Alles zum Thema Windows Server sowie Windows IT Pro Themen — Q & A zu den Windows Server Versionen NT / 2000 / 2003 / 2003 R2 / 2008 / 2008 R2: Rollen, Features, Konfiguration, Troubleshooting
Ich habe bei unseren Windows Servern(SBS 2003, Server 2003)und den XP Clients die Windows Firewall ausgeschaltet.
Alle hängen an einem Router.
Frage:
1)Ist dies so ok? Habe festegestellt, dass ich nicht mehr korrekt auf die Server zugreifen kann, wenn ich auf den XP Clients die Firewall an habe.
2) Meine gelesen zu haben, dass man auf den Windows Servern die builtin Firewall ausschalten soll. Haben die eine Firewall falls Sie direkt am Internet ohne Router(mit Firewall) hängen?
Danke
Wie gesagt wollte ich schon ewig fragen, daher bin ich auf die Antworten sehr gespannt
Ich persönlich schalte die Windowsfirewall auf allen Systemen, solange sie sich im verwalteten Netzwerk befinden, aus (Domänenprofil). Befinden sie sich nicht im verwalteten Netzwerk (Standardprofil), wird die Firewall eingeschaltet (beispielsweise im Hotel). Diese Konfiguration kann man sehr einfach über Gruppenrichtlinien durchsetzen und sie funktioniert sehr gut zusammen mit vom DHCP-Server verteilten Verbindungssuffixen (die Entscheidung, ob man sich im verwalteten Netzwerk befindet oder nicht, hängt entweder vom beim ersten Anwenden der Richtlinie anliegenden Verbindungssuffix bzw. von der zu dieser Zeit gültigen Netzwerk-ID ab). In der Firma steht selbstverständlich ein Security Gateway, welches das Netzwerk schützt ...
Ich persönlich schalte die Windowsfirewall auf allen Systemen, solange sie sich im verwalteten Netzwerk befinden, aus (Domänenprofil).
Wenn man weiß, welche Applikationen so in seinem Netz unterwegs sind, kann man den Aufwand durchaus betreiben auch in der Domäne die Firewall zu aktivieren.
der Firma steht selbstverständlich ein Security Gateway, welches das Netzwerk schützt ...
Und wer schützt dich von innen?
Ja das ist wieder die Frage zwischen Sicherheit und Bequemlichkeit (Admin und User).
Wenn man weiß, welche Applikationen so in seinem Netz unterwegs sind, kann man den Aufwand durchaus betreiben auch in der Domäne die Firewall zu aktivieren.
Mag sein, zumal man die Firewall bequem per GPO konfigurieren kann.
Von welchen Angriffen von innen sprichst Du, die die Windows-Firewall (mit aktivierten Verwaltungs-Ausnahmen) unterbindet ?
Mag sein, zumal man die Firewall bequem per GPO konfigurieren kann.
Von welchen Angriffen von innen sprichst Du, die die Windows-Firewall (mit aktivierten Verwaltungs-Ausnahmen) unterbindet ?
Schonmal gesehen wieviele SQL Slammer so in einem Netzwerk unterwegs sein können? Und ja es gibt heutzutage immer noch ne Menge ungepatchte MSDEs (Warum, darüber kann ich dir auch nicht viel sagen)
Sagen wir so, ich bin dafür (Achtung Buzzword) die Angriffsfläche so klein wie möglich zu halten
Ich denke, es hängt von vielen Faktoren ab, ob es Sinn macht, die Windows-Firewall anzuschalten oder nicht. Ich persönlich setze lieber ein Application Layer Firewall an der Grenze ein, vernünftigen Virenschutz und aktuelle Systeme. So erspare ich mir Ärger, besonders wenn die Windows-Firewall auf einem Server läuft (sicherlich ist da auch ein wenig Bequemlichkeit im Spiel ).
ich bin mir nicht mehr sicher, meine aber gehört zu haben, dass die xp firewall anhand des domänen-suffixes feststellt, ob sie sich im domänen- oder standardprofil befindet.
d.h. folgendes:
ist die firewall im domänenprofil ausgeschaltet, im standardprofil aber an, dann kann man ganz leicht die firewall im standardprofil abschalten, indem man per DHCP das suffix aus der domäne verteilt.
folgendes muss dafür gelten: man kennt das domänen-suffix und man hat die kontrolle über den DHCP (z.b. in einer fremdfirma oder hotel)
nur so als gedankengang... daher: immer an und domänenprofil ähnlich restriktiv wie das standardprofil. die firewall (per GPO konfiguriert) frisst kaum brot
Das habe ich ja auch schon geschrieben Genau gesagt funktioniert es so ... The Cable Guy - May 2004
Wird kein Suffix verteilt, wird zur Feststellung die Netz-ID benutzt. Was von beiden genommen wird, hängt davon ab, ob bei der letztmaligen Anwendung der Richtlinie (also bei Kontakt zum verwalteten Netzwerk) ein Verbindungssuffix beim Client anlag oder nicht. Lag er bei Anwendung der Richtlinie an, dann befindet sich der Client immer im verwalteten Netzwerk, wenn dieser Verbindungssuffix anliegt (fest eintragen ist da also kontraproduktiv). Liegt keiner an, wird die bei Anwendung der Richtlinie gültige Netz-ID dem verwalteten Netzwerk zugeordnet. Hat der Client also keine Adresse aus diesem Bereich, befindet er sich nicht im verwalteten Netzwerk und das Standardprofil gilt. Was als verwaltetes Netzwerk angesehen wird, ist als Regkey auf dem Client hinterlegt.
HKLM\Software\Microsoft\Windows\CurrentVersion\Group Policy\History\NetworkName
Und ja es gibt heutzutage immer noch ne Menge ungepatchte MSDEs (Warum, darüber kann ich dir auch nicht viel sagen) 
