(0) exportieren Drucken
Alle erweitern
0 von 1 fanden dies hilfreich - Dieses Thema bewerten.

Aktivieren der authentifizierten Umgehung der Firewall

Letzte Aktualisierung: Januar 2009

Betrifft: Windows Server 2008

Die authentifizierte Umgehung ermöglicht das Erstellen von Regeln für die Windows-Firewall mit erweiterten Sicherheitseinstellungen, die eingehenden Datenverkehr blockieren, der nicht von einem angegebenen vertrauenswürdigen Computer oder Benutzer stammt. Ein Administrator könnte z. B. Firewallregeln für Computer im Netzwerk bereitstellen, die kein Subnetz, keine IP-Adresse und keine Portausnahmen enthalten. Der Administrator könnte aber darüber hinaus auch ein Programm für die Unternehmensverwaltung und -sicherheit verwenden, um diese Computer zu scannen und zu aktualisieren. Damit diese beiden widersprüchlichen Anforderungen erfüllt werden, kann der Administrator Firewall- und Verbindungssicherheitsregeln erstellen und bereitstellen, die eine computerbasierte Authentifizierung mit Kerberos, Version 5 erfordern. Wenn diese Regeln und Einstellungen gelten, kann der Administrator die Windows-Firewall ohne Ausnahmen bereitstellen, und der Scanserver erhält trotzdem Zugriff auf alle erforderlichen Ports auf den Clients. Die Verwendung der authentifizierten Umgehung in diesem Szenario macht Ausnahmen auf Portebene überflüssig.

Inhalt dieses Themas:

Funktionsweise der authentifizierten Umgehung

Es gibt 2 Möglichkeiten für die Konfiguration von Regeln für die authentifizierte Umgehung:

  • Der gesamte authentifizierte IP-Datenverkehr von genehmigten Computer umgeht die Windows-Firewall. Bei dieser Methode werden Verbindungssicherheitsregeln verwendet, die die computerbasierte Authentifizierung festlegen und eine Liste von Computern oder Computergruppen, deren Netzwerkdatenverkehr die Firewall umgehen darf, angeben. Diese Methode wird auf Computern unter Windows® XP mit Service Pack 2 (SP2) oder später unterstützt.

  • Datenverkehr, der einer Firewallregel mit der Einstellung Verbindung zulassen, wenn sie sicher ist entspricht, darf die Windows-Firewall umgehen. Die Regel filtert den Datenverkehr nach IP-Adresse, Port oder Protokoll. Diese Methode wird unter Windows Vista® und Windows Server® 2008 unterstützt.

Authentifizierte Umgehung für Windows XP und Windows Server 2003

Wenn authentifizierter IP-Datenverkehr von genehmigten Computern die Windows-Firewall umgehen soll, konfigurieren Sie die Gruppenrichtlinieneinstellung Windows-Firewall: Authentifizierte IPSec durchlassen mit einer SDDL-Zeichenfolge (Security Descriptor Definition Language), die eine Liste der Computer oder Computergruppen enthält, deren Netzwerkdatenverkehr die Windows-Firewall umgehen soll. Empfängt ein Computer ein mit IPsec geschütztes Netzwerkpaket von einem Computer, der Mitglied einer der Sicherheitsgruppen in der SDDL-Liste ist, lässt die Windows-Firewall das Umgehen der Firewallfilter auf dem Computer durch den eingehenden Datenverkehr zu.

Sie finden die Gruppenrichtlinieneinstellung Windows-Firewall: Authentifizierte IPSec durchlassen in den Bearbeitungstools für Gruppenrichtlinien unter Computerkonfiguration\Administrative Vorlagen\Netzwerk\Netzwerkverbindungen\Windows-Firewall.

Für die SDDL-Zeichenfolge einer einzelnen Gruppe gilt folgendes Format:

O:DAG:DAD:(A;;RCGW;;;SID)

Dabei ist SID die Sicherheits-ID (Security Identifier) eines Gruppenkontos. Weitere Informationen finden Sie weiter unten in diesem Thema unter Ermitteln der SID eines Gruppenkontos.

Wenn alle Computer in einer Gruppe die Windows-Firewall umgehen sollen, konfigurieren Sie die Gruppenrichtlinieneinstellung Windows-Firewall: Authentifizierte IPSec durchlassen mit folgender Zeichenfolge:

O:DAG:DAD:(A;;RCGW;;;S-1-5-21-3575094098-3669797271-991787341-1127)

Bei mehreren Gruppen verwenden Sie folgende Syntax für die SDDL-Zeichenfolge:

O:DAG:DAD:(A;;RCGW;;;SID1) (A;;RCGW;;;SID2) (A;;RCGW;;;SID3)   …

Unter Windows Vista und Windows Server 2008 wurde das erforderliche Format für die SDDL-Zeichenfolge geändert.

Unter Windows XP und Windows Server 2003 lautet das erforderliche Format:

O:DAG:DAD:(A;;RCGW;;;S-1-5-21-2127521184-1604012920-1887927527-1856988)(A;;RCGW;;;S-1-5-21-2127521184-1604012920-1887927527-1856817)

Unter Windows Vista und Windows Server 2008 lautet das erforderliche Format:

O:DAG:DAD:(A;;CC;;;S-1-5-21-2127521184-1604012920-1887927527-1856988)(A;;CC;;;S-1-5-21-2127521184-1604012920-1887927527-1856817)

Die Zeichen RCGW müssen in CC geändert werden.

Aktivieren der authentifizierten IPsec-Umgehung

Sie müssen Mitglied der Gruppe Administratoren auf dem lokalen Computer sein oder über die entsprechenden Berechtigungen verfügen, um diese Schritte ausführen zu können. Wenn der Computer einer Domäne angehört, kann dieses Verfahren möglicherweise auch von Mitgliedern der Gruppe Domänen-Admins ausgeführt werden.

So lassen Sie in der Windows-Firewall Datenverkehr zu, der mit IPsec geschützt ist

  1. Öffnen Sie die Gruppenrichtlinien-Verwaltungskonsole, um das Gruppenrichtlinienobjekt (Group Policy Object, GPO) zu bearbeiten, mit dem die Windows-Firewalleinstellungen in Ihrer Organisation verwaltet werden.

  2. Erweitern Sie im Navigationsbereich nacheinander Computerkonfiguration, Administrative Vorlagen, Netzwerk und Netzwerkverbindungen, und klicken Sie dann auf Windows-Firewall.

  3. Klicken Sie im Ergebnisbereich auf Windows-Firewall: Authentifizierte IPSec durchlassen.

  4. Klicken Sie im Dialogfeld Eigenschaften von Windows-Firewall: Authentifizierte IPSec durchlassen auf der Registerkarte Einstellungen auf Aktiviert.

  5. Geben Sie in IPSec-Peers festlegen, die von der Firewallrichtlinie ausgenommen sind die SDDL-Zeichenfolge für die Gruppenkonten der Computer ein, für die diese Richtlinie gilt, und klicken Sie dann auf OK.

noteHinweis
Gruppenrichtlinieneinstellungen müssen aktualisiert werden, damit sie angewendet werden.

Wenn Sie die Einstellung Windows-Firewall: Authentifizierte IPSec durchlassen aktivieren und später wieder deaktivieren, werden die von Ihnen eingegebenen SDDL-Zeichenfolgen gelöscht. Speichern Sie deshalb die SDDL-Zeichenfolgen für dieses Verfahren, damit Sie sie ggf. wiederverwenden können.

Dieses Verfahren kann nur über Gruppenrichtlinien konfiguriert werden. Sie können dafür keine grafische Benutzeroberfläche oder Eingabeaufforderung verwenden.

Authentifizierte Umgehung für Windows Vista und Windows Server 2008

Sie können das oben beschriebene Verfahren auf Computern unter Windows Vista und Windows Server 2008 ausführen. Unter Windows Vista und Windows Server 2008 wird jedoch auch das Erstellen ausführlicherer Regeln für die authentifizierte Umgehung unterstützt, z. B.:

  • Sie können die authentifizierte Umgehung nur für festgelegte Formen des Netzwerkdatenverkehrs aktivieren. Unter Windows XP und Windows Server 2003 kann der Datenverkehr, wenn er erfolgreich authentifiziert wurde, die Firewall umgehen. Sie können den Datenverkehr nicht nur auf bestimmte Netzwerkports, Protokolle oder IP-Adressen beschränken.

  • Sie können neben Computerkonten auch bestimmte Benutzer oder Benutzergruppen zulassen, da unter Windows Vista und Windows Server 2008 auch die benutzerbasierte Authentifizierung unterstützt wird.

  • Sie können neben der bereits erforderlichen Authentifizierung auch festlegen, dass die authentifizierte Umgehung nur dann zugelassen wird, wenn der Netzwerkdatenverkehr mit IPsec verschlüsselt ist.

Anstelle einer Gruppenrichtlinieneinstellung aktivieren Sie die authentifizierte Umgehung in der Windows-Firewall mit erweiterten Sicherheitseinstellungen unter Windows Vistaund Windows Server 2008 durch das Aktivieren der Option Verbindung zulassen, wenn sie sicher ist in einer Firewallregel. Wenn Sie dieses Kontrollkästchen aktivieren, wird die Registerkarte Benutzer und Computer verfügbar, auf der Sie die Computer- oder die Computergruppenkonten eingeben können, die mit den bei der IPsec-Authentifizierung angegebenen Anmeldeinformationen überprüft werden. Die resultierenden Regeln legen fest, dass der entsprechende Datenverkehr von genehmigten Computern oder Benutzern zugelassen wird, sofern er nicht durch andere Regeln blockiert wird.

Wenn Sie in der Firewallregel auch die Einstellung Regeln zum Blocken außer Kraft setzen aktivieren, wird authentifizierter Datenverkehr, der dieser Regel entspricht, zugelassen, auch wenn er durch eine andere Regel blockiert werden würde. Das Ergebnis ist somit eine Regel die besagt, dass dieser Datenverkehr blockiert wird, wenn er nicht von einem authentifizierten Computer oder Benutzer stammt, der zugelassen wurde.

Aktivieren der authentifizierten Umgehung

Sie müssen Mitglied der Gruppe Administratoren auf dem lokalen Computer sein oder über die entsprechenden Berechtigungen verfügen, um diese Schritte ausführen zu können. Wenn der Computer einer Domäne angehört, kann dieses Verfahren möglicherweise auch von Mitgliedern der Gruppe Domänen-Admins ausgeführt werden.

So lassen Sie per IPsec geschützten Datenverkehr in der Windows-Firewall mithilfe des MMC-Snap-Ins "Windows-Firewall mit erweiterter Sicherheit" zu

  1. Öffnen Sie das MMC-Snap-In Windows-Firewall mit erweiterter Sicherheit.

  2. Klicken Sie im Navigationsbereich mit der rechten Maustaste auf Eingehende Regeln, und klicken Sie dann auf Neue Regel.

  3. Konfigurieren Sie im Assistenten für neue eingehende Regel, die Einstellungen Regeltyp, Programm, Protokoll und Ports und Bereich entsprechend dem Netzwerkdatenverkehr, der die Firewall umgehen soll.

  4. Wählen Sie auf der Seite Aktion die Option Verbindung zulassen, wenn sie sicher ist aus, klicken Sie auf Regeln zum Blocken außer Kraft setzen und dann auf Weiter.

  5. Wählen Sie im Assistenten auf der Seite Benutzer und Computer die Option Nur Verbindungen von diesen Computern zulassen aus, klicken Sie auf Hinzufügen, und wählen Sie dann den Computer oder die Computergruppen aus, die die Firewallregeln auf diesem Computer umgehen sollen.

  6. Wählen Sie Nur Verbindungen von diesen Benutzern zulassen aus, klicken Sie auf Hinzufügen, und wählen Sie den Benutzer oder die Benutzergruppen aus, die die Firewallregeln auf diesem Computer umgehen sollen.

    noteHinweis
    Diese Option funktioniert nur, wenn die Computer die benutzerbasierte Authentifizierung unterstützen. Die benutzerbasierte Authentifizierung wird unter Windows Vista und Windows Server 2008 unterstützt.

  7. Folgen Sie den restlichen Schritten im Assistenten.

noteHinweis
Sie können Regeln für die authentifizierte Umgehung und das Außerkraftsetzen von Blockierungsregeln auch über den Knoten Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Windows-Firewall mit erweiterter Sicherheit in einem Gruppenrichtlinienobjekt festlegen.

Erstellen einer Regel für die authentifizierte Umgehung mit dem Befehlszeilentool Netsh

Auf Computern unter Windows Vista und Windows Server 2008 können Sie die Regeln für die authentifizierte Umgehung auch mit dem Befehlszeilentool Netsh erstellen.

Geben Sie zum Erstellen einer Regel für die authentifizierte Umgehung folgende Parameter an:

  • dir=in

    Dieser Parameter gibt an, dass es sich um eine eingehende Firewallregel handelt. Die authentifizierte Umgehung wird nur bei eingehenden Firewallregeln unterstützt.

  • security=authenticate oder security=authenc

    Beide Parameter geben an, dass eine Authentifizierung erforderlich ist.

  • action=bypass

    Dieser Parameter gibt an, dass Netzwerkdatenverkehr, der den Kriterien in dieser Regel entspricht, andere Firewallregeln umgehen kann, sofern er durch einen genehmigten Benutzer oder Computer authentifiziert ist.

  • rmtcomputergrp="D:(A;;CCC;;; SIDofComputerGroup )"

    Dieser Parameter gibt die SID eines Computer- oder Computergruppenkontos an. Weitere Informationen finden Sie unter Ermitteln der SID eines Gruppenkontos.

  • rmtusergrp="D:(A;;CCC;;; SIDofUserGroup )"

    Dieser optionale Parameter gibt die SID eines Benutzer- oder Benutzergruppenkontos an. Weitere Informationen finden Sie unter Ermitteln der SID eines Gruppenkontos.

    ImportantWichtig
    Wenn Sie den rmtusergrp-Parameter angeben, erstellen Sie eine Regel, die nur auf Computern funktioniert, die AuthIP unterstützen. AuthIP ist eine Erweiterung des IKE-Protokolls (Internet Key Exchange, Internetschlüsselaustausch), das eine benutzerbasierte Authentifizierung ermöglicht. Computer unter Windows Vista und Windows Server 2008 unterstützen AuthIP. Auf Computern unter Windows XP oder Windows Server 2003 wird nur IKE v1 unterstützt, sodass keine benutzerbasierte Authentifizierung möglich ist.

Bei einer Kombination in einem vollständigen Befehl mit einer einzelnen Computergruppe und einer Benutzergruppe lautet die Syntax für das Erstellen einer Regel für die authentifizierte Umgehung z. B. wie folgt:

netsh advfirewall firewall add rule name="Inbound Secure Bypass Rule" dir=in security=authenticate action="bypass" rmtcomputergrp="D:(A;;CC;;; S-1-5-21-2329867823-2610410949-1491576313-1114)" rmtusrgrp="D:(A;;CC;;; S-1-5-21-2329867823-2610410949-1491576313-1735)"

In diesem Beispiel wird die authentifizierte Umgehung für beliebigen Netzwerkdatenverkehr an einem beliebigen Port und von jeder IP-Adresse zugelassen, sofern er von einem Benutzer- und einem Computerkonto authentifiziert wird, die Mitglied angegebener Gruppen sind.

Ermitteln der SID eines Gruppenkontos

Mit dem Befehlszeilentool Getsid.exe können Sie die SID eines Gruppenkontos abrufen. Getsid.exe ist eines der Windows-Supporttools auf der Windows Server 2003-Produkt-DVD. Weitere Informationen zur Installation der Supporttools finden Sie in "Installieren der Windows-Supporttools" unter http://go.microsoft.com/fwlink/?linkid=111016). Mit Getsid.exe können Sie die SIDs von 2 Konten auf unterschiedlichen Domänencontrollern vergleichen, aber auch die SID eines angegebenen Benutzer- oder Gruppenkontos abrufen.

Verwenden Sie zum Abrufen der SID eines Gruppenkontos folgende Syntax:

getsid \\DomänencontrollerGruppenname \\DomänencontrollerGruppenname

Dabei ist Domänencontroller der Computername eines Domänencontrollers und Gruppenname der Name des Gruppenkontos.

Im folgenden Beispiel wird das Tool Getsid.exe mit dem Domänencontroller EXAMPLE2 in der Domäne example.com und mit dem Gruppenkonto IPsecComputers verwendet:

C:\>getsid \\example2 IPsecComputers \\example2 IPsecComputers
The SID for account EXAMPLE\IPsecComputers matches account EXAMPLE\IPsecComputers
The SID for account EXAMPLE\IPsecComputers is 
S-1-5-21-3575094098-3669797271-991787341-1127
The SID for account EXAMPLE\IPsecComputers is
S-1-5-21-3575094098-3669797271-991787341-1127

Weitere Verweise

Weitere Informationen finden Sie in den folgenden Themen:

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

HINZUFÜGEN
Anzeigen:
© 2014 Microsoft. Alle Rechte vorbehalten.