none
Windows-Firewall Ports benutzerdefiniert sperren RRS feed

  • Frage

  • Hallo,

    ich habe folgendes Problem/Herausforderung mit der Windows Firewall.

    Windows Server 2012 (mit RDS Services), Member Server in W2012 Domain

    Ziel:

    User-A darf über Port 123 TCP nach außen kommunizieren.

    User-B darf NICHT über Port 123 TCP nach außen kommunizieren.

    Zu diesem Zweck habe ich eine Ausgehende-Regel DENY-123 erstellt die den Port 123 TCP blockt. Im Reiter "Lokale Prinzipale" habe ich bei den Ausnahmen den User-A hinzugefügt.

    Resultat ist aber, dass beide User-A und User-B über den Port kommunizieren können.

    Hat jemand eine Idee was hier falsch läuft?

    Danke,

    Thomas

    Montag, 15. September 2014 11:25

Alle Antworten

  • Konkret ging es darum zu verhindern, dass sich User-B ein Netzlaufwerk von einem anderen Server verbinden kann. User-A soll aber die Möglichkeit haben.

    Ich habe 2 Deny-Regeln erstellt (je eine für TCP und UDP) in der ich die Ports 137, 138, 139, 445 blockiere.

    Wenn ich mich per RDP auf den Server verbinde und versuche per telnet eine Verbindung zu den oben angegebenen Ports herzustellen, dann habe ich keinen Erfolg. So soll es ja auch sein.

    Wenn ich aber in der RDP-Sitzung versuche im Explorer ein Netzlaufwerk vom Zielserver zu verbinden, dann funktioniert das trotzdem. 

    Kann mir jemand erklären warm die Firewall-Regel in der cmd-line funktioniert und im Windows Explorer nicht?

    Danke,

    Thomas

    Montag, 15. September 2014 12:40
  • Moin,

    abgesehen von dem Firewallproblem. Macht es hier nicht Sinn die Netzwerkfreigaben per GPO und entsprechende Sicherheitsgruppen zuzuweisen? Ist doch eine Domaine wenn ich das richtig verstanden habe, oder?

    Gruß

    Tobias

    Montag, 15. September 2014 14:44
  • > Ich habe 2 Deny-Regeln erstellt (je eine für TCP und UDP) in der ich die
    > Ports 137, 138, 139, 445 blockiere.
     
    Hab das mal nachgebaut.
     
    1. Rule, die alles zu einer Remote-IP blockt: Kein Zugriff mehr, kein
    Ping, gar nix.
     
    2. Ausnahme für einen User hinzugefügt: Zugriff mit diesem User geht,
    Zugriff mit anderem User geht auch.
     
    Google angeworfen - Ergebnis: Die Ausnahmeliste ist nur dann aktiv, wenn
    bei den zugelassenen Prinzipalen auch etwas drinsteht?!?
     
     
    Weiter probiert: Funktioniert trotzdem nicht wie erwartet. Egal was ich
    in die zwei Listen schreibe, egal ob lokaler Account des Rechners oder
    Domänenaccount.
     
     
    Hier steht was von "Zum Bereitstellen der Serverisolation kann die
    IPsec-Regel, mit der die Authentifizierung erzwungen wird, um eine
    Firewallregel zum Beschränken des Datenverkehrs auf autorisierte
    Benutzer oder Computer ergänzt werden."
     
    Also noch weiter gesucht:
     
    -LocalUser: "This parameter specifies that only network packets that are
    authenticated as coming from or going to a principal identified in the
    list of accounts (SID) match this rule."
     
    Und damit landen wir dann schließlich bei
     
    Ohne Authentifizierung geht also nix, und die Firewall braucht dafür
    zwingend IPSec.
     

    Martin

    Mal ein GUTES Buch über GPOs lesen?

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    And if IT bothers me - coke bottle design refreshment :))
    Montag, 15. September 2014 15:06
  • Hallo,

    erstmal vielen Dank für die Antworten.

    @Tobias
    Wenn es in einer Domäne wäre, gäbe es natürlich die weitaus einfachere Lösung über die normalen Berechtigungen. Da hast Du natrlich Recht.

    So einfach ist es leider nicht.

    UserA (Domäne OFFICE) meldet sich mit seinem Latop per RDP an einem RDS-Server in der Domäne LABOR mit dem Benutzer LABOR\LAB-A an.
    UserB (Domäne OFFICE) meldet sich mit seinem Latop per RDP an einem RDS-Server in der Domäne LABOR mit dem Benutzer LABOR\LAB-B an.

    UserA darf sich in der RDP-Session ein Netzlaufwerk eines Server aus der Domäne OFFICE verbinden und somit Dateien zwischen den beiden Domänen transferieren.
    UserB darf sich in der RDP-Session KEIN Netzlaufwerk eines Server aus der Domäne OFFICE verbinden und somit KEINE Dateien zwischen den beiden Domänen transferieren.

    Es gibt keine Vertrauensstellung zwischen den Domänen.
    Generell ist nur folgender Verkehr zulässig:
    RDP von OFFICE => LABOR
    Dateitransfer von LABOR => OFFICE (nur für bestimmte Benutzer)

    @Martin
    Auch Danke für die ausführliche Recherche. Mittlerweile hatte ich auch herausgefunden, daß die Benutzer für die diese Regeln gelten sollen bei den "Lokalen Prinzipalen" unter "Autorisierte Benutzer" hinzugefügt werden müssen. Benutzer für die diese Regel nicht angewendet werden soll müssen dann im Bereich "Ausnahmen" definiert werden.

    Das funktioniert soweit man eine Kommandozeile öffnet und versucht in der RDP-Session per Telnet eine Verbindung über die Ports 137,138,139,445 herzustellen. UserA kann dabei eine Telnetverbindung herstellen, bei UserB wird der Verkehr geblockt.
    Versuche ich aber ein Netzlaufwerk per Windows Explorer zu verbinden, dann ist es für beide Benutzer möglich. Sogar mit net use... ist es möglich.

    Warum wird die Verbindung per telnet geblockt und bei net use nicht?


    Oder denke ich zu kompliziert und es gibt eine viel einfachere Lösung für meine Anforderung?

    Danke und LG
    Thomas

    Mittwoch, 17. September 2014 08:00