Hi Andreas,
das sind die "Ausläufer" der Sicherheitseinstellungen via GPO + Windows XP
SP2 respektive Windows Server 2003 SP1. Zu ändern unter:
-> Serververwaltungskonsole
-> Erweiterte Verwaltung
-> Gruppenrichtlinienverwaltung
-> Gesamtstruktur: <Domänen-Name>
-> Domänen
-> <Domänen-Name>
(-> Gruppenrichtlinienobjekte)
-> Small Business Server-Windows-Firewall
-> Rechts-Klick "Bearbeiten..."
Gruppenrichtlinie
-> Computerkonfiguration
-> Administrative Vorlagen
-> Netzwerk
-> Netzwerkverbindungen
-> Windows-Firewall
-> Domänenprofil
-> Windows-Firewall: Remoteverwaltungsausnahme zulassen
Erklärung:
Ermöglicht die Remoteverwaltung dieses Computers mit Verwaltungsprogrammen,
wie z. B. Microsoft Management Console (MMC) und
Windows-Verwaltungsinstrumentation (WMI). Windows-Firewall öffnet hierzu
TCP-Ports 135 und 445. Dienste verwendet normalerweise diese Ports für die
Kommunikation mit Remoteprozeduraufrufen (RPC) und DCOM (Distributed
Component Object Model). Diese Richtlinieneinstellung ermöglicht zusätzlich
SVCHOST.EXE und LSASS.EXE unerbetene eingehende Meldungen zu empfangen und
ermöglicht gehosteten Dienste, zusätzliche dynamisch zugewiesene Ports zu
öffnen, normalerweise im Bereich 1024 bis 1034.
Wenn Sie diese Richtlinieneinstellung aktivieren, gestattet Windows-Firewall
dem Computer, unerbetene eingehende Meldungen, die mit der Remoteverwaltung
assoziiert sind, zu empfangen. Sie müssen die IP-Adressen oder Subnetze
angeben, für die diese eingehenden Meldungen zugelassen sind.
Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren,
öffnet Windows-Firewall TCP-Port 135 oder 445 nicht. Außerdem verhindert
Windows-Firewall, dass SVCHOST.EXE und LSASS.EXE unerbetene eingehende
Meldungen empfangen und verhindert, dass gehostete Dienste zusätzliche
dynamisch zugewiesene Ports öffnen. Da das Deaktivieren dieser Richtlinie
TCP-Port 445 nicht blockiert, steht sie mit der Richtlinieneinstellung
"Windows-Firewall: Ausnahme für Datei- und Druckerfreigabe zulassen" nicht
in Konflikt.
Hinweis: Benutzer mit bösartigen Absichten versuchen häufig Netzwerk und
Computer mit RPC und DCOM anzugreifen. Es wird empfohlen, dass Sie sich an
den Hersteller der wichtigen Programme wenden, um zu erfahren, ob sie von
SVCHOST.exe oder LSASS.exe gehostet werden, oder ob sie RPC und DCOM zum
Kommunizieren voraussetzen. Falls nicht, aktivieren Sie diese Richtlinie
nicht.
Hinweis: Falls eine Richtlinieneinstellung TCP-Port 445 öffnet, lässt
Windows-Firewall eingehende ICMP-Echoanforderungen (eine vom
Ping-Hilfsprogramm gesendete Meldung) zu, sogar dann, wenn die
Richtlinieneinstellung "Windows-Firewall: ICMP-Ausnahmen zulassen" sie
blockieren würde. Richtlinieneinstellungen, die TCP-Port 445 öffnen können,
sind die Richtlinieneinstellungen "Windows-Firewall: Ausnahme für Datei- und
Druckerfreigabe zulassen", "Windows-Firewall: Remoteverwaltungsausnahme
zulassen" und "Windows-Firewall: Portausnahmen festlegen".
Evtl. zusätzlich für den Microsoft Basic Security Analyzer (MBSA) + Remote
Assistance folgende "Portausnahmen festlegen" bzw. überprüfen:
135:TCP:<IP-Adress-Space>:Enabled:Offer Remote Assistance - Port
137:UDP:<IP-Adress-Space>:Enabled:For MBSA Analyzing
138:UDP:<IP-Adress-Space>:Enabled:For MBSA Analyzing
139:TCP:<IP-Adress-Space>:Enabled:For MBSA Analyzing
--
Tobias Redelberger
StarNET Services (HomeOffice)
Schoenbornstr. 57
D-97440 Werneck
Tel: +49-(0)9722-4835
Mobil: +49-(0)179-25 98 341
Email: ***@starnet-services.net