v-rtc 88 Geschrieben 30. Juni 2021 Melden Teilen Geschrieben 30. Juni 2021 Hallo zusammen, ich bin gerade an einem groben Konzept für die Windows Firewall dran. Aktuell frage ich mich, ob man die bestehenden FW Regeln, obwohl die Windows FW aus ist, irgendwie "reset(en)" kann bzw. auf Default umstellen? Wir "nutzen" gerade eine FW vom AV Programm und möchten nun umstellen. Vielen Dank. Grüße Zitieren Link zu diesem Kommentar
Damian 1.533 Geschrieben 30. Juni 2021 Melden Teilen Geschrieben 30. Juni 2021 Hi Schau Dir mal in der CMD die Optionen unter netsh advfirewall /? an. VG Damian Zitieren Link zu diesem Kommentar
daabm 1.354 Geschrieben 30. Juni 2021 Melden Teilen Geschrieben 30. Juni 2021 In einer verwalteten Umgebung gibt es keine lokalen Regeln und keine lokalen Ausnahmen - einen "Reset" also auch nicht. Kommt alles aus GPOs - und die mußt Du Dir hart erarbeiten. Wir haben kürzlich Outbound Block aktiviert für Public/Private, die Lernkurve ist steil 2 Zitieren Link zu diesem Kommentar
v-rtc 88 Geschrieben 30. Juni 2021 Autor Melden Teilen Geschrieben 30. Juni 2021 Vielen Dank. Dann auf in den Kampf 🥺 Zitieren Link zu diesem Kommentar
Weingeist 159 Geschrieben 5. Juli 2021 Melden Teilen Geschrieben 5. Juli 2021 Beschäftige mich schon seit einiger Zeit mit der Windows-Firewall. Die Einstellungen der Firewall sind alle in der Registry abgelegt. Man kann also auch darüber Modifikationen tätigen. GPO oder lokal. Damit Outbound-Block zielführend ist, sind folgende Befehle hilfreich: Englisches OS: auditpol.exe /set /category:"Object Access" /subcategory:"Filtering Platform packet drop" /success:enable /failure:enableDeutsches OS: auditpol.exe /set /category:"Objektzugriff" /subcategory:"Filterplattform: verworfene Pakete" /success:enable /failure:enable Alle Sprachen: auditpol.exe /set /category:"{6997984A-797A-11D9-BED3-505054503030}" /subcategory:"{0CCE9225-69AE-11D9-BED3-505054503030}" /success:enable /failure:enable Damit erscheinen die Drops und Success-Versuche im Sicherheits-Event-Log und man kann entsprechende Regeln erstellen. Mit Befehlen Tasklist.exe /svc sowie netstat -a -b und -n erhält man nütztliche Infos zu den betroffen Prozessen. Die Lernkurve ist übrigens nur auf den ersten Moment steil. Sobald man tiefer geht, wird es lästig. ;) - Moderne Apps sind enorm mühsam im Handling - Filterungen auf Dienste welche die svchost zugrunde haben, funktionieren in neueren OS nicht mehr korrekt weil die SID maskiert werden - Kopien/alias/hardlinks der svshost.exe ermöglich eine effektive Filterung auf Dienstebene. Ist etwas aufwändiger, dafür erkennt man auch welche Programme effektiv wann wie Zugriff via svchost tätigen (ich blockiere dann standardmässig die originale svchost.exe und erlaube nur traffic auf die aliase) - Apps Entscheidet man sich für eine Aufdröselung der Dienste in verschiedene svchost.exe Hardlinks, sollte man folgende Dienste auf eine gemeinsame gleiche svchost.exe datei zeigen lassen, sonst gibt es ärger (diese sind auch sonst gruppiert und haben einen gemeinsamen prozess, die anderen wurden weitesgehend von MS bereits aufgedröselt) - DcomLaunch, brokerinfrustructure, SystemEventsBroker, Power (warum auch immer Power hier reinkommt) - RpcSs, RpcEptMapper - mpssvc, BFE - UserDataSvc, OneSyncSvc, PimIndexMaintenanceSvc, UniStoreSvc Die Systeminternen Rules müssen dann ebenfalls angepasst werden, sonst laufen sie ins leere bzw. muss sie selber erstellen. Wo liegen alle Rules?: HKLM\System\CurrentControlSet\services\sharedaccess\Parameters\ Unterordner Static von Restricted Services sind die System-regeln die weder mit Powershell noch mit GPO's verändert werden können noch in der GUI erscheinen und somit auch nicht mit GPO's geändert werden können. Unterordner configurable: sind die Regeln die mit NetSH oder Powershell geändert werden können aber nicht in der GUI erscheinen. Die Regeln für Apps sind je nach W10 Build anders aufgebaut und abgelegt. Ziemlich mühsame Sache. Auch deren Pflege ist Horror weil sie auf Benutzerebene angelegt werden. Eine enorme Anzahl ausnahmen die jegliche Kommunikation mit diesen Apps erlaubt und nicht auf Anhieb ersichtlich sind. --> Deren Erstellung kann man theoretisch verhindern wenn man den Zugriff auf die Reg-Hives beschränkt, nur scheitert dann die Installation von Apps auf Benutzerebene beim erstmaligen Anmelden. Sprich kein Startmenü etc. --> Ich finde das ganz praktisch auf Servern und Industriemaschinen. Der Desktop an sich funktioniert trotzdem. Quasi minimale Gui Hier noch ein alter Thread von mir: - Audit der Filter-Engine hilft bei Block-Out, die Standardregeln von MS sind leider nicht vollständig für einen normalen Domänenbetrieb. 1 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.