Gruppenrichtlinien für Firewall-Einstellungen

SCCM-Netzwerk konfigurieren und testen

| Autor / Redakteur: Thomas Joos / Thomas Joos

Auf den Clientrechnern überprüfen Sie die Umsetzung der Gruppenrichtlinien für die Firewall-Einstellungen
Auf den Clientrechnern überprüfen Sie die Umsetzung der Gruppenrichtlinien für die Firewall-Einstellungen (Thomas Joos)

Beim Einsatz von SCCM im Netzwerk müssen auf den Client-Computern und Servern verschiedene Firewall-Regeln erstellt werden. Damit diese Konfiguration konsistent und sicher umgesetzt wird, verwenden Sie am besten eine Gruppenrichtlinie:

Beim Einsatz von SCCM im Netzwerk müssen auf den Client-Computern und Servern verschiedene Firewall-Regeln erstellt werden. Damit diese Konfiguration konsistent und sicher umgesetzt wird, verwenden Sie am besten eine Gruppenrichtlinie:

  1. Erstellen Sie dazu zunächst in der Gruppenrichtlinienverwaltungskonsole auf einem Domänencontroller oder einer Arbeitsstation mit den Remoteserver-Verwaltungstools eine neue GPO mit der Bezeichnung „SCCM“.
  2.  Öffnen Sie die Bearbeitung dieser Richtlinie und navigieren Sie zu: Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Windows-Firewall mit erweiterter Sicherheit.
  3. Erstellen Sie über das Kontextmenü von Eingehende Regel und erstellen eine neue Regel.
  4. Wählen Sie als Option Vordefiniert und wählen Sie Datei- und Druckerfreigabe. 
  5. Bestätigen Sie die weiteren Fenster des Assistenten und wählen Sie Verbindung zulassen.
  6. Erstellen Sie die gleiche Regel auch über Ausgehende Regeln.
  7. Erstellen Sie eine weitere eingehende Regel und wählen dieses Mal Vordefiniert\Windows-Verwaltungsinstrumentation.
  8. Schließen Sie die Richtlinie und verknüpfen Sie diese mit dem Container in dem sich die Computerkonten der Rechner befinden, die Sie mit SCCM verwalten, am besten mit der ganzen Domäne.
  9. Erstellen Sie danach eine weitere Richtlinie. In dieser nehmen Sie ebenfalls Firewall-Änderungen vor. Diese gelten aber nur für die beteiligten SCCM- und Datenbank-Server:
  10. Erstellen Sie eine eingehende Regel und wählen Sie dieses Mal Port.
  11. Öffnen Sie die Bearbeitung dieser Richtlinie und navigieren Sie zu: Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Windows-Firewall mit erweiterter Sicherheit.
  12. Erstellen Sie eine eingehende Regel und wählen Sie dieses Mal Port.
  13. Wählen Sie TCP als Option und den Port 1433 vor.
  14. Schließen Sie den Assistenten ab und lassen Sie den Zugriff zu diesem Port zu.
  15. Erstellen Sie eine weitere Regel zum TCP-Port 4022, ebenfalls als eingehende Regel.
  16. Verknüpfen Sie die GPO mit dem Container in dem sich die Server-Computer befinden.

Um die Regeln zu testen, geben Sie auf einem der Computer gpupdate /force ein. Wurden die Richtlinien umgesetzt, starten Sie rsop.msc. Klicken Sie auf Administrative Vorlagen\Zusätzliche Registrierungseinstellungen. Sie sehen jetzt die neuen GPOs und die umgesetzten Regeln.