Anwendungen (Store, Remotehilfe) blockieren mit Firewall-Regeln und GPOs

    Windows-FirewallUm uner­wünschte Anwen­dungen zu blockieren, gibt es für das Black- und Whitelisting die Bord­mittel der Enter­prise Edition oder Tools von Dritt­anbietern. Wenn beide nicht zur Ver­fügung stehen, dann reicht es oft, einem Pro­gramm mit Fir­ewall-Regeln den Netz­zugriff zu verwehren.

    Idealerweise hindert man User bereits daran, unerwün­schte Programme zu installieren oder sie zu starten. Wenn Anwendungen aber für ihren Betrieb eine Netz­verbindung benötigen, dann kann man sie auch über eine entsprechende Regel der Windows-Firewall unschädlich machen.

    Primär für Windows-eigene Programme

    Einem solchen Vorgehen kommt zugute, dass man die Firewall zentral über Gruppenrichtlinien konfigurieren kann. Daher lassen sich damit missliebige Anwendungen ziemlich einfach auf vielen Rechnern ausbremsen.

    Kandidaten für solche Maßnahmen sind vor allem Programme, die zum Liefer­umfang von Windows gehören. Sie sind auf den meisten Rechnern vorhanden und sie eigenen sich daher für ein flächen­deckendes Blockieren.

    Der Windows-Store ist in vielen Arbeitsumgebungen unerwünscht.

    Das gilt beispielsweise für den Windows Store, der sich seit geraumer Zeit in der Pro Edition nicht mehr über Gruppenrichtlinien abschalten lässt. Die meisten alternativen Verfahren gehen zu weit, weil man dafür etwa alle Store Apps oder Microsoft-Konten verbieten muss.

    Ein weiteres Programm, das Administratoren möglicherweise entschärfen möchten, ist die neue Remotehilfe, die für Angriffe missbraucht werden könnte.

    GPO konfigurieren

    Nach dem Erstellen einer neuen GPO, in der man die Firewall-Regeln definiert, öffnet man sie im GPO-Editor und wechselt nach Computerkonfiguration => Richtlinien => Windows-Einstellungen => Sicherheitseinstellungen => Windows-Firewall mit erweiterter Sicherheit => Windows-Firewall mit erweiterter Sicherheit.

    Firewall-Regel über GPO definieren

    Hier erstellt man eine neue ausgehende Regel, wobei der entsprechende Befehl den dafür zuständigen Wizard startet. Im ersten Dialog entscheidet man sich für die Option Programm, dessen Pfad und Name man dann im nächsten Schritt eingeben muss. Diese Informationen zu ermitteln, erweist sich meist als der aufwändigste Teil der Operation.

    Pfad für Store Apps herausfinden

    Dies gilt ganz besonders für Modern Apps, die sich in Verzeichnissen mit kryptischen Namen unterhalb von %ProgramFiles%\WindowsApps verstecken. Erschwerend kommt etwa im Fall des Stores hinzu, dass sich der Pfad oder auch der Name der .exe-Datei mit den Updates ändert und bei x86- und x64-Versionen verschieden ist.

    Hier kann man sich am besten dadurch behelfen, dass man das betreffende Programm startet und die gewünschten Informationen mit PowerShell aus der Liste der aktiven Prozesse ausliest. Folgende kleine Funktion vereinfacht diese Aufgabe, indem sie auch gleich noch den Pfad zu Programme durch eine Umgebungs­variable ersetzt:

    Sie ruft man auf, indem man ihr einen Teil des App-Namens als Argument übergibt, zum Beispiel

    Get-AppPath("store")

    Pfad zur Store App über PowerShell herausfinden

    Dies funktioniert jedoch nur für Modern Apps, die Prozess­struktur herkömmlicher Win32-Anwendungen enthält die Eigenschaft Path nicht. Hier muss man sich anhand des Prozess­namens behelfen und nach einer gleich­namigen Datei suchen.

    Änderungen in der Prozessliste verfolgen

    Wenn sehr viele Programme laufen, dann kann es mühsam sein, das richtige in der Prozessübersicht zu finden. Hier könnte ein Vergleich zwischen dem Zustand vor und nach dem Start der Anwendung helfen:

    Änderung in der Liste der Prozess nachverfolgen

    Firewall-Regel vervollständigen

    Nachdem man den Pfad für das Programm in den GPO-Editor eingegeben hat, wählt man im Folgedialog Verbindung blockieren und entscheidet danach, für welche Firewall-Profile die Regel gelten soll.

    Unter Aktion entscheidet man sich für 'Verbindung blockieren'

    Nach der abschließenden Eingabe des Namens für die Regel ist der Vorgang abgeschlossen und sie sollte sich nach einem gpupdate auf einem Zielrechner unmittelbar auswirken.

    Ohne Netzverbindung ist der Store außer Gefecht gesetzt.

    Aus der Sicht der Benutzer ist das Ergebnis nicht optimal, weil sie nicht darüber informiert werden, dass der Administrator die Anwendung über die Firewall blockiert hat. Sie sehen nur die unter­schiedlichen Fehler­meldungen von Programmen, wenn diese keine Netzverbindung aufbauen können.

    Keine Kommentare