Win 11 24H2 - Windows Defender Firewall Remote Zugriff

[phatair 40]

Hallo zusammen,

 

ich bin bei uns per Zufall darauf aufmerksam geworden, dass es bei Win11 24H2 nicht mehr möglich ist sich remote mit der Windows Defender Firewall per MMC zu verbinden.

Unter Windows 10 22H2 funktioniert das noch einwandfrei.

 

Auf beiden Clients (Win11 24H2 und Win10 22H2) sind die Firewall Regeln "Windows Defender Firewall Remoteverwaltung" (RPC und RPC-EPMAP) aktiv. Auch läuft der Windows Defender Firewall Dienst. 

Der IPSec Dienst läuft auch (wird bei der Fehlermeldung genannt)

Für den Test sind die beteiligten Clients alle im gleichen VLAN um die zentrale Firewall auszuschließen. Auch wurde auf dem 24H2 Client die Windows Firewall deaktiviert. Trotzdem geht die Verbindung nicht.

 

Die Verbindung per MMC von 24H2 zu 24H2 schlägt mit folgender Fehlermeldung fehl:

Die Verbindung per MMC von 24H2 zu Win 10 22H2 funktioniert einwandfrei.

 

Hat jemand eine Idee woran das liegen kann? Ist jetzt nicht so tragisch, aber würde mich interessieren ob wir hier nur irgendwas übersehen oder MS da etwas grundlegendes geändert hat.

 

Viele Grüße

[daabm 1.431]

# for hex 0x6d9 / decimal 1753 :
  EPT_S_NOT_REGISTERED                                          winerror.h     
# There are no more endpoints available from the endpoint
# mapper.
 

Da gibt's keinen RPC-Listener... Kannst ja mal lokal und remote schauen, ob Du was findest: https://github.com/daabm/PowerShell/blob/master/Scripts/Test-TcpPorts.ps1

.\test-tcpports.ps1 -computer <IP-Adresse> -Ports 135 -IncludeEPM

Da sollte ein RPC Highport auftauchen, der was mit Firewall im Namen hat. Kann Dir leider kein Beispiel dafür anbieten, hier läuft nix mehr "vor 24H2".

 

[phatair 40]

Hi Martin,

danke für das Script und die Infos.

 

Also beim Win10 22H2 sehe ich ein Remote Fw APIs mit Port 50369:Listening - also wie du schon vermutet hattest.

Bei Win11 24H2 sehe ich das auch - Remote Fw APIs mit Port 49749:Listening

 

Ich würde das jetzt so verstehe, dass eigentlich beide für eine Verbindung bereit wären. Win11 24H2 das aber irgendwie nicht macht.

 

[daabm 1.431]

Das ist dann seltsam... Kann ich jetzt spontan leider nicht erklären  Die Portnummer ist wurscht, das ist RPC-Highport, die sind "random" ab 49152 aufwärts. Evtl. findest Du in nem Wireshark-Trace was, den Du auf dem Client mitschneidest, wo Du die MMC aufrufst. Mein Skript gibt leider "out of the box" die RPC Interface GUIDs nicht aus, hat sie intern aber. Vielleicht haben sie die GUID in 24H2 geändert, ich weiß es nicht.

[cj_berlin 1.509]

Sorry wenn das schon beantwortet wurde... aber ist die Regel auch für das Profil aktiv, welches die Zielmaschine auch tatsächlich erkannt hat? Die Regel gibt's ja für Domäne und Privat getrennt, zumindest sehe ich das auf einer frischen Maschine so...

[daabm 1.431]

Wenn er mit dem Test-TcpPorts den RPC-Port sieht, muss er wohl offen sein - ich hoffe ja, das war "remote" und nicht lokal  

[cj_berlin 1.509]

Tru dat. Ich kenne die Ausgabe von Deinem Skript nicht auswendig, dachte, das käme vielleicht von netstat - aber da wäre LISTENING ja groß geschrieben...

[phatair 40]

Ja, es ist für das korrekte Profil aktiviert

Und der test war remote, jap. 

Es funktioniert auch nicht mit komplett deaktivierter Windows Firewall. 

 

Zwischen den beiden clients ist keine andere Firewall. Endpoint protection hatte ich auch testweise deaktiviert. 

 

Eigentlich möchte ich nicht noch tiefer forschen, wir benötigen es nicht, ist nur per Zufall aufgefallen und es hätte mich einfach interessiert ob es ein allgemeiner Fehler ist oder nur bei uns auftritt. 

 

Vielleicht hat ja jemand Lust einfach mal zu testen ob bei ihm in der Domäne der remote Zugriff auf die Defender Firewall auf einen 24h2 Client geht (wenn die entsprechenden fw Regeln aktiv sind).

 

[daabm 1.431]

Bräuchte man jetzt jemand mit Source Code Zugriff und -Verständnis, der prüfen kann, ob der RPC-Listener auch noch "Code dahinter" hat, der auf was reagiert... Oder ob die Firewall nur noch den Listener registriert, der aber auf nix antwortet.

[cj_berlin 1.509]

Ich kann bestätigen, dass bei zwei frisch installierten 24H2-Maschinen das Verhalten genau so ist. Hab's jetzt in den MVP-Kanal geschickt, mal sehen, was rausfällt.

[phatair 40]

Danke euch für die Tipps, Hilfe und den Test. 

 

Dann bin ich ja froh das ich nicht komplett doof bin und wir in unsere Umgebung nicht ein Konfig Fehler haben. 

 

Bin gespannt ob da was von MS kommt.