The Cable Guy - Februar 2004
Manuelle Konfiguration der Internet Connection Firewall in Windows XP Service Pack 2
Das Windows XP Service Pack 2 (SP2), das sich im Moment im Betatest befindet, erweitert unter anderem die integrierte Internetverbindungsfirewall (Internet Connection Firewall - ICF) des Betriebssystems. Die ICF unterdrückt den gesamten Netzwerkverkehr, der nicht auf eine Anfrage eines Computers hin zustande kommt oder als erwünscht konfiguriert wurde. Sie schützt so vor böswilligen Benutzern und Programmen, die einen Angriff auf einen Computer durchführen könnten.
In dieser Ausgabe seiner Kolumne beschreibt der Cable Guy, welche Änderungen hinsichtlich der ICF das Windows XP Service Pack 2 mit sich bringt.
Alle verfügbaren Cable Guy-Kolumnen finden Sie unter http://www.microsoft.com/germany/technet/community/columns/cableguy/cgarch.mspx.
DownloadArtikel im Word-Format
Artikel im PDF-Format
|
Auf dieser Seite
Das Windows XP SP2 bringt hinsichtlich der ICF folgende Änderungen mit sich:
| • | Standardmäßige Aktivierung der ICF für alle Verbindungen des Computers |
| • | Neue und globale Konfigurationsoptionen, die für alle Verbindungen gelten |
| • | Neue Konfigurationsdialoge für die lokale Konfiguration |
| • | Neuer geschützter Betriebsmodus (Shielded-Mode) |
| • | Sicherheit während des Startvorgangs |
| • | Beschränkung auf das lokale Subnetz |
| • | Definition von Ausnahmen über die Dateinamen von Anwendungen |
| • | Unterstützung für IPv6 |
| • | Neue Konfigurationsmöglichkeiten über Netsh und Gruppenrichtlinien |
Weitere Informationen zu diesen Änderungen finden Sie in der Cable Guy-Kolumne aus dem letzten Monat: Die neuen Netzwerkfeatures von Service Pack 2 für Microsoft® Windows® XP.
Dieser Artikel beschreibt die Dialogfenster, über die die ICF manuell konfiguriert werden kann. Die neue ICF aus SP2 betrifft - wie die alte ICF auch - nur IPv4-Netzwerkverkehr.
Anmerkung: Da das Servicepack in deutscher Sprache noch nicht zur Verfügung steht, stammen die abgebildeten Dialogfenster aus der englischen Version. Die in Klammern genannten deutschen Bezeichnungen der Registerkarten und Einstellungen können sich in der endgültigen deutschen Version des Servicepacks noch ändern. Außerdem kann es sein, dass sich grundlegende Änderungen an Registerkarten selbst und bei den möglichen Einstellungen ergeben. |
Vor SP2 gab es zur ICF-Konfiguration nur ein Kontrollkästchen (Diesen Computer und das Netzwerk schützen, indem das Zugreifen auf diesen Computer vom Internet eingeschränkt oder verhindert wird) auf der Registerkarte Erweitert der Verbindungseigenschaften und den Schalter Einstellungen, über die Sie den zugelassenen Netzwerkverkehr, die Protokollierungseinstellungen und den zugelassenen ICMP-Verkehr konfigurieren konnten.
Mit SP2 wird dieses Kontrollkästchen durch einen Schalter Einstellungen ersetzt, über den Sie allgemeine Einstellungen, Berechtigungen für Programme und Dienste, verbindungsspezifische Einstellungen, Protokollierungseigenschaften und den zugelassenen ICMP-Verkehr konfigurieren können. Mit dem Schalter öffnen Sie das neue ICF-Applet der Systemsteuerung.
Im neuen Dialogfenster der ICF finden Sie die folgenden Registerkarten:
| • | General (Allgemein) |
| • | Exceptions (Ausnahmen) |
| • | Network Connections (Netzwerkverbindungen) |
| • | Log Settings (Protokolleinstellungen) |
| • | ICMP |
Die unter diesen Registerkarten möglichen Einstellungen werden in den folgenden Abschnitten genauer beschrieben.
Die Registerkarte General (Allgemein)
In der folgenden Abbildung sehen Sie die Standardeinstellungen der Registerkarte General (Allgemein).
Folgende Einstellungen können Sie über die Registerkarte konfigurieren:
| • | On (recommended)(Aktiviert - Empfohlen) |
| • | On with no exceptions (Aktiviert ohne Ausnahmen) |
| • | Off (Deaktiviert) |
Die Standardeinstellung der ICF für alle bestehenden und alle neuen Verbindungen ist On (recommended)(Aktiviert - Empfohlen). Diese Einstellung kann sich auf die Kommunikationsverbindungen von Programmen oder Diensten auswirken, die auf unverlangt eingehenden Netzwerkverkehr angewiesen sind. In einem solchen Fall müssen Sie diese Programme oder deren Netzwerkverkehr zur Liste der Ausnahmen hinzufügen. Viele Programme (zum Beispiel Internet-Browser und E-Mail-Clients wie Outlook Express) funktionieren jedoch auch ohne solche Ausnahmen.
Wenn Sie die ICF über eine Gruppenrichtlinie konfigurieren, dann ist die Richtlinie Allow User Preference/Group Policy Settings Merge (Benutzereinstellungen erlauben/Zusammenführung von Gruppenrichtlinieneinstellungen) standardmäßig mit der Einstellung Group Policy setting does not allow local configuration (Gruppenrichtlinie erlaubt keine lokale Konfiguration) konfiguriert. In diesem Fall sind die Optionen auf der Registerkarte Allgemein und alle anderen Registerkarten deaktiviert - sie können nicht geändert werden. In der folgenden Abbildung sehen Sie ein Beispiel für eine solche Konfiguration.
Gruppenrichtlinienbasierte ICF-Einstellungen ermöglichen es Ihnen, ein Domänenprofil (ein Satz von ICF-Einstellungen, die durchgesetzt werden, wenn Sie in einem Netzwerk mit Domänencontrollern arbeiten) und ein mobiles Profil (Netzwerk ohne Domänencontroller - zum Beispiel das Internet) zu konfigurieren. Im ICF-Dialogfenster sehen Sie nur die Einstellungen des momentan aktiven Profils. Um die Einstellungen des anderen Profils anzuzeigen, verwenden Sie den Kontext netsh firewall ipv4 show des netsh-Befehls. Um die Einstellungen des nicht verwendeten Profils zu ändern, verwenden Sie den Kontext netsh firewall ipv4 set.
Die Registerkarte Exceptions (Ausnahmen)
In der folgenden Abbildung sehen Sie die Standardeinstellung der Registerkarte Ausnahmen.
Über die Registerkarte Ausnahmen können Sie Liste der zugelassenen Programme und Dienste verwalten. Wenn auf der Registerkarte Allgemein die Einstellung On with no exceptions ausgewählt ist, ist der Netzwerkverkehr durch diese Dienste oder Programme ist jedoch nicht zugelassen,
Vor SP2 konnte der zugelassene Netzwerkverkehr nur über TCP-Ports (Transmission Control Protocol) oder UDP-Ports (User Datagram Protocol) definiert werden. Mit SP2 kann der zugelassene Verkehr nun über Ports oder über den Dateinamen einer Anwendung oder eines Dienstes definiert werden. So wird es einfacher Ausnahmen zu konfigurieren, wenn der TCP- oder UDP-Port einer Anwendung nicht bekannt ist, oder wenn diese Ports erst nach dem Start der Anwendung oder des Dienstes dynamisch festgelegt werden.
Es gibt einige vorkonfigurierte Programme und Dienste:
| • | File and Print Sharing (Datei- und Druckerfreigaben) |
| • | Files and Settings Transfer Wizard (Assistent zum Übertragen von Dateien und Einstellungen) |
| • | NetMeeting |
| • | Remote Assistance and Remote Desktop (Remoteunterstützung und Remotedesktop) |
| • | UPnP |
| • | Windows Messenger |
Von diesen vorkonfigurierten Programmen und Diensten sind Files and Settings Transfer Wizard(Assistent zum Übertragen von Dateien und Einstellungen), NetMeeting, Remote Assistance andRemote Desktop(Remoteunterstützung und Remotedesktop) und Windows Messenger standardmäßig aktiviert. Die Einträge Print Sharing (Datei- und Druckerfreigaben), Remote Assistance and Remote Desktop (Remoteunterstützung und Remotedesktop) und UPnP können nicht gelöscht werden.
Weitere Programme und Dienste können Sie über den Schalter Add (Hinzufügen) einrichten. In der folgenden Abbildung sehen Sie das Dialogfenster Exceptions (Ausnahmen), über das Sie ein neues Programm oder einen neuen Dienst einrichten können.
Ein weiteres Feature der neuen ICF ist die Möglichkeit, einen Bereich für den eingehenden Netzwerkverkehrs zu definieren. Der Bereich definiert den Teil des Netzwerkes, aus dem eingehender Netzwerkverkehr zugelassen ist. Bei der Definition eines Bereiches für ein Programm oder einen Dienst haben Sie zwei Möglichkeiten:
| • | All IP addresses
(Alle IP-Adressen)
|
| • | Local subnet only
(Nur lokales Subnetz)
|
Der Bereich Local subnet only (Nur lokales Subnetz) ist sehr praktisch, wenn alle Computer mit dem gleichen lokalen Subnetz verbunden sind.
Wenn ein Programm oder Dienst hinzugefügt wurde, dann ist dieser neue Eintrag in der Liste der zugelassenen Programme und Dienste standardmäßig aktiviert.
Die in der Liste aktivierten Programme und Dienste gelten für alle auf der Registerkarte Netzwerkverbindugnen ausgewählten Verbindungen.
Die Registerkarte Network Connections (Netzwerkverbindungen)
In der folgenden Abbildung sehen Sie die Registerkarte Network Connections (Netzwerkverbindungen).
Über diese Registerkarte können Sie die ICF für einzelne Netzwerkverbindungen aktivieren und deaktivieren. Sollte eine Netzwerkverbindung in dieser Liste nicht angezeigt werden, dann handelt es sich nicht um eine Standard-Netzwerkverbindung (dies kann zum Beispiel bei den Dialern einiger ISPs (Internet Service Providers) vorkommen.
Wenn Sie alle Listeneinträge deaktivieren, dann ist Ihr Computer nicht mehr durch die ICF geschützt - und zwar unabhängig davon, ob Sie auf der Registerkarte General (Allgemein) die Einstellung On (recommended) ausgewählt haben. Wenn Sie auf der Registerkarte General (Allgemein) jedoch die Einstellung On with no exceptions (Aktiviert ohne Ausnahmen) ausgewählt haben, dann werden alle Einstellung auf der Registerkarte Network Connections (Netzwerkverbindungen) ignoriert - in einem solchen Fall sind alle Netzwerkverbindungen automatisch geschützt.
Um für bestimme Verbindungen erweiterte Einstellung zu konfigurieren, klicken Sie Verbindung in der Liste und dann den Schalter Settings (Einstellungen) an. In der folgenden Abbildung sehen Sie das Dialogfenster Advanced Settings (Erweiterte Einstellungen).
Über dieses Dialogfenster können Sie über die Registerkarte Services (Dienste) spezielle Dienste konfigurieren (nur über einen TCP- oder UDP-Port) und bestimmten ICMP-Verkehr über die Registerkarte ICMP zulassen. Diese beiden Registerkarten entsprechen den Registerkarten, die vor SP2 zur Konfiguration der ICF-Einstellungen zur Verfügung standen.
Die Registerkarte Log Settings (Protokolleinstellungen)
In der folgenden Abbildung sehen Sie die Standardeinstellung der Registerkarte Log Settings (Protokolleinstellungen).
Über die Registerkarte Log Settings (Protokolleinstellungen) können Sie konfigurieren, ob die verworfenen Pakete (Log dropped packets) oder die erfolgreichen Verbindungen (Log successful connections) protokolliert werden sollen. Außerdem können Sie den Namen und den Speicherort der Protokolldatei und deren Maximalgröße angeben (der Standardspeicherort ist %Systemroot%\pfirewall.log).
Die Registerkarte ICMP
In der folgenden Abbildung sehen Sie die Standardeinstellung der Registerkarte ICMP.
Über die Registerkarte ICMP können Sie die unterschiedlichen eingehenden ICMP-Nachrichten konfigurieren, die für die auf der Registerkarte Network Connections (Netzwerkverbindungen) zugelassen sind. ICMP-Nachrichten werden zu Diagnosezwecken, zur Übermittlung von Fehlermeldungen und zur Konfiguration verwendet. Standardmäßig ist keine ICMP-Nachricht aus der Liste zugelassen.
Oft wird das Ping-Tool zu Lösung von Netzwerkproblemen verwendet. Mit diesem Tool können IP-Adressen angepingt werden. Bei diesem Vorgang wir eine ICMP-Echo-Nachricht an die IP-Adresse geschickt, und der Zielcomputer schickt eine ICMP-Echo-Reply-Nachricht zurück. Die ICF lässt jedoch standardmäßig keine ICMP-Nachrichten zu - daher kann der Zielcomputer keine Reply-Nachricht zurückschicken. Um die ICF zur Zulassung von eingehenden ICMP-Echo-Nachrichten zu konfigurieren, aktivieren Sie den Eintrag Allow incoming echo request(Eingehende Echo-Anforderungen zulassen).
Zusätzliche Informationen
| • | Cable Guy-Kolumne Januar 2004: Die neuen Netzwerkfeatures von Service Pack 2 für Microsoft® Windows® XP |
| • | Changes to Functionality in Microsoft Windows XP Service Pack 2 (englischsprachig) |
| • | Deploying Internet Connection Firewall Settings for Microsoft Windows XP with Service Pack 2 (englischsprachig) |
| • | Alle verfügbaren Cable Guy-Kolumnen finden Sie unter http://www.microsoft.com/germany/technet/community/columns/cableguy/cgarch.mspx. |