Windows-Firewall: Regeln für Profile konfigurieren

So lässt sich die Firewall getrennt nach Profilen ein- und ausschalten, wobei man beispielsweise die Instanz für die Domäne deaktivieren und jene für das öffentliche Profil weiterlaufen lassen könnte. Darüber hinaus ist es möglich, für jedes Profil separate Vorgabewerte für diverse Einstellungen festzulegen.

Separate Profile pro Adapter möglich

Windows 7 und Server 2008 R2 bieten im Gegensatz zu ihren Vorgängern die Möglichkeit, separate Profile auf jeden Adapter anzuwenden. Unter Vista oder XP war immer nur ein Profil pro Rechner aktiv, wobei das restriktivere angewandt wurde, wenn 2 oder mehr Adapter mit verschiedenen Netzwerktypen verbunden waren.

Wenn dagegen unter Windows 7 eine Regel für mehrere Kontexte aktiviert wurde, also beispielsweise für die Profile Domäne und privat, dann ermittelt das System, an welchen Netzwerktyp eine NIC angeschlossen ist und wendet abhängig davon alle Regeln des passenden Profils an.

Logik zur Ermittlung des passenden Profils

Windows verfährt bei der Auswahl von Profilen nach folgendem Prinzip:

• Entdeckt es in einem Netzwerk einen Controller der Domäne, deren Mitglied der Rechner ist, dann gilt für den betreffenden Netzadapter das Profil Domäne, hingegen kommen privat und öffentlich dann nicht zum Zug.
• Findet es keinen Domain Controller und ist eine NIC an ein Netz angeschlossen, das vom Benutzer bzw. Administrator als privat definiert wurde (also ein Heim- oder Arbeitsplatznetzwerk), dann greift das Profile privat.
• Ist ein Adapter schließlich mit einem Netz verbunden, das nicht über eine Firewall oder eine NAT-Router, sondern direkt mit dem Internet verbunden ist, dann wirkt das Standardprofil öffentlich.

Diese kontextabhängige Anwendung von Firewall-Regeln bietet vor allem Vorteile für mobile Rechner, die im Firmen-LAN genauso verwendet werden wie im Home-Office oder an öffentlichen Orten.

Eine weitere Differenzierung lässt sich dadurch erreichen, dass sich Regeln abhängig vom Adaptertyp anwenden lassen, beispielsweise solche, die für WLANs in öffentlichen Netzen gelten, in LANs mit dagegen nicht.

Regeln in MMC für Profile aktivieren

Wenn man eine neue oder bestehende Regel für ein oder mehrere Profile aktiveren möchte, dann kann man das im MMC-Snap-in Windows-Firewall mit erweiterter Sicherheit tun.

Das funktioniert dort immer nur über die Eigenschaften einzelner Regeln, so dass dies kein gutes Verfahren ist, um mehrere Regeln auf einer größeren Zahl von Rechnern anzupassen.

Firewall-Konfiguration mit netsh.exe

Eine bessere Wahl ist in diesem Fall netsh.exe, wobei es dabei einige Eigenheiten zu beachten gibt. Eine davon besteht darin, dass viele vordefinierte Regeln in dreifacher Ausführung mit dem gleichen Namen vorliegen, und zwar in jeweils einer für jedes Profil.

Aktiviert man beispielsweise die Regel Windows-Remoteverwaltung (HTTP eingehend) nur für das Profil Domäne, dann ordnet der folgende Aufruf alle 3 gleichnamigen Versionen der Regel dem Profil Domäne zu:

netsh advfirewall firewall set rule new enable=yes profile=domain

Damit erreicht man zwar das gewünschte Ziel, dass die Windows-Remoteverwaltung nur im Domänenkontext zulässig ist. Aber man hätte sich nach der Logik des grafischen Tools erwartet, dass von den 3 gleichnamigen Regeln einfach nur jene für das Profil Domäne aktiviert worden wäre.

Der Aufruf zeigt darüber hinaus, dass der Parameter profile die englischen Bezeichnungen der Profile erwartet und nicht die lokalisierten, wie man sie in Windows-Firewall mit erweiterter Sicherheit sieht. Zur Auswahl stehen domain, private, public und any.

Keine Zuordnung von Regelgruppen zu einzelnen Profilen

Möchte man nicht nur einzelne, sondern Gruppen von Regeln aktivieren, dann lässt sich das mit einem einzigen Aufruf von netsh.exe erledigen. So setzt der Aufruf

netsh advfirewall firewall set rule group="Windows-Verwaltungsinstrumentation (WMI)" new enable=yes

alle jene in Kraft, die der Gruppe für WMI zugeordnet sind. Allerdings aktiviert der Befehl die Regeln immer gleich für alle drei Profile. Möchte man das nicht, dann muss man wie im oberen Beispiel Regel für Regel mit set rule name statt mit set rule group bearbeiten.