GPO - Firewallregeln

[al3x 11]

Hallo Gemeinde,

 

ich weiß ein altes Thema, aber folgendes Szenario, der RDP-Zugriff soll per GPO erlaubt werden, aber ich kann den Fehler nicht finden.

Die GPO einer Test OU beinhaltet:

1. das Starten des Remotedesktopdienstes -> Win-Einstellungen / Sicherheitseinstellungen / Systemdienste / Remotedesktopdienste = starten

2. die Firewallausnahme eingehend für RDP -> Win-Einstellungen / Sicherheitseinstellungen / Win FW erweiterte Sicherheit / eingehend = vordefinierte Regel "Remotedesktop" für Domäne und Privat

 

In dieser OU sind insgesamt 5 GPOs angelegt und in 3 davon sind Änderungen der Firewall definiert. Bei den 3en gilt jeweils "lokale FW-Regeln anwenden = nein" in den globalen Einstellungen, bei den restlichen 2 GPOs steht der Wert auf "nicht konfiguriert".

Es gibt 2 aktivierte RDP Einträge in der lok.FW:

Remotedesktop [Domäne]      GPO=ja

Remotedesktop [Domäne]      GPO=nein

 

Die Regeln der 3 GPOs überschneiden sich nicht. So gesehen wäre die Reihenfolge der Anwendung ja auch egal und alle Regeln sollten sich addieren - heißt, die lok. Regeln greifen nicht und die 3 definierten sind aktiv.

Dennoch werden die "GPO-Regeln" ignoriert.

 

Setze ich bei allen 3 GPOs den Wert "lokale FW-Regeln anwenden = nicht konfiguriert", dann funktioniert es, sobald die lokalen Einstellungen gesetzt sind - ist ja auch verständlich. Aber warum greift es nicht, wenn nur die GPO-Regeln zugelassen sind?

 

Wo hab ich meinen Denkfehler? Hab ich was vergessen?

 

 

 

[NorbertFe 2.027]

Interessant wäre jetzt:

mit welchem os würde das gpo und die darin befindlichen Firewallrules erzeugt?

auf welches os sollen die Firewallrules wirken?

 

bye

norbert

[al3x 11]

erzeugt unter Win10, wirken soll es auf Win7 und Win10 Clients

[NorbertFe 2.027]

Es funktioniert bei keinem der beiden OS? Oder nur bei Windows 7 nicht?

[al3x 11]

Hallo Norbert,

hm soweit ich es bis jetzt beurteilen kann, scheint es tatsächlich nur die Win7er zu betreffen. Ein Win10 LTSB tut auf den ersten Blick schonmal was er soll..

 

 

[NorbertFe 2.027]

Und was schlußfolgerst du daraus? ;)

Vorschlag: Du baust zwei GPOs und filterst per WMI auf das OS. Dann definierst du im GPO für WIndows 7 die Firewallregeln mit einem GPMC von Windows 7 aus und für WIndows 10 von Windows 10 aus. Ja das ist lästig, aber im Endeffekt kannst du das so am saubersten realisieren. Alternativ manuell einfach port 3389 statisch öffnen geht immer, ist aber nicht so "sauber".

 

Bye

Norbert

[al3x 11]

Sowas hatte ich schon befürchtet, dachte nur nicht, dass es bei sowas "einfachem" wie den FW-Regeln so unterschiede gibt.

Stimmt ist lästig, da ich dann ja alle GPOs, die FWRules enthalten doppelt machen muss.

[testperson 1.674]

vor 39 Minuten schrieb al3x:

Stimmt ist lästig, da ich dann ja alle GPOs, die FWRules enthalten doppelt machen muss.

Andere Alternative: Schmeiß die Win7 raus und geh komplett auf Win10. ;)

[NorbertFe 2.027]

vor 3 Stunden schrieb al3x:

Sowas hatte ich schon befürchtet, dachte nur nicht, dass es bei sowas "einfachem" wie den FW-Regeln so unterschiede gibt.

Stimmt ist lästig, da ich dann ja alle GPOs, die FWRules enthalten doppelt machen muss.

Wieviele davon hast du denn? :o

Abgesehen davon, Firewallregeln immer in eigenen GPOs führen und nicht mit ADMs  und GPP usw. mischen

[daabm 1.348]

Dritte Alternative: Machs mit Win7, das klappt auch für Win10. Die FW-Regeln enthalten eine Versionsnummer...

[al3x 11]

Hallo.

Habe es mit W7 jetzt neugebaut und scheint bisher gut zu funktionieren.

Was empfiehlt ihr bei den globalen Einstellungen unter [Domänenprofil]-[Status] ?

 

Ich würde für logisch halten:

 

Firewallstatus = Ein

eingehende Verbindungen = Blockieren (es sollten ja dann die Ausnahmen greifen, die man definiert hat)

ausgehende Verbindungen = nicht konfiguriert oder Zulassen

 

[NorbertFe 2.027]

Ich empfieh ^h^h^hele deine Einstellungen. Also Firewall an, plus deine Regeln und ausgehend nicht konfiguriert. Wenn es natürlich Anforderungen gibt, kann man auch über andere Konfigurationen reden. :)

bearbeitet 26. November 2018 von NorbertFe

[al3x 11]

Norbert, ist es sinnvoll die globalen settings bei jeder einzelnen FW-GPO zu setzen oder reicht es aus, dies nur in der letzten (sprich bei Verknüpfungsreihenfolge = n, bei 1..n GPOs) zu tun?

 

[NorbertFe 2.027]

Das reicht bei einer aus soweit ich mich erinnere. Teste es aber sicherheitshalber nochmal.

[al3x 11]

FYI
Ich muss die Aussage revidieren, über W7 erstellte GPOs funktionieren nur teilweise unter W10.

Im Fall RDP musste ich wie von Norbert vorgeschlagen eine zweite unter W10 erstellte GPO anlegen und per WMI filtern, damit RDP funktioniert. Die unter W7 erstellte Policy, obwohl die FW-Ausnahmen auf dem W10-Client ersichtlich sind (also passiert ja was), funktionieren nicht.