Windows XP firewall program exceptions - Serversoftware en clouddiensten

vrijdag 30 november 2012 19:42

Acties:

Topicstarter

Hier in onze omgeving zijn we bezig met het uitrollen van backup software (CommVault). Hiervoor moeten enkele Windows firewall aanpassingen gemaakt worden om de clients te laten backuppen. Dit willen we graag doen via een GPO om het centraal te beheren.

Om een backup te maken van een client dienen poort 8400 en 8402 open te staan in de Windows Firewall in de client, maar dienen ook 'exceptions' te worden gemaakt voor executables in de firewall voor deze poorten. Dit gaat fout wanneer de executable niet aanwezig is op de machine (Windows XP only).

Voor Windows 7 gebruik ik (bijvoorbeeld) deze opdracht om de uitzondering voor de executable in de firewall te maken, wat netjes de regel maakt en geen probleem geeft. (in de productie omgeving gebruik ik GPP, dit is slechts ter test)

code:

1	netsh advfirewall firewall add rule action=allow dir=in profile=domain protocol=tcp program="C:\Program Files\CommVault\Simpana\Base\clBackup.exe" name="Commvault_Process_clBackup.exe" enable=yes

Voor Windows XP gebruik ik deze regel

code:

1	netsh firewall set allowedprogram "C:\Program Files\CommVault\Simpana\Base\clBackup.exe" Commvault_Process_clBackup.exe enable all

Echter, op het moment dat de GPO in productie gaat, is CommVault nog niet geinstalleerd en krijg ik de foutmelding "The system cannot find the path specified" (wat logisch is). Mijn vraag, is er een nette manier om dit op te lossen?

Ik kan het script wel door laten lopen als de executable niet gevonden is en dan het script elke keer te laten runnen als een user zich aanmeldt, maar echt netjes is het niet.

Bedankt

vrijdag 30 november 2012 19:53

Acties:

Duinkonijn

Huh?

Je zou een workaround kunnen maken om voor xp voor het commando de volgende regel te zetten

code:

1	if not exist "C:\Program Files\CommVault\Simpana\Base\clBackup.exe" echo bla>C:\Program Files\CommVault\Simpana\Base\clBackup.exe

dan maakt hij een fake clbackup.exe als hij niet bestaat.

Een alternatief daar op is

code:

if not exist "C:\Program Files\CommVault\Simpana\Base\clBackup.exe" echo bla>C:\Program Files\CommVault\Simpana\Base\bestaatniet.txt
if not exist "C:\Program Files\CommVault\Simpana\Base\clBackup.exe" echo bla>C:\Program Files\CommVault\Simpana\Base\clBackup.exe
netsh firewall set allowedprogram "C:\Program Files\CommVault\Simpana\Base\clBackup.exe" Commvault_Process_clBackup.exe enable all
if exist "C:\Program Files\CommVault\Simpana\Base\bestaatniet.txt" del "C:\Program Files\CommVault\Simpana\Base\clBackup.exe"
if exist "C:\Program Files\CommVault\Simpana\Base\bestaatniet.txt" del "C:\Program Files\CommVault\Simpana\Base\bestaatniet.txt"

Daar maakt hij een fake .exe als hij niet bestaat en verwijderd hij het weer na het installeren van de regel

Stomme vraag, maar waarom gebruik je die commando`s om de firewall aan te passen en niet gewoon de GPO firewall instellingen?
(comp conf --? policies --> win settings --> Windows firewall with advanced security)

[ Voor 8% gewijzigd door Duinkonijn op 30-11-2012 20:03 ]

Het is makkelijk om iemand zijn negatieve eigenschappen te benoemen, maar kan je ook de positieve eigenschappen benoemen?

vrijdag 30 november 2012 20:10

Acties:

alt-92

ye olde farte

Omdat XP geen Windows Firewall with Advanced Security kent.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

maandag 10 december 2012 15:02

Acties:

Pimmerd

Topicstarter

alt-92 schreef op vrijdag 30 november 2012 @ 20:10:
Omdat XP geen Windows Firewall with Advanced Security kent.

Dat dus

Voor Windows 7 gebruik ik netjes een GPP, maar WinXP heeft een script nodig.

Ik heb het nu opgelost door het script eerst te laten checken of de .exe's bestaan en zoja de firewall rules aan te maken. Dit is een oplossing, maar echt heel netjes vind ik het niet, vandaar mijn vraag hier of er een nettere oplossnig is.