Win 7 - Firewall Netzwerkkartenabhängig konfigurieren

[Coldasice]

Hallo Gemeinde,

ich habe eine Frage bezüglich der intregrierten Firewall.
Ich habe einen Laptop mit Wlan und UMTS Stickt, jedoch soll immer nur eines der beiden aktiv sein dürfen.

Das heißt wenn das Gerät per WLan verbunden ist, darf keine Verbindung per UMTS aufgebaut werden können und auch nicht andersherum.

Kann ich das irgendwie, am besten mit der integrierten Firewall, regeln?

Sollte das nicht gehen, habe ich überhaupt eine Möglichkeit das zu regulieren?

Grüße

[nawas]

1. Warum sowas??? Welcher Sinn steckt dahinter?
2. Kann der User net einfach eins von beiden aktivieren/deaktivieren?
3. Was ist (und so passiert es meistens) wenn die UMTS Karte sich schneller einbucht als das W-Lan?? Soll es noch änderbar sein?? (den WLan ist ja meistens schneller und kostengünstiger)
4. Was hat das mit der Firewallregel zu tun??? Wenn einer in einem öffentlichen WLan ist oder via UMTS ins Internet geht möchte ich doch beides gleich Sicher haben!!!

[Coldasice]

Zitat von nawas 1. Warum sowas??? Welcher Sinn steckt dahinter? 2. Kann der User net einfach eins von beiden aktivieren/deaktivieren? 3. Was ist (und so passiert es meistens) wenn die UMTS Karte sich schneller einbucht als das W-Lan?? Soll es noch änderbar sein?? (den WLan ist ja meistens schneller und kostengünstiger) 4. Was hat das mit der Firewallregel zu tun??? Wenn einer in einem öffentlichen WLan ist oder via UMTS ins Internet geht möchte ich doch beides gleich Sicher haben!!!

Da steckt ein Sicherheitsgedanke dahinter.
Ist das Laptop per Wlan in unserem Unternehmensnetzwerk darf auf keinen Fall eine UMTS Verbindung hergestellt werden.
So wäre es ein leichtes über die UMTS Verbindungs von uns gesperrte Inhalte zu umgehen bzw. Schadsoftware über die UMTS Verbindung einzuschleusen.

Der User könnte das natürlich auch jedes mal machen, aber ich möchte nicht zig Usern zumuten, das Sie jedes mal die Verbindung deaktiviern und aktivieren müssen.

UMTS ist erst mal NIE verbunden, die möglichkeit sollte aber schon gar nicht bestehen, solange WLAN im Einsatz ist.
Es würde mir schon langen, das wenn die WLAN verbindung aktiv ist, währendessen über die UMTS Verbindung nichts mehr drübergeht -> Ports blocken oder ähnliches?

Ich dachte sowas könnte vllt irgendwie über die FW geregelt werden.

Grüße

[nawas]

Da fällt mir spontan nur "Software Restriction Policies" bzw. Applocker ein. Sobald er sich bei euch im Unternehmen befindet und sich einloggt dann bekommt er via Richtlinie eine Sperre aufs ausführen der UMTS-Software.
Außerhalb eures Netzes hat er dann diese EInschränkung nicht.

Aber dennnoch habt ihr das Problem das er auf den nichterlaubten Seiten dann draussen herumsuft und diese "Schadsoftware" sich installieren kann.

[Coldasice]

Zitat von nawas Da fällt mir spontan nur "Software Restriction Policies" bzw. Applocker ein. Sobald er sich bei euch im Unternehmen befindet und sich einloggt dann bekommt er via Richtlinie eine Sperre aufs ausführen der UMTS-Software. Außerhalb eures Netzes hat er dann diese EInschränkung nicht. Aber dennnoch habt ihr das Problem das er auf den nichterlaubten Seiten dann draussen herumsuft und diese "Schadsoftware" sich installieren kann.

Ich bin nun endlich dazu gekommen das umzusetzen bzw. zu testen, habe aber allerdings folgendes Problem.
Die Anwendung sperre ich über die GPO, somit kann die Anwendung nicht mehr ausgeführt werden bei einer Domänenanmeldung, allerdings werden die Profile lokal gespeichert und eine Anmeldung außerhalb der Domäne mit dem Domänenkonto ist möglich.
Und genau so wird das ganze praktiziert, was heißt, das die GPO auch dann zieht, wenn der Rechner kein Netz hat aber der User sich mit seinem Domänenbenutzer anmelden.

Gibt es hierfür auch eine Lösung oder hab's ich noch nicht ganz verstanden?

PS:
ist es möglich eine lokale Richtlinie zu verhängen (am Client direkt), die es erlaubt die Software auszuführen?
Das wäre sinnvoll wenn die Domänenrichtlinie die lokale Richtlinie außer kraft setzt und die lokale Richtlinie wieder greift wenn der Client nicht am Netz ist.
---> Getestet und funktioniert nicht so wie ich das sehe!

UND noch eine Variante:
Lokalen User anlegen -> Loakle Gruppenrichtlinien?
Domänenbenutzer -> Domänenweite Gruppenrichtlinien?
---> Getestet und funktioniert auch nicht (kann ich mir irgendwie nicht vorstellen!??!?)

Danke.