Windows Vista Firewall punktgenau konfiguriert

Daimonion · 30.01.2007, 14:47

In Windows XP wurde mit Service Pack 2 eine Firewall eingefügt die ebenfalls wieder in Windows Vista vorhanden ist.

In der Standardkonfiguration scheint diese Firewall ähnlich löchrig zu sein wie ihr älterer Bruder. Doch mit nur wenigen Handgriffen wird diese zu einer hochgezüchteten, restriktiven Firewall mit Portregeln und allem anderen Schnickschnack aufgerüstet, so dass quasi alles und jeder gehindert werden kann, das Netzwerk des PCs zu verlassen.

Um die erweiterte Einstellungsroutine aufzurufen, kann man im Befehlsfeld des Startmenüs wf.msc eingeben. Die sich öffnende MMC (Microsoft Managment Console) zeigt sich dann mit dem Snap-In der Windows Firewall.

Durch Klick werden die Bilder größer.

Die Vista Firewall Konfigurationsoberfläche innerhalb der MMC.

Das Vista Firewall Überwachungsfenster.

Profile

Grundkonzept dieser Firewall sind 3 Profile, deren Unterschied die Tragweite der darin erstellten Regeln sind.

Domäne

Dieses Profil wird verwendet, wenn ein Computer mit einem Netzwerk verbunden ist, in dem sich sein Domänenkonto befindet.

Privat

Dieses Profil wird verwendet, wenn ein Computer mit einem Netzwerk verbunden ist, in dem sich sein Domänenkonto nicht befindet, z. B. in einem Heimnetzwerk. Die Einstellungen des privaten Profils sollten einschränkender sein als die des Domänenprofils.

Öffentlich

Wird angewendet, wenn ein Computer über ein öffentliches Netzwerk mit einer Domäne verbunden ist, wie z. B. Computer an Flughäfen und in Coffee Shops. Die Einstellungen des öffentlichen Profils sollten die stärksten Einschränkungen aufweisen, da der Computer mit einem öffentlichen Netzwerk verbunden ist, in dem die Sicherheit nicht so streng kontrolliert werden kann wie in einer IT-Umgebung.

Verbindungen

Verbindungen mit dem Computer können in 2 Richtungen erfolgen. ausgehende und eingehende Verbindungen.

Eingehende Verbindungen

Diese Einstellung bestimmt das Verhalten für eingehende Verbindungen, die keiner eingehenden Firewallregel entsprechen. Das installierte Verhalten besteht darin, alle Verbindungen zu blockieren, sofern sie nicht durch Firewallregeln zugelassen sind.

Wie unter Windows XP werden eingehende Verbindungen standardmäßig geblockt. Grundlegende Ports, wie zum Beispiel die Netzwerkerkennung sind schon geöffnet und brauchen nicht mehr konfiguriert werden. Werden weitere Dienste gewünscht kann man entweder eine bereits vordefinierte Regel aktivieren, oder eine neue Regel erstellen. Wie eine neue Regel erstellt wird, wird später erklärt.

Ausgehende Verbindungen

Diese Einstellung bestimmt das Verhalten für ausgehende Verbindungen, die keiner ausgehenden Firewallregel entsprechen. Das installierte Verhalten besteht darin, alle Verbindungen zuzulassen, sofern sie nicht durch Firewallregeln blockiert sind.

Im Normalfall ist die Firewall so konfiguriert, dass alle ausgehenden Verbindungen zugelassen werden. Genau dieses Verhalten möchten wir beeinflußen, denn oft möchten sich Programme mit dem Internet verbinden und das wollen wir ja unterbinden.

Die Firewall konfigurieren.

Zuerst müssen wir festlegen welche Profileinstellung benötigt wird.
Im Hauptfenster der Firewall werden die Sicherheitseinstellungen für die 3 Profile angezeigt. Um diese Einstellung zu ändern klicken wird auf "Windows-Firewalleigenschaften".

In dem sich öffnenden Fenster können wir nun das Standardverhalten für das jeweilige, in den Karteireitern ausgewählte Profil, festlegen.

Grundsätzlich ist es sinnvoll in allen 3 Profilen die Firewall aktiviert zu haben (Firewallstatus auf "Ein") und eingehende Verbindungen zu blocken. Es kann ja schon mal vorkommen, dass ein Rechner in einem lokalen Netzwerk, oder einer Domäne zur Virenschleuder wird.
Die ausgehenden Verbindungen können in den Profilen "Privat" und "Domäne" auf "Zugelassen" gestellt werden. Möchte man eine restriktive Firewall, so sollte man im "öffentlichen Profil" die ausgehenden Verbindungen Blocken. Durch die zugelassenen, ausgehenden Verbindungen beim Domänen und dem privatem Profil wird erreicht das man ohne Probleme im privaten Netzwerk arbeiten kann, aber bei den Verbindungen ins Internet werden die Pakete durch die Einstellung im öffentlichen Profil überprüft. Belässt man die Einstellung für ausgehenden Verbindungen im öffentlichen Profil, so werden ausgehende Pakte ins Internet ebenfalls zugelassen.
In den Einstellungen der Profile (jeweiliges Profil -> Einstellungen -> Anpassen) kann noch eingestellt werden wie der Computer reagieren soll, wenn ein Paket ankommt, für das keine Regel existiert und wie das Standardverhalten bei ICMP- und Arp-Requests ist. Diese beiden Einstellungen können ruhig auf Ja belassen werden.

Als nächsten Schritt werden die Regeln für den IP-Verkehr auf dem PC eingerichtet.
Auf der linken Seite kann man sich die eingehenden oder die ausgehenden Verbindungen anzeigen lassen und bei Bedarf eine neue Regel erstellen. Solch eine Regel kann dann genau so komplex sein, wie in vielen anderen Firewall Programmen.

Auf der rechten Seite sind die Möglichen Optionen zu finden, die man anwählen kann, wenn man in den Regelfenstern ist. So auch den Punkt "Neue Regel..." Bevor eine Regel erstellt wird, sollte geklärt sein, wie ein Programm sicher durch die Firewall geleitet wird. Am Beispiel der Browserverbindungen und ICQ-Clients möchte ich das tun.

Viele benutzen mehrere Browser auf ihrem Rechner. Daher gibt es zwei Möglichkeiten diese durch die Firewall zu leiten.

1. Möglichkeit
Jeder Browser bekommt eine Regel in der alle Verbindungen, die das Programm aufbaut zugelassen werden.
Dazu kann man bei dem erstellen einer Regel die .exe des Programms angeben und festlegen das alle Verbindungen zugelassen werden. Die Regel brauch nur für das öffentliche Profil gültig sein, denn die anderen beiden Profile, lassen die Verbindung ja eh zu. Der Erstellungswizard von Vista leitet den Benutzer bei der Erstellung einer solchen Regel komfortabel durch die einzelnen Schritte

Vorteile:
Man brauch sich nicht überlegen über welche Ports ein Programm kommuniziert.

Nachteile:
Für jeden Browser muß eine Regel erstellt werden.

2. Möglichkeit
Kennt man die Kommunikationsports eines Programmes kann man explizit diese Ports öffnen. Mit dem Erstellungswizard von Vista kann man aber nur lokale Ports eingeben. Da eigentlich alle Programme bei ausgehenden Verbindungen aber immer unterschiedliche Ports nutzen ist der Wizard nicht sehr nützlich bei der Einrichtung einer solchen Regel.
Daher sollte man die Einstellung "Benutzerdefiniert" wählen. Zugelassen werden alle Programme. Im Fenster der Porteinstellungen können wir nun wählen welcher Protokolltyp und welche lokalen, bzw. welche Remote Ports genutzt werden. Die Remote Ports sind hier für uns diejenigen die wir einstellen möchten. Als Protokolltyp stellen wir im Beispiel des Browsers TCP ein und bei Remoteport stellen wir auf "bestimmte Ports"
In das Fenster können wir nun die Ports eintragen die auf dem Remote-Rechner angesprochen werden, wenn der Browser kommuniziert. Im Normalfall sind das die Ports 80 für HTTP und 443 für HTTPS. Zusätzlich kann man ja gleich noch die SMTP (25) und POP (110) Ports öffnen um Emails senden und empfangen zu können. Weitere Zielports wie z.B.: 4711 (Emule-Webserver), 8080 (einige private Webserver) oder besondere Protokolle wie 563 (snntp: Secure-Newsserver) können praktischerweise ebenfalls direkt in diese Regel geschrieben werden.
Die IP-Adressenauswahl im folgenden Fenster beläßt man am besten so, damit die Regel nur auf Portebene filtert. Die Verbindungen dieser Ports sollen natürlich noch zugelassen werden.

Durch Klick werden die Bilder größer.

Der Erstellungswizard von Vista

Die Porteinstellungsmöglichkeiten

Für die Einrichtung der Regel bei Browsern würde ich die zweite Möglichkeit empfehlen. Möchte man einen ICQ-Client einrichten würde eher die erste Möglichkeit Sinn ergeben, denn meist ist es so, dass man nur einen Client hat, der aber verschiedene Ports nutzt.

Nachteil der Firewall

Ein großer Nachteil der Firewall bleibt aber. Blockiert man ausgehende Verbindungen und greift ein Programm auf das Netzwerk zu, welches durch nicht vorhandene Regeln geblockt wird, so gibt es nicht, wie in fast allen 3rd Party Programmen ein Informationsfenster, welches den Benutzer dann informiert. Der Benutzer muß immer selbstständig merken das die Firewall das Programm blockt und muß auch immer manuell eine Regel erstellen. Schade das Microsoft da noch nicht selbst drauf gekommen ist. Zumal es ein leichtes ist, den Benutzer zu informieren und auf Wunsch eine Regel erstellen zu lassen. Bei eingehenenden Verbindungen funktioniert es ja auch.

Screenshots

Durch Klick auf die Regeln erscheint ein Fenster in denen man die Regeln konfigurieren kann.

Zusammenfassung
Kennt man sich mit den Netzwerkzugriffen von Programmen aus, so ist es ein leichtes die Vista Firewall als Firewall auf dem PC zu nutzen. Wenn Microsoft noch eine Möglichkeit bieten würde ausgehende Verbindungen ebenfalls mittels Infofenster erstellen zu lassen wären keine 3rd Party Firewalls mehr nötig.

Viel Spaß beim Ausprobieren und lesen.