lcer00
Goto Top

Windows-Firewall in Domäne

Hallo zusammen,

Firewallregeln sammeln sich ja schön kumulativ an - bei uns wie folgt:

- manuell erstellte Regeln
- durch Installationsprogramme von Anwendungssoftware erstellte Regeln (zum Teil nach jedem Programmupdate zustätzlich und redundant angelegte Regeln)
- per GPO durchgesetze Regeln

Wie handhabt man / Ihr das aufräumen am besten?

Wir versuchen, wenn möglich die Regeln über GPOs zu verteilen, das wird aber immer wieder durch Anwender (manche dürfen das ...) und Anwendungssoftware (die macht das einfach bei jedem Update) unterlaufen. Mach ein regelmäßiger "Regelreset" z.B. per Startskript Sinn?

Oder doch eine Fremdsoftwarelösung für die Endpunkt-Firewall verwenden?

Grüße

lcer

Content-Key: 350467

Url: https://administrator.de/contentid/350467

Ausgedruckt am: 28.03.2024 um 16:03 Uhr

Mitglied: Looser27
Looser27 29.09.2017 um 10:51:08 Uhr
Goto Top
Moin,

warum dürfen Deine User Software (vermutlich ohne das Wissen des Admins) installieren???
Dann kannst Du die Windows Firewall vergessen und solltest zu einer Endpoint Security wechseln.

Oder: Du nimmst allen Usern das lokale Admin-Recht weg und schon hat Du wieder die Kontrolle über die Client-Firewalls.

Denn: Ein Reset der Firewallregeln über eine GPO wird dazu führen, dass die User ihre selbst aufgespielte Software unter Umständen nicht mehr nutzen können.

Gruß

Looser
Mitglied: DerWoWusste
DerWoWusste 29.09.2017 aktualisiert um 11:03:49 Uhr
Goto Top
Hi.

Es kommt doch sehr darauf an, wie eng man das sieht. Will man volle Kontrolle, so bekommen die User keine Adminrechte und können somit keine Regeln setzen. Weiterhin werden Setups und Updatesetups daraufhin untersucht, was sie für Regeln setzen und ggf. werden diese Ports per Deny-Regel abgedichtet bzw. Exceptions gar nicht erst zugelassen (also Regeln sind zwar da, werden aber nicht berücksichtigt).

Sieht man das nicht so eng und lässt den Nutzern die Freiheiten Software zu installieren/upzudaten/Regeln zu erstellen, hat man eigentlich schon verloren.
Mitglied: lcer00
lcer00 29.09.2017 um 11:40:31 Uhr
Goto Top
warum dürfen Deine User Software (vermutlich ohne das Wissen des Admins) installieren???
Dann kannst Du die Windows Firewall vergessen und solltest zu einer Endpoint Security wechseln.

Oder: Du nimmst allen Usern das lokale Admin-Recht weg und schon hat Du wieder die Kontrolle über die Client-Firewalls.

hihi - unsere fortschrittliche Anwendungssoftware benötigt an einigen Rechnern lokale Admin-Rechte. Da hat man das Windows-Konzept der User-Account-Control nicht so richtig verstanden. Leider ist die Verwendung der Software erforderlich (Spezielle Gerätesoftware).

Denn: Ein Reset der Firewallregeln über eine GPO wird dazu führen, dass die User ihre selbst aufgespielte Software unter Umständen nicht mehr nutzen können.

Gut, aber da hätte man Ärger in der Umstellungsphase, könnte aber drauf reagieren - GPOs einrichten beispielsweise.

Dann kannst Du die Windows Firewall vergessen und solltest zu einer Endpoint Security wechseln.
Ich kenne hier nur die bei uns verwendet AV/Endpoint-Lösung von ESET. Die ist nicht so fürchterlich komfortabel zentral zu administrieren. Da ist das empfohlene Implementationsverfahren: Testmodus für einige Zeit laufen lassen, gesammelte Regeln dann einfrieren und scharfschalten. Man kann zwar alles im Detail einstellen, die Übersicht geht aber dann doch schnell verloren. Da waren mir bisher die GPOs sympatischer.
Mitglied: nepixl
nepixl 29.09.2017 um 15:11:25 Uhr
Goto Top
Hallo,

Firewall deaktivieren und eine FW-Appliance installieren die nur Du verwaltest.

Gruß
Mitglied: Looser27
Looser27 30.09.2017 um 10:53:16 Uhr
Goto Top
Zitat von @nepixl:

Hallo,

Firewall deaktivieren und eine FW-Appliance installieren die nur Du verwaltest.

Gruß

...und schon kann sich im Netz hinter der Firewall jeder Schädling rumtreiben.
Mitglied: lcer00
lcer00 30.09.2017 um 17:36:44 Uhr
Goto Top
Firewall deaktivieren und eine FW-Appliance installieren die nur Du verwaltest.

...und schon kann sich im Netz hinter der Firewall jeder Schädling rumtreiben.
FW-Appliance sind doch diese fremdverwalteten bunten Blackboxen die ich miete und hinter denen mir nichts mehr passieren kann....

Unser Internetzugang ist denke ich ganz gut geschützt.

Mir gefällt der restriktive Endpoint Ansatz mit klar definierten Regeln besser. Ich werde auf jeden Fall mal Inventur machen und eine Liste der Firewall-regeln für die Software erstellen.

Dann muss ich mich noch entscheiden, ob ich die Windows Firewall mit der Liste füttere oder meinen virenscanner zur endpointsicherungslösung Upgrade und den damit füttere.
Mitglied: agowa338
Lösung agowa338 01.10.2017 um 08:57:42 Uhr
Goto Top
Je nach deinem Tread Modell.
Für maximale Sicherheit:
  1. Kein User hat Administrative Rechte
  2. Software kommt ausschließlich mittels Software Deployment auf die Rechner (damit können User vorher genehmigte Programme installieren, falls gewünscht)
  3. Updates werden automatisch mittels Software Deployment gepusht.
  4. Die lokale Windows Firewall Regel Verwaltung wird mittels GPO deaktiviert (wodurch nur noch via GPO definierte Regeln greifen)
  5. Default Regelsatz in eine GPO namens fwDefault kopieren und nach den eigenen Bedürfnissen anpassen (z. B.: Ping erlauben).
  6. Eine GPO mit dem Namen fwRemoteAdministration anlegen und hier WinRM, RPC, RemoteAssistance erlauben (falls benötigt)
  7. Für jede weitere Anwendung eine extra GPO nach dem Schema fwAPPLICATIONNAME anlegen. Ggf. noch ein _x86 oder _x64 ans ende und einen entsprechenden WMI Filter zuweisen, falls es hier Unterschiede gibt. *¹
  8. Kein Benutzer hat Schreibrechte in die Verzeichnisse (inkl. Unterverzeichnisse) von: "C:\Program Files", "C:\Program Files (x86)" (mittels GPO auf x86 Installationen anlegen, damit kein User diesen Ordner erstellen kan), "C:\Windows"
  9. Benutzerprofil Installationen mittels GPO deaktivieren
  10. Benutzern mittels GPO das recht zum updaten von mittels MSI Installierten Programmen durch signierter MSP Dateien entziehen.
  11. AppLocker Richtlinien definieren
    1. Eine minimale Richtlinie sieht so aus: Nur Programme aus "C:\Program Files", "C:\Program Files (x86)" und "C:\Windows" ausführen.
    2. Falls hier mehr Sicherheit gewünscht ist, kann hier entsprechend auf Nur Signierte Programme gestellt oder eine Whitelist an einzelnen .exe Dateien gepflegt werden.

*¹ Bei Verwendung eines Softwareshops kann es vorkommen, dass einzelne Regeln bei einzelnen Clients überflüssig sind. Dies muss mittels WMI-Filter verhindert werden. Ansonsten könnte eine schädliche Application sich einfach an diesen Pfad (weil existiert noch nicht) begeben und die bestehende Regel missbrauchen. Aufgrund der Natur von WMI-Filtern sind diese langsam in der Anwendung. Um dies zu umgehen, empfiehlt es sich einfach AppLocker zu verwenden und die ACLs auf die drei o. g. Ordner zu härten. Anschließend kann hier auch auf WMI-Filter verzichtet werden, dies beeinträchtigt die Sicherheit nicht signifikant, weil Benutzer unter keinen Umständen in diese Pfade schreiben können.

P. S. Firewall Regeln nur in Ausnahmefällen auf Ports anlegen. Die Windows Firewall ist auf einen viel höheren Layer (im ISO OSI Modell) aktiv, man kann (und sollte!) immer den Pfad der Anwendung angeben, die den entsprechenden Port geöffnet haben will. Zusätzlich sollte man falls möglich noch die Quell-/Zieladressen mit angeben.
Durch die Definition von IPSec Regeln, kann man hier sogar noch auf die Authentifizierung des Benutzer zurück greifen z. B. Nur authentifizierte Benutzer der Gruppe IT-Support von einem authentifizierten PC der Gruppe IT-Support-PCs dürfen sich mittels WinRM mit dieser Workstation verbinden. Für alle Anderen ist der Port dicht.
Meine Persönliche Empfehlung, falls du aktuell noch kein IPSec nutzt, ist dies zumindest für WinRM, RPC und die Kommunikation von/zu Domänen-Controllern einzusetzen.