Toon posts:

Windows Firewall uitzetten op XP dmv groepsbeleid

Pagina: 1
Acties:
  • 4.698 views sinds 30-01-2008
  • Reageer

donderdag 18 oktober 2007 17:04

Acties:
  • 0 Henk 'm!
  • arieanneke
  • Registratie: November 2006
  • Laatst online: 07-07-2022

arieanneke

Topicstarter
Hallo Tweakers,

Ik heb sins kort een SBS 2003 onder mijn beheer (voeger altijd Novell / Linux gehad) en loop tegen een vreemd probleem op.

Op alle XP clients staat automatisch de Windows Firewall aan, dit is bij de installatie van de SBS 2003 blijkbaar zo ingesteld.

Aangezien wij hier een goede linux firewall hebben wil ik eigenlijk de Windows Firewall op de XP clients uitzetten.

Op de SBS heb ik het volgende gevonden : Group Object Policy Editor --> SBS Windows Firewall --> Computer Configuration --> Windows Settings --> Security Settings --> System Services --> Windows Firewall / Internet Connection Sharing (ICS) --> deze op "Disabled" zetten.

Maar helaas, De Windows Firewall blijft op de XP client " aan" staan.

Iemand enig idee waar ik dit wel kan uitzetten?

Alvast bedankt,

Arie

donderdag 18 oktober 2007 17:11

Acties:
  • 0 Henk 'm!
  • j-a-s-p-e-r
  • Registratie: December 2004
  • Laatst online: 17-06 21:58

j-a-s-p-e-r

Hoe lang heb je gewacht? Of even Gpudate gebruiken om de verandering door te voeren?

donderdag 18 oktober 2007 17:25

Acties:
  • 0 Henk 'm!
  • sanfranjake
  • Registratie: April 2003
  • Niet online

sanfranjake

Computers can do that?

(overleden)
Waarom zou je dit willen doen? De linux vuurmuur beschermt je desktops niet tegen attacks van binnenuit hoor :)

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters

donderdag 18 oktober 2007 20:53

Acties:
  • 0 Henk 'm!
  • Saab
  • Registratie: Augustus 2003
  • Laatst online: 04-09 15:13

Saab

je moet 'm uitzetten bij administrative tools->network-.network connections->windows firewall, ICS is wat anders.

Op hierboven, er zijn natuurlijk best valide redenen omdat ding uit te zetten!

https://www.discogs.com/user/jurgen1973/collection

donderdag 18 oktober 2007 23:09

Acties:
  • 0 Henk 'm!
  • EBOOZ
  • Registratie: Januari 2002
  • Laatst online: 17-09 14:19

EBOOZ

Saab schreef op donderdag 18 oktober 2007 @ 20:53:
je moet 'm uitzetten bij administrative tools->network-.network connections->windows firewall, ICS is wat anders.

Op hierboven, er zijn natuurlijk best valide redenen omdat ding uit te zetten!
Wat jij bedoeld is lokaal, of vergis ik me nu?

edit:
ICS heb je ook een firewall, maar die geld alleen voor XP zonder SP of met SP1. Toen SP2 kwam is de Windows Firewall onstaan. Er vanuit gaande dat je al je computers up-to-date hebt runnen heb je inderdaad ICS Firewall niet nodig


Ik heb net even gekeken op mijn W2K3 Enterprise server en als ik daar de Default Domain Policy ga bewerken kom ik hier uit:
  • Computer Configuration
    • Administrative templates
      • Network
        • Network Connections
          • Windows Firewall
            • Windows Firewall: Protect all network connections: Disabled
Ik heb eerlijk gezegd geen idee of dit hem voor jou ook daadwerkelijk is, want ik draai hier thuis geen Group Policy en het is geen SBS. Toch een goede kans dacht ik zo, want de omschrijving is als volgt:
Turns on Windows Firewall, which replaces Internet Connection Firewall on all computers that are running Windows XP Service Pack 2.

If you enable this policy setting, Windows Firewall runs and ignores the "Computer Configuration\Administrative Templates\Network\Network Connections\Prohibit use of Internet Connection Firewall on your DNS domain network" policy setting.

If you disable this policy setting, Windows Firewall does not run. This is the only way to ensure that Windows Firewall does not run and administrators who log on locally cannot start it.

If you do not configure this policy setting, administrators can use the Windows Firewall component in Control Panel to turn Windows Firewall on or off, unless the "Prohibit use of Internet Connection Firewall on your DNS domain network" policy setting overrides.

[ Voor 10% gewijzigd door EBOOZ op 18-10-2007 23:17 . Reden: Explorer structuur gemaakt (pro!) + Tekst toegevoegd m.b.t. ICS ]

vrijdag 19 oktober 2007 09:18

Acties:
  • 0 Henk 'm!
  • sanfranjake
  • Registratie: April 2003
  • Niet online

sanfranjake

Computers can do that?

(overleden)
EbOoZ schreef op donderdag 18 oktober 2007 @ 23:09:
edit:
ICS heb je ook een firewall, maar die geld alleen voor XP zonder SP of met SP1. Toen SP2 kwam is de Windows Firewall onstaan. Er vanuit gaande dat je al je computers up-to-date hebt runnen heb je inderdaad ICS Firewall niet nodig
Nee XP heeft een firewall, alleen wordt deze met SP2 sterk uitgebreid, en standaard aangezet. Er zit wél een firewall in XP zonder SP2. Alleen is het niet meer ondersteund, dus dom om zonder SP2 te draaien :P

Let op SBS goed op, de standaard-policies van SBS bevatten deze firewall settings. Ik zou zelf een afwijkende policy maken en de processing order zo dat deze over de SBS-gpo heen valt en je deze niet hoeft aan te passen (bij de eerste beste update/service pack wordt deze vast weer naar default teruggezet).

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters

vrijdag 19 oktober 2007 11:11

Acties:
  • 0 Henk 'm!
  • Muggie
  • Registratie: Februari 2000
  • Nu online

Muggie

8 pm

Topicstarter: je zet hem op de goede plaats uit, dat is de enige plek waar je de services ook echt kunt uitzetten (tenzij je het met een script wilt doen).

Als de policy het niet doet dan is 1: de computer geen lid van de policy of 2: de policy niet goed.

PSN: mug_8pm

vrijdag 19 oktober 2007 11:21

Acties:
  • 0 Henk 'm!
  • KillerAce_NL
  • Registratie: Juni 2001
  • Niet online

KillerAce_NL

If it ain't broke...

Dit is de correcte:
Computer configurationadministrative templatesnetworknetwork connectionswindows firewalldomainprotect all network connections” op disabled.

vrijdag 19 oktober 2007 12:15

Acties:
  • 0 Henk 'm!

Verwijderd

Misschien nog een toevoeging voor achtergrond informatie:
http://www.microsoft.com/...ain/mangxpsp2/mngwfw.mspx

zaterdag 20 oktober 2007 13:54

Acties:
  • 0 Henk 'm!
  • Saab
  • Registratie: Augustus 2003
  • Laatst online: 04-09 15:13

Saab

EbOoZ schreef op donderdag 18 oktober 2007 @ 23:09:
[...]

Wat jij bedoeld is lokaal, of vergis ik me nu?

[edit]
[...]


Ik heb eerlijk gezegd geen idee of dit hem voor jou ook daadwerkelijk is, want ik draai hier thuis geen Group Policy en het is geen SBS. Toch een goede kans dacht ik zo, want de omschrijving is als volgt:


[...]
Nee, wat ik aangaf is een domain policy dus niet lokaal, en draait hier al geruime tijd op een w2k domaincontroller. Ik ga ervan uit dat SBS hetzelfde doet, geen ervaring mee.

Is overigens geen default domain policy maar gewoon een policy die applied op een aantal OU's waaronder Citrix werkstations en servers.

[ Voor 11% gewijzigd door Saab op 20-10-2007 15:10 ]

https://www.discogs.com/user/jurgen1973/collection

zaterdag 20 oktober 2007 14:06

Acties:
  • 0 Henk 'm!
  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

Dat soort zaken zet je overigens nooit en te nimmer in een Default Domain Policy zoals
EbOoZ lijikt te suggereren.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

zaterdag 20 oktober 2007 15:04

Acties:
  • 0 Henk 'm!
  • joh14vers6
  • Registratie: November 2001
  • Laatst online: 13-06-2024

joh14vers6

alt-92 schreef op zaterdag 20 oktober 2007 @ 14:06:
Dat soort zaken zet je overigens nooit en te nimmer in een Default Domain Policy zoals
EbOoZ lijikt te suggereren.
Het valt mij op dat de TS de firewall van de SBS heeft uitgezet. Als dat de bedoeling is, kan je het net zo goed in de Default Domain Policy zetten.

Systeem van Joh14vers6 Team Joh14vers6 Gear: Sony 550, HS3600, Minolta 50mm/1.7, Tamron 10-24mm, Minolta 24-105, Minolta 100-300 (D) Te koop: Sigma 10-20mm KM 18-70mm

zaterdag 20 oktober 2007 16:54

Acties:
  • 0 Henk 'm!
  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

Dan moet je helemaal geen domein draaien ;)

Mijn punt is juist dat je niks met de Default Domain (Controller) policy moet doen, de enige uitzondering zijn password requirements.

Elke andere domain-wide GPO setting stop je in een eigen GPO die je dan maar ernaast hangt, maar van de DD-gpo moet je gewoon lekker afblijven.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

zaterdag 20 oktober 2007 17:38

Acties:
  • 0 Henk 'm!
  • KillerAce_NL
  • Registratie: Juni 2001
  • Niet online

KillerAce_NL

If it ain't broke...

Precies, dat valt toch wel echt onder de "best practices", niet doen dus.
Je zult je default policy maar verklooien..

zondag 21 oktober 2007 13:48

Acties:
  • 0 Henk 'm!
  • EBOOZ
  • Registratie: Januari 2002
  • Laatst online: 17-09 14:19

EBOOZ

sanfranjake schreef op vrijdag 19 oktober 2007 @ 09:18:
[...]

Nee XP heeft een firewall, alleen wordt deze met SP2 sterk uitgebreid, en standaard aangezet. Er zit wél een firewall in XP zonder SP2. Alleen is het niet meer ondersteund, dus dom om zonder SP2 te draaien :P
XP heeft inderdaad standaard een firewall. Dat is de Internet Connection Firewall die vanuit de ICS komt. Uit de onderstaande verklaring die ik zag bij het bewerken van de policy krijg ik toch wel sterk de indruk dat Windows Firewall iets compleet nieuws is ten opzichte van ICS/ICF en geen uitbreiding ervan.
Note: If you enable the "Windows Firewall: Protect all network connections" policy setting, the "Prohibit use of Internet Connection Firewall on your DNS domain network" policy setting has no effect on computers that are running Windows Firewall, which replaces Internet Connection Firewall when you install Windows XP Service Pack 2.
Maar goed... maakt verder ook niet uit. Als 'ie maar doet wat 'ie moet doen ;)
alt-92 schreef op zaterdag 20 oktober 2007 @ 14:06:
Dat soort zaken zet je overigens nooit en te nimmer in een Default Domain Policy zoals
EbOoZ lijikt te suggereren.
Dat lijkt misschien, maar is toch niet zo ;) Ik heb hier geen policy draaien dus ik kon alleen even de Default Domain Policy checken.

zondag 21 oktober 2007 13:52

Acties:
  • 0 Henk 'm!
  • ralpje
  • Registratie: November 2003
  • Laatst online: 00:30

ralpje

Deugpopje

alt-92 schreef op zaterdag 20 oktober 2007 @ 16:54:
Dan moet je helemaal geen domein draaien ;)

Mijn punt is juist dat je niks met de Default Domain (Controller) policy moet doen, de enige uitzondering zijn password requirements.

Elke andere domain-wide GPO setting stop je in een eigen GPO die je dan maar ernaast hangt, maar van de DD-gpo moet je gewoon lekker afblijven.
Aan de andere kant frot Microsoft bij SBS dingen in die GPO die ik er helemaal niet in wil hebben :)

Freelance (Microsoft) Cloud Consultant & Microsoft Certified Trainer

zondag 21 oktober 2007 14:39

Acties:
  • 0 Henk 'm!
  • KillerAce_NL
  • Registratie: Juni 2001
  • Niet online

KillerAce_NL

If it ain't broke...

EbOoZ schreef op zondag 21 oktober 2007 @ 13:48:
[...]


XP heeft inderdaad standaard een firewall. Dat is de Internet Connection Firewall die vanuit de ICS komt. Uit de onderstaande verklaring die ik zag bij het bewerken van de policy krijg ik toch wel sterk de indruk dat Windows Firewall iets compleet nieuws is ten opzichte van ICS/ICF en geen uitbreiding ervan.


[...]


Maar goed... maakt verder ook niet uit. Als 'ie maar doet wat 'ie moet doen ;)


[...]


Dat lijkt misschien, maar is toch niet zo ;) Ik heb hier geen policy draaien dus ik kon alleen even de Default Domain Policy checken.
Daarom hoor je daar een nieuwe policy voor te maken, niet alleen wegens veiligheid, ook wegens overzicht. ;)

maandag 22 oktober 2007 13:49

Acties:
  • 0 Henk 'm!
  • arieanneke
  • Registratie: November 2006
  • Laatst online: 07-07-2022

arieanneke

Topicstarter
Hallo,
Allereerst excuses dat ik nu pas reageer, vrijdag even genoten van een vrije dag en thuis zit ik dankzij Alice al 6 weken zonder internet ............... :(

Ik weet nu in ieder geval wel waarom ik geen verandering zag op de client m.b.t. de Windows Firewall, ik was helemaal vergeten om in de command prompt "gpupdate / force" aan te geven .......... 8)7

Maar na dit gedaan te hebben krijg ik nog steeds niet het gewenste resultaat:

Standaard staat deze policy op Not Defined en dat geeft als resultaat op de Client in XP dat er bovenin het scherm van de Windows Firewall staat "Sommige beveiligingsinstellingen worden via Groepsbeleid geregeld". Hierbij zijn ook de opties in de Windows Firewall "lichtgrijs".

Als ik hem zet op "Automatic", dan is er geen verschil met bovenstaand.

Ook als ik hem zet op "Manual", dan is er geen verschil met bovenstaand.

Als ik hem zet op "Disabled", en ik ga via configaratiescherm op een XP machine naar de Windows Firewall, dan krijg ik een melding dat de service niet is uitgevoerd.

Deze laatste begint er een beetje op te lijken maar het moet toch ook mogelijk zijn om gewoon de Windows Firewall uit te zetten zodat ik zelf per pc kan bepalen of ik de Windows Firewall aanzet of niet oftewel hoe krijg ik het nu voor elkaar dat ik de melding "Sommige beveiligingsinstellingen worden via Groepsbeleid geregeld" niet meer zichtbaar is in de Windows Firewall zodat ik per client aan of uit kan zetten?

Groeten,

Arie

maandag 22 oktober 2007 18:43

Acties:
  • 0 Henk 'm!
  • EBOOZ
  • Registratie: Januari 2002
  • Laatst online: 17-09 14:19

EBOOZ

Niet om het één of ander, maar ik lees hierboven zoals het lijkt alsof je een policy op Automatic of Manual kan zetten. Volgens mij moet dat Not configured, Enabled of Disabled zijn.

Maar goed... Wil je het persé via group policy gaan regelen? Om hoeveel computers gaat het? Als het maar een paar zijn (zoals thuisgebruik), dan zet je de firewall toch lokaal per pc uit?

Anders zorg je dat de map waar de computers in staan in de AD een group policy bevat en stelt daar in dat de firewall niet ingeschakeld staat. Vervolgens pas je deze alleen toe op de computers waar je wilt dat de firewall niet wordt gebruikt en dan zou je in principe klaar moeten zijn.

maandag 22 oktober 2007 19:05

Acties:
  • 0 Henk 'm!
  • wizzzzzz
  • Registratie: Februari 2002
  • Laatst online: 17-09 14:49

wizzzzzz

EbOoZ schreef op maandag 22 oktober 2007 @ 18:43:
Maar goed... Wil je het persé via group policy gaan regelen? Om hoeveel computers gaat het? Als het maar een paar zijn (zoals thuisgebruik), dan zet je de firewall toch lokaal per pc uit?
Dit wil je dus echt niet in een domain...

Kijk nou eens eerst op de goede plaats om de firewall te disablen. Killer_Ace heeft al een keer verteld waar die settings staan. Je moet niet bij windows services kijken.

[ Voor 50% gewijzigd door wizzzzzz op 22-10-2007 19:06 ]

dinsdag 23 oktober 2007 13:41

Acties:
  • 0 Henk 'm!
  • arieanneke
  • Registratie: November 2006
  • Laatst online: 07-07-2022

arieanneke

Topicstarter
wizzzzzz schreef op maandag 22 oktober 2007 @ 19:05:
[...]

Dit wil je dus echt niet in een domain...

Kijk nou eens eerst op de goede plaats om de firewall te disablen. Killer_Ace heeft al een keer verteld waar die settings staan. Je moet niet bij windows services kijken.
Killier_Ace zei : Computer configurationadministrative templatesnetworknetwork connectionswindows firewalldomainprotect all network connections” op disabled" maar waar ik ook zoek in de SBS, ik kan toch echt geen Computer Configuration vinden dus laat staan de rest ............ :'(

dinsdag 23 oktober 2007 13:58

Acties:
  • 0 Henk 'm!
  • arieanneke
  • Registratie: November 2006
  • Laatst online: 07-07-2022

arieanneke

Topicstarter
EbOoZ schreef op maandag 22 oktober 2007 @ 18:43:
Niet om het één of ander, maar ik lees hierboven zoals het lijkt alsof je een policy op Automatic of Manual kan zetten. Volgens mij moet dat Not configured, Enabled of Disabled zijn.
En toch zie ik de opties wel in de SBS 2003 ..... 8)

Afbeeldingslocatie: http://www.arhecotest.nl/firewall.jpg
EbOoZ schreef op maandag 22 oktober 2007 @ 18:43:
Maar goed... Wil je het persé via group policy gaan regelen? Om hoeveel computers gaat het? Als het maar een paar zijn (zoals thuisgebruik), dan zet je de firewall toch lokaal per pc uit?
Nope, ik wil het juist niet via group policy regelen, maar bij installatie van de SBS stond dit dus aan, ik wil het juist lokaal kunnen instellen. Het gaat om 20 pc's, het enige wat ik wil is dat ik de keuze voor de Windows Firewall op de pc kan aan of uitzetten, dus niet dat het in een policy geregeld wordt ........... :+
EbOoZ schreef op maandag 22 oktober 2007 @ 18:43:
Anders zorg je dat de map waar de computers in staan in de AD een group policy bevat en stelt daar in dat de firewall niet ingeschakeld staat. Vervolgens pas je deze alleen toe op de computers waar je wilt dat de firewall niet wordt gebruikt en dan zou je in principe klaar moeten zijn.
Ik heb gekeken naar de Active Directory om een GPO aan te maken, op zich lukte dat wel maar ik zie niet waar ik dan kan aangeven dat de firewall niet ingeschakeld moet zijn .......... :?

dinsdag 23 oktober 2007 15:02

Acties:
  • 0 Henk 'm!

Verwijderd

SBS maakt standaard een losse policy aan om de firewall te enablen, dan kun je het net zo hard uit zetten in de andere policy's maar als de firewall policy later ind e lijst komt, zal deze alles over rulen..

Ik kan nu even niet bij een sbs machine, maar volgens mij heet het gewoon client firewall policy oid..

Kijk in je group policy manager even naar welke policy's er staan, en disable deze even.

Dan gpupdate /force op de client uitvoeren, en kijken of je wel de firewall kunt aan / uit zetten.

dinsdag 23 oktober 2007 15:21

Acties:
  • 0 Henk 'm!
  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

Dacht dat SBS2003 tegenwoordig met GPMC werd geleverd...
Nou ja, en anders zet je die los erop (alleen niet teveel mee versjteren zou ik dan zeggen).

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

dinsdag 23 oktober 2007 15:58

Acties:
  • 0 Henk 'm!
  • wizzzzzz
  • Registratie: Februari 2002
  • Laatst online: 17-09 14:49

wizzzzzz

Start de Group Policy Management Console eens en kijk dan bij de policies zoals onderstaand.

Afbeeldingslocatie: http://i22.tinypic.com/24l23pe.jpg

Eventueel maak je een nieuwe policy en pas daarin de firewall setting aan.

[ Voor 16% gewijzigd door wizzzzzz op 23-10-2007 15:59 ]

woensdag 24 oktober 2007 12:58

Acties:
  • 0 Henk 'm!

Verwijderd

alt-92 schreef op dinsdag 23 oktober 2007 @ 15:21:
Dacht dat SBS2003 tegenwoordig met GPMC werd geleverd...
Nou ja, en anders zet je die los erop (alleen niet teveel mee versjteren zou ik dan zeggen).
Ja zit er tegenwoordig standaard in.

woensdag 24 oktober 2007 14:27

Acties:
  • 0 Henk 'm!
  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

arieanneke schreef op dinsdag 23 oktober 2007 @ 13:58:
En toch zie ik de opties wel in de SBS 2003 ..... 8)

[afbeelding]
Ah, ok.

Maar daarmee zet je de hele Service waar IFW/ICS gebruik van maakt uit, en dat hoeft/moet dus niet.
Je kan immers zoals al eerder aangegeven de profielen waarbij gebruik gemaakt wordt van de FW ook aanpassen (of zelfs de bijbehorende GPO gewoon disablen - de link van de GPO dus disablen) zonder dat je de hele Service de nek om draait.

Je zoekt (zoals gedacht) het dus in de verkeerde hoek :)

[ Voor 6% gewijzigd door alt-92 op 24-10-2007 14:29 ]

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

woensdag 24 oktober 2007 15:18

Acties:
  • 0 Henk 'm!
  • arieanneke
  • Registratie: November 2006
  • Laatst online: 07-07-2022

arieanneke

Topicstarter
Hehe, het is gelukt !!!! :9~

Ik heb via de GPMC de Windows Firewall op Disabled gezet voor de Computer Configuration Settings.

Iedereen harstikke bedankt voor het meedenken _/-\o_ _/-\o_ _/-\o_

Groeten,

Arie
Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq