Windows-Firewall: Regeln für Profile konfigurieren


    Tags: ,

    Status der Windows-FirewallWindows 7 und Server 2008 R2 kennen für die Regeln der integrierten Firewall 3 Profile namens Domäne, privat und öffentlich. Unter XP und Server 2003 gab es dagegen nur 2 (Standard und Domain). Sie bestimmen, ob eine Regel in einem bestimmten Netzwerkkontext angewandt wird. Profile erlauben zwar eine differenzierte Konfiguration der Firewall, machen diese aber auch komplizierter.

    Die Konfiguration nach Profilen durchzieht die ganze Firewall, so dass man eigentlich von drei verschiedenen Instanzen der Security-Software sprechen kann, die abhängig von der Netzwerkumgebung tätig werden. So lässt sich die Firewall getrennt nach Profilen ein- und ausschalten, wobei man beispielsweise die Instanz für die Domäne deaktivieren und jene für das öffentliche Profil weiterlaufen lassen könnte. Darüber hinaus ist es möglich, für jedes Profil separate Vorgabewerte für diverse Einstellungen festzulegen.

    Separate Profile pro Adapter in Windows 7 möglich

    Windows 7 und Server 2008 R2 bieten im Gegensatz zu ihren Vorgängern die Möglichkeit, separate Profile auf jeden Adapter anzuwenden. Unter Vista oder XP war immer nur ein Profil pro Rechner aktiv, wobei das restriktivere angewandt wurde, wenn 2 oder mehr Adapter mit verschiedenen Netzwerktypen verbunden waren.

    Wenn dagegen unter Windows 7 eine Regel für mehrere Kontexte aktiviert wurde, also beispielsweise für die Profile Domäne und privat, dann ermittelt das System, an welchen Netzwerktyp eine NIC angeschlossen ist und wendet abhängig davon alle Regeln des passenden Profils an.

    Logik zur Ermittlung des passenden Profils

    Windows verfährt bei der Auswahl von Profilen nach folgendem Prinzip:

    • Entdeckt es in einem Netzwerk einen Controller der Domäne, deren Mitglied der Rechner ist, dann gilt für den betreffenden Netzadapter das Profil Domäne, hingegen kommen privat und öffentlich dann nicht zum Zug.
    • Findet es keinen Domain Controller und ist eine NIC an ein Netz angeschlossen, das vom Benutzer bzw. Administrator als privat definiert wurde (also ein Heim- oder Arbeitsplatznetzwerk), dann greift das Profile privat.
    • Ist ein Adapter schließlich mit einem Netz verbunden, das nicht über eine Firewall oder eine NAT-Router, sondern direkt mit dem Internet verbunden ist, dann wirkt das Standardprofil öffentlich.

    Diese kontextabhängige Anwendung von Firewall-Regeln bietet vor allem Vorteile für mobile Rechner, die im Firmen-LAN genauso verwendet werden wie im Home-Office oder an öffentlichen Orten. Eine weitere Differenzierung lässt sich dadurch erreichen, dass sich Regeln abhängig vom Adaptertyp anwenden lassen, beispielsweise solche, die für WLANs in öffentlichen Netzen gelten, in LANs mit dagegen nicht.

    Regeln in MMC für Profile aktivieren

    Wenn man eine neue oder bestehende Regel für ein oder mehrere Profile aktiveren möchte, dann kann man das im MMC-Snap-in Windows-Firewall mit erweiterter Sicherheit tun. Das funktioniert dort immer nur über die Eigenschaften einzelner Regeln, so dass dies kein gutes Verfahren ist, um mehrere Regeln auf einer größeren Zahl von Rechnern anzupassen.

    Die meisten vordefinierten Regeln liegen in Varianten für alle 3 Profile vor. Aktiviert man eine Regel für ein Profil, dann ändert netsh alle 3.

    Firewall-Konfiguration mit netsh.exe

    Eine bessere Wahl ist in diesem Fall netsh.exe, wobei es dabei einige Eigenheiten zu beachten gibt. Eine davon besteht darin, dass viele vordefinierte Regeln in dreifacher Ausführung mit dem gleichen Namen vorliegen, und zwar in jeweils einer für jedes Profil. Aktiviert man beispielsweise die Regel Windows-Remoteverwaltung (HTTP eingehend) nur für das Profil Domäne, dann ordnet der folgende Aufruf alle 3 gleichnamigen Versionen der Regel dem Profil Domäne zu:

    netsh advfirewall firewall set rule new enable=yes profile=domain

    Damit erreicht man zwar das gewünschte Ziel, dass die Windows-Remoteverwaltung nur im Domänenkontext zulässig ist. Aber man hätte sich nach der Logik des grafischen Tools erwartet, dass von den 3 gleichnamigen Regeln einfach nur jene für das Profil Domäne aktiviert worden wäre. Der Aufruf zeigt darüber hinaus, dass der Parameter profile die englischen Bezeichnungen der Profile erwartet und nicht die lokalisierten, wie man sie in Windows-Firewall mit erweiterter Sicherheit sieht. Zur Auswahl stehen domain, private, public und any.

    Keine Zuordnung von Regelgruppen zu einzelnen Profilen

    Möchte man nicht nur einzelne, sondern Gruppen von Regeln aktivieren, dann lässt sich das mit einem einzigen Aufruf von netsh.exe erledigen. So setzt der Aufruf

    netsh advfirewall firewall set rule group="Windows-Verwaltungsinstrumentation (WMI)" new enable=yes

    alle jene in Kraft, die der Gruppe für WMI zugeordnet sind. Allerdings aktiviert der Befehl die Regeln immer gleich für alle drei Profile. Möchte man das nicht, dann muss man wie im oberen Beispiel Regel für Regel mit set rule name statt mit set rule group bearbeiten.

    2 Kommentare

    Bild von Klaus
    Klaus sagt:
    17. November 2012 - 23:05

    Wenn ich auf meinem Vista 64 System

    C:\Windows\system32>netsh advfirewall firewall show rule name=all|find "Gruppierung:"

    eingebe, bekomme ich nur ...

    Gruppierung:
    Gruppierung:
    Gruppierung:
    Gruppierung:
    Gruppierung:
    Gruppierung:
    Gruppierung:
    Gruppierung:
    Gruppierung:
    Gruppierung:
    Gruppierung:
    Gruppierung:
    Gruppierung:
    Gruppierung:
    Gruppierung:
    Gruppierung:
    Gruppierung:
    Gruppierung:
    Gruppierung:
    Gruppierung:
    Gruppierung:
    Gruppierung:
    Gruppierung:
    Gruppierung:
    Gruppierung:
    Gruppierung:
    Gruppierung:
    Gruppierung:
    Gruppierung:
    Gruppierung:
    Gruppierung:
    Gruppierung:
    Gruppierung:
    Gruppierung:
    Gruppierung: Windows Communication Foundation
    Gruppierung:
    Gruppierung:
    Gruppierung:
    Gruppierung:
    Gruppierung:
    Gruppierung:
    Gruppierung:
    Gruppierung:
    Gruppierung:
    Gruppierung:
    Gruppierung:
    Gruppierung:
    Gruppierung:
    Gruppierung:
    Gruppierung:
    Gruppierung:
    Gruppierung:

    Das ist doch bestimmt nicht O.K.?

    Vielen Dank im Voraus.

    Bild von Wolfgang Sommergut
    17. November 2012 - 23:41

    Ich habe keinen Vista-Rechner, daher kann ich es nicht ausprobieren. Offenbar wird die Ausgabe dort anders formatiert. Daher würde ich statt |find "Gruppierung:" nur |more eingeben und durch die Liste blättern.