wznutzer 35 Geschrieben Samstag um 10:18 Melden Teilen Geschrieben Samstag um 10:18 Guten Tag, ich weiß nicht, ob man das Mikrosegmentierung nennen kann. Hier haben wir uns schon mal darüber unterhalten: https://www.mcseboard.de/topic/227410-mikrosegmentierung-sollte-man-machen-oder-nicht/ Ich habe mir ein Powershellscript gebastelt, dass eine IP-Liste von einem Netzwerkpfad einliest und alle aktiven Firewall-Regeln durchgeht und diese IPs als Remote-Adressen einträgt, eingehend. Die Idee dahinter ist, dass ich die Kommunikation der Clients untereinander so einschränken will, dass diese nur von vordefinierten Clients Verbindungen annehmen. Das Script könnte man als Task immer wieder automatisch laufen lassen. Die Umgebung ist nicht so groß und die IP Liste gibt es sowieso schon (Ausnahme oder Reservierungen vom DHCP). Ist das sinnlos oder eine tief hängende Frucht? Zitieren Link zu diesem Kommentar
NorbertFe 2.110 Geschrieben Samstag um 10:24 Melden Teilen Geschrieben Samstag um 10:24 Und wieso nicht einfach per gpo? Zitieren Link zu diesem Kommentar
wznutzer 35 Geschrieben Samstag um 11:06 Autor Melden Teilen Geschrieben Samstag um 11:06 vor 15 Minuten schrieb NorbertFe: Und wieso nicht einfach per gpo? Den Task hätte ich per GPO verteilt. Meinst Du das Powershell-Script direkt bei der Anmeldung ausführen zu lassen? Läuft das nicht im Userkontext, der dann evtl. keine lokalen Adminrechte hat? Oder meinst Du die Regeln direkt wie gewünscht per GPO zu verteilen? Der Ansatz war deswegen so, weil ich erstens die IP Adressen sowieso in der Liste pflege die dann automatisch verwendet wird und zweitens ich mich nicht um die Default-Regeln kümmern muss die Windows gerne mal anlegt, weil es immer alle aktiven Regeln verändert. Bei der GPO Lösung bräuchte ich die Variante in der Art: mach alle vorhandenen Regeln platt und füge die lt. GPO hinzu. Außerdem müsste ich bei Änderung der IP Liste an zwei Stellen Änderungen vornehmen. Meinst Du es wäre besser den lokalen Merge der Regeln zu deaktivieren (das würde das Plattmachen erledigen) und die Regeln zentral per GPO auszurollen? Evtl. aufbauend auf den Regeln die mir eine frische Windows-Installation zeigt? Zitieren Link zu diesem Kommentar
NorbertFe 2.110 Geschrieben Samstag um 13:10 Melden Teilen Geschrieben Samstag um 13:10 vor 2 Stunden schrieb wznutzer: Den Task hätte ich per GPO verteilt. Ich meine die Firewallregeln und nicht den Task. ;) vor 2 Stunden schrieb wznutzer: Bei der GPO Lösung bräuchte ich die Variante in der Art: mach alle vorhandenen Regeln platt und füge die lt. GPO hinzu. Außerdem müsste ich bei Änderung der IP Liste an zwei Stellen Änderungen vornehmen. Ja, und? Und wieso an zwei Stellen? vor 2 Stunden schrieb wznutzer: Meinst Du das Powershell-Script direkt bei der Anmeldung ausführen zu lassen? Läuft das nicht im Userkontext, der dann evtl. keine lokalen Adminrechte hat? Wieso sollte man sowas im userkontext überhaupt versuchen? Wäre ja selbst wenn es funktionieren sollte irgendwie kontraproduktiv. Zitieren Link zu diesem Kommentar
cj_berlin 1.359 Geschrieben Samstag um 13:23 Melden Teilen Geschrieben Samstag um 13:23 Moin, wenn man das dynamisch (in Bezug auf die Adressen) haben möchte: Die "normalen" PowerShell-Cmdlets für Firewall-Regeln unterstützen durchaus auch das Bearbeiten des Regelwerks in einer GPO: https://learn.microsoft.com/en-us/powershell/module/netsecurity/new-netfirewallrule?view=windowsserver2025-ps#-policystore 1 Zitieren Link zu diesem Kommentar
wznutzer 35 Geschrieben Samstag um 16:28 Autor Melden Teilen Geschrieben Samstag um 16:28 (bearbeitet) vor 3 Stunden schrieb NorbertFe: Und wieso an zwei Stellen? Nun. weil ich gerne eine Doku habe in der die festen IPs stehen und ich da nicht in einer GPO nachschauen will. Deswegen sollen sich die Regeln davon abhängig bilden. Wahrscheinlich wäre es noch besser die Doku aus dem AD generieren zu lassen. Das mache ich vielleicht, wenn ich groß bin und nicht der Nebenher-Admin . vor 3 Stunden schrieb cj_berlin: Die "normalen" PowerShell-Cmdlets für Firewall-Regeln unterstützen durchaus auch das Bearbeiten des Regelwerks in einer GPO: Das ist prima, genau das werde ich nutzen, danke. Die Standard-Regeln würde ich z. B. von einer frischen W11 Installation nehmen und ausdünnen. Kann man ja einfach per Copy & Paste in eine GPO kopieren. Oder rollt es sich bei dem Gedanken einem die Fußzehnägel auf . bearbeitet Samstag um 16:28 von wznutzer Schreibfehler Zitieren Link zu diesem Kommentar
NorbertFe 2.110 Geschrieben Samstag um 16:29 Melden Teilen Geschrieben Samstag um 16:29 Gerade eben schrieb wznutzer: Nun. weil ich gerne eine Doku habe in der die festen IPs stehen und ich da nicht in einer GPO nachschauen will. GPO könnte man genauso auslesen. :p Also das ist kein wirkliches Argument. War aber meinerseits auch rein interessehalber gefragt. Zitieren Link zu diesem Kommentar
wznutzer 35 Geschrieben Samstag um 16:33 Autor Melden Teilen Geschrieben Samstag um 16:33 vor 1 Minute schrieb NorbertFe: War aber meinerseits auch rein interessehalber gefragt. Irgendwie machen wir das alles interessenhalber. Ich freue mich immer, wenn ich mich hier austauschen kann. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.