Exporteren (0) Afdrukken
Alles uitvouwen

Windows Firewall in Windows Server 2003 Service Pack 1

Wat doet Windows Firewall?

Windows Firewall (voorheen Firewall voor Internet-verbinding of ICF genaamd) is een op software gebaseerde firewall met stateful filtering voor Microsoft Windows XP en Microsoft Windows Server 2003. Windows Firewall biedt bescherming voor computers die zijn verbonden met een netwerk, door ongewenst binnenkomend verkeer via TCP/IP versie 4 (IPv4) en TCP/IP versie 6 (IPv6) te blokkeren. Configuratieopties:

  • Op poort gebaseerde uitzonderingen configureren en inschakelen
  • Op programma gebaseerde uitzonderingen configureren en inschakelen
  • Basis-ICMP-opties configureren
  • Verloren gegane pakketten en geslaagde verbindingen registreren in logboek

Windows Firewall in Windows Server 2003 Service Pack 1 wordt niet standaard ingeschakeld wanneer u de update op de server toepast. De functie wordt alleen ingeschakeld in de volgende gevallen:

  • Als Internet-verbinding delen voorheen ingeschakeld was.
  • Als Firewall voor Internet-verbindingen voorheen ingeschakeld was.
  • Als op de server een nieuwe installatie van Windows Server 2003 met Service Pack 1 aanwezig is (wat ook wel een 'slipstream'-installatie wordt genoemd).

Als u volledig wilt begrijpen hoe Windows Firewall werkt en hoe u deze functie in uw omgeving kunt gebruiken, kunt u het beste de informatie en de Help-onderwerpen over Windows Firewall raadplegen op de website van Windows Server 2003 Tech Center op http://go.microsoft.com/fwlink/?LinkId=48911 en in de Windows Firewall Operations Guide op de website van Windows Server 2003 TechCenter op http://go.microsoft.com/fwlink/?LinkId=48912.

noteOpmerking
Als u besluit Windows Firewall te gebruiken in combinatie met uw server, is het sterk aan te raden uw servers opnieuw te starten nadat u de firewall hebt ingeschakeld en geconfigureerd. Windows Firewall in Windows Server 2003 met Service Pack 1 ondersteunt nu toepassingsuitzonderingen en -behoeften om de status van die toepassingen te behouden. Hierdoor mislukken toepassingen of services die u toevoegt aan de lijst met firewalluitzonderingen die al werden uitgevoerd voordat de firewall werd gestart, nog steeds. Nadat de server opnieuw is gestart, wordt de firewall uitgevoerd vóór de toepassingen op de lijst met uitzonderingen. Hierdoor blijft de status van de toepassingen behouden en worden deze correct behandeld.

Op wie is deze functie van toepassing?

Deze functie is van toepassing op:

  • Alle computers die zijn verbonden met een netwerk, bijvoorbeeld internet.
  • Alle programma's (toepassingen en services) die luisteren op het netwerk.
  • Alle programma's die niet werken met stateful filtering.

Welke nieuwe functionaliteit is er toegevoegd aan deze voorziening in Windows Server 2003 Service Pack 1?

Integratie van Firewall voor Internet-verbindingen en IPv6-firewall voor Internet-verbinding in Windows Firewall

Gedetailleerde beschrijving

De versie van de Firewall voor Internet-verbinding die was opgenomen in Windows XP, filterde alleen IPv4-verkeer. De IPv6-firewall voor Internet-verbinding werd opgenomen in het pakket voor geavanceerde netwerken voor Windows XP. Met Windows Server 2003 Service Pack 1 zijn de Firewall voor Internet-verbinding en de IPv6-firewall voor Internet-verbinding geïntegreerd in één onderdeel: Windows Firewall.

Door deze wijziging zijn alle configuratiewijzigingen van toepassing op zowel IPv4- als IPv6-verkeer. Wanneer bijvoorbeeld een statische poort wordt geopend, wordt deze geopend voor zowel IPv4- als IPv6-verkeer.

Waarom is deze wijziging belangrijk?

Hiermee kan de configuratie eenvoudiger worden beheerd en wordt de compatibiliteit van toepassingen verbeterd.

Wat werkt er anders?

De Internet Connection Firewall-service wordt is van het systeem verwijderd en vervangen door de Windows Firewall-service, waarmee zowel op IPv4- als op IPv6-verkeer wordt gefilterd. Alle firewall-API's worden vervangen door de nieuwe API's die deel uitmaken van Windows Server 2003 Service Pack 1.

Hoe los ik deze problemen op?

Zie 'Moet ik mijn code wijzigen om te kunnen werken met Windows Server 2003 Service Pack 1?' verderop in dit document voor meer informatie.

'Standaard inschakelen' voor nieuwe installaties van Windows Server 2003 met een service pack

Gedetailleerde beschrijving

Windows Firewall is standaard alleen ingeschakeld tijdens nieuwe installaties van Windows Server 2003 met een Service Pack (ook wel een 'slipstream'-release genoemd). Windows Firewall biedt netwerkbeveiliging terwijl gebruikers hun systeem bijwerken met de nieuwste patches met behulp van de functie Post-Setup Security Updates. Zodra de updates zijn voltooid, wordt de firewall uitgeschakeld, tenzij deze expliciet is ingeschakeld.

Als voor een server met Windows Server 2003 een update of upgrade naar Service Pack 1 wordt uitgevoerd, is de firewall standaard uitgeschakeld en wordt de functie Post-Setup Security Updates niet gebruikt.

Waarom is deze wijziging belangrijk? Welk risico gaat deze tegen?

Door Windows Firewall standaard in te schakelen bij nieuwe installaties, is de computer tijdens de installatie en configuratie beter beveiligd tegen veel netwerkaanvallen. Als Windows Firewall bijvoorbeeld standaard ingeschakeld zou zijn, zou een aanval met MSBlaster lang niet zoveel schade kunnen aanrichten, ongeacht of de gebruikers relevante updates op de computer zouden hebben geïnstalleerd.

Wat werkt er anders?

Na een nieuwe installatie van een slipstream-versie van Windows Server 2003 met Service Pack 1, is Windows Firewall standaard ingeschakeld en wordt binnenkomend verkeer geblokkeerd totdat de Post-Setup Security Updates zijn voltooid. Dit kan toepassings- of service-incompatibiliteit veroorzaken als de toepassing of service standaard niet werkt met stateful filtering.

Hoe los ik deze problemen op?

Voltooi Post-Setup Security Updates. Hiermee wordt de firewall automatisch uitgeschakeld voordat u doorgaat met andere serverconfiguratietaken.

U kunt de firewall ook zodanig configureren dat deze kan werken met toepassingen of services die u nodig hebt, als u Post-Setup Security Updates pas later wilt voltooien.

Configuratie door de wizard Beveiligingsconfiguratie

Gedetailleerde beschrijving

Het wordt aanbevolen Windows Firewall in te schakelen en de eerste configuratie voor Windows Server 2003 met Service Pack 1 uit te voeren met behulp van de wizard Beveiligingsconfiguratie (SCW). Windows Firewall wordt dan automatisch ingeschakeld en op basis van de behoeften van uw server worden de juiste instellingen geconfigureerd. Zie 'Wizard Beveiligingsconfiguratie' voor meer informatie over deze wizard.

Wat is het belang van deze wijziging?

Bepaalde serveronderdelen en toepassingen kunnen beter niet worden gebruikt in combinatie met Windows Firewall of alleen in specifieke configuraties. Met behulp van SCW kunt u op basis van uw omgeving de aanbevolen instellingen bepalen voor Windows Firewall.

Beveiliging tijdens het opstarten

Gedetailleerde beschrijving

In lagere versies van Windows zit er tijd tussen het opkomen van de netwerkstack en het moment dat de Firewall voor Internet-verbinding beveiliging biedt. Het gevolg hiervan is dat een pakket kan worden ontvangen en bij een service worden bezorgd zonder dat de Firewall voor Internet-verbinding filtering biedt, en de computer dus het risico loopt te worden aangevallen. Dit kwam doordat het stuurprogramma van de firewall pas begon met filteren als de gebruikersmodus van de firewallservice was geladen en de vereiste beleidsinstellingen waren toegepast. De firewallservice heeft een aantal afhankelijkheden. De service moet wachten op deze afhankelijkheden voordat het beleid kan worden toegepast op het stuurprogramma. Hoe lang dit duurt, is afhankelijk van de snelheid van de computer.

In Windows Server 2003 Service Pack 1 hebben de IPv4- en IPv6-firewallstuurprogramma's een statische regel voor het uitvoeren van stateful filtering. Deze statische regel wordt 'beleid tijdens het opstarten' genoemd. Dankzij deze regel kan de computer basisnetwerkfuncties uitvoeren, zoals DNS en DHCP, en met een domeincontroller communiceren om beleidsinstellingen te verkrijgen. Wanneer de Windows Firewall-service eenmaal actief is, worden de runtime-beleidsinstellingen geladen en toegepast. Het beleid tijdens het opstarten kan niet worden geconfigureerd.

Als de Windows Firewall-service (die in Servicebeheer wordt weergegeven als Windows Firewall (WF) / Internet-verbinding delen (ICS) wordt ingesteld op Handmatig of Uitgeschakeld, is er geen beveiliging actief tijdens het opstarten van de computer.

Waarom is deze wijziging belangrijk? Welk risico gaat deze tegen?

Door deze wijziging staat de computer bloot aan minder aanvallen tijdens het opstarten en afsluiten.

Wat werkt er anders?

Als de Windows Firewall-service niet kan worden gestart, blijft de beveiliging tijdens het opstarten van kracht. Dit houdt in dat alle binnenkomende verbindingen worden geblokkeerd. In dit geval kan een beheerder het probleem niet op afstand oplossen omdat alle poorten worden gesloten, ook de poort die wordt gebruikt door Extern bureaublad.

Als er wordt geprobeerd een service te starten voorafgaand aan de firewallservice, kan er een 'race condition' optreden. Als een noodzakelijke service door deze toestand wordt geblokkeerd, kan het zijn dat u Windows Firewall moet uitschakelen.

Hoe los ik deze problemen op?

Als u de beveiliging tijdens het opstarten wilt uitschakelen, stopt u de service Windows Firewall (WF) / Internet-verbinding delen (ICS) en stelt u het opstarttype in op Handmatig of Uitgeschakeld.

Als de beveiligingsmodus tijdens het opstarten van de computer actief is omdat de firewallservice niet is gestart, moet een systeembeheerder zich bij de computer aanmelden, de oorzaak van de fout verhelpen en de firewallservice handmatig starten.

Veilige modus (firewall in veilige modus)

Gedetailleerde beschrijving

De status van de firewall blijft gehandhaafd wanneer de server in de veilige modus wordt gestart.

Wat is het belang van deze wijziging?

Deze wijziging maakt uw computer minder kwetsbaar voor aanvallen wanneer u de computer start in de veilige modus met netwerkondersteuning.

Wat werkt er anders?

In eerdere versies was Firewall voor Internet-verbindingen niet beschikbaar in de veilige modus.

Globale configuratie

Gedetailleerde beschrijving

In eerdere versies van Windows werd Firewall voor Internet-verbindingen geconfigureerd per interface. Dit hield in dat elke netwerkverbinding een eigen set firewallinstellingen had, bijvoorbeeld één set instellingen voor draadloze verbindingen en een andere set voor Ethernet-verbindingen. Hierdoor werd het moeilijk firewallinstellingen tussen verbindingen te synchroniseren. Bovendien werden de configuratiewijzigingen die waren toegepast op de bestaande verbindingen, niet toegepast op nieuwe verbindingen. Niet-standaardnetwerkverbindingen, zoals verbindingen die worden gemaakt door zelfstandige telefoonkiezers (bijvoorbeeld door een ISP geconfigureerde inbelnetwerkverbindingen), konden niet worden beschermd.

Nu Windows Firewall globaal wordt geconfigureerd, worden configuratiewijzigingen automatisch toegepast op alle netwerkverbindingen in de map Netwerkverbindingen en op ???kiesverbindingen van externe leveranciers. Wanneer er nieuwe verbindingen worden gemaakt, wordt de configuratie ook hierop toegepast. Configuratie kan nog steeds per interface worden uitgevoerd. Voor niet-standaardnetwerkverbindingen is alleen globale configuratie mogelijk. Configuratiewijzigingen zijn ook van toepassing op zowel IPv4 als IPv6.

Waarom is deze wijziging belangrijk?

Dankzij de globale configuratie kunnen gebruikers hun firewallbeleid gemakkelijker beheren voor alle netwerkverbindingen en kan de configuratie via Groepsbeleid worden ingeschakeld. Bovendien kunt u toepassingen inschakelen voor samenwerking met interfaces met een enkele configuratieoptie.

Wat werkt er anders?

In lagere versies van Windows Server werd de firewallconfiguratie uitgevoerd per interface. In Windows Server 2003 Service Pack 1 is de configuratie globaal en is deze van toepassing op zowel IPv4 als IPv6.

Hoe los ik deze problemen op?

Als voor uw toepassing of service vereist is dat statisch openen mogelijk is, moet u de poorten globaal openen, zoals verderop in dit onderwerp wordt beschreven bij 'Moet ik mijn code wijzigen om te kunnen werken met Windows Server 2003 Service Pack 1?'

Registratie in het controlelogboek

Gedetailleerde beschrijving

Met registratie in het controlelogboek kunt u wijzigingen bijhouden die zijn aangebracht in Windows Firewall-instellingen en kunt u zien welke toepassingen en services uw computer hebben gevraagd op een poort te luisteren. Nadat registratie in het controlelogboek is ingeschakeld, worden controlegebeurtenissen geregistreerd in het logboek voor beveiligingsgebeurtenissen. Registratie in het controlelogboek kan worden ingeschakeld op clientcomputers met Windows XP Service Pack 2 en servers met Windows Server 2003 Service Pack 1. U kunt registratie in het controlelogboek als volgt inschakelen op uw computer.

Registratie in het controlelogboek inschakelen
  1. Meld u aan met een lokale-beheerdersaccount.

  2. Klik achtereenvolgens op Start, Configuratiescherm en Systeembeheer.

  3. Dubbelklik in Systeembeheer op Lokaal beveiligingsbeleid om de console Lokale beveiligingsinstellingen te openen.

  4. Klik in de consolestructuur van de console Lokale beveiligingsinstellingen op Lokaal beleid en klik vervolgens op Controlebeleid.

  5. Dubbelklik in het gegevensvenster van de console Lokale beveiligingsinstellingen op Beleidswijzigingen controleren. Selecteer Geslaagd en Mislukt en klik vervolgens op OK.

  6. Dubbelklik in het gegevensvenster van de console Lokale beveiligingsinstellingen op Procesopsporing controleren. Selecteer Geslaagd en Mislukt en klik vervolgens op OK.

U kunt registratie in het controlelogboek ook voor meerdere computers in een Active Directory-domein inschakelen met Groepsbeleid door de instellingen Beleidswijzigingen controleren en Procesopsporing controleren bij Computerconfiguratie\Windows-instellingen\Beveiligingsinstellingen\Lokaal beleid\Controlebeleid aan te passen voor de Groepsbeleid-objecten in de desbetreffende domeinsysteemcontainers.

Nadat controlelogboekregistratie is ingeschakeld, kunt u de module Logboeken gebruiken om controlegebeurtenissen in het beveiligingslogboek te bekijken.

Windows Firewall maakt gebruik van de volgende gebeurtenis-id's:

  • 848 - De opstartconfiguratie van Windows Firewall wordt weergegeven.
  • 849 - Er wordt een toepassingsuitzonderingsconfiguratie weergegeven.
  • 850 - Er wordt een poortuitzonderingsconfiguratie weergegeven.
  • 851 - Er wordt een wijziging in de lijst met toepassingsuitzonderingen weergegeven.
  • 852 - Er wordt een wijziging in de lijst met poortuitzonderingen weergegeven.
  • 853 - Er wordt een wijziging in de uitvoeringsmodus van Windows Firewall weergegeven.
  • 854 - Er wordt een wijziging in de instellingen voor logboekregistratie van Windows Firewall weergegeven.
  • 855 - Er wordt een wijziging in de ICMP-instellingen weergegeven.
  • 856 - Er wordt een wijziging in de instelling Unicast-antwoord op multicast- of broadcast-aanvragen niet toestaan weergegeven.
  • 857 - Er wordt een wijziging in de instelling Extern beheer weergegeven.
  • 858 - Het toepassen van Groepsbeleidinstellingen voor Windows Firewall wordt weergegeven.
  • 859 - Het verwijderen van Groepsbeleidinstellingen voor Windows Firewall wordt weergegeven.
  • 860 - Er wordt een wijziging in een ander profiel weergegeven.
  • 861 - Er wordt een toepassing weergegeven die probeert te luisteren naar binnenkomend gegevensverkeer.

Waarom is deze wijziging belangrijk?

Het controleren van de activiteit van Windows Firewall is een onderdeel van een intensieve beveiligingsstrategie. U wordt hiermee gewaarschuwd voor schadelijke software waarmee de instellingen van de firewall worden gewijzigd. Aan de hand van de controle kunnen beheerders tevens de netwerkbehoeften van de toepassingen bepalen en een relevant beleid ontwerpen om de toepassing bij een groot aantal gebruikers te implementeren.

Scoping van verkeer voor uitzonderingen

Gedetailleerde beschrijving

ICF stond uitgezonderd verkeer van elk IPv4-adres toe. Met Windows Firewall in Windows Server 2003 met Service Pack 1 kunt u ook een uitzondering configureren om binnenkomend verkeer alleen toe te staan van adressen die direct bereikbaar zijn door de scopeoptie Alleen dit netwerk (subnet) te selecteren (op basis van vermeldingen in de IPv4- en IPv6-routeringstabel), of van specifieke IPv4-adresbereiken door de scopeoptie Aangepaste lijst te selecteren.

Voor computers in een werkgroep is een aantal uitzonderingen standaard beperkt tot lokaal bereikbare adressen. Dit zijn de uitzonderingen die vereist zijn voor het delen van bestanden en printers en het UPnP-framework. Bovendien worden deze uitzonderingen niet geopend in de openbare ICS-interface wanneer ze voor lokaal bereikbare adressen worden geopend op een ICS-host (Internet-verbinding delen). Als u deze uitzonderingen inschakelt voor alle mogelijke adressen, worden ze geopend in de openbare ICS-interface, wat niet aan te raden is. Wanneer de ingebouwde uitzondering voor Bestands- en printerdeling wordt ingeschakeld met de NetShare-API (Application Programming Interface), met de wizard Netwerken of via de Windows Firewall-gebruikersinterface, kunnen binnenkomende aanvragen voor het delen van bestanden en printers standaard alleen afkomstig zijn van direct bereikbare adressen.

Als u Windows Firewall inschakelt op een server die al is geconfigureerd voor bestands- en printerdeling, wordt de uitzondering voor bestands- en printerdeling wellicht automatisch ingeschakeld. Het wordt aanbevolen de beperking voor lokaal bereikbare adressen toe te passen op alle uitzonderingen die worden gebruikt voor communicatie op het lokale netwerk. U kunt dit op de opdrachtregel met een programmacode doen via Windows Firewall Netsh Helper, maar u kunt ook op Windows Firewall klikken in Configuratiescherm.

noteOpmerking
Het is raadzaam aangepaste scopes aan te wijzen met specifieke adressen of subnetten voor de uitzonderingen die u voor Windows Firewall opgeeft. Wanneer u een uitzondering configureert en inschakelt, geeft u Windows Firewall opdracht om specifiek ongevraagd binnenkomend verkeer toe te staan dat afkomstig is uit het opgegeven bereik (een willekeurig adres, een adres dat direct kan worden bereikt of uit een aangepaste lijst). Bij elk bereik maakt het inschakelen van een uitzondering de computer toegankelijk voor aanvallen op basis van binnenkomend ongevraagd verkeer van computers waaraan de toegestane adressen zijn toegekend en van kwaadwillende computers die verkeer vervalsen. De enige manier om vervalste aanvallen vanaf het Internet te voorkomen op verbindingen waaraan openbare IPv4-adressen zijn toegekend, is het uitschakelen van de uitzondering. Daarom moet u proberen bereikopties te configureren zodat het aantal computers die ongevraagd verkeer mogen verzenden via een uitzondering, tot het minimum wordt teruggebracht. Hierdoor wordt de kans op een vervalste aanval verkleind (maar niet geëlimineerd). Als het beveiligingsbeleid van uw organisatie vereist dat niemand van buiten uw netwerk toegang kan krijgen tot een resource, moet u een benadering als IPSec overwegen, die peer-verificatie op netwerkniveau, verificatie van de herkomst van gegevens, gegevensintegriteit, gegevensvertrouwelijkheid (codering) en beveiliging tegen opnieuw afspelen ondersteunt.

Waarom is deze wijziging belangrijk? Welk risico gaat deze tegen?

Bepaalde toepassingen hoeven alleen te communiceren met andere computers in het lokale netwerk en niet met computers op internet. Als u Windows Firewall zodanig configureert dat alleen verkeer wordt toegestaan van lokaal bereikbare adressen of van specifieke adresbereiken in de vorm van lokaal gekoppelde subnetten, beperkt u de set adressen waarvan ongewenst binnenkomend verkeer kan worden geaccepteerd. Hiermee verkleint u de kans op aanvallen die kunnen optreden bij ingeschakelde uitzonderingen, maar de kans blijft bestaan.

Wat werkt er anders?

Wanneer de ingebouwde uitzondering voor bestands- en printerdeling of het UPnP-framework wordt ingeschakeld via het Configuratiescherm op een computer die lid is van een werkgroep, wordt de scope met adressen die lokaal bereikbaar zijn toegepast op de geopende poorten. Als een toepassing of service deze poorten ook gebruikt, kan deze alleen communiceren met andere knooppunten waaraan lokaal bereikbare adressen zijn toegewezen. Als de computer daarentegen lid is van een domein, wordt de globale scope toegepast.

Als deze uitzonderingen worden ingeschakeld met behulp van een API-aanroep of met Netsh.exe (en dus niet via het Configuratiescherm), worden voor de scope standaard de lokaal bereikbare adressen ingesteld, ongeacht of de computer lid is van een werkgroep of een domein.

Hoe los ik deze problemen op?

Als de toepassing of service bij gebruik van een dergelijke beperking niet werkt, moet u de poort openstellen voor een willekeurige computer, zoals wordt beschreven onder 'Moet ik mijn programmacode wijzigen als ik Windows Server 2003 Service Pack 1 wil gebruiken?' verderop in dit document.

Opdrachtregelondersteuning

Gedetailleerde beschrijving

De Windows Firewall Netsh Helper werd toegevoegd aan het pakket voor geavanceerde netwerken voor Windows XP. Deze helper was alleen van toepassing op IPv6 Windows Firewall. Bij Windows Server 2003 Service Pack 1 zijn de structuur en syntaxis van de helper gewijzigd en uitgebreid. Nu wordt ook ondersteuning geboden voor het configureren van IPv4. Met de Netsh Helper kunt u Windows Firewall volledig configureren:

  • De standaardstatus van Windows Firewall configureren (Uitgeschakeld, Ingeschakeld, Ingeschakeld zonder uitzonderingen).
  • Configureer de poorten die u wilt openstellen.
  • Configureer de poorten zo dat globale toegang is ingeschakeld of beperk de toegang tot het lokale subnet.
  • Stel poorten open op alle interfaces of alleen op een bepaalde interface.
  • De logboekregistratie configureren
  • De ICMP-verwerkingsopties (Internet Control Message Protocol) configureren
  • Op programma's gebaseerde uitzonderingen configureren en inschakelen

Configuratie- en statusgegevens voor Windows Firewall kunnen worden opgevraagd met de opdrachtregel Netsh.exe. firewall.

Als u deze context wilt gebruiken, typt u netsh firewall bij een opdrachtprompt en gebruikt u zo nodig aanvullende Netsh-opdrachten.

De volgende opdrachten zijn handig voor het verzamelen van informatie over de status en de configuratie van de firewall en kunnen goede diensten bewijzen bij het oplossen van problemen met de werking van de firewall:

  • Netsh firewall show state
  • Netsh firewall show config

Met de volgende opdrachten kunt u de configuratie van Windows Firewall wijzigen.

 

Opdracht Beschrijving

add allowedprogram

Hiermee kunt u uitgezonderd verkeer toevoegen door de bestandsnaam van het programma op te geven.

set allowedprogram

Hiermee kunt u de instellingen wijzigen van een uitzondering voor een bestaand toegestaan programma.

delete allowedprogram

Hiermee kunt u een uitzondering voor een bestaand toegestaan programma verwijderen.

set icmpsetting

Hiermee kunt u toegestaan ICMP-verkeer opgeven.

set logging

Met deze opdracht worden de opties voor logboekregistratie opgegeven.

set notifications

Hiermee kunt u aangeven of gebruikersmeldingen worden verzonden wanneer programma's proberen poorten te openen.

set opmode

Hiermee kunt u uitvoeringsmodus van Windows Firewall opgeven die globaal of voor een bepaalde verbinding (interface) geldt.

add portopening

Hiermee kunt u uitgezonderd gegevensverkeer toevoegen door een TCP- of UDP-poort op te geven.

set portopening

Hiermee kunt u de instellingen opgeven van een uitzondering voor een bestaande geopende TCP- of UDP-poort.

delete portopening

Hiermee kunt u uitzondering voor een bestaande, geopende TCP- of UDP-poort verwijderen.

set service

Hiermee kunt u RPC- en DCOM-verkeer, extern bureaublad, bestands- en printerdeling, en UPnP-verkeer inschakelen of uitschakelen.

reset

Hiermee kunt u de configuratie van de firewall instellen op standaardwaarden. Deze opdracht heeft dezelfde functie als de knop Standaardinstellingen herstellen in Configuratiescherm/Windows Firewall.

In de volgende tabel worden de opdrachten beschreven die worden ondersteund voor Windows Firewall.

 

Opdracht Beschrijving

show allowedprogram

Hiermee kunt u de toegestane programma's weergeven.

show config

Hiermee kunt u gedetailleerde informatie over de lokale configuratie weergeven.

show currentprofile

Hiermee kunt u het huidige profiel weergeven.

show icmpsetting

Hiermee kunt u de ICMP-instellingen weergegeven.

show logging

Hiermee kunt u de instellingen voor logboekregistratie weergeven.

show notification settings

Hiermee kunt u de huidige instellingen voor meldingen weergeven.

show opmode

Hiermee wordt de operationele modus voor profielen en interfaces weergegeven.

show portopening

Hiermee kunt u de uitgezonderde poorten weergeven.

show service

Hiermee worden de instellingen weergegeven van de uitzonderingen voor services.

show state

Hiermee kunt u informatie over de huidige status weergeven.

U kunt de uitvoer van deze opdrachten vergelijken met de uitvoer van de opdracht netstat –ano en op die manier de programma's opsporen waarvoor geopende luisterpoorten aanwezig zijn en in de firewallconfiguratie geen overeenkomstige uitzonderingen zijn opgegeven.

Waarom is deze wijziging belangrijk?

De opdrachtregelinterface biedt beheerders een methode om Windows Firewall te configureren zonder de grafische gebruikersinterface te hoeven gebruiken. De opdrachtregelinterface kan worden gebruikt in aanmeldingsscripts en bij extern beheer.

Wat werkt er anders?

Scripts die zijn gemaakt met de Netsh Helper uit het pakket voor geavanceerde netwerken voor Windows XP, werken niet meer en moeten worden bijgewerkt.

Hoe los ik deze problemen op?

Werk bestaande zodanig scripts bij dat ze de nieuwe firewallcontext en syntaxis bevatten.

Operationele modus 'Ingeschakeld zonder uitzonderingen'

Gedetailleerde beschrijving

Windows Firewall kan voor uitzonderingen worden geconfigureerd om specifiek ongewenst binnenkomend verkeer toe te staan tijdens normaal gebruik. Meestal gebeurt dit omdat belangrijke scenario's, zoals het delen van bestanden en printers, moeten worden ingeschakeld. Als er een beveiligingsprobleem wordt ontdekt in een of meer van de luisterende services of toepassingen die worden uitgevoerd op de computer, kan het nodig zijn dat de computer overschakelt op de modus 'alleen client', die 'Ingeschakeld zonder uitzonderingen' wordt genoemd. Als u overschakelt op deze modus, wordt Windows Firewall zodanig geconfigureerd dat al het ongewenste binnenkomende verkeer wordt geblokkeerd zonder dat de firewall opnieuw hoeft te worden geconfigureerd.

In deze modus worden alle uitzonderingen tijdelijk uitgeschakeld en worden bestaande verbindingen verbroken. Elke toepassingsinterface die Windows Firewall aanroept met het doel een uitzondering te maken, wordt toegelaten. Bovendien wordt de gevraagde firewallconfiguratie opgeslagen, maar pas ingeschakeld wanneer de normale werkingsmodus weer wordt hersteld. Daarnaast worden alle luisterverzoeken van toepassingen genegeerd en worden er geen meldingsdialoogvensters weergegeven. Hierdoor wordt voorkomen dat de toepassing een poort beluistert terwijl de computer zich in deze werkingsmodus bevindt.

Waarom is deze wijziging belangrijk?

Als het netwerksysteem wordt aangevallen door virussen, wormen en andere aanvallers, zoeken de indringers naar services waarvan ze misbruik kunnen maken. Met de operationele modus waarbij de firewall zonder uitzonderingen wordt ingeschakeld, kunt u de computer snel vergrendelen tegen een aanval, zodat geldige uitzonderingen niet kunnen worden gebruikt om de beveiliging van Windows Firewall te omzeilen.

Wat werkt er anders?

In deze operationele modus kan de computer niet luisteren naar verzoeken die afkomstig zijn van het netwerk. Bestaande binnenkomende verbindingen worden beëindigd. Uitgaande verbindingen zijn de enige verbindingen die niet mislukken.

Hoe los ik deze problemen op?

In deze operationele modus is het normaal dat bepaalde functionaliteit mislukt omdat er een strenge netwerkbeveiliging van kracht is. U kunt deze functionaliteit herstellen door de operationele modus in te stellen op Ingeschakeld. De gebruiker mag dit pas doen nadat de dreiging is geïdentificeerd en bestreden, omdat de beveiliging van de computer wordt verlaagd als u dit doet.

Op programma's gebaseerde uitzonderingen

Gedetailleerde beschrijving

Sommige programma's (toepassingen of services) fungeren als zowel netwerkclients als servers. Wanneer ze als servers optreden, moeten deze ongevraagd binnenkomend verkeer toestaan, omdat de aard van de peer niet van tevoren duidelijk is.

In eerdere versies van Windows moest een programma de firewall-API's aanroepen om de vereiste luisterpoorten te openen. Dit bleek een probleem te zijn in peer-to-peer-situaties, waarin de poort van tevoren niet bekend is. Het was aan het programma om de poort weer te sluiten nadat de communicatie was voltooid. Als het programma op onverwachte wijze is beëindigd, kan dit ertoe leiden dat er onbedoeld poorten geopend blijven in de firewall.

De hiervoor beschreven methode voor het openen van firewallpoorten had als bijkomend probleem dat de poorten alleen konden worden geopend als programma's in de beveiligingscontext van een lokale systeembeheerder werden uitgevoerd. Dit betekende dat de wet van de laagste bevoegdheid, het basisprincipe voor de beveiliging van gegevens, werd geschonden omdat programma's in een beheerderscontext moesten worden uitgevoerd, in plaats van met de minimaal vereiste bevoegdheden.

In Windows Server 2003 met Service Pack 1 kan een programma dat moet luisteren naar het netwerk, worden toegevoegd aan de lijst met uitzonderingen van Windows Firewall. Als een programma voorkomt op de lijst met uitzonderingen van Windows Firewall, zorgt Windows Firewall ervoor dat de noodzakelijke luisterpoorten automatisch worden geopend en gesloten, ongeacht de beveiligingscontext van het programma. Zie 'Hoe los ik deze problemen op?' verderop in dit document voor meer informatie over het toevoegen van programma's aan de lijst met uitzonderingen van Windows Firewall.

Programma's die werken met stateful filtering hoeven niet op de lijst met uitzonderen van Windows Firewall te worden geplaatst. Alleen beheerders kunnen een programma toevoegen aan de lijst met uitzonderingen van Windows Firewall.

Waarom is deze wijziging belangrijk? Welk risico gaat deze tegen?

Wanneer een programma wordt vermeld in de lijst met uitzonderingen van Windows Firewall, worden alleen de vereiste poorten geopend, en alleen voor zolang het programma op die poorten luistert.

Wat werkt er anders?

Als een programma het netwerk moet kunnen beluisteren, moet het worden toegevoegd aan de lijst met uitzonderingen van Windows Firewall en worden ingeschakeld. Als dit niet het geval is, wordt de vereiste poort in Windows Firewall niet geopend en kan het programma geen ongewenst binnenkomend verkeer ontvangen.

Hoe los ik deze problemen op?

U kunt een programma op vijf manieren op de lijst met uitzonderingen van Windows Firewall plaatsen:

  1. Programmatisch. Het is aan te raden dat onafhankelijke softwareleveranciers hun programma's tijdens de installatie op de lijst met uitzonderingen van Windows Firewall plaatsen. Zie 'Moet ik mijn code wijzigen om te kunnen werken met Windows Server 2003 Service Pack 1?' verderop in dit gedeelte voor meer informatie over het programmatisch toevoegen van een programma aan de lijst met uitzonderingen.
  2. Opdrachtregelinterface. Deze methode kan worden gebruikt door IT-beheerders die Windows XP- en Windows Server 2003-systemen beheren met scripts of andere opdrachtregelprogramma's.
  3. Groepsbeleidsinstellingen. Deze methode kan worden gebruikt door IT-beheerders om het programma aan de lijst met uitzonderingen toe te voegen via Groepsbeleid.
  4. Windows Firewall-bericht. Een gebruiker met beheerdersrechten is in staat tot interactie met het Windows Firewall-bericht en kan de toepassing toevoegen aan de lijst met uitzonderingen.
    Wanneer een toepassing een TCP-luisteractie of een UDP-bindactie uitvoert op een niet-wildcardpoort, geeft de netwerkstack de toepassingsnaam en poort door aan Windows Firewall. Windows Firewall zoekt de toepassingsnaam in de lijst met uitzonderingen. Als de toepassing in de lijst met uitzonderingen wordt vermeld en is ingeschakeld, wordt de corresponderende poort geopend in de firewall. Als de toepassing voorkomt in de lijst met uitzonderingen en uitgeschakeld is, wordt de poort in kwestie niet geopend. Als de toepassing niet wordt vermeld in de lijst met uitzonderingen, wordt gebruikers gevraagd een keuze te maken. Als de gebruikers beheerdersrechten hebben, kunnen ze:
    • De blokkering van de toepassing opheffen om deze toe te staan op het netwerk te luisteren. De toepassing wordt aan de lijst met uitzonderingen toegevoegd en ingeschakeld, en de poort wordt geopend.
    • Het luisteren op het netwerk door de toepassing blokkeren. De toepassing wordt aan de lijst met uitzonderingen toegevoegd en ingeschakeld, en de poort wordt geopend.
    • Ervoor kiezen deze vraag later opnieuw weer te geven. De toepassing wordt niet aan de lijst met uitzonderingen toegevoegd en de poort wordt niet geopend.
    Als de gebruiker niet over beheerdersrechten beschikt, ontvangt de gebruiker de melding dat de toepassing niet mag luisteren op het netwerk en dat iemand met beheerdersrechten de programma-uitzondering moet inschakelen. Als de gebruiker het selectievakje Niet meer vragen inschakelt, wordt de toepassing in de lijst opgenomen met de vermelding Uitgeschakeld.
    noteOpmerking
    Meldingen kunnen alleen worden gebruikt met toepassingen, en niet met services.
  5. Handmatige configuratie. Beheerders kunnen besluiten een programma handmatig in te schakelen via het onderdeel Windows Firewall in het Configuratiescherm door het programma te selecteren in een lijst die is samengesteld op basis van de lijst met programma's in het menu Start of door het programma te selecteren in het selectievenster.

Meerdere profielen

Gedetailleerde beschrijving

Als u ondersteuning voor meerdere profielen hebt in Windows Firewall kunt u twee sets firewallbeleidsinstellingen maken: een voor wanneer de computer is verbonden met een beheerd netwerk en een voor wanneer dit niet het geval is. U kunt instellingen opgeven die minder streng zijn wanneer de computer is verbonden met het bedrijfsnetwerk om LOB-toepassingen (Line-Of-Business) toe te staan. U kunt ook strengere beveiligingsbeleidsinstellingen hebben die van kracht worden wanneer het bedrijfsnetwerk wordt verlaten. Dit ter beveiliging van mobiele gebruikers.

noteOpmerking
Meerdere profielen voor Windows Firewall is alleen van toepassing op computers die horen bij een Active Directory-domein. Voor computers in een werkgroep wordt maar één profiel gebruikt.

Waarom is deze wijziging belangrijk? Welk risico gaat deze tegen?

Voor een mobiele computer is het wenselijk meer dan een firewallconfiguratie te hebben. Vaak is een configuratie die veilig is op een bedrijfsnetwerk, kwetsbaar voor aanvallen op internet. De mogelijkheid om poorten te openen op het bedrijfsnetwerk en niet op andere netwerken is daarom van het grootste belang om ervoor te zorgen dat alleen de vereiste poorten op een bepaald moment worden opengesteld.

Wat werkt er anders?

Als een toepassing moet worden vermeld in de lijst met uitzonderingen van Windows Firewall om goed te kunnen werken, werkt deze mogelijk niet op beide netwerken omdat de twee profielen mogelijk niet dezelfde set beleidsinstellingen hebben. Als u wilt dat een toepassing werkt op alle netwerken, moet deze worden vermeld in beide profielen. Zie het eerdere gedeelte voor meer informatie over de lijst met uitzonderingen van Windows Firewall.

Hoe los ik deze problemen op?

Als de computer bij een domein hoort, moet u controleren of de toepassing wordt vermeld in beide firewallconfiguraties. U kunt overwegen uitzonderingen op te geven via de opdrachtregelinterface of door middel van Groepsbeleid aangezien u alleen toegang hebt tot het actieve profiel via Windows Firewall in het Configuratiescherm.

RPC-ondersteuning voor Systeemservices

Gedetailleerde beschrijving

In lagere versies van Windows blokkeerde de Firewall voor Internet-verbinding RPC-communicatie (Remote Procedure Call). Hoewel de Firewall voor Internet-verbinding zodanig kon worden geconfigureerd dat netwerkverkeer naar de RPC-eindpunttoewijzer werd toegestaan, was de poort die een RPC-server gebruikte onbekend en mislukte de toepassing toch.

Veel ondernemingstoepassingen en -onderdelen mislukken als RPC geen toestemming krijgt om te communiceren via het netwerk. Hier volgt een aantal voorbeelden:

  • Extern beheer, zoals de functie Computerbeheer en de dialoogvensters Gebruiker selecteren, Computer selecteren en Groep selecteren, die worden gebruikt door veel toepassingen
  • Externe WMI-configuratie (Windows Management Instrumentation)
  • Scripts die externe clients en servers beheren

RPC opent verschillende poorten en stelt vervolgens veel verschillende servers open op die poorten. In Windows Firewall moeten vervolgens uitzonderingen worden gemaakt die aan deze poorten zijn gekoppeld. Als Windows Firewall zodanig is geconfigureerd dat dergelijke aanvragen worden toegestaan, worden de vereiste poorten geopend zolang RPC de uitzondering nodig hebt (gelijk aan een uitzondering voor programma's).

Waarom is deze wijziging belangrijk? Welk risico gaat deze tegen?

Om scenario's voor extern beheer in te schakelen is voor veel implementaties in de volledige onderneming vereist dat de systeemservices die gebruikmaken van RPC, standaard werken met Windows Firewall.

Wat werkt er anders?

Standaard werkt RPC niet via Windows Firewall. Alle systeemservices die gebruikmaken van RPC, worden hierdoor beïnvloed. Windows Firewall kan echter kan echter zodanig worden geconfigureerd dat wordt toegestaan dat RPC voor deze services werkt met de instelling Extern beheer. Met deze instelling worden bovendien uitzonderingen ingeschakeld voor de RPC-eindpunttoewijzer (TCP 135), SMB via TCP (TCP 445) en ICMP-echoaanvragen.

Hoe los ik deze problemen op?

Zie 'Moet ik mijn code wijzigen om te kunnen werken met Windows Server 2003 Service Pack 1?' verderop in dit document.

Standaardwaarden herstellen

Gedetailleerde beschrijving

Voorheen kon een gebruiker de configuratie van Firewall voor Internet-verbindingen (ICF) niet op de beginwaarden instellen. Het is mogelijk dat de firewall mettertijd zo wordt geconfigureerd dat ongevraagd binnenkomend verkeer wordt toegestaan op poorten die niet meer door andere toepassingen worden gebruikt. Hierdoor kon de gebruiker mogelijk moeilijk de standaardconfiguratie herstellen.

Met deze optie kan de gebruiker Windows Firewall-instellingen terugzetten naar de oorspronkelijke standaardwaarden. Bovendien kunnen de standaardwaarden van Windows Firewall worden aangepast door OEM's (Original Equipment Manufacturers) en bedrijven om aangepaste standaardconfiguratieopties te bieden.

Waarom is deze wijziging belangrijk?

Met deze optie kunnen eindgebruikers hun Windows Firewall-instellingen terugzetten naar de oorspronkelijke standaardwaarden.

Wat werkt er anders?

Deze toevoeging brengt geen functionele wijzigingen met zich mee in Windows Firewall. Als u deze functie gebruikt, worden Internet-verbinding delen en Netwerkbrug echter wel uitgeschakeld.

Ondersteuning voor installatie zonder toezicht

Gedetailleerde beschrijving

In lagere versies van Windows was het niet mogelijk om de Firewall voor Internet-verbinding tijdens de installatie te configureren. Hierdoor werd het moeilijk voor OEM's en bedrijven om de Firewall voor Internet-verbinding te configureren voordat een computer werd geleverd aan de eindgebruikers. In Windows Server 2003 met Service Pack 1 kunt u de volgende opties van Windows Firewall configureren via installatie zonder toezicht:

  • Operationele modus
  • Toepassingen op de lijst met uitzonderingen van Windows Firewall
  • Statische poorten op de lijst met uitzonderingen
  • ICMP-opties
  • Logboekregistratieopties

Waarom is deze wijziging belangrijk?

De methode voor het vooraf configureren van Windows Firewall biedt resellers van Windows en grote ondernemingen meer flexibiliteit en aanpassingsopties voor Windows Firewall.

Wat werkt er anders?

Deze functie maakt de configuratie van Windows Firewall flexibeler. Deze toevoeging brengt geen functionele wijzigingen met zich mee in Windows Firewall.

De syntaxis voor het inschakelen of uitschakelen van Firewall voor Internet-verbindingen in het script Unattend is vervangen door de nieuwe syntaxis voor Windows Firewall.

De secties van het bestand Unattend.txt voor Windows Firewall-configuratie bestaan uit de volgende onderdelen:

  • [WindowsFirewall]
    Een vereiste sectie waarin de gebruikte profielen en de instellingen voor het logboekbestand van Windows Firewall worden aangegeven.
  • [WindowsFirewall.profile_name]
    De sectie met het domeinprofiel, [WindowsFirewall.Domain], bevat instellingen voor gevallen waarin de computer is verbonden met een netwerk met domeincontrollers voor het domein waarvan de computer lid is. De sectie met het standaardprofiel, [WindowsFirewall.Standard], bevat instellingen voor gevallen waarin de computer niet is verbonden met een netwerk met domeincontrollers voor het domein waarvan de computer lid is. Als u niet wilt dat Windows Firewall wordt gebruikt, geeft u Profiles = WindowsFirewall.TurnOffFirewall op.
    De sectie [WindowsFirewall.profile_name] is een door de gebruiker gedefinieerde sectie waarnaar in de sectie [WindowsFirewall] wordt verwezen en die het mogelijk maakt wijzigingen aan te brengen in de standaardconfiguratie van Windows Firewall.
  • [WindowsFirewall.program_name]
    Een door de gebruiker gedefinieerde sectie waarmee een programma aan de lijst met uitzonderingen voor Windows Firewall kan worden toegevoegd.
  • [WindowsFirewall.service_name]
    Een door gebruiker gedefinieerde sectie waarmee een vooraf gedefinieerde service (zoals bestands- en printerdeling, UPnP-framework, Remote Desktop-service en Remote Administration-service) aan de lijst met uitzonderingen voor Windows Firewall kan worden toegevoegd.
  • [WindowsFirewall.portopening_name]
    Een door de gebruiker gedefinieerde sectie waarmee een poort aan de lijst met uitzonderingen voor Windows Firewall kan worden toegevoegd.
  • [WindowsFirewall.icmpsetting_name]
    Een door de gebruiker gedefinieerde sectie waarmee ICMP-berichttypen aan de lijst met uitzonderingen voor Windows Firewall kunnen worden toegevoegd.

Welke bestaande functionaliteit is er gewijzigd in Windows Server 2003 Service Pack 1?

Verbeterde multicast- en broadcast-ondersteuning

Gedetailleerde beschrijving

Multicast- en broadcast-netwerkverkeer verschilt van unicast-verkeer omdat de reactie van een onbekende host komt. In dat geval wordt met stateful filtering voorkomen dat de reactie wordt geaccepteerd. Hiermee wordt de werking van een aantal scenario's voorkomen, van streaming media tot discovery.

Om deze scenario's in te schakelen staat Windows Firewall drie seconden lang een unicast-reactie toe van elk direct bereikbaar bronadres op dezelfde poort als waarvan het multicast- of broadcast-verkeer afkomstig is.

Waarom is deze wijziging belangrijk? Welk risico gaat deze tegen?

Hiermee staat u toepassingen en services die multicast en broadcast gebruiken om te communiceren, toe om te werken zonder dat het firewallbeleid moet worden gewijzigd door de gebruiker of de toepassing/service. Dit is belangrijk voor bijvoorbeeld NETBIOS via TCP/IP, omdat gevoelige poorten als poort 135 dan niet worden opengesteld.

Wat werkt er anders? Zijn er nog afhankelijkheden?

In Windows Server 2003 werd multicast- en broadcast-verkeer stateful gefilterd door de Firewall voor Internet-verbinding. De gebruiker moest de poort hierbij handmatig openen om de reactie te ontvangen. In Windows Server 2003 Service Pack 1 accepteert Windows Firewall de reactie op het multicast- of broadcast-verkeer zonder extra configuraties.

Bijgewerkte gebruikersinterface

Gedetailleerde beschrijving

In de gebruikersinterface van de firewall in Windows Server 2003 Service Pack 1 zijn de nieuwe configuratieopties opgenomen en is Firewall voor Internet-verbindingen voor IPv6 geïntegreerd. De nieuwe interface van Windows Firewall biedt de gebruiker de mogelijkheid de werkingsstatus, de globale configuratie, de opties voor logboekregistratie en de ICMP-opties te wijzigen.

De hoofdingang van de gebruikersinterface is verplaatst van het dialoogvenster Eigenschappen van de verbinding naar een pictogram in het Configuratiescherm. Op de oude locatie treft u een koppeling aan. Bovendien biedt Windows Server 2003 Service Pack 1 een koppeling vanuit de map Netwerkverbindingen.

Waarom is deze wijziging belangrijk?

Voor de functionaliteit die is toegevoegd in Windows Server 2003 Service Pack 1, waren updates vereist voor de gebruikersinterface.

Wat werkt er anders?

De gebruikersinterface is verplaatst van het tabblad Geavanceerd van het dialoogvenster Eigenschappen van de netwerkverbinding naar een specifiek Windows Firewall-pictogram in het Configuratiescherm.

Nieuwe ondersteuning voor Groepsbeleid

Gedetailleerde beschrijving

In lagere versies van Windows had de Firewall voor Internet-verbinding één groepsbeleidsobject (GPO): Het gebruik van Firewall voor Internet-verbinding op het DNS-domeinnetwerk verbieden. Met Windows Server 2003 Service Pack 1 kan elke optie voor globale configuratie worden ingesteld via Groepsbeleid. Voorbeelden van de nieuwe configuratieopties:

  • Uitzonderingen voor programma's definiëren
  • Uitzonderingen voor lokale programma's toestaan
  • Uitzonderingen voor ICMP toestaan
  • Berichten verbieden
  • Uitzondering op bestands- en printerdeling toestaan
  • Aanmelding toestaan

Elk van deze objecten kan worden ingesteld voor zowel het bedrijfs- als het standaardprofiel. Zie 'Deploying Windows Firewall Settings for Microsoft Windows XP with Service Pack 2' op de website van Microsoft Downloadcentrum op http://go.microsoft.com/fwlink/?linkid=23277 voor meer informatie over Groepsbeleid. In dit document vindt u ook informatie over ontwikkelingen in Windows Server 2003 Service Pack 1.

Waarom is deze wijziging belangrijk?

Het is van belang dat systeembeheerders de beleidsinstellingen voor Windows Firewall centraal beheren en op die manier de toepassingen en scenario's inschakelen die in de bedrijfsomgeving moeten kunnen worden gebruikt.

Wat werkt er anders?

De IT-beheerder kan nu de standaard-Windows Firewall-beleidsset instellen. Hiermee kunnen toepassingen en scenario's worden in- en uitgeschakeld. Dit biedt meer mogelijkheden, maar de onderliggende functionaliteit van Windows Firewall verandert niet door het beleid.

Welke instellingen zijn er toegevoegd of gewijzigd in Windows Server 2003 Service Pack 1?

 

Naam van instelling Locatie Vorige standaardwaarde Standaardwaarde Mogelijke waarden

Alle netwerkverbindingen beschermen

(Groepsbeleidsobject) Computerconfiguratie \Beheersjablonen \Netwerk\Netwerkverbindingen\ \Windows Firewall

Niet van toepassing

Niet geconfigureerd

Ingeschakeld

Uitgeschakeld

Geen uitzonderingen toestaan

(Groepsbeleidsobject) Computerconfiguratie \Beheersjablonen \Netwerk\Netwerkverbindingen \Windows Firewall

Niet van toepassing

Niet geconfigureerd

Ingeschakeld

Uitgeschakeld

Uitzonderingen voor programma's definiëren

(Groepsbeleidsobject) Computerconfiguratie \Beheersjablonen \Netwerk\Netwerkverbindingen \Windows Firewall

Niet van toepassing

Niet geconfigureerd

Ingeschakeld [Programmapad] [Scope]

Uitgeschakeld

Uitzonderingen voor lokale programma's toestaan

(Groepsbeleidsobject) Computerconfiguratie \Beheersjablonen \Netwerk\Netwerkverbindingen \Windows Firewall

Niet van toepassing

Niet geconfigureerd

Ingeschakeld

Uitgeschakeld

Uitzondering voor beheer op afstand toestaan

(Groepsbeleidsobject) Computerconfiguratie \Beheersjablonen \Netwerk\Netwerkverbindingen \Windows Firewall

Niet van toepassing

Niet geconfigureerd

Ingeschakeld

Uitgeschakeld

Uitzondering op bestands- en printerdeling toestaan

(Groepsbeleidsobject) Computerconfiguratie \Beheersjablonen \Netwerk\Netwerkverbindingen \Windows Firewall

Niet van toepassing

Niet geconfigureerd

Ingeschakeld

Uitgeschakeld

Uitzonderingen voor ICMP toestaan

(Groepsbeleidsobject) Computerconfiguratie \Beheersjablonen \Netwerk\Netwerkverbindingen \Windows Firewall

Niet van toepassing

Niet geconfigureerd

Ingeschakeld

Selecteer na het inschakelen welke van de volgende berichttypen u wilt toestaan:

[Uitgaande bestemming onbereikbaar toestaan]

[Uitgaande bronverzadiging toestaan]

[Omleiden toestaan]

[Binnenkomende echoaanvraag toestaan]

[Uitgaande tijd overschreden toestaan]

[Uitgaand parameterprobleem toestaan]

[Binnenkomende tijdstempelaanvraag toestaan]

[Binnenkomende maskeraanvraag toestaan]

[Uitgaand pakket te groot toestaan]

Uitgeschakeld

Uitzondering voor Extern bureaublad toestaan

(Groepsbeleidsobject) Computerconfiguratie \Beheersjablonen \Netwerk\Netwerkverbindingen \Windows Firewall

Niet van toepassing

Niet geconfigureerd

Ingeschakeld

Uitgeschakeld

Uitzondering voor UPnP-framework toestaan

(Groepsbeleidsobject) Computerconfiguratie \Beheersjablonen \Netwerk\Netwerkverbindingen \Windows Firewall

Niet van toepassing

Niet geconfigureerd

Ingeschakeld

Uitgeschakeld

Berichten verbieden

(Groepsbeleidsobject) Computerconfiguratie \Beheersjablonen\Netwerk \Netwerkverbindingen \Windows Firewall

Niet van toepassing

Niet geconfigureerd

Ingeschakeld

Uitgeschakeld

Aanmelding toestaan

(Groepsbeleidsobject) Computerconfiguratie \Beheersjablonen\Netwerk \Netwerkverbindingen \Windows Firewall

Niet van toepassing

Niet geconfigureerd

Ingeschakeld

Uitgeschakeld

Unicast-antwoord op multicast- of broadcast-verzoeken verbieden

(Groepsbeleidsobject) Computerconfiguratie \Beheersjablonen\Netwerk \Netwerkverbindingen \Windows Firewall

Niet van toepassing

Niet geconfigureerd

Ingeschakeld

Uitgeschakeld

Poortuitzonderingen definiëren

(Groepsbeleidsobject) Computerconfiguratie \Beheersjablonen\Netwerk \Netwerkverbindingen \Windows Firewall

Niet van toepassing

Niet geconfigureerd

Ingeschakeld

Uitgeschakeld

Uitzonderingen voor lokale poort toestaan

(Groepsbeleidsobject) Computerconfiguratie \Beheersjablonen\Netwerk \Netwerkverbindingen \Windows Firewall

Niet van toepassing

Niet geconfigureerd

Ingeschakeld

Uitgeschakeld

Moet ik mijn code wijzigen om te kunnen werken met Windows Server 2003 Service Pack 1?

Het is aan te raden de wizard Beveiligingsconfiguratie te gebruiken om Windows Firewall te configureren voor gebruik met Windows Server 2003 Service Pack 1. Deze wizard is ontworpen met het oog op de vereisten van verschillende serverrollen en een verschillende werklast en op het juist configureren van de firewallinstellingen. Als u de firewallinstellingen handmatig wilt configureren, leest u de volgende informatie over de gevolgen hiervan voor uw toepassingen.

Uitgaande verbindingen

Beschrijving

Standaardcomputers voor eindgebruikers en standaardkantoorcomputers zijn clients op het netwerk. Software op de computer heeft een uitgaande verbinding met een server en krijg reacties terug van de server. Windows Firewall staat alle uitgaande verbindingen toe, maar past regels toe op de typen binnenkomende communicatie.

Enkele voorbeelden van taken waarvoor Microsoft-toepassingen nodig zijn en die mogelijk op deze wijze werken zijn:

  • Surfen op het web met Microsoft Internet Explorer.
  • E-mail controleren in Outlook Express.
  • Chatten in MSN Messenger of Windows Messenger.

Actie vereist

Geen. Windows Firewall staat automatisch alle uitgaande verbindingen toe, ongeacht het programma of de gebruikerscontext.

noteOpmerking
Wanneer een computer een TCP-sessieaanvraag initieert op een doelcomputer, worden alleen reacties van die doelcomputer geaccepteerd. Wanneer de computer UDP-pakketten verzendt, staat Windows Firewall gedurende ca. 90 seconden toe dat er van een willekeurig IP-adres UDP-antwoorden worden ontvangen op de poort waarvan de UDP-pakketten afkomstig zijn. Unicast-reacties op multicast- en broadcast-verkeer zijn drie seconden lang toegestaan via Windows Firewall als de reacties gericht zijn aan de poort via welke het verkeer is verzonden, en afkomstig zijn van IP-adressen op hetzelfde subnet als de computer. Dit gedrag wordt geregeld door een instelling in de firewall, die standaard is ingeschakeld.

Ongewenste binnenkomende verbindingen voor toepassingen

Beschrijving

Bij dit scenario gaat het om een toepassing die een luisterbewerking op een TCP-socket voltooit of zichzelf aan een specifieke UDP-socket bindt via Winsock. Voor dit scenario kan Windows Firewall zo vaak poorten automatisch openen en sluiten als nodig is voor de toepassing.

Enkele voorbeelden van taken waarvoor Microsoft-toepassingen nodig zijn en die mogelijk op deze wijze werken zijn:

  • Het gebruik van audio en video in MSN Messenger of Windows Messenger.
  • De overdracht van bestanden in MSN Messenger of Windows Messenger.
  • Het hosten van games voor meerdere spelers.

Actie vereist

Als u een toepassing wilt ontwikkelen die een of meer poorten moet beluisteren, wordt u vriendelijk verzocht de programmacode zodanig aan te passen dat de gebruikers om toestemming wordt gevraagd voor het openen van poorten in de firewall:

  • Als de gebruiker hiermee instemt, kan de toepassing via de API INetFwAuthorizedApplication worden toegevoegd aan de collectie AuthorizedApplications met de status Ingeschakeld.
  • Als de gebruiker hiermee niet instemt, kan de toepassing via de API INetFwAuthorizedApplication worden toegevoegd aan de collectie AuthorizedApplications met de status Uitgeschakeld.

Wanneer u de INetFwAuthorizedApplication-API gebruikt om een toepassing toe te voegen aan de verzameling AuthorizedApplications, zijn de volgende waarden vereist:

  • Afbeeldingsbestandsnaam. Dit is het bestand dat Winsock aanroept om te luisteren naar netwerkverkeer. Dit moet een volledig pad zijn, maar het kan omgevingsvariabelen bevatten.
  • Beschrijvende naam. Dit is de beschrijving voor de toepassing die aan gebruikers wordt getoond in de gebruikersinterface van Windows Firewall.

Zie 'INetFwAuthorizedApplication' in de Microsoft Platform Software Development Kit (SDK) op de website van MSDN op http://go.microsoft.com/fwlink/?LinkId=32000 voor meer informatie over de INetFwAuthorizedApplication-API.

Windows Firewall controleert Winsock om te zien wanneer toepassingen starten en stoppen met het luisteren op poorten. Als gevolg hiervan worden poorten automatisch geopend en gesloten voor toepassingen nadat deze zijn ingeschakeld in de lijst met uitzonderingen van Windows Firewall. Dit betekent dat Winsock-toepassingen verder niets hoeven te doen om poorten in de firewall te openen en te sluiten.

noteOpmerking
Een toepassing moet worden uitgevoerd in de context van een gebruiker met beheerdersrechten om zichzelf te kunnen toevoegen aan de lijst met uitzonderingen van Windows Firewall. Poorten in de firewall worden automatisch geopend en gesloten voor Winsock-toepassingen waarvoor dat is toegestaan, ongeacht de gebruikerscontext waarin de toepassingen worden uitgevoerd. Toepassingen hebben de toestemming van de gebruiker nodig voordat ze zichzelf kunnen toevoegen aan de verzameling INetFwAuthorizedApplications. Svchost.exe kan niet worden toegevoegd aan de verzameling INetFwAuthorizedApplications.

Binnenkomende verbindingen voor services waarvoor vaste poorten worden gebruikt

Beschrijving

Hoewel ontwikkelaars wordt aangeraden de INetFWAuthorizedApplication-API's te gebruiken voor alle andere scenario's, is het gebruik van globale poort-API's in Windows Firewall aan te raden voor services die luisteren op vaste poorten. Aangezien deze poorten altijd geopend zijn, heeft het dynamisch openen van de poorten amper toegevoegde waarde. In plaats hiervan kunnen gebruikers de firewallinstellingen voor deze vaste poorten aanpassen wanneer de globale poort-API's worden gebruikt.

Voorbeelden van services waarvoor binnenkomende verbindingen vereist zijn:

  • Bestanden en printers delen
  • UPnP-architectuur
  • Extern bureaublad

Actie vereist

Wanneer service een vaste poort moet beluisteren, moet de gebruiker om toestemming worden gevraagd voor het openen van de poorten in de firewall. Idealiter moet dit tijdens de installatie van de service gebeuren.

Als de gebruiker hiermee instemt, moet de service de API INetFwOpenPort gebruiken om regels aan Windows Firewall toe te voegen voor de vaste poorten die de service nodig heeft. Deze regels moeten worden ingeschakeld.

Als de gebruiker hiermee niet instemt, moet de service toch de API INetFwOpenPort gebruiken om regels aan Windows Firewall toe te voegen voor de poorten die de service nodig heeft. Deze regels moeten echter niet worden ingeschakeld.

Wanneer u de INetFwOpenPort-API gebruikt om een poortopening toe te voegen aan Windows Firewall, zijn de volgende waarden vereist:

  • Protocol. Dit is de naam van het netwerkprotocol dat door de service wordt gebruikt: TCP of UDP.
  • Poort. Dit is het nummer van de te openen poort.
  • Beschrijvende naam. Dit is de beschrijving voor de poortopening die aan gebruikers wordt getoond in de gebruikersinterface van Windows Firewall.

Zie 'InetFwOpenPort' in de Platform Software Development Kit op de website van MSDN op http://go.microsoft.com/fwlink/?LinkId=35316 voor meer informatie over de API INetFwOpenPort.

Wanneer een service is uitgeschakeld, moet deze indien mogelijk de INetFwOpenPort-API gebruiken om de statische poorten te sluiten die deze heeft geopend. Dit is geen probleem als het de enige service is die de poorten gebruikt. Als de service de poorten echter mogelijk deelt met andere services, moeten de poorten niet worden gesloten, tenzij kan worden bevestigd dat geen van de andere services de poorten gebruikt.

Een toepassing moet worden uitgevoerd in de context van een gebruiker met beheerdersrechten om statische poorten te kunnen openen in Windows Firewall.

noteOpmerking
Wanneer poorten statisch worden geopend via de INetFw-API, moet een service zich indien mogelijk beperken tot verkeer van het lokale subnet. Voordat services statisch poorten openen in Windows Firewall, moet de gebruiker daarvoor om toestemming worden gevraagd. Een service mag poorten nooit automatisch openen zonder de gebruiker eerst te waarschuwen.

Binnenkomende verbindingen op RPC- en DCOM-poorten voor systeemservices

Beschrijving

Voor sommige systeemservices is het gebruik van RPC-poorten vereist, via DCOM of rechtstreeks via RPC, voor binnenkomende verbindingen. Vanwege de grote beveiligingsrisico's bij het openen van RPC-poorten worden deze poorten als een speciaal geval behandeld en moeten ontwikkelaars proberen RPC voor systeemservices via Windows Firewall alleen in te schakelen wanneer het niet anders kan.

Actie vereist

Windows Firewall kan zodanig worden geconfigureerd dat het automatisch openen en sluiten van RPC- en DCOM-poorten voor systeemservices wordt ingeschakeld. Standaard wordt RPC echter geblokkeerd door Windows Firewall. Dit houdt in dat toepassingen die de RPC-poorten gebruiken om gegevens over te brengen naar systeemservices, Windows Firewall moeten aanpassen. Wanneer een toepassing deze functie moet inschakelen, moet deze de gebruiker vragen of het voor de services is toegestaan poorten in de firewall te openen. Idealiter moet dit tijdens de installatie gebeuren.

Als de gebruiker ermee instemt dat wordt toegestaan dat RPC-poorten worden geopend, moet de service de INetFwRemoteAdminSettings-API gebruiken om de poorten te openen die de service nodig heeft.

Als de gebruiker er niet mee instemt dat wordt toegestaan dat de RPC-poorten worden geopend, moet de toepassing of service Windows Firewall niet zodanig configureren dat wordt toegestaan dat de RPC-poorten worden geopend.

Voor meer informatie over de API INetFwRemoteAdminSettings raadpleegt u 'INetFwAuthorizedApplication' op de website van MSDN op http://go.microsoft.com/fwlink/?linkid=32000 en klikt u in de inhoudsopgave op 'RemoteAddresses Property of InetFwAuthorizedApplication'.

noteOpmerking
Als u het automatisch openen van RPC-poorten in Windows Firewall wilt in- of uitschakelen, moet er een toepassing of service worden uitgevoerd in de context van een gebruiker met beheerdersrechten. Een toepassing of service moet alleen proberen de RPC-poorten toe te staan via Windows Firewall wanneer het niet anders kan. Als de RPC-poorten al zijn toegestaan, hoeft de toepassing of service niets te doen voor een goede werking. Met behulp van de API IsPortAllowed kunt u bepalen welke poorten al geopend zijn. De RPC-poortinstelling werkt alleen voor RPC-servers die worden uitgevoerd in de context van een lokaal systeem, netwerkservice of lokale service. Poorten die worden geopend door RPC-servers die worden uitgevoerd in een andere gebruikerscontext, worden niet ingeschakeld via deze instelling. Dergelijke RPC-servers moeten de lijst met uitzonderingen van Windows Firewall gebruiken.
Vindt u dit nuttig?
(1500 tekens resterend)
Bedankt voor uw feedback

Community-inhoud

Weergeven:
© 2014 Microsoft