Jump to content

Port 445 über Windows Firewall blockieren


Go to solution Solved by Weingeist,

Recommended Posts

Moin,

 

Ich habe die Default SMB 445 Regel mit Zulassen aktiviert und eine zweite Deny Regel gemacht wo ein paar Adressen geblockt werden. Gibt es eine Möglichkeit, dass ich pauschal alle IP-Adressen blocke und nur eine Adresse erlaube?

Benötigen tue ich genau eine einzige IP im lokalen Netzwerk. Der Rest kann geblockt werden.

 

gruß do

Link to post

Die Windows Firewall wertet die Regeln leider nicht wie andere Paketfilter aus (erster Treffer), sondern wie NTFS (Verweigern kommt vor Erlauben). Ausnahme ist nur die Standard-Regel.

 

Du musst also die Standard-Regel auf Verweigern setzen, die allgemeine SMB-Regel deaktivieren und für die eine IP-Adresse eine Erlauben-Regel erstellen.

Link to post

Naja, wenn Du Outgoing standardmässig blockieren aktivierst, dann kannst ja einfach die gewünschten IP's freigeben und das Thema ist erledigt. Eventuell noch mit Authentifizierung auf Netzwerkebene. Ist einfach eine etwas andere herangehensweise aber nicht per se schlechter, nur ungewohnt.

EDIT: Die Standardregeln für die Freigabe von 445 natürlich erst noch deaktivieren oder eben abändern.

EDIT2: Ich denke mwiederkehr meinte das gleiche mit der Standardregel. :engel:

 

Wenn ich das richtig im Kopf habe, ist für SMB keine Systemregel hinterlegt, sollte also nicht über die Hintertür dennoch freigegeben werden.

Edited by Weingeist
Link to post

Mal angenommen, dass soll mit wenig Aufwand umgesetzt werden.

Die Default SMB Outgoing schalte ich aus.

Dann mache ich eine manuelle SMB Regel, die ich auf verweigern setze.

Dann mache ich eine zweite SMB Regel, in der ich die eine Adresse erlaube.

 

War das so richtig verstanden?

Link to post

Nope, Du musst in den Einstellungen der Windows Firewall selbst Outgoing standardmässig blockieren und dann das mit einer Regel freigeben was Du möchtest. Sprich es ist dann einfach alles blockiert und nur das frei was Du frei haben möchtest.

Ich finde das eigentlich ziemlich gut wenn man sich daran gewöhnt hat. Klar hat auch Schattenseiten, aber das haben alle Varianten ;)

Edited by Weingeist
Link to post

Ich meine das ich das probiert hatte, aber ich teste dann nochmal. Also default Outgoing 445 für alles blockieren und eine weitere Regel mit einer IP erlauben.

 

Es geht darum, dass auf ein NAS gesichert werden soll. bzw. eine USB Platte die an dem NAS hängt und über SMB angesprochen wird.

Link to post
  • Solution
Posted (edited)

Nope, Du bist echt auf dem falschen Dampfer. Das ist eben genau das was nicht funktioniert ;)

 

Du musst In der Hauptebene der erweiterten Windows Firewall mit rechter Maustaste rein und in allen Profilen standardmässig Verkehr nach aussen blockieren. Das heisst dann auch, dass Du für alles was eben durch soll, eine Freigaberegel erstellen musst. Und da MS es seit Jahren verpasst hat, da alles reinzuschieben was reingehört, ist das mitunter ziemlich nervig wenn man nicht mit Pauschalfreigaben hantieren möchte. (Edit: Wird aber immer besser mit fast jedem neuen W10 Build ;) )

 

Was dann geblockt wird, erfährst Du wenn du das Auditing der Windowsfirewall aktivierst.

 

Englisches OS: auditpol.exe /set /category:"Object Access" /subcategory:"Filtering Platform packet drop" /success:enable /failure:enable
Deutsches OS: auditpol.exe /set /category:"Objektzugriff" /subcategory:"Filterplattform: verworfene Pakete" /success:enable /failure:enable

Sprachübergreifend: auditpol.exe /set /category:"{6997984A-797A-11D9-BED3-505054503030}" /subcategory:"{0CCE9225-69AE-11D9-BED3-505054503030}" /success:enable /failure:enable

 

https://docs.microsoft.com/de-de/windows/win32/fwp/auditing-and-logging?redirectedfrom=MSDN

 

Ich setze jeweils noch die Loggrösse für Sicherheit rauf.


Mit
- tasklist /svc
- netstat -a -b

Kann herausgefunden werden welcher Prozess es betrifft
auditpol.exe /list /category /v = GUID erhalten

 

 

Edited by Weingeist
  • Haha 1
Link to post

Umständlich ist das nicht, im Gegenteil. Reine Gewohnheitssache. Aktiviert man das Block-Out nicht, kann man den Rest auch gleich bleiben lassen (etwas grob gesagt). Die Filter-Engine von Windows ist wirklich top und wirkungsvoll, es läuft erstmal alles über sie. Meines erachtens sollte man sich mit Ihr beschäftigen und die fehlenden Regeln die es innerhalb einer Domäne braucht selber erstellen.

Edited by Weingeist
Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...