7
Clientverbindungen per Windows Firewall blockieren
Hallo an alle,
u.a. vom BSI Empfohlen sollen in einem Firmennetzwerk die Clientverbindungen untereinander über die Windows Firewall blockiert werden.
In der Praxis gibt es also eine Windows Firewall Block Regel die alle Verbindungen aus dem eigenen Subnetz blockiert.
Server sind in einem anderen Subnetz und sind deshalb nicht betroffen.
Es zeigt sich jetzt aber in der Praxis, dass es doch Fälle gibt in denen vereinzelte Clients untereinander kommunizieren müssen.
In der Windows Firewall kann man ja nicht Regeln so anordnen, dass evtl. eine Allow Regel vor der Block Regel kommt und der Traffic somit durchgelassen wird.
Ich möchte vermeiden, dass die Ausnahmen zu undurchsichtig sind.
Hat hier jemand einen Tipp der schon mal eine ähnliche Anforderung hatte?
Vielen Dank.
u.a. vom BSI Empfohlen sollen in einem Firmennetzwerk die Clientverbindungen untereinander über die Windows Firewall blockiert werden.
In der Praxis gibt es also eine Windows Firewall Block Regel die alle Verbindungen aus dem eigenen Subnetz blockiert.
Server sind in einem anderen Subnetz und sind deshalb nicht betroffen.
Es zeigt sich jetzt aber in der Praxis, dass es doch Fälle gibt in denen vereinzelte Clients untereinander kommunizieren müssen.
In der Windows Firewall kann man ja nicht Regeln so anordnen, dass evtl. eine Allow Regel vor der Block Regel kommt und der Traffic somit durchgelassen wird.
Ich möchte vermeiden, dass die Ausnahmen zu undurchsichtig sind.
Hat hier jemand einen Tipp der schon mal eine ähnliche Anforderung hatte?
Vielen Dank.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 7897880710
Url: https://administrator.de/contentid/7897880710
Printed on: April 27, 2024 at 18:04 o'clock
7 Comments
Latest comment
Moin,
mein letzter Stand ist, dass die Windows Firewall die Reihenfolge ebenso respektiert.
Wenn du deine Allow Regel für einige Clients also vor der generellen Deny Regel platzierst, sollte das funktionieren.
VG
mein letzter Stand ist, dass die Windows Firewall die Reihenfolge ebenso respektiert.
Wenn du deine Allow Regel für einige Clients also vor der generellen Deny Regel platzierst, sollte das funktionieren.
VG
Zitat von @Tezzla:
Moin,
mein letzter Stand ist, dass die Windows Firewall die Reihenfolge ebenso respektiert.
Wenn du deine Allow Regel für einige Clients also vor der generellen Deny Regel platzierst, sollte das funktionieren.
VG
Moin,
mein letzter Stand ist, dass die Windows Firewall die Reihenfolge ebenso respektiert.
Wenn du deine Allow Regel für einige Clients also vor der generellen Deny Regel platzierst, sollte das funktionieren.
VG
Die Positionen der Regeln lassen sich zwar per Drag & Drop verschieben, nach einer "Ansicht-Aktualisierung" wird dies jedoch wieder verworfen. Ein Test per PING mit der Allow Regel war auch negativ. Leider ist das also keine Lösung.
Vielleicht verkomplizierst Du das unnötig.
Per default: alle eingehenden Verbindungen werden geblockt. Somit sind auf den Clients, auf denen einzelne eingehende Verbindungen erlaubt werden sollen, lediglich diese Ausnahmen zu setzen. Eine Regel "alles eingehende blockieren" braucht man nicht, denn das ist wie gesagt default.
Per default: alle eingehenden Verbindungen werden geblockt. Somit sind auf den Clients, auf denen einzelne eingehende Verbindungen erlaubt werden sollen, lediglich diese Ausnahmen zu setzen. Eine Regel "alles eingehende blockieren" braucht man nicht, denn das ist wie gesagt default.
Moin @Michael-ITler,
die MS Firewall kennt keine Regelreihenfolge, so wie das bei anderen FireWall's sonst üblich ist.
Statt dessen funktioniert diese eher nach dem Prinzip der Rechtevergabe.
Sprich, bei der MS FireWall hat eine zutreffende "Verbindung blockieren" Regel, immer Vorrang vor einer zutreffenden "Verbindung zulassen" Regel.
Gruss Alex
Die Positionen der Regeln lassen sich zwar per Drag & Drop verschieben, nach einer "Ansicht-Aktualisierung" wird dies jedoch wieder verworfen. Ein Test per PING mit der Allow Regel war auch negativ. Leider ist das also keine Lösung.
die MS Firewall kennt keine Regelreihenfolge, so wie das bei anderen FireWall's sonst üblich ist.
Statt dessen funktioniert diese eher nach dem Prinzip der Rechtevergabe.
Sprich, bei der MS FireWall hat eine zutreffende "Verbindung blockieren" Regel, immer Vorrang vor einer zutreffenden "Verbindung zulassen" Regel.
Gruss Alex
1
Und hier die Doku: https://learn.microsoft.com/de-de/windows/security/operating-system-secu ...
1 Explizit definierte Zulassungsregeln haben Vorrang vor der Standardblockeinstellung.
2 Explizite Blockregeln haben Vorrang vor allen in Konflikt stehenden Zulassungsregeln.
3 Spezifischere Regeln haben Vorrang vor weniger spezifischen Regeln, es sei denn, es gibt explizite Blockregeln wie in 2 erwähnt. (Wenn die Parameter von Regel 1 beispielsweise einen IP-Adressbereich enthalten, während die Parameter von Regel 2 eine einzelne IP-Hostadresse enthalten, hat Regel 2 Vorrang.)
2 Explizite Blockregeln haben Vorrang vor allen in Konflikt stehenden Zulassungsregeln.
3 Spezifischere Regeln haben Vorrang vor weniger spezifischen Regeln, es sei denn, es gibt explizite Blockregeln wie in 2 erwähnt. (Wenn die Parameter von Regel 1 beispielsweise einen IP-Adressbereich enthalten, während die Parameter von Regel 2 eine einzelne IP-Hostadresse enthalten, hat Regel 2 Vorrang.)
1
So nach längerer Zeit möchte ich hier nochmal ein Update geben.
Wie die Antworten gezeigt haben wurde das Thema in der Tat falsch angegangen.
Ich habe nun das Prinzip umgesetzt, dass die Windows Firewall per Default alles blockiert und lasse nur explizit Verbindungen von z.B. Server IP-Adressen zu.
In der Praxis zeigt sich nun das einzelne Clients gewissen Sonderfunktionen haben und im kleinen Kreis von anderen Clients zu unterschiedlichen zwecken erreicht werden müssen.
Jetzt stellt sich mir die Frage der vernünftigen Umsetzung von solchen Ausnahmen.
- Für alle Sonderfälle eine eigene GPO bauen scheint mir nicht praktikabel.
- Die Sonderfälle lokal an der FW zu konfigurieren würde wohl funktionieren jedoch fehlt hier dann ein gewisser Überblick.
Vielleicht hat hier noch jemand einen Tipp der vor dem ähnlichen Problem stand.
Wie die Antworten gezeigt haben wurde das Thema in der Tat falsch angegangen.
Ich habe nun das Prinzip umgesetzt, dass die Windows Firewall per Default alles blockiert und lasse nur explizit Verbindungen von z.B. Server IP-Adressen zu.
In der Praxis zeigt sich nun das einzelne Clients gewissen Sonderfunktionen haben und im kleinen Kreis von anderen Clients zu unterschiedlichen zwecken erreicht werden müssen.
Jetzt stellt sich mir die Frage der vernünftigen Umsetzung von solchen Ausnahmen.
- Für alle Sonderfälle eine eigene GPO bauen scheint mir nicht praktikabel.
- Die Sonderfälle lokal an der FW zu konfigurieren würde wohl funktionieren jedoch fehlt hier dann ein gewisser Überblick.
Vielleicht hat hier noch jemand einen Tipp der vor dem ähnlichen Problem stand.
Die Sonderfälle lokal an der FW zu konfigurieren würde wohl funktionieren jedoch fehlt hier dann ein gewisser Überblick.
Nun, wenn Du das parallel dokumentierst, dann ist doch Übersicht gegeben.