Anleitung zur Problembehandlung für Windows-Firewall mit erweiterter Sicherheit

Dieser Artikel soll Ihnen bei der Behandlung von Problemen im Zusammenhang mit der Windows-Firewall mit erweiterter Sicherheit helfen.

Checkliste zur Problembehandlung

Hinweise zu Firewallregeln

Es wird nur anhand einer einzelnen Firewallregel entschieden, ob ein Netzwerkpaket zugelassen oder verworfen wird. Wenn das Netzwerkpaket mehreren Regeln entspricht, wird die verwendete Regel mithilfe der folgenden Rangfolge ausgewählt:

1. Regeln mit der Aktion „Allow if Secure“ (Zulassen, falls sicher) und der Option „Block Override“ (Überschreibung blockieren)
2. Regeln mit der Aktion „Blockieren“
3. Regeln mit der Aktion „Zulassen“

Im Überwachungsknoten werden nur derzeit aktive Regeln angezeigt. In folgenden Fällen werden Regeln möglicherweise nicht in der Liste angezeigt:

1. Die Regel ist deaktiviert.
2. Wenn das standardmäßige Firewallverhalten für ein- oder ausgehenden Datenverkehr so konfiguriert ist, dass Datenverkehr zugelassen wird, der nicht durch eine Regel blockiert wird, werden keine Zulassungsregeln der angegebenen Richtung angezeigt.

Die Firewallregeln aus den Gruppen in der folgenden Liste sind standardmäßig aktiviert. Zusätzliche Regeln können aktiviert werden, wenn Sie bestimmte Windows-Features oder Programme installieren.

1. Kernnetzwerk: Alle Profile
2. Remoteunterstützung: TCP-Regeln für DCOM- und RA-Server nur für Domänenprofil, andere Regeln sowohl für Domänenprofil als auch für privates Profil
3. Netzwerkermittlung: Nur privates Profil

Aktivieren von Überwachungsereignissen

Verwenden Sie auditpol.exe , um Überwachungsrichtlinien des lokalen Computers zu ändern. Sie können das auditpol Befehlszeilentool verwenden, um die verschiedenen Kategorien und Unterkategorien von Ereignissen zu aktivieren oder zu deaktivieren und dann die Ereignisse im Ereignisanzeige-Snap-In anzuzeigen.

• Um die Liste der vom Auditpol-Tool erkannten Ereigniskategorien abzurufen, führen Sie den folgenden Befehl an der Eingabeaufforderung aus:

  auditpol.exe /list /category
  

• Um die Liste der Unterkategorien unter einer Kategorie abzurufen (in diesem Beispiel wird die Kategorierichtlinienänderung verwendet), führen Sie den folgenden Befehl an der Eingabeaufforderung aus:

  auditpol.exe /list /category:"Policy Change"
  

• Wenn Sie eine Kategorie und eine zu aktivierende Unterkategorie festlegen möchten, geben Sie Folgendes an der Eingabeaufforderung ein:

  auditpol.exe /set /category:"CategoryName" /SubCategory:"SubcategoryName"
  

Konfigurieren der Firewallprotokolldatei für ein Profil

1. Wählen Sie in der Konsolenstruktur der Windows-Firewall mit erweitertem Sicherheits-Snap-In die Option "Windows-Firewall mit erweiterter Sicherheit" und dann "Eigenschaften" im Bereich "Aktionen" aus.
2. Wählen Sie die Registerkarte des Profils aus, für das Sie die Protokollierung konfigurieren möchten (Domäne, Privat oder Öffentlich), und wählen Sie dann "Anpassen" aus.
3. Geben Sie einen Namen und den Speicherort an.
4. Geben Sie einen Grenzwert für die Protokolldateigröße an (zwischen 1 KB und 32.767 KB).
5. Wählen Sie "Ja " für verworfene Log-Pakete aus.
6. Wählen Sie "Ja " für erfolgreiche Verbindungen "Protokollieren" und dann "OK" aus.

Erstellen von Textdateien mit Netzwerkstatistik und Aufgabenliste

1. Geben Sie an der Eingabeaufforderung netstat -ano > netstat.txt ein, und drücken Sie die Eingabetaste.
2. Geben Sie an der Eingabeaufforderung tasklist > tasklist.txt ein, und drücken Sie die Eingabetaste.
   Wenn Sie eine Textdatei für Dienste anstelle von Programmen erstellen möchten, geben Sie an der Eingabeaufforderung die Zeichenfolge tasklist /svc > tasklist.txtein.
3. Öffnen Sie die Dateien „tasklist.txt“ und „netstat.txt“.
4. Ermitteln Sie in der Datei „tasklist.txt“ die Prozess-ID (PID) für den Prozess, für den Sie die Problembehandlung durchführen, und notieren Sie sich die ID. Vergleichen Sie die PID mit der Angabe in der Datei „netstat.txt“. Notieren Sie sich das verwendete Protokoll. Die Informationen zum verwendeten Protokoll können nützlich sein, wenn Sie die Informationen in der Firewallprotokolldatei überprüfen.

Überprüfen, ob Firewall- und IPsec-Dienste funktionieren

Damit die Windows-Firewall mit erweiterter Sicherheit ordnungsgemäß funktioniert, müssen die folgenden Dienste gestartet werden:

• Basisfiltermodul
• Gruppenrichtlinienclient
• IKE- und AuthIP IPsec-Schlüsselerstellungsmodule
• IP-Hilfsprogramm
• IPsec-Richtlinien-Agent
• NLA (Network Location Awareness)
• Netzwerklistendienst
• Windows-Firewall

Bekannte Probleme und Lösungen

• Von der Windows-Firewall wird ein Programm blockiert.
• Die Windows-Firewall ist beim Starten meines Computers immer deaktiviert.
• Ich möchte die Windows-Firewall deaktivieren.
• Ich kann die Windows-Firewall mit erweiterter Sicherheit nicht konfigurieren.
• Niemand kann meinen Computer pingen.
• Niemand kann auf meine lokalen Datei- und Druckerfreigaben zugreifen.
• Ich kann die Remoteverwaltung für die Windows-Firewall nicht verwenden.
• Problembehandlung für Windows-Firewalleinstellungen nach einem Windows-Upgrade

Datensammlung

Bevor Sie sich an den Microsoft-Support wenden, können Sie Informationen zu Ihrem Problem sammeln.

Voraussetzungen

1. TSS muss von Konten mit Administratorrechten im lokalen System ausgeführt werden, und EULA muss akzeptiert werden (sobald EULA akzeptiert wurde, wird TSS nicht mehr aufgefordert).
2. Wir empfehlen die PowerShell-Ausführungsrichtlinie des lokalen Computers RemoteSigned .

Notiz

Wenn die aktuelle PowerShell-Ausführungsrichtlinie das Ausführen von TSS nicht zulässt, führen Sie die folgenden Aktionen aus:

• Legen Sie die Ausführungsrichtlinie RemoteSigned für die Prozessebene fest, indem Sie das Cmdlet PS C:\> Set-ExecutionPolicy -scope Process -ExecutionPolicy RemoteSignedausführen.
• Führen Sie das Cmdlet PS C:\> Get-ExecutionPolicy -Listaus, um zu überprüfen, ob die Änderung wirksam wird.
• Da die Berechtigungen auf Prozessebene nur für die aktuelle PowerShell-Sitzung gelten, sobald das angegebene PowerShell-Fenster, in dem TSS ausgeführt wird, geschlossen ist, wird die zugewiesene Berechtigung für die Prozessebene auch wieder in den zuvor konfigurierten Zustand zurückgesetzt.

Sammeln sie wichtige Informationen, bevor Sie sich an den Microsoft-Support wenden

1. Laden Sie TSS auf allen Knoten herunter, und entzippen Sie es im Ordner "C:\tss ".

2. Öffnen Sie den Ordner "C:\tss" über eine PowerShell-Eingabeaufforderung mit erhöhten Rechten.

3. Starten Sie die Ablaufverfolgungen mithilfe des folgenden Cmdlets:

   TSS.ps1 -Scenario NET_WFP
   

4. Akzeptieren Sie die EULA, wenn die Ablaufverfolgungen zum ersten Mal auf dem Computer ausgeführt werden.

5. Aufzeichnung zulassen (PSR oder Video).

6. Reproduzieren Sie das Problem, bevor Sie Y eingeben.

   Notiz

   Wenn Sie Protokolle sowohl auf dem Client als auch auf dem Server sammeln, warten Sie auf diese Meldung auf beiden Knoten, bevor Sie das Problem wiedergeben.

7. Geben Sie Y ein, um die Protokollauflistung abzuschließen, nachdem das Problem reproduziert wurde.

Die Ablaufverfolgungen werden in einer ZIP-Datei im Ordner "C:\MS_DATA " gespeichert, die zur Analyse in den Arbeitsbereich hochgeladen werden können.

Verweis

• Ereignisse für die Windows-Firewall mit erweiterter Sicherheit in der Ereignisanzeige
• Bewährte Methoden zum Konfigurieren von Windows Defender Firewall
• Verbesserungen im Audit-Protokoll der Filterherkunft
• Verwenden der Firewall „netsh advfirewall“