Jump to content

W2k8R2 Firewall Verwaltungsrechte vergeben

ulitik

Von ulitik
in Windows Server Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

ulitik Enthusiast

ulitik   10

Geschrieben
Geschrieben

Hallo,

 

folgendes Szenario:

 

Ein Kunde hat bei uns 3 Server angemietet. Diese stehen hinter eine HW-Firewall und sind so von außen geschützt. Der Kunde verbindet sich per VPN auf die HW-Firewall und kann dann über den VPN-Tunnel auf seine Server verbinden. Auf den Servern eingeloggt, kann der Kunde theoretisch im ganzen „internen“ Netzwerk bewegen.

 

nun meine Frage: Wie/Wo kann ich die Administration der Lokalen Windows Firewall so konfigurieren, das die Einstellungen der Firewall nur von „Domain Admins“ geändert werden dürfen?

Link zu diesem Kommentar
StefanWe Veteran

StefanWe   14

Geschrieben
Geschrieben

Jeder der Adminrechte hat, kann die Firewall-Einstellungen ändern.

 

Welchen Sinn sollte das sonst auch haben?

 

Was heißt im ganzen "internen" netz? In dem Netz wo seine drei Server stehen, oder in dem netz wo auch eure Server stehen?

 

Wenn ihr das nicht wünscht, solltet ihr über VLAN's nachdenken und jedem Kunden ein VLAN verpassen.

 

 

Aber zurück zum Thema, welchen Sinn soll es haben, das nur Domänen Admins die Regeln ändern können?

 

Normale User können es jedenfalls nicht.

Link zu diesem Kommentar
ulitik Enthusiast

ulitik   10

Geschrieben
  • Autor
Geschrieben

Hallo StefanWe,

 

im internen Netzwerk stehen auch andere Maschinen von anderen Kunden und auch unsere(Maschinen auf dem Hyper-V-Cluster).

 

Das sollte folgenden Sinn haben: Der Server-Admin kann sich einloggen, alles auf der Maschine machen können, bis auf die Firewall regen ändern.

 

VLAN’s… ja da habe ich auch schon nachgedacht, aber da brauchen wir dann Switche, die dynamische VLAN’s unterstützen. Und das haben wir nicht.

 

@NilsK:

 

Ich hatte auf den Servern von einem unseren Groß Kunden gearbeitet. Da hatte ich Sitecore einrichten müssen. Dafür musste ich zwangsläufig lokale Admin rechte haben. Diese hatte ich auch gehabt, und konnte trotzdem die Lokale Firewall nicht starten da ich, als lokaler Admin keine rechte für das Snap-In hatte.

 

… aber danke für Deine Antwort, auch wenn diese keinen Hinweis auf eine Lösung beinhält.

Link zu diesem Kommentar
NorbertFe Grand Master

NorbertFe   2.105

Geschrieben
Geschrieben
@NilsK:

 

Ich hatte auf den Servern von einem unseren Groß Kunden gearbeitet. Da hatte ich Sitecore einrichten müssen. Dafür musste ich zwangsläufig lokale Admin rechte haben. Diese hatte ich auch gehabt, und konnte trotzdem die Lokale Firewall nicht starten da ich, als lokaler Admin keine rechte für das Snap-In hatte.

 

… aber danke für Deine Antwort, auch wenn diese keinen Hinweis auf eine Lösung beinhält.

 

Das bedeutet nur, dass es etwas schwieriger ist, bzw. du nicht wußtest, wie es geht. Nichtsdestotrotz ändert es genau nichts an Nils' Aussage.

 

Bye

Norbert

Link zu diesem Kommentar
ulitik Enthusiast

ulitik   10

Geschrieben
  • Autor
Geschrieben
Das bedeutet nur, dass es etwas schwieriger ist, bzw. du nicht wußtest, wie es geht. Nichtsdestotrotz ändert es genau nichts an Nils' Aussage.

 

genau, ganz genau NorbertFe! Ich weiß nicht wie es geht und deswegen frage ich hier „Experten“ in der Hoffnung ein Tipp zur Lösung zu bekommen.

 

Denn offensichtlich geht das ja irgendwie.

Link zu diesem Kommentar
StefanWe Veteran

StefanWe   14

Geschrieben
Geschrieben

Eine Möglichkeit wäre die Firewall per GPO zu steuern. Allerdings werden die Kundenserver ja vermutlich nicht eurer Domain angehören, sondern eine eigene haben, oder gar keine.

 

Wenn ihr Kunden Systeme hostet, dann solltet ihr definitiv VLAN's einsetzen um die Netze zu trennen. Stellt euch mal vor, wenn durch Unachtsamkeit von einem Kunden Server Zugriff auf einen anderen Kunden geschieht und dort Datendiebstahl oder sonstwas begangen wird. Da kommt ihr in Teufels Küche.

 

Und mal ehrlich, wer Kunden Server hosten kann, der kann sich auch Switche mit VLAN Unterstützung kaufen.

 

Außerdem wieso dynamsiche VLAN's ? Das braucht ihr nicht.

 

Laufen die Server virtuell? Dann erstellt ihr auf dem vSwitch des Hypervisors ein Kundennetz mit seinem VLAN. Den Switchport an dem der Hypervisor hängt konfiguriert ihr so, dass dort alle VLAN's zur Verfügung stehen. Das "Tagging" übernimmt dann der Hypervisor.

 

Z.B. der Switch kann das was ihr benötigt:

 

HP ProCurve Switch 1810G-24, 24-Port Gigabit (J9450A))

 

Und das Geld sollte jeder über haben, der Server hostet.

Link zu diesem Kommentar
StefanWe Veteran

StefanWe   14

Geschrieben
Geschrieben
NorbertFe, Ihr sagt mir das ein Admin alles kann und darf. Da ist mir doch klar, aber ich hatte die Erfahrung gemacht das ich als lokaler Admin nicht auf die Firewall Snap in zu greifen dürfte und bekam „access denied“-Meldung.

Wie kann es sein, dass ich als lokaler Admin diese Meldung bekomme, wenn ich doch ein lokaler Admin bin?

 

Eventuell durch eine Gruppenrichtlinie gesperrt.

Link zu diesem Kommentar
ulitik Enthusiast

ulitik   10

Geschrieben
  • Autor
Geschrieben

Danke für die Antwort StefanWe,

 

muss mich glaube ich mehr mit VLAN's auseinander setzen.

 

Wir setzen Dell PowerConnect 2748 ein. Ich wollte die VLAN's nach IP erstellen und dafür braucht man dynamische VLAN's. weil alle IP's ja von Hyper-V Host über ein Kabel mit Außenwelt kommunizieren plus dazu muss ein VPN-User Zugriff auf ein nur bestimmtes VLAN haben.

Link zu diesem Kommentar
NorbertFe Grand Master

NorbertFe   2.105

Geschrieben
Geschrieben
NorbertFe, Ihr sagt mir das ein Admin alles kann und darf. Da ist mir doch klar, aber ich hatte die Erfahrung gemacht das ich als lokaler Admin nicht auf die Firewall Snap in zu greifen dürfte und bekam „access denied“-Meldung.

Wie kann es sein, dass ich als lokaler Admin diese Meldung bekomme, wenn ich doch ein lokaler Admin bin?

 

Das bedeutet gar nichts. Als Admin kann ich jegliche Einstellung auch wieder umbiegen. Wie leicht das ist, ist eben eine Frage des Know Hows. Nur weil du so eine Meldung bekommst und damit nicht weiterkamst, heißt das nicht, dass eure Kunden genauso leicht "zufrieden" sind. ;)

 

Nix für ungut, Nils Aussage trifft zu, ob dir das gefällt oder nicht. ;)

 

Schönen Abend noch

Norbert

Link zu diesem Kommentar
StefanWe Veteran

StefanWe   14

Geschrieben
Geschrieben

Ich glaube er möchte mit der Windows Firewall die Systeme untereinander trennen...

 

Also dynamische VLANs brauchst du wirklich nicht. Euer Switch kann alles was ihr braucht.

 

Ich glaube ihr habt ein allgemeines Problem mit eurer Struktur und solltet euch vielleicht externe Beratungshilfe suchen. Nicht böse gemeint.

 

Wenn ihr Kundensysteme hostet, solltet ihr für jedes Kundennetz ein eigenes VLAN machen. Am besten je Kundennetz eine Zentrale Firewall. (Ist aber Geschmackssache) und wenn ihr den Kunden VPN Tunnel zur Verfügung stellt, müsst ihr schauen, das euer VPN Gateway die Eingewählten User in die richtigen VLANs zuteilt... das geht alles.

 

 

Zu den GPO's schau mal hier: http://www.gruppenrichtlinien.de/index.html?/vista/vista_firewall_abschalten.htm

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...