christians.
Goto Top

Windows Firewall als normaler Benutzer pflegen

Hallo zusammen,

all unsere Clientrechner hängen hinter einer Cisco-Hardware-Firewall. Nun möchte ich jedoch (um die Verbreitung von Würmern etc., falls diese mal auftreten sollten, im lokalen Netz zu unterbinden und, was eher unwahrscheinlich ist, Sicherheitslücken in der Cisco-Firewall auszubügeln) die Windows Firewall als zusätzlichen Schutz auf den Clients aktivieren. Dabei gibt es jedoch einige Programme, die einen eingehenden Zugriff auf bestimmten Ports im LAN haben müssen. Damit ich diese Ports nicht alle manuell pflegen muss, würde ich normalen Benutzern (also Nicht-Admins) gerne erlauben, Firewallregeln hinzuzufügen. Ist dies möglich?

Vielen Dank im Voraus und schönen Gruß,
Christian

Content-Key: 166358

Url: https://administrator.de/contentid/166358

Ausgedruckt am: 28.03.2024 um 12:03 Uhr

Mitglied: Arch-Stanton
Arch-Stanton 16.05.2011 um 17:38:07 Uhr
Goto Top
interne Firewalls verkomplizieren eher, als daß sie schützen, und gegen Würmer hilft eine aktuelle Virenschutzsoftware.

Gruß, Arch Stanton
Mitglied: ChristianS.
ChristianS. 16.05.2011 um 17:51:19 Uhr
Goto Top
Hallo Arch Stanton,

danke schonmal für die Antwort. Wieso sollten denn interne Firewalls eher verkomplizieren? Wenn ein normaler Benutzer Firewallregeln hinzufügen darf, gibt es keinerlei Probleme... Auch wenn ich den Mehrwert der Windows-Firewall nicht als sehr groß ansehe, könnte er in seltenen Fällen da sein. Würmer müssen eben zuerst mal eine gewisse Zeit bestehen, damit die Antivirenhersteller eine aktuelle Signatur herausbringen können. Und wenn wir hier zufällig in der Nähe des Ursprungs des Wurms sitzen (ins System Eindringen können Würmer immer über Zero-Day-Exploits im IE/Firefox etc. außer bei Führen einer Adressen-Whitelist, die aber wirklich zu massivem Aufwand führt), könnte das Herausbringen der Signatur einige Stunden nach Befall eines Rechners sein. Und in der Zeit kann der Wurm sich eben ungehindert fortplanzen.

Schönen Gruß,
Christian
Mitglied: Lochkartenstanzer
Lochkartenstanzer 16.05.2011 um 18:49:36 Uhr
Goto Top
Zitat von @christians.:
Damit ich diese Ports nicht alle manuell pflegen muss, würde ich normalen Benutzern (also Nicht-Admins) gerne erlauben,
Firewallregeln hinzuzufügen. Ist dies möglich?

Ich denke, daß müßte möglich sein, allerdings dürften andere das besser als ich wissen, an welchen Richlinien oder Benutzerrechten man dafür herunschrauben muß.

Was ich aber hier als Problem sehe ist, daß wenn normale Benutzer an den Fireewall-Einstellungen herumschrauben dürfen, der Ärger mit nicht funktionierenden Netzwerkprogrammen vorprogrammiert ist (z.B.: Programm XYZ geht nciht mehr / Warum kann ich die Drucker/Freigaben nicht mehr benutzen, etc.).

Sei als vorsichtig mit dem was Du Dir wünschst.

lks
Mitglied: ChristianS.
ChristianS. 16.05.2011 um 23:17:12 Uhr
Goto Top
Danke für deine Antwort. An das Argument, dass dann normale Benutzer auch Programme dauerhaft blocken könnte, hab ich ehrlich gesagt noch garnicht gedacht. Optimal wäre also eine Richtlinie, mit der normale Benutzer "Positives" und keine "Negatives" definieren könnten: Wobei ich da zugeben muss, dass ich die Existenz einer solchen Richtlinie aus dem Bauch heraus als relativ unwahrscheinlich ansehen würde.
Vielleicht überschätze ich auch die Effektivität der Windows-Firewall, aber ich denke immer an die 0,01% der Fälle, in denen sie wirklich mal einen Effekt haben könnte, und wenn man diese Fälle mit wenig Aufwand abdecken könnte...