Deze vraag heb ik eerder gesteld in het Intune topic, maar dit is niet een Intune vraag maar een Windows Firewall vraag.
Een bepaald Entra Joined systeem moet discoverable via network discovery. Behalve dat je dan alle regels in de groep "Network Discovery" moet inschakelen, moet je ook de regels bouwen in je firewall policy.
Een van onze vereisten is namelijk dat alle local firewall regels op endpoints worden genegeerd, en dat alleen regels via MDM worden toegepast. Dus moet ik enkele regels via MDM uitrollen. Nu kwam ik bij deze regel terecht:
Wat is de reden dat de description van de built-in firewall rule TCP/2869 noemt, maar dat de regel zelf Any als local port heeft? Is dit een fout in de description of een fout in de configuratie van de built-in firewall rule? Of lees ik dit verkeerd?
Het gaat specifiek om regel 3:
En regel 42:
Om het grafisch te bekijken kun je ook in wf.msc kijken. Ik lees de regel dan als volgt, kijkend naar de ingestelde waardes:
Maar de description in wf.msc lees ik als volgt:
Dit kan eventueel gemitigeerd worden met een ASR block rule, maar het lijkt mij meer gewenst om de bron te fixen.
Iemand een idee? Ik heb het gevoel dat de built-in regel misschien meer open zet dan nodig en dus een beetje afwijkt van het least privilege principe. Of zie ik hier iets over het hoofd en komt de description wel overeen met de ingestelde waardes?
Een bepaald Entra Joined systeem moet discoverable via network discovery. Behalve dat je dan alle regels in de groep "Network Discovery" moet inschakelen, moet je ook de regels bouwen in je firewall policy.
Een van onze vereisten is namelijk dat alle local firewall regels op endpoints worden genegeerd, en dat alleen regels via MDM worden toegepast. Dus moet ik enkele regels via MDM uitrollen. Nu kwam ik bij deze regel terecht:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
| Name : NETDIS-UPnPHost-In-TCP-Teredo
DisplayName : Network Discovery for Teredo (UPnP-In)
Description : Inbound rule for Network Discovery to allow use of Universal Plug and Play. [TCP 2869]
DisplayGroup : Network Discovery
Group : @FirewallAPI.dll,-32752
Enabled : False
Profile : Public
Platform :
Direction : Inbound
Action : Allow
EdgeTraversalPolicy : Block
LooseSourceMapping : False
LocalOnlyMapping : False
Owner :
PrimaryStatus : OK
Status : The rule was parsed successfully from the store. (65536)
EnforcementStatus : NotApplicable
PolicyStoreSource : PersistentStore
PolicyStoreSourceType : Local
RemoteDynamicKeywordAddresses :
PolicyAppId :
$_ | Get-NetFirewallAddressFilter
LocalAddress : Any
RemoteAddress : Any
$_ | Get-NetFirewallServiceFilter
Service : Any
$_ | Get-NetFirewallApplicationFilter
Program : System
Package :
$_ | Get-NetFirewallInterfaceFilter
InterfaceAlias : Any
$_ | Get-NetFirewallInterfaceTypeFilter
InterfaceType : Any
$_ | Get-NetFirewallPortFilter
Protocol : TCP
LocalPort : Any
RemotePort : Any
IcmpType : Any
DynamicTarget :
$_ | Get-NetFirewallSecurityFilter
Authentication : NotRequired
Encryption : NotRequired
OverrideBlockRules : False
LocalUser : Any
RemoteUser : Any
RemoteMachine : Any |
Wat is de reden dat de description van de built-in firewall rule TCP/2869 noemt, maar dat de regel zelf Any als local port heeft? Is dit een fout in de description of een fout in de configuratie van de built-in firewall rule? Of lees ik dit verkeerd?
Het gaat specifiek om regel 3:
code:
1
| Inbound rule for Network Discovery to allow use of Universal Plug and Play. [TCP 2869] |
En regel 42:
code:
1
| LocalPort : Any |
Om het grafisch te bekijken kun je ook in wf.msc kijken. Ik lees de regel dan als volgt, kijkend naar de ingestelde waardes:
Ofwel een psexec -s -i krijgt dus inbound toegang tot TCP/1 t/m TCP/65535.Zet voor app SYSTEM alle TCP poorten open
Maar de description in wf.msc lees ik als volgt:
Ofwel alleen inbound toegang tot TCP/2869 moet worden toegestaan.Zet poort TCP/2869 open.
Dit kan eventueel gemitigeerd worden met een ASR block rule, maar het lijkt mij meer gewenst om de bron te fixen.
Iemand een idee? Ik heb het gevoel dat de built-in regel misschien meer open zet dan nodig en dus een beetje afwijkt van het least privilege principe. Of zie ik hier iets over het hoofd en komt de description wel overeen met de ingestelde waardes?