Jump to content

Windows 10 Firewall und Zwangsproxy


TimS
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

wir möchten in einem öffentlich zugänglichen Computerraum PCs für die Nutzung durch Studenten aufstellen. Die Software, die genutzt werden soll darf nur von einem einzigen, lokalen Benutzer ausgeführt werden. Daher müssen wir den Internetzugang auf diesen PCs für die Benutzer blockieren da wir keinem Nutzer erlauben dürfen das Internet zu nutzen der sich nicht vorher authentifiziert hat. Die Software muss aber zu einem Lizenzserver Kontakt aufnehmen und wir möchten den Studenten erlauben auf den Webmailer der Uni zuzugreifen um sich ggf. Dateien zu schicken die auf diesem Computer mit dem speziellen Programm erstellt wurden.

An anderer Stelle haben wir sogenannte Recherche-PCs. Diese können mit einem Webbrowser nur auf bestimmte URLs zugreifen. Das wird über einen Proxy-Server geregelt. 

Ich suche jetzt eine Möglichkeit die Windows PCs dicht zu machen. Es gibt ja die Möglichkeit über die lokalen Gruppenrichtlinien einen Proxy vorzugeben und die Möglichkeit diese Einstellung zu ändern zu sperren. Was ist aber wenn sich ein Student per E-Mail z.B. die portable Version eines Webbrowser zuschickt und diesen dann herunterlädt?

Kann ich irgendwie unter Windows 10 Firewall-Regeln festlegen, die für alle Benutzer gelten und die nicht geändert werden können. Diese Regeln sollten allen Internetverkehr sperren und alle Anfragen an http und https an den Proxy weiterleiten. Geht das? Danke für eure Hilfe!

Link zu diesem Kommentar
vor 3 Minuten schrieb mwiederkehr:

Soweit ich weiss, kann die Windows-Firewall kein Outbound-NAT. Es sollte aber reichen, wenn Du die Ports 80 TCP, 443 TCP sowie 443 UDP (Quic, in modernen Browsern schon aktiv) ausgehend blockierst und nur zum Proxy erlaubst.

Super, danke für die Info! Weisst Du wie das geht alle Anfragen des Browsers *und* der Software an den Proxy (10.0.0.1:8080) zu senden?

Link zu diesem Kommentar

Bin bei @Dukel - mit Bordmitteln wird das schwierig. Du müsstest nämlich die Outbound-Firewall auf "Block" setzen und dann Regeln bauen, die alles erforderliche zulassen. Da ist man eine Weile beschäftigt...

 

Zur Erklärung: Die Firewall kennt leider keine Regel "alle außer". Du kannst also nicht einfach 80/443 blocken und dann nur den Proxy zulassen, sondern Du mußt 80/443 blocken für alles _außer_ dem Proxy. Oder Du blockst alles und läßt dann halt - s.o. - alles Erforderliche wieder zu.

Link zu diesem Kommentar
  • 2 Wochen später...

Wenn Ihr schon einen Proxy habt, wäre es wohl das einfachste, diesen auch mit den bereits genannten Vorschlägen zu benutzen. Oder aber, man nimmt den beschwerlichen Weg. Auch mittels Application-Whitelisting kann Usern das Ausführen von wenigen Programmen erlaubt werden (so oder so sinnvoll, aber aufwendig). Hilft aber hier nur beschränkt wenn nicht eine Anwendung selbst, sondern wenige Ziele erlaubt werden soll. Auch eine eigene Gruppe auf einer Firewall/Proxy wäre denkbar mit granularer Freischaltung ist Netz/Web auf User-Anmeldungsbasis.

 

Die Windows-Firewall ist ziemlich easy zum dichtmachen... Einfach Standard Block Out einrichten und alle Regeln rauskicken. :grins2:

Solange ein User keine Admin-Rechte hat, bleibt das auch dicht. Der TMG basiert direkt auf dieser FilterEngine und der war richtig gut und flexibel und bot eigentlich genau das was du willst. Schade wurde der nicht Fit auf IPv6 getrimmt und hat ins Standard-Repertoir als Rolle gewechselt. Hat einen minimalsten Footprint und super granulare Steuerung direkt in Windows-Konten integriert.

 

 

Alles erlauben was notwendig ist, ist dafür gar nicht so trivial. Die Standardregeln sind einigermassen unbrauchbar und manche nichtmal funktionstüchtig. Da taugen nur die In-Regeln etwas. Wer macht schon Standard-Block-Out.  :wtf: Das Leben sehr viel leichter machst Du Dir, wenn du einfach alle Kommunikation zu Infrastrukturserver wie DC, Filer, WSUS nen Freipass-Out gibst. Das reduziert die Arbeit auf unter 10%. Von MS gibt es leider keine Zuverlässige Quelle wo alles an einem Ort beschrieben ist.

  • Überschneidende Regeln (insbesondere Systemregeln der Gruppe Static/Configurable) können zu unerwünschten Effekten führen. Wie und warum die Probleme zustande kommen, habe ich noch nicht genauer analysiert)
  • Auf Benutzerebene Firewall-Regeln zu erstellen ist grundsätzlich möglich aber ein Krampf. Ich löse das jeweils mit Scripts die konfigurierte Regeln Aktiv oder Inaktiv setzen.
  • Möchte man eine effektive Filterung mit der Windows-Firewall, empfiehlt es sich, sich auf ein Protokoll zu beschränken, sonst macht man alles doppelt und Fehlersuche ist wirklich obermühsam (IPv4 oder IPv6, ich nehme IPv4 und blockiere IPv6 da einfacher -->PrefixPolicy anpassen!)
  • einige der Dienste werden durch Windows maskiert. Eine Filterung auf den Service ist also nicht möglich obwohl einem das die Einstellungen suggerieren. svchost muss für gewisse Ports also eigentlich pauschal freigegeben werden.  Auf Wunsch liefere ich hier weitere Infos. Ist eine längere Abhandlung das zu umgehen.
  • Windows versucht manchmal erst "unsicher" zu verbinden, kommunziert also erstmal über unsichere Ports obwohl sichere vorhanden wären. Führt zu False Positives die man angeblich freigeben muss (da liegt aber meist irgend eine Policy oder Regwert zugrunde mit der man es Windows abgewöhnen kann, erstmal die unsichere Variante zu versuchen, ist im Grunde aber für diesen Zweck hier wurst).
  • Windows hat die lästig Angewohnheit vermehrt mit Apps zu arbeiten. Also Software auf Benutzerebene. Das Firewall-Handling dafür ist grässlich gelöst, aber wird mit jeder grösseren Windows-Version etwas besser aber leider auch oft anders.
  • Gleiches gilt für Versionierung von Exe's. Keine Ahnung warum die teilweise unbedingt eine Nummer im Dateinamen haben müssen (z.Bsp. Defender). Kann man alles lösen und automatisch die Regeln anpassen wenn die Internet-Zugriff haben sollen, ist aber halt aufwendig (RegKeys, Programmordner, Dateiname etc. auslesen und Exenamen/Pfad extrahieren und die Firewallregeln auf neue Version anpassen, täglich ausführen).

Am Ende muss man entscheiden ob und in welchem Umfang man das realisieren möchte und welchen Zweck man verfolgt. Das meist der Zeit spart man wie gesagt, wenn man sich die Arbeit mit den Infrastrukturserver spart und sich auf alles andere konzentriert. Sonst artet das in eine Sysiphus-Arbeit aus.

 

Wenn Du Dir aber mal die Mühe gemacht hast, dann ist es eigentlich kein Problem mehr -manchmal mit etwas Kreativität - die meisten gewünschten Freigaben ausserhalb der Basis-Funktionalität von Windows zu tätigen. Zumindest für alle was irgendwie eine fixe Logik hat.  z.Bsp. dem Browser oder einem Lizenzserver einzelne Zieladressen freizugeben. Solange diese die gleiche Adresse behalten (DHCP-Reservierung). Das ist im Grunde sehr wirkungsvoll und easy. Das ganze mit DNS-Namen bzw. Computer-Accounts wird wieder komplizierter. Genau wie die Benutzer-Regeln. Am einfachsten und gut bewährt hat sich ein Powershell-Script welches die Regeln auch gleich mit Namen stattt GUID's erstellt (können dann im Konfig-Script erstellt, gelöscht, geändert werden). Wenn ein gutes Regelset besteht, kann man es z.Bsp. granular mit GPO's verteilen. Die Lernkurve ist relativ steil.

 

Für Verwaltungszwecke erstellst ein Script welches zusätzliche Firewallregeln freischaltet (auf ACTIV setzt). Mit einem Script welches automatisch beim abmelden/in der Nacht/beim anmelden eines normalen Users etc. ausgeführt wird, deaktivierst Du die Regeln mit einem Gegenscript oder Parameterübergabe an das gleiche Script.

--> Ist mein Standardvorgehen für Industriemaschinen und mittlerweile auch in geänderter Form für Windows-Client um die Update-Runden planbar zu machen wenn ich das möchte, evtl. vor Ort bin (Maschinen) und Zeit für die allfällige Fehlerbehebung habe. Macht das Adminleben viel planbarer. Aber jeder wie er mag, hier ist es verpöhnt. Mir ist das wurscht. Muss jeder für sich sehen was für ihn am besten zum arbeiten ist. Ich automatisiere, standardisiere und plane gerne damit ich möglichst wenig Nerven verbraten muss/in Zugzwang komme ;-)

 

Kann gerne weiter behilflich sein mit konkreten Tipps/Vorgehensweise wenn Du das machen willst. Ist recht spannend wohin sich Windows und seine Dienste überall hinverbinden. Spannend aber leider teilweise auch nervtötend ist die Erstellung eines granularen, flexiblen Regelsets. Habe das ursprünglich wegen der ganzen Telemetrie/Datensammlungswut/Index-Übermittlung sowie Industriemaschinen-Abschottung sowie Update-Schutz in Angriff genommen. Mittlerweile nutze ich das gerne auch für solche Dinge. =)

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...