Jump to content

Windows Firewall netsh in der Domain


Go to solution Solved by daabm,

Recommended Posts

Hallo Pros,

 

Wegen zunehmenden Hackversuchen speziell über Nacht wollte ich RDP-Verbindungen zeitgesteuert abends abschalten und morgens wieder zulassen.

 

Auf einem WORKGROUP PC funktioniert dieser Befehl problemlos:

netsh advfirewall firewall set rule group="remotedesktop" new enable=no

Die veränderten Einstellungen sind in der Firwewall sichtbar.

 

Auf einem DOMAIN PC bekomme ich zwar auch (als DomainAdmin) mit dem gleichen Befehl:

3 Regel(n) wurde(n) aktualisiert.

Allerdings ist das nicht zutreffend, wenn ich in die Firewall schaue.

FYI: DomainAdmins dürfen per GPO Anmelden als Stapelverarbeitungsauftrag.

 

Ich müsste das per AutoTask pro PC individuell einstellen können, da die Leute zu unterschiedlichen Zeiten vom HomeOffice arbeiten.

 

Wäre nett, wenn ihr Vorschläge hättet.

 

Schon mal vielen Dank im Voraus

 

Bernie

Edited by Gigabernie
Link to post
vor 20 Minuten schrieb Gigabernie:

Wegen zunehmenden Hackversuchen speziell über Nacht wollte ich RDP-Verbindungen zeitgesteuert abends abschalten und morgens wieder zulassen.

D.h. der/die Server/Clients sind vom Internet aus, ohne VPN, über RDP zu erreichen? Schlechte Idee, ganz schlechte Idee.

  • Like 1
Link to post

Hi,

 

sind die PCs alle aus dem Internet per RDP erreichbar? Dann solltest du das (evtl.) einfach abschalten.

 

Ansonsten ganz schönes Klischeedenken, dass Hacker nur nachts on Tour sind und tagsüber schlafen. ;-)

 

Gruß

Jan

  • Like 1
Link to post

RDP von aussen ist unschön. Falls es darum geht, die Büro-Rechner für Benutzer von zuhause erreichbar zu machen, nimm VPN. Kann man auf jeder Firewall einrichten und Windows 10 unterstützt IPSec, so dass man nicht mal einen speziellen Client braucht. Habe das bei Kunden seit letztem März im grösseren Umfang im Einsatz und es läuft problemlos.

 

Eine zeitliche Zugriffsbeschränkung bringt aus meiner Sicht nichts. Das ist wie den RDP-Port zu ändern: es dauert nur etwas länger, bis die Angriffe starten.

 

Wenn es wirklich nicht anders geht, hättest Du noch folgende Varianten:

 

- Zugriff auf Firewall auf IP-Ranges aus Deutschland beschränken (wobei aber auch in Deutschland Botnet-Teilnehmer stehen...)

- Im Security-Event-Log nach der ID 4648 suchen. Dort stehen die erfolgreichen Anmeldungen drin. So kommst Du an die IP-Adressen der Benutzer. Diese kannst Du dann erlauben und alles andere verbieten. (Wobei ich nicht weiss, wie fix die IPs in Deutschland sind. In der Schweiz sind auch die dynamischen recht fix, ändern also so gut wie nicht.) Das ist aber nur in ganz kleinen Umgebungen praktikabel.

- Mittels Script nach der ID 4625 (Fehlerversuche) suchen und die IPs blocken. Bringt nach meiner Erfahrung nicht mehr viel, da die Versuche von riesigen Botnetzen kommen und jede IP nur ein paar Mal probiert.

  • Thanks 1
Link to post
Posted (edited)

Vielen Dank schon mal.

 

Wir haben bereits 56 Site2Site VPNs und 13 Roadwarrior.

Von 4,3 Mrd. IP-Adressen werden bereits über 4 Mrd. auf der Securepoint UTM (Router) blockiert.

Dort sehe ich logischerweise auch die aktuellen Aktivitäten -> 99.9% aller Scans und Angriffe fangen nachts und übers Wochenende an!

 

Bei den 3 betroffenen Computern/VMs wäre VPN zwar technisch machbar, aber nicht praktikabel, da Dutzende unterschiedliche, häufig wechselnde Leute kurzzeitig darauf zugreifen müssen.

 

Vielleicht hat ja doch noch jemand eine Lösung für das angefragte Problem, anstatt "guten Ratschlägen"

 

VG Bernie

 

Edited by Gigabernie
Link to post
vor einer Stunde schrieb Gigabernie:

Dort sehe ich logischerweise auch die aktuellen Aktivitäten -> 99.9% aller Scans und Angriffe fangen nachts und übers Wochenende an!

Dann sind das die guterzogenen, die sich an "den Kodex" halten. Die Tragen i.d.R. auch schwarze Kapuzenpullis und nutzen ein "Matrix Wallpaper". :)

 

vor einer Stunde schrieb Gigabernie:

Vielleicht hat ja doch noch jemand eine Lösung für das angefragte Problem, anstatt "guten Ratschlägen"

Du bist auf dem Holzweg und zwar auf dem ziemlichen morschen.

 

Häng ein SSL / clientless VPN oder ggfs. Remote Web und Remotedesktop Gateway davor bzw. irgendwas, was anhand zweiter Faktoren eine Authentifizierung macht und dann RDP "tunnelt".

Link to post
vor 49 Minuten schrieb Gigabernie:

Ich suche die Möglichkeit, Firewalleinstellungen einzelner PCs in einer Domäne zeitgesteuert zu verändern.

Per GPO über den Taskmanager. Ein GPO für Zeitraum A, ein zweites für Zeitraum B. Und Jetzt musst Du das ganze nur noch gescriptet kriegen. Es gibt sehr viele Scripte für die GPMC: https://www.gruppenrichtlinien.de/artikel/die-scripte-der-gpmc-das-unbekannte-feature

Das hier könnte in deine Richtung gehen: Setting Permissions for all GPOs Linked to a Scope of Management

Link to post
vor 45 Minuten schrieb Gigabernie:

Jetzt nochmal für alle - auch und speziell für testperson:

Ich suche die Möglichkeit, Firewalleinstellungen einzelner PCs in einer Domäne zeitgesteuert zu verändern.

Jetzt hast du mich überzeugt. Ich hab das vorher scheinbar nicht richtig verstanden. Aufgabenplanung + PowerShell - Sind auch Tools der tagsüber schlafenden H4x0r!

Link to post
  • Solution

Sind auf den Domain CLients lokale FW-Ausnahmen zugelassen? Ich würde vermuten "nein" - dann kann man nämlich per netsh beliebig weitere lokale Regeln anlegen, nur interessiert das niemand :-). Dann wäre die Lösung von @Sunny61 wohl passend. Wenn ja, ginge es per scheduled Task.

Link to post
Posted (edited)

Hallo zusammen,

 

Ich hab es jetzt so gelöst:

Da man offensichtlich "voreingestellte Regeln" nicht mit netsh in der AutoTask deaktivieren kann (aber manuell schon ???) habe ich eine eigene Regel angelegt:

"BlockRDP", die sich jetzt automatisch aktivieren u. deaktivieren lässt.

Die Task lässt sich exportieren, dann editieren (wegen unterschiedlicher Zeiten) und auf einem anderen Computer importieren.

Das ist ein übersehbarer Aufwand.

 

@Sunny61 Da es nur um eine Handvoll PCs/VMs geht, die zu unterschiedlichen Zeiten erreichbar sein sollten, ist die Lösung zu aufwändig - aber gut zu wissen.

@daabm Deine Lösung liegt meiner am nächsten.

 

Vielen Dank an euch beide

Man kann leider nur einen "belohnen" - Sorry Sunny

 

VG Bernie

Edited by Gigabernie
Link to post
Guest
This topic is now closed to further replies.
×
×
  • Create New...