Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Dieser Artikel soll Ihnen bei der Behandlung von Problemen im Zusammenhang mit der Windows-Firewall mit erweiterter Sicherheit helfen.
Checkliste zur Problembehandlung
Hinweise zu Firewallregeln
Es wird nur anhand einer einzelnen Firewallregel entschieden, ob ein Netzwerkpaket zugelassen oder verworfen wird. Wenn das Netzwerkpaket mehreren Regeln entspricht, wird die verwendete Regel mithilfe der folgenden Rangfolge ausgewählt:
- Regeln mit der Aktion „Allow if Secure“ (Zulassen, falls sicher) und der Option „Block Override“ (Überschreibung blockieren)
- Regeln mit der Aktion „Blockieren“
- Regeln mit der Aktion „Zulassen“
Im Überwachungsknoten werden nur derzeit aktive Regeln angezeigt. In folgenden Fällen werden Regeln möglicherweise nicht in der Liste angezeigt:
- Die Regel ist deaktiviert.
- Wenn das standardmäßige Firewallverhalten für ein- oder ausgehenden Datenverkehr so konfiguriert ist, dass Datenverkehr zugelassen wird, der nicht durch eine Regel blockiert wird, werden keine Zulassungsregeln der angegebenen Richtung angezeigt.
Die Firewallregeln aus den Gruppen in der folgenden Liste sind standardmäßig aktiviert. Zusätzliche Regeln können aktiviert werden, wenn Sie bestimmte Windows-Features oder Programme installieren.
- Kernnetzwerk: Alle Profile
- Remoteunterstützung: TCP-Regeln für DCOM- und RA-Server nur für Domänenprofil, andere Regeln sowohl für Domänenprofil als auch für privates Profil
- Netzwerkermittlung: Nur privates Profil
Aktivieren von Überwachungsereignissen
Verwenden Sie auditpol.exe , um Überwachungsrichtlinien des lokalen Computers zu ändern. Sie können das auditpol
Befehlszeilentool verwenden, um die verschiedenen Kategorien und Unterkategorien von Ereignissen zu aktivieren oder zu deaktivieren und dann die Ereignisse im Ereignisanzeige-Snap-In anzuzeigen.
Um die Liste der vom Auditpol-Tool erkannten Ereigniskategorien abzurufen, führen Sie den folgenden Befehl an der Eingabeaufforderung aus:
auditpol.exe /list /category
Um die Liste der Unterkategorien unter einer Kategorie abzurufen (in diesem Beispiel wird die Kategorierichtlinienänderung verwendet), führen Sie den folgenden Befehl an der Eingabeaufforderung aus:
auditpol.exe /list /category:"Policy Change"
Wenn Sie eine Kategorie und eine zu aktivierende Unterkategorie festlegen möchten, geben Sie Folgendes an der Eingabeaufforderung ein:
auditpol.exe /set /category:"CategoryName" /SubCategory:"SubcategoryName"
Konfigurieren der Firewallprotokolldatei für ein Profil
- Wählen Sie in der Konsolenstruktur der Windows-Firewall mit erweitertem Sicherheits-Snap-In die Option "Windows-Firewall mit erweiterter Sicherheit" und dann "Eigenschaften" im Bereich "Aktionen" aus.
- Wählen Sie die Registerkarte des Profils aus, für das Sie die Protokollierung konfigurieren möchten (Domäne, Privat oder Öffentlich), und wählen Sie dann "Anpassen" aus.
- Geben Sie einen Namen und den Speicherort an.
- Geben Sie einen Grenzwert für die Protokolldateigröße an (zwischen 1 KB und 32.767 KB).
- Wählen Sie "Ja " für verworfene Log-Pakete aus.
- Wählen Sie "Ja " für erfolgreiche Verbindungen "Protokollieren" und dann "OK" aus.
Erstellen von Textdateien mit Netzwerkstatistik und Aufgabenliste
- Geben Sie an der Eingabeaufforderung
netstat -ano > netstat.txt
ein, und drücken Sie die Eingabetaste. - Geben Sie an der Eingabeaufforderung
tasklist > tasklist.txt
ein, und drücken Sie die Eingabetaste.
Wenn Sie eine Textdatei für Dienste anstelle von Programmen erstellen möchten, geben Sie an der Eingabeaufforderung die Zeichenfolgetasklist /svc > tasklist.txt
ein. - Öffnen Sie die Dateien „tasklist.txt“ und „netstat.txt“.
- Ermitteln Sie in der Datei „tasklist.txt“ die Prozess-ID (PID) für den Prozess, für den Sie die Problembehandlung durchführen, und notieren Sie sich die ID. Vergleichen Sie die PID mit der Angabe in der Datei „netstat.txt“. Notieren Sie sich das verwendete Protokoll. Die Informationen zum verwendeten Protokoll können nützlich sein, wenn Sie die Informationen in der Firewallprotokolldatei überprüfen.
Überprüfen, ob Firewall- und IPsec-Dienste funktionieren
Damit die Windows-Firewall mit erweiterter Sicherheit ordnungsgemäß funktioniert, müssen die folgenden Dienste gestartet werden:
- Basisfiltermodul
- Gruppenrichtlinienclient
- IKE- und AuthIP IPsec-Schlüsselerstellungsmodule
- IP-Hilfsprogramm
- IPsec-Richtlinien-Agent
- NLA (Network Location Awareness)
- Netzwerklistendienst
- Windows-Firewall
Bekannte Probleme und Lösungen
- Von der Windows-Firewall wird ein Programm blockiert.
- Die Windows-Firewall ist beim Starten meines Computers immer deaktiviert.
- Ich möchte die Windows-Firewall deaktivieren.
- Ich kann die Windows-Firewall mit erweiterter Sicherheit nicht konfigurieren.
- Niemand kann meinen Computer pingen.
- Niemand kann auf meine lokalen Datei- und Druckerfreigaben zugreifen.
- Ich kann die Remoteverwaltung für die Windows-Firewall nicht verwenden.
- Problembehandlung für Windows-Firewalleinstellungen nach einem Windows-Upgrade
Datensammlung
Bevor Sie sich an den Microsoft-Support wenden, können Sie Informationen zu Ihrem Problem sammeln.
Voraussetzungen
- TSS muss von Konten mit Administratorrechten im lokalen System ausgeführt werden, und EULA muss akzeptiert werden (sobald EULA akzeptiert wurde, wird TSS nicht mehr aufgefordert).
- Wir empfehlen die PowerShell-Ausführungsrichtlinie des lokalen Computers
RemoteSigned
.
Notiz
Wenn die aktuelle PowerShell-Ausführungsrichtlinie das Ausführen von TSS nicht zulässt, führen Sie die folgenden Aktionen aus:
- Legen Sie die Ausführungsrichtlinie
RemoteSigned
für die Prozessebene fest, indem Sie das CmdletPS C:\> Set-ExecutionPolicy -scope Process -ExecutionPolicy RemoteSigned
ausführen. - Führen Sie das Cmdlet
PS C:\> Get-ExecutionPolicy -List
aus, um zu überprüfen, ob die Änderung wirksam wird. - Da die Berechtigungen auf Prozessebene nur für die aktuelle PowerShell-Sitzung gelten, sobald das angegebene PowerShell-Fenster, in dem TSS ausgeführt wird, geschlossen ist, wird die zugewiesene Berechtigung für die Prozessebene auch wieder in den zuvor konfigurierten Zustand zurückgesetzt.
Sammeln sie wichtige Informationen, bevor Sie sich an den Microsoft-Support wenden
Laden Sie TSS auf allen Knoten herunter, und entzippen Sie es im Ordner "C:\tss ".
Öffnen Sie den Ordner "C:\tss" über eine PowerShell-Eingabeaufforderung mit erhöhten Rechten.
Starten Sie die Ablaufverfolgungen mithilfe des folgenden Cmdlets:
TSS.ps1 -Scenario NET_WFP
Akzeptieren Sie die EULA, wenn die Ablaufverfolgungen zum ersten Mal auf dem Computer ausgeführt werden.
Aufzeichnung zulassen (PSR oder Video).
Reproduzieren Sie das Problem, bevor Sie Y eingeben.
Notiz
Wenn Sie Protokolle sowohl auf dem Client als auch auf dem Server sammeln, warten Sie auf diese Meldung auf beiden Knoten, bevor Sie das Problem wiedergeben.
Geben Sie Y ein, um die Protokollauflistung abzuschließen, nachdem das Problem reproduziert wurde.
Die Ablaufverfolgungen werden in einer ZIP-Datei im Ordner "C:\MS_DATA " gespeichert, die zur Analyse in den Arbeitsbereich hochgeladen werden können.