Leitfaden zur Problembehandlung für die Windows-Firewall mit erweiterter Sicherheit
Dieser Artikel soll Ihnen helfen, Probleme im Zusammenhang mit der Windows-Firewall mit erweiterter Sicherheit zu beheben.
Checkliste zur Problembehandlung
Überlegungen zu Firewallregeln
Es wird nur eine Firewallregel verwendet, um zu bestimmen, ob ein Netzwerkpaket zulässig oder gelöscht wird. Wenn das Netzwerkpaket mehreren Regeln entspricht, wird die verwendete Regel mit der folgenden Rangfolge ausgewählt:
- Regeln, die die Aktion Allow if Secure (Zulassen, wenn sicher) und die Option Block override (Außerkraftsetzung blockieren) angeben
- Regeln, die die Aktion Blockieren angeben
- Regeln, die die Aktion Zulassen angeben
Im Knoten Überwachung werden nur aktuell aktive Regeln angezeigt. Regeln werden möglicherweise nicht in der Liste angezeigt, wenn:
- Die Regel ist deaktiviert.
- Wenn das standardmäßige Ein- oder Ausgehende Firewallverhalten so konfiguriert ist, dass Datenverkehr zugelassen wird, der nicht durch eine Regel blockiert wird, werden Zulassungsregeln der angegebenen Richtung nicht angezeigt.
Standardmäßig sind die Firewallregeln in den in der folgenden Liste angegebenen Gruppen aktiviert. Möglicherweise werden zusätzliche Regeln aktiviert, wenn Sie bestimmte Windows-Features oder -Programme installieren.
- Kernnetzwerk – alle Profile
- Remoteunterstützung: DCOM- und RA-Server-TCP-Regeln nur für Domänenprofile, andere Regeln für Domänenprofile und private Profile
- Netzwerkermittlung – nur privates Profil
Aktivieren von Überwachungsereignissen
Verwenden Sie auditpol.exe , um überwachungsrichtlinien des lokalen Computers zu ändern. Sie können das auditpol
Befehlszeilentool verwenden, um die verschiedenen Kategorien und Unterkategorien von Ereignissen zu aktivieren oder zu deaktivieren und dann die Ereignisse im Ereignisanzeige-Snap-In anzuzeigen.
Führen Sie den folgenden Befehl an der Eingabeaufforderung aus, um die Liste der vom auditpol-Tool erkannten Ereigniskategorien abzurufen:
auditpol.exe /list /category
Um die Liste der Unterkategorien unter einer Kategorie abzurufen (in diesem Beispiel wird die Kategorie Richtlinienänderung verwendet), führen Sie den folgenden Befehl an der Eingabeaufforderung aus:
auditpol.exe /list /category:"Policy Change"
Um eine Kategorie und eine zu aktivierende Unterkategorie festzulegen, geben Sie Folgendes an der Eingabeaufforderung ein:
auditpol.exe /set /category:"CategoryName" /SubCategory:"SubcategoryName"
Konfigurieren der Firewallprotokolldatei für ein Profil
- Wählen Sie in der Konsolenstruktur des Snap-Ins Windows-Firewall mit erweiterter Sicherheit die Option Windows-Firewall mit erweiterter Sicherheit und dann im Bereich Aktionen die Option Eigenschaften aus.
- Wählen Sie die Registerkarte des Profils aus, für das Sie die Protokollierung konfigurieren möchten (Domäne, Privat oder Öffentlich), und wählen Sie dann Anpassen aus.
- Geben Sie einen Namen und einen Speicherort an.
- Geben Sie einen Grenzwert für die Protokolldateigröße an (zwischen 1 und 32767 KB).
- Wählen Sie Ja für Verworfene Pakete protokollieren aus.
- Wählen Sie Ja für Erfolgreiche Verbindungen protokollieren und dann OK aus.
Erstellen von Textdateien für Netzwerkstatistiken und Aufgabenlisten
- Geben Sie an der Eingabeaufforderung
netstat -ano > netstat.txt
ein, und drücken Sie die Eingabetaste. - Geben Sie an der Eingabeaufforderung
tasklist > tasklist.txt
ein, und drücken Sie die Eingabetaste.
Wenn Sie anstelle von Programmen eine Textdatei für Dienste erstellen möchten, geben Sie an der Eingabeaufforderung eintasklist /svc > tasklist.txt
. - Öffnen Sie die tasklist.txt und die netstat.txt Dateien.
- Notieren Sie sich in der datei tasklist.txt den Prozessbezeichner (PID) für den Prozess, den Sie behandeln möchten. Vergleichen Sie die PID mit der PID in der Netstat.txt-Datei. Notieren Sie sich das verwendete Protokoll. Die Informationen zum verwendeten Protokoll können beim Überprüfen der Informationen in der Firewallprotokolldatei nützlich sein.
Überprüfen, ob Firewall und IPsec-Dienste funktionieren
Damit die Windows-Firewall mit erweiterter Sicherheit ordnungsgemäß funktioniert, müssen die folgenden Dienste gestartet werden:
- Basisfilterungs-Engine
- Gruppenrichtlinie Client
- IKE- und AuthIP-IPsec-Schlüsselmodule
- IP-Hilfsprogramm
- IPsec-Richtlinien-Agent
- Netzwerkstandorterkennung
- Netzwerklistendienst
- Windows-Firewall
Häufige Probleme und Lösungen
- Die Windows-Firewall blockiert ein Programm
- Die Windows-Firewall wird jedes Mal deaktiviert, wenn ich meinen Computer starte
- Windows-Firewall muss deaktiviert werden
- Windows-Firewall kann nicht mit erweiterter Sicherheit konfiguriert werden
- Niemand kann meinen Computer pingen
- Niemand kann auf meine lokalen Datei- und Druckerfreigaben zugreifen
- Remoteverwaltung der Windows-Firewall nicht möglich
- Problembehandlung bei Windows-Firewalleinstellungen nach einem Windows-Upgrade
Datensammlung
Bevor Sie sich an den Microsoft-Support wenden, können Sie Informationen zu Ihrem Problem sammeln.
Voraussetzungen
- TSS muss von Konten mit Administratorrechten auf dem lokalen System ausgeführt werden, und die EULA muss akzeptiert werden (sobald die EULA akzeptiert wurde, wird TSS nicht mehr aufgefordert).
- Es wird die PowerShell-Ausführungsrichtlinie für den lokalen Computer
RemoteSigned
empfohlen.
Hinweis
Wenn die aktuelle PowerShell-Ausführungsrichtlinie die Ausführung von TSS nicht zulässt, führen Sie die folgenden Aktionen aus:
- Legen Sie die
RemoteSigned
Ausführungsrichtlinie für die Prozessebene fest, indem Sie das CmdletPS C:\> Set-ExecutionPolicy -scope Process -ExecutionPolicy RemoteSigned
ausführen. - Führen Sie das Cmdlet
PS C:\> Get-ExecutionPolicy -List
aus, um zu überprüfen, ob die Änderung wirksam wird. - Da die Berechtigungen auf Prozessebene nur für die aktuelle PowerShell-Sitzung gelten, wechselt die zugewiesene Berechtigung für die Prozessebene auch wieder in den zuvor konfigurierten Zustand zurück, sobald das angegebene PowerShell-Fenster, in dem TSS ausgeführt wird, geschlossen wurde.
Sammeln Sie wichtige Informationen, bevor Sie sich an den Microsoft-Support wenden.
Laden Sie TSS auf alle Knoten herunter, und entpacken Sie es im Ordner C:\tss .
Öffnen Sie den Ordner C:\tss über eine PowerShell-Eingabeaufforderung mit erhöhten Rechten.
Starten Sie die Ablaufverfolgungen mit dem folgenden Cmdlet:
TSS.ps1 -Scenario NET_WFP
Akzeptieren Sie die Lizenzbedingungen, wenn die Ablaufverfolgungen zum ersten Mal auf dem Computer ausgeführt werden.
Aufzeichnung zulassen (PSR oder Video).
Reproduzieren Sie das Problem, bevor Sie Y eingeben.
Hinweis
Wenn Sie Protokolle sowohl auf dem Client als auch auf dem Server sammeln, warten Sie auf diese Meldung auf beiden Knoten, bevor Sie das Problem reproduzieren.
Geben Sie Y ein, um die Protokollsammlung abzuschließen, nachdem das Problem reproduziert wurde.
Die Ablaufverfolgungen werden in einer ZIP-Datei im Ordner C:\MS_DATA gespeichert, der zur Analyse in den Arbeitsbereich hochgeladen werden kann.
Referenz
Feedback
https://aka.ms/ContentUserFeedback.
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unterFeedback senden und anzeigen für