Jump to content

Einführung- Windows Firewall


Recommended Posts

Hallo zusammen,

 

ich bin gerade an einem groben Konzept für die Windows Firewall dran. Aktuell frage ich mich, ob man die bestehenden FW Regeln, obwohl die Windows FW aus ist, irgendwie "reset(en)" kann bzw. auf Default umstellen?

Wir "nutzen" gerade eine FW vom AV Programm und möchten nun umstellen.


Vielen Dank.

Grüße

Link to post

In einer verwalteten Umgebung gibt es keine lokalen Regeln und keine lokalen Ausnahmen - einen "Reset" also auch nicht. Kommt alles aus GPOs - und die  mußt Du Dir hart erarbeiten. Wir haben kürzlich Outbound Block aktiviert für Public/Private, die Lernkurve ist steil :-)

  • Thanks 2
Link to post

Beschäftige mich schon seit einiger Zeit mit der Windows-Firewall. Die Einstellungen der Firewall sind alle in der Registry abgelegt. Man kann also auch darüber Modifikationen tätigen. GPO oder lokal.

 

Damit Outbound-Block zielführend ist, sind folgende Befehle hilfreich:

 

Englisches OS: auditpol.exe /set /category:"Object Access" /subcategory:"Filtering Platform packet drop" /success:enable /failure:enable
Deutsches OS: auditpol.exe /set /category:"Objektzugriff" /subcategory:"Filterplattform: verworfene Pakete" /success:enable /failure:enable

Alle Sprachen: auditpol.exe /set /category:"{6997984A-797A-11D9-BED3-505054503030}" /subcategory:"{0CCE9225-69AE-11D9-BED3-505054503030}" /success:enable /failure:enable

 

Damit erscheinen die Drops und Success-Versuche im Sicherheits-Event-Log und man kann entsprechende Regeln erstellen.

Mit Befehlen Tasklist.exe /svc sowie netstat -a -b und -n erhält man nütztliche Infos zu den betroffen Prozessen.
 

 

Die Lernkurve ist übrigens nur auf den ersten Moment steil. Sobald man tiefer geht, wird es lästig. ;)

- Moderne Apps sind enorm mühsam im Handling

- Filterungen auf Dienste welche die svchost zugrunde haben, funktionieren in neueren OS nicht mehr korrekt weil die SID maskiert werden

- Kopien/alias/hardlinks der svshost.exe ermöglich eine effektive Filterung auf Dienstebene. Ist etwas aufwändiger, dafür erkennt man auch welche Programme effektiv wann wie Zugriff via svchost tätigen (ich blockiere dann standardmässig die originale svchost.exe und erlaube nur traffic auf die aliase)

- Apps

 

Entscheidet man sich für eine Aufdröselung der Dienste in verschiedene svchost.exe Hardlinks, sollte man folgende Dienste auf eine gemeinsame gleiche svchost.exe datei zeigen lassen, sonst gibt es ärger (diese sind auch sonst gruppiert und haben einen gemeinsamen prozess, die anderen wurden weitesgehend von MS bereits aufgedröselt)

- DcomLaunch, brokerinfrustructure, SystemEventsBroker, Power (warum auch immer Power hier reinkommt)

- RpcSs, RpcEptMapper

- mpssvc, BFE

- UserDataSvc, OneSyncSvc, PimIndexMaintenanceSvc, UniStoreSvc

 

Die Systeminternen Rules müssen dann ebenfalls angepasst werden, sonst laufen sie ins leere bzw. muss sie selber erstellen.

 

 

Wo liegen alle Rules?:

HKLM\System\CurrentControlSet\services\sharedaccess\Parameters\

 

Unterordner Static von Restricted Services sind die System-regeln die weder mit Powershell noch mit GPO's verändert werden können noch in der GUI erscheinen und somit auch nicht mit GPO's geändert werden können.

Unterordner configurable: sind die Regeln die mit NetSH oder Powershell geändert werden können aber nicht in der GUI erscheinen.

 

Die Regeln für Apps sind je nach W10 Build anders aufgebaut und abgelegt. Ziemlich mühsame Sache. Auch deren Pflege ist Horror weil sie auf Benutzerebene angelegt werden. Eine enorme Anzahl ausnahmen die jegliche Kommunikation mit diesen Apps erlaubt und nicht auf Anhieb ersichtlich sind.

--> Deren Erstellung kann man theoretisch verhindern wenn man den Zugriff auf die Reg-Hives beschränkt, nur scheitert dann die Installation von Apps auf Benutzerebene beim erstmaligen Anmelden. Sprich kein Startmenü etc. --> Ich finde das ganz praktisch auf Servern und Industriemaschinen. Der Desktop an sich funktioniert trotzdem. Quasi minimale Gui

 

 

Hier noch ein alter Thread von mir:

 

 

 

- Audit der Filter-Engine hilft bei Block-Out, die Standardregeln von MS sind leider nicht vollständig für einen normalen Domänenbetrieb.

  • Like 1
Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...