Die erweiterte Sicherheit der Windows-Firewall

Sicher ist sicherer

Die Windows-Firewall mit erweiterter Sicherheit ist seit Vista/Windows Server 2008 mit an Bord und standardmäßig aktiviert. Gegenüber der alten Windows-Firewall bringt sie viele neue Features und Möglichkeiten. Was die neue Windows-Firewall wirklich kann und was nicht, klärt dieser Artikel.
RAID-Technologie verspricht höhere Performance und mehr Sicherheit beim permanenten Speichern von Daten. Die ADMIN-Redaktion gibt einen Überblick über ... (mehr)

Als Desktop-Firewall hat die Windows-Firewall die Aufgabe, den eigenen Computer zu schützen. Darin unterscheidet sie sich grundsätzlich von Netzwerk-Firewalls, die den Daten-Verkehr zwischen Netzwerken kontrollieren. Damit ergeben sich bestimmte Funktionsanforderungen. Die Hauptaufgabe lautet natürlich, unerwünschten Daten-Verkehr von außen zu unterbinden. Diesen Job erledigte auch die alte Firewall anstandslos. Darüber hinaus bietet die Windows-Firewall mit erweiterter Sicherheit jedoch viele neue Funktionen. Zum Beispiel

  • Steuerung des ausgehenden Daten-verkehrs
  • Komplexe Regeln für ein- und ausgehenden Verkehr
  • Profilbasiertes Regelwerk
  • Signierte und verschlüsselte Kommunikation

Der Anwender hat die Wahl zwischen der einfachen Firewall-Ansicht und dem Snap-In »Windows-Firewall mit erweiterter Sicherheit« . Die einfache Ansicht rufen Sie über die Systemsteuerung über das Symbol »Windows-Firewall« auf. Hier werden Sie auch gleich mit dem Konzept der Netzwerkstandorte konfrontiert, da die Konfiguration der Windows-Firewall für jeden Standort-Typ einzeln festgelegt werden kann ( Abbildung 1 ). Weiter unten werden die Standorte erläutert.

Abbildung 1: Die Konfiguration der Windows-Firewall kann für jeden Standort-Typ festgelegt werden, etwa das Heim- oder Arbeitsplatznetzwerk.

Die Standard-Konfiguration der Windows-Firewall kann in der einfachen Ansicht über den Menüpunkt »Ein Programm oder Feature durch die Windows-Firewall zulassen« angepasst werden. Hier klicken Sie zunächst auf »Einstellungen ändern« . Nun wird das darunter liegende Auswahlfenster aktiv, sodass Sie entweder aus der vorhandenen Liste die gewünschten Programmme und Features durch Setzen der entsprechenden Häkchen auswählen oder über den Button »Anderes Programm zulassen ...« ein Programm auswählen können, das durch die Windows-Firewall kommunizieren darf ( Abbildung 2 ). Da in der Voreinstellung ohnehin jedes Programm Verbindungsanfragen senden darf, bezieht sich dieser Punkt insbesondere auf eingehende Verbindungsanforderungen, die grundsätzlich nicht erlaubt sind, bevor keine entsprechende Regel erstellt wurde.

Abbildung 2: Die Kommunikation mit der Außenwelt lässt sich auf Basis von Protokollen und Programmen steuern.

Sie können in der einfachen Firewall-Ansicht auch grundsätzlich die Windows-Firewall ein- und ausschalten, auch jeweils für die Netzwerkstandorte. Die temporäre Deaktivierung der Firewall ist insbesondere zu Testzwecken sinnvoll, wenn Sie beispielsweise ausschließen möchten, dass eine Kommunikation durch die Firewall geblockt wird und daher nicht zustande kommt.

Hierzu gibt es übrigens noch einen interessanten Trick: Möchten Sie ermitteln, ob ein Computer im selben Subnetz nicht mit Ihrem lokalen System kommuniziert, weil eine Firewall die Kommunikation blockt, können Sie den gewünschten Kommunikationspartner kontaktieren, zum Beispiel per Ping-Befehl, der gegebenenfalls nicht beantwortet wird. Anschließend werfen Sie einen Blick in den ARP-Cache mit »arp -a« . Dies zeigt die Zuordnung der IP-Adressen zu den entsprechenden MAC-Adressen an. Wird die MAC-Adresse des Zielsystems korrekt angezeigt, ist in fast allen Fällen eine Firewall der Schuldige. Wird die MAC-Adresse allerdings nicht angezeigt, ist das Zielsystem vermutlich tatsächlich nicht aktiv. Dies funktioniert allerdings nur in lokalen Netzen und nicht über Router-Grenzen hinweg.

Ansichtssache

In der einfachen Ansicht können Sie die Standard-Konfiguration der Windows-Firewall wiederherstellen, falls Sie dies wünschen. Hierzu klicken Sie auf den entsprechenden Punkt in der Menüleiste. Dies wirkt sich auf alle Netzwerk-Standorteinstellungen aus und setzt sämtliche Firewall-Einstellungen wieder auf den Auslieferungszustand zurück. Außerdem können Sie die Benachrichtigungseinstellungen ändern. Klicken Sie auf diesen Menüpunkt, öffnet sich jedoch dasselbe Menüfenster, wie unter dem Punkt »Windows-Firewall ein- oder ausschalten« . Die einzige Einstellung, die bezüglich der Benachrichtigung möglich ist, ist die Aktivierung der Benachrichtigung, wenn ein neues Programm blockiert wird. Achten Sie darauf, dass Sie über den Zurück-Button in die Hauptansicht kommen, da hier kein separates Fenster geöffnet wird. Klicken Sie in diesem Untermenü auf »Schließen« , wird die gesamte Firewall-Ansicht inklusive der Systemsteuerung geschlossen.

Zur Windows-Firewall mit erweiterter Sicherheit gelangen Sie entweder über den Menüpunkt »Erweiterte Einstellungen« aus der Standard-Ansicht oder Eingabe von »wf.msc« im Kombinationsfeld des Startmenüs. Es öffnet sich eine Management-Konsole (MMC), die die übliche Dreiteilung aufweist: Links befindet sich das Menü, rechts die Aktionsmöglichkeiten und in der Mitte das Hauptfenster mit den Inhalten entsprechend des Kontextes ( Abbildung 3 ). Die erste Übersicht zeigt die Konfiguration der einzelnen Netzwerkstandorte, die hier als »Profile« bezeichnet werden.

Abbildung 3: Die Management-Konsole zeigt hier die Regeln für den eingehenden Datenverkehr.

Netzwerkstandorte und Profile

Irritierenderweise werden die Netzwerkstandorte auch als Netzwerkadressen bezeichnet, so zum Beispiel in der Windows-Hilfe. Bei einem Netzwerkstandort beziehungsweise einer Netzwerkadresse in diesem Sinne handelt es sich um Sicherheitseinstellungen, die automatisch aktiv werden, wenn der Computer an ein Netzwerk angeschlossen wird. Dabei werden vier Netzwerkstandorte unterschieden:

  • Heimnetzwerk: Diese Konfiguration sollte nur in sehr vertrauenswürdigen Umgebungen aktiviert werden. Hier kann eine Heimnetzgruppe erstellt werden, die weitgehend ungeschützten Zugang zu persönlichen Ordnern auf anderen Computern derselben Heimnetzgruppe ermöglicht. Die Heimnetzgruppe ist eine Art Minidomäne für zu Hause.
  • Arbeitsplatznetzwerk: Für kleine Firmennetzwerke gedacht, ist diese Standort-Konfiguration ebenfalls für vertrauenswürdige Umgebungen geeignet. Der Zugriff auf Freigaben ist möglich, die Mechanismen der Netzwerkerkennung sind aktiv, sodass der Computer im Netzwerk gefunden werden und andere Computer finden kann.
  • Öffentliches Netzwerk: Befindet sich der Computer in einem ungeschützten, öffentlichen Netzwerk, ist diese Standort-Konfiguration sinnvoll, um den Zugriff von außen auf den Computer effektiv zu unterbinden. Hier ist die Netzwerkerkennung deaktiviert, und Zugriffsversuche von außen sind unterbunden.
  • Domäne: Diese Netzwerk-Konfiguration wird automatisch aktiviert, wenn der Computer einer Active Directory-Domäne beitritt. Sie wird vom Administrator der Domäne gesteuert und kann nicht ausgewählt werden.

Die Auswahl des gewünschten Netzwerkstandorts geschieht über das Netzwerk- und Freigabecenter. Hier ist es möglich, unter »Aktive Netzwerke anzeigen« den Netzwerktyp anzupassen. Während die Netzwerkstandort-Einstellungen diverse Mechanismen umfassen, bezeichnet das Profil der Firewall die Einstellungen der Windows-Firewall.

Alle Regeln lassen sich separat für einzelne Profile aktivieren oder deaktivieren. Hierbei werden die Einstellungen für das Heimnetzwerk und das Arbeitsplatznetzwerk allerdings als »Privates Profil« zusammengefasst.

Das Grundverhalten der Windows-Firewall lässt sich über die Eigenschaften für jedes Profil einstellen. Hierzu wählen Sie im Kontextmenü des obersten Symbols aus dem Menü links den Punkt »Eigenschaften« aus. In den Grundeinstellungen können Sie zum Beispiel festlegen, wie sich die Firewall verhält, wenn ein- oder ausgehende Verbindungen nicht von einer Regel explizit erfasst wurden. Dies wird auch als »Standardregel« bezeichnet. Standardmäßig werden alle eingehenden Verbindungen grundsätzlich geblockt, während ausgehende Verbindungen erlaubt sind ( Abbildung 4 ).

Abbildung 4: In den Grundeinstellungen erlaubt die Firewall ausgehende Verbindungen und blockiert alle eingehenden.

Es gibt grundsätzlich drei Bereiche, in denen Sie die Firewall-Regelwerkseinstellungen ändern können:

  • Eingehende Regeln: Diese Regeln beziehen sich auf alle Kommunikationsanfragen von außen.
  • Ausgehende Regeln: Diese Regeln steuern, welche Kommunikation vom Rechner ausgehen darf.
  • Verbindungssicherheitsregeln: Dieser Bereich ermöglicht Einstellungen für Kommunikation, die authentisiert und/oder verschlüsselt werden soll.

Das Hauptfenster zeigt alle vorhandenen Regeln an, die für den entsprechenden Bereich, zum Beispiel »Eingehende Regeln« , erstellt wurden. Dabei existieren diverse von Windows bereits vorgefertigte Regeln. Die Übersicht enthält ziemlich viele Spalten, die die Einstellungen für jede einzelne Regel bereits in der Übersicht zeigen. Die Aktion einer Regel besteht aus einer der folgenden Möglickeiten:

  • zulassen
  • blockieren
  • zulassen, wenn sie sicher ist

Welche Aktion vorgesehen ist, zeigt das Symbol in der ersten Spalte vor dem Regelnamen. Dabei wird zwischen aktiven und nicht aktiven Regeln unterschieden. Bei nicht aktivierten Regeln ist das Symbol ausgegraut. Gerade hiervon existieren in der Grundeinstellung etliche Regeln für diverse Einsatzzwecke, die Sie bei Bedarf aktivieren können. Dazu klicken Sie doppelt auf die Regel und setzen das Häkchen vor »Aktiviert« ( Abbildung 5 ).

Abbildung 5: Bestehende Regeln lassen sich mit einem Klick aktivieren, wie hier die Firewall für den Branche-Cache.

Programme können bei der Installation eigene Regeln einfügen. So fügen zum Beispiel Spiele regelmäßig diverse Regeln zum Regelwerk für eingehende Regeln hinzu. Auf Windows-Servern werden Regeln bei der Installation der verschiedenen Server-Dienste hinzugefügt. Damit ist es je nach Szenario und Umgebung möglich, dass Sie als Admininstrator nur sehr selten tatsächlich manuell Regeln hinzufügen müssen.

comments powered by Disqus
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2023