SP2 Firewall per REG konfigurieren?

[Siebenburg 10]

Hi,

kann man die Firewall per Reg.Files konfigurieren oder zumindest über Gruppenrichtlinien?

Ich würde gern bei uns im LAN ICMP für Ping aktivieren und Ports öffnen für z.B. VNC und/oder Windows Remote Unterstützung.

So mancher User ist einfach überfordert, wenn ich ihm am Telefon erklären muss, wie er eine Ausnahme einpflegt... (warum? wisoooo? weshalb??? ich denke das kennt jeder)

 

Gruß, phex

[saracs 10]

hi!

 

nicht per reg aber per inf ;) einfach mal in google oder bei ms direkt suchen.

 

gruss saracs

[Velius 10]

Im Tipps&Links wär's auch gewesen.....Mist!! :(

[saracs 10]

http://www.mcseboard.de/showthread.php?postid=231854#post231854

 

extra für dich velius ;) :D

 

gruss saracs

[Siebenburg 10]

Danke schön. Werd mich dann gleich mal an die Arbeit machen und mich etwas einlernen.

Gruß, phex

[Velius 10]

Original geschrieben von saracs

http://www.mcseboard.de/showthread.php?postid=231854#post231854

 

extra für dich velius ;) :D

 

gruss saracs

 

 

Wie lieb von dir *sniff* :)

[Siebenburg 10]

Irgendwie klappt das alles nicht.

Ich werde wohl im localen Subnetz alles aufmachen aber der blockt dennoch alles...

 

Ich hab das eingetragen:

 

[iCF.AddReg.DomainProfile]

# Standart Einstellungen ; Erlauben von winupdate.microsoft.com

HKLM,"SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List","%windir%\system32\sessmgr.exe",0x00000000,"%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

 

# RPC & DCOM erlauben (für Remoteadmin)

HKLM,'SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\RemoteAdminSettings','Enabled',0x00010001,1

 

# RPC & DCOM Bereich auf 10.0.0.0/16 einschränken

HKLM,'SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\RemoteAdminSettings','RemoteAddresses',0x00000000,10.0.0.0,255.255.0.0

 

# ICMP erlauben (nur InboundEchoRequest > ping)

HKLM,'SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\IcmpSettings','AllowInboundEchoRequest',0x00010001,1

 

 

 

damit sollte der Remoteadmin & ping gehen -- Tut's aber nicht.

Hab das gleiche unter [iCF.AddReg.StandardProfile] eingetragen (mit der kleinen Abweichung im Namen).

 

Wie kann ich alles für das Subnet 10.0.0.0/16 öffnen, d.h. das da jedes Programm durch geht?!

 

 

Gruß, phex

[Siebenburg 10]

Hmm...

wo speichert denn Windows die Settings?

Wenn ich ein Programm als Ausnahme definiere und mir dann wieder die netfw.inf anschaue, dann hat sich nix geändert.

Wo werden die Pfade etc hinterlegt?

[Velius 10]

Ist vielleicht doch nicht der beste Weg, um die Fw zu konfigurieren:

 

Konfigurieren der Funktion "Windows-Firewall" in Windows XP Service Pack 2

 

Viel Glück

 

Velius

[Siebenburg 10]

Das Sicherheitscenter ist leider nicht der beste Weg wenn man mehr als 400 Clients so überarbeiten sollte... Deswegen dachte ich ja dran, das per INF File zu tun (gleich beim Patchen mit aufspielen) aber irgendwie will das nicht egal was ich da eintrage... :/

[Velius 10]

lies 'mal genau durch Phex. Da steht unter anderem auch, wie du es 'per GPO einrichten kannst.....

 

Das mit der *.ini ist eigentlich schon wieder alt! ;) :p

 

Gruss

Velius

 

 

P.S.: Diesen Link meinte ich im insbesonders....

 

http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=4454e0e1-61fa-447a-bdcd-499f73a637d1

[Siebenburg 10]

Na schön. Dummerweise beginnen wir ab Montag erst mit der Implementierung von ActiveDirectory... ;)

Aber wenn dass dann in ein paar Monaten läuft *g* werd ich's auf jeden Fall per GPO machen.

[Siebenburg 10]

hmm. Warum verwendet der mit dur die Standart und nicht die Domäneneinstellungen?

Packt er das nicht, wenn ich hier noch eine NT4 Domäne habe??

[e2e4 10]

Salut,

 

was spricht gegen diese Reg-Keys zum Deaktivieren?

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]

"EnableFirewall"=dword:00000000

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]

"EnableFirewall"=dword:00000000

 

Habe es mal probiert und es hat geklappt. Das Sicherheitscenter zeigt die Aktivierung/Deaktivierung bei mir sofort an.

 

Grüße, e2e4

[Siebenburg 10]

Was dagegen spricht:

 

Wir haben derzeit noch eine NT4 Domäne.

Demnach arbeitet die Firewall immer im "Standart" Modus und leider nicht im Domänenmodus. Warum auch immer.

Wenn ich nun die FW abschalte ist sie auch aus, wenn ein Aussendienstler sich per Modem ins Internet Einwählt.

 

Was ich will wäre, dass im Intranet, d.h. im Domänenbetrieb entweder die FW deaktiviert ist oder noch besser ich eben die entsprechenden Portranges angeben kann, die offen sein sollen (für VNC, RemoteUnterstützung, ICMP->ping etc).

 

Bei der Domänenanmeldung könnt ich zwar den Reg Key setzen lassen (d.h. die FW deaktivieren) aber wie schalte ich die dann wieder ein? Wir verwenden kein Script beim Herunterfahren des PC's... (mal abgesehen davon, dass dies nicht gerade die egelanteste Lösung wäre)