Firewall-Regeln über Gruppenrichtlinien konfigurieren

    , 08.01.2015
    Tags: ,

    Windows-FirewallDie Windows-Firewall ist nicht nur eine wichtige Sicher­heits­kompo­nente, sondern oft auch ein lästi­ges Hindernis für die Remote-Verwaltung. Einige Tools benötigt des­halb Aus­nahmen in der Firewall, die man mit Regeln für ein- und aus­gehenden Traffic gewähren kann. Um sie auf mehrere PCs zu verteilen, empfiehlt sich der Einsatz von GPOs.

    Seit Windows XP SP2 ist die eingebaute Firewall standardmäßig aktiviert und schützt PCs vornehmlich gegen Angriffe von innerhalb des Netzwerks. Darüber hinaus ist sie auf Notebooks die erste Verteidigungslinie gegen Attacken, wenn sie das Firmen-LAN verlassen und direkt mit dem Internet verbunden sind.

    Ein-/ausgehende Regeln für 3 Netzwerkprofile

    Mit Vista und Server 2008 wurde das Management der Firewall grundlegend überarbeitet, so dass der Administrator nun eine genauere Kontrolle über ihr Verhalten hat. Die zwei wichtigsten Werkzeuge zur lokalen Konfiguration sind seitdem das GUI-Tool Windows-Firewall mit erweiterter Sicherheit sowie das Dienstprogramm netsh.exe, das auf der Kommandozeile läuft.

    Firewall-Regeln lassen sich separat für ein- und ausgehende Verbindungen definieren, darüber hinaus erlauben Profile ihre weitere Einschränkung auf bestimmte Netzwerke. So unterscheidet Windows per Voreinstellung zwischen Regeln für öffentliche, private und Domänen-Netzwerke.

    Die Windows-Firewall bringt eine ganze Reihe vordefinierter Regeln mit, die teilweise schon wirksam sind, während andere bei Bedarf aktiviert werden können. Viele Richtlinien, die sich auf das Remote-Management auswirken, sind zu Gruppen zusammengefasst und lassen sich in einem Schwung freischalten. Tut man dies mit netsh.exe, dann ist daran zu denken, dass die Namen der Regelgruppen lokalisiert wurden und nicht mit den Beispielen in der Online-Hilfe übereinstimmen.

    Neben dem An- und Abschalten der vorgegebenen Regeln besteht die Möglichkeit, auch eigene Policies zu definieren. Diese können Ausnahmen für bestimmte Programme, Protokolle oder Ports definieren.

    Referenzkonfiguration exportieren

    Insgesamt kann auf diese Weise eine Konfiguration entstehen, die erheblich von den Werkseinstellungen der Windows-Firewall abweicht. Kaum ein Administrator möchte ein solches Regelwerk auf jedem PC einzeln von Hand einrichten. Alternativ lässt es sich daher auf einem Referenzrechner konfigurieren, von dort in eine Datei exportieren und über GPOs auf die gewünschten Zielgeräte verteilen.

    Windows-Firewall mit erweiterter Sicherheit kann sämtliche Regeln in eine Datei exportieren.

    Der Export der gesamten Einstellungen erfolgt über die grafische Administrationskonsole. In Windows Firewall mit erweiterter Sicherheit öffnet man das Kontextmenü im Wurzelelement der Navigationsleiste. Dort findet sich der Befehl Richtlinie exportieren, der die Einstellungen in eine binäre Datei mit der Endung .wfw schreibt.

    Regeln in GPO übernehmen

    Anschließend erstellt man ein GPO, das diese Firewall-Konfiguration auf andere PCs in der Domäne oder in OUs überträgt und dort die vorhandenen Regeln überschreibt. Die dafür zuständige Einstellung findet man unter Computerkonfiguration => Richtlinien => Windows-Einstellungen => Sicherheitseinstellungen => Windows-Firewall mit erweiterter Sicherheit => Windows-Firewall mit erweiterter Sicherheit. Im Menü Aktion aktiviert man dann den Befehl Richtlinie importieren, der die zuvor exportierte .wfw-Datei einliest.

    IM GPO-Editor kann man anschließend die zuvor exportierte Referenzkonfiguration einlesen.

    Nach dem erfolgreichen Import finden sich unter Eingehende Regeln bzw. Ausgehende Regeln jeweils eigene Listen mit den Richtlinien, die vom Referenzrechner übernommen wurden. Diese kann man bei Bedarf auch jetzt noch bearbeiten, indem man etwa einzelne Regeln ändert, löscht oder hinzufügt.

    Die importierten Firewall-Regeln lassen sich im GPO-Editor bearbeiten.

    Nur einzelne Regeln über GPOs hinzufügen

    Wenn das Gruppenrichtlinienobjekt nicht alle Ziel-PCs mit einer einheitlichen Konfiguration überschreiben soll, dann kann man stattdessen im GPO-Editor bloß einzelne Regeln definieren. Dafür steht im Kontextmenü von Eingehende Regeln und Ausgehende Regeln der Befehl Neue Regel zur Verfügung, der den gleichen Wizard startet wie in Windows-Firewall mit erweiterter Sicherheit.

    Per Gruppenrichtlinie lässt sich verhindern, dass lokale Administratoren eigene Regeln hinzufügen.

    Typischerweise ergänzen solche im GPO definierten Regeln jene, die lokal auf den Rechnern bereits vorhanden sind oder dort von lokalen Administratoren erstellt werden. Möchte man Letzteres unterbinden und nur zentral vorgegebene Regeln zulassen, dann öffnet man den Dialog Eigenschaften aus dem Kontextmenü des Knotens Windows-Firewall mit erweiterter Sicherheit und führt dort unter Einstellungen den Befehl Anpassen aus. Anschließend setzt man die Option Lokale Firewallregeln anwenden auf Nein. Diese Konfiguration lässt sich für alle drei vorgegebenen Profile separat definieren.

    Überschneidung mit Regeln aus der XP-Zeit

    Eine ähnliche Einstellung findet sich neben weiteren Richtlinien auch unter Computerkonfiguration => Richtlinien => Administrative Vorlagen => Netzwerk => Netzwerkverbindungen => Windows-Firewall. Hier handelt es sich noch um den alten Zweig für die Konfiguration der Firewall unter XP, was man auch daran erkennen kann, dass dort nur Einstellungen für zwei vorgegebene Profile namens Domäne und Standard existieren.

    Dieser Zweig der administrativen Vorlagen ist für XP gedacht, seine Einstellungen wirken aber auch auf neuere Versionen.

    Nichtsdestotrotz wirken sich diese Richtlinien auch auf PCs mit einer neueren Version von Windows aus, so dass sich Konflikte ergeben können, wenn man ähnliche oder sich überschneidende Einstellungen an beiden Orten konfiguriert. Daher empfiehlt es sich, nur die neueren Optionen zu verwenden, wenn man keine XP-Rechner mehr im Netzwerk hat.

    Keine Kommentare