Windows XP Service Pack 2
Einstellungen für die Internetverbindungsfirewall bereitstellen
Dieses Dokument beschreibt die Änderungen, die Windows XP Service Pack 2 (SP2) an der Internetverbindungsfirewall (ICF) vornimmt. Die ICF unterdrückt den gesamten Netzwerkverkehr, der nicht auf eine Anfrage eines Computers hin zustande kommt oder als erwünscht konfiguriert wurde. Sie schützt so vor Benutzern und Programmen, die einen Angriff auf einen Computer durchführen könnten. Um Computer besser zu schützen, aktiviert Windows XP SP2 die ICF standardmäßig für alle Netzwerkverbindungen, was allerdings einige Kommunikationswege beeinträchtigen kann. Dieser Artikel zeigt Ihnen, wie Sie sich mit den passenden Konfigurationseinstellungen für die ICF in einem Organisations-Netzwerk schützen können, ohne dass die Kommunikation beeinträchtigt wird.
DownloadArtikel im Word-Format
Artikel im PDF-Format
|
Auf dieser Seite
Betriebssystem
(Engl. Originaltitel: Deploying Internet Connection Firewall Settings for Microsoft® Windows® XP with Service Pack 2)
Microsoft Corporation
Veröffentlicht: Dezember 2003
Zusammenfassung
Windows XP Service Pack 2 (SP2) befindet sich im Moment im Betatest und erweitert die Internetverbindungsfirewall (Internet Connection Firewall - ICF), auch bekannt als die Windows Firewall. Die ICF unterdrückt den gesamten Netzwerkverkehr, der nicht auf eine Anfrage eines Computers hin zustande kommt oder als erwünscht konfiguriert wurde. Sie schützt so vor böswilligen Benutzern und Programmen, die einen Angriff auf einen Computer durchführen könnten. Um Computer in jeder Art von Netzwerk (beispielsweise dem Internet, einem Netzwerk zuhause oder in einer Organisation) besser zu schützen, aktiviert Windows XP SP2 die Internetverbindungsfirewall standardmäßig für alle Netzwerkverbindungen. Dies kann allerdings einige Kommunikationswege beeinträchtigen. Dieser Artikel zeigt Ihnen, wie Sie sich mit den passenden Konfigurationseinstellungen für die ICF in einem Organisations-Netzwerk schützen können, ohne dass die Kommunikation beeinträchtigt wird.
Überblick
Windows XP Service Pack 2 (SP2) befindet sich im Moment im Betatest und erweitert die Internetverbindungsfirewall (Internet Connection Firewall - ICF), auch bekannt als die Windows Firewall. Die ICF unterdrückt den gesamten Netzwerkverkehr, der nicht auf eine Anfrage eines Computers hin zustande kommt (solicited traffic) oder als erwünscht konfiguriert wurde (excepted traffic). Sie schützt so vor böswilligen Benutzern und Programmen, die einen Angriff auf einen Computer durchführen könnten.
Vor Service Pack 2 wurde Windows XP mit standardmäßig deaktivierter Internetverbindungsfirewall ausgeliefert; aktiviert werden konnte sie über den Assistenten für neue Verbindungen oder den Netzwerkinstallations-Assistenten. Die manuelle Aktivierung der ICF erfolgte über ein Kontrollkästchen in der Registerkarte Erweitert in den Eigenschaften einer Verbindung. Dort konnten Sie auch den erwünschten Netzwerkverkehr konfigurieren - über Festlegung der Ports für das Transmission Control Protocol (TCP) oder das User Datagram Protocol (UDP).
Das Service Pack 2 für Windows XP bringt folgende Änderungen:
| • | Die ICF ist standardmäßig für alle Verbindungen des Computers aktiviert |
| • | Neue und globale Konfigurationsoptionen, die für alle Verbindungen gelten |
| • | Neue Konfigurationsdialoge für die lokale Konfiguration |
| • | Neuer geschützter Betriebsmodus (Shielded-Mode) |
| • | Sicherheit während des Startvorgangs |
| • | Beschränkung auf das lokale Subnetz |
| • | Ausnahmen können über die Dateinamen von Anwendungen definiert werden |
| • | Die ICF unterstützt IPv6 |
| • | Neue Konfigurationsmöglichkeiten über Netsh und Gruppenrichtlinien |
Die ICF ist standardmäßig für alle Verbindungen des Computers aktiviert
Die ICF ist im Windows XP SP2 standardmäßig global aktiviert. Das bedeutet, dass für alle Verbindungen eines Computers unter Windows XP SP2 die Internetverbindungsfirewall aktiviert ist, inklusive LAN (kabelgebunden und drahtlos), Einwahlverbindungen und Virtual Private Network (VPN)-Verbindungen. Auch für neue Verbindungen ist die ICF automatisch aktiviert.
Diese Standardeinstellung bietet mehr Schutz für Computer mit Windows XP, kann aber auch weit reichende Konsequenzen für die IT-Abteilung einer Organisation haben - insbesondere in Hinblick auf die Kompatibilität von Anwendungen und die Möglichkeiten zur Verwaltung der Computer im Netzwerk. Für weitere Informationen lesen Sie den Abschnitt Windows XP SP2 und die Auswirkungen auf Firmennetzwerke in diesem Dokument.
Neue und globale Konfigurationsoptionen, die für alle Verbindungen gelten
Die ICF in Windows XP SP2 erlaubt es Ihnen, Einstellungen für alle Verbindungen eines Computers festzulegen (globale Konfiguration). In Windows XP wurden vor SP2 die ICF-Einstellungen pro Verbindung vorgenommen, was bedeutete, dass die ICF für mehrere Verbindungen und Arten erwünschten Netzwerkverkehrs separat konfiguriert werden musste. Wenn Sie unter Windows XP SP2 die ICF-Einstellungen global verändern, werden die Änderungen auf alle Verbindungen angewendet, die die ICF nutzen.
Die ICF unter Windows XP SP2 erlaubt natürlich auch eine Einstellung pro Verbindung. Verbindungsspezifische Konfigurationen setzen globale Konfigurationen außer Kraft.
Neue Konfigurationsdialoge für die lokale Konfiguration
Vor SP2 gab es zur ICF-Konfiguration nur ein Kontrollkästchen (Diesen Computer und das Netzwerk schützen, indem das Zugreifen auf diesen Computer vom Internet eingeschränkt oder verhindert wird) auf der Registerkarte Erweitert der Verbindungseigenschaften sowie den Schalter Einstellungen. Über diese beiden Elemente konnten Sie den zugelassenen Netzwerkverkehr, die Protokollierungseinstellungen und den zugelassenen ICMP-Verkehr konfigurieren.
In Windows XP SP2 wurde das Kontrollkästchen durch die Schaltfläche Einstellungen ersetzt. Diese öffnet das Dialogfenster Internetverbindungsfirewall, in dem Sie wiederum verschiedene Registerkarten öffnen können: General (Allgemein), Exceptions (Ausnahmen), Network Connections (Netzwerkverbindungen), Log Settings (Protokolleinstellungen) und ICMP. Sie können die ICF-Einstellungen auch über das Internetverbindungsfirewall-Symbol in der Systemsteuerung konfigurieren. Die folgende Abbildung zeigt das neue Dialogfenster Internetverbindungsfirewall.
Falls die ICF in einem Organisationsnetzwerk über Gruppenrichtlinien konfiguriert wird, sind alle lokalen ICF-Konfigurationsoptionen deaktiviert.
Neuer geschützter Betriebsmodus (Shielded-Mode)
Bisher war die ICF entweder aktiviert (zugelassener Verkehr und von innen angestoßener Verkehr waren erlaubt), oder sie war deaktiviert (der gesamte Verkehr war erlaubt).
Mit SP2 können Sie nun einen neuen Betriebsmodus verwenden - den Shielded-Modus (Einstellung An ohne Ausnahmen auf der Registerkarte Allgemein). In diesem Shielded-Modus wird der gesamte unverlangt eingehende Netzwerkverkehr blockiert, inklusive dem ansonsten als erwünscht konfigurierten Netzwerkverkehr (excepted traffic). Der Shielded-Modus kann zur temporären Sicherung des Computers - zum Beispiel während eines Netzwerkangriffs - verwendet werden. Wenn der Angriff vorüber ist, und die entsprechenden Updates zur Verhinderung weiterer Angriffe installiert sind, kann die ICF in den normalen Modus zurückgeschaltet werden (Option An (empfohlen)). Damit wird der als erwünscht konfigurierte Netzwerkverkehr nicht mehr blockiert.
Sicherheit während des Startvorgangs
Bis jetzt schützt die ICF alle Verbindungen, für die sie aktiviert wurde - dieser Schutz besteht jedoch erst dann, wenn der Dienst Internetverbindungsfirewall/Gemeinsame Nutzung der Internetverbindung erfolgreich gestartet wurde. Daher kommt es zu einer Verzögerung zwischen dem ersten Zugriff des Computers auf das Netzwerk und dem Schutz durch die ICF. In diesem Zeitraum während des Systemstarts kann der Computer angegriffen werden.
Mit SP2 gibt es nun eine Startrichtlinie, die eine Paketfilterung durchführt. Damit kann der Computer während des Systemstarts grundlegende Netzwerkaufgaben durchführen, zum Beispiel die Verwendung von DHCP und DNS und die Kommunikation mit einem Domänencontroller zur Abfrage der Gruppenrichtlinien. Sobald der ICF-Dienst dann gestartet ist, wird dessen Konfiguration verwendet. Die Einstellungen der Startrichtlinie können allerdings nicht konfiguriert werden. Wenn die ICF deaktiviert ist, gibt es auch keine Startrichtlinie.
Beschränkung auf das lokale Subnetz
Bisher kann der zugelassene Netzwerkverkehr von jeder IP-Adresse aus gesendet werden. Mit SP2 können Sie nun festlegen, dass der zugelassene Netzwerkverkehr entweder von jeder Adresse oder nur von einer Adresse des lokalen Subnetzes kommen darf.
In einem Heimnetzwerk können Sie dieses Feature zum Beispiel verwenden, um einen Zugriff auf einen Dienst für die anderen Computer des lokalen Netzwerkes zuzulassen, ihn für alle Internetbenutzer aber zu verweigern.
Ausnahmen können über die Dateinamen von Anwendungen definiert werden
Bis jetzt konnten Sie Ausnahmen nur über TCP- oder UDP-Ports definieren. Wenn die von einer Anwendung genutzten Ports nicht bekannt waren, war diese Konfiguration problematisch oder unmöglich. Anwendungen, die nicht über einen bestimmten Satz von UDP- oder TCP-Ports arbeiten, konnten so gar nicht konfiguriert werden.
Für eine einfachere Konfiguration ist es jetzt möglich, den Dateinamen der Anwendung für Ausnahmen zu benutzen. Wenn die Anwendung ausgeführt wird, überwacht die ICF die Ports, die diese Anwendung abfragt, und fügt die Ports automatisch der Ausnahmenliste hinzu.
Um Ihnen eine schnelle Konfiguration der Ausnahmenliste zu ermöglichen, verfügt die ICF nun für die häufig verwendeten Windows-Komponenten und -Dienste über vorkonfigurierte Listen (zum Beispiel Datei- und Druckerfreigabe oder Windows Messenger).
Die ICF unterstützt IPv6
Die ICF unterstützt mit SP2 nun auch die Version 6 des Internet Protokolls (IPv6). Die gleiche Funktionalität stellt auch das erweiterte Netzwerkpaket für Windows XP zur Verfügung. Sie können die IPv6-ICF unter Software und Windows-Komponenten hinzufügen/entfernen in der Systemsteuerung installieren. Nach der Installation ist die IPv6-ICF automatisch für alle IPv6-Verbindungen aktiv. Sie wird über Netsh-Befehle im Rahmen von Netsh Firewall Ipv6 konfiguriert. Weitere Informationen zum Thema IPv6-ICF und Netsh-Befehle finden Sie in Anhang C.
Neue Konfigurationsmöglichkeiten über Netsh und Gruppenrichtlinien
Bis jetzt waren der Ordner Netzwerkverbindungen, der Netzwerkassistent und der Verbindungsassistent die einzigen Möglichkeiten zur Aktivierung oder Deaktivierung der ICF. Zur Einrichtung von Ausnahmeregeln mussten Sie die Verbindungseigenschaften verwenden, oder die Anwendung musste die Konfiguration selbst vornehmen.
Unter Windows XP SP2 haben Sie nun die folgenden zusätzlichen Konfigurationsmöglichkeiten:
| • | Netsh-Befehle |
| • | Neue Konfigurations-APIs |
| • | Umfassende Unterstützung zur Konfiguration von Einstellungen über Gruppenrichtlinien |
Über die ICF-Gruppenrichtlinieneinstellungen können Sie zwei Profile konfigurieren:
| • | Domänenprofil |
| • | Mobiles Profil |
Weitere Informationen zum Domänenprofil und zum Mobilen Profil finden Sie im Abschnitt Bereitstellung von TCP/IP ICF-Einstellungen über Gruppenrichtlinien in diesem Dokument.
Windows XP SP2 und die Auswirkungen auf Firmennetzwerke
In Firmennetzwerken kann die Standardaktivierung der ICF unter Windows XP SP2 für alle Netzwerkverbindungen weit reichende Auswirkungen auf die verschiedenen Kommunikationswege haben. In vielen Unternehmen, die Windows XP ohne SP2 nutzen, ist die ICF für alle Verbindungen im Unternehmensnetzwerk deaktiviert, weil Unternehmensnetzwerke typischerweise nicht direkt mit dem Internet verbunden sind. Die Firewall des Unternehmensnetzwerkes, Proxy-Server und andere Systeme bieten einigen Schutz an der Verbindung zwischen Internet und Intranet. Dennoch führt das Fehlen von Host-Firewalls wie der ICF bei Intranetverbindungen zu Verwundbarkeiten - gegenüber böswilligen Programmen, die ins Intranet von direkt angeschlossen Computern eingeschleust werden.
Zum Beispiel kann ein Mitarbeiter ein Notebook aus seiner Organisation an ein Heimnetzwerk anschließen, das keinen ausreichenden Schutz bietet. Weil das Notebook keine Host-Firewall für seine Netzwerkverbindungen aktiviert hat, wird es mit einem böswilligen Programm infiziert (beispielsweise einem Virus), das Netzwerkverkehr zur Weiterverbreitung nutzt. Der oder die Angestellte bringt das Notebook mit in die Organisation und schließt es an das Intranet an; so werden alle Sicherheitssysteme umgangen, die das Intranet nur nach außen schützen. Einmal im Intranet, infiziert das böswillige Programm andere Computer. Wenn die ICF standardmäßig aktiviert wäre, würde das Notebook wahrscheinlich im Heimnetzwerk nicht infiziert werden. Sogar, wenn es dort infiziert würde, könnten sich Rechner im Intranet der Organisation gegen das böswillige Programm schützen, wenn diese auch die ICF aktiviert haben.
Das Blockieren allen nicht angeforderten Netzwerkverkehrs als Standard kann die Netzwerkkommunikation beinträchtigen, wenn die Windows XP SP2-Computer von einem anderen Computer über die Computerverwaltung gesteuert werden, Server, Listener oder Peer sind. Die folgende Liste zeigt Beispiele von Komponenten und Funktionen unter Windows XP SP2, deren Kommunikationswege von den Standardeinstellungen der ICF beeinträchtigt werden können:
| • | Computerverwaltung des Windows XP SP2-Computers |
| • | SNMP-Agent (Simple Network Management Protocol) |
| • | WMI |
| • | Remote Management mit Netsh oder einem MMC-Snap-In (Microsoft Management Console) |
| • | Remoteunterstützung |
| • | Microsoft Systems Management Server (SMS) |
| • | Andere Managementsysteme |
| • | Der Windows XP SP2-Computer arbeitet als Server |
| • | Internetinformationsdienste (IIS) |
| • | Datei- und Druckerfreigabe |
| • | Nachrichtenwarteschlange |
| • | Einfache TCP/IP-Dienste |
| • | Druckdienste für UNIX |
| • | Der Windows XP SP2-Computer arbeitet als Listener |
| • | UPnP |
| • | RIP-Listener (Routing Information Protocol) |
| • | Der Windows XP SP2-Computer arbeitet als Peer |
| • | Peer-to-Peer-Netzwerkanwendung eines Drittanbieters |
Hinweis: Wenn der Windows XP SP2-Computer als Client arbeitet, beeinträchtigt die ICF die Kommunikation nicht. Beispiele hierfür sind Internetzugang, E-Mail, Gruppenrichtlinien und Managementagenten, die Updates von einem Server anfordern. |
Wenn Ihr Netzwerk irgendwelche dieser Komponenten nutzt, ob als Bestandteil von Windows XP SP2, als eigenständiges Produkt von Microsoft oder von anderen Anbietern, dann wird in diesen Fällen normalerweise mit SP2 die Kommunikation beeinträchtigt. Um dies zu verhindern, muss Windows XP SP2 mit der passenden ICF-Konfiguration bereitgestellt werden, so dass der Computer über die Computerverwaltung gesteuert werden kann, als Server arbeitet, als Listener oder Peer funktioniert.
Die Bereitstellung von Windows XP SP2 kann die Kommunikation in Ihrem Netzwerk beeinträchtigen; deshalb möchten wir Ihnen nahe legen, Windows XP SP2 mit kritischen administrativen und Businessanwendungen zu testen, bevor Sie es in der eigentlichen Arbeitsumgebung einsetzen.
Die Details zur Bereitstellung der ICF-Einstellungen für Windows XP SP2 finden Sie in den Abschnitten Bereitstellen der TCP/IP ICF-Konfiguration mit Gruppenrichtlinien und Bereitstellung der ICF-Konfiguration ohne Gruppenrichtlinien in diesem Dokument.
Benutzern die Installation von Windows XP SP2 über Windows Update erlauben
Wenn Sie die Bereitstellung von Windows XP SP2 planen, sollten Sie auch darüber nachdenken, ob Sie den Benutzern in Ihrem Netzwerk das Herunterladen und die Installation von Windows XP SP2 über Windows Update erlauben wollen. Um Windows XP SP2 installieren zu können, müssen die Benutzer als Administrator oder als Mitglied der Administratorengruppe angemeldet sein. Wenn dies der Fall ist, und Sie den Benutzern die Installation von Windows XP SP2 erlauben, kann der Rechner des Benutzers möglicherweise nicht mehr von einem anderen Computer aus gesteuert werden, weil die ICF standardmäßig und global aktiviert ist. Der Computer kann möglicherweise nicht mehr fern gewartet werden, bis die ICF für den erwünschten Netzwerkverkehr (excepted traffic) konfiguriert wurde. Dies kann über Gruppenrichtlinieneinstellungen, ein Skript oder ein Konfigurationsprogramm geschehen.
Wenn Sie Benutzern die Installation von Windows XP SP2 nicht erlauben, können Sie Windows XP SP2 mit Ihrer Computerverwaltung selbst bereitstellen - zusammen mit den passenden ICF-Einstellungen, so dass die Computer in Ihrem Netzwerk während der gesamten Bereitstellung mit der Computerverwaltung gewartet werden können.
Windows XP SP2 ICF und IPSec zusammen nutzen
Die ICF blockiert unangeforderten hereinkommenden Netzwerkverkehr. Sie können mit der ICF aber nicht die Quelladresse für angefragten oder als erwünscht definierten Netzwerkverkehr festlegen. IPSec (Internet Protocol Security), ein Bestandteil von Windows XP, bietet diesen zusätzlichen Schutz. Mit IPSec-Richtlinien können Sie Netzwerkverkehr blockieren, zulassen oder über Verschlüsselung schützen - dies gilt sowohl für hereinkommenden als auch für herausgehenden Verkehr. Für jeden dieser drei Fälle (blockieren, zulassen, schützen), kann IPSec für eine Auswahl an Quell- und Zieladressen konfiguriert werden.
Wenn Sie IPSec bereits zum Blockieren, Zulassen oder Schützen Ihres Netzwerkverkehrs nutzen, bietet die ICF zusätzlichen Schutz für Computer unter Windows XP SP2.
Die Bereitstellung von TCP/IP ICF-Einstellungen über Gruppenrichtlinien
Der beste Weg, ICF-Einstellungen in einem Organisationsnetzwerk zu verwalten, ist die Nutzung des Active Directory-Dienstes und der neuen ICF-Einstellungen der Gruppenrichtlinien. Diese Methode erfordert die Nutzung von Active Directory mit Windows 2000- oder Windows Server 2003-Domänencontrollern. Updates von Gruppenrichtlinien werden von einem Computer aus der eigenen Domäne angefragt und sind somit angeforderter Netzwerkverkehr, der von der ICF zugelassen wird.
Wenn Sie Gruppenrichtlinien zur Konfiguration der ICF einsetzen, kann der Benutzer diese Konfiguration normalerweise nicht mehr über das Dialogfenster Internetverbindungsfirewall verändern. Alle Registerkarten des Dialogfensters Internetverbindungsfirewall sind deaktiviert.
Die Bereitstellung der ICF-Einstellungen für Windows XP SP2 mit Active Directory funktioniert folgendermaßen:
1. Aktualisieren Sie Ihre Gruppenrichtlinienobjekte (GPOs) mit den neuen ICF-Einstellungen.
2. Spezifizieren Sie die ICF-Einstellungen für Ihre GPOs.
Die einzelnen Schritte werden im Folgenden im Detail beschrieben.
Hinweis Der Vorgang zum Aktualisieren Ihrer GPOs mit den neuen ICF-Einstellungen ersetzt die vorhandene System.adm-Datei durch die mit Windows XP SP2 ausgelieferte. Wenn ein Gruppenrichtlinien-Administrator diesen Vorgang in Ihrer Produktionsumgebung startet, wird Ihre Produktionsumgebung aktualisiert. |
Schritt 1: Aktualisieren Ihrer GPOs mit den neuen ICF-Einstellungen
Zum Aktualisieren Ihrer GPOs in Netzwerken mit Windows Server 2003 und Windows XP SP1 empfehlen wir den Einsatz der GPO-Konsole, einer bei Microsoft kostenlos erhältlichen Software. Weitere Informationen zum Download finden Sie unter: Gruppenrichtlinien-Verwaltungskonsole mit Service Pack 1.
Zur Aktualisierung Ihrer Active Directory-GPOs mit den neuen ICF-Einstellungen über das Gruppenrichtlinien-Snap-In (Bestandteil von Windows XP SP2), gehen Sie folgendermaßen vor:
1. | Installieren Sie Windows XP SP2 auf einem Computer, der zur Domäne gehört, die auch die Computer-Konten der anderen Computer unter Windows XP umfasst, auf denen Sie Windows XP SP2 installieren wollen. |
2. | Starten Sie den Computer neu, und melden Sie sich auf dem Windows XP SP2-Computer als Mitglied der Domänenadmins-Sicherheitsgruppe, der Orga-Admins-Sicherheitsgruppe oder der Gruppenrichtlinien-Ersteller bzw. -Besitzergruppe an. |
3. | Klicken Sie auf dem Windows XP-Desktop zunächst auf Start, dann auf Ausführen. Geben Sie mmc im Fenster ein und drücken Sie auf die Schaltfläche OK. |
4. | Klicken Sie im Menü Datei auf Snap-in hinzufügen/entfernen. |
5. | Klicken Sie auf der Registerkarte Eigenständig auf Hinzufügen. |
6. | Wählen Sie aus der Liste Verfügbare eigenständige Snap-Ins den Gruppenrichtlinienobjekt-Editor aus, und klicken Sie dann auf Hinzufügen. |
7. | Klicken Sie in der Dialogbox Gruppenrichtlinienobjekt auswählen auf Durchsuchen. |
8. | Wählen Sie in der Liste Nach einem Gruppenrichtlinienobjekt suchen das GPO, das Sie mit den neuen ICF-Einstellungen aktualisieren wollen. Die folgende Abbildung zeigt ein Beispiel. |
9. | Klicken Sie auf OK. |
10. | Klicken Sie auf Fertigstellen. |
11. | Drücken Sie im Dialogfenster Eigenständiges Snap-In hinzufügen auf Schließen. |
12. | Klicken Sie im Dialogfenster Snap-In hinzufügen/entfernen auf die Schaltfläche OK. |
13. | Öffnen Sie im Konsolenstamm Computerkonfiguration, Administrative Vorlagen, Netzwerk, Netzwerkverbindungen und dann Internetverbindungsfirewall. Ein Beispiel finden Sie in der nächsten Abbildung. |
Wiederholen Sie diesen Vorgang für jedes GPO, das zur Anwendung von Gruppenrichtlinien auf Computern eingesetzt wird.
Schritt 2: Spezifizieren der ICF-Einstellungen für Ihre GPOs
Nachdem ein GPO aktualisiert wurde, kann es für ICF-Einstellungen konfiguriert werden, die für die gemeinsame Nutzung von Computerverwaltung, Server, Listener oder Peer-Anwendungen notwendig sind.
Es gibt zwei Arten von ICF-Einstellungen:
| • | Die Domänenprofil-Einstellungen, die von den Computern angewendet werden, die sich in einem Netzwerk mit Domänencontrollern befinden. |
| • | Die Mobiles Profil-Einstellungen, die von den Computern angewendet werden, die sich in einem Netzwerk ohne Domänencontroller befinden. |
Wenn Sie keine Einstellungen für das Mobile Profil einrichten, kommen hier Standardeinstellungen automatisch zum Tragen. Daher empfehlen wir, dass Sie beide Profile einrichten - Mobiles Profil und Domänenprofil.
Die Einstellungen für das Mobile Profil sind typischerweise restriktiver als für das Domänenprofil.
Das Domänenprofil und das Mobile Profil umfassen den selben Satz an möglichen ICF-Einstellungen, wie die folgende Abbildung zeigt.
Die ICF-Gruppenrichtlinieneinstellungen bestehen aus:
| • | Operational Mode (Betriebsmodus) - Wird benutzt, um den Betriebsmodus der ICF zu konfigurieren (Aktiviert, Deaktiviert oder Geschützt). |
| • | Allow User Preference/Group Policy Settings Merge (Zusammenführung von Benutzereinstellungen und Gruppenrichtlinieneinstellungen zulassen) - Wird benutzt, um eine lokale Konfiguration der ICF zuzulassen. |
| • | Define Allowed Programs (Zulässige Programme definieren) - Wird benutzt, um den erwünschten Netzwerkverkehr nach Dateinamen von Anwendungen zulassen. |
| • | Allow Dynamically Assigned Ports for RPC and DCOM (Dynamisch zugewiesene Ports für RPC und DCOM zulassen) - Wird benutzt, um festzulegen, ob Listening-Ports für Anwendungen geöffnet werden können, die Remote Procedure Calls (RPC) und das Distributed Component Object Model (DCOM) einsetzen. |
| • | Allow File and Print Sharing (Datei- und Druckerfreigabe zulassen) - Wird benutzt, um festzulegen, ob Datei- und Druckerfreigabe möglich sein sollen. |
| • | Allow ICMP Settings (ICMP-Einstellungen zulassen) - Wird benutzt, um festzulegen, welche Arten von unangefordertem ICMP-Netzwerkverkehr (Internet Control Message Protocol) zugelassen sind. |
| • | Allow Remote Assistance Support (Remoteunterstützung zulassen) - Wird benutzt, um festzulegen, ob Remoteunterstützungsverbindungen zugelassen werden, die auf einer Remoteunterstützungsanfrage beruhen. Bei dieser Art von Remoteunterstützung wird keine Anfrage des zu verwaltenden Rechners benötigt. |
| • | Allow Universal Plug and Play (Universelles Plug & Play zulassen) - Wird benutzt, um festzulegen, ob der Computer UPnP verwendet. |
| • | Define Custom Open Ports (Offene Ports festlegen) - Wird benutzt, um die Arten von zulässigem, unangeforderten Netzwerkverkehr über TCP- und UDP-Ports festzulegen. |
Weitere Informationen zu diesen Gruppenrichtlinieneinstellungen und Beispiele für Dialogfenster finden Sie in Anhang A.
Benutzen Sie das Gruppenrichtlinien-Snap-In zur Bearbeitung der ICF-Einstellungen in den entsprechenden GPOs. Bitte berücksichtigen Sie, dass Sie nur die ICF-Einstellungen für GPOs modifizieren müssen, die Active Directory-Elementen angehören (Domänen, Organisationseinheiten und Standorte), die wiederum Computerkonten für Computer beinhalten, die mit Windows XP SP2 betrieben werden oder betrieben werden sollen.
Sobald die ICF-Einstellungen konfiguriert sind, werden mit der nächsten Aktualisierung der Gruppenrichtlinien die neuen ICF-Einstellungen heruntergeladen und auf den Computern mit Windows XP SP2 installiert. Computer, die mit Windows 2000, Windows Server 2003 oder Windows XP vor SP2 betrieben werden, ignorieren die neuen ICF-Einstellungen.
Empfohlene Konfiguration für ICF-Gruppenrichtlinieneinstellungen
Die empfohlene Konfiguration für ICF-Gruppenrichtlinieneinstellungen mit Windows XP SP2 sieht folgendermaßen aus:
| • | Betriebsmodus: Aktiviert |
| • | Zusammenführung von Benutzereinstellungen und Gruppenrichtlinieneinstellungen zulassen: Deaktiviert |
| • | Zulässige Programme definieren: Stellen Sie die ICF für die Computer, die Windows XP SP2 in Ihrem Netzwerk nutzen, auf die entsprechenden Anwendungen oder Dienste ein - wenn diese über Computerverwaltung, Server, Listener oder Peers laufen. |
| • | Dynamisch zugewiesene Ports für RPC und DCOM zulassen: Deaktiviert |
| • | Datei- und Druckerfreigabe zulassen: Diese Option sollten Sie nur aktivieren, wenn sich die Computer unter Windows XP SP2 lokale Ordner und Drucker teilen. |
| • | ICMP-Einstellungen zulassen: Diese Option sollten Sie nur aktivieren, um Diagnosewerkzeuge oder Computerverwaltungsprogramme zu nutzen, die auf ICMP basieren. |
| • | Remoteunterstützung zulassen: Diese Option sollten Sie nur aktivieren, wenn Sie die Remoteunterstützung zur Diagnose und Reparatur von Remotecomputern unter Windows XP SP2 einsetzen. |
| • | Universelles Plug & Play zulassen: Diese Option sollten Sie nur aktivieren, wenn Sie UpnP-Geräte in Ihrem Netzwerk einsetzen. |
| • | Offene Ports festlegen: Sie sollten in der ICF die TCP- und UDP-Ports freigeben, die auf den Windows XP SP2-Computern in Ihrem Netzwerk genutzt werden - für Computerverwaltung, Server, Listener oder Peer-Anwendungen, die nicht über den Dateinamen spezifiziert werden können. |
Gruppenrichtlinieneinstellungen in gemischten Windows XP-Umgebungen
In einer gemischten Windows XP-Umgebung werden Windows XP-Computer mit und ohne SP2 verwendet.
Für Computer, auf denen Windows XP SP2 noch nicht installiert ist, kann das Verhalten der ICF durch Gruppenrichtlinien nur über die Einstellung Benutzung der Internetverbindungsfirewall im DNS Domänennetzwerk verhindern Computerkonfiguration/Administrative Vorlagen/Netzwerk/Netzwerkverbindungen gesteuert werden. Diese Gruppenrichtlinieneinstellung bleibt erhalten, wenn GPOs mit neuen ICF-Einstellungen aktualisiert werden.
Computer, die unter Windows XP ohne SP2 betrieben werden, verwenden nur die Einstellung Benutzung der Internetverbindungsfirewall im DNS Domänennetzwerk verhindern.
Computer, die unter Windows XP SP2 betrieben werden, verwenden sowohl Benutzung der Internetverbindungsfirewall im DNS Domänennetzwerk verhindern als Einstellungsmöglichkeit, als auch die neue ICF-Konfiguration:
| • | Wenn die Einstellung Benutzung der Internetverbindungsfirewall im DNS Domänennetzwerk verhindern aktiviert ist, und es keine Änderungen an den Standardwerten der neuen ICF-Konfiguration gibt, ist die ICF deaktiviert, wenn eine Verbindung zu dem Netzwerk besteht, aus dem das GPO stammt. |
| • | Wenn die Einstellung Benutzung der Internetverbindungsfirewall im DNS Domänennetzwerk verhindern aktiviert ist, und es Änderungen an den Standardwerten der neuen ICF-Konfiguration gibt, dann ist die ICF aktiviert, wenn eine Verbindung zu dem Netzwerk besteht, aus dem das GPO mit den neuen Einstellungen stammt. |
Die Benutzung der ICF im Netzwerk verhindern
Wenn Sie die ICF in Ihrem gesamten Netzwerk deaktivieren möchten, und dieses aus einer Mischung von Computern mit Windows XP SP2 und Windows XP ohne SP2 besteht, dann sollten Sie die folgenden Gruppenrichtlinieneinstellungen vornehmen:
| • | Benutzung der Internetverbindungsfirewall im DNS Domänennetzwerk verhindern: Aktiviert |
| • | Domänenprofil - Betriebsmodus: Deaktiviert |
| • | Mobiles Profil - Betriebsmodus: Aktiviert |
Bereitstellung von ICF-Konfigurationen ohne Gruppenrichtlinien
Obwohl Gruppenrichtlinien die empfohlene und einfachste Methode zur Bereitstellung von ICF-Konfigurationen auf Windows XP SP2-Computern sind, gibt es Situationen, in denen Gruppenrichtlinien nicht verwendet werden bzw. nicht verwendet werden können. Eine Umgebung, die beispielsweise Windows NT 4.0-Domänen oder Arbeitsgruppen umfasst, kann Active Directory und Gruppenrichtlinien zur Verbreitung von ICF-Einstellungen im Organisationsnetzwerk nicht nutzen. Ein anderes Beispiel wäre eine Organisation, die Active Directory einsetzt, nicht aber Gruppenrichtlinien zur zentralisierten Konfiguration von Benutzer- oder Computereinstellungen.
Wenn Gruppenrichtlinien nicht benutzt werden, haben Sie folgende Möglichkeiten zur Konfiguration der ICF-Einstellungen für Computer mit Windows XP SP2:
| • | Benutzen Sie die Datei Unattend.txt zur Konfiguration der ICF während Windows XP SP2 installiert wird. |
Hinweis Die Möglichkeit zur Konfiguration der ICF-Einstellungen über Unattend.txt ist in Windows XP SP2 Beta nicht aktiviert. |
| • | Lassen Sie ein Skript laufen, das Netsh-Befehle zur Konfiguration der ICF-Einstellungen nutzt. |
| • | Lassen Sie ein angepasstes Konfigurationsprogramm laufen, das über die neuen ICF APIs die ICF konfiguriert |
Hinweis Die neuen ICF APIs sind noch nicht dokumentiert. |
Sowohl das Skript als auch das angepasste Konfigurationsprogramm können so bereitgestellt werden, dass sie bei den Benutzern auf folgende Arten ausgeführt werden:
| • | Wenn Sie eine Software zur Computerverwaltung betreiben, konfigurieren Sie diese so, dass jeder Computer mit Windows XP SP2 das Skript oder Konfigurationsprogramm herunterlädt und es ausführt beziehungsweise es aus einem Verzeichnis im Netzwerk ausführt. |
| • | Senden Sie das Skript oder Programm oder einen Link zusammen mit Anleitung zur Installation in einer E-Mail an die Benutzer von Windows XP SP2-Computern. |
| • | Verlinken Sie das Skript oder Programm von einer Webseite und geben Sie eine Anleitung zur Installation an die Benutzer von Windows XP SP2-Computern. |
Benutzer, die Skripte aus einer E-Mail oder von einer Webseite ausführen, müssen als Mitglied der lokalen Administratorgruppe angemeldet sein.
Bereitstellung von IPv6 ICF-Konfigurationen
Es gibt keine Gruppenrichtlinieneinstellungen oder Konfigurations-APIs zur Konfiguration der IPv6 ICF. Deshalb erfolgt die Bereitstellung der Konfigurationseinstellungen für die IPv6 ICF über ein Netsh-Skript, und die Verteilung des Skripts zur Ausführung durch die Benutzer über eine Computerverwaltungssoftware, E-Mail, oder eine Webseite.
Weitere Informationen über die Benutzung von Netsh zum Konfigurieren von IPv6 ICF finden Sie in Anhang C in diesem Dokument.
Anhang A: ICF-Gruppenrichtlinieneinstellungen
Dieser Anhang beschreibt die Details der ICF-Gruppenrichtlinieneinstellungen aus dem Gruppenrichtlinien-Snap-In. Sie finden die entsprechenden Einstellung unter dem folgenden Pfaden:
| • | Computerkonfiguration/Administrative Vorlagen/Netzwerk/Netzwerkverbindungen/Internetverbindungsfirewall/Domänenprofil |
| • | Computerkonfiguration/Administrative Vorlagen/Netzwerk/Netzwerkverbindungen/Internetverbindungsfirewall/Mobiles Profil |
Von dort können Sie die folgenden Gruppenrichtlinieneinstellungen vornehmen:
| • | Betriebsmodus |
| • | Zusammenführen von Benutzereinstellungen und Gruppenrichtlinieneinstellungen zulassen |
| • | Zulässige Programme definieren |
| • | Dynamisch zugewiesene Ports für RPC und DCOM zulassen |
| • | Datei- und Druckerfreigabe zulassen |
| • | ICMP-Einstellungen zulassen |
| • | Remoteunterstützung zulassen |
| • | Universelles Plug & Play zulassen |
| • | Offene Ports manuell festlegen |
Betriebsmodus
Die Betriebsmodus-Einstellung erlaubt es Ihnen, den Betriebsmodus der ICF festzulegen. Ein Beispiel für die Konfiguration des Betriebsmodus finden Sie in der folgenden Abbildung.
Sie können folgende Auswahl treffen:
| • | Nicht konfiguriert (Standard) - Der Status der ICF wird nicht verändert. Die Benutzer können die ICF aktivieren oder deaktivieren - über das Dialogfenster Internetverbindungsfirewall. |
| • | Aktiviert - Die ICF ist im festgelegten Betriebsmodus aktiviert. Die Betriebsmodi sind: |
| • | Off - Die ICF ist deaktiviert und kann nicht vom Benutzer aktiviert werden. |
| • | Protected - Die ICF ist aktiviert und erlaubt nur Netzwerkverkehr, der auf Anfrage eines Computers hin zustande kommt (solicited traffic) oder als erwünscht konfiguriert wurde (excepted traffic). |
| • | Shielded - Die ICF ist aktiviert und erlaubt nur Netzwerkverkehr, der auf Anfrage eines Computers hin zustande kommt (solicited traffic). Die Einstellungen für als erwünscht konfigurieren Netzwerkverkehr (excepted traffic) werden ignoriert. |
| • | Deaktiviert - Deaktiviert die ICF. |
Zusammenführung von Benutzereinstellungen und Gruppenrichtlinieneinstellungen zulassen
Die Einstellung Zusammenführung von Benutzereinstellungen und Gruppenrichtlinieneinstellungen zulassen wird dazu genutzt, lokale ICF-Einstellungen zuzulassen. Die folgende Abbildung zeigt ein Beispiel.
Durch das Zulassen der Zusammenführung von Benutzereinstellungen und Gruppenrichtlinieneinstellungen kann ein Administrator beispielsweise festlegen, dass einige Ports geöffnet sind und die Benutzer selbst noch Zusätzliche öffnen können. So kann der Administrator eine Domänenrichtlinie herausgeben (mit zulässigen Programmen und geöffneten Ports), aber den Benutzern gleichzeitig erlauben, ihren eigenen erwünschten Netzwerkverkehr festzulegen.
Sie können folgende Auswahl treffen:
| • | Nicht konfiguriert (Standard) |
| • | Aktiviert |
| • | Deaktiviert |
Zulässige Programme definieren
Die Einstellung Zulässige Programme definieren erlaubt es Ihnen, erwünschten Netzwerkverkehr durch das Festlegen des Dateinamens des Programms freizugeben. Die folgende Abbildung zeigt ein Beispiel.
Sie können folgende Auswahl treffen:
| • | Nicht konfiguriert (Standard) |
| • | Aktiviert |
| • | Deaktiviert |
Um eine Liste zulässiger Programme zu erstellen, klicken Sie Aktiviert und dann Zeigen. Das Dialogfenster Show Contents(Inhalte zeigen) wird geöffnet. Ein Beispiel zeigt die folgende Abbildung.
Über das Dialogfenster Inhalte zeigen können Sie zulässige Programme hinzufügen oder entfernen. Sie können ein bereits hinzugefügtes Programm nicht editieren. Um ein bereits hinzugefügtes Programm zu editieren, entfernen Sie es und fügen es mit den korrekten Parametern wieder hinzu.
Um ein neues, zulässiges Programm hinzuzufügen, klicken Sie die Schaltfläche Add (Hinzufügen). Ein Beispiel zeigt die folgende Abbildung.
Im Fenster Add Item (Eintrag hinzufügen) geben Sie die Parameter des zulässigen Programms an. Verwenden Sie dabei folgende Syntax:
Programmpfad:*|LocalSubnet:Enabled|Disabled:Anwendungsname
| • | Programmpfad |
| • | *|LocalSubnet |
| • | Enabled|Disabled |
| • | Anwendungsname |
Ein Beispiel für den Eintrag eines zulässigen Programms:
%ProgramFiles%\ExampleAppFolder\Example.exe:*:Enabled:Example Program
Hinweis: Sie können die selbe Anwendung mehrfach in die Liste der zulässigen Programme eintragen. Ein Eintrag zur Zulassung eines Programms setzt einen Eintrag zur Sperrung außer Kraft. |
Dynamisch zugewiesene Ports für RPC und DCOM zulassen
Mit der Einstellung Dynamisch zugewiesene Ports für RPC und DCOM zulassen können Sie festlegen, ob Listening-Ports für RPC- und DCOM-Netzwerkverkehr geöffnet sind. Ein Beispiel zeigt die folgende Abbildung.
Zu den Diensten, die auf RPC- und DCOM-Listening-Ports basieren, gehören unter anderem die folgenden:
| • | WMI |
| • | Gruppenrichtlinienergebnissatz |
Sie können folgende Auswahl treffen:
| • | Nicht konfiguriert (Standard) |
| • | Aktiviert |
| • | Deaktiviert |
Hinweis Weil RPC- und DCOM-Ports inzwischen zu den häufigsten Zielen für Netzwerk-Angriffe zählen, empfehlen wir Ihnen, diese Einstellung nur dann zu wählen, wenn sie absolut notwendig für wichtige Anwendungen ist. Um höchstmögliche Sicherheit zu erzielen, lesen Sie die Dokumentation der jeweiligen Anwendung und die neusten Microsoft Knowledge Base-Artikel zu den Diensten, die Sie betreiben wollen. In einigen Fällen könnte es möglich sein, dass Sie nur manuell eine geringere Zahl an Ports öffnen müssen, um Ihr Ziel zu erreichen. So können Sie die Verwundbarkeit Ihres Netzwerkes weiter verringern. |
Datei- und Druckerfreigabe zulassen
Die Einstellung Datei- und Druckerfreigabe zulassen legt fest, ob die Ports für die gemeinsame Datei- und Druckerbenutzung offen sind. Ein Beispiel zeigt die folgende Abbildung.
Sie können folgende Auswahl treffen:
| • | Nicht konfiguriert (Standard) |
| • | Aktiviert |
| • | UDP 137 |
| • | UDP 138 |
| • | TCP 139 |
| • | TCP 445 |
Wenn Sie Aktiviert wählen, müssen Sie außerdem festlegen, ob die Ports für alle Quelladressen oder nur für die des lokalen Subnetzes geöffnet werden.
| • | Deaktiviert |
ICMP-Einstellungen zulassen
Die Einstellung ICMP-Einstellungen zulassen erlaubt Ihnen die Konfiguration verschiedener Typen von ICMP-Messages als erwünschten Netzwerkverkehr. Ein Beispiel zeigt die folgende Abbildung.
Sie können folgende Auswahl treffen:
| • | Nicht konfiguriert (Standard) |
| • | Aktiviert |
| • | Deaktiviert |
Remoteunterstützung zulassen
Die Einstellung Remote-Unterstützung zulassen legt fest, ob eine nicht angeforderte Remoteunterstützung erlaubt ist. Ein Beispiel zeigt die folgende Abbildung.
Sie können folgende Auswahl treffen:
| • | Nicht konfiguriert (Standard) |
| • | Aktiviert |
| • | Stellen Sie die Gruppenrichtlinieneinstellung Zusammenführung von Benutzereinstellungen und Gruppenrichtlinieneinstellungen zulassen auf Aktiviert. Diese Einstellung erlaubt der Remoteunterstützung, alle Ports, die sie benötigt, dynamisch zu öffnen. |
| • | Wenn die Einstellung Zusammenführung von Benutzereinstellungen und Gruppenrichtlinieneinstellungen zulassen auf Nicht konfiguriert (Standard) oder auf Deaktiviert eingestellt ist, müssen Sie die Einstellung Remoteunterstützung zulassen auf Aktiviert setzen und folgende Konfiguration vornehmen: |
| • | Deaktiviert |
Universelles Plug & Play zulassen
Die Einstellung Universelles Plug & Play zulassen legt fest, ob die Ports für UPnP offen sind. Ein Beispiel zeigt die folgende Abbildung.
Sie können folgende Auswahl treffen:
| • | Nicht konfiguriert (Standard) |
| • | Aktiviert |
| • | UDP 1900 |
| • | TCP 2869 |
| • | Deaktiviert |
Offene Ports manuell festlegen
Die Einstellung Offene Ports manuell festlegen erlaubt Ihnen die Auswahl erwünschten Netzwerkverkehrs in Hinsicht auf TCP- und UDP-Ports. Die folgende Abbildung zeigt ein Beispiel.
Sie können folgende Auswahl treffen:
| • | Nicht konfiguriert (Standard) |
| • | Aktiviert |
| • | Deaktiviert |
Um die Liste der offenen Ports zu erstellen, klicken Sie auf Aktiviert und danach auf Anzeigen. Das Dialogfenster Inhalte anzeigen wird geöffnet. Ein Beispiel zeigt die folgende Abbildung:
Aus dem Dialogfenster Inhalte zeigen können Sie offene Ports hinzufügen oder entfernen. Sie können einen bereits hinzugefügten Port nicht editieren. Um einen bereits hinzugefügten Port zu editieren, entfernen Sie ihn und fügen ihn mit den korrekten Parametern wieder hinzu.
Um einen neuen offenen Port hinzuzufügen, klicken Sie die Schaltfläche Hinzufügen. Ein Beispiel zeigt die folgende Abbildung.
Geben Sie im Fenster Hinzufügen die Parameter für einen zu öffnenden Port mit folgender Syntax ein:
Port#:TCP|UDP:*|LocalSubnet:Enabled|Disabled:Portname
| • | Port# |
| • | TCP|UDP |
| • | *|LocalSubnet |
| • | Enabled|Disabled |
| • | PortName |
Ein Beispiel für einen geöffneten Port: 23:TCP:*:Enabled:Telnet
Hinweis: Sie können den selben Port mehrfach der Liste der offenen Ports hinzufügen. Ein Eintrag zur Zulassung eines Ports setzt einen Eintrag zur Sperrung außer Kraft. |
Anhang B: Netsh Befehlssyntax im Netsh-Kontext Firewall Ipv4
Die folgenden Netsh-Befehle können in Skripten oder der Befehlszeile zur Konfiguration der ICF für TCP/IP-Netzwerkverkehr über den netsh-Kontext firewall ipv4 genutzt werden:
| • | add allowedprogram |
| • | set allowedprogram |
| • | delete allowedprogram |
| • | set icmpsetting |
| • | set logging |
| • | set opmode |
| • | add portopening |
| • | set portopening |
| • | delete portopening |
| • | set service |
| • | set notifications |
| • | show |
Die folgenden Abschnitte beschreiben jeden Befehl und seine Syntax.
add allowedprogram
Wird benutzt, um erwünschten Netzwerkverkehr durch das Festlegen des Dateinamens eines Programms freizugeben.
Syntax:
add allowedprogram
[ program = ] Pfad
[ name = ] Name
[ [ mode = ] ENABLE|DISABLE
[ scope = ] ALL|SUBNET
[ profile = ] CURRENT|CORPORATE|OTHER|ALL ]
program - Der Pfad und Dateiname.
name - Leicht verständlicher Name.
mode - Der Betriebsmodus des erwünschten Netzwerkverkehrs für das Programm.
Wenn kein Modus festgelegt ist, wird ENABLE eingesetzt.
ENABLE - Von der Firewall erzwungen.
DISABLE - Nicht von der Firewall erzwungen.
scope - Der Geltungsbereich. Wenn kein Geltungsbereich festgelegt ist, wird SUBNET angenommen.
ALL - Jeder Netzwerkverkehr ist erlaubt.
SUBNET - Nur Netzwerkverkehr aus dem lokalen Subnetz ist erlaubt.
profile - Das Profil. Wenn kein Profil festgelegt ist, wird CURRENT angenommen.
CURRENT - Das aktuelle Profil.
CORPORATE - Das Unternehmensprofil (auch als Domänenprofil bekannt).
OTHER - Das andere Profil (auch als Mobiles Profil bekannt).
ALL - Alle Profile.set allowedprogram
Wird benutzt, um die Einstellungen eines existierenden zulässigen Programms zu editieren.
Syntax:
set allowedprogram
[ program = ] Pfad
[ [ name = ] Name
[ mode = ] ENABLE|DISABLE
[ scope = ] ALL|SUBNET
[ profile = ] CURRENT|CORPORATE|OTHER|ALL ]
program - Der Pfad und Dateiname.
name - Leicht verständlicher Name.
mode - Der Modus. Wenn kein Modus festgelegt ist, wird ENABLE angenommen.
ENABLE - Netzwerkverkehr ist erlaubt.
DISABLE - Netzwerkverkehr wird nicht erlaubt.
scope - Der Geltungsbereich. Wenn kein Geltungsbereich festgelegt ist, wird SUBNET angenommen.
ALL - Jeder Netzwerkverkehr ist erlaubt.
SUBNET - Nur Netzwerkverkehr aus dem lokalen Subnetz ist erlaubt.
profile - Das Profil. Wenn kein Profil festgelegt ist, wird CURRENT angenommen.
CURRENT - Das aktuelle Profil.
CORPORATE - Das Unternehmensprofil (auch als Domänenprofil bekannt).
OTHER - Das andere Profil (auch als Mobiles Profil bekannt).
ALL - Alle Profile.delete allowedprogram
Wird benutzt, um zulässiges Programm aus der Liste zu löschen.
Syntax:
delete allowedprogram
[ program = ] Pfad
[ [ profile = ] CURRENT|CORPORATE|OTHER|ALL ]
program - Der Pfad und Dateiname.
profile - Das Profil. Wenn kein Profil festgelegt ist, wird CURRENT angenommen.
CURRENT - Das aktuelle Profil.
CORPORATE - Das Unternehmensprofil (auch als Domänenprofil bekannt).
OTHER - Das andere Profil (auch als Mobiles Profil bekannt).
ALL - Alle Profile.set icmpsetting
Wird benutzt, um zulässigen ICMP-Netzwerkverkehr zu definieren.
Syntax:
set icmpsetting
[ type = ] 3-5|8|10-13|17|ALL
[ [ mode = ] ENABLE|DISABLE
[ profile = ] CURRENT|CORPORATE|OTHER|ALL
[ interface = ] Name ]
type - Der Typ.
3 - Herausgehende Meldung Ziel nicht erreichbar erlauben.
4 - Herausgehende Meldung source quench erlauben.
5 - Redirect erlauben.
8 - Hereinkommende Echo-Anfrage erlauben.
10 - Hereinkommende Router-Anfrage erlauben.
11 - Herausgehende Meldung Zeit überschritten erlauben.
12 - Herausgehende Meldung Parameterproblem erlauben.
13 - Hereinkommende Timestamp-Anfrage erlauben.
17 - Hereinkommende Masken-Anfrage erlauben.
ALL - Alle Typen.
mode - Der Modus. Wenn kein Modus festgelegt ist, wird ENABLE angenommen.
ENABLE - Netzwerkverkehr ist erlaubt.
DISABLE - Netzwerkverkehr wird nicht erlaubt.
profile - Das Profil. Wenn kein Profil festgelegt ist, wird CURRENT angenommen.
CURRENT - Das aktuelle Profil.
CORPORATE - Das Unternehmensprofil (auch als Domänenprofil bekannt).
OTHER - Das andere Profil (auch als Mobiles Profil bekannt).
ALL - Alle Profile.
interface - Leicht verständlicher Name des Interface für Netzwerkverbindungen.
HINWEIS: Die Profil- und Interfaceparameter können nicht zusammen verwendet werden.set logging
Wird benutzt, um Protokollieroptionen für die ICF global oder für eine bestimmte Verbindung (Interface) festzulegen.
Syntax:
set logging
[ [ filelocation = ] Pfad
[ maxfilesize = ] 1024-32767
[ droppedpackets = ] ENABLE|DISABLE
[ connections = ] ENABLE|DISABLE ]
filelocation - Der Pfad und Dateiname.
maxfilesize - Die maximale Größe in Bytes.
droppedpackets - Abgelehnte Pakete protokollieren.
ENABLE - Das Protokollieren abgelehnter Pakete aktivieren.
DISABLE - Das Protokollieren abgelehnter Pakete deaktivieren.
connections - Erfolgreiche Verbindungen protokollieren.
ENABLE - Das Protokollieren erfolgreicher Verbindungen aktivieren.
DISABLE - Das Protokollieren erfolgreicher Verbindungen deaktivieren.set opmode
Wird benutzt, um den Betriebsmodus der ICF global oder für eine bestimmte Verbindung (Interface) festzulegen.
Syntax:
set opmode
[ mode = ] DISABLE|ENABLE|SHIELD
[ [ profile = ] CURRENT|CORPORATE|OTHER|ALL
[ interface = ] Name ]
mode - The mode.
DISABLE - ICF deaktiviert, jeder hereinkommende Netzwerkverkehr erlaubt.
ENABLE - ICF aktiviert, nur angeforderter und erwünschter hereinkommender Netzwerkverkehr
erlaubt.
SHIELD - ICF aktiviert, nur angeforderter hereinkommender Netzwerkverkehr erlaubt.
profile - Das Profil. Wenn kein Profil festgelegt ist, wird CURRENT angenommen.
CURRENT - Das aktuelle Profil.
CORPORATE - Das Unternehmensprofil (auch als Domänenprofil bekannt).
OTHER - Das andere Profil (auch als Mobiles Profil bekannt).
ALL - Alle Profile.
interface - Leicht verständlicher Name des Interface für Netzwerkverbindungen.
HINWEIS: Die Profil- und Interfaceparameter können nicht zusammen verwendet werden.
Wenn die Interfaceparameter verwendet werden, kann SHIELD nicht verwendet werden.add portopening
Wird benutzt, um erwünschten Netzwerkverkehr durch Festlegung von TCP- oder UDP-Ports hinzuzufügen.
Syntax:
add portopening
[ protocol = ] TCP|UDP|ALL
[ port = ] 1-65535
[ name = ] Name
[ [ mode = ] ENABLE|DISABLE
[ scope = ] ALL|SUBNET
[ profile = ] CURRENT|CORPORATE|OTHER|ALL
[ interface = ] Name ]
protocol - Die Protokolle.
TCP
UDP
ALL - Alle Protokolle.
port - Der Port.
name - Leicht verständlicher Name.
mode - Der Modus. Wenn kein Modus festgelegt ist, wird ENABLE angenommen.
ENABLE - Netzwerkverkehr ist erlaubt.
DISABLE - Netzwerkverkehr wird nicht erlaubt.
scope - Der Geltungsbereich. Wenn kein Geltungsbereich festgelegt ist, wird SUBNET angenommen.
ALL - Jeder Netzwerkverkehr ist erlaubt.
SUBNET - Nur Netzwerkverkehr aus dem lokalen Subnetz ist erlaubt.
profile - Das Profil. Wenn kein Profil festgelegt ist, wird CURRENT angenommen.
CURRENT - Das aktuelle Profil.
CORPORATE - Das Unternehmensprofil (auch als Domänenprofil bekannt).
OTHER - Das andere Profil (auch als Mobiles Profil bekannt).
ALL - Alle Profile.
interface - Leicht verständlicher Name des Interface für Netzwerkverbindungen.
HINWEIS: Die Profil- und Geltungsbereichparameter können nicht verwendet werden, wenn der
Interfaceparameter bestimmt wird.set portopening
Wird benutzt, um die Einstellungen eines offenen TCP- oder UDP-Ports zu editieren.
Syntax:
set portopening
[ protocol = ] TCP|UDP|ALL
[ port = ] 1-65535
[ [ name = ] Name
[ mode = ] ENABLE|DISABLE
[ scope = ] ALL|SUBNET
[ profile = ] CURRENT|CORPORATE|OTHER|ALL
[ interface = ] Name ]
protocol - Das Protokoll.
TCP
UDP
ALL - Alle Protokolle.
port - Der Port.
name - Leicht verständlicher Name.
mode - Der Modus. Wenn kein Modus festgelegt ist, wird ENABLE angenommen.
ENABLE - Netzwerkverkehr ist erlaubt.
DISABLE - Netzwerkverkehr wird nicht erlaubt.
scope - Der Geltungsbereich. Wenn kein Geltungsbereich festgelegt ist, wird SUBNET angenommen.
ALL - Jeder Netzwerkverkehr ist erlaubt.
SUBNET - Nur Netzwerkverkehr aus dem lokalen Subnetz ist erlaubt.
profile - Das Profil. Wenn kein Profil festgelegt ist, wird CURRENT angenommen.
CURRENT - Das aktuelle Profil.
CORPORATE - Das Unternehmensprofil (auch als Domänenprofil bekannt).
OTHER - Das andere Profil (auch als Mobiles Profil bekannt).
ALL - Alle Profile.
interface - Leicht verständlicher Name des Interface für Netzwerkverbindungen.
HINWEIS: Die Profil- und Geltungsbereichparameter können nicht verwendet werden, wenn der
Interfaceparameter bestimmt wird.delete portopening
Wird benutzt, um einen bereits existierenden TCP- oder UDP-Port zu löschen.
Syntax:
delete portopening
[ protocol = ] TCP|UDP|ALL
[ port = ] 1-65535
[ [ profile = ] CURRENT|CORPORATE|OTHER|ALL
[ interface = ] Name ]
protocol - Das Protokoll.
TCP
UDP
ALL - Alle Protokolle.
port - Die Portnummer.
profile - Das Profil. Wenn kein Profil festgelegt ist, wird CURRENT angenommen.
CURRENT - Das aktuelle Profil.
CORPORATE - Das Unternehmensprofil (auch als Domänenprofil bekannt).
OTHER - Das andere Profil (auch als Mobiles Profil bekannt).
ALL - Alle Profile.
interface - Leicht verständlicher Name des Interface.
HINWEIS: Der Profilparameter kann nicht verwendet werden, wenn der Interfaceparameter bestimmt
wird.set service
Wird benutzt, um RPC- und DCOM-Netzwerkverkehr, Datei- und Druckerfreigabe, UPnP-Netzwerkverkehr zuzulassen oder zu unterbinden.
Syntax:
set service
[ type = ] FILEANDPRINT|RPCANDDCOM|UPNP|ALL
[ [ mode = ] ENABLE|DISABLE
[ scope = ] ALL|SUBNET
[ profile = ] CURRENT|CORPORATE|OTHER|ALL ]
type - The type.
FILEANDPRINT - Netzwerkverkehr durch Datei- und Druckerfreigabe.
RPCANDDCOM - RPC- und DCOM-Netzwerkverkehr.
UPNP - UPnP-Netzwerkverkehr.
ALL - Alle Typen.
mode - Der Modus. Wenn kein Modus festgelegt ist, wird ENABLE angenommen.
ENABLE - Netzwerkverkehr ist erlaubt.
DISABLE - Netzwerkverkehr wird nicht erlaubt.
scope - Der Geltungsbereich. Wenn kein Geltungsbereich festgelegt ist, wird SUBNET angenommen.
ALL - Jeder Netzwerkverkehr ist erlaubt.
SUBNET - Nur Netzwerkverkehr aus dem lokalen Subnetz ist erlaubt.
profile - Das Profil. Wenn kein Profil festgelegt ist, wird CURRENT angenommen.
CURRENT - Das aktuelle Profil.
CORPORATE - Das Unternehmensprofil (auch als Domänenprofil bekannt).
OTHER - Das andere Profil (auch als Mobiles Profil bekannt).
ALL - Alle Profile.set notifications
Wird benutzt, um festzulegen, ob der Benutzer benachrichtigt wird, wenn eine Anwendung versucht, einen Port zu öffnen.
Syntax:
set notifications
[ [ mode = ] ENABLE|DISABLE
[ profile = ] CURRENT|CORPORATE|OTHER|ALL ]
Sets the notification mode.
mode - Der Modus. Wenn kein Modus festgelegt ist, wird ENABLE angenommen.
ENABLE - Netzwerkverkehr ist erlaubt.
DISABLE - Netzwerkverkehr wird nicht erlaubt.
profile - Das Profil. Wenn kein Profil festgelegt ist, wird CURRENT angenommen.
CURRENT - Das aktuelle Profil.
CORPORATE - Das Unternehmensprofil (auch als Domänenprofil bekannt).
OTHER - Das andere Profil (auch als Mobiles Profil bekannt).
ALL - Alle Profile.show
Die folgenden show-Befehle zeigen die aktuelle Konfiguration an:
| • | show allowedprogram Zeigt die zulässigen Programme. |
| • | show config Zeigt Informationen zur lokalen Konfiguration. |
| • | show currentprofile Zeigt das aktuelle Profil. |
| • | show icmpsetting Zeigt die ICMP-Einstellungen. |
| • | show logging Zeigt die Protokolliereinstellungen. |
| • | show opmode Zeigt den Betriebsmodus. |
| • | show portopening Zeigt die offenen Ports. |
| • | show service Zeigt die Dienste. |
| • | show state Zeigt den aktuellen Status. |
| • | show notifications Zeigt die aktuellen Vorgaben für Benachrichtigungen. |
Anhang C: Netsh-Befehlssyntax im netsh-Kontext Firewall Ipv6
Die folgenden Netsh-Befehle können in Skripten oder der Befehlszeile zur Konfiguration der ICF für IPv6-Netzwerkverkehr im netsh-Kontext firewall ipv6 verwendet werden:
| • | set adapter |
| • | set globalport |
| • | set logging |
| • | show |
Die folgenden Abschnitte beschreiben jeden Befehl und seine Syntax.
set adapter
Wird benutzt, um die ICF einzurichten oder zu modifizieren für: zulässigen ICMP-Netzwerkverkehr, TCP-Ports oder UDP-Ports für spezifische IPv6-Verbindungen.
Syntax:
set adapter
name [icmp type#|all=enable|disable]
[port port#=enable|disable [name=name] [protocol=tcp|udp]]
[ignoreglobalport port#=enable|disable [name=name] [protocol=tcp|udp]]
[filtering=enable|disable]set globalport
Wird benutzt, um einen zulässigen Port für alle IPv6-Verbindungen einzurichten oder zu modifizieren.
Syntax:
set globalport
port#=enable|disable [name=name] [protocol=tcp|udp]set logging
Wird benutzt, um die Protokolliereinstellungen der ICF für IPv6-Netzwerkverkehr festzulegen.
Syntax:
set logging
[filelocation=location] [filesize=size]
[droppedpackets=enable|disable]
[successfulconnections=enable|disable]show
Die folgenden show-Befehle zeigen die aktuelle Konfiguration an:
| • | show adapter Zeigt die Netzwerkverbindungen und ob ICF-Filtering aktiviert ist. |
| • | show globalport Zeigt die globalen Porteinstellungen. |
| • | show logging Zeigt die Protokolliereinstellungen. |
Anhang D: Tools zur Problembehebung für die ICF unter Windows XP SP2
Benutzen Sie die netsh firewall ipv4 show config- und netsh firewall ipv4 show state-Befehle, um während der Problembehebung mit der ICF unter Windows XP Informationen zu erhalten.
Beispiel für einen netsh firewall ipv4 show config-Befehl:
netsh firewall ipv4show config Lokales Profil: ------------- Profil = CORPORATE Lokale Richtlinie = DISABLE Betriebsmodus = ENABLE Benachrichtigungsmodus = ENABLE Lokal zulässige Programme: Modus Subnetz Programm / Name ------------------------------- ENABLE NO %windir%\system32\usmt\migwiz.exe / Files and Settings Transfer Wizard ENABLE NO %ProgramFiles%\NetMeeting\conf.exe / NetMeeting ENABLE NO %ProgramFiles%\Messenger\msmsgs.exe / Windows Messenger Lokales Profil: ------------- Profil = OTHER (aktuell) Lokale Richtlinie = DISABLE Betriebsmodus = ENABLE Benachrichtigungsmodus = ENABLE Lokal zulässige Programme: Modus Subnetz Programm / Name ------------------------------- ENABLE NO %windir%\system32\usmt\migwiz.exe / Files and Settings Transfer Wizard ENABLE NO %ProgramFiles%\NetMeeting\conf.exe / NetMeeting ENABLE NO %ProgramFiles%\Messenger\msmsgs.exe / Windows Messenger Lokales Interface: --------------- Interface = Local Area Connection Betriebsmodus = ENABLE Lokales Interface: --------------- Interface = Local Area Connection 2 Betriebsmodus = ENABLE Lokale Protokollierung: ------------- Ort der Datei = (null) Maximale Dateigröße = 0 KB Abgelehnte Pakete = DISABLE Verbindungen = DISABLE
Beispiel für einen netsh firewall ipv4 show state-Befehl:
netsh firewall ipv4show state Effective Profil: ----------------- Profil = OTHER Betriebsmodus = ENABLE RPC und DCOM = DISABLE Benachrichtigungen = ENABLE Effektiv zulässige Programme: Lokale Richtlinie Subnetz Programm / Kompletter Pfad / Name ------------------------------------------------ YES NO %ProgramFiles%\Messenger\msmsgs.exe / G:\Program Files\Mes senger\msmsgs.exe / Windows Messenger YES NO %ProgramFiles%\NetMeeting\conf.exe / G:\Program Files\NetM eeting\conf.exe / NetMeeting YES NO %windir%\system32\usmt\migwiz.exe / G:\XP_PRO\system32\usm t\migwiz.exe / Files and Settings Transfer Wizard Effektive ICMP-Einstellungen: Modus Nummer Beschreibung ---------------------------- DISABLE 3 Herausgehende Meldung "Ziel nicht erreichbar" erlauben. DISABLE 4 Herausgehende Meldung "source quench" erlauben. DISABLE 5 Redirect erlauben. DISABLE 8 Hereinkommende Echo-Anfrage erlauben. DISABLE 10 Hereinkommende Router-Anfrage erlauben. DISABLE 11 Herausgehende Meldung "Zeit überschritten" erlauben. DISABLE 12 Herausgehende Meldung "Parameterproblem" erlauben. DISABLE 13 Hereinkommende Timestamp-Anfrage erlauben. DISABLE 17 Hereinkommende Masken-Anfrage erlauben. Effektiv offene dynamische Ports: Port Protokoll Netzprotokoll Subnetz Prozess Typ Programm ----------------------------------------------------------------- 1900 UDP IPV4 NO 1076 APP G:\XP_PRO\system32\svchos t.exe ((null))
Zusammenfassung
Dieses Dokument beschreibt die Änderungen an der Internetverbindungsfirewall (ICF) in Windows XP SP2. Weil die ICF in SP2 standardmäßig für alle Verbindungen aktiviert ist, können die Kommunikationswege beeinträchtigt werden, wenn der Windows XP SP2-Computer über die Computerverwaltung gesteuert wird, als Server fungiert, als Listener oder als Peer eingesetzt wird. Dieses Dokument beschreibt, wie Sie die ICF-Einstellungen in einem Organisations-Intranet bereitstellen - auf Computern, die mit Windows XP SP2 betrieben werden. Dazu können die neuen Gruppenrichtlinieneinstellungen, die Unattend.txt-Datei, ein Netsh-Skript oder ein manuelles Konfigurationsprogramm verwendet werden.
Zusätzliche Informationen
Aus den folgenden Quellen erhalten Sie weitere Informationen zum Thema:
| • | Windows XP Service Pack 2: A Developer's View |
| • | The Inside Scoop on Windows XP |
| • | Die neuesten Informationen über Windows XP finden Sie auf der Windows XP-Website unter /germany/windowsxp/. |
Weitere Informationen
Dies ist ein vorläufiges Dokument. Es könnte vor der endgültigen kommerziellen Veröffentlichung der hier beschriebenen Software grundlegende Änderungen erfahren.
Die in diesem Dokument enthaltenen Informationen stellen die behandelten Themen aus der Sicht der Microsoft Corporation zum Zeitpunkt der Veröffentlichung dar. Da Microsoft auf sich ändernde Marktanforderungen reagieren muss, stellt dies keine Verpflichtung seitens Microsoft dar, und Microsoft kann die Richtigkeit der hier dargelegten Informationen nach dem Zeitpunkt der Veröffentlichung nicht garantieren.
Dieses Dokument dient nur zu Informationszwecken. MICROSOFT SCHLIESST FÜR DIESES DOKUMENT JEDE GEWÄHRLEISTUNG AUS, SEI SIE AUSDRÜCKLICH ODER KONKLUDENT.
Die Benutzer/innen sind verpflichtet, sich an alle anwendbaren Urheberrechtsgesetze zu halten. Unabhängig von der Anwendbarkeit der entsprechenden Urheberrechtsgesetze darf ohne ausdrückliche schriftliche Erlaubnis der Microsoft Corporation kein Teil dieses Dokuments für irgendwelche Zwecke vervielfältigt oder in einem Datenempfangssystem gespeichert oder darin eingelesen werden, unabhängig davon, auf welche Art und Weise oder mit welchen Mitteln (elektronisch, mechanisch, durch Fotokopieren, Aufzeichnen usw.) dies geschieht.
Es ist möglich, dass Microsoft Rechte an Patenten bzw. angemeldeten Patenten, an Marken, Urheberrechten oder sonstigem geistigen Eigentum besitzt, die sich auf den fachlichen Inhalt dieses Dokuments beziehen. Das Bereitstellen dieses Dokuments gibt Ihnen jedoch keinen Anspruch auf diese Patente, Marken, Urheberrechte oder auf sonstiges geistiges Eigentum, es sei denn, dies wird ausdrücklich in den schriftlichen Lizenzverträgen von Microsoft eingeräumt.
© 2003 Microsoft Corporation. Alle Rechte vorbehalten.
Microsoft, Active Directory und Windows sind entweder eingetragene Marken oder Marken der Microsoft Corporation in den USA und/oder anderen Ländern.
Weitere in diesem Dokument aufgeführte Produkt- und Firmennamen können geschützte Marken ihrer jeweiligen Inhaber sein.<lineBreak /><lineBreak />