Windows-Firewall remote über MMC verwalten

    Regeln zur Remoteverwaltung der Windows-FirewallDie Firewall lässt sich nicht nur über Windows-Firewall mit erweiterter Sicherheit lokal admini­strieren, sondern auch remote. Besonders nützlich ist dies, wenn der Zielrechner unter Server Core läuft. Voraussetzung dafür ist jedoch, dass man dort zuvor die benötigten Firewall-Regeln aktiviert.

    Will man bestimmte Regeln für die Windows-Firewall auf allen PCs einer Domäne oder OU einheitlich konfigurieren, dann empfiehlt sich dafür die Verwendung von Gruppenrichtlinien. Muss man aber bestimmte Regeln auf einem Remote-PC ändern, etwa weil die Firewall die Fernwartung des Hosts verhindert, dann ist es praktisch, wenn man dies tun kann, ohne sich dort an der Konsole anzumelden.

    Regeln für Remote-Verwaltung der Firewall aktivieren

    Voraussetzung dafür, dass man die Firewall remote über die MMC admini­strieren kann, ist die Aktivierung der eingehenden Regeln in der Gruppe Windows-Firewallremoteverwaltung. Innerhalb einer Domäne kann man diese Aufgabe ohne weitere Voraussetzungen ebenfalls schon remote mittels PowerShell erledigen:

    Enable-NetFirewallRule -DisplayGroup Windows-Firewallremoteverwaltung -CimSession <Remote-PC>

    In Workgroup-Umgebungen ist es meist einfacher, diesen Befehl direkt auf dem Zielrechner auszuführen, anstatt für die Kommunikation via CimSession dort erst WinRM zu konfigurieren.

    Möchte man nur die Regeln für das Profil Domäne aktivieren, dann fällt der Befehl etwas komplizierter aus und die Verabeitung dauert spürbar länger:

    Get-NetFirewallProfile -CimSession Win10Pro-VM1-L1 -Name Domain |
    Get-NetFirewallRule | ? DisplayGroup -eq Windows-Firewallremoteverwaltung |
    Enable-NetFirewallRule

    Snap-in zu MMC hinzufügen

    Im nächsten Schritt fügt man das benötigte Snap-in zur MMC hinzu, weil das vorkonfigurierte Windows-Firewall mit erweiterter Sicherheit nur die Einstellungen des lokalen Rechners bearbeitet. Zu diesem Zweck führt man nach dem Start von mmc.exe im Menü Datei den Befehl Snap-in hinzufügen/entfernen aus und wählt Windows-Firewall mit erweiterter Sicherheit.

    Snap-in Windows-Firewall mit erweiterter Sicherheit zu MMC hinzufügen

    Anschließend muss man sich zwischen dem Management der Firewall auf dem lokalen PC und auf einem entfernten Rechner entscheiden. Für den zweiten Fall gibt man dessen Namen ein. Nun sollten sämtliche Regeln und Einstellungen der Remote-Firewall sichtbar werden und sich für Administratoren auch bearbeiten lassen.

    Remote-Verwaltung über PowerShell

    Möchte man die Windows-Firewall auf dem entfernten PC ausschließlich über PowerShell verwalten, dann muss man dort die Regeln der Gruppe Windows-Firewallremoteverwaltung nicht aktivieren. Alle wichtigen Cmdlets für das Management der Firewall unterstützen nämlich den Parameter CimSession.

    Keine Kommentare