Freigeben über

Firewallrichtlinieneinstellungen für die Endpunktsicherheit in Intune

  • Artikel

Zeigen Sie die Einstellungen an, die Sie in Profilen für die Firewallrichtlinie im Endpunktsicherheitsknoten von Intune als Teil einer Endpunktsicherheitsrichtlinie konfigurieren können.

Gilt für:

  • macOS
  • Windows 10
  • Windows 11

Hinweis

Ab dem 5. April 2022 wurden die Firewallprofile für die Windows 10- und höher-Plattform durch die Windows-Plattform und neue Instanzen dieser Profile ersetzt. Profile, die nach diesem Datum erstellt wurden, verwenden ein neues Einstellungsformat wie im Einstellungskatalog. Mit dieser Änderung können Sie keine neuen Versionen des alten Profils mehr erstellen und diese werden nicht mehr entwickelt. Obwohl Sie keine neuen Instanzen des älteren Profils mehr erstellen können, können Sie weiterhin Instanzen davon bearbeiten und verwenden, die Sie zuvor erstellt haben.

Für Profile, die das neue Einstellungsformat verwenden, verwaltet Intune keine Liste der einzelnen Einstellungen mehr anhand des Namens. Stattdessen werden der Name jeder Einstellung, ihre Konfigurationsoptionen und ihr erläuternder Text, der im Microsoft Intune Admin Center angezeigt wird, direkt aus den autoritativen Inhalten der Einstellungen übernommen. Dieser Inhalt kann weitere Informationen zur Verwendung der Einstellung im richtigen Kontext bereitstellen. Wenn Sie einen Einstellungsinformationstext anzeigen, können Sie den zugehörigen Link Weitere Informationen verwenden, um diesen Inhalt zu öffnen.

Die Einstellungsdetails für Windows-Profile in diesem Artikel gelten für diese veralteten Profile.

Unterstützte Plattformen und Profile:

  • macOS:

    • Profil: macOS-Firewall

  • Windows 10 und höher:

    • Profil: Windows-Firewall

macOS-Firewallprofil

Firewall

Die folgenden Einstellungen werden als Endpunktsicherheitsrichtlinie für macOS-Firewalls konfiguriert.

  • Firewall aktivieren

    • Nicht konfiguriert (Standard)
    • Ja : Aktivieren Sie die Firewall.

    Wenn diese Einstellung auf Ja festgelegt ist, können Sie die folgenden Einstellungen konfigurieren.

    • Alle eingehenden Verbindungen blockieren

      • Nicht konfiguriert (Standard)
      • Ja : Blockieren Sie alle eingehenden Verbindungen mit Ausnahme von Verbindungen, die für grundlegende Internetdienste wie DHCP, Bonjour und IPSec erforderlich sind. Dadurch werden alle Freigabedienste blockiert.

    • Aktivieren des stealth-Modus

      • Nicht konfiguriert (Standard)
      • Ja : Verhindert, dass der Computer auf Testanforderungen reagiert. Der Computer beantwortet weiterhin eingehende Anforderungen für autorisierte Apps.

    • Firewall-Apps Erweitern Sie die Dropdownliste, und wählen Sie dann Hinzufügen aus, um apps und Regeln für eingehende Verbindungen für die App anzugeben.

      • Eingehende Verbindungen zulassen

        • Nicht konfiguriert
        • Blockieren
        • Zulassen

      • Bundle-ID : Die ID identifiziert die App. Beispiel: com.apple.app

Windows-Firewallprofil

Windows-Firewall

Die folgenden Einstellungen werden als Endpunktsicherheitsrichtlinie für Windows-Firewalls konfiguriert.

  • Zustandsbehaftetes Dateiübertragungsprotokoll (FTP)
    CSP: MdmStore/Global/DisableStatefulFtp

    • Nicht konfiguriert (Standard)
    • Zulassen : Die Firewall führt zustandsbehaftete FTP-Filterung (File Transfer Protocol) aus, um sekundäre Verbindungen zuzulassen.
    • Deaktiviert : Zustandsbehaftetes FTP ist deaktiviert.

  • Anzahl der Sekunden, in der sich eine Sicherheitszuordnung im Leerlauf befinden kann, bevor sie gelöscht wird
    CSP: MdmStore/Global/SaIdleTime

    Geben Sie eine Zeit in Sekunden zwischen 300 und 3600 an, wie lange die Sicherheitszuordnungen beibehalten werden, nachdem kein Netzwerkdatenverkehr angezeigt wird.

    Wenn Sie keinen Wert angeben, löscht das System eine Sicherheitszuordnung, nachdem sie sich 300 Sekunden im Leerlauf befindet.

  • Vorab freigegebene Schlüsselcodierung
    CSP: MdmStore/Global/PresharedKeyEncoding

    Wenn Sie UTF-8 nicht benötigen, werden vorab freigegebene Schlüssel anfänglich mit UTF-8 codiert. Danach können Gerätebenutzer eine andere Codierungsmethode auswählen.

    • Nicht konfiguriert (Standard)
    • Keine
    • UTF8

  • Keine Ausnahmen für Firewall-IP-Sekunde

    • Nicht konfiguriert (Standard): Wenn sie nicht konfiguriert ist, haben Sie Zugriff auf die folgenden IP-Sek.-Ausnahmeeinstellungen, die Sie einzeln konfigurieren können.

    • Ja : Deaktivieren Sie alle Firewall-IP-Ausnahmen in Sekunde. Die folgenden Einstellungen können nicht konfiguriert werden.

    • Ausnahmen für Firewall-IP-Sekunde ermöglichen die Ermittlung von Nachbarn
      CSP: MdmStore/Global/IPsecExempt

      • Nicht konfiguriert (Standard)
      • Ja : Firewall-IPsec-Ausnahmen ermöglichen die Ermittlung von Nachbarn.

    • Ausnahmen für Firewall-IP-Sekunde lassen ICMP zu
      CSP: MdmStore/Global/IPsecExempt

      • Nicht konfiguriert (Standard)
      • Ja : Firewall-IPsec-Ausnahmen lassen ICMP zu.

    • Firewall-IP-Sek. Ausnahmen ermöglichen die Routerermittlung
      CSP: MdmStore/Global/IPsecExempt

      • Nicht konfiguriert (Standard)
      • Ja : Firewall-IPsec-Ausnahmen ermöglichen die Routerermittlung.

    • Firewall-IP-Ausnahme in Sekunde lässt DHCP zu
      CSP: MdmStore/Global/IPsecExempt

      • Nicht konfiguriert (Standard)
      • Ja : Ausnahmen für Firewall-IP-Sekunde lassen DHCP zu.

  • Überprüfung der Zertifikatsperrliste (Certificate Revocation List, CRL)
    CSP: MdmStore/Global/CRLcheck

    Geben Sie an, wie die Überprüfung der Zertifikatsperrliste (Certificate Revocation List, CRL) erzwungen wird.

    • Nicht konfiguriert (Standard): Verwenden Sie den Clientstandard, d. h. die CRL-Überprüfung zu deaktivieren.
    • Keine
    • Versuchen
    • Erforderlich

  • Schlüsselerstellungsmodule müssen nur die Authentifizierungssammlungen ignorieren, die sie nicht unterstützen
    CSP: MdmStore/Global/OpportunisticallyMatchAuthSetPerKM

    • Nicht konfiguriert (Standard)
    • Disabled
    • Aktiviert : Schlüsselerstellungsmodule ignorieren nicht unterstützte Authentifizierungssammlungen.

  • Paketwarteschlange
    CSP: MdmStore/Global/EnablePacketQueue

    Geben Sie an, wie die Skalierung für die Software auf der Empfangsseite für die verschlüsselte Empfangs- und Klartextweiterleitung für das IPsec-Tunnelgateway-Szenario aktiviert werden soll. Dadurch wird sichergestellt, dass die Paketreihenfolge erhalten bleibt.

    • Nicht konfiguriert (Standard): Die Paketwarteschlange wird auf den Clientstandard zurückgesetzt, der deaktiviert ist.
    • Disabled
    • Eingehende Warteschlange
    • Ausgehende Warteschlange
    • Beides in die Warteschlange stellen

  • Aktivieren der Windows-Firewall für Domänennetzwerke
    CSP: EnableFirewall

    • Nicht konfiguriert (Standard): Der Client kehrt zu seinem Standardwert zurück, d. h., die Firewall zu aktivieren.
    • Ja : Die Windows-Firewall für den Netzwerktyp der Domäne wird aktiviert und erzwungen. Außerdem erhalten Sie Zugriff auf zusätzliche Einstellungen für dieses Netzwerk.
    • Nein : Deaktivieren Sie die Firewall.

    Zusätzliche Einstellungen für dieses Netzwerk, wenn auf Ja festgelegt:

    • Stealth-Modus blockieren
      CSP: DisableStealthMode

      Standardmäßig ist der stealth-Modus auf Geräten aktiviert. Dadurch wird verhindert, dass böswillige Benutzer Informationen über Netzwerkgeräte und die von ihnen ausgeführten Dienste entdecken. Das Deaktivieren des stealth-Modus kann Geräte anfällig für Angriffe machen.

      • Nicht konfiguriert(Standard)
      • Ja
      • Nein

    • Aktivieren des abgeschirmten Modus
      CSP: Abgeschirmt

      • Nicht konfiguriert(Standard): Verwenden Sie den Clientstandard, d. h. den abgeschirmten Modus zu deaktivieren.
      • Ja : Der Computer wird in den abgeschirmten Modus versetzt, wodurch er vom Netzwerk isoliert wird. Der gesamte Datenverkehr wird blockiert.
      • Nein

    • Blockieren von Unicastantworten auf Multicastübertragungen
      CSP: DisableUnicastResponsesToMulticastBroadcast

      • Nicht konfiguriert(Standard): Die Einstellung wird auf den Clientstandard zurückgesetzt, der Unicastantworten zulässt.
      • Ja : Unicastantworten auf Multicastübertragungen werden blockiert.
      • Nein – Erzwingen Sie den Clientstandard, d. h., Unicastantworten zuzulassen.

    • Deaktivieren von eingehenden Benachrichtigungen
      CSP DisableInboundNotifications

      • Nicht konfiguriert(Standard): Die Einstellung wird auf den Clientstandard zurückgesetzt, der die Benutzerbenachrichtigung zulässt.
      • Ja : Benutzerbenachrichtigungen werden unterdrückt, wenn eine Anwendung durch eine Eingangsregel blockiert wird.
      • Nein : Benutzerbenachrichtigungen sind zulässig.

    • Blockieren ausgehender Verbindungen

      Diese Einstellung gilt für Windows Version 1809 und höher. CSP: DefaultOutboundAction

      Diese Regel wird ganz am Ende der Regelliste ausgewertet.

      • Nicht konfiguriert(Standard): Die Einstellung wird auf den Clientstandard zurückgesetzt, d. h., Verbindungen zuzulassen.
      • Ja : Alle ausgehenden Verbindungen, die keiner Ausgangsregel entsprechen, werden blockiert.
      • Nein : Alle Verbindungen, die nicht mit einer Ausgangsregel übereinstimmen, sind zulässig.

    • Blockieren eingehender Verbindungen
      CSP: DefaultInboundAction

      Diese Regel wird ganz am Ende der Regelliste ausgewertet.

      • Nicht konfiguriert(Standard): Die Einstellung wird auf den Clientstandard zurückgesetzt, d. h. Verbindungen werden blockiert.
      • Ja : Alle eingehenden Verbindungen, die nicht mit einer Eingangsregel übereinstimmen, werden blockiert.
      • Nein : Alle Verbindungen, die nicht mit einer Eingehenden Regel übereinstimmen, sind zulässig.

    • Ignorieren autorisierter Anwendungsfirewallregeln
      CSP: AuthAppsAllowUserPrefMerge

      • Nicht konfiguriert(Standard): Die Einstellung wird auf den Clientstandard zurückgesetzt, der die lokalen Regeln berücksichtigt.
      • Ja : Autorisierte Anwendungsfirewallregeln im lokalen Speicher werden ignoriert.
      • Nein : Autorisierte Anwendungsfirewallregeln werden berücksichtigt.

    • Globale Portfirewallregeln ignorieren
      CSP: GlobalPortsAllowUserPrefMerge

      • Nicht konfiguriert(Standard): Die Einstellung wird auf den Clientstandard zurückgesetzt, der die lokalen Regeln berücksichtigt.
      • Ja : Firewallregeln für globale Ports im lokalen Speicher werden ignoriert.
      • Nein : Die Firewallregeln für globale Ports werden berücksichtigt.

    • Alle lokalen Firewallregeln ignorieren
      CSP: IPsecExempt

      • Nicht konfiguriert(Standard): Die Einstellung wird auf den Clientstandard zurückgesetzt, der die lokalen Regeln berücksichtigt.
      • Ja : Alle Firewallregeln im lokalen Speicher werden ignoriert.
      • Nein : Die Firewallregeln im lokalen Speicher werden berücksichtigt.

    • Ignorieren von Verbindungsicherheitsregeln CSP: AllowLocalIpsecPolicyMerge

      • Nicht konfiguriert(Standard): Die Einstellung wird auf den Clientstandard zurückgesetzt, der die lokalen Regeln berücksichtigt.
      • Ja : IPsec-Firewallregeln im lokalen Speicher werden ignoriert.
      • Nein – IPsec-Firewallregeln im lokalen Speicher werden berücksichtigt.

  • Aktivieren der Windows-Firewall für private Netzwerke
    CSP: EnableFirewall

    • Nicht konfiguriert (Standard): Der Client kehrt zu seinem Standardwert zurück, d. h., die Firewall zu aktivieren.
    • Ja : Die Windows-Firewall für den Netzwerktyp "Privat " ist aktiviert und erzwungen. Außerdem erhalten Sie Zugriff auf zusätzliche Einstellungen für dieses Netzwerk.
    • Nein : Deaktivieren Sie die Firewall.

    Zusätzliche Einstellungen für dieses Netzwerk, wenn auf Ja festgelegt:

    • Stealth-Modus blockieren
      CSP: DisableStealthMode

      Standardmäßig ist der stealth-Modus auf Geräten aktiviert. Dadurch wird verhindert, dass böswillige Benutzer Informationen über Netzwerkgeräte und die von ihnen ausgeführten Dienste entdecken. Das Deaktivieren des stealth-Modus kann Geräte anfällig für Angriffe machen.

      • Nicht konfiguriert(Standard)
      • Ja
      • Nein

    • Aktivieren des abgeschirmten Modus
      CSP: Abgeschirmt

      • Nicht konfiguriert(Standard): Verwenden Sie den Clientstandard, d. h. den abgeschirmten Modus zu deaktivieren.
      • Ja : Der Computer wird in den abgeschirmten Modus versetzt, wodurch er vom Netzwerk isoliert wird. Der gesamte Datenverkehr wird blockiert.
      • Nein

    • Blockieren von Unicastantworten auf Multicastübertragungen
      CSP: DisableUnicastResponsesToMulticastBroadcast

      • Nicht konfiguriert(Standard): Die Einstellung wird auf den Clientstandard zurückgesetzt, der Unicastantworten zulässt.
      • Ja : Unicastantworten auf Multicastübertragungen werden blockiert.
      • Nein – Erzwingen Sie den Clientstandard, d. h., Unicastantworten zuzulassen.

    • Deaktivieren von eingehenden Benachrichtigungen
      CSP DisableInboundNotifications

      • Nicht konfiguriert(Standard): Die Einstellung wird auf den Clientstandard zurückgesetzt, der die Benutzerbenachrichtigung zulässt.
      • Ja : Benutzerbenachrichtigungen werden unterdrückt, wenn eine Anwendung durch eine Eingangsregel blockiert wird.
      • Nein : Benutzerbenachrichtigungen sind zulässig.

    • Blockieren ausgehender Verbindungen

      Diese Einstellung gilt für Windows Version 1809 und höher. CSP: DefaultOutboundAction

      Diese Regel wird ganz am Ende der Regelliste ausgewertet.

      • Nicht konfiguriert(Standard): Die Einstellung wird auf den Clientstandard zurückgesetzt, d. h., Verbindungen zuzulassen.
      • Ja : Alle ausgehenden Verbindungen, die keiner Ausgangsregel entsprechen, werden blockiert.
      • Nein : Alle Verbindungen, die nicht mit einer Ausgangsregel übereinstimmen, sind zulässig.

    • Blockieren eingehender Verbindungen
      CSP: DefaultInboundAction

      Diese Regel wird ganz am Ende der Regelliste ausgewertet.

      • Nicht konfiguriert(Standard): Die Einstellung wird auf den Clientstandard zurückgesetzt, d. h. Verbindungen werden blockiert.
      • Ja : Alle eingehenden Verbindungen, die nicht mit einer Eingangsregel übereinstimmen, werden blockiert.
      • Nein : Alle Verbindungen, die nicht mit einer Eingehenden Regel übereinstimmen, sind zulässig.

    • Ignorieren autorisierter Anwendungsfirewallregeln
      CSP: AuthAppsAllowUserPrefMerge

      • Nicht konfiguriert(Standard): Die Einstellung wird auf den Clientstandard zurückgesetzt, der die lokalen Regeln berücksichtigt.
      • Ja : Autorisierte Anwendungsfirewallregeln im lokalen Speicher werden ignoriert.
      • Nein : Autorisierte Anwendungsfirewallregeln werden berücksichtigt.

    • Globale Portfirewallregeln ignorieren
      CSP: GlobalPortsAllowUserPrefMerge

      • Nicht konfiguriert(Standard): Die Einstellung wird auf den Clientstandard zurückgesetzt, der die lokalen Regeln berücksichtigt.
      • Ja : Firewallregeln für globale Ports im lokalen Speicher werden ignoriert.
      • Nein : Die Firewallregeln für globale Ports werden berücksichtigt.

    • Alle lokalen Firewallregeln ignorieren
      CSP: IPsecExempt

      • Nicht konfiguriert(Standard): Die Einstellung wird auf den Clientstandard zurückgesetzt, der die lokalen Regeln berücksichtigt.
      • Ja : Alle Firewallregeln im lokalen Speicher werden ignoriert.
      • Nein : Die Firewallregeln im lokalen Speicher werden berücksichtigt.

    • Ignorieren von Verbindungsicherheitsregeln CSP: AllowLocalIpsecPolicyMerge

      • Nicht konfiguriert(Standard): Die Einstellung wird auf den Clientstandard zurückgesetzt, der die lokalen Regeln berücksichtigt.
      • Ja : IPsec-Firewallregeln im lokalen Speicher werden ignoriert.
      • Nein – IPsec-Firewallregeln im lokalen Speicher werden berücksichtigt.

  • Aktivieren der Windows-Firewall für öffentliche Netzwerke
    CSP: EnableFirewall

    • Nicht konfiguriert (Standard): Der Client kehrt zu seinem Standardwert zurück, d. h., die Firewall zu aktivieren.
    • Ja : Die Windows-Firewall für den Netzwerktyp "Öffentlich " wird aktiviert und erzwungen. Außerdem erhalten Sie Zugriff auf zusätzliche Einstellungen für dieses Netzwerk.
    • Nein : Deaktivieren Sie die Firewall.

    Zusätzliche Einstellungen für dieses Netzwerk, wenn auf Ja festgelegt:

    • Stealth-Modus blockieren
      CSP: DisableStealthMode

      Standardmäßig ist der stealth-Modus auf Geräten aktiviert. Dadurch wird verhindert, dass böswillige Benutzer Informationen über Netzwerkgeräte und die von ihnen ausgeführten Dienste entdecken. Das Deaktivieren des stealth-Modus kann Geräte anfällig für Angriffe machen.

      • Nicht konfiguriert(Standard)
      • Ja
      • Nein

    • Aktivieren des abgeschirmten Modus
      CSP: Abgeschirmt

      • Nicht konfiguriert(Standard): Verwenden Sie den Clientstandard, d. h. den abgeschirmten Modus zu deaktivieren.
      • Ja : Der Computer wird in den abgeschirmten Modus versetzt, wodurch er vom Netzwerk isoliert wird. Der gesamte Datenverkehr wird blockiert.
      • Nein

    • Blockieren von Unicastantworten auf Multicastübertragungen
      CSP: DisableUnicastResponsesToMulticastBroadcast

      • Nicht konfiguriert(Standard): Die Einstellung wird auf den Clientstandard zurückgesetzt, der Unicastantworten zulässt.
      • Ja : Unicastantworten auf Multicastübertragungen werden blockiert.
      • Nein – Erzwingen Sie den Clientstandard, d. h., Unicastantworten zuzulassen.

    • Deaktivieren von eingehenden Benachrichtigungen
      CSP DisableInboundNotifications

      • Nicht konfiguriert(Standard): Die Einstellung wird auf den Clientstandard zurückgesetzt, der die Benutzerbenachrichtigung zulässt.
      • Ja : Benutzerbenachrichtigungen werden unterdrückt, wenn eine Anwendung durch eine Eingangsregel blockiert wird.
      • Nein : Benutzerbenachrichtigungen sind zulässig.

    • Blockieren ausgehender Verbindungen

      Diese Einstellung gilt für Windows Version 1809 und höher. CSP: DefaultOutboundAction

      Diese Regel wird ganz am Ende der Regelliste ausgewertet.

      • Nicht konfiguriert(Standard): Die Einstellung wird auf den Clientstandard zurückgesetzt, d. h., Verbindungen zuzulassen.
      • Ja : Alle ausgehenden Verbindungen, die keiner Ausgangsregel entsprechen, werden blockiert.
      • Nein : Alle Verbindungen, die nicht mit einer Ausgangsregel übereinstimmen, sind zulässig.

    • Blockieren eingehender Verbindungen
      CSP: DefaultInboundAction

      Diese Regel wird ganz am Ende der Regelliste ausgewertet.

      • Nicht konfiguriert(Standard): Die Einstellung wird auf den Clientstandard zurückgesetzt, d. h. Verbindungen werden blockiert.
      • Ja : Alle eingehenden Verbindungen, die nicht mit einer Eingangsregel übereinstimmen, werden blockiert.
      • Nein : Alle Verbindungen, die nicht mit einer Eingehenden Regel übereinstimmen, sind zulässig.

    • Ignorieren autorisierter Anwendungsfirewallregeln
      CSP: AuthAppsAllowUserPrefMerge

      • Nicht konfiguriert(Standard): Die Einstellung wird auf den Clientstandard zurückgesetzt, der die lokalen Regeln berücksichtigt.
      • Ja : Autorisierte Anwendungsfirewallregeln im lokalen Speicher werden ignoriert.
      • Nein : Autorisierte Anwendungsfirewallregeln werden berücksichtigt.

    • Globale Portfirewallregeln ignorieren
      CSP: GlobalPortsAllowUserPrefMerge

      • Nicht konfiguriert(Standard): Die Einstellung wird auf den Clientstandard zurückgesetzt, der die lokalen Regeln berücksichtigt.
      • Ja : Firewallregeln für globale Ports im lokalen Speicher werden ignoriert.
      • Nein : Die Firewallregeln für globale Ports werden berücksichtigt.

    • Alle lokalen Firewallregeln ignorieren
      CSP: IPsecExempt

      • Nicht konfiguriert(Standard): Die Einstellung wird auf den Clientstandard zurückgesetzt, der die lokalen Regeln berücksichtigt.
      • Ja : Alle Firewallregeln im lokalen Speicher werden ignoriert.
      • Nein : Die Firewallregeln im lokalen Speicher werden berücksichtigt.

    • Ignorieren von Verbindungsicherheitsregeln CSP: AllowLocalIpsecPolicyMerge

      • Nicht konfiguriert(Standard): Die Einstellung wird auf den Clientstandard zurückgesetzt, der die lokalen Regeln berücksichtigt.
      • Ja : IPsec-Firewallregeln im lokalen Speicher werden ignoriert.
      • Nein – IPsec-Firewallregeln im lokalen Speicher werden berücksichtigt.

Windows-Firewallregeln

Dieses Profil befindet sich in der Vorschau.

Die folgenden Einstellungen werden als Endpunktsicherheitsrichtlinie für Windows-Firewalls konfiguriert.

Windows-Firewallregel

  • Name
    Geben Sie einen Anzeigenamen für Ihre Regel an. Dieser Name wird in der Liste der Regeln angezeigt, damit Sie ihn leichter identifizieren können.

  • Beschreibung
    Geben Sie eine Beschreibung der Regel an.

  • Richtung

    • Nicht konfiguriert (Standard): Diese Regel wird standardmäßig auf ausgehenden Datenverkehr festgelegt.
    • Ausgehend : Diese Regel gilt für ausgehenden Datenverkehr.
    • In : Diese Regel gilt für eingehenden Datenverkehr.

  • Aktion

    • Nicht konfiguriert (Standard): Die Regel lässt standardmäßig Datenverkehr zu.
    • Blockiert : Datenverkehr wird in der von Ihnen konfigurierten Richtung blockiert.
    • Zulässig : Datenverkehr ist in der von Ihnen konfigurierten Richtung zulässig.

  • Netzwerktyp
    Geben Sie den Netzwerktyp an, zu dem die Regel gehört. Sie können eine oder mehrere der folgenden Optionen auswählen. Wenn Sie keine Option auswählen, gilt die Regel für alle Netzwerktypen.

    • Domäne
    • Private
    • Public
    • Nicht konfiguriert

Anwendungseinstellungen

Anwendungen, für die diese Regel gilt:

  • Paketfamilienname
    Get-AppxPackage

    Paketfamiliennamen können abgerufen werden, indem Sie den Befehl Get-AppxPackage aus PowerShell ausführen.

  • Dateipfad
    CSP: FirewallRules/FirewallRuleName/App/FilePath

    Um den Dateipfad einer App anzugeben, geben Sie den Speicherort der Apps auf dem Clientgerät ein. Beispiel: C:\Windows\System\Notepad.exe

  • Dienstname
    FirewallRules/FirewallRuleName/App/ServiceName

    Verwenden Sie einen Kurznamen für einen Windows-Dienst, wenn ein Dienst, nicht eine Anwendung, Datenverkehr sendet oder empfängt. Kurznamen des Diensts werden durch Ausführen des Get-Service Befehls aus PowerShell abgerufen.

Port- und Protokolleinstellungen

Geben Sie die lokalen und Remoteports an, für die diese Regel gilt:

  • Protocol
    CSP: FirewallRules/FirewallRuleName/Protocol

    Geben Sie das Protokoll für diese Portregel an.

    • Transportschichtprotokolle wie TCP(6) und UDP(17) ermöglichen es Ihnen, Ports oder Portbereiche anzugeben.
    • Geben Sie für benutzerdefinierte Protokolle eine Zahl zwischen 0 und 255 ein, die das IP-Protokoll darstellt.
    • Wenn nichts angegeben ist, wird die Regel standardmäßig auf Beliebig festgelegt.

  • Schnittstellentypen
    Geben Sie die Schnittstellentypen an, zu denen die Regel gehört. Sie können eine oder mehrere der folgenden Optionen auswählen. Wenn Sie keine Option auswählen, gilt die Regel für alle Schnittstellentypen:

    • Remotezugriff
    • Drahtlos
    • Lokales Netzwerk
    • Nicht konfiguriert
    • Mobiles Breitband : Diese Option ersetzt die Verwendung des vorherigen Eintrags für mobiles Breitband, der veraltet ist und nicht mehr unterstützt wird.
    • [Nicht unterstützt] Mobiles Breitband : Verwenden Sie diese Option nicht, bei der es sich um die ursprüngliche Option für mobiles Breitband handelt. Diese Option funktioniert nicht mehr ordnungsgemäß. Ersetzen Sie die Verwendung dieser Option durch die neuere Version von Mobile Broadband.

  • Autorisierte Benutzer
    FirewallRules/FirewallRuleName/LocalUserAuthorizationList

    Geben Sie eine Liste der autorisierten lokalen Benutzer für diese Regel an. Eine Liste der autorisierten Benutzer kann nicht angegeben werden, wenn der Dienstname in dieser Richtlinie als Windows-Dienst festgelegt ist. Wenn kein autorisierter Benutzer angegeben ist, werden standardmäßig alle Benutzer verwendet.

IP-Adresseinstellungen

Gibt die lokalen und Remoteadressen an, für die diese Regel gilt:

  • Jede lokale Adresse
    Nicht konfiguriert (Standard): Verwenden Sie die folgende Einstellung : Lokale Adressbereiche*, um einen Adressbereich zu konfigurieren, der unterstützt werden soll.

    • Ja : Unterstützt jede lokale Adresse, und konfigurieren Sie keinen Adressbereich.

  • Lokale Adressbereiche
    CSP: FirewallRules/FirewallRuleName/LocalAddressRanges

    Verwalten sie lokale Adressbereiche für diese Regel. Sie haben folgende Möglichkeiten:

    • Fügen Sie eine oder mehrere Adressen als durch Trennzeichen getrennte Liste lokaler Adressen hinzu, die von der Regel abgedeckt werden.
    • Importieren Sie eine .csv-Datei, die eine Liste lokaler IP-Adressbereiche enthält, indem Sie den Header "LocalAddressRanges" verwenden.
    • Exportieren Sie Ihre aktuelle Liste der lokalen Adressbereiche als .csv-Datei.

    Gültige Einträge (Token) umfassen die folgenden Optionen:

    • Ein Sternchen : Ein Sternchen (*) gibt eine beliebige lokale Adresse an. Falls vorhanden, muss das Sternchen das einzige enthaltene Token sein.
    • Ein Subnetz : Geben Sie Subnetze mithilfe der Subnetzmaske oder der Netzwerkpräfixnotation an. Wenn keine Subnetzmaske oder kein Netzwerkpräfix angegeben ist, wird die Subnetzmaske standardmäßig auf 255.255.255.255 festgelegt.
    • Eine gültige IPv6-Adresse
    • Ein IPv4-Adressbereich – IPv4-Bereiche müssen im Format Startadresse – Endadresse ohne Leerzeichen vorliegen, wobei die Startadresse kleiner als die Endadresse ist.
    • Ein IPv6-Adressbereich – IPv6-Bereiche müssen das Format der Startadresse aufweisen – Endadresse ohne Leerzeichen, wobei die Startadresse kleiner als die Endadresse ist.

    Wenn kein Wert angegeben ist, verwendet diese Einstellung standardmäßig Beliebige Adresse.

  • Beliebige Remoteadresse
    Nicht konfiguriert (Standard): Verwenden Sie die folgende Einstellung Remoteadressbereiche*, um einen Adressbereich zu konfigurieren, der unterstützt werden soll.

    • Ja : Unterstützt alle Remoteadressen, und konfigurieren Sie keinen Adressbereich.

  • Remoteadressbereiche
    CSP: FirewallRules/FirewallRuleName/RemoteAddressRanges

    Verwalten sie Remoteadressbereiche für diese Regel. Sie haben folgende Möglichkeiten:

    • Fügen Sie eine oder mehrere Adressen als durch Trennzeichen getrennte Liste von Remoteadressen hinzu, die von der Regel abgedeckt werden.
    • Importieren Sie eine .csv-Datei, die eine Liste von Remote-IP-Adressbereichen enthält, indem Sie den Header "RemoteAddressRanges" verwenden.
    • Exportieren Sie Ihre aktuelle Liste der Remoteadressbereiche als .csv Datei.

    Gültige Einträge (Token) umfassen folgendes und beachten die Groß-/Kleinschreibung nicht:

    • Ein Sternchen : Ein Sternchen (*) gibt eine beliebige Remoteadresse an. Falls vorhanden, muss das Sternchen das einzige enthaltene Token sein.
    • Defaultgateway
    • DHCP
    • DNS
    • GEWINNT
    • Intranet : Wird auf Geräten mit Windows 1809 oder höher unterstützt.
    • RmtIntranet : Wird auf Geräten mit Windows 1809 oder höher unterstützt.
    • Ply2Renders : Wird auf Geräten mit Windows 1809 oder höher unterstützt.
    • LocalSubnet : Gibt eine beliebige lokale Adresse im lokalen Subnetz an.
    • Ein Subnetz : Geben Sie Subnetze mithilfe der Subnetzmaske oder der Netzwerkpräfixnotation an. Wenn keine Subnetzmaske oder ein Netzwerkpräfix angegeben ist, wird die Subnetzmaske standardmäßig auf 255.255.255.255 festgelegt.
    • Eine gültige IPv6-Adresse
    • Ein IPv4-Adressbereich – IPv4-Bereiche müssen im Format Startadresse – Endadresse ohne Leerzeichen vorliegen, wobei die Startadresse kleiner als die Endadresse ist.
    • Ein IPv6-Adressbereich – IPv6-Bereiche müssen das Format der Startadresse aufweisen – Endadresse ohne Leerzeichen, wobei die Startadresse kleiner als die Endadresse ist.

    Wenn kein Wert angegeben ist, verwendet diese Einstellung standardmäßig Beliebige Adresse.

Nächste Schritte

Endpunktsicherheitsrichtlinie für Firewalls