Jump to content

Einführung- Windows Firewall


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Beschäftige mich schon seit einiger Zeit mit der Windows-Firewall. Die Einstellungen der Firewall sind alle in der Registry abgelegt. Man kann also auch darüber Modifikationen tätigen. GPO oder lokal.

 

Damit Outbound-Block zielführend ist, sind folgende Befehle hilfreich:

 

Englisches OS: auditpol.exe /set /category:"Object Access" /subcategory:"Filtering Platform packet drop" /success:enable /failure:enable
Deutsches OS: auditpol.exe /set /category:"Objektzugriff" /subcategory:"Filterplattform: verworfene Pakete" /success:enable /failure:enable

Alle Sprachen: auditpol.exe /set /category:"{6997984A-797A-11D9-BED3-505054503030}" /subcategory:"{0CCE9225-69AE-11D9-BED3-505054503030}" /success:enable /failure:enable

 

Damit erscheinen die Drops und Success-Versuche im Sicherheits-Event-Log und man kann entsprechende Regeln erstellen.

Mit Befehlen Tasklist.exe /svc sowie netstat -a -b und -n erhält man nütztliche Infos zu den betroffen Prozessen.
 

 

Die Lernkurve ist übrigens nur auf den ersten Moment steil. Sobald man tiefer geht, wird es lästig. ;)

- Moderne Apps sind enorm mühsam im Handling

- Filterungen auf Dienste welche die svchost zugrunde haben, funktionieren in neueren OS nicht mehr korrekt weil die SID maskiert werden

- Kopien/alias/hardlinks der svshost.exe ermöglich eine effektive Filterung auf Dienstebene. Ist etwas aufwändiger, dafür erkennt man auch welche Programme effektiv wann wie Zugriff via svchost tätigen (ich blockiere dann standardmässig die originale svchost.exe und erlaube nur traffic auf die aliase)

- Apps

 

Entscheidet man sich für eine Aufdröselung der Dienste in verschiedene svchost.exe Hardlinks, sollte man folgende Dienste auf eine gemeinsame gleiche svchost.exe datei zeigen lassen, sonst gibt es ärger (diese sind auch sonst gruppiert und haben einen gemeinsamen prozess, die anderen wurden weitesgehend von MS bereits aufgedröselt)

- DcomLaunch, brokerinfrustructure, SystemEventsBroker, Power (warum auch immer Power hier reinkommt)

- RpcSs, RpcEptMapper

- mpssvc, BFE

- UserDataSvc, OneSyncSvc, PimIndexMaintenanceSvc, UniStoreSvc

 

Die Systeminternen Rules müssen dann ebenfalls angepasst werden, sonst laufen sie ins leere bzw. muss sie selber erstellen.

 

 

Wo liegen alle Rules?:

HKLM\System\CurrentControlSet\services\sharedaccess\Parameters\

 

Unterordner Static von Restricted Services sind die System-regeln die weder mit Powershell noch mit GPO's verändert werden können noch in der GUI erscheinen und somit auch nicht mit GPO's geändert werden können.

Unterordner configurable: sind die Regeln die mit NetSH oder Powershell geändert werden können aber nicht in der GUI erscheinen.

 

Die Regeln für Apps sind je nach W10 Build anders aufgebaut und abgelegt. Ziemlich mühsame Sache. Auch deren Pflege ist Horror weil sie auf Benutzerebene angelegt werden. Eine enorme Anzahl ausnahmen die jegliche Kommunikation mit diesen Apps erlaubt und nicht auf Anhieb ersichtlich sind.

--> Deren Erstellung kann man theoretisch verhindern wenn man den Zugriff auf die Reg-Hives beschränkt, nur scheitert dann die Installation von Apps auf Benutzerebene beim erstmaligen Anmelden. Sprich kein Startmenü etc. --> Ich finde das ganz praktisch auf Servern und Industriemaschinen. Der Desktop an sich funktioniert trotzdem. Quasi minimale Gui

 

 

Hier noch ein alter Thread von mir:

 

 

 

- Audit der Filter-Engine hilft bei Block-Out, die Standardregeln von MS sind leider nicht vollständig für einen normalen Domänenbetrieb.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...