Windows Firewall Netzbereich global als privat hinzufügen

[conf_t]

Hallo,

weiß jemand, ob ich global an der Windows-Firewall die Option der Netzbereich ändern kann?

Aktuell habe ich als Netzwerkprofil das Private Netzwerk (Heimnetzwerk) gewählt, durch VPNs möchte ich aber auch, dass aus anderen Subnetzen auf Ressourcen zugegriffen werden kann.

Muss ich jetzt für jeden einzelnen Dienst die Regel (den Bereich) anpassen oder kann ich das irgendwo global machen?
Ich möchte dem Netzbereich 192.168.0.0/22 die gleiche Vertrauensstufe geben wie dem lokalen Subnetz.

So nach dem Motto, Heimnetz = local + 192.168.0.0/22

Hoffe, ich habe mich verständlich genug ausgedrückt. Danke.

 

[=DarkEagle=]

Ich habe es jetzt mehrfach durchgelesen, aber klar ist es mir noch nicht.

Du hast ein Heimnetz 192.168.0.0/22 bzw. dein Heimnetz ist ein Adressbereich aus diesem Netz?
Dann hast Du noch VPNs. Sind diese VPNs alle auf deinem Rechner oder ist der Router für die VPNs verantwortlich.
Denke mal, dass Du eine Verbindung von deinem Rechner zu mehreren VPNs hast.
Und aus diesen VPNs, die meinetwegen andere Haushalte sind, soll man auf Teile deines Heimnetzes zugreifen, sprich, dein PC routet den Zugriff für die Teilnehmer aus den VPNs?
Ist so der Ablauf oder habe ich was falsch verstanden?

 

[Lawnmower]

Dafür müsste ja erstmal das Routing stimmen damit Zugriffe aus anderen Subnetzen ins private LANs funktionieren.

 

[conf_t]

ok, das war unpräzise: also die /22 ist nur zusammengefasst. es sind 4 einzelne, benachbarte /24er Netze. Jedes der 4 hat einen eigenen Router und die Router stellen untereinander eine VPN Verbindung her. Also Routing ist hier kein Thema, das funktioniert alles. Ich möchte einfach nur komfortabler meine Windows-Firewalls konfigurieren können. Bei Kasperky 6 war das z.B. so, dass ich der dortigen Firewall sagen kann welche Netze vertrauenswürdig sind und welche nicht.

Da VPN ist letztlich aber nur Beiwerk.

Ich möchte die lästige manuelle Eingabe in der Firewall umgehen:

z.B. Alleine für die Datei- und Druckerfreigabe müssen 8 solcher Dialoge durchgegangen werden und das pro PC
Ideal wäre ein CMD Befehl, der das global setzt, dann könnte ich das per Skript konfigurieren...

 

[=DarkEagle=]

Ich frage mich, ob das wirklich notwendig ist. Rechner aus dem Internet haben ja eh dank NAT keinen direkten Zugriff auf deine Rechner. Und alle lokalen Rechner, die sich eh frei bewegen können, sollen ja direkten Zugriff haben. Ich würde es daher als unnötig erachten, da es kein wirkliches Angriffsszenario gibt (zumindest eingehende Angriffe). Wenn Du so natürlich verhindern willst, dass bestimmte Protokolle nach draußen dringen, ist das was anderes. SMB war da glaube ich ein schönes Risiko.

Ansonsten habe ich leider nichts gefunden, was Dir helfen könnte.

 

[conf_t]

Ok, danke für die Mühe, ich selbst hatte nämlich auch nichts gefunden...
Aber es zeigt sich mal wieder, dass dieser wie alle meine Threads der letzten Jahre zu speziell sind und meist hier nicht gelöst werden können.

 

[=DarkEagle=]

Du kannst Dich höchstens in Powershellbefehle einlesen und dir ein entsprechendes Script basteln, was Du auf allen Rechnern ausführst.
http://www.datacenter-insider.de/sicherheit/software/articles/415239/

Allerdings musst Du dann erstmal für jede Regel was scripten.

Die Powershellbefehle kannst Du soweit vereinfachen, dass diese nicht für jede Regel einzeln angewendet werden müssen, sondern auch gruppenspezifisch.
https://technet.microsoft.com/de-de/library/Hh831755.aspx
"Mehrere Regeln in einer Gruppe können gleichzeitig geändert werden, wenn der zugeordnete Gruppenname in einem Set-Befehl angegeben ist. Sie können angegebenen Verwaltungsgruppen Firewallregeln hinzufügen, um mehrere Regeln mit demselben Einflussbereich zu verwalten."