Jump to content

Port 445 über Windows Firewall blockieren


Direkt zur Lösung Gelöst von Weingeist,
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Moin,

 

Ich habe die Default SMB 445 Regel mit Zulassen aktiviert und eine zweite Deny Regel gemacht wo ein paar Adressen geblockt werden. Gibt es eine Möglichkeit, dass ich pauschal alle IP-Adressen blocke und nur eine Adresse erlaube?

Benötigen tue ich genau eine einzige IP im lokalen Netzwerk. Der Rest kann geblockt werden.

 

gruß do

Link zu diesem Kommentar

Die Windows Firewall wertet die Regeln leider nicht wie andere Paketfilter aus (erster Treffer), sondern wie NTFS (Verweigern kommt vor Erlauben). Ausnahme ist nur die Standard-Regel.

 

Du musst also die Standard-Regel auf Verweigern setzen, die allgemeine SMB-Regel deaktivieren und für die eine IP-Adresse eine Erlauben-Regel erstellen.

Link zu diesem Kommentar

Naja, wenn Du Outgoing standardmässig blockieren aktivierst, dann kannst ja einfach die gewünschten IP's freigeben und das Thema ist erledigt. Eventuell noch mit Authentifizierung auf Netzwerkebene. Ist einfach eine etwas andere herangehensweise aber nicht per se schlechter, nur ungewohnt.

EDIT: Die Standardregeln für die Freigabe von 445 natürlich erst noch deaktivieren oder eben abändern.

EDIT2: Ich denke mwiederkehr meinte das gleiche mit der Standardregel. :engel:

 

Wenn ich das richtig im Kopf habe, ist für SMB keine Systemregel hinterlegt, sollte also nicht über die Hintertür dennoch freigegeben werden.

bearbeitet von Weingeist
Link zu diesem Kommentar

Nope, Du musst in den Einstellungen der Windows Firewall selbst Outgoing standardmässig blockieren und dann das mit einer Regel freigeben was Du möchtest. Sprich es ist dann einfach alles blockiert und nur das frei was Du frei haben möchtest.

Ich finde das eigentlich ziemlich gut wenn man sich daran gewöhnt hat. Klar hat auch Schattenseiten, aber das haben alle Varianten ;)

bearbeitet von Weingeist
Link zu diesem Kommentar
  • Beste Lösung

Nope, Du bist echt auf dem falschen Dampfer. Das ist eben genau das was nicht funktioniert ;)

 

Du musst In der Hauptebene der erweiterten Windows Firewall mit rechter Maustaste rein und in allen Profilen standardmässig Verkehr nach aussen blockieren. Das heisst dann auch, dass Du für alles was eben durch soll, eine Freigaberegel erstellen musst. Und da MS es seit Jahren verpasst hat, da alles reinzuschieben was reingehört, ist das mitunter ziemlich nervig wenn man nicht mit Pauschalfreigaben hantieren möchte. (Edit: Wird aber immer besser mit fast jedem neuen W10 Build ;) )

 

Was dann geblockt wird, erfährst Du wenn du das Auditing der Windowsfirewall aktivierst.

 

Englisches OS: auditpol.exe /set /category:"Object Access" /subcategory:"Filtering Platform packet drop" /success:enable /failure:enable
Deutsches OS: auditpol.exe /set /category:"Objektzugriff" /subcategory:"Filterplattform: verworfene Pakete" /success:enable /failure:enable

Sprachübergreifend: auditpol.exe /set /category:"{6997984A-797A-11D9-BED3-505054503030}" /subcategory:"{0CCE9225-69AE-11D9-BED3-505054503030}" /success:enable /failure:enable

 

https://docs.microsoft.com/de-de/windows/win32/fwp/auditing-and-logging?redirectedfrom=MSDN

 

Ich setze jeweils noch die Loggrösse für Sicherheit rauf.


Mit
- tasklist /svc
- netstat -a -b

Kann herausgefunden werden welcher Prozess es betrifft
auditpol.exe /list /category /v = GUID erhalten

 

 

bearbeitet von Weingeist
Link zu diesem Kommentar

Umständlich ist das nicht, im Gegenteil. Reine Gewohnheitssache. Aktiviert man das Block-Out nicht, kann man den Rest auch gleich bleiben lassen (etwas grob gesagt). Die Filter-Engine von Windows ist wirklich top und wirkungsvoll, es läuft erstmal alles über sie. Meines erachtens sollte man sich mit Ihr beschäftigen und die fehlenden Regeln die es innerhalb einer Domäne braucht selber erstellen.

bearbeitet von Weingeist
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...