Windows-Clients mit Defender Firewall absichern

Die Windows-Firewall wurde bereits mit Windows XP Service Pack 2 eingeführt. Sie hat mit Vista eine komplette Überarbeitung erfahren und ist technisch sowie optisch seitdem nahezu gleich geblieben. Die letzte Veränderung kam mit Windows 10 Build 1709: Die Windows-Firewall ist nun Mitglied der Defender-Familie und heißt jetzt offiziell Windows Defender Firewall.

Zugriff auch intern beschränken

Bislang kommt die Schutzfunktion einer Firewall meist nur extern zum Einsatz: Sobald ein Client das Haus verlässt, hat er die Zugbrücke hochgezogen und den Burggraben dürfen nur noch Anwendungen passieren, für die es eine Ausnahmeregel gibt. Sobald es sich jedoch um das interne Netzwerk beziehungsweise das Active Directory handelt, fällt bei einem Blick in die aktuelle Netzwerkkonfiguration auf, dass die Firewall ausgeschaltet ist.

"Intern" gilt gerade in kleineren Netzwerken pauschal als sicher. Zudem sollen sich Netzwerk und Clients ja remote verwalten lassen. Viele Administratoren wollen jederzeit von einem beliebigen Rechner aus auf einen anderen PC zugreifen können, um dort bei Problemen einzugreifen. Genau diesen Ansatz sollten Sie jedoch überdenken und stark infrage stellen. Muss der Zugriff wirklich von jedem Rechner aus möglich sein? Wir sagen: Nein!

Denn nicht nur WannaCry hat gezeigt, dass sich ein Angriff intern rasend schnell verbreiten kann, weil alle Rechner sich gegenseitig vertrauen und jeder Client ohne Einschränkungen mit jedem reden darf. Die Dienste und Protokolle sind remote erreichbar. Tut sich hier wie im Fall von SMBv1 eine Lücke auf, dann steht der Malware-Ausbreitung nichts mehr im Weg. Dasselbe gilt für Angriffsszenarien, die auf Pass-the-Hash beruhen [1]. Die Weitergabe eines Hashes und die Anwendung auf einem Ziel funktionieren, weil Rechner sich verbinden können.

Es gibt zwar mittlerweile Antiviren-Lösungen, die verhaltensbasiert

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.