Firewall GPO

Diese Dokumentation liefert eine detaillierte Auflistung der benötigen GPO-Konfigurationen für eine korrekte Erkennung von Windows Geräten über den Discovery Bereich.

Erstellung Gruppenrichtlinie¶

Starten Sie auf dem Domaincontroller unter Start -> Windows Verwaltungsprogramme -> Gruppenrichtlinienverwaltung den Assistenten zur Verwaltung von GPOs.

Gruppenrichtlinienverwaltung anzeigen

Innerhalb der gewünschten Domänenstruktur erstellen Sie unter Gruppenrichtlinienobjekte mittels Rechtsklick -> Neu eine neue Richtlinie.

Kontextmenü zur Anlage einer neuen GPO

Vergeben Sie für das neue Objekt einen aussagekräftigen Namen.

Neues Gruppenrichtlinienobjekt erstellen

Sobald die das neue Objekt hinzugefügt wurde wählen Sie Rechtsklick -> Bearbeiten aus.

Gruppenrichtlinienobjekt bearbeiten

In dem neu geöffneten Fenster navigieren Sie in der Baumstruktur zu Computerkonfiguration -> Richtlinien -> Windows-Einstellungen -> Sicherheitseinstellungen -> Windows-Firewall mit erweiterter Sicherheit -> Windows-Firewall mit erweiterter Sicherheit -> Eingehende Regeln

Windows-Firewall konfigurieren

Dort klicken Sie mit der rechten Maustaste auf Neue Regel

Neue Regel in der Windows-Firewall konfigurieren

Als Regeltyp wählen Sie Benutzerdefiniert

Typ für neue Regel auswählen

Programm auf Alle Programme setzen

Programmauswahl für neue Regel definieren

Bei Protokolle und Ports die Standardauswahl „Alle“ belassen

Protokolle und Ports für neue Regel definieren

Im Schritt Bereich klicken Sie unten bei Remote-IP-Adressen auf Hinzufügen

Info

In dieses Feld wird die IP Adresse Ihres lokalen Discovery Satelliten eingetragen.

Remote IPs für neue Regel definieren

Als Aktion bitte „Verbindung zulassen“ auswählen

Verbindung für neue Regel definieren

Im Schritt Profil sollten zumindest die Netzwerkbereiche „Domäne“ und „Privat“ ausgewählt werden. Da die Netzwerkerkennung von Windows nicht immer zuverlässig funktioniert, wählen wir hier auch „Öffentlich“ mit aus.

Profil für neue Regel definieren

Abschließend vergeben Sie noch einen Namen und Beschreibung der Regel, die auf den Clients selbst später ersichtlich ist.

Namen und Beschreibung für neue Regel definieren

GPO aktivieren / verlinken¶

Um die neu angelegte GPO für die Computer innerhalb Ihrer Domäne zu aktivieren, ziehen Sie das Gruppenrichtlinienobjekt per Drag-and-Drop auf die gewünschte Organisationseinheit.

In dieser Organisationseinheit sollten sich die zu scannenden Systeme befinden. Alternativ kann das Gruppenrichtlinienobjekt auch auf die gesamte Domäne (hier: entek.local) angewendet werden.

GPO aktivieren

Richtlinie prüfen¶

Auf einem Clientsystem kann die korrekte Ausführung der GPO wie folgt verifiziert werden. Als Administrator innerhalb der CMD:

gpupdate /force

Anschließend in der Systemsteuerung unter Windows Firewall die Eingehenden Regeln prüfen. An dieser Stelle sollte die neu erstellte Regel für Scans des Discovery Satelliten erscheinen.

GPO nacj Aktivierung prüfen