Hallo, hier mal wieder Hans-Jürgen, heute mit einem Beitrag zu Group Policy Objects.
GPOs sind ein weit verbreitetes und beliebtes Instrumentarium, um Clients im AD zu verwalten. Überraschend daher, dass dieses Verhalten bereits seit ca. 6 Jahren existiert, doch nur wenige Kunden damit an uns herangetreten sind. Wer sich da schon mal über inkonsistentes Verhalten gewundert hat, dem kann ich hier vielleicht Licht ins Dunkel bringen.

Wenn man Windows Firewall Einstellungen über Group Policies konfiguriert, kann es vorkommen, dass die gerade gemachten Einstellungen nicht gespeichert und somit nicht wirksam werden. Man erhält keinen diesbezüglichen Eintrag in einem Event Log, keinen Hinweis, nichts. Doch wie kommt das genau?

 
Es wird eine neue oder existierende GPO zum Bearbeiten geöffnet:


Die Einstellungen für Windows Firewall werden verändert.
Nun geht man in eine beliebige andere Einstellung einer Komponente (die in der registry.pol abgespeichert wird), und ändert diese. Nun wird die Bearbeitung beendet und der GPEdit geschlossen.

Wer nun genau nachschaut stellt fest, die Einstellungen der Windows Firewall wurden nicht übernommen. Andersherum kann es auch passieren, wenn zuerst die andere Komponente konfiguriert wird und danach die Windows Firewall Einstellungen, dann gehen die Einstellungen der anderen Komponente verloren.

Auch wenn dies nicht erwartet ist und manche das als Problem einstufen würden, so entspricht es doch dem Design der Windows Firewall GPO Extension. Die Konfiguration wird über ein API vorgenommen, und zwar von vielen unterschiedlichen Anwendungen heraus (netsh, mmc, directaccess, powershell usw.). Das ist auch der Grund warum die hier vorgenommenen Änderungen sofort angewendet werden müssen. Intern wird beim Bearbeiten einer Policy ein temporäre GUID und ein Registry Key erstellt, wo die Änderungen der GPEdit Session gespeichert werden. Diese GUID / Registry Key Kombination wird auch von allen anderen Komponenten genutzt - außer eben von der Windows Firewall. Diese legt eine eigene temporäre GUID / Registry Key Kombination an.

Daraus ergibt sich dann auch die sinnvollste Lösung, um dieses Verhalten zu umgehen:
Windows Firewall Konfigurationen sollten idealerweise in einer eigenen GPO vorgenommen werden.

Tschau, Hans-Jürgen