Einschränkung auf definierte Netzwerkinterfaces (Windows 10/11)

[violentviper]

Hallo,

ich habe eine handvoll Windows 10/11 Clients in der Domäne, bei denen ich gerne verhindern möchte, dass jemand z.B einen LTE Router dranhängt und darüber surft. Ich habe keine Idee, wie ich es Clientseitig ermöglichen kann, dass nur über definierte und vertrauenswürdige Netzwerkinterfaces kommuniziert werden soll. USB Ports sind via GPO gesperrt, aber die LTE Router kommunizieren über den RJ-45 Port, hier ist mir keine Möglichkeit bekannt.

Ist sowas unter Windows überhaupt abbildbar? Wenn ja, wie?

Viele Grüße

 

[Fujiyama]

Kann man nicht bestimmte Menüs und Einstellungen blockieren damit man da nicht mit standardrechten dran kommt?
Zur Not Pc wegschließen damit man nix anschließen kann?

 

[Mojo1987]

Mit Windows eher nicht, entsprechende Endpoint Software Lösungen können das aber ggf. lösen. Möglicherweise auch via Intune Richtlinien via Defender steuerbar.

Das Ding ist, haben die Rechner dann auch kein W-LAN? Den letztlich wäre damit ja das selbe Problem vorhanden.

 

[CoMo]

Spontan würde ich sagen: IEEE_802.1X auf dem Switch.

 

[BFF]

soll. USB Ports sind via GPO gesperrt, aber die LTE Router kommunizieren über den RJ-45 Port, hier ist mir keine Möglichkeit bekannt.

Da war mal was um zu verhindern das Nutzer das Netzwerk wechseln können. Ewig her.

Muss mal buddeln.

Vorab gefragt:

Die Nutzer sind in einer AD und haben keine lokalen Admin Rechte?

Und die stecken tatsächlich den PC/NB von Firmennetz ab um den per Netzwerkkabel an einen LTE Router anzuschließen?

 

[violentviper]

Zur Not Pc wegschließen damit man nix anschließen kann?

Das geht leider nicht, da es mobile Clients sind.

Das Ding ist, haben die Rechner dann auch kein W-LAN?

Die Clients haben kein WLAN, das ist im Bios schon deaktiviert. Und ins Bios kommt man auch nur mit PW.

Spontan würde ich sagen: IEEE_802.1X auf dem Switch.

Dann könnte man sich aber immer noch an andere Switche hängen bzw einfach den LTE Router nutzen?

Die Nutzer sind in einer AD und haben keine lokalen Admin Rechte?

Und die stecken tatsächlich den PC/NB von Firmennetz ab um den per Netzwerkkabel an einen LTE Router anzuschließen?

Die Nutzer sind alle im AD und haben keine Adminrechte.

Das Szenario soll jedenfalls verhindert / abgesichert werden. Vielleicht kann man auch die MAC Adresse vom Switch Whitelisten, dass der Client nur mit dem sprechen darf oder sowas. Aber gefunden habe ich dazu noch gar nichts.

 

[BFF]

Das buddeln mach ich über das WE.

Du überlegst Dir jetzt schon den Killswitch aka “if IP not Eu.Re.IP then shutdown”.

Das Szenario soll jedenfalls verhindert / abgesichert werden.

Also sind wir hier jetzt in einem theoretischen Umfeld?

Egal. Selbst wenn sollten dazu auch Regularien existieren welche einen Nutzer auf den Fall danach hinweisen.

 

[CoMo]

Dann könnte man sich aber immer noch an andere Switche hängen bzw einfach den LTE Router nutzen?

Stimmt. Zu kurz gedacht. Das hilft natürlich gar nichts, wenn der User den LTE-Router direkt an den PC hängt.

Das sollte aber doch über die Windows Firewall möglich sein. Der Switch hängt am Domain Network. Da ist Internet erlaubt.

Alle anderen Netzwerke (Public, Private) werden blockiert.

Ergänzung (12. September 2025)

Du könntest auch via GPO erzwingen, dass Internetzugriff nur über einen Proxy möglich ist. Dann stellst du einen Squid hin, der eine Authentifizierung via AD verlangt. Ohne Proxy kein Internet. https://wiki.squid-cache.org/ConfigExamples/Authenticate/WindowsActiveDirectory

 

[violentviper]

Das sollte aber doch über die Windows Firewall möglich sein. Der Switch hängt am Domain Network. Da ist Internet erlaubt.

Internet ist auf den Clients gar nicht erlaubt, zu keinem Zeitpunkt. Die Clients dienen nur dazu, um auf interne Netzwerke zuzugreifen. Aber das ist ein guter Punkt mit der Windows Firewall, von der Richtung habe ich noch gar nicht gedacht. Man könnte jetzt an ein Whitelisting denken, was sehr aufwändig wäre. Gibt es dort im Regelwerk eine Möglichkeit, explizit Internet zu blockieren? Letztlich ist Internet vom internen Netzwerk erst mal nicht zu unterschieden.

Vielleicht würde das dann auch den zweiten Ansatz mit dem Proxy ersparen. Bzw das GPO Setting "Internet nur via proxy" -> gibt keinen -> Problem gelöst (?).

 

[JumpingCat]

Was spricht gegen eine statische Konfiguration? Brauchst du überhaupt eine Default Route aka allgemeines Gateway?

 

[CoMo]

Ja, wenn Internet komplett gesperrt werden soll, dann einfach das Default Gateway entfernen und den DHCP-Client deaktivieren. Clients bekommen statische IP-Adressen, statische Routen in interne Netze und kein Default Gateway.

 

[violentviper]

Was spricht gegen eine statische Konfiguration? Brauchst du überhaupt eine Default Route aka allgemeines Gateway?

Manche Clients haben Netzwerkoperatorenrechte, da sie die statische IP der Clients editieren müssen. Beispielsweise um ein Netzwerkgerät per LAN Kabel zu konfigurieren, hierfür ist die Vergabe einer 10er Adresse notwendig.

Kann man per GPO Default Gateway und DHCP deaktivieren? Das Festlegen einer 0er Adresse würde auch schon helfen.

 

[TorenAltair]

Hast Du das versucht?

 

[JumpingCat]

Manche Clients haben Netzwerkoperatorenrechte, da sie die statische IP der Clients editieren müssen.

Diese Wendung hätte ich jetzt nicht erwartet.

Beispielsweise um ein Netzwerkgerät per LAN Kabel zu konfigurieren, hierfür ist die Vergabe einer 10er Adresse notwendig.

Man kann auch eine bzw. mehrere10er Addresse(n) statisch konfigurieren.

Dein allgemeine Setup kommt mir komisch vor. Wahrscheinlich macht das alles Sinn, aber ich sehe das Gesamtbild aktuell nicht.

 

[violentviper]

Hast Du das versucht?

Danke für den Hinweis, die GPO klingt vielversprechend. Muss ich mal Testen. Roaming wäre in dem Fall dann aber nur die Mobilfunk Einwahl außerhalb DE oder?

Man kann auch eine bzw. mehrere10er Addresse(n) statisch konfigurieren.

Meines Wissens kann man nur eine alternative statische IP Adresse vergeben. Finde auch nichts über die Vergabe von n statischen Adressen.

Dein allgemeine Setup kommt mir komisch vor. Wahrscheinlich macht das alles Sinn, aber ich sehe das Gesamtbild aktuell nicht.

Kann ich nachvollziehen, aber es macht tatsächlich Sinn.

 

[CoMo]

Du kannst in den Adaptereinstellungen einem Adapter so viele IP-Adressen geben, wie du willst.

 

[TorenAltair]

Meines Wissens kann man nur eine alternative statische IP Adresse vergeben

Kannst Du machen bis Du grün anläufst. Falls Du rausfindest, ob es ein Hardcap gibt, bitte mitteilen.

 

[BFF]

Manche Clients haben Netzwerkoperatorenrechte

Meines Wissens kann man nur eine alternative statische IP Adresse vergeben.

Was die manuelle Vergabe dann obsolet macht.

Anyway.

Wenn das hier bei Euch ist

Internet ist auf den Clients gar nicht erlaubt, zu keinem Zeitpunkt.

und ihr dann rausfindet das ein Jemand dennoch das umgeht gehoert auf die Finger geklopft.

 

[qiller]

Aber das ist ein guter Punkt mit der Windows Firewall, von der Richtung habe ich noch gar nicht gedacht. Man könnte jetzt an ein Whitelisting denken, was sehr aufwändig wäre.

This. Wenn die Leute an den Netzwerkeinstellungen rumfummeln können, bringt dir ja das Setzen von Gateway o. das Deaktivieren von DHCP nix. Die stellen dann einfach die passenden IPs vom Netz des LTE-Routers manuell ein und kommen trotzdem ins Internet.

So wie du das hier darstellst, hilft nur das hier (dran denken dann für alle 3 Profile festzulegen):

Und das wird dann durchaus bisschen Arbeit, dann jede Anwendung/Protokoll/Ports/IP-Adressen zu whitelisten, die du intern dann auch brauchst. Für Standardsachen gibts ja durchaus auch schon vorgefertigte Regeln, die man nutzen kann und dann nur anpassen muss.

Edit: Achso, ich weiß gar nicht, ob Netzwerkoperatoren an den Firewalleinstellungen rumfummeln können. Wenn ja, bringt das natürlich auch nix.