Einige Windows Update-Pakete aktivieren Firewall-Regeln (eingehend und ausgehend) regelmäßig im Hintergrund erneut. Gibt es eine Möglichkeit, eine Regel endgültig zu deaktivieren oder Windows Update das Recht zum Ändern von Firewall-Regeln zu entziehen?
(das Löschen von Regeln bringt nichts, Windows Update erstellt sie neu)
Beispiele für „frivole“ Regeln, die sich immer wieder selbst aktivieren: Windows-Leseliste, MSN Sports, Solitaire Collection, Get Office usw.
Dies gilt für einen Windows 10-Computer in einem halb-öffentlichen Netzwerk, und AllJoyn, Cast-Server oder verschiedene XBox-Ports werden immer etwas anderes als Sicherheitsrisiken darstellen.
Antwort1
(Dieser Thread erscheint weit oben in den Suchmaschinen und trotzdem wird eine wirklich gute Lösung übersehen. Es ist ein bisschen ein Nekro-Beitrag, aber jemand könnte ihn nützlich finden).
Vermeiden Sie die Verwendung der Windows-Firewall wie gewohnt, da es zu einfach ist, neue Regeln hinzuzufügen. Diese wird als „lokale Firewall“ bezeichnet und ist praktisch nutzlos, um App-Telemetrie, DRM und anderen Müll zu blockieren, da es, wie Sie gesehen haben, für ein Programm zu einfach ist, dies zuzulassen.
Verwenden Sie stattdessen die Windows-Firewall aus der Gruppenrichtlinie. Führen Sie 'gpedit' als Administrator aus und navigieren Sie zuWindows-Einstellungen > Sicherheitseinstellungen > Windows Defender Firewall mit erweiterter Sicherheit.
Dies sieht genauso aus wie die normale Firewall (nur in das Gruppenrichtlinientool eingebettet), kann aber nicht über Skripte geändert werden. Gehen Sie an dieser Stelle alle Optionen sorgfältig durch und legen Sie Ihre Einstellungen fest.
Der wichtigste Teil ist, für jedes Profil auf Einstellungen zu klicken undDeaktivieren Sie die lokalen Firewall-RegelnimRegelzusammenführungAbschnitt. Diese Regeln sind nicht vertrauenswürdig, deshalb möchten Sie sie dort nicht haben.
Ich persönlich würde die „lokale Firewall“ vollständig deaktivieren und nur die Gruppenrichtlinien-Firewall verwenden. Es ist schwierig, beides zu verwalten, denn ehrlich gesagt ist es ein riesiges Durcheinander. Ärgerlicherweise sind die von Drittanbietern nicht viel besser. Beachten Sie jedoch, dass ich für alles Wichtige immer empfehlen würde, eine dedizierte Firewall-Appliance auf Linux- oder BSD-Basis zu verwenden. Diese bieten ordnungsgemäß geordnete Regeln und Stateful Firewalls usw.
Antwort2
TL;DR: Es ist nicht möglich, Programme mit Administratorzugriff daran zu hindern, Firewall-Regeln zu ändern.Windows-Firewall-Steuerungist ein Programm, das mithilfe der Funktion „Sichere Regeln“ automatisch Windows-Firewall-Regeln löscht oder deaktiviert, die Sie nicht genehmigt haben.
Das Problem besteht darin, dass jedes Programm, das mit Administratorrechten ausgeführt wird, die Regeln der Windows-Firewall stillschweigend ändern darf. Neben Windows Update fühlen sich Firefox, Chrome und viele andere Programme dazu berechtigt, sicherzustellen, dass sie Netzwerkverkehr senden und empfangen können, ohne Ihre Erlaubnis einzuholen.
Die beste Lösung, die ich gefunden habe, war die VerwendungWindows-Firewall-Steuerung(WFC), dasvon Malwarebytes übernommenStand 2018. Es gibt zwar eine Reihe anderer Produkte, die eine bessere Schnittstelle zur Windows-Firewall bieten, aber dies ist das einzige, das ich gefunden habe, das das von Ihnen angesprochene Problem löst. Es verfügt über eine Funktion namens „Sichere Regeln“, die automatisch alle Regeln deaktiviert, die nicht von den spezifischen autorisierten Gruppen erstellt wurden. Ich habe es so eingerichtet, dass nur die Windows-Firewall-Steuerung Regeln erstellen darf. Laut derBenutzerhandbuch, es funktioniert so, dass die Windows-Firewallsteuerung benachrichtigt wird, wenn neue Regeln erstellt werden, und diese deaktiviert, wenn sie nicht in der richtigen Gruppe sind.
Wenn Chrome aktualisiert wird, versucht es, eine Regel hinzuzufügen. Die Regel wird erstellt, aber von WFC automatisch deaktiviert.
Einige weitere Anmerkungen:
- WFC ist kostenlos, aber nicht Open Source. Ich persönlich würde gerne dafür bezahlen (wie ich es getan habe, um eine Reihe von Konkurrenzprodukten auszuprobieren), aber hoffentlich wird es weiterhin weiterentwickelt
- Mir persönlich gefällt die Meldung sehr gut, wenn ein neues Programm zum ersten Mal versucht, auf das Netzwerk zuzugreifen, aber ich kann mir vorstellen, dass dies genauso nervig ist wie bei jedem ähnlichen Produkt. Es verfügt über den erforderlichen Lernmodus, aber man muss über ein gewisses Maß an Netzwerkkenntnissen verfügen, um es einzurichten.
- Da es über der Windows-Firewall sitzt, ist es möglich zu überprüfen, ob es sich selbst vom Zugriff auf das Internet abhält, was Sie ja auch wollen
- Ich habe noch nie Leistungsprobleme bemerkt
Antwort3
Ergänzung zur Antwort von @Karsten Pedersen:
Und Sie können Ihre aktuellen Regeln in der lokalen Firewall in eine Datei exportieren und diese dann in die Richtlinien-Firewall importieren :-)
Antwort4
Legen Sie die Firewallregeln in der Gruppenrichtlinie fest. Sie bleiben zwischen Funktionsupdates erhalten: Wie kann ich mithilfe von GPO Ports in der Windows-Firewall öffnen?
Ich sehe sie in diesem Bereich: Computerkonfiguration -> Administrative Vorlagen -> Netzwerk -> Netzwerkverbindung -> Windows-Firewall -> Domänenprofil. Heutzutage gibt es spezielle für ICMP (Ping) und Remotedesktop.