Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Windows Firewall in Domän Netzwerk sinnvoll?

Frage Microsoft

Mitglied: mexx

mexx (Level 2) - Jetzt verbinden

02.09.2011 um 10:49 Uhr, 7482 Aufrufe, 11 Kommentare

Hallo,

wir setzten eine W2k3 Domän Netzwerk ein und haben die Windows Firewall für Clients und Server aktiv. Das Netzwerk selbst ist natürlich von Aussen über eine Firewall gesichert. Jetzt stellt sich mir die Frage, macht dann die aktive Windows Firewall auf den Clients überhaupt Sinn? Gibt es vielleicht sogar negative Effekte? Ein paar Ausnahmen sind in der Firewall per GPOs definiert.

Danke für eure Tipps.
Mitglied: Juckie
02.09.2011 um 11:00 Uhr
Hallo,

wir haben in unseren Domänen Netzwerken an allen Clients und Servern die Firewall deaktiviert. Von außen her wird das Netzwerk über eine Firewall Appliance geschützt.

Bei aktivierter Windows Firewall hatten wir des öfteren schon Probleme mit den Zugriffszeiten auf Netzlaufwerke.

Gruß
Bitte warten ..
Mitglied: frakaci
02.09.2011 um 11:01 Uhr
Hallo,

überleg mal: User steckt seinen USB Stick auf dem er unwissentlich einen Virus drauf hat.

Und dann ?????

Lg, frakaci
Bitte warten ..
Mitglied: unzhurst
02.09.2011 um 11:03 Uhr
Aus meiner Sicht macht die Firewall auf den Clients Sinn und bildet einfach eine weitere kleine Hürde für sämtlichen Müll den durch Web und Lan geistert.
Die Firewall Richtung Internet ist so oder so obligatorisch.
Negative Effekte gibts immer mal - z.B. eine neue Anwendung funktioniert nicht richtig weil sie nicht mit dem SQL kommunizieren kann usw. usw... wenn zusätzliche
Ports/Freigaben benötigt werden musst du natürlich Hand anlegen... aber lieber so rum, wie jede Woche Malware und Viren usw. von den Clients putzen zu müssen.

Wie gesagt - ist nur meine bescheidene Meinung/Sicht

Gruß aus dem Badischen
Patrick
Bitte warten ..
Mitglied: 99045
02.09.2011 um 11:11 Uhr
überleg mal: User steckt seinen USB Stick auf dem er unwissentlich einen Virus drauf hat
Und dann ?????
Interessiert es die Firewall möglicherweise überhaupt nicht und der hoffentlich installierte Virenscanner schlägt Alarm.
Abgesehen davon: Was hat in einer Firmenumgebung ein USB-Stick an einem Client-Rechner zu suchen? Nach meiner Meinung nichts.
Bitte warten ..
Mitglied: mexx
02.09.2011 um 11:11 Uhr
Ich seh schon. Es gibt unterschiedliche Meinungen. Eine offizielle oder empfohlene Verwahrensweise von Microsoft scheint es nicht zu geben. Auf der einen Seite gibt es den Sicherheitsgewinn. Auf der anderen Seite kann das das Netzwerk verlangsamen, weil alles durch einen Kontrollmechanismus läuft. Ich brauche noch mehr Meinungen.
Bitte warten ..
Mitglied: SlainteMhath
02.09.2011 um 11:18 Uhr
Und dann ?????
Verbreitet sich der Virus über Lücken in einschlägigen Windows-Protokollen die eh auf jedem Rechner in der FW freigegeben sind... und dann is nix gewonnen
Bitte warten ..
Mitglied: Jokesoft
02.09.2011 um 11:37 Uhr
Nein, von MS kann man da auch so nichts erwarten. MS empfiehlt ein sicheres Netzwerk. Man kann zu so einen Einzelfall keine Verfahrensweise empfehlen, ohne den Rest des Netzes zu betrachten.

Aus Netzwerksicht:
So gesehen ist die lokale FW Mist. Wie oben schon erwähnt, kann es da sehr schnell zu Komplikationen kommen.

Aus lokaler Sicherheitssicht
Wie ebenfalls schon erwähnt, benötigt man Sicherheitsmechanismen wie die FW und andere Security Tools, wenn die User mit Datenträgern an den Rechnern rumhantieren.


Meine Empfehlung:
Du musst es aus konzeptioneller Sicht sehen. Es müssen alle Schnittstellen in einem Netzwerk betrachtet werden. Dazu gehören nicht nur der zentrale Internetzugang, eMail etc., sondern auch offene USB-Ports, CD-Laufwerke und Brenner an den PCs. Im Optimalfall hast du die lokale FW aus und machst alle Schnittstellen am PC dicht. Die User müssen dann allerdings über die IT Daten einspielen bzw. auslesen.
So haben wir es z.B. in unserem Netzwerk eingerichtet. Die lokale FW ist m.E. schon ein zu großer Störfaktor und so fackelst du alles zentral ab.
Wie gesagt, nur FW ausschalten ist zu kurz gegriffen. Du musst ein PC-Sicherheitskonzept haben.

Hoffe geholfen zu haben
Arne
Bitte warten ..
Mitglied: mrtux
02.09.2011 um 12:04 Uhr
Hi !

Wie schon von den Vorschreibern erwähnt, hängt das von deinem Netzwerk und der Sicherheitsstrategie ab....Hast Du ein Netzwerk, das quasi zugenagelt ist und nur die Admins auf sicherheitsrelevate Bereiche zugreifen können oder hast Du auch User (z.B. Softwareentwickler, Abteilungsleiter, Chefs usw.) die "Sonderrechte" haben und auch mal Admin "spielen" dürfen d.h. die z.B. auch mal Software installieren dürfen, dann würde ich auf den Clients die Firewall lieber aktiv lassen oder wenn es das Budget hergibt, diese Rechner gleich in ein separates Segment z.B. mittels der vorhandenen (oder einer weiteren) Firewall legen...

mrtux
Bitte warten ..
Mitglied: goscho
02.09.2011 um 12:48 Uhr
Mahlzeit,
ich möchte hier auch noch meinen Senf dazugeben.

Es hängt auch sehr stark von den verwendeten Betriebssystemen ab.
Ich kann im Eingangsbeitrag nur was von W2K3-Netzwerk lesen. Dort steht nichts von den verwendeten Client-Systemen.
Und wie unterschiedlich die Firewalls der verschiedenen Windows-Systeme sind, brauche ich ja nicht zu erklären.
W2K bringt bspw. überhaupt keine mit.

BTW:
Die von mir betreuten Umgebungen werden vorwiegend mit der in Symantec Endpoint Protection integrierten Firewall (kam früher mal von Sygate) konfiguriert. Diese kann OS-übergreifend eingerichtet werden und bietet - IMHO - wesentlich mehr Möglichkeiten und Komfort als die mitgelieferte von Windows.
Aber auch hier ist jede Umgebung getrennt zu betrachten. Und so ganz ohne Einarbeitung, kostenpflichtige Schulungen und teilweise schmerzende Erfahrungen geht's auch mit dieser Firewall nicht ab.
Bitte warten ..
Mitglied: 101238
02.09.2011 um 13:32 Uhr
Hallo,

na da muss ich auch noch meinen Senf dazu geben.

Ich möchte mich goscho anschließen. Wir benutzen Symantec Endpoint Protection Manager 11 (wird gerade auf 12.1 migriert "stöhn") auf Server 2003. Auf den Clients entsprechend SEP verwaltet vom SEPM. Windows Firewall auf allen Clients aus. Denn SEP bringt eine eigene mit. Wird von uns so konfiguriert (über Manager) das einige User (Entwickler) auch selbst Hand anlgen können.

Aber wie goscho schon gesagt hat , sehr viel Einarbeitung und Schulung usw. nötig. Aber wenn es läuft einfach gut. Symantec bringt gute Funktionen mit. Intrusion Prevention, Firewall, Viren und Antispyware usw..

Desweiteren kann man sich über E-Mail Berichte und Warnungen zukommen lassen.

Viel Erfolg
Bitte warten ..
Mitglied: Jokesoft
04.09.2011 um 17:56 Uhr
Ok, das ist jetzt mal ein konkretes Beispiel wie man es machen kann. - Vor dem Einkauf steht jedoch das nötige Konzept. Was will ich zulassen und was soll am PC nicht möglich sein. Dann erst werden die Produkte ausgeguckt, die meinen Wünschen am ehesten entsprechen. Es ist auf jeden Fall ein bisschen Arbeit.
Bitte warten ..
Ähnliche Inhalte
Windows Server
Windows 2012 Terminalserver ohne Domäne sinnvoll?
gelöst Frage von takvorianWindows Server3 Kommentare

Hallo zusammen, wir haben derzeit bei einem Kunden Windows Server 2012 ( kein R2 ) als "Arbeitsgruppenserver" am laufen. ...

Firewall
Windows-Firewall in Domäne
gelöst Frage von lcer00Firewall7 Kommentare

Hallo zusammen, Firewallregeln sammeln sich ja schön kumulativ an - bei uns wie folgt: - manuell erstellte Regeln - ...

Sicherheitsgrundlagen
Hardware-Firewall für 3 User sinnvoll?
Frage von arcmosSicherheitsgrundlagen30 Kommentare

Umgebung: 1 Server 2012 R2, 3 Clients mit 8.1 pro (2 100%, 1 50% in Gebrauch) SQL Datenbank (express) ...

Hosting & Housing
Firewall benötigt oder sinnvoll bei Webhosting-Anbieter?
Frage von staybbHosting & Housing5 Kommentare

Hallo, wir möchte eine größere Homepage umziehnen auf einen größeren Webhoster. Ein Angebot haben wir bereits zugesandt bekommen. Soweit ...

Neue Wissensbeiträge
Perl

Perl hat heute Geburtstag: 30 Jahre Perl: Lange Gesichter zum Geburtstag

Information von Penny.Cilin vor 3 StundenPerl2 Kommentare

Hallo, auch wenn es wenige wissen und noch weniger Leute es nutzen. Perl hat heute Geburtstag. 30 Jahre Perl ...

Sicherheit

Blackberry stirbt - Keine Updates für Priv mehr

Tipp von certifiedit.net vor 4 StundenSicherheit

Blackberry wird zu einer 08/15 Firma und geht wohl mehr und mehr den Weg, den HTC schon ging. Von ...

Windows 10

Autsch: Microsoft bündelt Windows 10 mit unsicherer Passwort-Manager-App

Tipp von kgborn vor 2 TagenWindows 1010 Kommentare

Unter Microsofts Windows 10 haben Endbenutzer keine Kontrolle mehr, was Microsoft an Apps auf dem Betriebssystem installiert (die Windows ...

Sicherheits-Tools

Achtung: Sicherheitslücke im FortiClient VPN-Client

Tipp von kgborn vor 2 TagenSicherheits-Tools

Ich weiß nicht, wie häufig die NextGeneration Endpoint Protection-Lösung von Fortinet in deutschen Unternehmen eingesetzt wird. An dieser Stelle ...

Heiß diskutierte Inhalte
Batch & Shell
Kann man mit einer .txt Datei eine .bat Datei öffnen?
gelöst Frage von HelloWorldBatch & Shell21 Kommentare

Wie schon im Titel beschrieben würde ich gerne durch einfaches klicken auf eine Text oder Word Datei eine Batch ...

Netzwerkgrundlagen
Belibiges Teilnetz einer Subnetzmaske rausfinden?
gelöst Frage von CenuzeNetzwerkgrundlagen17 Kommentare

Wundervollen Gutentag, mittlerweile kann ich Subnetting so einigermaßen, aber ein Problem habe ich noch. Netzwerkadresse und Boradcast errechnen ist ...

LAN, WAN, Wireless
WLAN Reichweite erhöhen mit neuer Antenne
gelöst Frage von gdconsultLAN, WAN, Wireless12 Kommentare

Hallo, ich besitze einen TL-WN722N USB-WLAN Dongle mit einer richtigen Antenne. Ich frage mich jetzt ob man die Reichweite ...

Windows Server
Logging von "gesendeten Nachrichten" auf Terminalservern
gelöst Frage von Z3R0C0MM4N0THiN6Windows Server10 Kommentare

Hallo zusammen, kann mir jemand auf kurzem Wege sagen ob 1) die per Task-Manager (oder damals tsadmin) an Benutzer ...