Logo faq-o-matic.net
Logo faq-o-matic.net

Windows-Firewall per Gruppenrichtlinie: Welcher GP-Ordner?

von veröffentlicht am3. Dezember 2014, 06:43 Uhr Kurzlink und Zitatlink einblenden
Kategorie Kategorie: Gruppenrichtlinien, Sicherheit   Translate with Google Translate Translate EN   Die angezeigte Seite drucken

Die Windows-Firewall lässt sich gut über Gruppenrichtlinien konfigurieren. Dadurch erhält sie in professionellen Umgebungen ihren Sinn: Gibt man zentral vor, welchen Netzwerkverkehr die Server und Clients akzeptieren, so lassen sich schon dadurch die meisten Malware-Angriffe, aber auch gezielte Attacken verhindern. Wer diese zentrale Konfiguration vornehmen will, stößt aber vielleicht auf eine unerwartete Frage: An welcher Stelle nehme ich die Einstellungen denn vor?

Tatsächlich gibt es nämlich zwei Stellen im Gruppenrichtlinien-Editor, die das Verhalten der Windows-Firewall vorgeben:

  1. Den Pfad Computerkonfiguration/Windows-Einstellungen/Sicherheitseinstellungen/Windows-Firewall mit erweiterter Sicherheit
    image
  2. Den Pfad Computerkonfiguration/Administrative Vorlagen/Netzwerk/Netzwerkverbindungen/Windows-Firewall
    image

Tja – welchen denn nun?

Wer sich an der grafischen Oberfläche orientiert, greift meist zur besseren Variante: Die Einstellungen unter “Sicherheitseinstellungen” sehen nicht nur moderner aus und orientieren sich an der lokalen Einstellung in Windows. Sie sind auch in den meisten Situationen vorzuziehen. Grundsätzlich funktioniert aber beides.

Dass die Einstellungen zweimal in den GPOs auftauchen, ist etwas ärgerlich. Das hat eigentlich historische Gründe: Der Zweig unter „Administrative Vorlagen“ kommt aus Zeiten von Windows XP, als die Firewall überhaupt erst im Betriebssystem auftauchte. Der andere Pfad unter „Windows-Einstellungen“ ist „neuer“, spricht über eine eigene Client-Erweiterung “direkter” mit dem Firewall-API und ist daher grundsätzlich vorzuziehen.

Die Einstellungen unter „Administrative Vorlagen“ haben den Nachteil, dass sie durch lokale Änderungen überschrieben werden können (das steht auch in den Erläuterungen, wenn man eine der Detaileinstellungen öffnet). Über den anderen Weg unter „Windows-Einstellungen“ gibt man die Regeln autoritativ vor, sodass man sie lokal nicht überschreiben kann. Meist ist das gewünscht. Man kann die Unterscheidung aber natürlich auch gezielt einsetzen, wenn man gerade das lokale Übersteuern zulassen will.

image

Hier steht die wichtige Information: Die Firewall-Einstellungen unter “Administrative Vorlagen” lassen sich lokal übersteuern

© 2005-2019 bei faq-o-matic.net. Alle Rechte an den Texten liegen bei deren Autorinnen und Autoren.

Jede Wiederveröffentlichung der Texte oder von Auszügen daraus - egal ob kommerziell oder nicht - bedarf der ausdrücklichen Genehmigung durch die jeweiligen Urheberinnen oder Urheber.

Das Impressum findet sich unter: http://www.faq-o-matic.net/impressum/

Danke, dass du faq-o-matic.net nutzt. Du hast ein einfaches Blog sehr glücklich gemacht!