Domain Firewallprofil wird niemals aktiv

Alles zum Thema Sicherheit und Internet unter Windows 11.
Antworten
der Micro

Domain Firewallprofil wird niemals aktiv

Beitrag von der Micro » 12.11.2021, 21:30

Salü :)

Wir testen Windows 11 bei uns schon in der Firma (6000PC), weil naja, eine Menge Anwendung und Security-Zeugs durch getestet weden müssen. Wir sind dabei auf ein witziges Problem gestossen und das haben wir in 2 Domänen die unterschiedlicher nicht sein können, weshalb wir auf einen Bug oder ein undokumentiertes Feature tippen.

Wenn ein Windows 10 PC via NLA (Network Location Awareness) erkennt das der PC zur Domäne gehört und den entsprechenden DC via UDP 389 erkennt, dann wird das Netzwerk auf Domain geschalten und das entsprechende Firewallprofil ebenfalls aktiviert. Funktioniert bei uns in 100% aller Windows 10 Geräte (die erwähnten 6000 ;) ). Nun ja, bei allen Windows 11 Geräten passiert das nicht, diese schalten auf Public und dicht ist die Kiste. Wir haben alle möglichen Blogs und Dokus durchgeklappert ob wir über irgendwas stolpern, nein...nichts zu finden. Der einizge Trick der klappt die in der Registry pro Netzwerkprofil die Category von 0 auf 2 zu setzen. Aber das lässt sich nicht automatisieren, schon gar nicht wenn man ins WLAN springt oder mal an einer anderen Dockingstation ist und der Netzwerkname dann eine 2, 3 oder hinten dran hängt, dann darf man das mit der Registry wiederholen, aber kaum einer darf Admin sein, also bleibts an mir hängen.

Bevor ich mich dann mit Microsoft und dessen elend schlechtem Support in superträge und schlechten indischen englisch rumschlagen muss, mal die Frage an hier: Ist jemand ein Engineer in irgendeiner grösseren Firma mit hoher IT-Sec und testet schon an Windows 11?
Oder kennt irgendein Super-Nerd den Weg den MS jetzt wählt um Domänen zu erkennen?

Gruess Mirco

Tante Google

Domain Firewallprofil wird niemals aktiv

Beitrag von Tante Google » 12.11.2021, 21:30


der Micro

Re: Domain Firewallprofil wird niemals aktiv

Beitrag von der Micro » 12.11.2021, 21:36

Achja, unsere Geräte sind zu einem hohen Prozentsatz nach diesen Empfehlungen gehärtet.
https://www.cyber.gov.au/sites/default/ ... 021%29.pdf

Kann auch sein das unter Windows 11 eines der Security relevanten Einstellungen das verhindert. Aber das zu finden würde Jahre dauern.

Benutzeravatar
John-Boy
Superhirn
Superhirn
Beiträge: 1283
Registriert: 03.08.2017, 15:50
Hat sich bedankt: 23 Mal
Danke erhalten: 256 Mal
Gender:

Re: Domain Firewallprofil wird niemals aktiv

Beitrag von John-Boy » 12.11.2021, 22:51

Mir ist da kein Fehler bekannt aber du könntest das mal versuchen

Erzwingen des Login-Domänenprofil in PowerShell

Code: Alles auswählen

Set-NetConnectionProfile -Name "Connction-Name" -NetworkCategory DomainAuthenticated

Oder das Profil in der Registrierung erzwingen

Code: Alles auswählen

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Profiles


im richtigen Profil DWORD wert auf 2 setzen
Grüße
John
+++Kein Backup – kein Mitleid+++
“Anything that can go wrong will go wrong.”

Gast

Re: Domain Firewallprofil wird niemals aktiv

Beitrag von Gast » 16.11.2021, 07:18

Guten Morgen
Die beiden Tricks kennen wir aber das ist ja das was ich meinte, die gehen nicht automatisch weil der Connection-Name nicht gesichert immer der selbe ist. Aber wir haben den "Fehler" gefunden der das auslöst.
In Umgebungen wo der Computer keinen Zugang zum Internet hat, sondern nur der User via Proxy etc. poppte gern das "Ich habe kein Internet" Netzwerk-Icon hoch mit dem nervenden Dreieck was dann immer wieder Tickets generiert weil die Leute verwirrt sind. Abhilfe schafften diese GPO-Settings
https://admx.help/?Category=Windows_10_ ... obeContent

Bei Windows 11 müssen die wieder geleert werden, unmittelbar danach schalteten die Win11 Clients auf das Domainprofile um.

Antworten