aban 10 Geschrieben 6. Dezember 2013 Melden Teilen Geschrieben 6. Dezember 2013 Hallo allerseits. Meine Umgebung: Server: Windows SBS 2011 Clients: Windows 7 (Workstations und Laptops) Rechte: Die Benutzer der Laptops (SPS-Programmierer) haben lokale Admin-Rechte Mein Problem: An allen Clients ist die Windows-Firewall aktiviert. In den Windows-Firewall-Einstellungen ist die Deaktivierung der Firewall für das Domänennetzwerk ausgegraut; mit dem Hinweis: "Zu Ihrer Sicherheit werden einige Einstellungen vom Systemadministrator verwaltet." Jetzt suche ich nach einer Möglichkeit, das (zeitweise) Ausschalten der Firewall auf den Laptops zu zu lassen. Das ist notwendig, da unsere Programmierer in speziellen Fällen Software verwenden, die bei aktiver Firewall nicht richtig arbeiten. Generell soll die Firewall aber aktiv sein. Alles was ich bisher im Internet gefunden habe zielt darauf ab die Firewall zu aktivieren oder deaktivieren. Ich möchte aber die Firewall nicht generell deaktivieren sondern nur das manuelle Deaktivieren für lokale Admins zulassen! Hat dazu jemand eine Idee? LG, Andreas. Zitieren Link zu diesem Kommentar
nawas 32 Geschrieben 6. Dezember 2013 Melden Teilen Geschrieben 6. Dezember 2013 Ware es nicht sinnvoller die benötigten Ports einfach freizuschalten. Klar muss man die entweder suchen oder sich von der Softwarefirma geben lassen. Alternative wäre ne Gruppe und ne GPO zu erstellen. Zitieren Link zu diesem Kommentar
Daniel -MSFT- 129 Geschrieben 6. Dezember 2013 Melden Teilen Geschrieben 6. Dezember 2013 Hi Andreas, lokale Admins können in der Registry die Beschränkung der GPO aufheben. Sie können Dienste stoppen wie z.B. den Dienst Windows-Firewall. Die können so ziemlich alles auf dem lokalen PC. Ich stimme aber nawas zu: Einfach die Fireall richtig konfigurieren. Man kann sogar Regeln an Programme vergeben. Was genau funktioniert denn nicht mit der 3rd Party Anwendung und der Firewall? Woher kommt diese Anforderung der Entwickler genau? Ich habe da so meinen Verdacht. Hatte früher auch Entwickler administriert ;-) Have fun!Daniel Zitieren Link zu diesem Kommentar
XP-Fan 215 Geschrieben 6. Dezember 2013 Melden Teilen Geschrieben 6. Dezember 2013 Ich habe da so meinen Verdacht. Hatte früher auch Entwickler administriert ;-) Off-Topic: Hi, ich könnte mir vorstellen der Satz: "Die User müssen Admins sein und die Firewall muß deaktiviert sein für die Software" kommt bekannt vor. :D On-Topic: Ein manuelles Stoppen der Firewall / des zugehörigen Dienstes können nur lokale Admins machen (per Default wenn keine zusätzlichen Rechte vergeben) . Du kannst per net stop MpsSvc den zugehörigen Dienst beenden, mittels net start MpsSvc wieder starten. Ob das zeitweise deaktivieren die Lösung für ein Problem ist sei mal dahingestellt, besser wäre es wohl den Grund für den Wunsch zu ergründen und entsprechende Maßnahmen zu ergreifen, die Firewall entsprechend anzupassen. Zitieren Link zu diesem Kommentar
Dunkelmann 96 Geschrieben 7. Dezember 2013 Melden Teilen Geschrieben 7. Dezember 2013 Moin, ich kann mich den vorigen Schreibern nur anschliessen - lieber richtig konfigurieren als abschalten. In den Eigenschften der Windows Firewall kannst Du die Protokollierung für alle drei Netzwerkprofile (Domäne, Privat, Öffentlich) aktivieren. Ich würde im ersten Schritt nur geblockte Pakete protokollieren. Diese Einstellung lässt sich auch per GPO verteilen. Bei aktiver Protollierung einfach mal ein wenig mit dem Programm arbeiten und das Firewall Log auf geblockte Pakete prüfen. Parallel zum Client ggf. auch mal einen Blick auf den Applikationsserver werfen und schauen, wie der kommuniziert. Off-Topic:Dass die Zeiten vorbei sind, wo die Anwender lokale Admins waren und die Firewall deaktiviert wurde, ist leider noch nicht bei jedem Softwarehersteller angekommen.Wir haben auch schon mit dem MS Netzwerkmonitor am Client gesessen, weil der Support nicht einmal den Unterschied zwischen TCP und UDP kannte :cry: Wenn Du wirklich die FW abschalten möchtest, wäre es vermutlich am einfachten einen neuen OU Zweig für die fraglichen Clients aufzubauen und die GPO, die die Firewall steuert,nicht mit mit dem Zweig zu verknüpfen. Zitieren Link zu diesem Kommentar
aban 10 Geschrieben 10. Dezember 2013 Autor Melden Teilen Geschrieben 10. Dezember 2013 (bearbeitet) Hallo allerseits, vielen Dank für eure Antworten! Prinzipiell stimme ich in allen Punkten mit euch überein. Passend konfigurieren ist immer besser als (Sicherheits-)Funktionen abschalten. Um meine Frage nach dem Abschalten zu verdeutlichen: Die Software, um die es geht, kommt nur extrem selten zum Einsatz. Es handelt sich um ein Programmier-Tool für ein spezielles Bauteil im Sondermaschinenbau. Der Hersteller ist einer aus der Gruppe, die Dunkelmann in seinem Off-Topic-Absatz beschrieben hat. :confused: Zum einen weiß der Hersteller gar nicht, welche Ports benötigt werden (vermutlich weil die Software nicht mal vom Bauteil-Hersteller stammt sondern zugekauft wurde); zum anderen lohnt sich der Aufwand, wie ihn Dunkelmann beschrieben hat, eher nicht, denn das Bauteil kommt aktuell einmalig zum Einsatz und muss vielleicht noch 1-2 Mal konfiguriert werden (bei der Inbetriebnahme der Anlage). Danach brauchen wir das Tool erst mal nicht mehr. Frage ist daher: was macht unser Programmierer bei der Inbetriebnahme vor Ort? Deshalb auch meine Idee mit dem temporären Ausschalten der Firewall. Ich ziehe aktuell die Variante mit "net stop MpsSvc" in Betracht. Erscheint mir, auch vom Aufwand her, am sinnvollsten. Danke! LG, Andreas. bearbeitet 10. Dezember 2013 von aban Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.