Remotedesktopzugriff per Windows-Firewall einschränken, Standard-Ausnahme unterbinden

[stefan_k 10]

Hallo zusammen,

 

in unserem Netzwerk sollen die Rechner per Remotedesktop erreichbar sein, aber nur aus dem lokalen Subnetz sowie einem VPN-Client Subnetz.

 

Wenn ich jetzt den Remotezugriff per GPO freischalte:

Computerkonfiguration / Administrative Vorlagen / Windows-Komponenten / Remotedesktopdienste / Remotedesktopsitzungs-Host / Verbindungen:

Remoteverbindungen für Benutzer mithilfe der Remotedesktopdienste zulassen = aktiviert

 

und die Firewall folgendermaßen konfigurieren will:

Computerkonfiguration / Administrative Vorlagen / Netzwerk / Netzwerkverbindungen / Windows-Firewall / Domänenprofil:

Windows-Firewall: Eingehende Remotedesktopausnahmen zulassen = aktiviert

und dabei entsprechende Subnetze definiere,

 

tauchen in der Firewall hinterher bei Win7 und 2k8R2 mehrere Einträge in der Firewall auf.

 

Name, Profil, Aktiviert, Aktion, Programm, Remoteadresse

 

2k8R2:

Remotedesktop, Domäne, Ja, Zulassen, Beliebig, meine Subnetze

Remotedesktop (TCP eingehend), Alle, Ja, Zulassen, System, Beliebig

Remotedesktop - RemoteFX (TCP-In), Alle, Ja, Zulassen, %SystemRoot%\system32\svchost.exe, Beliebig

 

Win7:

Remotedesktop, Domäne, Ja, Zulassen, Beliebig, meine Subnetze

Remotedesktop (TCP eingehend), Domäne/Privat, Ja, Zulassen, System, Beliebig

Remotedesktop (TCP eingehend), Öffentlich, Nein, Zulassen, System, Beliebig

Remotedesktop - RemoteFX (TCP-In), Domäne/Privat, Ja, Zulassen, %SystemRoot%\system32\svchost.exe, Beliebig

Remotedesktop - RemoteFX (TCP-In), Öffentlich, Nein, Zulassen, %SystemRoot%\system32\svchost.exe, Beliebig

 

Nun weiß ich nicht genau, was daher stammt, dass ich vorher ja auch bereits mit den Kisten hier lokal remote gearbeitet habe. Ich hatte also auf diesen Testrechnern und dem neuen Server den Remotezugriff schon manuell freigeschaltet.

 

Aber ich frage mich gerade, wie ich es per GPO erreichen kann, dass der Remotezugriff nur aus den Subnetzen möglich ist - wie ich also diese standardmäßigen Freigaben unterbinden kann?

Ich würde gerne quasi ein

Deny all
Allow only mySubnets

erreichen...

 

Besten Dank und schöne Grüße

Stefan

[jarazul 10]

Du nutzt die "falsche" Firewall Konfig. Versuche stattdessen unter

 

Computer Config > Windows Settings > Security Settings > Windows Firwall with Advanced Security

 

Dort wählst du dann unter Inbound > New Rule aus. Die Default Rule Remote Desktop / Remote Desktop FX bringt dich zum Ziel. Für die Anpassung des Scopes auf deine Anforderungen klickst du auf das fertigstellte Rule Objekt und wählst unter Scope die erlaubten bzw. verbotenen Subnets aus. Voila!

 

 

cheers, Daniel

[stefan_k 10]

Hallo Daniel,

 

vielen Dank für den Hinweis! Das sieht grundsätzlich schon mal sehr vielversprechend aus!

 

Ich habe das jetzt umgesetzt, in der GPO die alten Firewalldefinitionen entfernt - auf den Clients per gpupdate die neuen Richtlinien gezogen und mich angemeldet. In den Firewall-Eigenschaften tauchen die neuen Regeln auf, allerdings tauchen dort auch immer noch alte Regeln auf, deren Scope auf Beliebig eingestellt ist! :(

 

Ich habe auf einem Win7-Client jetzt je drei Regeln für "Remotedesktop (TCP eingehend)" und für "Remotedesktop - RemoteFX (TCP-In)".

1. die per GPO neu erstellte mit Profil=Alle und dem eingeschränkten Scope.

2. Profil="Domäne,Privat", aktiviert=ja, Scope=beliebig

3. Profil="Öffentlich", aktiviert=nein, Scope=beliebig

 

Wie bekomm ich die zweite weg oder zumindest deaktiviert?

 

Schöne Grüße

Stefan

 

PS: Und gerade sehe ich noch, dass auf einem XP Client der Scope jetzt auch auf "Any" steht - zumindest dort passte es vorher mit der alten Einstellung.

Kann ich beide Einstellungen parallel in der GPO nutzen?