Jump to content
Sign in to follow this  
Siebenburg

SP2 Firewall per REG konfigurieren?

Recommended Posts

Hi,

kann man die Firewall per Reg.Files konfigurieren oder zumindest über Gruppenrichtlinien?

Ich würde gern bei uns im LAN ICMP für Ping aktivieren und Ports öffnen für z.B. VNC und/oder Windows Remote Unterstützung.

So mancher User ist einfach überfordert, wenn ich ihm am Telefon erklären muss, wie er eine Ausnahme einpflegt... (warum? wisoooo? weshalb??? ich denke das kennt jeder)

 

Gruß, phex

Share this post


Link to post

Irgendwie klappt das alles nicht.

Ich werde wohl im localen Subnetz alles aufmachen aber der blockt dennoch alles...

 

Ich hab das eingetragen:

 

[iCF.AddReg.DomainProfile]

# Standart Einstellungen ; Erlauben von winupdate.microsoft.com

HKLM,"SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List","%windir%\system32\sessmgr.exe",0x00000000,"%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

 

# RPC & DCOM erlauben (für Remoteadmin)

HKLM,'SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\RemoteAdminSettings','Enabled',0x00010001,1

 

# RPC & DCOM Bereich auf 10.0.0.0/16 einschränken

HKLM,'SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\RemoteAdminSettings','RemoteAddresses',0x00000000,10.0.0.0,255.255.0.0

 

# ICMP erlauben (nur InboundEchoRequest > ping)

HKLM,'SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\IcmpSettings','AllowInboundEchoRequest',0x00010001,1

 

 

 

damit sollte der Remoteadmin & ping gehen -- Tut's aber nicht.

Hab das gleiche unter [iCF.AddReg.StandardProfile] eingetragen (mit der kleinen Abweichung im Namen).

 

Wie kann ich alles für das Subnet 10.0.0.0/16 öffnen, d.h. das da jedes Programm durch geht?!

 

 

Gruß, phex

Share this post


Link to post

Hmm...

wo speichert denn Windows die Settings?

Wenn ich ein Programm als Ausnahme definiere und mir dann wieder die netfw.inf anschaue, dann hat sich nix geändert.

Wo werden die Pfade etc hinterlegt?

Share this post


Link to post

Das Sicherheitscenter ist leider nicht der beste Weg wenn man mehr als 400 Clients so überarbeiten sollte... Deswegen dachte ich ja dran, das per INF File zu tun (gleich beim Patchen mit aufspielen) aber irgendwie will das nicht egal was ich da eintrage... :/

Share this post


Link to post

Na schön. Dummerweise beginnen wir ab Montag erst mit der Implementierung von ActiveDirectory... ;)

Aber wenn dass dann in ein paar Monaten läuft *g* werd ich's auf jeden Fall per GPO machen.

Share this post


Link to post

Salut,

 

was spricht gegen diese Reg-Keys zum Deaktivieren?

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]

"EnableFirewall"=dword:00000000

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]

"EnableFirewall"=dword:00000000

 

Habe es mal probiert und es hat geklappt. Das Sicherheitscenter zeigt die Aktivierung/Deaktivierung bei mir sofort an.

 

Grüße, e2e4

Share this post


Link to post

Was dagegen spricht:

 

Wir haben derzeit noch eine NT4 Domäne.

Demnach arbeitet die Firewall immer im "Standart" Modus und leider nicht im Domänenmodus. Warum auch immer.

Wenn ich nun die FW abschalte ist sie auch aus, wenn ein Aussendienstler sich per Modem ins Internet Einwählt.

 

Was ich will wäre, dass im Intranet, d.h. im Domänenbetrieb entweder die FW deaktiviert ist oder noch besser ich eben die entsprechenden Portranges angeben kann, die offen sein sollen (für VNC, RemoteUnterstützung, ICMP->ping etc).

 

Bei der Domänenanmeldung könnt ich zwar den Reg Key setzen lassen (d.h. die FW deaktivieren) aber wie schalte ich die dann wieder ein? Wir verwenden kein Script beim Herunterfahren des PC's... (mal abgesehen davon, dass dies nicht gerade die egelanteste Lösung wäre)

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...