5
Windows Firewall besser umfangreicher einsetzen
Hallo zusammen,
es gibt eine Anfrage bei uns, dass der Kunde extra noch Windows Firewall einsetzen möchte und alles mögliche sperren und nur das nötigste freigeben.
Wir hatten schon Windows Firewall nach BSI Vorgaben eingerichtet und per GPO verteielt. Der Kunde hat auch eine Firewall, wo man den Datenverkeher prüfen und ungewünschte Dinge sperren/freigeben.
Deshalb bräuchte ich bitte eure Unterstützung und Ideen, was mann noch in Windows Firewall machen werden soll.
Jeder kann gerne was dazu sagen!!
Viele Grüße,
Max
es gibt eine Anfrage bei uns, dass der Kunde extra noch Windows Firewall einsetzen möchte und alles mögliche sperren und nur das nötigste freigeben.
Wir hatten schon Windows Firewall nach BSI Vorgaben eingerichtet und per GPO verteielt. Der Kunde hat auch eine Firewall, wo man den Datenverkeher prüfen und ungewünschte Dinge sperren/freigeben.
Deshalb bräuchte ich bitte eure Unterstützung und Ideen, was mann noch in Windows Firewall machen werden soll.
Jeder kann gerne was dazu sagen!!
Viele Grüße,
Max
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 6881975700
Url: https://administrator.de/contentid/6881975700
Printed on: April 30, 2024 at 21:04 o'clock
5 Comments
Latest comment
Hallo,
die Windows Firewall ist ein bisschen willkürlich, mit einem Update kommen ggf. neue Regeln rein, mit jeder neuen Software auch.
Mit folgendem Script kannst du mal deine Domain-Computer abfragen, dies z.B. per Aufgabenplanung starten und täglich ausführen lassen. Nach ein paar Tagen oder sofort siehst du, dass es ständig Veränderungen gibt.
Daher ist ein dediziertes System sinnvoll welche die Segmente trennt und den Verkehr zwischen den Segmenten festlegt, oder auch ein ACL Switch. Wenn es nur um einen PC geht kann man dies auch in einer Endpoint Protection mit Firewall Modul festhalten.
Am besten ein Mix aus allem.
die Windows Firewall ist ein bisschen willkürlich, mit einem Update kommen ggf. neue Regeln rein, mit jeder neuen Software auch.
Mit folgendem Script kannst du mal deine Domain-Computer abfragen, dies z.B. per Aufgabenplanung starten und täglich ausführen lassen. Nach ein paar Tagen oder sofort siehst du, dass es ständig Veränderungen gibt.
$computers = Get-ADComputer -Filter * | Select-Object -ExpandProperty Name
$results = @()
foreach ($computer in $computers) {
$firewallRules = Invoke-Command -ComputerName $computer -ScriptBlock {
Get-NetFirewallRule | Where-Object {$_.Enabled -eq 'True'} | Select-Object DisplayName, Enabled, Description
}
foreach ($rule in $firewallRules) {
$result = [PSCustomObject]@{
'ComputerName' = $computer
'DisplayName' = $rule.DisplayName
'Enabled' = $rule.Enabled
'Description' = $rule.Description
}
$results += $result
}
}
$Datum=Get-Date -Format "yyyyMMdd"
$Dateiname = "Firewall_$Datum"
$results | Export-Csv -Path C:\Users\%username%\Dokumente\$Dateiname.csv -Delimiter ';' -NoTypeInformation Daher ist ein dediziertes System sinnvoll welche die Segmente trennt und den Verkehr zwischen den Segmenten festlegt, oder auch ein ACL Switch. Wenn es nur um einen PC geht kann man dies auch in einer Endpoint Protection mit Firewall Modul festhalten.
Am besten ein Mix aus allem.
Vielen Dank für die Antwort!
Ja das stimmt, dass immer wieder neue Regeln gibt.
Ja das stimmt, dass immer wieder neue Regeln gibt.
Das würde ich meinem Kunden erklären, auch mit dem Script aufzeigen. Ein Dienstleister müsste quasi immer nachjustieren, verdient sich durch Klicker-Klicker-Aufgaben dumm und dämlich.
Er könnte besser sein Ziel definieren, wenn er z.B. möchte das ein PC sich nur per RDP auf den Server verbinden soll, sonst aber nix, dann würde ich den Port per ALC nur Port 3389 öffnen.
Wenn es umfangreicher wird, Gleiches in einem VLAN zusammenfassen, die VLANs entsprechend planen und über die Firewall abhandeln.
Er könnte besser sein Ziel definieren, wenn er z.B. möchte das ein PC sich nur per RDP auf den Server verbinden soll, sonst aber nix, dann würde ich den Port per ALC nur Port 3389 öffnen.
Wenn es umfangreicher wird, Gleiches in einem VLAN zusammenfassen, die VLANs entsprechend planen und über die Firewall abhandeln.
2
Moin @nachgefragt,
das muss man heute beim Thema Sicherheit immer machen, aber ständig die lokalen FireWall der Clients zu konfigurieren, finde ich ehrlich gesagt, dennoch etwas übertrieben und auch am Ziel vorbeigeschossen.
Jup, Netzsegmentierung ist auf jeden Fall eine gute Idee und bitte mit einem anständigen SGW (Security-Gateway) und nicht nur einem Switch als Router dazwischen.
Am Besten, respektive wenn möglich gleich mit Private-VLAN, insbesondere bei den Clients realisieren, denn dann kann man deren Windows-Firewall, definitiv abschalten, respektive den 🐇 zum Fressen geben. 😁
Gruss Alex (🦊)
Ein Dienstleister müsste quasi immer nachjustieren, verdient sich durch Klicker-Klicker-Aufgaben dumm und dämlich.
das muss man heute beim Thema Sicherheit immer machen, aber ständig die lokalen FireWall der Clients zu konfigurieren, finde ich ehrlich gesagt, dennoch etwas übertrieben und auch am Ziel vorbeigeschossen.
Wenn es umfangreicher wird, Gleiches in einem VLAN zusammenfassen, die VLANs entsprechend planen und über die Firewall abhandeln.
Jup, Netzsegmentierung ist auf jeden Fall eine gute Idee und bitte mit einem anständigen SGW (Security-Gateway) und nicht nur einem Switch als Router dazwischen.
Am Besten, respektive wenn möglich gleich mit Private-VLAN, insbesondere bei den Clients realisieren, denn dann kann man deren Windows-Firewall, definitiv abschalten, respektive den 🐇 zum Fressen geben. 😁
Gruss Alex (🦊)
Moin,
deshalb steuern wir die WDF vollständig über GPOs. Ist am Anfang etwas schmerzlich, aber danach läuft's. 
Gruß,
Dani
Deshalb bräuchte ich bitte eure Unterstützung und Ideen, was mann noch in Windows Firewall machen werden soll.
die Windows Firewall ist ein bisschen willkürlich, mit einem Update kommen ggf. neue Regeln rein, mit jeder neuen Software auch.Gruß,
Dani
