Windows Vista Firewall konfigurieren und einstellen

Windows Vista Firewall
konfigurieren und einstellen

vista_sicherheit.png
Computersicherheit ist ein wichtiger Punkt und jeder sollte sich damit beschäftigen oder sich jemandem anvertrauen, der einem zum Thema Sicherheit unterstützt.
Im Tipp Windows Vista Firewall optimieren
zeigten wir schon, wo man die Vista Firewall einstellen und konfigurieren kann. In diesem Workshop steigen wir ein wenig tiefer in das Thema Windows Vista Firewall ein.







Internet für Programme mit der Windows 7 Firewall blockieren







Windows Vista Firewall einstellen und konfigurieren wurde unter Windows Vista Ultimate angewendet, aber die neue Windows Firewall ist in allen Windows Vista Versionen verfügbar.

























Neuerungen der Windows Vista Firewall

Erstmal für diejenigen, die die Neuerungen der Windows Vista Firewall noch nicht kennen.

  • Eingehender und ausgehender Datenverkehr können überwacht, zugelassen oder blockiert werden.
  • Konfiguration über eine Microsoft Management Console (MMC-Oberfläche).
  • Integration von Internet Protocol Security (IPsec) und Filterung der Firewall.

Erklärung der Microsoft Management Console (MMC-Oberfläche)


Mit MMC meint man kurz gesagt der Aufbau, Struktur und Darstellung von Informationen in einem Fenster. MMC besagt, dass ein Fenster grundsätzlich in drei Spalten aufgeteilt ist.
Die linke Spalte zeigt die ganze Struktur und die rechte Spalte wird als Detailfenster bezeichnet, wo nähere Funktionen angezeigt werden.
Im mittleren Bereich werden die Hauptinformationen angezeigt.


Erklärung Internet Protocol Security (IPsec)


IPsec ist ein Sicherheitsprotokoll und soll als Ergänzung eine Schwäche des Internetprotokolls (IP) beheben. Somit erhöht IPsec die Netzwerksicherheit enorm und soll vor Replay-Angriffen schützen.
Als Replay-Angriff bezeichnet man ein Abfangen von Informationen aus dem Netzwerk, um eine Aktion zu rekonstruieren und auszunutzen.


Erweiterte Vista Firewall einstellen und konfigurieren über die Microsoft Management Console (MMC-Oberfläche)

Die Microsoft Management Console ist nichts neues, die gab es schon unter Windows XP Professionell, nur konnte man darunter die Firewall nicht einbinden.
Als erstes muss man ein Snap-In in der MMC-Konsole hinzufügen.

MMC Konsole unter Windows Vista

Mit Windows-Taste + r und im Fenster „Ausführen“ mmc eingeben oder klick auf Vista-Logo (Start) und im Suchfeld mmc eingeben jeweils mit Enter bestätigen.



Im MMC auf:

Datei > Snap-In hinzufügen/Entfernen > dann im linken Fenster unter Verfügbare Snap-In
"Windows-Firewall mit erweiterter Sicherheit"
auswählen und auf Hinzufügen klicken, dass folgende Fenster mit „Fertig stellen“ bestätigen.

Snap-In hinzufügen/entfernen...


Snap-In zum Ausgewählte Snap-In hinzufügen

Computer auswählen

Jetzt ist die Windows-Firewall mit erweiterter Sicherheit im MMC-Oberfläche eingebunden.

Windows Firewall mit erweiterter Sicherheit unter MMC


Mit die schnellste Möglichkeit die Firewall mit erweiterter Sicherheit zu starten ist Windows-Taste > Eingabe fi > Enter und schon wird die Windows Firewall mit erweiterter Sicherheit gestartet. Achtung: Dieser Tipp funktioniert nur, wenn man kein anderes Programm installiert, was sich vor der Suche schiebt.



Allgemein über die Windows-Firewall mit erweiterter Sicherheit

Im linken Fensterbereich kann man sich mit einem Klick auf „Windows-Firewall mit erweiterter Sicherheit auf Lokaler Computer“ die Struktur anzeigen lassen.

  • Eingehende Regeln
  • Ausgehende Regeln
  • Verbindungssicherheitsregeln
  • Überwachung


Linker Fensterbereich im Windows Vista Firewall

Im Hauptbereich findet man folgende Punkte:

  • Übersicht von den Profile (Standard Profile sind Domänenprofil, Privates Profil und Öffentliches Profil).
  • Windows-Firewalleigenschaften.
    Hier kann man die Profile ein- oder ausschalten und konfigurieren. Hier findet man auch die IPsec-Einstellungen.
  • Erste Schritte Beschreibung zu:
    • Verbindungssicherheitsregeln
    • Eingehende Regeln
    • Ausgehende Regeln
    • Überwachung


Hauptbereich mit den einzelnen Profile

Im rechten Fensterbereich (Detailfenster):

  • Richtlinien importieren
  • Richtlinien exportieren
  • Wiederherstellen
  • Ansicht
  • Neues Fenster
  • Aktualisieren
  • Eigenschaften entspricht Windows-Firewalleigenschaften im Hauptbereich
  • Hilfe

Rechter Fensterbereich (Detailfenster)

Der Inhalt im Hauptbereich und rechten Fensterbereich sind variabel, es kommt darauf an, was man gerade im linken Fensterbereich ausgewählt hat.



Die Windows Vista Firewallprofile mit Beschreibung

Ein Auszug aus der Windows Vista Hilfe:


Domäne
Dieses Profil wird verwendet, wenn ein Computer mit einem Netzwerk verbunden ist, in dem sich sein Domänenkonto befindet.

Privat
Dieses Profil wird verwendet, wenn ein Computer mit einem Netzwerk verbunden ist, in dem sich sein Domänenkonto nicht befindet, z. B. in einem Heimnetzwerk. Die Einstellungen des privaten Profils sollten einschränkender sein als die des Domänenprofils.


Öffentlich
Wird angewendet, wenn ein Computer über ein öffentliches Netzwerk mit einer Domäne verbunden ist, wie z. B. Computer an Flughäfen und in Coffee Shops. Die Einstellungen des öffentlichen Profils sollten die stärksten Einschränkungen aufweisen, da der Computer mit einem öffentlichen Netzwerk verbunden ist, in dem die Sicherheit nicht so streng kontrolliert werden kann wie in einer IT-Umgebung.


Firewallprofile im Detailansicht


Ausnahme für “Eingehenden Netzwerkverkehr“ konfigurieren

Um eine Regel zu erstellen wählt man im linken Fensterbereich “Eingehende Regeln“ aus. Jetzt kann man im rechten Fensterbereich (Detailfenster) auf Neue Regel... klicken.


Neue Regeln erstellen für Eingehenden Netzwerkverkehr

Folgende Regeltypen stehen zur Auswahl:

  • Programm (Regel, die die Verbindung für ein Programm steuert.)
  • Port (Regel, die die Verbindung für einen TCP- oder UDP-Port steuert.
  • Vordefinierte (Regel, die die Verbindung für einen Windows-Vorgang steuert.)
  • Benutzerdefiniert (Benutzerdefinierte Regel)

Wir wählen den Radiobutton Programm aus und gehen auf weiter. Die folgende Schritte kann man übersichtlich im linken Fensterbereich sehen.


Assistent für neue eingehende Regel

Im folgenden Dialog kann man ein bestimmtes Programm oder die Regel für alle Programm konfigurieren.


Hier wählen wir für “Alle Programme“ aus und gehen auf weiter.



Im Schritt Aktion angekommen stehen

  • Verbindungen zulassen (Verbindungen, die mit IPsec geschützt wurden, als auch andere Verbindung zu lassen)
  • Verbindung zulassen, wenn die sicher ist. (Nur Verbindungen die durch IPsec geschützt wurden)
  • Verbindungen blocken

zur Auswahl. “Verbindungen blocken“nehmen wir mal für dieses Beispiel, so wird erreicht, dass man nicht mehr von außen auf den Rechner zugreifen kann.



In den letzten Schritten entscheidet man für welche Profile die Regel angewandt werden sollen und vergibt noch einen Namen.





Im Detailfenster kann man die Regel deaktivieren, löschen oder unter Eigenschaften neu konfigurieren.



Ausnahme für “Ausgehende Netzwerkverkehr“ konfigurieren

Um eine Regel für ausgehenden Netzwerkverkehr zu erstellen ist der Vorgang derselbe, wie beim Erstellen von Regeln für den eingehenden Netzwerkverkehr, mit der Berücksichtigung, dass man die Regel von Vista nach außen konfiguriert. Der genauer Vorgang steht oben beschrieben.



Erstellung einer Verbindungssicherheitsregeln
Info zu Verbindungssicherheitsregeln.
Wie der Name schon sagt, werden nicht Programme und Dienste geregelt, sondern die Kommunikation (Verbindung) zwischen zwei Endgeräten.
Die Aufgabe ist einen Computer und/oder einen Benutzer zu authentifizieren. Dass wird mit dem Sicherheitsprotokoll IPsec realisiert, aber jetzt zur Erstellung einer Verbindungssicherheitsregel.


Zuerst wählt man im linken Fensterbereich Verbindungssicherheitsregeln aus und klickt im Detailfenster auf Neue Regel...


Hier stehen ein wieder mehrere Regeltypen zu Auswahl

  • Isolierung (Schränkt Verbindungen basierend auf Authentifizierungskriterien ein, wie z. B. der Domänenmitgliedschaft oder dem Integritätsstatus, ein.
  • Authentifizierungsausnahme (Authentifiziert keine Verbindungen von den angegebenen Computern.
  • Server-zu-Server (Verbindungen zwischen den angegebenen Computern authentifizieren.)
  • Tunnel (Verbindungen zwischen den Gatewaycomputern authentifizieren.)
  • Benutzerdefiniert (Benutzerdefinierte Regel)

Für diesen Vorgang wählen wir Isolierung aus.


Assistent für neue Verbindungssicherheitsregel

Im Schritt Anforderungen kann man auswählen, wie die Authentifizierung angewandt wird.

  • Authentifizierung für eingehende und ausgehende Verbindung anfordern. (Authentifizierung möglichst immer durchführen. Authentifizierung ist jedoch nicht erforderlich.)
  • Authentifizierung ist für eingehende Verbindung erforderlich und muss für ausgehende Verbindung angefordert werden. (Eingehende Verbindungen müssen authentifiziert werden. Ausgehende Verbindungen möglichst immer authentifizieren. Authentifizierung ist jedoch nicht erforderlich.
  • Authentifizierung ist für eingehende und ausgehende Verbindungen erforderlich (Eingehende und ausgehende Verbindung müssen authentifiziert werden, um zugelassen zu werden.)

Wir wählen “Authentifizierung ist für eingehende und ausgehende Verbindungen erforderlich“ somit blockieren wir alle eingehende und ausgehende Kommunikation, die sich nicht authentifizieren.



Auch die Authentifizierungsmethode muss bestimmt werden und da stehen uns folgende Methoden zur Auswahl:

  • Standard (In Profileigenschaften angegebene Authentifizierungsmethode verwenden.)
  • Computer und Benutzer [Kerberos V5] (Kommunikation auf Verbindungen vom Benutzern und Computern beschränken, die der Domäne angehören. Stellt Identitätsinformation für die Autorisierung bestimmter Benutzer und Computer in eingehenden und ausgehenden Regeln bereit.)
  • Computer [Kerberos V5] (Kommunikation auf Verbindungen vom Benutzern und Computern beschränken, die der Domäne angehören. Stellt Identitätsinformation für die Autorisierung bestimmter Benutzer und Computer in eingehenden und ausgehenden Regeln bereit.)
  • Computerzertifikat (Kommunikation auf Verbindungen von Computern einschränken, die ein Zertifikat von dieser Zertifizierungsstelle besitzen.
  • Erweitert (Geben Sie benutzerdefinierte für die erste und zweite Authentifizierung ein.)

Hier wählen wir die Standardmethode vom Profil aus.



So, was haben wir jetzt den für eine Verbindungsregel erstellt?
Isolierung
bedeutet, dass zum z.B. nur Rechner mit der gleichen Domäne bzw. Arbeitsgruppe mit meinem Rechner kommunizieren dürfen und das gilt für eingehende und ausgehende Verbindungen. Zusätzlich muss der andere Rechner sich authentifizieren können, aber zu der Authentifizierung ist IPsec relevant.
Und da IPsec sehr komplex ist gehe ich nicht weiter darauf ein.

In den letzten Schritten bestimmt man für welche Profile die Regel angewandt werden soll und vergibt noch einen Namen.


Überwachung

Zu guter Letzt kann man alle Aktivitäten des eingehenden und ausgehenden Netzwerkverkehrs überwachen, die jeweils aufgeteilt sind in:

  • Firewall
  • Verbindungssicherheitsregeln
  • Sicherheitszuordnungszonen

Unter dem Punkt Überwachung werden noch die Firewallstatus, Allgemeine Einstellungen und Protokollierungseinstellungen aller Profile angezeigt.


Überwachung mit den einzelnen Punkten Firewall, Verbindungssicherheitsregeln ...

Firewall – Überwachung


Eine genaue Übersicht alle Aktivitäten der Firewall kann man unter diesem Punkt überwachen. Welche Aktion wurde zugelassen oder blockiert?
War es eingehender oder ausgehender Datenverkehr?


Netzwerkaktionen im Detail

Verbindungssicherheitsregeln – Überwachung

  • Hier werden alle aktiven Verbindungssicherheitsregeln angezeigt mit den konfigurierten Einstellungen.

Sicherheitszuordnungszonen – Überwachung

  • Hauptmodus
    Bei der Hauptmodusaushandlung wird ein sicherer Kanal zwischen zwei Computer hergestellt und einige kryptografischer Schutzsammlung festgelegt. Schutzsammlung können zum Beispiel Computerdatenauthentifizierung sein oder geheime Schlüsseln werden ausgetauscht. Diese Informationen können über den Hauptmodus zugeordnet und überwacht werden.
    Es werden zurzeit verbundene Computer angezeigt.

  • Schnellmodus
    Auch wie im Hauptmodus wird ein sicherer Kanal zwischen zwei Computern aufgebaut. Für die Aushandlung des Schnellmodus-IKE (Internet Key Exchange) verwendet um die Daten zu schützen. Beim Aufbau der Verbindung werden Sicherheitszuordnungen eingerichtet, diese Zuordnung wird über den IPsec-Dienst (Internet Protocol Security) ausgehandelt.
    Der Schnellmodus ist kein vollständiger Austausch, weil er abhängig vom Hauptmodusaustausch ist.


Fazit
Mit der neuen Windows Vista Firewall hat Microsoft schon mal ein ganz großen Schritt nach vorne gemacht. Aber man muss auch ganz klar und deutlich betonen, dass es wesentlich bessere Firewall gibt, die auch lernfähig sind. Jeder der diesen Workshop mal ausprobiert hat, kann auf jedenfall mitreden, was so alles in der neuen Windows Vista Firewall von Microsoft steckt.


Mehr Informationen zu Windows Vista Firewall:
IPsec und Windows Vista Firewall mit AuthIP



komentarschreiben.png
komentarlesen.png


_______________________________________________________
Dieser Tipp stammt von www.win-tipps-tweaks.de
© Copyright Michael Hille/Chainon Kittisonthirak

Warnung:
Die unkorrekte Verwendung des Registrierungseditors oder der Tipps kann schwerwiegende Probleme verursachen, die das gesamte System betreffen und eine Neuinstallierung des Betriebssystems erforderlich machen.
Eingriffe in die Registrierungsdateien und die Anwendung der Tipps erfolgen auf eigenes Risiko.