SP2 Firewall per REG konfigurieren?

Hi,

kann man die Firewall per Reg.Files konfigurieren oder zumindest über Gruppenrichtlinien?

Ich würde gern bei uns im LAN ICMP für Ping aktivieren und Ports öffnen für z.B. VNC und/oder Windows Remote Unterstützung.

So mancher User ist einfach überfordert, wenn ich ihm am Telefon erklären muss, wie er eine Ausnahme einpflegt... (warum? wisoooo? weshalb??? ich denke das kennt jeder)

Gruß, phex

hi!

nicht per reg aber per inf ;) einfach mal in google oder bei ms direkt suchen.

gruss saracs

Im Tipps&Links wär's auch gewesen.....Mist!! :(

http://www.mcseboard.de/showthread.php?postid=231854#post231854

extra für dich velius ;) :D

gruss saracs

Danke schön. Werd mich dann gleich mal an die Arbeit machen und mich etwas einlernen.

Gruß, phex

Original geschrieben von saracs

http://www.mcseboard.de/showthread.php?postid=231854#post231854

 

extra für dich velius ;) :D

 

gruss saracs

Wie lieb von dir *sniff* :)

Irgendwie klappt das alles nicht.

Ich werde wohl im localen Subnetz alles aufmachen aber der blockt dennoch alles...

Ich hab das eingetragen:

[iCF.AddReg.DomainProfile]

# Standart Einstellungen ; Erlauben von winupdate.microsoft.com

HKLM,"SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List","%windir%\system32\sessmgr.exe",0x00000000,"%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

# RPC & DCOM erlauben (für Remoteadmin)

HKLM,'SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\RemoteAdminSettings','Enabled',0x00010001,1

# RPC & DCOM Bereich auf 10.0.0.0/16 einschränken

HKLM,'SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\RemoteAdminSettings','RemoteAddresses',0x00000000,10.0.0.0,255.255.0.0

# ICMP erlauben (nur InboundEchoRequest > ping)

HKLM,'SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\IcmpSettings','AllowInboundEchoRequest',0x00010001,1

damit sollte der Remoteadmin & ping gehen -- Tut's aber nicht.

Hab das gleiche unter [iCF.AddReg.StandardProfile] eingetragen (mit der kleinen Abweichung im Namen).

Wie kann ich alles für das Subnet 10.0.0.0/16 öffnen, d.h. das da jedes Programm durch geht?!

Gruß, phex

Hmm...

wo speichert denn Windows die Settings?

Wenn ich ein Programm als Ausnahme definiere und mir dann wieder die netfw.inf anschaue, dann hat sich nix geändert.

Wo werden die Pfade etc hinterlegt?

Ist vielleicht doch nicht der beste Weg, um die Fw zu konfigurieren:

Konfigurieren der Funktion "Windows-Firewall" in Windows XP Service Pack 2

Viel Glück

Velius

Das Sicherheitscenter ist leider nicht der beste Weg wenn man mehr als 400 Clients so überarbeiten sollte... Deswegen dachte ich ja dran, das per INF File zu tun (gleich beim Patchen mit aufspielen) aber irgendwie will das nicht egal was ich da eintrage... :/

lies 'mal genau durch Phex. Da steht unter anderem auch, wie du es 'per GPO einrichten kannst.....

Das mit der *.ini ist eigentlich schon wieder alt! ;) :p

Gruss

Velius

P.S.: Diesen Link meinte ich im insbesonders....

http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=4454e0e1-61fa-447a-bdcd-499f73a637d1

Na schön. Dummerweise beginnen wir ab Montag erst mit der Implementierung von ActiveDirectory... ;)

Aber wenn dass dann in ein paar Monaten läuft *g* werd ich's auf jeden Fall per GPO machen.

hmm. Warum verwendet der mit dur die Standart und nicht die Domäneneinstellungen?

Packt er das nicht, wenn ich hier noch eine NT4 Domäne habe??

Salut,

was spricht gegen diese Reg-Keys zum Deaktivieren?

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]

"EnableFirewall"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]

"EnableFirewall"=dword:00000000

Habe es mal probiert und es hat geklappt. Das Sicherheitscenter zeigt die Aktivierung/Deaktivierung bei mir sofort an.

Grüße, e2e4

Was dagegen spricht:

Wir haben derzeit noch eine NT4 Domäne.

Demnach arbeitet die Firewall immer im "Standart" Modus und leider nicht im Domänenmodus. Warum auch immer.

Wenn ich nun die FW abschalte ist sie auch aus, wenn ein Aussendienstler sich per Modem ins Internet Einwählt.

Was ich will wäre, dass im Intranet, d.h. im Domänenbetrieb entweder die FW deaktiviert ist oder noch besser ich eben die entsprechenden Portranges angeben kann, die offen sein sollen (für VNC, RemoteUnterstützung, ICMP->ping etc).

Bei der Domänenanmeldung könnt ich zwar den Reg Key setzen lassen (d.h. die FW deaktivieren) aber wie schalte ich die dann wieder ein? Wir verwenden kein Script beim Herunterfahren des PC's... (mal abgesehen davon, dass dies nicht gerade die egelanteste Lösung wäre)