PowerShell-Skript zum Aktivieren oder Deaktivieren von Windows Firewall-Profilen

Die Gewährleistung der Sicherheit von Netzwerken und Systemen ist ein Eckpfeiler der IT. Eine der wichtigsten Schutzmaßnahmen in einer Windows-Umgebung ist die Windows Firewall. Indem er den ein- und ausgehenden Datenverkehr kontrolliert, fungiert er als „Gatekeeper“. Dieser Artikel befasst sich mit einem PowerShell-Skript, mit dem Sie Windows Firewall-Profile verwalten können, was eine wichtige Aufgabe für IT-Expert:innen darstellt.

Kontext

Das vorgestellte Skript wurde entwickelt, um alle Windows Firewall-Profile zu aktivieren oder zu deaktivieren, nämlich Domain, Öffentlich und Privat. Diese Profile legen die Einstellungen und Regeln fest, die auf der Grundlage des Netzwerktyps, mit dem ein Computer verbunden ist, angewendet werden. Für Managed Service Provider (MSPs) und IT-Expert:innen ist ein Tool, mit dem diese Profile schnell umgeschaltet werden können, von unschätzbarem Wert. Dieses Skript bietet eine schnelle Lösung für die Fehlersuche, das Sicherheits-Hardening oder die Netzwerkkonfiguration.

Das Skript

#Requires -Version 5.1

<#
.SYNOPSIS
    Enable or disable all Windows Firewall profiles(Domain, Public, Private).
.DESCRIPTION
    Enable or disable all Windows Firewall profiles(Domain, Public, Private).
.EXAMPLE
     -Disable
    Disables all Windows Firewall profiles(Domain, Public, Private).
.EXAMPLE
     -Enable
    Enables all Windows Firewall profiles(Domain, Public, Private).
.EXAMPLE
     -Enable -BlockAllInbound
    Enables all Windows Firewall profiles(Domain, Public, Private).
    Blocks all inbound traffic on the Domain, Public, Private profiles
.OUTPUTS
    String[]
.OUTPUTS
    PSCustomObject[]
.NOTES
    Minimum OS Architecture Supported: Windows 10, Windows Server 2016
    Release Notes:
    Initial Release
By using this script, you indicate your acceptance of the following legal terms as well as our Terms of Use at https://www.ninjaone.com/terms-of-use.
    Ownership Rights: NinjaOne owns and will continue to own all right, title, and interest in and to the script (including the copyright). NinjaOne is giving you a limited license to use the script in accordance with these legal terms. 
    Use Limitation: You may only use the script for your legitimate personal or internal business purposes, and you may not share the script with another party. 
    Republication Prohibition: Under no circumstances are you permitted to re-publish the script in any script library or website belonging to or under the control of any other software provider. 
    Warranty Disclaimer: The script is provided “as is” and “as available”, without warranty of any kind. NinjaOne makes no promise or guarantee that the script will be free from defects or that it will meet your specific needs or expectations. 
    Assumption of Risk: Your use of the script is at your own risk. You acknowledge that there are certain inherent risks in using the script, and you understand and assume each of those risks. 
    Waiver and Release: You will not hold NinjaOne responsible for any adverse or unintended consequences resulting from your use of the script, and you waive any legal or equitable rights or remedies you may have against NinjaOne relating to your use of the script. 
    EULA: If you are a NinjaOne customer, your use of the script is subject to the End User License Agreement applicable to you (EULA).
.COMPONENT
    ProtocolSecurity
#>

[CmdletBinding(DefaultParameterSetName = "Enable")]
param (
    [Parameter(
        Mandatory = $true,
        ParameterSetName = "Enable"
    )]
    [Switch]
    $Enable,
    [Parameter(
        Mandatory = $true,
        ParameterSetName = "Disable"
    )]
    [Switch]
    $Disable,
    [Parameter(
        ParameterSetName = "Enable"
    )]
    [Switch]
    $BlockAllInbound
)

begin {
    function Test-IsElevated {
        $id = [System.Security.Principal.WindowsIdentity]::GetCurrent()
        $p = New-Object System.Security.Principal.WindowsPrincipal($id)
        $p.IsInRole([System.Security.Principal.WindowsBuiltInRole]::Administrator)
    }
}
process {
    if (-not $(Test-IsElevated)) {
        Write-Error -Message "Access Denied. Please run with Administrator privileges."
        exit 1
    }
    if ($(Get-Command "Get-NetFirewallProfile" -ErrorAction SilentlyContinue).Name -like "Get-NetFirewallProfile") {
        # Use Get-NetFirewallProfile if available
        try {
            $NetFirewallSplat = @{
                Profile     = @("Domain", "Public", "Private")
                Enabled     = $(if ($Enable) { "True" }elseif ($Disable) { "False" })
                ErrorAction = "Stop"
            }
            if ($Enable -and $BlockAllInbound) {
                $NetFirewallSplat.Add('DefaultInboundAction', 'Block')
                $NetFirewallSplat.Add('DefaultOutboundAction', 'Allow')
            }
            Set-NetFirewallProfile @NetFirewallSplat
            
        }
        catch {
            Write-Error $_
            Write-Host "Failed to turn $(if ($Enable) { "on" }elseif ($Disable) { "off" }) the firewall."
            exit 1
        }
        # Proof of work
        Get-NetFirewallProfile -ErrorAction Stop | Format-Table Name, Enabled        
    }
    else {
        # Fall back onto netsh
        netsh.exe AdvFirewall set AllProfiles state $(if ($Enable) { "on" }elseif ($Disable) { "off" })
        if ($LASTEXITCODE -gt 0) { exit $LASTEXITCODE }
        netsh.exe AdvFirewall set DomainProfile state $(if ($Enable) { "on" }elseif ($Disable) { "off" })
        if ($LASTEXITCODE -gt 0) { exit $LASTEXITCODE }
        netsh.exe AdvFirewall set PrivateProfile state $(if ($Enable) { "on" }elseif ($Disable) { "off" })
        if ($LASTEXITCODE -gt 0) { exit $LASTEXITCODE }
        netsh.exe AdvFirewall set PublicProfile state $(if ($Enable) { "on" }elseif ($Disable) { "off" })
        if ($LASTEXITCODE -gt 0) { exit $LASTEXITCODE }
        
        if ($Enable -and $BlockAllInbound) {
            try {
                netsh.exe AdvFirewall set DomainProfile FirewallPolicy "BlockInbound,AllowOutbound"
                if ($LASTEXITCODE -gt 0) { exit $LASTEXITCODE }
                netsh.exe AdvFirewall set PrivateProfile FirewallPolicy "BlockInbound,AllowOutbound"
                if ($LASTEXITCODE -gt 0) { exit $LASTEXITCODE }
                netsh.exe AdvFirewall set PublicProfile FirewallPolicy "BlockInbound,AllowOutbound"
                if ($LASTEXITCODE -gt 0) { exit $LASTEXITCODE }
            }
            catch {
                Write-Error $_
                Write-Host "Could not set Block All Inbound Traffic to 1"
            }
        }
        # Proof of work
        netsh.exe AdvFirewall show AllProfiles state
        if ($LASTEXITCODE -gt 0) { exit $LASTEXITCODE }
    }
}
end {}

Detailansicht

Im Wesentlichen prüft das Skript, ob ein Anwender über Administratorrechte verfügt, was unerlässlich ist, da die Änderung der Firewall-Einstellungen erhöhte Rechte erfordert. Anschließend wird das Vorhandensein des Cmdlets „Get-NetFirewallProfile“, eines modernen PowerShell-Befehls zur Verwaltung von Firewallprofilen, überprüft.

Falls dieses Cmdlet verfügbar ist, verwendet das Skript es, um die angegebenen Profile entweder zu aktivieren oder zu deaktivieren. Eine Option zum Blockieren des gesamten eingehenden Datenverkehrs bei gleichzeitiger Zulassung des ausgehenden Datenverkehrs sorgt für zusätzliche Sicherheit.

Wenn das Cmdlet „Get-NetFirewallProfile“ nicht vorhanden ist, greift das Skript auf das ältere Befehlszeilentool „netsh.exe“ zurück.

Potenzielle Anwendungsfälle

Nehmen wir eine IT-Expertin namens Jane, die in einem großen Unternehmen arbeitet. Sie führen eine neue Anwendung ein, aber während der Tests stellen sie fest, dass die Anwendung nicht mit ihrem Server kommunizieren kann. Da Jane ein Firewall-Problem vermutet, verwendet sie dieses Skript, um die Firewall-Profile vorübergehend zu deaktivieren, die Anwendung zu testen und sie dann umgehend wieder zu aktivieren. Diese schnelle Aktion hilft, das Problem ohne manuelle Navigation zu diagnostizieren.

Vergleiche

Das Skript bietet einen programmatischen Ansatz für die Verwaltung von Firewall-Profilen. Alternativen sind die manuelle Anpassung über die Windows Firewall-GUI oder die Verwendung von Gruppenrichtlinienobjekten (GPOs) für Domain-verbundene Rechner. Beiden fehlt jedoch die Unmittelbarkeit des Skripts.

FAQs

• Kann ich dieses Skript auf jedem Windows-Rechner ausführen?
  Es ist für Windows 10, Windows Server 2016 und höher konzipiert.
• Benötige ich besondere Berechtigungen, um dieses Skript auszuführen?
  Ja, es sind Administratorrechte erforderlich.

Implikationen für die Sicherheit

Die Möglichkeit, Firewall-Profile schnell umzuschalten, ist ein zweischneidiges Schwert. Eine auch nur kurzzeitige Deaktivierung kann das System einer Bedrohung aussetzen. Es ist wichtig, die Auswirkungen auf die Sicherheit zu verstehen und sicherzustellen, dass die Systeme geschützt bleiben.

Empfehlungen

• Testen Sie das Skript zunächst in einer kontrollierten Umgebung.
• Wenn Sie die Firewall zu Diagnosezwecken deaktivieren, aktivieren Sie die Funktion danach sofort wieder.
• Regelmäßige Überprüfung der Firewall-Regeln, um die Übereinstimmung mit den Sicherheitsrichtlinien zu gewährleisten.

Abschließende Überlegungen

Die Verwaltung von Windows Firewall-Profilen ist für die Netzwerk- und Systemsicherheit unerlässlich. Während Tools wie NinjaOne allumfassende IT-Managementlösungen bieten, sind Skripte wie das hier beschriebene für spezifische Aufgaben von unschätzbarem Wert. Wie immer ist es wichtig, die Funktionsweise und die Auswirkungen zu verstehen, um eine effektive und sichere Verwendung zu gewährleisten.