Logo faq-o-matic.net
Logo faq-o-matic.net

Windows-Firewall per Gruppenrichtlinie: Welcher GP-Ordner?

3 Dez 2014
von veröffentlicht am3. Dezember 2014, 06:43 Uhr Kurzlink und Zitatlink einblenden
Kategorie Kategorie: Gruppenrichtlinien, Sicherheit   Translate with Google Translate Translate EN   Die angezeigte Seite drucken

Die Windows-Firewall lässt sich gut über Gruppenrichtlinien konfigurieren. Dadurch erhält sie in professionellen Umgebungen ihren Sinn: Gibt man zentral vor, welchen Netzwerkverkehr die Server und Clients akzeptieren, so lassen sich schon dadurch die meisten Malware-Angriffe, aber auch gezielte Attacken verhindern. Wer diese zentrale Konfiguration vornehmen will, stößt aber vielleicht auf eine unerwartete Frage: An welcher Stelle nehme ich die Einstellungen denn vor?

Tatsächlich gibt es nämlich zwei Stellen im Gruppenrichtlinien-Editor, die das Verhalten der Windows-Firewall vorgeben:

  1. Den Pfad Computerkonfiguration/Windows-Einstellungen/Sicherheitseinstellungen/Windows-Firewall mit erweiterter Sicherheit
    image
  2. Den Pfad Computerkonfiguration/Administrative Vorlagen/Netzwerk/Netzwerkverbindungen/Windows-Firewall
    image

Tja – welchen denn nun?

Wer sich an der grafischen Oberfläche orientiert, greift meist zur besseren Variante: Die Einstellungen unter “Sicherheitseinstellungen” sehen nicht nur moderner aus und orientieren sich an der lokalen Einstellung in Windows. Sie sind auch in den meisten Situationen vorzuziehen. Grundsätzlich funktioniert aber beides.

Dass die Einstellungen zweimal in den GPOs auftauchen, ist etwas ärgerlich. Das hat eigentlich historische Gründe: Der Zweig unter „Administrative Vorlagen“ kommt aus Zeiten von Windows XP, als die Firewall überhaupt erst im Betriebssystem auftauchte. Der andere Pfad unter „Windows-Einstellungen“ ist „neuer“, spricht über eine eigene Client-Erweiterung “direkter” mit dem Firewall-API und ist daher grundsätzlich vorzuziehen.

Die Einstellungen unter „Administrative Vorlagen“ haben den Nachteil, dass sie durch lokale Änderungen überschrieben werden können (das steht auch in den Erläuterungen, wenn man eine der Detaileinstellungen öffnet). Über den anderen Weg unter „Windows-Einstellungen“ gibt man die Regeln autoritativ vor, sodass man sie lokal nicht überschreiben kann. Meist ist das gewünscht. Man kann die Unterscheidung aber natürlich auch gezielt einsetzen, wenn man gerade das lokale Übersteuern zulassen will.

image

Hier steht die wichtige Information: Die Firewall-Einstellungen unter “Administrative Vorlagen” lassen sich lokal übersteuern

Verwandte Beiträge:

  1. Drucken unter Windows 7 in der Domäne
    Unter Windows 7 haben sich mal wieder die Sicherheitseinstellungen für das Drucken im Netzwerk geändert. Über Gruppenrichtlinien lässt sich das...
  2. Installation von NT4-Druckertreibern auf Windows Server 2003
    Für die meisten Drucker gibt es auf der Windows Server 2003-CD keinen entsprechenden Druckertreiber mehr für Windows NT 4.0. Somit...
  3. Probleme beim Wiederherstellen einer Gruppenrichtlinie mit PowerShell
    Mittlerweile gibt es seit Windows Server 2012 mehr als 2000 Powershell Cmdlets (Commandlets). Natürlich findet sich dort auch etwas für...
  4. Welcher Name ist der beste für eine AD-Domäne?
    Diese Frage lässt sich nur mit einem bestimmten „Ja, sicher!“ beantworten. Selbstverständlich hängt es von zahlreichen Faktoren ab, welcher Domänenname...
  5. “An Taskleiste anheften” per Gruppenrichtlinie
    Seit Windows 7 und Windows Server 2008 R2 gibt es bekanntlich keine Schnellstart-Leiste (Quicklaunch) mehr. Die neue Taskleiste wurde komplett...
Kurzlink zu diesem Artikel:
http://faq-o-matic.net/?p=6287
<< (neuer)
(älter) >>

© 2005-2023 bei faq-o-matic.net. Alle Rechte an den Texten liegen bei deren Autorinnen und Autoren.

Jede Wiederveröffentlichung der Texte oder von Auszügen daraus - egal ob kommerziell oder nicht - bedarf der ausdrücklichen Genehmigung durch die jeweiligen Urheberinnen oder Urheber.

Das Impressum findet sich unter: http://www.faq-o-matic.net/impressum/

Danke, dass du faq-o-matic.net nutzt. Du hast ein einfaches Blog sehr glücklich gemacht!