Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Windows Firewall in Domän Netzwerk sinnvoll?

Frage Microsoft

Mitglied: mexx

mexx (Level 2) - Jetzt verbinden

02.09.2011 um 10:49 Uhr, 6770 Aufrufe, 11 Kommentare

Hallo,

wir setzten eine W2k3 Domän Netzwerk ein und haben die Windows Firewall für Clients und Server aktiv. Das Netzwerk selbst ist natürlich von Aussen über eine Firewall gesichert. Jetzt stellt sich mir die Frage, macht dann die aktive Windows Firewall auf den Clients überhaupt Sinn? Gibt es vielleicht sogar negative Effekte? Ein paar Ausnahmen sind in der Firewall per GPOs definiert.

Danke für eure Tipps.
Mitglied: Juckie
02.09.2011 um 11:00 Uhr
Hallo,

wir haben in unseren Domänen Netzwerken an allen Clients und Servern die Firewall deaktiviert. Von außen her wird das Netzwerk über eine Firewall Appliance geschützt.

Bei aktivierter Windows Firewall hatten wir des öfteren schon Probleme mit den Zugriffszeiten auf Netzlaufwerke.

Gruß
Bitte warten ..
Mitglied: frakaci
02.09.2011 um 11:01 Uhr
Hallo,

überleg mal: User steckt seinen USB Stick auf dem er unwissentlich einen Virus drauf hat.

Und dann ?????

Lg, frakaci
Bitte warten ..
Mitglied: unzhurst
02.09.2011 um 11:03 Uhr
Aus meiner Sicht macht die Firewall auf den Clients Sinn und bildet einfach eine weitere kleine Hürde für sämtlichen Müll den durch Web und Lan geistert.
Die Firewall Richtung Internet ist so oder so obligatorisch.
Negative Effekte gibts immer mal - z.B. eine neue Anwendung funktioniert nicht richtig weil sie nicht mit dem SQL kommunizieren kann usw. usw... wenn zusätzliche
Ports/Freigaben benötigt werden musst du natürlich Hand anlegen... aber lieber so rum, wie jede Woche Malware und Viren usw. von den Clients putzen zu müssen.

Wie gesagt - ist nur meine bescheidene Meinung/Sicht

Gruß aus dem Badischen
Patrick
Bitte warten ..
Mitglied: 99045
02.09.2011 um 11:11 Uhr
überleg mal: User steckt seinen USB Stick auf dem er unwissentlich einen Virus drauf hat
Und dann ?????
Interessiert es die Firewall möglicherweise überhaupt nicht und der hoffentlich installierte Virenscanner schlägt Alarm.
Abgesehen davon: Was hat in einer Firmenumgebung ein USB-Stick an einem Client-Rechner zu suchen? Nach meiner Meinung nichts.
Bitte warten ..
Mitglied: mexx
02.09.2011 um 11:11 Uhr
Ich seh schon. Es gibt unterschiedliche Meinungen. Eine offizielle oder empfohlene Verwahrensweise von Microsoft scheint es nicht zu geben. Auf der einen Seite gibt es den Sicherheitsgewinn. Auf der anderen Seite kann das das Netzwerk verlangsamen, weil alles durch einen Kontrollmechanismus läuft. Ich brauche noch mehr Meinungen.
Bitte warten ..
Mitglied: SlainteMhath
02.09.2011 um 11:18 Uhr
Und dann ?????
Verbreitet sich der Virus über Lücken in einschlägigen Windows-Protokollen die eh auf jedem Rechner in der FW freigegeben sind... und dann is nix gewonnen
Bitte warten ..
Mitglied: Jokesoft
02.09.2011 um 11:37 Uhr
Nein, von MS kann man da auch so nichts erwarten. MS empfiehlt ein sicheres Netzwerk. Man kann zu so einen Einzelfall keine Verfahrensweise empfehlen, ohne den Rest des Netzes zu betrachten.

Aus Netzwerksicht:
So gesehen ist die lokale FW Mist. Wie oben schon erwähnt, kann es da sehr schnell zu Komplikationen kommen.

Aus lokaler Sicherheitssicht
Wie ebenfalls schon erwähnt, benötigt man Sicherheitsmechanismen wie die FW und andere Security Tools, wenn die User mit Datenträgern an den Rechnern rumhantieren.


Meine Empfehlung:
Du musst es aus konzeptioneller Sicht sehen. Es müssen alle Schnittstellen in einem Netzwerk betrachtet werden. Dazu gehören nicht nur der zentrale Internetzugang, eMail etc., sondern auch offene USB-Ports, CD-Laufwerke und Brenner an den PCs. Im Optimalfall hast du die lokale FW aus und machst alle Schnittstellen am PC dicht. Die User müssen dann allerdings über die IT Daten einspielen bzw. auslesen.
So haben wir es z.B. in unserem Netzwerk eingerichtet. Die lokale FW ist m.E. schon ein zu großer Störfaktor und so fackelst du alles zentral ab.
Wie gesagt, nur FW ausschalten ist zu kurz gegriffen. Du musst ein PC-Sicherheitskonzept haben.

Hoffe geholfen zu haben
Arne
Bitte warten ..
Mitglied: mrtux
02.09.2011 um 12:04 Uhr
Hi !

Wie schon von den Vorschreibern erwähnt, hängt das von deinem Netzwerk und der Sicherheitsstrategie ab....Hast Du ein Netzwerk, das quasi zugenagelt ist und nur die Admins auf sicherheitsrelevate Bereiche zugreifen können oder hast Du auch User (z.B. Softwareentwickler, Abteilungsleiter, Chefs usw.) die "Sonderrechte" haben und auch mal Admin "spielen" dürfen d.h. die z.B. auch mal Software installieren dürfen, dann würde ich auf den Clients die Firewall lieber aktiv lassen oder wenn es das Budget hergibt, diese Rechner gleich in ein separates Segment z.B. mittels der vorhandenen (oder einer weiteren) Firewall legen...

mrtux
Bitte warten ..
Mitglied: goscho
02.09.2011 um 12:48 Uhr
Mahlzeit,
ich möchte hier auch noch meinen Senf dazugeben.

Es hängt auch sehr stark von den verwendeten Betriebssystemen ab.
Ich kann im Eingangsbeitrag nur was von W2K3-Netzwerk lesen. Dort steht nichts von den verwendeten Client-Systemen.
Und wie unterschiedlich die Firewalls der verschiedenen Windows-Systeme sind, brauche ich ja nicht zu erklären.
W2K bringt bspw. überhaupt keine mit.

BTW:
Die von mir betreuten Umgebungen werden vorwiegend mit der in Symantec Endpoint Protection integrierten Firewall (kam früher mal von Sygate) konfiguriert. Diese kann OS-übergreifend eingerichtet werden und bietet - IMHO - wesentlich mehr Möglichkeiten und Komfort als die mitgelieferte von Windows.
Aber auch hier ist jede Umgebung getrennt zu betrachten. Und so ganz ohne Einarbeitung, kostenpflichtige Schulungen und teilweise schmerzende Erfahrungen geht's auch mit dieser Firewall nicht ab.
Bitte warten ..
Mitglied: 101238
02.09.2011 um 13:32 Uhr
Hallo,

na da muss ich auch noch meinen Senf dazu geben.

Ich möchte mich goscho anschließen. Wir benutzen Symantec Endpoint Protection Manager 11 (wird gerade auf 12.1 migriert "stöhn") auf Server 2003. Auf den Clients entsprechend SEP verwaltet vom SEPM. Windows Firewall auf allen Clients aus. Denn SEP bringt eine eigene mit. Wird von uns so konfiguriert (über Manager) das einige User (Entwickler) auch selbst Hand anlgen können.

Aber wie goscho schon gesagt hat , sehr viel Einarbeitung und Schulung usw. nötig. Aber wenn es läuft einfach gut. Symantec bringt gute Funktionen mit. Intrusion Prevention, Firewall, Viren und Antispyware usw..

Desweiteren kann man sich über E-Mail Berichte und Warnungen zukommen lassen.

Viel Erfolg
Bitte warten ..
Mitglied: Jokesoft
04.09.2011 um 17:56 Uhr
Ok, das ist jetzt mal ein konkretes Beispiel wie man es machen kann. - Vor dem Einkauf steht jedoch das nötige Konzept. Was will ich zulassen und was soll am PC nicht möglich sein. Dann erst werden die Produkte ausgeguckt, die meinen Wünschen am ehesten entsprechen. Es ist auf jeden Fall ein bisschen Arbeit.
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows Server
Windows Firewall Einstellungen für OpenVPN Tunnel (4)

Frage von Aubanan zum Thema Windows Server ...

Windows Server
gelöst Lokale Windows Firewall Server 2012R2 für virtuelle Maschine? (4)

Frage von 1410640014 zum Thema Windows Server ...

Netzwerkmanagement
Hausnetzwerk und privates Netzwerk sinnvoll abgrenzen und verbinden (4)

Frage von BB9RES zum Thema Netzwerkmanagement ...

Firewall
Mobile VPN Geräte ohne Windows Firewall (7)

Frage von Milchmann89 zum Thema Firewall ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (17)

Frage von liquidbase zum Thema Windows Update ...