The Cable Guy - Januar 2006
Die neue Windows-Firewall in Windows Vista und Windows Server 'Longhorn'
Von The Cable Guy
Alle auf Deutsch verfügbaren Cable Guy-Kolumnen finden Sie unter http://www.microsoft.com/germany/technet/community/columns/cableguy/cgarch.mspx.
Mit der December Community Technology Preview (CTP)-Version von Microsoft Windows Vista (zurzeit im Betatest) und Windows Server "Longhorn" (zurzeit im Betatest) wurde auch die neue und erweiterte Version der Windows Firewall vorgestellt.
Auf dieser Seite
 | Einleitung |
| Verbesserungen in der neuen Windows Firewall |
| Konfiguration der Windows Firewall mit dem "Advanced Security-Snap-In |
| Zusätzliche Informationen |
Einleitung
Genau wie die aktuelle Windows Firewall in Windows XP Service Pack 2 (SP2) und Windows Server 2003 Service Pack 1 (SP1) handelt es sich auch bei der Windows Firewall um eine Host-Firewall, mit der Netzwerkverkehr blockiert werden kann. Anwendungen sind so vor böswilligen Benutzern und Programmen im Netzwerk geschützt.
Verbesserungen in der neuen Windows Firewall
Die neue Windows Firewall von Windows Vista und Windows Server "Longhorn" wurde gegenüber der aktuellen Windows Firewall in Windows XP SP2 und Windows Server 2003 SP1 in den folgenden Bereichen verbessert:
| • | Sie unterstützt eingehenden und ausgehenden Netzwerkverkehr. |
| • | Es gibt ein neues Snap-In für die Microsoft Management Console (MMC). |
| • | Es wurden Einstellungen für die Firewall-Filterung und für IPsec (Internet Protocol Security) integriert. |
| • | Ausnahmen können jetzt für Active Directory-Konten und -Gruppen, für Quell- und Ziel-IP-Adressen, für IP-Protokollnummern, für Quell- und Ziel-TCP- und UDP-Ports, für alle oder bestimmte TCP- und UDP-Ports, für bestimmte Schnittstellen, für bestimmte Dienste und für ICMP- und ICMPv6-Netzwerkverkehr konfiguriert werden. |
Unterstützung von eingehendem und ausgehendem Netzwerkverkehr
Die neue Windows Firewall kann jeglichen eingehenden Netzwerkverkehr, der nicht als Antwort auf eine Anfrage vom Computer aus eingeht oder für den keine Ausnahme konfiguriert wurde, verwerfen (unverlangt eingehender Netzwerkverkehr). Dieses Feature ist das wichtigste bei einer Firewall. Es sorgt dafür, dass der Computer nicht durch Viren und Würmer infiziert wird.
Die neue Windows Firewall unterstützt jedoch auch ausgehenden Netzwerkverkehr. Ein Netzwerkadministrator kann zum Beispiel Ausnahmen konfigurieren, die alle an bestimmte Ports gesendete Pakete blockieren (zum Beispiel Ports, die durch Viren verwendet werden, oder bestimmte Adressen, in denen sensible oder nicht erwünschte Informationen enthalten sind).
Standardmäßig verhält sich die neue Windows Firewall folgendermaßen:
| • | Sie blockiert jeglichen eingehenden Netzwerkverkehr - es sei denn, er geht auf Anfrage ein oder eine Ausnahme ist konfiguriert. |
| • | Sie lässt ausgehenden Netzwerkverkehr zu, solange auf diesen keine konfigurierte Ausnahme zutrifft. |
Neues MMC-Snap-In
Im Moment wird die Windows Firewall über ein Windows Firewall-Icon in der Systemsteuerung und über diverse Gruppenrichtlinieneinstellungen konfiguriert (weitere Informationen zu diesem Thema finden Sie unter Manuelle Konfiguration der Internet Connection Firewall in Windows XP Service Pack 2).
Auch die neue Windows Firewall können Sie über das Windows Firewall-Icon in der Systemsteuerung konfigurieren - es bietet die gleichen Konfigurationsoptionen wie die aktuelle Windows Firewall. Die erweiterten Features können Sie über diesen Weg jedoch nicht bearbeiten.
Die neue Windows Firewall können Sie jedoch zusätzlich über das neue Snap-In konfigurieren. Der Vorteil des Snap-Ins liegt darin, dass Sie die lokale Konfiguration und die Gruppenrichtlinien-Konfigurationseinstellungen über das gleiche Snap-In bearbeiten können. Das neue Snap-in heißt "Windows Firewall with Advanced Security". In den Betaversionen von Windows Vista und Windows Server "Longhorn" müssen Sie das Snap-In noch manuell zu einer MMC-Konsole hinzufügen - es gibt im Startmenü unter Verwaltung noch keinen entsprechenden Eintrag.
Mit dem neuen Snap-In haben Netzwerkadministratoren die Möglichkeit, Einstellungen auf Remotecomputern zu konfigurieren. Dies ist mit der aktuellen Firewall ohne eine Remotedesktopverbindung nicht möglich.
Für die Konfiguration über die Kommandozeile steht Ihnen der Kontext netsh advfirewall zur Verfügung, den es unter Windows XP mit SP2 oder Windows Server 2003 mit SP1 noch nicht gibt.
Die Gruppenrichtlinieneinstellungen finden Sie unter Computerkonfiguration/Windows-Einstellungen/Sicherheitseinstellungen/Windows Firewall. Die Firewall wendet alle für die momentane Firewall unter Computerkonfiguration\Administrative Vorlagen\Netzwerk\Netzwerkverbindungen\Windows Firewall konfigurierten Einstellungen an. Computer unter Windows XP mit SP2 oder Windows Server "Longhorn” ignorieren die Gruppenrichtlinieneinstellungen der neuen Windows Firewall einfach.
Anmerkung: In den Betaversionen von Windows Vista und Windows Server "Longhorn” können Sie die mit dem Snap-In erstellten Ausnahmen nicht über das Windows Firewall-Icon in der Systemsteuerung anzeigen lassen.
Integration von Firewall- und IPsec-Einstellungen
IPsec ist eine Sammlung von Internetstandards, die für einen kryptografischen Schutz von IP-Netzwerkverkehr sorgt. Unter Windows XP und Windows Server 2003 werden Windows Firewall und IPsec getrennt konfiguriert. Da jedoch beide Komponenten eingehenden Netzwerkverkehr blockieren und zulassen können, kann es zu Überlappungen oder gegensätzlichen Konfigurationen kommen. Die neue Windows Firewall kombiniert die Konfiguration dieser beiden Netzwerkdienste über ein Snap-In beziehungsweise einen Kommandozeilenkontext. Ein weiterer Vorteil der Integration von Firewall und IPSec ist, dass die Konfiguration von IPSec-Einstellungen deutlich vereinfacht wird. Weitere Informationen zu diesem Thema finden Sie im Abschnitt "Konfiguration der Windows Firewall mit dem "Advanced Security-Snap-In" weiter unten in diesem Artikel.
Ausnahmen können für Active Directory-Konten und -Gruppen konfiguriert werden
In der Ausnahmenliste für den durch IPSec geschützten eingehenden oder ausgehenden Netzwerkverkehr können Sie eine Liste mit Computerkonten, Gruppen oder Benutzerkonten angeben, die eine solche Kommunikation initiieren dürfen. Sie können zum Beispiel festlegen, dass Netzwerkverkehr zu bestimmten Servern mit sensiblen Daten geschützt sein muss.
Ausnahmen können für Quell- und Ziel-IP-Adressen konfiguriert werden
Mit der aktuellen Windows Firewall können Sie einen Ausnahmenbereich für den eingehenden Netzwerkverkehr definieren. Der Bereich legt fest, aus welchem Teil des Netzwerkes eingehender Netzwerkverkehr erlaubt ist (über IPv4- und IPv6-IP-Adressen). Mit der neuen Windows Firewall können Sie die Art des zugelassenen und blockierten Netzwerkverkehrs genauer festlegen. Wenn ein Computer mit einer bestimmten IP-Adresse zum Beispiel keinen Netzwerkverkehr an eine Gruppe von Servern senden darf, dann können Sie eine Blockierung für ausgehenden Netzwerkverkehr erstellen. In dieser geben Sie als Quelladresse die lokale Adresse und als Zieladresse die Adressen der Server an.
Als Zieladressen stehen Ihnen unter anderem die folgenden vordefinierten Adressen zur Verfügung:
| • | Standardgateway, WINS-Server, DHCP-Server, DNS-Server - Diese vordefinierten Adressen werden dynamisch anhand der aktuellen Konfiguration des Hosts zugewiesen. |
| • | Lokales Subnet - Diese vordefinierten Adressen ergeben sich durch die IPv4-Adresse und -Subnetzmaske oder dem Prefix des lokalen IPv6-Subnetzes des Hosts. |
Ausnahmen können für IP-Protokollnummern konfiguriert werden
In der aktuellen Windows Firewall können Sie Ausnahmen für TCP- und UDP-Netzwerkverkehr festlegen. Sie können jedoch keine anderen Protokollarten verwenden. Mit der neuen Windows Firewall können Sie das Protokoll über seinen Namen auswählen oder den entsprechenden Wert aus dem Feld "IPv4 Protocol" oder "IPv6 Next Header" verwenden.
Ausnahmen können für TCP und UDP und für Quell- und Zielports konfiguriert werden
Mit der aktuellen Windows Firewall können Sie TCP- oder UDP-Zielports für den eingehenden Netzwerkverkehr festlegen. Mit der neuen Windows Firewall können Sie nun Quell- und Zielports sowohl für den eingehenden als auch für den ausgehenden Netzwerkverkehr definieren. Wenn Sie zum Beispiel Netzwerkverkehr für einen bestimmten Bereich von TCP-Ports blockieren möchten, dann erstellen Sie Ausnahmen für eingehenden und ausgehenden Netzwerkverkehr. Dort geben Sie den entsprechenden TCP-Quell- und -Zielport an.
Ausnahmen können für alle oder bestimmte Ports konfiguriert werden
Mit der aktuellen Windows Firewall können Sie bei portbasierten Ausnahmen nur einen einzelnen TCP- oder UDP-Port angeben. Bei der neuen Windows Firewall können Sie entweder alle Ports festlegen (um den gesamten Netzwerkverkehr zu erfassen) oder eine kommagetrennte Liste mit mehreren Ports. Hierbei müssen Sie alle Ports aus dem entsprechenden Bereich angeben. Wenn Sie zum Beispiel alle Ports von 1090 bis 1095 abdecken möchten, dann muss die Konfiguration so aussehen: 1090,1091,1092,1093,1094,1095.
Ausnahmen können für bestimmten Schnittstellentypen konfiguriert werden
Mit der aktuellen Windows Firewall werden alle Ausnahmen auf alle Schnittstellen mit aktivierter Firewall angewandt. Bei der neuen Windows Firewall können Sie festlegen, auf welche Schnittstellen oder Schnittstellentypen welche Ausnahmen angewandt werden (zu den Schnittstellentypen gehören zum Beispiel LAN, RAS und WLAN). Wenn eine Anwendung zum Beispiel nur über RAS genutzt wird, dann können Sie eine Ausnahme konfigurieren, die nur für RAS-Verbindungen gilt.
Ausnahmen können für bestimmten ICMP- und ICMPv6-Netzwerkverkehr konfiguriert werden
Mit der aktuellen Windows Firewall können Sie Ausnahmen für vordefinierte ICMP- und ICMPv6-Nachrichten aktivieren. Bei der neuen Windows Firewall gibt es zwar auch vordefinierte Nachrichtentypen, Sie können jedoch selbst neue Nachrichtentypen hinzufügen.
Ausnahmen können für Dienste konfiguriert werden
Mit der aktuellen Windows Firewall müssen Sie bei der Erstellung einer Ausnahme für einen Dienst den Pfad zur Programmdatei und den Dateinamen angeben. Mit der neuen Windows Firewall können Sie Ausnahmen für jeden Prozess, nur für Dienste, für bestimmte Dienste (über den Namen des Dienste) oder für einen Dienst über dessen Kurznamen festlegen. Wenn Sie zum Beispiel eine Ausnahme konfigurieren wollen, die für den Computersuchdienst gilt, dann können Sie den Computersuchdienst einfach aus der entsprechenden Liste auswählen.
Konfiguration der Windows Firewall mit dem "Advanced Security-Snap-In
Um die erweiterten Einstellungen der neuen Windows Firewall zu konfigurieren, müssen Sie das entsprechende Snap-In einer MMC-Konsole hinzufügen:
1. | Klicken Sie auf Start, geben Sie mmc ein, und drücken Sie die EINGABETASTE. |
2. | Klicken Sie in der MMC-Konsole auf File und dann auf Add/Remove Snap-in. |
3. | Klicken Sie in der Liste Available snap-ins auf Windows Firewall with Advanced Security und auf Add. |
4. | Wählen Sie den lokalen Computer aus, und klicken Sie auf Finish. Dann klicken Sie auf OK. |
Die folgende Abbildung zeigt ein Beispiel des neuen Snap-Ins:
Um den Status der Windows Firewall zu ändern oder Einstellungen vorzunehmen (zum Beispiel Protokolleinstellungen oder IPSec-Einstellungen), klicken Sie auf der linken Seite mit rechts auf Windows Firewall with Advanced Security und dann auf Properties. Das folgende Dialogfenster wird angezeigt:
Auf der linken Seite im Snap-In finden Sie die folgenden Unterpunkte:
1. | Inbound Exceptions: Hier werden die konfigurierten Ausnahmen für den eingehenden Netzwerkverkehr angezeigt. |
2. | Outbound Exceptions: Hier werden die konfigurierten Ausnahmen für den ausgehenden Netzwerkverkehr angezeigt. |
3. | Computer Connection Security: Hier werden die Regeln für den geschützten Netzwerkverkehr angezeigt. |
4. | Monitoring: Hier werden Informationen zu den aktuellen Ausnahmen, den Sicherheitsregeln der Verbindungen und den Sicherheitszuordnungen angezeigt. Innerhalb des Gruppenrichtlinieneditors wird dieser Unterpunkt nicht angezeigt. |
Unter "Windows Firewall with Advanced Security" finden Sie die folgenden Unterpunkte:
1. | Overview: Zeigt den aktuellen Status der Windows Firewall für Domänenprofile und Standardprofile an (inklusive des aktiven Profils). |
2. | Getting Started: Grundlegende Informationen zu den Funktionen der neuen Windows Firewall (inklusive Links zu den verschiedenen Unterpunkten). |
3. | Links and Resources: Links zu zusätzlichen Informationen, zu häufig auftretenden Aufgaben und Verfahren im Zusammenhang mit der neuen Windows Firewall. |
Im Actions-Bereich finden Sie die möglichen Aufgaben für den Punkt, der links oder im Detailbereich ausgewählt ist.
Die Konfiguration der Windows Firewall setzt sich aus den folgenden Elementen zusammen:
1. | Ausnahmen für eingehenden Netzwerkverkehr. |
2. | Ausnahmen für ausgehenden Netzwerkverkehr. |
3. | Sicherheitsregel. |
Konfigurieren einer Ausnahme für eingehenden Netzwerkverkehr
Klicken Sie auf der linken Seite mit rechts auf Inbound Exceptions und dann auf New Exception. Alternativ klicken Sie links auf Inbound Exceptions und dann im Actions-Bereich auf New Exception.
Nun startet der "New Inbound Exception"-Assistent. In der folgenden Abbildung sehen Sie ein Beispiel für den Assistenten:
Sie können über den Assistenten die folgenden Ausnahmen festlegen:
| • | Program: Eine Ausnahme für eingehenden Netzwerkverkehr auf Basis eines Programmnamens. Sie müssen zusätzlich eine Aktion (zulassen, blockieren oder schützen), das Profil, auf das die Ausnahme angewendet wird (Standard, Domäne oder beide), und einen Namen für die Ausnahme angeben. |
| • | Port: Eine Ausnahme auf Basis von TCP- oder UDP-Ports. Auch hier müssen Sie zusätzlich eine Aktion (zulassen, blockieren oder schützen), das Profil, auf das die Ausnahme angewendet wird (Standard, Domäne oder beide), und einen Namen für die Ausnahme angeben. |
| • | Predefined: Eine Ausnahme für einen vordefinierten Dienst. Hierzu gehören zum Beispiel Remoteunterstützung, Datei- und Druckerfreigabe, Remotedesktop, Universal Plug and Play (UPnP) Framework und ICMP-Echo-Requests (v4). Auch hier muss ein Name für die Ausnahme festgelegt werden. |
| • | Custom: Eine Ausnahme, die sich nicht auf ein Programm, einen Port oder einen vordefinierten Dienst bezieht. Mit dieser Option können Sie alle Konfigurationseinstellungen selbst festlegen. Natürlich müssen Sie auch hier wieder einen Namen angeben. |
Wenn Sie den Assistenten abgeschlossen haben, wird eine neue Ausnahme im Detailbereich angezeigt. Wenn Sie die erweiterten Eigenschaften der Ausnahme konfigurieren möchten, dann klicken Sie mit rechts auf die Ausnahme und dann auf Properties.
Konfigurieren einer Ausnahme für ausgehenden Netzwerkverkehr
Klicken Sie auf der linken Seite mit rechts auf Outbound Exceptions und dann auf New Exception. Alternativ klicken Sie links auf Outbound Exceptions und dann im Actions-Bereich auf New Exception.
Nun startet der "New Outbound Exception"-Assistent. In der folgenden Abbildung sehen Sie ein Beispiel für den Assistenten:
Sie können die folgenden Ausnahmen festlegen:
| • | Program |
| • | Port |
| • | Predefined |
| • | Custom |
Diese Ausnahmen entsprechen den Ausnahmen für eingehenden Netzwerkverkehr - sie gelten eben nur für den ausgehenden Verkehr.
Auch hier können Sie wieder die erweiterten Eigenschaften der Ausnahme konfigurieren. Klicken Sie mit rechts auf die Ausnahme und dann auf Properties.
In den erweiterten Eigenschaften der Ausnahmen für den eingehenden und ausgehenden Netzwerkverkehr finden Sie die folgenden Registerkarten:
| • | General: Name der Ausnahme, Programm, auf das sich die Ausnahme bezieht, und Aktion (zulassen, blockieren oder schützen). |
| • | Authorization: Wenn als Aktion "schützen" definiert ist, dann werden hier die Computer- oder Benutzerkonten angezeigt, die geschützte Verbindungen aufbauen dürfen. |
| • | Protocols and Ports: IP-Protokoll, TPC- und UDP-Quellport und Zielport und ICMP- oder ICMPv6-Einstellungen. |
| • | Scope: Quell- und Zieladressen für die Ausnahme. |
| • | Advanced: Profile, Schnittstellentypen und Dienste, für die die Ausnahme gilt. |
Konfigurieren einer Sicherheitsregel
Klicken Sie links mit der rechten Maustaste auf Computer Connection Security und dann auf New Rule. Alternativ klicken Sie links mit der rechten Maustaste auf Computer Connection Security und dann im Action-Bereich auf New Rule.
Nun startet der "New Authentication Rule"-Assistent. In der folgenden Abbildung sehen Sie ein Beispiel für den Assistenten:
Sie können die folgenden Regeln erstellen:
| • | Isolation: Legt anhand der Active Directory-Infrastruktur oder über den Status von Computern fest, welche Computer isoliert sind. Sie müssen angeben, wann eine Authentifizierung stattfinden soll (zum Beispiel bei eingehendem oder ausgehendem Netzwerkverkehr) und ob die Verbindung geschützt sein muss, oder ob dies nur angefordert wird. Außerdem müssen Sie die Authentifizierungsmethode und einen Namen für die Regel festlegen. Die Isolation über den Status eines Computers nutzt die neue Network Access Protection-Plattform von Windows Vista und Windows Server Longhorn. Weitere Informationen zu diesem Thema finden Sie auf der Network Access Protection-Website. |
| • | Authentication exception: Legt anhand ihrer IP-Adresse die Computer fest, die sich nicht authentifizieren müssen oder keine geschützte Verbindung benötigen. |
| • | Server to server: Legt fest, wie die Verbindung zwischen Computern geschützt wird. Sie müssen Endpunkte (IP-Adressen) festlegen und angeben, wann die Authentifizierung stattfinden soll. Außerdem müssen die Authentifizierungsmethode und ein Name für die Regel festgelegt werden. |
| • | Tunnel: Legt eine durch einen Tunnel geschützte Verbindung fest (zum Beispiel bei Verbindungen über das Internet). Sie müssen die Tunnel-Endpunkte über deren IP-Adressen angeben. Außerdem natürlich die Authentifizierungsmethode und einen Namen für die Regel. |
| • | Custom: Erstellt eine Regel, die frei konfigurierbar ist. |
Wenn Sie den Assistenten abgeschlossen haben, wird eine neue Regel im Detailbereich angezeigt. Wenn Sie die erweiterten Eigenschaften der Ausnahme konfigurieren möchten, dann klicken Sie mit rechts auf die Regel und dann auf Properties.
Die folgenden Registerkarten stehen Ihnen in den erweiterten Eigenschaften zur Verfügung:
| • | General: Name und Beschreibung der Regel. |
| • | Computers: Die Computer (IP-Adressen), für die der Netzwerkverkehr geschützt wird. |
| • | Authentication: Wann eine Authentifizierung stattfinden soll, ob diese erforderlich ist oder nicht, und die Authentifizierungsmethode. |
| • | Advanced: Die Profile und Schnittstellentypen, für die die Regel gilt. |
Zusätzliche Informationen
Weitere Informationen finden Sie unter den folgenden Quellen:
| • | |
| • | |
| • | Network Access Protection-Website (englischsprachig) |
| • | Manuelle Konfiguration der Internet Connection Firewall in Windows XP Service Pack 2 |