Logo Swiss IT Reseller
MEDIADATEN
ABONNIEREN
NEWSLETTER

Windows-Firewall mit erweiterter Sicherheit

Neben der einfachen Standard-Firewall des Security Centers schlummert im Hintergrund von Windows Vista auch eine weitergehende Firewall, die sich bis ins letzte Detail konfigurieren lässt.

Artikel erschienen in Swiss IT Magazine 2008/12

     

In Windows Vista finden sich gleich zwei Firewall-Varianten: die einfache Firewall, die mit vielen vorkonfigurierten Regeln arbeitet und wenig Vorwissen benötigt, und die Windows-Firewall mit erweiterter Sicherheit. Dort lassen sich Regeln granular und differenziert festlegen.


Um mit der Windows-Firewall mit erweiterter Sicherheit arbeiten zu können, braucht es allerdings deutlich mehr Wissen über die Anwendungen, die Protokolle des TCP/IP-Stacks und generell die Konfiguration von Firewalls. Dafür kann man aber auch viel genauer steuern, welche Zugriffe zugelassen werden und welche nicht.



Der Aufruf der Anwendung erfolgt über die Systemsteuerung. Dort findet sie sich aber im Bereich Verwaltung. Für den Aufruf ist bei aktivierter UAC (User Account Control) eine Zustimmung erforderlich, weil es sich um eine sicherheitsrelevante Anwendung handelt.


Die Profile

Auf der Startseite wird zunächst eine Übersicht zum aktuellen Status der Firewall angezeigt. Dabei fallen drei Profile auf, die voneinander unterschieden werden. Profile erlauben es, mit unterschiedlichen Firewall-Einstellungen zu arbeiten, je nachdem, wo das System betrieben wird.


Das Domänenprofil ist das Profil, das dann genutzt wird, wenn der Computer mit einem Netzwerk verbunden ist und die Authentifizierung über das Domänenkonto durchgeführt wurde. Es handelt sich um das Profil, das in der Regel die meisten Möglichkeiten bietet, da davon auszugehen ist, dass das Unternehmensnetzwerk tendenziell sicherer als private oder öffentliche Netzwerke ist. Allerdings darf man die realen Sicherheitsrisiken in Unternehmensnetzwerken nicht unterschätzen und sollte auch hier eher restriktive Firewall-Regeln konfigurieren.



Das private Profil ist für die Nutzung der Systeme in privaten Netzwerken oder beim isolierten Betrieb nur mit Internet-Verbindungen im privaten Umfeld vorgesehen, also beispielsweise im Home Office. Die Einstellungen sollten hier in jedem Fall restriktiver sein als beim Domänenprofil.


Schliesslich gibt es noch das öffentliche Profil, das genutzt wird, wenn ein System mit einem öffentlichen Netzwerk, also typischerweise einem drahtlosen Netzwerk ausserhalb des Unternehmens, verbunden ist. Hier werden tendenziell noch restriktivere Sicherheitseinstellungen als beim privaten Profil verwendet.
Die Unterscheidung der drei Profile ist vor allem für Notebooks von Bedeutung, aber auch bei einer Zuweisung von Firewall-Einstellungen über die Gruppenrichtlinien an unterschiedliche Gruppen von Geräten.


Die Eigenschaften der Firewall

Der erste Schritt der Konfiguration ist die Festlegung des Grundverhaltens der verschiedenen Profile. Die Konfiguration erfolgt über den Eigenschaften-Dialog für die Windows-Firewall mit erweiterter Sicherheit. In dem Dialogfeld gibt es vier Register. Drei davon beziehen sich auf die unterschiedlichen Profile, das vierte auf die IPsec-Einstellungen. Auf diese wird weiter unten noch im Zusammenhang mit den Verbindungsregeln und der Verbindungssicherheit näher eingegangen.
In den Registern für die Profile kann zunächst der Firewall-Status definiert werden. Die Firewall kann pro Profil aktiviert oder deaktiviert werden. Ausserdem finden sich hier auch die Festlegungen für eingehende und ausgehende Verbindungen.

Standardmässig sind die Option Blocken (Standard) und Zulassen (Standard) aktiviert. Das bedeutet, dass alle eingehenden Verbindungen unterbunden werden, wenn sie nicht explizit durch Firewall-Regeln zugelassen werden. Auf der anderen Seite werden alle ausgehenden Verbindungen zugelassen, wenn es nicht eine Regel gibt, die das verbietet.


Für eingehende Verbindungen gibt es auch die Option, diese zuzulassen oder generell – ohne jede Ausnahme – zu blocken. Ebenso können auch ausgehende Verbindungen zunächst geblockt werden, um dann über Firewall-Regeln selektiv einzelne Verbindungen zuzulassen. Mit den Grundeinstellungen wird man aber meist gute Ergebnisse erzielen.
Die Einstellungen sind übrigens standardmässig für alle Profile gleich. Der Unterschied ergibt sich erst durch die Firewall-Regeln, deren Gültigkeit pro Profil festgelegt werden muss. Es gibt also beispielsweise vordefinierte Firewall-Regeln, die nicht für das Domänen-Profil gelten, sondern nur für das private und das öffentliche Profil.



Weitere Einstellungen betreffen Grundeinstellungen wie die Entscheidung darüber, ob die Benutzer Meldungen angezeigt bekommen, wenn die Firewall-Regeln ein- oder ausgehende Verbindungen unterbinden, sowie die Protokollierungseinstellungen für Probleme, die von der Firewall erkannt werden.


Firewall-Regeln

Nachdem die Grundeinstellungen vorgenommen wurden, müssen im nächsten Schritt die Firewall-Regeln betrachtet und gegebenenfalls angepasst werden. Diese finden sich bei Eingehende Regeln respektive Ausgehende Regeln. Es gibt sehr viele vordefinierte Regeln, mit denen die Standarddienste von Windows Vista abgesichert werden. Weitere Regeln können jederzeit erstellt werden. Ausserdem lassen sich Regeln gezielt aktivieren und deaktivieren. Man kann also einen umfassenden Regelsatz erstellen und nur ausgewählte Regeln aktivieren. Das verhindert insbesondere, dass man aktuell nicht benötigte Regeln löschen und eventuell zu einem späteren Zeitpunkt wieder anlegen muss.


Die Erstellung neuer Regeln wird durch einen Assistenten unterstützt. Im ersten Dialogfeld können unterschiedliche Regeltypen ausgewählt werden. Programmregeln steuern Verbindungen von ausgewählten Anwendungen, Port-Regeln setzen auf den typischen Festlegungen für TCP- und UDP-Ports auf. Mit vordefinierten Regeln kann man die Regeln für standardmässige Vorgänge in Windows-Systemen anpassen. Benutzerdefinierte Regeln erlauben dagegen eine Auswahl von Programmen, Ports, Protokollen und anderen Einstellungen und bieten damit Zugriff auf alle Parameter, die in einer Regel verwendet werden können.



Bei Regeln, die sich auf Programme beziehen, muss die ausführbare Datei angegeben werden. Bei den Protokollen und Ports können in benutzerdefinierten Regeln die Protokolltypen und die lokalen und entfernten Ports konfiguriert werden. Ausserdem lassen sich ICMP-Einstellungen festlegen.


Über die Bereichseinstellungen können weitere Einschränkungen für die IP-Adressen vorgenommen werden. Damit kann beispielsweise eine Kommunikation nur von oder zu ausgewählten IP-Adressen erlaubt werden. Das macht etwa mit Anwendungsservern, aber auch mit VPN-Gateways Sinn. Für die lokalen IP-Adressen können sogar die Schnittstellen angegeben werden, über die eine Kommunikation erfolgen darf.


Der nächste Schritt ist die Konfiguration der Aktion. Verbindungen können zugelassen oder blockiert werden. Bei zugelassenen Verbindungen gibt es weitere Einstellungen. So kann eine Verschlüsselung erzwungen werden. Optional können auch Verbindungen mit angegebenen, autorisierten Computern oder Computergruppen zugelassen werden, beispielsweise für das Remote-Management.


Der letzte Schritt ist die Auswahl der Profile, für die die Regel Gültigkeit besitzen soll. Die Regel kann entweder für alle oder nur für ausgewählte Profile gelten. Ausserdem muss abschliessend noch ein Name für die Regel angegeben werden.
Die Bearbeitung von Regeln erfolgt in den Listen der Firewall-Regeln durch einen Doppelklick oder durch Aufruf der Aktion Eigenschaften. Dort finden sich die Einstellungen in unterschiedlichen Registern, wo man sie anpassen kann. Einschränkungen gibt es bei vordefinierten Regeln, für die sich nicht alle Eigenschaften modifizieren lassen.


Wie bei allen Firewalls bedarf es auch bei der Windows-Firewall mit erweiterter Sicherheit einer genauen Planung der Regeln und ihrer Aktivierung, um Kommunikationsprobleme im Netzwerk zu verhindern. Die vordefinierten Regeln helfen dabei zwar – dennoch muss man auch hier genau überlegen, ob und welche Regeln aktiviert oder deaktiviert werden sollen. Ausserdem gilt es, ergänzende Regeln für spezielle Anwendungen zu erstellen.


Vorgaben für die Verbindung

Mit den Firewall-Regeln wird gesteuert, ob und welche Pakete bei ein- und ausgehenden Verbindungen in einem System zugelassen werden. Damit wird aber noch nicht definiert, ob und wie sicher die Verbindung ist. Dafür kann zusätzlich mit Verbindungssicherheitsregeln gearbeitet werden. Diese definieren, in welcher Form Verbindungen zwischen Systemen aufgebaut werden sollen. Hier gibt es allerdings keine vordefinierten Regeln, weil sich diese je nach Systemen und Netzwerk-Infrastruktur doch stark voneinander unterscheiden.


Neue Regeln können auch in diesem Bereich mit Hilfe eines Assistenten erstellt werden. Dabei gibt es unterschiedliche Varianten wie Isolierungen auf Basis von Auswahlkriterien wie der Domänenmitgliedschaft oder einem Integritätsstatus, den expliziten Ausschluss von Systemen, Server-zu-Server-Verbindungen und Tunnels. Die Einschränkungen für die Verbindungen werden über IPsec gesteuert, wobei die Grundeinstellungen für IPsec bei den Eigenschaften der Firewall festgelegt werden können.



Für die Verbindungsregeln lassen sich dagegen Anforderungen, Authentifizierungsmethoden, gegebenenfalls die Endpunkte bei entsprechend eingeschränkten Regeln und die Profile, denen die Regeln zugeordnet sind, festlegen. Damit kann die gesamte Konfiguration von IPsec pro System mit den Festlegungen für die erweiterten Einstellungen der Windows-Firewall zusammengefasst werden, um an einer Stelle die Konfiguration von zulässigen und nicht zulässigen Netzwerkzugriffen sowie ihrer Durchführung festlegen zu können.


Verteilen via Gruppenrichtlinien

Die Steuerung der Einstellungen für die Windows-Firewall mit erweiterter Sicherheit macht wenig Sinn, wenn sie pro System durchgeführt werden muss. Statt dessen empfiehlt es sich, die Einstellungen zunächst auf Testsystemen zu konfigurieren und zu überprüfen, um die Richtlinie anschliessend zu exportieren. Die exportierten Richtlinien lassen sich wiederum in die Gruppenrichtlinien einlesen. Dort finden sich die Einstellungen im Bereich Computerkonfiguration und dort unterhalb der Sicherheitseinstellungen. In den Gruppenrichtlinien können die Regeln falls erforderlich auch direkt angepasst werden.



Über die Gruppenrichtlinien können die Parameter anschliessend auf alle Systeme verteilt werden, auf die die Gruppenrichtlinie angewendet wird. Das setzt voraus, dass man saubere Strukturen im Active Directory definiert hat, über die sich die Systeme, auf die unterschiedliche Varianten von Firewall-Einstellungen angewendet werden sollen, klar und einfach unterscheiden lassen.


Welche Firewall ist die richtige?

Im Vergleich mit der einfachen Windows-Firewall ist die Variante mit erweiterter Sicherheit wesentlich leistungsfähiger. Sie bietet auch im Vergleich zu vielen anderen Lösungen am Markt zwei wichtige Vorteile. Der eine ist die zentrale Konfiguration über die Gruppenrichtlinien, so dass eine einheitliche Einrichtung von lokalen Firewalls im Netzwerk einfach durchsetzbar ist. Der zweite ist die enge Integration mit IPsec, um auch die Authentifizierung und Sicherung von Verbindungen zu unterstützen. Damit lassen sich Gesamtkonzepte für sichere Netzwerke im Windows-Umfeld gut umsetzen.



Als lokale Firewall und in Ergänzung zu zentralen Firewalls und VPN-Gateways im Netzwerk ist die Windows-Firewall mit erweiterter Sicherheit daher eine sehr interessante Alternative – weil sie sowohl leistungsfähig und flexibel als auch sehr gut im verteilten Umfeld verwaltbar ist.




Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Vor wem mussten die sieben Geisslein aufpassen?
Eigene Daten im ChatGPT
Universal Archiving - zukunftssicher archivieren
Managed IT Services: Man muss nicht alles können - mit dem richtigen Partner an der Hand
Services aus der Microsoft Cloud - sinnvoll um jeden Preis?
Digital Experience Monitoring: Das optimale Kundenerlebnis sichern
Innovation & Effizienz: Ihr IT-Partner der Zukunft
GOLD SPONSOREN
SPONSOREN & PARTNER