Domain Firewallprofil wird niemals aktiv
-
der Micro
Domain Firewallprofil wird niemals aktiv
Salü 
Wir testen Windows 11 bei uns schon in der Firma (6000PC), weil naja, eine Menge Anwendung und Security-Zeugs durch getestet weden müssen. Wir sind dabei auf ein witziges Problem gestossen und das haben wir in 2 Domänen die unterschiedlicher nicht sein können, weshalb wir auf einen Bug oder ein undokumentiertes Feature tippen.
Wenn ein Windows 10 PC via NLA (Network Location Awareness) erkennt das der PC zur Domäne gehört und den entsprechenden DC via UDP 389 erkennt, dann wird das Netzwerk auf Domain geschalten und das entsprechende Firewallprofil ebenfalls aktiviert. Funktioniert bei uns in 100% aller Windows 10 Geräte (die erwähnten 6000
). Nun ja, bei allen Windows 11 Geräten passiert das nicht, diese schalten auf Public und dicht ist die Kiste. Wir haben alle möglichen Blogs und Dokus durchgeklappert ob wir über irgendwas stolpern, nein...nichts zu finden. Der einizge Trick der klappt die in der Registry pro Netzwerkprofil die Category von 0 auf 2 zu setzen. Aber das lässt sich nicht automatisieren, schon gar nicht wenn man ins WLAN springt oder mal an einer anderen Dockingstation ist und der Netzwerkname dann eine 2, 3 oder hinten dran hängt, dann darf man das mit der Registry wiederholen, aber kaum einer darf Admin sein, also bleibts an mir hängen.
Bevor ich mich dann mit Microsoft und dessen elend schlechtem Support in superträge und schlechten indischen englisch rumschlagen muss, mal die Frage an hier: Ist jemand ein Engineer in irgendeiner grösseren Firma mit hoher IT-Sec und testet schon an Windows 11?
Oder kennt irgendein Super-Nerd den Weg den MS jetzt wählt um Domänen zu erkennen?
Gruess Mirco
Wir testen Windows 11 bei uns schon in der Firma (6000PC), weil naja, eine Menge Anwendung und Security-Zeugs durch getestet weden müssen. Wir sind dabei auf ein witziges Problem gestossen und das haben wir in 2 Domänen die unterschiedlicher nicht sein können, weshalb wir auf einen Bug oder ein undokumentiertes Feature tippen.
Wenn ein Windows 10 PC via NLA (Network Location Awareness) erkennt das der PC zur Domäne gehört und den entsprechenden DC via UDP 389 erkennt, dann wird das Netzwerk auf Domain geschalten und das entsprechende Firewallprofil ebenfalls aktiviert. Funktioniert bei uns in 100% aller Windows 10 Geräte (die erwähnten 6000
). Nun ja, bei allen Windows 11 Geräten passiert das nicht, diese schalten auf Public und dicht ist die Kiste. Wir haben alle möglichen Blogs und Dokus durchgeklappert ob wir über irgendwas stolpern, nein...nichts zu finden. Der einizge Trick der klappt die in der Registry pro Netzwerkprofil die Category von 0 auf 2 zu setzen. Aber das lässt sich nicht automatisieren, schon gar nicht wenn man ins WLAN springt oder mal an einer anderen Dockingstation ist und der Netzwerkname dann eine 2, 3 oder hinten dran hängt, dann darf man das mit der Registry wiederholen, aber kaum einer darf Admin sein, also bleibts an mir hängen. Bevor ich mich dann mit Microsoft und dessen elend schlechtem Support in superträge und schlechten indischen englisch rumschlagen muss, mal die Frage an hier: Ist jemand ein Engineer in irgendeiner grösseren Firma mit hoher IT-Sec und testet schon an Windows 11?
Oder kennt irgendein Super-Nerd den Weg den MS jetzt wählt um Domänen zu erkennen?
Gruess Mirco
-
Tante Google
-
der Micro
Re: Domain Firewallprofil wird niemals aktiv
Achja, unsere Geräte sind zu einem hohen Prozentsatz nach diesen Empfehlungen gehärtet.
https://www.cyber.gov.au/sites/default/ ... 021%29.pdf
Kann auch sein das unter Windows 11 eines der Security relevanten Einstellungen das verhindert. Aber das zu finden würde Jahre dauern.
https://www.cyber.gov.au/sites/default/ ... 021%29.pdf
Kann auch sein das unter Windows 11 eines der Security relevanten Einstellungen das verhindert. Aber das zu finden würde Jahre dauern.
-
John-Boy
- ★ Team Forum ★
- Beiträge: 1537
- Registriert: 03.08.2017, 15:50
- Hat sich bedankt: 37 Mal
- Danke erhalten: 473 Mal
- Gender:
Re: Domain Firewallprofil wird niemals aktiv
Mir ist da kein Fehler bekannt aber du könntest das mal versuchen
Erzwingen des Login-Domänenprofil in PowerShell
Oder das Profil in der Registrierung erzwingen
im richtigen Profil DWORD wert auf 2 setzen
Erzwingen des Login-Domänenprofil in PowerShell
Code: Alles auswählen
Set-NetConnectionProfile -Name "Connction-Name" -NetworkCategory DomainAuthenticatedOder das Profil in der Registrierung erzwingen
Code: Alles auswählen
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Profilesim richtigen Profil DWORD wert auf 2 setzen
Grüße
John
+++Kein Backup – kein Mitleid+++
“Anything that can go wrong will go wrong.”
John
+++Kein Backup – kein Mitleid+++
“Anything that can go wrong will go wrong.”
-
Gast
Re: Domain Firewallprofil wird niemals aktiv
Guten Morgen
Die beiden Tricks kennen wir aber das ist ja das was ich meinte, die gehen nicht automatisch weil der Connection-Name nicht gesichert immer der selbe ist. Aber wir haben den "Fehler" gefunden der das auslöst.
In Umgebungen wo der Computer keinen Zugang zum Internet hat, sondern nur der User via Proxy etc. poppte gern das "Ich habe kein Internet" Netzwerk-Icon hoch mit dem nervenden Dreieck was dann immer wieder Tickets generiert weil die Leute verwirrt sind. Abhilfe schafften diese GPO-Settings
https://admx.help/?Category=Windows_10_ ... obeContent
Bei Windows 11 müssen die wieder geleert werden, unmittelbar danach schalteten die Win11 Clients auf das Domainprofile um.
Die beiden Tricks kennen wir aber das ist ja das was ich meinte, die gehen nicht automatisch weil der Connection-Name nicht gesichert immer der selbe ist. Aber wir haben den "Fehler" gefunden der das auslöst.
In Umgebungen wo der Computer keinen Zugang zum Internet hat, sondern nur der User via Proxy etc. poppte gern das "Ich habe kein Internet" Netzwerk-Icon hoch mit dem nervenden Dreieck was dann immer wieder Tickets generiert weil die Leute verwirrt sind. Abhilfe schafften diese GPO-Settings
https://admx.help/?Category=Windows_10_ ... obeContent
Bei Windows 11 müssen die wieder geleert werden, unmittelbar danach schalteten die Win11 Clients auf das Domainprofile um.