zugriff auf die Symantec Verwaltungskonsole gelöst und die Verwaltung läuft wieder.
    Festgestellt habe ich auch, dass die Firewallregeln (von Symantec) nicht funktionieren konnten. Diese habe ich erstmal auf default umgestellt und so die Funktion in der Domain wiederherstellen können.
    Soweit so gut.
    Nur leider kann ich die 3 oben beschriebenen (domänenweiten) Windows Firewall Regeln noch immer nicht löschen oder ändern.
    Wenn ich einen Client oder Server aus der Domäne nehme ist die Regel auch weg. Wird also in der Domäne verteilt und hat nichts mit AV oder lokaler Regel zu tun.
    Mir gehen die Ideen aus das Problem zu lösen.
    Hat jemand noch Vorschläge?
    Herzlichen Gruß
    Jörg
    Dienstag, 24. September 2019 09:00
    |
  • Question
    Anmelden
    0
    Anmelden
    Grade festgestellt,

    dass die Firewall-Regeln verschwunden sind, wenn der Testclient aus der Domäne genommen wird und wieder auftauchen wenn wieder Domänenmitglied.
    UND
    Als Regelquelle wird die Lokale Gruppenrichtlinieneinstellung genannt?!

    Das widerspricht sich doch?
    Noch ne Idee?

    Jörg
    Dienstag, 1. Oktober 2019 09:33
    |
  • Question
    Anmelden
    1
    Anmelden
    Nö, das widerspricht sich nicht. Das ist nur "bescheiden" umgesetzt. Wenn ich das nachvollziehe, steht bei mir auch für ca. 1 Sekunde "Local Group Policy", dann wird das ersetzt durch den echten Namen der GPO. Wenn diese GPO in deinem Benutzerkontext nicht gelesen werden kann, dann bleibt es vmtl. bei dem ersteren...

    Greetings/Grüße, Martin - https://mvp.microsoft.com/en-us/PublicProfile/5000017 Mal ein gutes Buch über GPOs lesen? - http://www.amazon.de/Windows-Server-2012--8-Gruppenrichtlinien/dp/3866456956 Good or bad GPOs? My blog - http://evilgpo.blogspot.com And if IT bothers me? Coke bottle design refreshment - http://sdrv.ms/14t35cq

    Freitag, 4. Oktober 2019 13:49
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Jörg, 

    hatte gerade das gleiche Problem und bin auf deinen Beitrag gestoßen. Nachdem du bereits viel ausgeschlossen hast, ist mir noch eine Möglichkeit eingefallen. Und zwar gibt es in der Registry unter Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile weitere Schlüssel mit z.B: ICMP und Inbound Connections...

    Entweder löscht du diese Einträge oder du setzt dort die Werte auf 1. (Allow)

    Somit verschwinden alle blockierten Einträge in den Firewall Regeln.

    schöne Grüße

    Markus

    Donnerstag, 17. September 2020 12:23
    |