Tags: Gruppenrichtlinien, Firewall
Die Windows-Firewall ist nicht nur eine wichtige Sicherheitskomponente, sondern oft auch ein lästiges Hindernis für die Remote-Verwaltung. Einige Tools benötigt deshalb Ausnahmen in der Firewall, die man mit Regeln für ein- und ausgehenden Traffic gewähren kann. Um sie auf mehrere PCs zu verteilen, empfiehlt sich der Einsatz von GPOs.
Seit Windows XP SP2 ist die eingebaute Firewall standardmäßig aktiviert und schützt PCs vornehmlich gegen Angriffe von innerhalb des Netzwerks. Darüber hinaus ist sie auf Notebooks die erste Verteidigungslinie gegen Attacken, wenn sie das Firmen-LAN verlassen und direkt mit dem Internet verbunden sind.
Ein-/ausgehende Regeln für 3 Netzwerkprofile
Mit Vista und Server 2008 wurde das Management der Firewall grundlegend überarbeitet, so dass der Administrator nun eine genauere Kontrolle über ihr Verhalten hat. Die zwei wichtigsten Werkzeuge zur lokalen Konfiguration sind seitdem das GUI-Tool Windows-Firewall mit erweiterter Sicherheit sowie das Dienstprogramm netsh.exe, das auf der Kommandozeile läuft.
Firewall-Regeln lassen sich separat für ein- und ausgehende Verbindungen definieren, darüber hinaus erlauben Profile ihre weitere Einschränkung auf bestimmte Netzwerke. So unterscheidet Windows per Voreinstellung zwischen Regeln für öffentliche, private und Domänen-Netzwerke.
Die Windows-Firewall bringt eine ganze Reihe vordefinierter Regeln mit, die teilweise schon wirksam sind, während andere bei Bedarf aktiviert werden können. Viele Richtlinien, die sich auf das Remote-Management auswirken, sind zu Gruppen zusammengefasst und lassen sich in einem Schwung freischalten. Tut man dies mit netsh.exe, dann ist daran zu denken, dass die Namen der Regelgruppen lokalisiert wurden und nicht mit den Beispielen in der Online-Hilfe übereinstimmen.
Neben dem An- und Abschalten der vorgegebenen Regeln besteht die Möglichkeit, auch eigene Policies zu definieren. Diese können Ausnahmen für bestimmte Programme, Protokolle oder Ports definieren.
Referenzkonfiguration exportieren
Insgesamt kann auf diese Weise eine Konfiguration entstehen, die erheblich von den Werkseinstellungen der Windows-Firewall abweicht. Kaum ein Administrator möchte ein solches Regelwerk auf jedem PC einzeln von Hand einrichten. Alternativ lässt es sich daher auf einem Referenzrechner konfigurieren, von dort in eine Datei exportieren und über GPOs auf die gewünschten Zielgeräte verteilen.
Der Export der gesamten Einstellungen erfolgt über die grafische Administrationskonsole. In Windows Firewall mit erweiterter Sicherheit öffnet man das Kontextmenü im Wurzelelement der Navigationsleiste. Dort findet sich der Befehl Richtlinie exportieren, der die Einstellungen in eine binäre Datei mit der Endung .wfw schreibt.
Regeln in GPO übernehmen
Anschließend erstellt man ein GPO, das diese Firewall-Konfiguration auf andere PCs in der Domäne oder in OUs überträgt und dort die vorhandenen Regeln überschreibt. Die dafür zuständige Einstellung findet man unter Computerkonfiguration => Richtlinien => Windows-Einstellungen => Sicherheitseinstellungen => Windows-Firewall mit erweiterter Sicherheit => Windows-Firewall mit erweiterter Sicherheit. Im Menü Aktion aktiviert man dann den Befehl Richtlinie importieren, der die zuvor exportierte .wfw-Datei einliest.
Nach dem erfolgreichen Import finden sich unter Eingehende Regeln bzw. Ausgehende Regeln jeweils eigene Listen mit den Richtlinien, die vom Referenzrechner übernommen wurden. Diese kann man bei Bedarf auch jetzt noch bearbeiten, indem man etwa einzelne Regeln ändert, löscht oder hinzufügt.
Nur einzelne Regeln über GPOs hinzufügen
Wenn das Gruppenrichtlinienobjekt nicht alle Ziel-PCs mit einer einheitlichen Konfiguration überschreiben soll, dann kann man stattdessen im GPO-Editor bloß einzelne Regeln definieren. Dafür steht im Kontextmenü von Eingehende Regeln und Ausgehende Regeln der Befehl Neue Regel zur Verfügung, der den gleichen Wizard startet wie in Windows-Firewall mit erweiterter Sicherheit.
Typischerweise ergänzen solche im GPO definierten Regeln jene, die lokal auf den Rechnern bereits vorhanden sind oder dort von lokalen Administratoren erstellt werden. Möchte man Letzteres unterbinden und nur zentral vorgegebene Regeln zulassen, dann öffnet man den Dialog Eigenschaften aus dem Kontextmenü des Knotens Windows-Firewall mit erweiterter Sicherheit und führt dort unter Einstellungen den Befehl Anpassen aus. Anschließend setzt man die Option Lokale Firewallregeln anwenden auf Nein. Diese Konfiguration lässt sich für alle drei vorgegebenen Profile separat definieren.
Überschneidung mit Regeln aus der XP-Zeit
Eine ähnliche Einstellung findet sich neben weiteren Richtlinien auch unter Computerkonfiguration => Richtlinien => Administrative Vorlagen => Netzwerk => Netzwerkverbindungen => Windows-Firewall. Hier handelt es sich noch um den alten Zweig für die Konfiguration der Firewall unter XP, was man auch daran erkennen kann, dass dort nur Einstellungen für zwei vorgegebene Profile namens Domäne und Standard existieren.
Nichtsdestotrotz wirken sich diese Richtlinien auch auf PCs mit einer neueren Version von Windows aus, so dass sich Konflikte ergeben können, wenn man ähnliche oder sich überschneidende Einstellungen an beiden Orten konfiguriert. Daher empfiehlt es sich, nur die neueren Optionen zu verwenden, wenn man keine XP-Rechner mehr im Netzwerk hat.
Täglich Know-how für IT-Pros mit unserem Newsletter
Ähnliche Beiträge
- Anwendungen (Store, Remotehilfe) blockieren mit Firewall-Regeln und GPOs
- Windows-Firewall: Blockierte Verbindungen im Log-File untersuchen
- Azure Firewall: Grundlagen, Funktionen und Kosten
- Gruppenrichtlinien für Windows Update: Microsofts empfohlene Einstellungen
- Intra2net Business Server: Alternative zu Exchange und Office 365