locked
Windows 7 Firewall RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo Zusammen,

    ich habe gleich drei Fragen.

    Hintergrund:
    Die Windows 7 Firewall wird Unternehmensweit verwendet und über Gruppenrichtlinien konfiguriert. Dabei sind Fragen aufgetreten.

    1. In den vordefinierten Regeln werden Gruppen für die Regel angegeben. Ist es möglich, selbsterstellte Regeln auch zu gruppieren ? Das Feld Gruppe wird beim Erstellen der Regel leider nicht abgefragt.

    2. Ist es möglich, das ein Benutzer ohne administrative Rechte die Firewall von Public auf Privat ändern darf.

    3. Es ist eine Merkwürdigkeit aufgetreten. Wenn die Firewall über GPOs konfiguriert wird, werden alle lokalen Regel ignoriert. Das ist auch so gewollt. Wenn jetzt eine neue Anwendung eine Verbindung aufbauen will, wird der Benutzer darüber informiert. Die Anwendung hätte zwar bereits zugriff über das GPO Regelwerk, sie ist aber im lokalen Regelwerk nicht vorhanden. Erst wenn der User die Verbindung bestätigt, wird sie ins lokale Profil geschrieben. Es gelten aber die GPOs ... Egal was im lokalen Profil steht. Meine Frage: Warum wird der User mit dieser Anfrage belästigt, wenn das Regelwerk doch fest definiert ist.

    Wenn jemand Artikel zur W7 Firewall kennt, die auch die letzten technischen Feinheiten beschreiben, wäre ich auch dafür dankbar ;)

    Das soll fürs erste reichen ...

    Viele Grüße Carsten

    Montag, 21. Januar 2013 09:18

Antworten

  • Question
    Anmelden
    1
    Anmelden

    Hallo Wolverine74,

    zu deinen Fragen:

    1. nein, wäre mir auch nichts bekannt
    2. nein, du kannst aber per GPO Standortregeln erstellen
    3. Das ist schon seit XP so und scheint dazu zu dienen den Nutzer nochmal drauf aufmwerksam zu machen :)

    • Als Antwort markiert Wolverine74 Montag, 21. Januar 2013 10:56
    Montag, 21. Januar 2013 09:36

Alle Antworten

  • Question
    Anmelden
    1
    Anmelden

    Hallo Wolverine74,

    zu deinen Fragen:

    1. nein, wäre mir auch nichts bekannt
    2. nein, du kannst aber per GPO Standortregeln erstellen
    3. Das ist schon seit XP so und scheint dazu zu dienen den Nutzer nochmal drauf aufmwerksam zu machen :)

    • Als Antwort markiert Wolverine74 Montag, 21. Januar 2013 10:56
    Montag, 21. Januar 2013 09:36
  • Question
    Anmelden
    0
    Anmelden

    Hallo ;)

    zu 1 .. dachte ich mir schon ...

    zu 2 .. das ist ein guter Ansatz. Ich werde damit mal ein paar Dinge testen. Danke für den Hinweis

    zu 3 .. hmm weiß nicht was sich die Entwickler dabei gedacht haben. Wenn eine Anwendung per GPO erlaubt ist, aber im lokalen (deaktivierten) Regelwerk nicht vorhanden ist, bekommt der User nur die Info, das die Anwendung geblockt ist ... es wird dann ein entsprechender Eintrag lokal erstell und die Anwendung funktioniert trotzdem (gibt ja eine Regel) .... naja ist dann halt by design ;)

    Viele Grüße Carsten

    Montag, 21. Januar 2013 10:55
  • Question
    Anmelden
    0
    Anmelden
    Ich habe noch einen Punkt den du vielleicht schon mal beobachten konntest. Die Zeitangabe im Logfile hat einen Versatz von ca. 5 Minuten zur tatsächlichen Zeit. Schon mal gesehen ?

    Viele Grüße Carsten

    Montag, 21. Januar 2013 10:56
  • Question
    Anmelden
    0
    Anmelden

    Ja, habe ich, das ist bei uns sogar 1 Stunde und 5 Minuten (bei uns herrscht UTC +-0) das kann ich mir auch nicht erklären, ist aber sehr nervig wenn man etwas testet da man binnen 5 mins relativ viel geändert haben kann.

    Ich leite, zumindest von den Clients, die FW Ereignisse auf einen anderen Client weiter, der die Ereignisse sammelt, das witzige dabei ist das der Sammlungsrechner die Events noch vor dem richtigen Client anzeigt.

    Nochmal zu den Netzwerkstandorten: Pass damit auf, Windows identifiziert die Standorte augenscheinlich recht willkürlich, er identifiziert ein Netzwerk beispielsweise anhand der IP und der MAC des Gateways. Aber hey, weil wir gerade drüber reden, ich hab nochwas gefunden was das ändern der Netzwerkstandorte betrifft:

    Montag, 21. Januar 2013 11:09
  • Question
    Anmelden
    0
    Anmelden

    Jau das habe ich auch gefunden ;)

    was Eigentlich fehlt wäre die Vorgabe, das man Netzwerke definieren kann. Ich weiß, wenn man das auf Basis von Subnetzten macht, kann es passieren, das der Client, wenn er unterwegs ist, evt. das gleiche Subnetz antrifft und es deswegen einem falschen Standort zugewiesen wird. Aber mit dem Risiko kann ich leben. Bei Richtlinien Manager muss das Netz vorher schon mal verbunden sein, sonst wird es nicht angezeigt. Mir ist auch nicht klar, woran er dann das Netzwerk später wiedererkennt.

    Viele Grüße Carsten

    Montag, 21. Januar 2013 11:51
  • Question
    Anmelden
    0
    Anmelden

    Hi,

    Am 21.01.2013 10:18, schrieb Wolverine74:

    2. Ist es möglich, das ein Benutzer ohne administrative Rechte die
    Firewall von Public auf Privat ändern darf.

    Meine Empfehlung: Es gibt keine privaten Netzwerke.
    Es gibt nur Public (draussen und böse, speziell bei den Jungs "zuhause")
    und es gibt die Domänen Regeln.

    Du kannst mit
    CompKonf\Richtlinien\WinEinstell\Sicherheitseinstellungen\Netzwerklisten-Manager-.Richtlinien
    arbeiten
    Nicht identifizierte Netzwerke: Also alle "neuen" = Öffentlich und
    Benuzter kann nicht ändern

    Netzwerke werden identifiziert: Öffnetlich, falls due Firewall "aus"
    war, dann ist sie sofort "an" während der Erkennung, solange er nicht
    weis wo er hingehört.

    Der GPMC Report kann die Regeln nicht als HTML darstellen, da die Werte
    in der registry.pol stehen, er aber keine ADM/ADMx dafür hat. Die Konfig
    fand UI technisch an der falschen Stelle statt.
    Der Name der GPO muss jetz eindeutig sein, damit du weist, wo du
    konfiguriert hast.

    z.B.: C_Firewall-Netzwerkerkennung_Alle_neuen_als_PUBLIC

    Meine Frage: Warum wird der User mit dieser Anfrage belästigt, wenn
    das Regelwerk doch fest definiert ist.

    Naja, das ist wieder das normale Problem: UI/GUI Frontend Verhalten und Speicherort in der Registry Software\... vs Software\Policies
    Die API regiert nur auf die Anforderung und MUSS in Software\... schreiben. Die Anwendung selbst (in dem Fall die Firewall) präferiert aber Software\Policies.
    GUI API und Firewall sind 2 verschiedene Instanzen, der Aufwand es für jede Applikation auch in der Shell abzufangen ist zu groß.
    Deswegen geben sie den normalen Dialog raus, die Technik "regelt" das dann schon.

    Tschö
    Mark
     -- Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

    Montag, 21. Januar 2013 13:20
  • Question
    Anmelden
    1
    Anmelden
    Wie ich schon sagte, am Subnetz, der Gateway IP, Gateway MAC. Das steht auch irgendwo in der Regestry, habs aber jetzt nicht auf dier Schnelle gefunden, da gibts pro Standort einen Schlüssel, steht auch als Klarname drin. ICh schau dann nochmal.
    Montag, 21. Januar 2013 14:06