Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

WMI-Remote-Steuerung der Windows-Firewall

Frage Microsoft

Mitglied: thomasbln

thomasbln (Level 1) - Jetzt verbinden

24.02.2009, aktualisiert 10:15 Uhr, 8701 Aufrufe, 13 Kommentare

Hallo,

ich habe folgendes Problem:

Ich soll die Remote-Steuerung von Windows-Firewalls in VBScript realisieren.

Laut [1] ist das gar nicht so ohne weiteres möglich. Das Firewall-Objekt kann nämlich nur lokal erstellt werden. Das bedeutet, dass ich das Script lokal ausführen lassen muss (die Systemlösung, für die ich die Scripts schreibe, lässt das sogar in Echtzeit zu). Lokal heißt aber eben auch, dass ich mir so richtig Gedanken machen muss, wie ich die Kommunikation zwischen Admin und Client regeln will - wie kann ich dem Admin das FW-Setup übermitteln, wenn doch das Script lokal beim Client läuft? Oder noch simpler: Wie kann ich dem Client-Script einen Port übermitteln, der geschlossen/geöffnet werden soll?

In [1] werden zwei Wege genannt: Zum einen über eine auf einem Server ausgelagerte Textfile. Und zum anderen über Win32_Process-Klassen.

Der erste Vorschlag ist intuitiv, das Admin-Script erstellt aufm Client eine Datei mit Anweisungen für das lokal ausgeführte Client-Script, welches dann seinerseits wieder eine Datei aufm Client erstellt und das Ergebnis da hinein schreibt. Ich kann keinen bestimmten Server festlegen, auf dem die logfiles gespeichert werden sollen, schließlich wird die Software, die ich hier skripte, verkauft - und weiß der Geier wie die Leute ihre Server so nennen ;) So sehe ich das.

Zu dem anderen Vorschlag wird leider überhaupt nichts weiter erzählt, aufgrund meiner diesbezüglichen Unwissenheit habe ich jetzt die Hoffnung, dass dieser Weg etwas einfacher sein könnte - hat jemand vllt einen Plan, wie ich da vorgehen könnte?

Gruß,
Thomas



[1] http://www.microsoft.com/technet/scriptcenter/resources/tales/sg1104.ms ...
Absatz 'Scripting the Windows Firewall'
Mitglied: problemsolver
24.02.2009 um 12:50 Uhr
Hallo,

mach es Dir nicht unnötig kompliziert. Zwei Beispiele, um die Firewall ein bzw auszuschalten:
01.
netsh firewall set opmode mode = ENABLE
01.
netsh firewall set opmode mode = DISABLE
Wenn Du jetzt ein wenig tiefer gräbst und dir eine Batchdatei baust und das ganze mit psexec aus der sysinternals suite verbindest, kommt ein nettes Rezept heraus.
Du kannst aber auch gleich mit Gruppenrichtlinien und Standardprofilen / Domänenprofilen arbeiten, um deine Einstellungen für die Arbeitsplätze vorzunehmen.

Die dickgedruckten Wörter sollte vorerst zum Graben und Nachschlagen für Dich reichen

Gruß

Markus

EDIT: natürlich sind das oben nur BEISPIELE. Du kannst über netsh firewall auch Ausnahmen definieren... wollte ich nur noch schnell erwähnen.
Bitte warten ..
Mitglied: thomasbln
24.02.2009 um 13:30 Uhr
Hey Markus, vielen Dank erstmal - ich werds ausprobieren und wenns nich klappt, schrei ich!
bg
Bitte warten ..
Mitglied: thomasbln
24.02.2009 um 13:38 Uhr
Sysinternals/PsExec ist nicht drin - ist hier nicht installiert und ich kann erst recht nicht voraussetzen, dass die Kunden das tun..

Ist es möglich, dass nur ein Teil eines VBScripts lokal ausgeführt wird?
Bitte warten ..
Mitglied: problemsolver
24.02.2009 um 13:53 Uhr
Hallo,

ja.
Batchdatei als Beispiel lokal ausführen (s.o.) Du hast gerade bewiesen, dass Du meinen Text nicht gelesen hast...

Firewall aktivieren.
01.
netsh firewall set opmode mode = ENABLE
oder Programmausnahme festlegen
01.
netsh firewall set allowedprogram "C:\MyApp\MyApp.exe" MyApp ENABLE
oder Datenverkehr für TCP auf Port 80 erlauben:
01.
netsh firewall set portopening TCP 80 MyWebPor

Setz dich bitte mit dem Thema ein wenig auseinander. Verlange nicht, dass wir für Dich deine Arbeit machen
Start --> Ausführen --> netsh [ENTER]
Danach gibst Du ein "?" ein... der Rest ist selbsterklärend...

Gruß

Markus
Bitte warten ..
Mitglied: thomasbln
24.02.2009 um 14:11 Uhr
Natürlich habe ich deinen Beitrag gelesen. Lokal funktioniert das ja auch alles wunderschön. Ich habe die Firewall schon per netsh konfiguriert und mir auch schon Plänge für ein Interface gemacht, welches DAU-Angaben in Batch-Code wandelt.
Die batch-Datei kann ich auch auf den remote-Rechner schreiben - doch zum Ausführen brauche ich doch PsExec. Und das geht nicht. Daher bin ich von dem Trichter wieder abgegangen.

edit: Echt mal - natürlich bin ich dir total dankbar dafür, dass du mir aus freien Stücken hilfst. Aber ich bin keiner von den Leuten, die in Foren nach Komplettlösungen verlangen und ich reagier irgendwie allergisch, wenn mich jemand so bezeichnet..
Bitte warten ..
Mitglied: thomasbln
24.02.2009 um 15:00 Uhr
Deswegen meine Frage - ist es irgendwie möglich einen Teil eines Scripts lokal auszuführen? Damit umginge ich ja PsExec, Batch & co..
Ich könnte dann aufm client eine Datei mit den benötigten Infos schreiben und die dann remote auslesen und wieder löschen..
Bitte warten ..
Mitglied: thomasbln
24.02.2009 um 15:21 Uhr
Genau, auf den Punkt gebracht: Was ich brauche, ist eine Möglichkeit ein (auf dem remote-PC bereits vorhandenes, weil zuvor dort geschriebenes) Script zu starten. Ganz ohne PsExec.
Bitte warten ..
Mitglied: problemsolver
24.02.2009 um 15:35 Uhr
Hallo,

hatte glaube ich deine Frage nicht richtig verstanden.
Hier die Lösung:
01.
'Script: RemoteProcess.vbs 
02.
'Aufruf von Kommandozeile über cscript <scriptname> 
03.
 
04.
Option Explicit 
05.
Dim strCommand, objProcess, intProcessID, strComputer 
06.
 
07.
strComputer = "DEINZIELCOMPUTER" 
08.
strCommand = "C:\firewallconfig.bat" 
09.
Set objProcess = GetObject("winmgmts:\\" & strComputer & "\root\cimv2:Win32_Process") 
10.
objProcess.Create strCommand,null,null,intProcessID 
11.
 
12.
WSCript.Quit
Erläuterung:
Ändere strComputer und strCommand nach deinen Wünschen ab.
strCommand ist der Lagerort von dem Zielrechner aus gesehen.

Denke ich konnte Dir helfen...

Gruß

Markus
Bitte warten ..
Mitglied: thomasbln
24.02.2009 um 16:07 Uhr
Hi,

also im Grunde war es schon das was ich gesucht habe. Aber jetzt 'Zugriff verweigert' (habe einfach mal eine batch file geschrieben, die einen ordner erstellt - geht nicht mit genannter Begründung). Ich nehme an, dass das mit den Rechten zu tun hat..!? Ich suche mal im Forum danach..

Danke dir erstmal!

bg
Thomas
Bitte warten ..
Mitglied: problemsolver
24.02.2009 um 18:07 Uhr
Hi,

"Zugriff verweigert" liegt wahrscheinlich daran (vorausgesetzt, dass Du die beiden Werte korrekt abgeändert hast), dass Du keine (administrativen) Zugriffsrechte auf dem Remoterechner besitzt. (keine Domäneninfrastruktur? Kein Domänen-Admin?)

Abhilfe:
Füge einen Benutzer bei der Remotemaschine lokal hinzu, der den gleichen Anmeldenamen und das gleiche Passwort von dem Benutzer besitzt, der das Script auch lokal bei dir ausführt.

Falls das nicht funktioniert, müsste man noch einmal schauen.

Gruß

Markus
Bitte warten ..
Mitglied: thomasbln
25.02.2009 um 11:20 Uhr
Gerade kann ich noch nicht allzu viel dazu sagen. Ich denke aber, dass ich mich nicht darauf verlassen kann, dass diese Funktionen tatsächlich nur von Domain-admins ausgeführt werden sollen.

Ich verstehe deinen Tipp nicht ganz. Meinst du, ich soll auf dem remote-PC einen Remote-Nutzer hinzufügen? Geht das denn überhaupt per remote? Das würde ja keinen Sinn machen.

Ich glaube fast ich werde nicht daran vorbeikommen, die Domain-admin-Eigenschaft beim Nutzer vorauszusetzen.
Bitte warten ..
Mitglied: problemsolver
27.02.2009 um 17:35 Uhr
Hallo,

du benötigst einfach administrative Rechte auf dem Remote-PC. Von du von deinem lokalen PC Zugriff auf den Remoterechner benötigst, muss entweder der gerade am lokalen PC angemeldete Benutzer dem Remote Rechner bekannt sein, oder Du musst dich an ihm manuell authentifizieren.
Recht hast du natürlich damit, dass es einfacher ist, die Domänen-Admin Rechte vorauszusetzen... aber ob das immer so gut ist... naja.

Wünsch Dir trotzdem noch viel Erfolg beim Lösen

Gruß

Markus
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Windows Server
gelöst Lokale Windows Firewall Server 2012R2 für virtuelle Maschine? (4)

Frage von 1410640014 zum Thema Windows Server ...

Firewall
Mobile VPN Geräte ohne Windows Firewall (7)

Frage von Milchmann89 zum Thema Firewall ...

Batch & Shell
gelöst VBscript - WMI - ServerAddress + ConnectionStatus (Windows 7) (10)

Frage von Highend01 zum Thema Batch & Shell ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (18)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Windows Netzwerk
Windows 10 RDP geht nicht (18)

Frage von Fiasko zum Thema Windows Netzwerk ...

Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...