Verwalten von Windows XP Service Pack 2-Features mithilfe von Gruppenrichtlinien

Windows-Firewall

Veröffentlicht: 08. Jan 2004

Bei der Windows-Firewall handelt es sich um eine statusbehaftete Hostfirewall. Sie soll unerwünschten eingehenden Datenverkehr unterbinden, der mit einer dynamischen oder konfigurierten Ausnahme nicht übereinstimmt. Eine statusbehaftete Firewall verfolgt den Status von Netzwerkverbindungen. Sie überwacht den vom Host gesendeten Datenverkehr und fügt Ausnahmen dynamisch hinzu, damit die Antworten auf den gesendeten Datenverkehr zulässig sind. Die von der Windows-Firewall verfolgten Statusparameter umfassen unter anderem Quell- und Zieladressen sowie die TCP- und UPD-Portnummern.

Dieses Verhalten der Windows-Firewall bietet Schutz vor unberechtigten Benutzern und bösartigen Programmen, die unerwünschten eingehenden Datenverkehr für Angriffe auf Computer nutzen. Mit Ausnahme einiger ICMP-Meldungen (Internet Control Message Protocol) blockiert die Windows-Firewall keinen ausgehenden Datenverkehr.

Die Windows-Firewall als Ersatz für Internet Connection Firewall (ICF – Internetverbindungsfirewall) in Windows XP mit Service Pack 1 und Windows XP ohne installierte Service Packs ist in SP2 standardmäßig aktiviert. Dies bedeutet, dass die Windows-Firewall bei allen Verbindungen eines Computers unter Windows XP mit SP2 aktiviert ist, darunter LAN-Verbindungen (verkabelt und drahtlos), DFÜ- und VPN-Verbindungen (Virtual Private Network). Bei neuen Verbindungen ist die Windows-Firewall ebenfalls standardmäßig aktiviert.

Wenn keine Ausnahmen konfiguriert werden, sperrt die Windows-Firewall den Datenverkehr für Server-, Peer- oder Listeneranwendungen und –dienste. Deshalb werden Sie die Windows-Firewall wahrscheinlich für Ausnahmen konfigurieren, um sicherzustellen, dass sie in Ihrer Umgebung entsprechend funktioniert. Die Windows-Firewalleinstellungen sind nur für die Computerkonfiguration verfügbar und befinden sich unter Computerkonfiguration\Administrative Vorlagen\Netzwerk\Netzwerkverbindungen\Windows-Firewall.

Identische Richtlinieneinstellungen, die in Tabelle 2 aufgeführt sind, stehen in zwei Profilen zur Verfügung:

Domänenprofil: Wird verwendet, wenn Computer mit einem Netzwerk verbunden sind, das die Active Directory-Domäne Ihres Unternehmens enthält.

Standardprofil: Wird verwendet, wenn Computer nicht mit einem Netzwerk verbunden sind, das die Active Directory-Domäne Ihres Unternehmen enthält, z. B. einem Heimnetzwerk oder dem Internet.

Tabelle 2   Gruppenrichtlinieneinstellungen für die Windows-Firewall

RichtlinieneinstellungBeschreibung

Windows-Firewall: Alle Netzwerkverbindungen schützen

Aktiviert die Windows-Firewall. Die Standardeinstellung lautet Nicht konfiguriert.

Windows-Firewall: Keine Ausnahmen zulassen

Gibt an, dass die Windows-Firewall alle unerwünschten eingehenden Nachrichten, einschließlich konfigurierter Ausnahmen, sperrt. Diese Richtlinieneinstellung setzt sämtliche konfigurierten Ausnahmen außer Kraft. Die Standardeinstellung lautet Nicht konfiguriert.

Windows-Firewall: Programmausnahmen festlegen

Ermöglicht es Ihnen, die durch die Gruppenrichtlinie definierten Programmausnahmen anzuzeigen und zu ändern. Bei der Windows-Firewall werden zwei Programmausnahmelisten verwendet: eine Liste wird durch die Gruppenrichtlinieneinstellungen definiert und die andere durch die Windows-Firewallkomponente in der Systemsteuerung. Die Standardeinstellung lautet Nicht konfiguriert.

Windows-Firewall: Ausnahmen für lokale Programme zulassen

Ermöglicht es lokalen Administratoren, eine lokale Programmausnahmeliste über die Windows-Firewallkomponente in der Systemsteuerung zu definieren. Die Standardeinstellung lautet Nicht konfiguriert.

Windows-Firewall: Remoteverwaltungsausnahme zulassen.

Ermöglicht die Remoteverwaltung des Computers mithilfe von Verwaltungstools, wie z. B. Microsoft Management Console (MMC) und Windows Management Instrumentation (WMI). Zu diesem Zweck öffnet die Windows-Firewall die TCP-Ports 135 und 445. Diese Ports werden normalerweise von Diensten für die Kommunikation über RPC und DCOM verwendet.

Die Standardeinstellung lautet Nicht konfiguriert.

Windows-Firewall: Ausnahme für Datei- und Druckerfreigabe zulassen

Ermöglicht die gemeinsame Nutzung von Dateien und Druckern. Zu diesem Zweck öffnet die Windows-Firewall die UDP-Ports 137 und 138 sowie die TCP-Ports 139 und 445. Die Standardeinstellung lautet Nicht konfiguriert.

Windows-Firewall: ICMP-Ausnahmen zulassen

Definiert die zugelassenen ICMP-Meldungstypen (Internet Control Message Protocol). Hilfsprogramme und Dienste ermitteln anhand von ICMP-Meldungen den Status anderer Computer. Die Standardeinstellung lautet Nicht konfiguriert.

Windows-Firewall: Remotedesktopausnahme zulassen

Ermöglicht es dem Computer, Remotedesktopanforderungen zu empfangen. Zu diesem Zweck öffnet die Windows-Firewall TCP-Port 3389. Die Standardeinstellung lautet Nicht konfiguriert.

Windows-Firewall: UPnP-Framework-Ausnahme zulassen

Ermöglicht es dem Computer, unerwünschte Plug&Play-Meldungen zu empfangen, die von Netzwerkgeräten, wie z. B. Routern mit integrierten Firewalls, gesendet wurden. Zu diesem Zweck öffnet die Windows-Firewall TCP-Port 2869 und UDP-Port 1900. Die Standardeinstellung lautet Nicht konfiguriert.

Windows-Firewall: Benachrichtigungen nicht zulassen

Verhindert, dass die Windows-Firewall dem Benutzer Benachrichtigungen anzeigt, wenn sie von einem Programm aufgefordert wird, dieses der Programmausnahmeliste hinzuzufügen. Die Standardeinstellung lautet Nicht konfiguriert.

Windows-Firewall: Protokollierung zulassen

Ermöglicht es der Windows-Firewall, Informationen zu erfolgreichen Verbindungen und den unerwünschten eingehenden Nachrichten, die sie empfängt, aufzuzeichnen. Die Standardeinstellung lautet Nicht konfiguriert.

Windows-Firewall: Unicastantwort auf Multicast- oder Broadcastanforderungen nicht zulassen

Verhindert, dass der Computer Unicastantworten auf seine ausgehenden Multicast- oder Broadcastanforderungen empfängt. Die Standardeinstellung lautet Nicht konfiguriert.

Windows-Firewall: Portausnahmen festlegen

Ermöglicht es Ihnen, die von der Gruppenrichtlinie definierten Portausnahmen anzuzeigen und zu ändern. Die Windows-Firewall verwendet zwei Portausnahmelisten: eine Liste wird durch die Gruppenrichtlinieneinstellungen definiert und die andere durch die Windows-Firewallkomponente in der Systemsteuerung. Die Standardeinstellung lautet Nicht konfiguriert.

Windows-Firewall: Ausnahmen für lokale Ports zulassen

Ermöglicht es Administratoren, eine lokale Portausnahmeliste über die Windows-Firewallkomponente in der Systemsteuerung zu definieren. Die Windows-Firewall verwendet zwei Portausnahmelisten; die andere Liste wird durch die Richtlinieneinstellung Windows-Firewall: Portausnahmen festlegen definiert. Die Standardeinstellung lautet Nicht konfiguriert.

Außerdem steht die folgende Richtlinieneinstellung, getrennt von Domänen- und Standardprofilen, zur Verfügung.

Windows-Firewall: Authentifizierte IPSec durchlassen Ermöglicht es, dass IPSec-geschützter Datenverkehr die Windows-Firewall umgeht. Wenn Sie diese Richtlinieneinstellung aktivieren, müssen Sie eine Sicherheitsbeschreibung mit einer Liste von Computern oder Computergruppen eingeben. Die Standardeinstellung lautet Nicht konfiguriert.

Vollständige Beschreibungen jeder Richtlinieneinstellung für die Windows-Firewall, einschließlich der Registrierungspfade, finden Sie in der "Group Policy Settings Reference" auf der Microsoft Download Center-Website unter http://go.microsoft.com/fwlink/?linkid=22031 (nur auf Englisch verfügbar). Am einfachsten können Sie die einzelnen Einstellungen in der Kalkulationstabelle finden, indem Sie das Arbeitsblatt All öffnen und nach "Windows-Firewall" suchen.

Vollständige Details zum Konfigurieren der Windows-Firewalleinstellungen auf Computern unter Windows XP mit SP2 finden Sie unter "Deploying Windows Firewall Settings for Microsoft Windows XP with Service Pack 2" auf der Microsoft Download Center-Website unter http://go.microsoft.com/fwlink/?LinkId=23277 (nur auf Englisch verfügbar).

Bereitstellung der Richtlinieneinstellungen für die Windows-Firewall im Überblick

Dieser Abschnitt soll Ihnen helfen zu ermitteln, welche Richtlinieneinstellungen für Ihre Umgebung verwendet werden müssen. Als Gruppenrichtlinienadministrator müssen Sie zuerst entscheiden, ob die Firewall über die Gruppenrichtlinie deaktiviert werden soll (wird nur dann empfohlen, wenn bereits eine Hostfirewall eines Drittanbieters aktiviert ist). Wenn die Windows-Firewall verwendet wird, müssen Sie Richtlinieneinstellungen sowohl für die Domänen- als auch für die Standardprofile beurteilen. Es wird empfohlen, die Firewall für beide Profile zu aktivieren. In der Regel kann das Domänenprofil weniger restriktiv sein, um Ausnahmen für bestimmte Arten von Datenverkehr in Unternehmen zuzulassen. Das Standardprofil dagegen kann restriktiver sein, um Computer, wie z. B. Laptops, zu schützen, die für Bedrohungen aus dem Internet anfällig sind. Außerdem müssen Sie alle Programm- oder Portausnahmen beurteilen, um sicherzustellen, dass die Anwendungen oder Hilfsprogramme einwandfrei funktionieren. Diese Entscheidungen werden im folgenden Diagramm dargestellt.

mangxp04.gif

Durch Deaktivieren von Windows-Firewall: Alle Netzwerkverbindungen schützen wird die Firewall deaktiviert und so verhindert, dass sie von lokalen Administratoren über die Systemsteuerung aktiviert wird. Normalerweise können sowohl die Windows-Firewall als auch Firewalls von Drittanbietern zusammen verwendet werden, wobei aber für beide Firewalls Ausnahmen konfiguriert werden müssten. Die Beibehaltung von zwei Firewalls ist mit zusätzlichem Verwaltungsaufwand verbunden und erhöht keineswegs Ihre Sicherheit.

Obwohl die Windows-Firewall in SP2 standardmäßig aktiviert ist, wird durch ihre explizite Aktivierung über die Gruppenrichtlinie (Windows-Firewall: Alle Netzwerkverbindungen schützen aktivieren) verhindert, dass sie von lokalen Administratoren über die Windows-Firewallkomponente in der Systemsteuerung deaktiviert wird. Durch Aktivierung dieser Richtlinieneinstellung wird außerdem eine frühere Richtlinieneinstellung außer Kraft gesetzt, die in Windows XP mit SP1 und Windows XP ohne installierte Service Packs zur Verfügung stand: Verwendung des Internetverbindungsfirewalls im eigenen DNS-Domänennetzwerk nicht zulassen (in Computerkonfiguration\Administrative Vorlagen\Netzwerk\Netzwerkverbindungen).

Unabhängig davon, ob Sie die Firewall explizit über diese Richtlinieneinstellung aktivieren oder ob Sie die Aktivierung standardmäßig beibehalten (indem Sie Windows-Firewall: Alle Netzwerkverbindungen schützten nicht konfigurieren), müssen Sie eventuelle Programm- oder Portausnahmen beurteilen. Diese Entscheidungen werden im folgenden Diagramm dargestellt.

mangxp05_big.gif
Bild maximieren

Bei der Beurteilung von Ausnahmen bei Richtlinieneinstellungen muss zunächst entschieden werden, ob Ausnahmen überhaupt zugelassen werden sollen. In den meisten Unternehmen müssen wahrscheinlich einige Ausnahmen zugelassen werden, damit alle Anwendungen oder Hilfsprogramme weiterhin ausgeführt werden können. Nachdem Sie die eingesetzten Anwendungen und Hilfsprogramme auf Kompatibilität mit der Windows-Firewall getestet haben, entscheiden Sie sich jedoch möglicherweise, keine Ausnahmen zuzulassen, und aktivieren einfach Windows-Firewall: Keine Ausnahmen zulassen.

Falls es aber nach den Tests klar ist, dass Ausnahmen zugelassen werden müssen, wird empfohlen, zunächst Ausnahmen für Programme zu aktivieren, indem Sie Windows-Firewall: Programmausnahmen festlegen konfigurieren. Auf diese Weise erlaubt die Richtlinieneinstellung das Öffnen von Ports nur dann, wenn die Anwendung verwendet wird, statt die Ports ständig geöffnet zu lassen – unabhängig davon, ob die Anwendung verwendet oder nicht verwendet wird. Bei Bedarf können Sie Windows-Firewall: Portausnahmen festlegen konfigurieren. Dabei müssen Sie die erforderlichen Ports definieren.

Als Nächstes müssen Sie entscheiden, wie viel Freiheit Sie den Benutzern gewähren möchten, die an ihren Computern als lokale Administratoren angemeldet sind. Lokalen Administratoren kann es gestattet werden, die Windows-Firewall über die Windows-Firewallkomponente in der Systemsteuerung zu konfigurieren. Dies ist im folgenden Diagramm dargestellt.

mangxp06.gif

Wenn Sie diese Richtlinieneinstellungen nicht konfigurieren, hängt die Möglichkeit lokaler Administratoren zum Definieren dieser Ausnahmen davon ab, wie andere Richtlinieneinstellungen von Ihnen festgelegt werden.

Windows-Firewall: Programmausnahmen festlegen: Wenn diese Richtlinieneinstellung nicht konfiguriert ist, können Administratoren eine lokale Programmausnahmeliste definieren. Wenn sie aktiviert oder deaktiviert ist, können Administratoren keine derartige Liste definieren.

Windows-Firewall: Portausnahmen festlegen: Wenn diese Richtlinieneinstellung nicht konfiguriert ist, können Administratoren eine lokale Portausnahmeliste definieren. Wenn sie aktiviert oder deaktiviert ist, können Administratoren keine derartige Liste definieren.

Nun beurteilen Sie alle zusätzlichen spezifischen Ausnahmen, die bei der Windows-Firewall gestattet werden sollen. Diese Matrix wird im folgenden Diagramm dargestellt.

mangxp07_big.gif
Bild maximieren

Wenn Sie eine dieser Ausnahmen gestatten, werden die Computer in Ihrem Unternehmen möglicherweise anfälliger für Netzwerkangriffe. Deshalb müssen Sie Ihre Anforderungen und Ihren Sicherheitsbedarf sorgsam gegeneinander abwägen.

Wenn Sie Remote-RSoP-Funktionen in der Gruppenrichtlinien-Verwaltungskonsole oder im RSoP-Snap-In verwenden möchten, müssen Sie Windows-Firewall: Remoteverwaltungsausnahme zulassen aktivieren, wie weiter oben erläutert wurde. Berücksichtigen Sie beim Aktivieren dieser Richtlinieneinstellung unbedingt das zusätzliche Sicherheitsrisiko.

Weiterhin müssen Sie bei den einzelnen Szenarien beurteilen, ob Sie es den lokalen Administratoren ermöglichen möchten, die eine oder andere dieser Richtlinieneinstellungen auf dem eigenen Computer festzulegen. Dies wird im folgenden Diagramm dargestellt. Durch Deaktivierung einer der Ausnahmen über Richtlinieneinstellungen werden lokale Administratoren daran gehindert, diese Einstellungen zu ändern.

mangxp08.gif

Zusätzliche Richtlinieneinstellungen für die Windows-Firewall

Und schließlich gibt es zusätzliche Richtlinieneinstellungen, die Sie möglicherweise konfigurieren möchten.

Windows-Firewall: Benachrichtigungen nicht zulassen: Diese Richtlinieneinstellung verhindert, dass die Windows-Firewall dem Benutzer Benachrichtigungen anzeigt, wenn sie von einem Programm aufgefordert wird, dieses der Programmausnahmeliste hinzuzufügen. Es wird empfohlen, diese Einstellung zu deaktivieren, damit Benachrichtigungen angezeigt werden können. Wenn die lokalen Administratoren selbst wählen sollen, wie diese Option zu verwenden ist, behalten Sie die Richtlinieneinstellung Nicht konfiguriert bei. Falls Sie Windows-Firewall: Keine Ausnahmen zulassen aktiviert haben, werden keine Benachrichtigungen angezeigt.

Windows-Firewall: Protokollierung zulassen: Diese Richtlinieneinstellung ermöglicht es der Windows-Firewall, Informationen zu den unerwünschten eingehenden Nachrichten, die sie empfängt, aufzuzeichnen. Es wird empfohlen, diese Einstellung zu aktivieren und einen Wert für die maximale Protokolldateigröße festzulegen, damit das Protokoll ggf. problemlos per E-Mail an den Helpdesksupport gesendet werden kann.

Windows-Firewall: Unicastantwort auf Multicast- oder Broadcastanforderungen nicht zulassen: Diese Richtlinieneinstellung verhindert, dass der Computer Unicastantworten auf seine ausgehenden Multicast- oder Broadcastanforderungen empfängt. Es wird empfohlen, diese Einstellung zu deaktivieren. Wenn die lokalen Administratoren selbst wählen sollen, wie diese Option zu verwenden ist, behalten Sie die Richtlinieneinstellung Nicht konfiguriert bei.

Zusätzliche Informationen zu Netzwerksicherheit und Risikobewertung finden Sie unter "Security Policy, Assessment, and Vulnerability Analysis" auf der Microsoft-Website unter http://go.microsoft.com/fwlink/?LinkId=33542.

Weitere Informationen

Weitere Informationen zur Bereitstellung der Windows-Firewall finden Sie unter "Deploying Windows Firewall Settings for Microsoft Windows XP with Service Pack 2" auf der Microsoft Download Center-Website unter http://go.microsoft.com/fwlink/?LinkId=23277 (nur auf Englisch verfügbar).

Vollständige Beschreibungen jeder Richtlinieneinstellung für die Windows-Firewall, einschließlich der Registrierungspfade, finden Sie in der "Group Policy Settings Reference" auf der Microsoft Download Center-Website unter http://go.microsoft.com/fwlink/?linkid=22031 (nur auf Englisch verfügbar). Am einfachsten können Sie die einzelnen Einstellungen in der Kalkulationstabelle finden, indem Sie das Arbeitsblatt auf der Registerkarte All oder System.adm öffnen und nach "Windows-Firewall" suchen.


**
**