Leitfaden zur Problembehandlung für die Windows-Firewall mit erweiterter Sicherheit

Dieser Artikel soll Ihnen helfen, Probleme im Zusammenhang mit der Windows-Firewall mit erweiterter Sicherheit zu beheben.

Checkliste zur Problembehandlung

Überlegungen zu Firewallregeln

Es wird nur eine Firewallregel verwendet, um zu bestimmen, ob ein Netzwerkpaket zulässig oder gelöscht wird. Wenn das Netzwerkpaket mehreren Regeln entspricht, wird die verwendete Regel mit der folgenden Rangfolge ausgewählt:

1. Regeln, die die Aktion Allow if Secure (Zulassen, wenn sicher) und die Option Block override (Außerkraftsetzung blockieren) angeben
2. Regeln, die die Aktion Blockieren angeben
3. Regeln, die die Aktion Zulassen angeben

Im Knoten Überwachung werden nur aktuell aktive Regeln angezeigt. Regeln werden möglicherweise nicht in der Liste angezeigt, wenn:

1. Die Regel ist deaktiviert.
2. Wenn das standardmäßige Ein- oder Ausgehende Firewallverhalten so konfiguriert ist, dass Datenverkehr zugelassen wird, der nicht durch eine Regel blockiert wird, werden Zulassungsregeln der angegebenen Richtung nicht angezeigt.

Standardmäßig sind die Firewallregeln in den in der folgenden Liste angegebenen Gruppen aktiviert. Möglicherweise werden zusätzliche Regeln aktiviert, wenn Sie bestimmte Windows-Features oder -Programme installieren.

1. Kernnetzwerk – alle Profile
2. Remoteunterstützung: DCOM- und RA-Server-TCP-Regeln nur für Domänenprofile, andere Regeln für Domänenprofile und private Profile
3. Netzwerkermittlung – nur privates Profil

Aktivieren von Überwachungsereignissen

Verwenden Sie auditpol.exe , um überwachungsrichtlinien des lokalen Computers zu ändern. Sie können das auditpol Befehlszeilentool verwenden, um die verschiedenen Kategorien und Unterkategorien von Ereignissen zu aktivieren oder zu deaktivieren und dann die Ereignisse im Ereignisanzeige-Snap-In anzuzeigen.

• Führen Sie den folgenden Befehl an der Eingabeaufforderung aus, um die Liste der vom auditpol-Tool erkannten Ereigniskategorien abzurufen:

  auditpol.exe /list /category
  

• Um die Liste der Unterkategorien unter einer Kategorie abzurufen (in diesem Beispiel wird die Kategorie Richtlinienänderung verwendet), führen Sie den folgenden Befehl an der Eingabeaufforderung aus:

  auditpol.exe /list /category:"Policy Change"
  

• Um eine Kategorie und eine zu aktivierende Unterkategorie festzulegen, geben Sie Folgendes an der Eingabeaufforderung ein:

  auditpol.exe /set /category:"CategoryName" /SubCategory:"SubcategoryName"
  

Konfigurieren der Firewallprotokolldatei für ein Profil

1. Wählen Sie in der Konsolenstruktur des Snap-Ins Windows-Firewall mit erweiterter Sicherheit die Option Windows-Firewall mit erweiterter Sicherheit und dann im Bereich Aktionen die Option Eigenschaften aus.
2. Wählen Sie die Registerkarte des Profils aus, für das Sie die Protokollierung konfigurieren möchten (Domäne, Privat oder Öffentlich), und wählen Sie dann Anpassen aus.
3. Geben Sie einen Namen und einen Speicherort an.
4. Geben Sie einen Grenzwert für die Protokolldateigröße an (zwischen 1 und 32767 KB).
5. Wählen Sie Ja für Verworfene Pakete protokollieren aus.
6. Wählen Sie Ja für Erfolgreiche Verbindungen protokollieren und dann OK aus.

Erstellen von Textdateien für Netzwerkstatistiken und Aufgabenlisten

1. Geben Sie an der Eingabeaufforderung netstat -ano > netstat.txt ein, und drücken Sie die Eingabetaste.
2. Geben Sie an der Eingabeaufforderung tasklist > tasklist.txt ein, und drücken Sie die Eingabetaste.
   Wenn Sie anstelle von Programmen eine Textdatei für Dienste erstellen möchten, geben Sie an der Eingabeaufforderung ein tasklist /svc > tasklist.txt.
3. Öffnen Sie die tasklist.txt und die netstat.txt Dateien.
4. Notieren Sie sich in der datei tasklist.txt den Prozessbezeichner (PID) für den Prozess, den Sie behandeln möchten. Vergleichen Sie die PID mit der PID in der Netstat.txt-Datei. Notieren Sie sich das verwendete Protokoll. Die Informationen zum verwendeten Protokoll können beim Überprüfen der Informationen in der Firewallprotokolldatei nützlich sein.

Überprüfen, ob Firewall und IPsec-Dienste funktionieren

Damit die Windows-Firewall mit erweiterter Sicherheit ordnungsgemäß funktioniert, müssen die folgenden Dienste gestartet werden:

• Basisfilterungs-Engine
• Gruppenrichtlinie Client
• IKE- und AuthIP-IPsec-Schlüsselmodule
• IP-Hilfsprogramm
• IPsec-Richtlinien-Agent
• Netzwerkstandorterkennung
• Netzwerklistendienst
• Windows-Firewall

Häufige Probleme und Lösungen

• Die Windows-Firewall blockiert ein Programm
• Die Windows-Firewall wird jedes Mal deaktiviert, wenn ich meinen Computer starte
• Windows-Firewall muss deaktiviert werden
• Windows-Firewall kann nicht mit erweiterter Sicherheit konfiguriert werden
• Niemand kann meinen Computer pingen
• Niemand kann auf meine lokalen Datei- und Druckerfreigaben zugreifen
• Remoteverwaltung der Windows-Firewall nicht möglich
• Problembehandlung bei Windows-Firewalleinstellungen nach einem Windows-Upgrade

Datensammlung

Bevor Sie sich an den Microsoft-Support wenden, können Sie Informationen zu Ihrem Problem sammeln.

Voraussetzungen

1. TSS muss von Konten mit Administratorrechten auf dem lokalen System ausgeführt werden, und die EULA muss akzeptiert werden (sobald die EULA akzeptiert wurde, wird TSS nicht mehr aufgefordert).
2. Es wird die PowerShell-Ausführungsrichtlinie für den lokalen Computer RemoteSigned empfohlen.

Hinweis

Wenn die aktuelle PowerShell-Ausführungsrichtlinie die Ausführung von TSS nicht zulässt, führen Sie die folgenden Aktionen aus:

• Legen Sie die RemoteSigned Ausführungsrichtlinie für die Prozessebene fest, indem Sie das Cmdlet PS C:\> Set-ExecutionPolicy -scope Process -ExecutionPolicy RemoteSignedausführen.
• Führen Sie das Cmdlet PS C:\> Get-ExecutionPolicy -Listaus, um zu überprüfen, ob die Änderung wirksam wird.
• Da die Berechtigungen auf Prozessebene nur für die aktuelle PowerShell-Sitzung gelten, wechselt die zugewiesene Berechtigung für die Prozessebene auch wieder in den zuvor konfigurierten Zustand zurück, sobald das angegebene PowerShell-Fenster, in dem TSS ausgeführt wird, geschlossen wurde.

Sammeln Sie wichtige Informationen, bevor Sie sich an den Microsoft-Support wenden.

1. Laden Sie TSS auf alle Knoten herunter, und entpacken Sie es im Ordner C:\tss .

2. Öffnen Sie den Ordner C:\tss über eine PowerShell-Eingabeaufforderung mit erhöhten Rechten.

3. Starten Sie die Ablaufverfolgungen mit dem folgenden Cmdlet:

   TSS.ps1 -Scenario NET_WFP
   

4. Akzeptieren Sie die Lizenzbedingungen, wenn die Ablaufverfolgungen zum ersten Mal auf dem Computer ausgeführt werden.

5. Aufzeichnung zulassen (PSR oder Video).

6. Reproduzieren Sie das Problem, bevor Sie Y eingeben.

   Hinweis

   Wenn Sie Protokolle sowohl auf dem Client als auch auf dem Server sammeln, warten Sie auf diese Meldung auf beiden Knoten, bevor Sie das Problem reproduzieren.

7. Geben Sie Y ein, um die Protokollsammlung abzuschließen, nachdem das Problem reproduziert wurde.

Die Ablaufverfolgungen werden in einer ZIP-Datei im Ordner C:\MS_DATA gespeichert, der zur Analyse in den Arbeitsbereich hochgeladen werden kann.

Referenz

• Ereignisse für die Windows-Firewall mit erweiterter Sicherheit in Ereignisanzeige
• Bewährte Methoden zum Konfigurieren von Windows Defender Firewall
• Verbesserungen beim Filtern des Ursprungsüberwachungsprotokolls
• Verwenden der netsh advfirewall-Firewall