(0) exportieren Drucken
Alle erweitern

Szenarioübersicht

Veröffentlicht: November 2007

Letzte Aktualisierung: Dezember 2009

Betrifft: Windows 7, Windows Server 2008, Windows Server 2008 R2, Windows Vista

In dieser Anleitung erfahren Sie, wie Sie Einstellungen für die Windows-Firewall mit erweiterten Sicherheitseinstellungen erstellen und bereitstellen. Dazu führen Sie nacheinander die in dieser Vorgehensweise enthaltenen Schritte aus, die häufig durchgeführte Aufgaben in typischen Szenarios veranschaulichen.

Sie konfigurieren dabei insbesondere die Einstellungen in Gruppenrichtlinienobjekten, um folgende Optionen der Windows-Firewall mit erweiterten Sicherheitseinstellungen zu steuern:

  • Aktivieren oder Deaktivieren der Windows-Firewall und Konfigurieren ihres grundlegenden Verhaltens

  • Festlegen der Programme und Netzwerkports, die eingehenden Netzwerkdatenverkehr empfangen dürfen

  • Festlegen des ausgehenden Netzwerkdatenverkehrs, der zugelassen oder blockiert werden soll

  • Unterstützen von Netzwerkdatenverkehr, der mehrere oder dynamische Ports verwendet, z. B. unter Verwendung von Remoteprozeduraufrufen (Remote Procedure Calls, RPCs) oder von FTP (File Transfer-Protokoll)

  • Erzwingen des Schutzes des gesamten Netzwerkdatenverkehrs für bestimmte Server mit der IPsec-Authentifizierung (Internet Protocol security, IP-Sicherheit) und einer optionalen Verschlüsselung

Sie arbeiten dabei mit mehreren Computer, die häufig auftretende Rollen in typischen Netzwerkumgebungen ausführen. Dazu gehören ein Domänencontroller, ein Mitgliedsserver und ein Clientcomputer, wie in folgender Abbildung dargestellt.

Zeigt die drei für die Szenarien erforderlichen Computer

Das in dieser Anleitung beschriebene Szenario umfasst das Anzeigen und Konfigurieren von Firewalleinstellungen und das Konfigurieren einer Umgebung mit Domänenisolation. Außerdem wird eine Serverisolation beschrieben, bei der für den Zugriff auf einen Server eine Gruppenmitgliedschaft erforderlich ist und optional erzwungen werden kann, dass der gesamte Datenverkehr zu dem Server verschlüsselt werden muss. Abschließend werden Mechanismen beschrieben, die es vertrauenswürdigen Netzwerkgeräten ermöglichen, Firewallregeln für die Problembehandlung zu umgehen.

In den folgenden Abschnitten werden alle Schritte in diesem Szenario beschrieben.

Überprüfen der Standardeinstellungen auf Clients und Servern

In diesem Abschnitt überprüfen Sie mit den Windows-Firewalleinstellungen, dem Befehlszeilentool netsh und dem MMC-Snap-In (Microsoft Management Console) Windows-Firewall mit erweiterten Sicherheitseinstellungen die Standardeinstellung der Windows-Firewall mit erweiterten Sicherheitseinstellungen auf den Computern CLIENT1 und MBRSVR1. Wenn Sie diese Tools direkt auf einem lokalen Computer verwenden, können Sie die aktuelle Konfiguration sowie die Firewall- und Verbindungssicherheitsregeln anzeigen, die zurzeit auf dem Computer aktiv sind. Außerdem werden in diesem Abschnitt die Features verglichen, die mit dem MMC-Snap-In Windows-Firewall mit erweiterten Sicherheitseinstellungen und dem Befehlszeilentool netsh konfiguriert werden können.

Bereitstellen grundlegender Firewalleinstellungen mithilfe von Gruppenrichtlinien

In diesem Abschnitt wird das Erstellen eines Gruppenrichtlinienobjekts (Group Policy Object, GPO) beschrieben, das grundlegende Firewalleinstellungen enthält. Anschließend wird das Gruppenrichtlinienobjekt auf dem Clientcomputer angewendet. Wenn Sie sicherstellen möchten, dass die Einstellungen des Gruppenrichtlinienobjekts nur auf den richtigen Computern angewendet werden, schränken Sie das Gruppenrichtlinienobjekt mithilfe der Sicherheitsgruppenfilterung und der WMI-Filterung (Windows Management Instrumentation, Windows-Verwaltungsinstrumentation) auf die Computer ein, die einer bestimmten Computergruppe angehören und auf denen die angegebene Windows-Version ausgeführt wird.

Das von Ihnen konfigurierte Gruppenrichtlinienobjekt enthält einige grundlegende Einstellungen der Windows-Firewall mit erweiterten Sicherheitseinstellungen, die häufig in Unternehmen verwendet werden, z. B.:

  • Alle lokalen Firewalleinstellungen von Benutzern und auch lokalen Administratoren werden ignoriert.

  • Das Aktivieren der Firewall mit den von Ihnen festgelegten Einstellungen für den Netzwerkdatenverkehr wird erzwungen, und die Firewall kann nicht deaktiviert werden.

  • Der Computer zeigt keine Benachrichtigung an, wenn die Windows-Firewall mit erweiterten Sicherheitseinstellungen das Abfragen eines Netzwerkports durch ein Programm blockiert.

Erstellen von Regeln zum Zulassen des erforderlichen eingehenden Netzwerkdatenverkehrs

Standardmäßig werden von der Windows-Firewall alle eingehenden Netzwerkverbindungen blockiert, die keiner Zulassungsregel entsprechen. Auf Clientcomputer, auf denen keine Dienste gehostet werden, kann dies ausreichend sein. Wenn jedoch ein Programm als Netzwerkdienst fungiert, müssen Sie Regeln erstellen, die unaufgeforderte Netzwerkpakete von Remotecomputern zulassen, die eine Verbindung mit dem Programm oder Netzwerkdienst herstellen möchten. In diesem Abschnitt erstellen und ändern Sie eingehende Zulassungsregeln für die Firewall mit folgenden Funktionen:

  • Verwenden vordefinierter Regelgruppen zur Unterstützung allgemeiner Netzwerkdienste

  • Zulassen des Abfragens von Netzwerkdatenverkehr durch ein Programm

  • Zulassen des Abfragens von Netzwerkdatenverkehr durch ein Programm an nur einem angegebenen TCP- oder UDP-Port

  • Zulassen des Abfragens von Netzwerkdatenverkehr durch einen Netzwerkdienst

  • Begrenzen des Netzwerkdatenverkehrs auf bestimmte IP-Adressen und bestimmte Netzwerktypen

  • Anwenden unterschiedlicher Firewallverhalten basierend auf dem Netzwerkadresstyp, mit dem ein Computer verbunden ist

  • Unterstützen von Programmen, die die RPC-Funktionen für die dynamische Portzuweisung verwenden

Einer der wichtigsten Vorteile der Integration der Einstellungen zu einer Firewall und zu IPsec auf der gemeinsamen Benutzeroberfläche der Windows-Firewall mit erweiterten Sicherheitseinstellungen ist die Möglichkeit, Firewallregeln zu erstellen, die nur Netzwerkdatenverkehr zulassen, der durch IPsec geschützt ist. Diese Regeln werden in dieser Anleitung in den Abschnitten Serverisolation und Authentifizierte Umgehung beschrieben.

Blockieren von unerwünschtem ausgehenden Netzwerkdatenverkehr

Die Windows-Firewall lässt standardmäßig alle ausgehenden Netzwerkverbindungen zu. Aufgrund der großen Anzahl und der Unterschiedlichkeit möglicher Clientprogramme, die ausgehenden Netzwerkdatenverkehr verwenden, kann das Einschränken des ausgehenden Datenverkehrs sehr aufwändig sein. Wenn jedoch in einigen Organisationen eine entsprechende Liste der Anwendungen vorliegt und die Sicherheit vorschreibt, dass keine anderen Anwendungen Zugriff auf das Netzwerk haben dürfen, unterstützt die Windows-Firewall mit erweiterten Sicherheitseinstellungen auch das Ändern der Standardregel, um den ausgehenden Netzwerkdatenverkehr zu blockieren, der keiner ausgehenden Zulassungsregel entspricht. In diesem Abschnitt konfigurieren Sie die Firewall so, dass der gesamte ausgehende Datenverkehr blockiert wird. Anschließend erstellen Sie ausgehende Firewallregeln, die nur für bestätigte Programme ausgehenden Datenverkehr von einem Computer zulassen.

Bereitstellen einer grundlegenden Domänenisolationsrichtlinie

In diesem Abschnitt erstellen Sie IPsec-Verbindungssicherheitsregeln auf Domänenmitgliedscomputern, die eingehende Netzwerkverbindungsanfragen nur von authentifizierten Domänenmitgliedscomputern zulassen.

Isolieren eines Servers durch das Erzwingen der Verschlüsselung und von Gruppenmitgliedschaften

In diesem Abschnitt erweitern Sie die im letzten Abschnitt erstellten Authentifizierungsregeln, indem Sie Verbindungssicherheitsregeln und Firewallregeln erstellen, die erzwingen, dass ein Server oder eine Servergruppe Netzwerkdatenverkehr nur von Computern zulassen, die Mitglieder einer autorisierten Gruppe sind. Die Regeln legen auch fest, dass der Datenverkehr zu und von diesen Servern verschlüsselt werden muss.

Erstellen von Firewallregeln zum Zulassen von IPsec-geschütztem Netzwerkdatenverkehr zur Umgehung von Blockierungsregeln

Wenn Sie Firewall- und Verbindungssicherheitsregeln erstellt und aktiviert haben, blockieren Sie i. d. R. Netzwerksicherheitstools wie Portscanner, sodass diese ihre Funktion nicht mehr erfüllen können. Sie können in der Windows-Firewall mit erweiterten Sicherheitseinstellungen Zulassungsregeln für die Firewall erstellen, die Blockierungsregeln außer Kraft setzen, sofern bestimmte Bedingungen erfüllt sind. In diesem Abschnitt konfigurieren Sie Firewall- und Verbindungssicherheitsregeln, die IPsec-geschütztem Netzwerkdatenverkehr das Umgehen der Blockierungsregeln der Firewall erlauben. Sie können diese Regeln noch weiter einschränken, indem Sie nur bestimmte autorisierte Benutzer oder Computer zulassen, z. B. die Netzwerkportscanner, die von den Support- und Sicherheitsteams für das Netzwerk verwendet werden.

Erstellen von IPsec-Verbindungssicherheitsregeln für den Tunnelmodus

In den bisherigen Szenarios wurden nur Regeln beschrieben, die IPsec-Regeln für den Transportmodus verwenden. Der Transportmodus bietet einen Ende-zu-Ende-Schutz vom ursprünglichen Quellhost bis zum endgültigen Zielhost. IPsec unterstützt noch einen weiteren Betriebsmodus, der als Tunnelmodus bezeichnet wird und bei dem der IPsec-Datenverkehr nur für einen Teil des Übertragungswegs zwischen den beiden Hosts geschützt ist. In diesem Abschnitt konfigurieren Sie Verbindungssicherheitsregeln für den Tunnelmodus, die Clientcomputern den Zugriff auf ein Remotenetzwerk über ein IPsec-Gateway erlauben.


Nächstes Thema:  Technologien für das Bereitstellen der Windows-Firewall mit erweiterter Sicherheit

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

HINZUFÜGEN
Microsoft führt eine Onlineumfrage durch, um Ihre Meinung zur MSDN-Website zu erfahren. Wenn Sie sich zur Teilnahme entscheiden, wird Ihnen die Onlineumfrage angezeigt, sobald Sie die MSDN-Website verlassen.

Möchten Sie an der Umfrage teilnehmen?
Anzeigen:
© 2014 Microsoft