Windows Firewall Regeln haben keine Auswirkungen

[neti101]

Hallo Forum

ich bin was das Theme Netzwerk und CoKg angeht noch nicht die hellste leuchte, bin deshalb gerade am stottern.

Um es kurz und knapp zu machen:
Alle meine Einstellungen die ich in der Windows 10 Firewall mache haben keine Auswirkungen wenn ich sie mit einem Portscanner danach überprüfe (nmap, Befehl "nmap IP")
Die IP die ich benutze ist die auch im ipconfig angezeigt wird.
Ich muss doch nicht die IP benutzen die mir z.B. wieistmeineIP anzeigt, oder?

Was ich will ist einfach nach einer Windows Neuinstallation, bevor ich das Lan-Kabel an meinen Computer anschließe, alle Ports überprüfen die offen sind (wenn das überhaupt "offline" funktioniert).
Dann alle offenen Ports per Firewall schließen bzw. die Windows Firewall so einstellen das alles blockiert wird, gibts da eine bestimmte Regel oder Trick, Stichwort "deny all"?
Zwischenfrage: Ist schließen und blockieren dasselbe?

Zum Problem:
Ich kann einzelne Ports blockieren oder zulassen, doch zum prüfen mit nmap tut sich nichts, bzw. er zeigt immer die selben offenen Ports an 135, 139, 445.

Komsicher weiße zeigt ein Online Portscanner immer die Ports, die bei Nmap offen sind , als geschlossen an.
Portscanner ist doch Portscanner...?

Ich habe im Windows Internet Bereich schon an vielen Schrauben gedreht doch irgendwie tut sich nicht das erhoffte.

OS: Windows 10 Pro
Zugang zum Router habe ich nicht.


Vielen Dank

 

[leipziger1979]

Ich kann einzelne Ports blockieren oder zulassen, doch zum prüfen mit nmap tut sich nichts, bzw. er zeigt immer die selben offenen Ports an 135, 139, 445.

Du prüft lokal auf deinem Rechner ob die Ports offen sind.
Logisch das die von da aus offen sind, denn von deinem Rechner aus kannst du das nicht prüfen.

Komsicher weiße zeigt ein Online Portscanner immer die Ports, die bei Nmap offen sind , als geschlossen an.

Auch logisch.
Hier wirkt erst einmal NAT deines Routers der die Ports nicht weiterleitet.
Und wenn doch würde deine Windows Firewall sie blocken wenn sie richtig konfiguriert ist.

Portscanner ist doch Portscanner...?

Ja, aber kommt halt drauf an von wo man prüft.
Netzwerk 1 mal 1 macht man nicht mal so nebenbei.

 

[neti101]

Aber auf welche Art und Weise kriege dann dieses Vorhaben hin?

Was ich will ist einfach nach einer Windows Neuinstallation, bevor ich das Lan-Kabel an meinen Computer anschließe, alle Ports überprüfen die offen sind (wenn das überhaupt "offline" funktioniert).
Dann alle offenen Ports per Firewall schließen bzw. die Windows Firewall so einstellen das alles blockiert wird, gibts da eine bestimmte Regel oder Trick, Stichwort "deny all"?
Zwischenfrage: Ist schließen und blockieren dasselbe?

 

[firexs]

Lass es auf Standard, Prüfe Online was offen ist und wenn du definitiv die Offenen Ports nicht benötigst, dann sperrst du sie in der Firewall. Fertig.

 

[Raijin]

Die Windows-Firewall ist grundsätzlich in 3 Bereiche aufgeteilt.

Domain - Das sind Firmennetzwerke
Private - Das sind private Netzwerke
Public - Das sind öffentliche Netzwerke

Je nachdem wie die Netzwerkschnittstelle eingestuft wurde wird in der Firewall das entsprechende Profil aktiv. Heißt: Wenn ein Port im Profil "Public" gesperrt ist, aber im Profil "Private" zugelassen ist, kommt es darauf an ob die (W)LAN-Schnittstelle nun einsortiert wurde. Soviel erstmal zu den Profilen. Nach den Profilen kommen natürlich die eigentlichen Regeln ins Spiel. Jede Regel beinhaltet dabei Angaben über den Port, etc. aber eben auch Angaben über den "Scope". Ich hab leider ein englisches W7 und hab die deutschen Begriffe nicht parat. Wenn man in den Advanced Firewall Settings auf eine In- bzw. Outbound-Regel doppelklickt, öffnen sich die Details. Dort gibt es einen Reiter, der sich "Scope" nennt, im Deutschen wohl sowas wie "Bereich". Hier steht standardmäßig "Local subnets only". Das bedeutet, dass diese Firewall-Regel nur für IP-Adressen gilt, die aus einem lokalen Subnetz kommen, also direkt am PC angeschlossen sind. Würde nun der Internet-Router zB SMB-Ports an den PC weiterleiten, würde dort standardmäßig die Windows-Firewall etwaige Verbindungsversuche abblocken, da die Quell-IP aus dem www kommt und somit nicht aus einem lokalen Subnetz -> Block.

Lange Rede, kurzer Sinn. Standardmäßig ist die Windows-Firewall soweit vorkonfiguriert, dass zB Freigaben bzw. die SMB-Ports nur aus dem lokalen Subnetz freigegeben sind - es sei denn die Netzwerkschnittstelle steht auf Public/Öffentlich, denn das wäre zB ein Hotel-(W)LAN und da soll ja kaum der Zimmernachbar auf lokale Freigaben zugreifen!

Die Windows-Firewall ist also primär dazu da, den lokalen Traffic zu bewerten und ggfs zu blocken. Für Zugriffe aus dem Internet ist die Firewall des Routers verantwortlich. Wenn der Router einen Port nicht weiterleitet, kommt beim PC auch nie Traffic auf diesem Port an - zumindest nicht aus dem www, von lokal evtl. schon, klar. Man muss die Windows-Firewall eigentlich nur anfassen, wenn man a) ein neues Programm installiert, welches einen bestimmten Port benötigt - zB VNC @5900 - oder b) einen Port am Router an den PC weiterleitet und dieser auf diesem Port nun explizit auch Verbindungen aus dem WWW akzeptieren soll - zB ein Webserver.

Mein Fazit: Lass die Windows-Firewall lieber in Ruhe solange du nicht ganz genau weißt was du tun willst. Trial'n'Error ist keine gute Idee, vor allem dann, wenn dein Eingriff unter Umständen gar nicht notwendig ist, da wie gesagt der Internet-Router an vorderster Front bereits alles blockiert.

 

[neti101]

https://www.speedguide.net/port.php?port=139

"By default, when File and Print Sharing is enabled it binds to everything, including TCP/IP (The Internet Protocol), rather than just the local network, meaning your shared resources are available over the entire Internet for reading and deletion, unless configured properly. Any machine with NetBIOS enabled and not configured properly should be considered at risk. The best protection is to turn off File and Print Sharing, or block ports 135-139 completely. If you must enable it, use the following guidelines"

To disable NetBIOS over TCP/IP support
https://technet.microsoft.com/en-us/library/cc940063.aspx

 

[Raijin]

Dir ist aber schon klar, dass ohne eine Portweiterleitung im Router gar nichts beim PC ankommen kann? Du zerbrichst dir den Kopf über Sicherheitsschlösser an den Zimmertüren obwohl die Haustür aus 40cm Stahl besteht.

Im übrigen ist obiges Zitat nicht aussagekräftig, da es wie erwähnt darauf ankommt ob die Netzwerkverbindung als öffentlich, privat oder Domain eingestellt ist. Je nachdem sind in der Windows-Firewall nämlich andere Regeln aktiv, die zB in öffentlichen Netzwerken bestimmte Ports explizit blocken, während sie in privaten freigegeben sind. Daher ist es auch eklatant wichtig, dass man mit dem Laptop im Hotel, Café oder an sonstigen öffentlichen Hotspots auch wirklich das öffentliche Profil wählt, wenn man sich mit dem Netzwerk verbindet. Ansonsten greifen die dafür voreingestellten Regeln nicht und ein findiger Hotelnachbar kann plötzlich auf den Laptop zugreifen - mal von Logins abgesehen.