Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

WMI-Remote-Steuerung der Windows-Firewall

Frage Microsoft

Mitglied: thomasbln

thomasbln (Level 1) - Jetzt verbinden

24.02.2009, aktualisiert 10:15 Uhr, 8868 Aufrufe, 13 Kommentare

Hallo,

ich habe folgendes Problem:

Ich soll die Remote-Steuerung von Windows-Firewalls in VBScript realisieren.

Laut [1] ist das gar nicht so ohne weiteres möglich. Das Firewall-Objekt kann nämlich nur lokal erstellt werden. Das bedeutet, dass ich das Script lokal ausführen lassen muss (die Systemlösung, für die ich die Scripts schreibe, lässt das sogar in Echtzeit zu). Lokal heißt aber eben auch, dass ich mir so richtig Gedanken machen muss, wie ich die Kommunikation zwischen Admin und Client regeln will - wie kann ich dem Admin das FW-Setup übermitteln, wenn doch das Script lokal beim Client läuft? Oder noch simpler: Wie kann ich dem Client-Script einen Port übermitteln, der geschlossen/geöffnet werden soll?

In [1] werden zwei Wege genannt: Zum einen über eine auf einem Server ausgelagerte Textfile. Und zum anderen über Win32_Process-Klassen.

Der erste Vorschlag ist intuitiv, das Admin-Script erstellt aufm Client eine Datei mit Anweisungen für das lokal ausgeführte Client-Script, welches dann seinerseits wieder eine Datei aufm Client erstellt und das Ergebnis da hinein schreibt. Ich kann keinen bestimmten Server festlegen, auf dem die logfiles gespeichert werden sollen, schließlich wird die Software, die ich hier skripte, verkauft - und weiß der Geier wie die Leute ihre Server so nennen ;) So sehe ich das.

Zu dem anderen Vorschlag wird leider überhaupt nichts weiter erzählt, aufgrund meiner diesbezüglichen Unwissenheit habe ich jetzt die Hoffnung, dass dieser Weg etwas einfacher sein könnte - hat jemand vllt einen Plan, wie ich da vorgehen könnte?

Gruß,
Thomas



[1] http://www.microsoft.com/technet/scriptcenter/resources/tales/sg1104.ms ...
Absatz 'Scripting the Windows Firewall'
Mitglied: problemsolver
24.02.2009 um 12:50 Uhr
Hallo,

mach es Dir nicht unnötig kompliziert. Zwei Beispiele, um die Firewall ein bzw auszuschalten:
01.
netsh firewall set opmode mode = ENABLE
01.
netsh firewall set opmode mode = DISABLE
Wenn Du jetzt ein wenig tiefer gräbst und dir eine Batchdatei baust und das ganze mit psexec aus der sysinternals suite verbindest, kommt ein nettes Rezept heraus.
Du kannst aber auch gleich mit Gruppenrichtlinien und Standardprofilen / Domänenprofilen arbeiten, um deine Einstellungen für die Arbeitsplätze vorzunehmen.

Die dickgedruckten Wörter sollte vorerst zum Graben und Nachschlagen für Dich reichen

Gruß

Markus

EDIT: natürlich sind das oben nur BEISPIELE. Du kannst über netsh firewall auch Ausnahmen definieren... wollte ich nur noch schnell erwähnen.
Bitte warten ..
Mitglied: thomasbln
24.02.2009 um 13:30 Uhr
Hey Markus, vielen Dank erstmal - ich werds ausprobieren und wenns nich klappt, schrei ich!
bg
Bitte warten ..
Mitglied: thomasbln
24.02.2009 um 13:38 Uhr
Sysinternals/PsExec ist nicht drin - ist hier nicht installiert und ich kann erst recht nicht voraussetzen, dass die Kunden das tun..

Ist es möglich, dass nur ein Teil eines VBScripts lokal ausgeführt wird?
Bitte warten ..
Mitglied: problemsolver
24.02.2009 um 13:53 Uhr
Hallo,

ja.
Batchdatei als Beispiel lokal ausführen (s.o.) Du hast gerade bewiesen, dass Du meinen Text nicht gelesen hast...

Firewall aktivieren.
01.
netsh firewall set opmode mode = ENABLE
oder Programmausnahme festlegen
01.
netsh firewall set allowedprogram "C:\MyApp\MyApp.exe" MyApp ENABLE
oder Datenverkehr für TCP auf Port 80 erlauben:
01.
netsh firewall set portopening TCP 80 MyWebPor

Setz dich bitte mit dem Thema ein wenig auseinander. Verlange nicht, dass wir für Dich deine Arbeit machen
Start --> Ausführen --> netsh [ENTER]
Danach gibst Du ein "?" ein... der Rest ist selbsterklärend...

Gruß

Markus
Bitte warten ..
Mitglied: thomasbln
24.02.2009 um 14:11 Uhr
Natürlich habe ich deinen Beitrag gelesen. Lokal funktioniert das ja auch alles wunderschön. Ich habe die Firewall schon per netsh konfiguriert und mir auch schon Plänge für ein Interface gemacht, welches DAU-Angaben in Batch-Code wandelt.
Die batch-Datei kann ich auch auf den remote-Rechner schreiben - doch zum Ausführen brauche ich doch PsExec. Und das geht nicht. Daher bin ich von dem Trichter wieder abgegangen.

edit: Echt mal - natürlich bin ich dir total dankbar dafür, dass du mir aus freien Stücken hilfst. Aber ich bin keiner von den Leuten, die in Foren nach Komplettlösungen verlangen und ich reagier irgendwie allergisch, wenn mich jemand so bezeichnet..
Bitte warten ..
Mitglied: thomasbln
24.02.2009 um 15:00 Uhr
Deswegen meine Frage - ist es irgendwie möglich einen Teil eines Scripts lokal auszuführen? Damit umginge ich ja PsExec, Batch & co..
Ich könnte dann aufm client eine Datei mit den benötigten Infos schreiben und die dann remote auslesen und wieder löschen..
Bitte warten ..
Mitglied: thomasbln
24.02.2009 um 15:21 Uhr
Genau, auf den Punkt gebracht: Was ich brauche, ist eine Möglichkeit ein (auf dem remote-PC bereits vorhandenes, weil zuvor dort geschriebenes) Script zu starten. Ganz ohne PsExec.
Bitte warten ..
Mitglied: problemsolver
24.02.2009 um 15:35 Uhr
Hallo,

hatte glaube ich deine Frage nicht richtig verstanden.
Hier die Lösung:
01.
'Script: RemoteProcess.vbs 
02.
'Aufruf von Kommandozeile über cscript <scriptname> 
03.
 
04.
Option Explicit 
05.
Dim strCommand, objProcess, intProcessID, strComputer 
06.
 
07.
strComputer = "DEINZIELCOMPUTER" 
08.
strCommand = "C:\firewallconfig.bat" 
09.
Set objProcess = GetObject("winmgmts:\\" & strComputer & "\root\cimv2:Win32_Process") 
10.
objProcess.Create strCommand,null,null,intProcessID 
11.
 
12.
WSCript.Quit
Erläuterung:
Ändere strComputer und strCommand nach deinen Wünschen ab.
strCommand ist der Lagerort von dem Zielrechner aus gesehen.

Denke ich konnte Dir helfen...

Gruß

Markus
Bitte warten ..
Mitglied: thomasbln
24.02.2009 um 16:07 Uhr
Hi,

also im Grunde war es schon das was ich gesucht habe. Aber jetzt 'Zugriff verweigert' (habe einfach mal eine batch file geschrieben, die einen ordner erstellt - geht nicht mit genannter Begründung). Ich nehme an, dass das mit den Rechten zu tun hat..!? Ich suche mal im Forum danach..

Danke dir erstmal!

bg
Thomas
Bitte warten ..
Mitglied: problemsolver
24.02.2009 um 18:07 Uhr
Hi,

"Zugriff verweigert" liegt wahrscheinlich daran (vorausgesetzt, dass Du die beiden Werte korrekt abgeändert hast), dass Du keine (administrativen) Zugriffsrechte auf dem Remoterechner besitzt. (keine Domäneninfrastruktur? Kein Domänen-Admin?)

Abhilfe:
Füge einen Benutzer bei der Remotemaschine lokal hinzu, der den gleichen Anmeldenamen und das gleiche Passwort von dem Benutzer besitzt, der das Script auch lokal bei dir ausführt.

Falls das nicht funktioniert, müsste man noch einmal schauen.

Gruß

Markus
Bitte warten ..
Mitglied: thomasbln
25.02.2009 um 11:20 Uhr
Gerade kann ich noch nicht allzu viel dazu sagen. Ich denke aber, dass ich mich nicht darauf verlassen kann, dass diese Funktionen tatsächlich nur von Domain-admins ausgeführt werden sollen.

Ich verstehe deinen Tipp nicht ganz. Meinst du, ich soll auf dem remote-PC einen Remote-Nutzer hinzufügen? Geht das denn überhaupt per remote? Das würde ja keinen Sinn machen.

Ich glaube fast ich werde nicht daran vorbeikommen, die Domain-admin-Eigenschaft beim Nutzer vorauszusetzen.
Bitte warten ..
Mitglied: problemsolver
27.02.2009 um 17:35 Uhr
Hallo,

du benötigst einfach administrative Rechte auf dem Remote-PC. Von du von deinem lokalen PC Zugriff auf den Remoterechner benötigst, muss entweder der gerade am lokalen PC angemeldete Benutzer dem Remote Rechner bekannt sein, oder Du musst dich an ihm manuell authentifizieren.
Recht hast du natürlich damit, dass es einfacher ist, die Domänen-Admin Rechte vorauszusetzen... aber ob das immer so gut ist... naja.

Wünsch Dir trotzdem noch viel Erfolg beim Lösen

Gruß

Markus
Bitte warten ..
Ähnliche Inhalte
Microsoft
WMI Remote Berechtigungen per GPO
Frage von SoullessInkMicrosoft2 Kommentare

Hallo liebe Leute, ich kämpfe mir derzeit einen an den WMI Berechtigungen ab. Ich habe einen Domänen Account, der ...

Windows Netzwerk
WMI remote access probleme bei Domänenwechsel
Frage von DocuSnap-DudeWindows Netzwerk4 Kommentare

Hallo, ich musste hier in den letzten Wochen alle PC's aus einer alten Domäne in eine neue verscheiben (ja, ...

Firewall
Remote Computerverwaltung (Firewall, Gruppenrichtlinie)
gelöst Frage von Dev-WantedFirewall6 Kommentare

Hallo, folgendes, wir haben eine Domäne auf einem Windows 2008 R2 Server mit ca. 2000 Benutzern (die meisten davon ...

Monitoring
WMI Sicherheitseinstellung für Root über Skript oder ähnliches Remote einstellen
gelöst Frage von 121103Monitoring2 Kommentare

Hallo zusammen, ich habe einen User für die Netzwerküberwachung und dieser muss in den Sicherheitseinstellungen unter Root auf jedem ...

Neue Wissensbeiträge
Perl

Perl hat heute Geburtstag: 30 Jahre Perl: Lange Gesichter zum Geburtstag

Information von Penny.Cilin vor 3 StundenPerl2 Kommentare

Hallo, auch wenn es wenige wissen und noch weniger Leute es nutzen. Perl hat heute Geburtstag. 30 Jahre Perl ...

Sicherheit

Blackberry stirbt - Keine Updates für Priv mehr

Tipp von certifiedit.net vor 4 StundenSicherheit

Blackberry wird zu einer 08/15 Firma und geht wohl mehr und mehr den Weg, den HTC schon ging. Von ...

Windows 10

Autsch: Microsoft bündelt Windows 10 mit unsicherer Passwort-Manager-App

Tipp von kgborn vor 2 TagenWindows 1010 Kommentare

Unter Microsofts Windows 10 haben Endbenutzer keine Kontrolle mehr, was Microsoft an Apps auf dem Betriebssystem installiert (die Windows ...

Sicherheits-Tools

Achtung: Sicherheitslücke im FortiClient VPN-Client

Tipp von kgborn vor 2 TagenSicherheits-Tools

Ich weiß nicht, wie häufig die NextGeneration Endpoint Protection-Lösung von Fortinet in deutschen Unternehmen eingesetzt wird. An dieser Stelle ...

Heiß diskutierte Inhalte
Batch & Shell
Kann man mit einer .txt Datei eine .bat Datei öffnen?
gelöst Frage von HelloWorldBatch & Shell20 Kommentare

Wie schon im Titel beschrieben würde ich gerne durch einfaches klicken auf eine Text oder Word Datei eine Batch ...

LAN, WAN, Wireless
WLAN Reichweite erhöhen mit neuer Antenne
gelöst Frage von gdconsultLAN, WAN, Wireless12 Kommentare

Hallo, ich besitze einen TL-WN722N USB-WLAN Dongle mit einer richtigen Antenne. Ich frage mich jetzt ob man die Reichweite ...

Netzwerkgrundlagen
Belibiges Teilnetz einer Subnetzmaske rausfinden?
Frage von CenuzeNetzwerkgrundlagen10 Kommentare

Wundervollen Gutentag, mittlerweile kann ich Subnetting so einigermaßen, aber ein Problem habe ich noch. Netzwerkadresse und Boradcast errechnen ist ...

Windows Server
Logging von "gesendeten Nachrichten" auf Terminalservern
Frage von Z3R0C0MM4N0THiN6Windows Server9 Kommentare

Hallo zusammen, kann mir jemand auf kurzem Wege sagen ob 1) die per Task-Manager (oder damals tsadmin) an Benutzer ...