ich habe einen Samba AD DC Controller, eine dezidierte Netzwerkfirewall (IPCop Fork), einen dezidierten DHCP Server (ISC Dhcp Server) einen entsprechenden Switch und eine Client Maschine mit mehreren GBit Ports.
Die Client - Maschine soll ein Windows 10 Pro bekommen und so abgesichert werden, dass schon während der Installation keinerlei Verbingungen ins Internet erfolgen, die nicht explizit erlaubt werden. Verbindungen sollen während des Betriebs verschiedenen Programmen erlaubt werden. Der Einrichtungsaufwand soll relativ gering sein (etwa automatische IP-Adressvergabe über den DHCP Server).
Derzeit ist es so, dass ich die IP Addressen per DHCP verteilen lassen würde, basierend auf den MAC-Adressen. Diese IP Adressen würde ich von der Netzwerkfirewall blocken lassen. Dies würde vor der Installation eingerichtet werden müssen.
Nach der Installation würde der Rechner in die Domäne aufgenommen werden. Und per GPO Firewallregeln für die Windows Firewall gezogen werden. Diese Regeln verbieten auf allen "Netzwerk-Typen" (privat, öffentlich, domain), den ausgehenden und eingehenden Verkehr, bis auf die wenige Ausnahmen zur internen Kommunikation und die entsprechend freigegebenen Programmen aus den Anforderungen.
Erst wenn diese GPOs gezogen wurden, würde ich die IPs in der Netzwerkfirewall dann freigeben.
Meine Frage: Kann man das nicht einfacher machen, sodass man quasi den Part mit der Netzwerkfirewall weglassen kann. Also nur einmalig in der Netzwerkfirewall die IPs quasi "erlauben" kann und die Installation beginnen kann, ohne dass während der Installation bzw. vor der Aufnahme in der Domäne Internetverbindungen hergestellt werden? Etwa indem man den Rechner vielleicht schon irgendwie vor der Installation in der Domain registriert oder ähnliches?
Frage
realmf
Hallo,
ich habe einen Samba AD DC Controller, eine dezidierte Netzwerkfirewall (IPCop Fork), einen dezidierten DHCP Server (ISC Dhcp Server) einen entsprechenden Switch und eine Client Maschine mit mehreren GBit Ports.
Die Client - Maschine soll ein Windows 10 Pro bekommen und so abgesichert werden, dass schon während der Installation keinerlei Verbingungen ins Internet erfolgen, die nicht explizit erlaubt werden. Verbindungen sollen während des Betriebs verschiedenen Programmen erlaubt werden. Der Einrichtungsaufwand soll relativ gering sein (etwa automatische IP-Adressvergabe über den DHCP Server).
Derzeit ist es so, dass ich die IP Addressen per DHCP verteilen lassen würde, basierend auf den MAC-Adressen. Diese IP Adressen würde ich von der Netzwerkfirewall blocken lassen. Dies würde vor der Installation eingerichtet werden müssen.
Nach der Installation würde der Rechner in die Domäne aufgenommen werden. Und per GPO Firewallregeln für die Windows Firewall gezogen werden. Diese Regeln verbieten auf allen "Netzwerk-Typen" (privat, öffentlich, domain), den ausgehenden und eingehenden Verkehr, bis auf die wenige Ausnahmen zur internen Kommunikation und die entsprechend freigegebenen Programmen aus den Anforderungen.
Erst wenn diese GPOs gezogen wurden, würde ich die IPs in der Netzwerkfirewall dann freigeben.
Meine Frage: Kann man das nicht einfacher machen, sodass man quasi den Part mit der Netzwerkfirewall weglassen kann. Also nur einmalig in der Netzwerkfirewall die IPs quasi "erlauben" kann und die Installation beginnen kann, ohne dass während der Installation bzw. vor der Aufnahme in der Domäne Internetverbindungen hergestellt werden? Etwa indem man den Rechner vielleicht schon irgendwie vor der Installation in der Domain registriert oder ähnliches?
MfG,
realmf
Link zu diesem Kommentar
Auf anderen Seiten teilen
2 Antworten auf diese Frage
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.