114068
Jun 08, 2015, updated at 19:34:20 (UTC)
5900
15
0
Windows Firewall automatisch im Firmennetz deaktivieren, im WLAN unterwegs aktivieren
Hallo,
vielleicht ne blöde Frage, aber gibt es eine Möglichkeit die Windows-interne Firewall automatisch zu deaktivieren, sobald die Clients (Laptops) im Unternehmensnetz hängen. Grund: da schützt die externe Firewall und wir haben eine Fernwartung, die ständig andere Ports verwendet.
Wenn dann die Clients abgestöpselt werden, soll die Firewall wieder aktiviert werden für WLAN unterwegs.
Unnötig zu sagen, dass die User selbst keine Admin-Rechte dafür haben...
LG,
Chrigo
vielleicht ne blöde Frage, aber gibt es eine Möglichkeit die Windows-interne Firewall automatisch zu deaktivieren, sobald die Clients (Laptops) im Unternehmensnetz hängen. Grund: da schützt die externe Firewall und wir haben eine Fernwartung, die ständig andere Ports verwendet.
Wenn dann die Clients abgestöpselt werden, soll die Firewall wieder aktiviert werden für WLAN unterwegs.
Unnötig zu sagen, dass die User selbst keine Admin-Rechte dafür haben...
LG,
Chrigo
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 274001
Url: https://administrator.de/contentid/274001
Printed on: April 16, 2024 at 20:04 o'clock
15 Comments
Latest comment
Moin,
Würde ich an deiner Stelle trotzdem nicht tun! Wenn mal ein Rechner in deinem Netz infiziert ist und Amok läuft viel Spaß. Wir haben auf unseren Clients überall ein Eset mit Firewall laufen. Lustig wenn man dann bei manchen Kollegen sieht, dass bei denen Zuhause jemand lustig Portscans macht.
VG
Val
Würde ich an deiner Stelle trotzdem nicht tun! Wenn mal ein Rechner in deinem Netz infiziert ist und Amok läuft viel Spaß. Wir haben auf unseren Clients überall ein Eset mit Firewall laufen. Lustig wenn man dann bei manchen Kollegen sieht, dass bei denen Zuhause jemand lustig Portscans macht.
Grund: da schützt die externe Firewall und wir haben eine Fernwartung, die ständig andere Ports verwendet.
Vielleicht eine andere Software nutzen oder mit dem Hersteller in Kontakt treten? Sowas macht wirklich keinen Sinn.VG
Val
Moin,
wenn Du eine Domain in der Firma verwendest, stehen Dir insgesamt 3 Profile für die Firewall zur Verfügung.
Richtig konfiguriert, verwendet Windows in der Domain nur die Domain-Firewall (Erkennung läuft über Netzwerkerkennung).
Alle Netzwerke ausserhalb der Domain müssen dann als "Öffentlich" erkannt werden (Hier mußt Du verhindern, dass der User etwas anderes auswählen kann).
Wenn das sauber läuft kannst Du die Domain-Firewall so locker einstellen, wie Du es brauchst. Die Öffentlich-Einstellungen entsprechend scharf einstellen.
Verwendet Ihr auf den Laptops eine Endpoint-Security? Da ist meist auch noch mal eine Firewall enthalten...
Gruß
Looser
wenn Du eine Domain in der Firma verwendest, stehen Dir insgesamt 3 Profile für die Firewall zur Verfügung.
Richtig konfiguriert, verwendet Windows in der Domain nur die Domain-Firewall (Erkennung läuft über Netzwerkerkennung).
Alle Netzwerke ausserhalb der Domain müssen dann als "Öffentlich" erkannt werden (Hier mußt Du verhindern, dass der User etwas anderes auswählen kann).
Wenn das sauber läuft kannst Du die Domain-Firewall so locker einstellen, wie Du es brauchst. Die Öffentlich-Einstellungen entsprechend scharf einstellen.
Verwendet Ihr auf den Laptops eine Endpoint-Security? Da ist meist auch noch mal eine Firewall enthalten...
Gruß
Looser
Machen lässt sich das über die Firewall -Profile, aber würde ich wie Valexus schreibt ebenfalls nicht empfehlen.
Gruß jodel32
und wir haben eine Fernwartung, die ständig andere Ports verwendet.
Was'n dat für n komisches Teil ??Gruß jodel32
Hi.
Intern deaktivieren ist eine schlechte Idee, sicherheitstechnisch.
Intern deaktivieren ist eine schlechte Idee, sicherheitstechnisch.
da schützt die externe Firewall
Nö. Die schützt nicht gegen interne Netzwerkwürmer und sonstige Angriffe.wir haben eine Fernwartung, die ständig andere Ports verwendet.
Man braucht sich ja nicht auf geöffnete Ports festzulegen, sondern kann auch für Anwendungen Pauschalfreigaben erteilen.
Hallo,
Ist die Fernwartung rein für Intern bei euch und Speziell für euch entwickelt? Ich kenn keine die so bescheuert arbeitet..
Aber wir wissen ja nicht was du weist.....
Gruß,
Peter
Zitat von @114068:
Grund: da schützt die externe Firewall
Und was ist Intern wenn ein Client Amok läuft. Euer Konzept ist kein KonzeptGrund: da schützt die externe Firewall
und wir haben eine Fernwartung, die ständig andere Ports verwendet.
What th .....Ist die Fernwartung rein für Intern bei euch und Speziell für euch entwickelt? Ich kenn keine die so bescheuert arbeitet..
Aber wir wissen ja nicht was du weist.....
Wenn dann die Clients abgestöpselt werden, soll die Firewall wieder aktiviert werden für WLAN unterwegs.
Noch ein blödes Konzept.Gruß,
Peter
Hallo,
wenn intern ein Client Amok läuft, Pech gehabt - kann es leider nicht ändern wegen der Fernwartung: ja, wurde speziell von einem ext. Dienstleister entwickelt und "aus Sicherheitsgründen" immer andere Ports genommen, damit man da nicht speziell "den einen Port" mitsniffen kann.
Und was das WLAN für unterwegs anbelangt. Ich kann auch hier nichts daran ändern, dass sich Mitarbeiter ihre Laptops heim nehmen können / dürfen / müssen und logischerweise daheim mit dem eigenen WLAN arbeiten.
Ist so "von oben" vorgegeben!
LG,
Chrigo
wenn intern ein Client Amok läuft, Pech gehabt - kann es leider nicht ändern wegen der Fernwartung: ja, wurde speziell von einem ext. Dienstleister entwickelt und "aus Sicherheitsgründen" immer andere Ports genommen, damit man da nicht speziell "den einen Port" mitsniffen kann.
Und was das WLAN für unterwegs anbelangt. Ich kann auch hier nichts daran ändern, dass sich Mitarbeiter ihre Laptops heim nehmen können / dürfen / müssen und logischerweise daheim mit dem eigenen WLAN arbeiten.
Ist so "von oben" vorgegeben!
LG,
Chrigo
Hallo
Ja stimmt alles, nur intern kann man die Mitarbeiter zur Verantwortung ziehen, wenn die irgendwelchen Mist einschleppen (USB ist ja verboten) und Admin-Rechte zum irgendwas installieren haben die eh nicht.Antivirenprogramm ist wenigstens zum Glück eh immer aktuell.
LG,
Chrigo
Ja stimmt alles, nur intern kann man die Mitarbeiter zur Verantwortung ziehen, wenn die irgendwelchen Mist einschleppen (USB ist ja verboten) und Admin-Rechte zum irgendwas installieren haben die eh nicht.Antivirenprogramm ist wenigstens zum Glück eh immer aktuell.
LG,
Chrigo
Nicht speziell einen Port mitsniffen kann 
Wenn ich mitsniffen würde, würde ich natürlich auch nur einen bestimmten Port abhören
Wenn ich mitsniffen würde, würde ich natürlich auch nur einen bestimmten Port abhören
ja, wurde speziell von einem ext. Dienstleister entwickelt und "aus Sicherheitsgründen" immer andere Ports genommen, damit man da nicht speziell "den einen Port" mitsniffen kann.
Verschleierungstechnik die überhaupt nix bringt ... wenn jemand snifft dann hört der den ganzen Traffic ab da bringt Portwechseln gar nüscht ..
Ja eh, wennste aber GENAU den einen Ferwartungs-Port kennst, kannst dort alle Passwörter und Daten, die drüber laufen abgreifen und brauchst nicht alle 65000 Stück durchsuchen. ;)
Zitat von @114068:
Ja eh, wennste aber GENAU den einen Ferwartungs-Port kennst, kannst dort alle Passwörter und Daten, die drüber laufen
abgreifen und brauchst nicht alle 65000 Stück durchsuchen. ;)
Quatsch die Beschreibung ist Laienhaft und zeugt nur von Unwissen. Und wenn die Programmierer noch nicht mal Verschlüsselungstechniken einsetzen solltet Ihr die Jungs sofort feuern und eine andere Software einsetzen !Ja eh, wennste aber GENAU den einen Ferwartungs-Port kennst, kannst dort alle Passwörter und Daten, die drüber laufen
abgreifen und brauchst nicht alle 65000 Stück durchsuchen. ;)
...vielleicht hätte er jemanden fragen sollen, der sich mit sowas auskennt?
Hallo,
nun, dann hätte ich wohl gleich mich fragen sollen... aber mich fragt ja keiner - ich habe nur das zu machen, was mir aufgetragen wird und der Auftrag lautet eben:
Firewall aus, wenn im Firmennetz
Firewall automatisch ein, wenn nicht im Firmennetz
fertig! Natürlich kann ich das über NETSH-Befehele und Scripts machen, die einfach prüfen, ob ein Firmenserver erreichbar ist und wenn nicht, dann Schilde hoch - ansonsten Schilde runter.
Wollte halt nur wissen, ob das mit Bordmitteln geht von Windows - offenbar nicht
LG
Chrigo
nun, dann hätte ich wohl gleich mich fragen sollen... aber mich fragt ja keiner - ich habe nur das zu machen, was mir aufgetragen wird und der Auftrag lautet eben:
Firewall aus, wenn im Firmennetz
Firewall automatisch ein, wenn nicht im Firmennetz
fertig! Natürlich kann ich das über NETSH-Befehele und Scripts machen, die einfach prüfen, ob ein Firmenserver erreichbar ist und wenn nicht, dann Schilde hoch - ansonsten Schilde runter.
Wollte halt nur wissen, ob das mit Bordmitteln geht von Windows - offenbar nicht
LG
Chrigo
Der Default ist: alles an.
Per GPO stellst Du nun einfach ein: Domänenprofil aus und das war's auch schon.
Per GPO stellst Du nun einfach ein: Domänenprofil aus und das war's auch schon.
oh Mann... aufs Einfachste kommt man immer zuletzt, danke.
