Windows 7 Firewalleinstellungen

Klaus_R_rig · 12. November 2019 um 06:00

Hallo zusammen,

ich packe meine Frage mal hier rein, da sie für mich mehr dem OS als mit IT-Sicherheit zutun hat. Es geht um die Erweiterte Windows Firewall in 7 und 2008 R2.

Wir haben bei uns eine reine Server 2008 R2 Domain mit Windows 7 Clients. Ich möchte gerne die Windows Firewall auf den Clients eingeschaltet lassen und per GPO konfigurieren. Hab auch mal testweise eine GPO für ein paar Test-PCs erstellt und nicht prompt komplett selbst ausgesperrt

Meine Idee war für das Domänen-Netzwerk die Einstellungen auf Standart zu setzen, und für die anderen Profile die Firewall auf Blocken zu schalten (zumindest was eingehenden Verbindungen betrifft), aber irgendwie hat das nicht so funktioniert wie gewünscht. Kaum war die GPO aktiv klappte keine Namensauflösung mehr und Ping ging nicht mehr, wodurch die PC sich nicht mehr am DC anmelden konnten (und natürlich auch keine neue GPO mehr abrufen konnten; musste ganz schön tief in die Trickkiste greifen, um die Kisten wieder ans Netz zu bekommen), und Windows sie in ein „Arbeitsplatznetzwerk“ sortiert hat, in dem ja sämtliche Verbindungen verboten waren.

Wie habt ihr das bei euch konfiguriert, was sind eure Erfahrungen und Best Practise?

Danke und Gruß,

Klaus

ESSJOTT_c3e443 · 12. November 2019 um 06:00

Falsches Brett
Hallo,

ich packe meine Frage mal hier rein, da sie für mich mehr dem
OS als mit IT-Sicherheit zutun hat. Es geht um die Erweiterte
Windows Firewall in 7 und 2008 R2.

das gehört sicher eher in das Brett der Windows Server…

funktioniert wie gewünscht. Kaum war die GPO aktiv klappte
keine Namensauflösung mehr und Ping ging nicht mehr, wodurch
die PC sich nicht mehr am DC anmelden konnten (und natürlich
auch keine neue GPO mehr abrufen konnten; musste ganz schön
tief in die Trickkiste greifen, um die Kisten wieder ans Netz
zu bekommen)

Keine Ahnung wie Du das hinbekommen hast. Wenn die Namensauflösung nicht mehr funktioniert, hat das nichts mit der Firewall zu tun.

Und wenn ein PC nicht mehr auf einen PING antwortet, heißt das nicht, dass er sich nicht mehr am DC anmelden kann.

Gruß

S.J.

Klaus_R_rig · 12. November 2019 um 06:00

Guten Tag,

Hallo,

ich packe meine Frage mal hier rein, da sie für mich mehr dem
OS als mit IT-Sicherheit zutun hat. Es geht um die Erweiterte
Windows Firewall in 7 und 2008 R2.

das gehört sicher eher in das Brett der Windows Server…

Von mir aus möge ein Moderator es dahin verschieben, aber es geht primär um Einstellungen in Windows 7.

funktioniert wie gewünscht. Kaum war die GPO aktiv klappte
keine Namensauflösung mehr und Ping ging nicht mehr, wodurch
die PC sich nicht mehr am DC anmelden konnten (und natürlich
auch keine neue GPO mehr abrufen konnten; musste ganz schön
tief in die Trickkiste greifen, um die Kisten wieder ans Netz
zu bekommen)

Keine Ahnung wie Du das hinbekommen hast. Wenn die
Namensauflösung nicht mehr funktioniert, hat das nichts mit
der Firewall zu tun.

Doch, wenn die Firewall keine ausgehenden Verbindungensanfragen mehr zulässt.

Und wenn ein PC nicht mehr auf einen PING antwortet, heißt das
nicht, dass er sich nicht mehr am DC anmelden kann.

Richtig, s.o.

Gruß,

Klaus

ESSJOTT_c3e443 · 12. November 2019 um 06:01

Hallo,

Keine Ahnung wie Du das hinbekommen hast. Wenn die
Namensauflösung nicht mehr funktioniert, hat das nichts mit
der Firewall zu tun.

Doch, wenn die Firewall keine ausgehenden
Verbindungensanfragen mehr zulässt.

in den Standardeinstellungen lässt die Firewall so etwas selbstverständlich zu. Da muss jemand aber extrem an den Einstellungen geschraubt haben.

Wenn man per GPO „Firewall an/aus“ konfiguriert, lässt diese DNS Anfragen durch.

Gruß

S.J.