Bewährte Methoden zum Konfigurieren von Windows Defender Firewall

Windows Defender Firewall mit erweiterter Sicherheit bietet hostbasierte, bidirektionale Filterung von Netzwerkdatenverkehr und blockiert nicht autorisierten Netzwerkdatenverkehr, der an das lokale Gerät oder aus ihr heraus fließt. Wenn Sie Ihre Windows-Firewall basierend auf den folgenden bewährten Methoden konfigurieren, können Sie den Schutz für Geräte in Ihrem Netzwerk optimieren. Diese Empfehlungen decken eine Vielzahl von Bereitstellungen ab, einschließlich Heimnetzwerken und Desktop-/Serversystemen für Unternehmen.

Um die Windows-Firewall zu öffnen, wechseln Sie zum Startmenü , wählen Sie Ausführen aus, geben Sie WF.msc ein, und wählen Sie dann OK aus. Siehe auch Öffnen der Windows-Firewall.

Standardeinstellungen beibehalten

Wenn Sie die Windows Defender Firewall zum ersten Mal öffnen, werden die Standardeinstellungen für den lokalen Computer angezeigt. Im Bereich Übersicht werden Sicherheitseinstellungen für jeden Netzwerktyp angezeigt, mit dem das Gerät eine Verbindung herstellen kann.

Windows Defender Firewall mit erweiterter Sicherheit zum ersten Mal geöffnet.

Abbildung 1: Windows Defender Firewall

  1. Domänenprofil: Wird für Netzwerke verwendet, in denen ein Kontoauthentifizierungssystem für einen Active Directory-Domänencontroller vorhanden ist
  2. Privates Profil: Entwickelt für private Netzwerke und wird am besten in privaten Netzwerken wie einem Heimnetzwerk verwendet.
  3. Öffentliches Profil: Wurde mit Blick auf höhere Sicherheit für öffentliche Netzwerke wie Wi-Fi Hotspots, Cafés, Flughäfen, Hotels oder Geschäfte entwickelt

Zeigen Sie detaillierte Einstellungen für jedes Profil an, indem Sie im linken Bereich mit der rechten Maustaste auf den Knoten Windows Defender Firewall mit erweiterter Sicherheit klicken und dann Eigenschaften auswählen.

Behalten Sie nach Möglichkeit die Standardeinstellungen in Windows Defender Firewall bei. Diese Einstellungen wurden entwickelt, um Ihr Gerät für die Verwendung in den meisten Netzwerkszenarien zu schützen. Ein wichtiges Beispiel ist das Standardmäßige Blockverhalten für eingehende Verbindungen.

Screenshot einer automatisch generierten Beschreibung eines Mobiltelefons.

Abbildung 2: Standardeinstellungen für eingehenden/ausgehenden Datenverkehr

Wichtig

Um maximale Sicherheit zu gewährleisten, ändern Sie nicht die Standardeinstellung Blockieren für eingehende Verbindungen.

Weitere Informationen zum Konfigurieren grundlegender Firewalleinstellungen finden Sie unter Aktivieren der Windows-Firewall und Konfigurieren von Standardverhalten und Prüfliste: Konfigurieren grundlegender Firewalleinstellungen.

Grundlegendes zur Regelrangfolge für Eingehende Regeln

In vielen Fällen besteht ein nächster Schritt für Administratoren darin, diese Profile mithilfe von Regeln (manchmal als Filter bezeichnet) anzupassen, damit sie mit Benutzer-Apps oder anderen Arten von Software arbeiten können. Beispielsweise kann ein Administrator oder Benutzer eine Regel hinzufügen, um ein Programm aufzunehmen, einen Port oder ein Protokoll zu öffnen oder einen vordefinierten Datenverkehrstyp zuzulassen.

Diese Regel wird hinzugefügt, indem Sie mit der rechten Maustaste auf Eingehende Regeln oder Ausgangsregeln klicken und Neue Regel auswählen. Die Schnittstelle zum Hinzufügen einer neuen Regel sieht wie folgt aus:

Assistent zum Erstellen von Regeln.

Abbildung 3: Assistent zum Erstellen von Regeln

Hinweis

In diesem Artikel wird die Konfiguration von Schritt-für-Schritt-Regeln nicht behandelt. Allgemeine Anleitungen zur Richtlinienerstellung finden Sie im Bereitstellungshandbuch zur Windows-Firewall mit erweiterter Sicherheit .

In vielen Fällen ist das Zulassen bestimmter Arten von eingehendem Datenverkehr erforderlich, damit Anwendungen im Netzwerk funktionieren. Administratoren sollten beim Zulassen dieser eingehenden Ausnahmen die folgenden Regelrangfolgeverhalten berücksichtigen.

  1. Explizit definierte Zulassungsregeln haben Vorrang vor der Standardblockeinstellung.
  2. Explizite Blockregeln haben Vorrang vor allen in Konflikt stehenden Zulassungsregeln.
  3. Spezifischere Regeln haben Vorrang vor weniger spezifischen Regeln, es sei denn, es gibt explizite Blockregeln wie in 2 erwähnt. (Wenn die Parameter von Regel 1 beispielsweise einen IP-Adressbereich enthalten, während die Parameter von Regel 2 eine einzelne IP-Hostadresse enthalten, hat Regel 2 Vorrang.)

Aufgrund von 1 und 2 ist es wichtig, dass Sie beim Entwerfen eines Richtliniensatzes sicherstellen, dass keine anderen expliziten Blockregeln vorhanden sind, die sich versehentlich überschneiden könnten, sodass der Datenverkehrsfluss verhindert wird, den Sie zulassen möchten.

Eine allgemeine bewährte Sicherheitsmethode beim Erstellen von Regeln für eingehenden Datenverkehr besteht darin, so spezifisch wie möglich zu sein. Wenn jedoch neue Regeln festgelegt werden müssen, die Ports oder IP-Adressen verwenden, sollten Sie nach Möglichkeit aufeinanderfolgende Bereiche oder Subnetze anstelle einzelner Adressen oder Ports verwenden. Dieser Ansatz vermeidet die Erstellung mehrerer Filter im Hintergrund, reduziert die Komplexität und trägt dazu bei, Leistungseinbußen zu vermeiden.

Hinweis

Windows Defender Firewall unterstützt keine herkömmliche gewichtete, vom Administrator zugewiesene Regelreihenfolge. Ein effektiver Richtliniensatz mit erwarteten Verhaltensweisen kann unter Berücksichtigung der oben beschriebenen wenigen, konsistenten und logischen Regelverhalten erstellt werden.

Erstellen von Regeln für neue Anwendungen vor dem ersten Start

Regeln für eingehende Zulassungen

Bei der ersten Installation geben netzwerkfähige Anwendungen und Dienste einen Listenaufruf aus, in dem die Protokoll-/Portinformationen angegeben werden, die für ihre ordnungsgemäße Funktion erforderlich sind. Da es in Windows Defender Firewall eine Standardmäßige Blockaktion gibt, müssen Eingehende Ausnahmeregeln erstellt werden, um diesen Datenverkehr zuzulassen. Es ist üblich, dass die App oder das App-Installationsprogramm diese Firewallregel hinzufügen. Andernfalls muss der Benutzer (oder der Firewalladministrator im Namen des Benutzers) manuell eine Regel erstellen.

Wenn keine aktive Anwendung oder vom Administrator definierte Zulassungsregel(en) vorhanden ist, fordert ein Dialogfeld den Benutzer auf, die Pakete einer Anwendung entweder zuzulassen oder zu blockieren, wenn die App zum ersten Mal gestartet wird oder versucht, im Netzwerk zu kommunizieren.

  • Wenn der Benutzer über Administratorberechtigungen verfügt, wird er dazu aufgefordert. Wenn sie mit "Nein " antworten oder die Eingabeaufforderung abbrechen, werden Blockregeln erstellt. In der Regel werden zwei Regeln erstellt, jeweils eine für TCP- und UDP-Datenverkehr.

  • Wenn der Benutzer kein lokaler Administrator ist, wird er nicht dazu aufgefordert. In den meisten Fällen werden Blockregeln erstellt.

In einem der obigen Szenarien müssen diese Regeln nach dem Hinzufügen gelöscht werden, um die Eingabeaufforderung erneut zu generieren. Andernfalls wird der Datenverkehr weiterhin blockiert.

Hinweis

Die Standardeinstellungen der Firewall sind auf Sicherheit ausgelegt. Wenn Sie standardmäßig alle eingehenden Verbindungen zulassen, wird das Netzwerk mit verschiedenen Bedrohungen konfrontiert. Daher sollte das Erstellen von Ausnahmen für eingehende Verbindungen von Drittanbietersoftware von vertrauenswürdigen App-Entwicklern, dem Benutzer oder dem Administrator im Namen des Benutzers festgelegt werden.

Bekannte Probleme bei der automatischen Regelerstellung

Beim Entwerfen einer Reihe von Firewallrichtlinien für Ihr Netzwerk empfiehlt es sich, Zulassungsregeln für alle auf dem Host bereitgestellten Netzwerkanwendungen zu konfigurieren. Wenn diese Regeln vor dem ersten Starten der Anwendung durch den Benutzer eingerichtet werden, wird eine nahtlose Benutzererfahrung sichergestellt.

Das Fehlen dieser bereitgestellten Regeln bedeutet nicht unbedingt, dass eine Anwendung am Ende nicht in der Lage sein wird, im Netzwerk zu kommunizieren. Die Verhaltensweisen, die bei der automatischen Erstellung von Anwendungsregeln zur Laufzeit auftreten, erfordern jedoch Eine Benutzerinteraktion und Administratorrechte. Wenn erwartet wird, dass das Gerät von Benutzern ohne Administratorrechte verwendet wird, sollten Sie bewährte Methoden befolgen und diese Regeln vor dem ersten Start der Anwendung bereitstellen, um unerwartete Netzwerkprobleme zu vermeiden.

Um zu ermitteln, warum einige Anwendungen für die Kommunikation im Netzwerk blockiert sind, überprüfen Sie, ob die folgenden Instanzen vorhanden sind:

  1. Ein Benutzer mit ausreichenden Berechtigungen erhält eine Abfragebenachrichtigung, in der er informiert wird, dass die Anwendung eine Änderung an der Firewallrichtlinie vornehmen muss. Der Benutzer kann die Eingabeaufforderung nicht vollständig verstehen und bricht die Eingabeaufforderung ab oder verwirbt sie.
  2. Ein Benutzer verfügt nicht über ausreichende Berechtigungen und wird daher nicht aufgefordert, der Anwendung zu erlauben, die entsprechenden Richtlinienänderungen vorzunehmen.
  3. Lokale Richtlinienzusammenführung ist deaktiviert, sodass die Anwendung oder der Netzwerkdienst keine lokalen Regeln erstellt.

Die Erstellung von Anwendungsregeln zur Laufzeit kann auch von Administratoren mit der Einstellungs-App oder Gruppenrichtlinie verboten werden.

Windows-Firewall-Eingabeaufforderung.

Abbildung 4: Dialogfeld zum Zulassen des Zugriffs

Siehe auch Prüfliste: Erstellen von Firewallregeln für eingehenden Datenverkehr.

Einrichten lokaler Richtlinienzusammenführungs- und Anwendungsregeln

Firewallregeln können bereitgestellt werden:

  1. Lokale Verwendung des Firewall-Snap-Ins (WF.msc)
  2. Lokale Verwendung von PowerShell
  3. Remote using Gruppenrichtlinie if the device is a member of a Active Directory Name, System Center Configuration Manager, or Intune (using workplace join)

Einstellungen für das Zusammenführen von Regeln steuern, wie Regeln aus verschiedenen Richtlinienquellen kombiniert werden können. Administratoren können unterschiedliche Zusammenführungsverhalten für domänen-, private und öffentliche Profile konfigurieren.

Die Einstellungen für das Zusammenführen von Regeln lassen oder verhindern, dass lokale Administratoren zusätzlich zu den regeln, die sie von Gruppenrichtlinie erhalten haben, eigene Firewallregeln erstellen können.

Einstellungen anpassen.

Abbildung 5: Regelzusammenführungseinstellung

Tipp

Im Firewallkonfigurationsdienstanbieter lautet die entsprechende Einstellung AllowLocalPolicyMerge. Diese Einstellung finden Sie unter den jeweiligen Profilknoten DomainProfile, PrivateProfile und PublicProfile.

Wenn das Zusammenführen lokaler Richtlinien deaktiviert ist, ist eine zentralisierte Bereitstellung von Regeln für jede App erforderlich, die eingehende Konnektivität benötigt.

Administratoren können LocalPolicyMerge in Hochsicherheitsumgebungen deaktivieren, um eine engere Kontrolle über Endpunkte zu erhalten. Diese Einstellung kann sich auf einige Anwendungen und Dienste auswirken, die bei der Installation automatisch eine lokale Firewallrichtlinie generieren, wie oben beschrieben. Damit diese Arten von Apps und Diensten funktionieren, sollten Administratoren Regeln zentral über Gruppenrichtlinien (GP), Mobile Geräteverwaltung (MDM) oder beides (für Hybrid- oder Co-Verwaltungsumgebungen) pushen.

Firewall-CSP und Richtlinien-CSP verfügen auch über Einstellungen, die sich auf das Zusammenführen von Regeln auswirken können.

Als bewährte Methode ist es wichtig, solche Apps aufzulisten und zu protokollieren, einschließlich der für die Kommunikation verwendeten Netzwerkports. In der Regel finden Sie auf der Website der App, welche Ports für einen bestimmten Dienst geöffnet sein müssen. Für komplexere oder Kundenanwendungsbereitstellungen kann eine gründlichere Analyse mithilfe von Tools zur Erfassung von Netzwerkpaketen erforderlich sein.

Im Allgemeinen sollten Administratoren firewallausnahmen nur für Apps und Dienste pushen, die für legitime Zwecke bestimmt sind, um maximale Sicherheit zu gewährleisten.

Hinweis

Die Verwendung von Wildcardmustern wie C:*\teams.exe wird in Anwendungsregeln nicht unterstützt. Derzeit werden nur Regeln unterstützt, die mit dem vollständigen Pfad zu den Anwendungen erstellt wurden.

Grundlegendes zur Gruppenrichtlinie Verarbeitung

Die über eine Gruppenrichtlinie konfigurierten Einstellungen der Windows-Firewall werden in der Registrierung gespeichert. Standardmäßig werden Gruppenrichtlinien alle 90 Minuten im Hintergrund aktualisiert, mit einem zufälligen Offset von 0 bis 30 Minuten.

Die Windows-Firewall überwacht die Registrierung auf Änderungen, und wenn etwas in die Registrierung geschrieben wird, benachrichtigt sie die Windows-Filterplattform (WFP), die die folgenden Aktionen ausführt:

  • Liest alle Firewallregeln und -einstellungen.
  • Wendet alle neuen Filter an
  • Entfernt die alten Filter.

Hinweis

Die Aktionen werden ausgelöst, wenn etwas in den Registrierungsspeicherort geschrieben oder gelöscht wird, an dem die GPO-Einstellungen gespeichert werden, unabhängig davon, ob tatsächlich eine Konfigurationsänderung vorliegt. Während des Vorgangs werden IPsec-Verbindungen getrennt.

Viele Richtlinienimplementierungen geben an, dass sie nur aktualisiert werden, wenn sie geändert werden. Möglicherweise möchten Sie jedoch unveränderte Richtlinien aktualisieren, z. B. das erneute Anwenden einer gewünschten Richtlinieneinstellung für den Fall, dass ein Benutzer sie geändert hat. Um das Verhalten der Verarbeitung von Registrierungsgruppenrichtlinien zu steuern, können Sie die Richtlinie Computer Configuration > Administrative Templates > System > Group Policy > Configure registry policy processingverwenden. Die Option Prozess wird auch dann aktualisiert, wenn die Gruppenrichtlinie Objekte nicht geändert wurden, und wendet die Richtlinien auch dann erneut an, wenn sich die Richtlinien nicht geändert haben. Diese Option ist standardmäßig deaktiviert.

Wenn Sie die Option Prozess auch dann aktivieren, wenn die Gruppenrichtlinie Objekte nicht geändert wurden, werden die WFP-Filter bei jeder Hintergrundaktualisierung erneut angewendet. Falls Sie über zehn Gruppenrichtlinien verfügen, werden die WFP-Filter während des Aktualisierungsintervalls zehnmal erneut angewendet. Wenn während der Richtlinienverarbeitung ein Fehler auftritt, sind die angewendeten Einstellungen möglicherweise unvollständig, was zu Problemen wie den folgenden führt:

  • Windows Defender Firewall blockiert eingehenden oder ausgehenden Datenverkehr, der durch Gruppenrichtlinien zulässig ist
  • Einstellungen der lokalen Firewall werden anstelle von Gruppenrichtlinieneinstellungen angewendet.
  • IPsec-Verbindungen können nicht hergestellt werden

Die temporäre Lösung besteht darin, die Gruppenrichtlinieneinstellungen mithilfe des Befehls gpupdate.exe /forcezu aktualisieren, der eine Verbindung mit einem Domänencontroller erfordert.

Um das Problem zu vermeiden, behalten Sie für die Richtlinie Computer Configuration > Administrative Templates > System > Group Policy > Configure registry policy processing den Standardwert Nicht konfiguriert bei, oder konfigurieren Sie sie, falls bereits konfiguriert, Deaktiviert.

Wichtig

Das Kontrollkästchen neben Verarbeiten, auch wenn die Gruppenrichtlinie Objekte nicht geändert wurden, muss deaktiviert sein. Wenn Sie das Kontrollkästchen deaktiviert lassen, werden WFP-Filter nur für den Fall geschrieben, dass eine Konfigurationsänderung vorliegt.

Wenn eine Anforderung besteht, das Löschen und erneute Schreiben der Registrierung zu erzwingen, deaktivieren Sie die Hintergrundverarbeitung, indem Sie das Kontrollkästchen Neben Während der regelmäßigen Hintergrundverarbeitung nicht anwenden aktivieren.

Wissen, wie sie den Modus "Shields Up" für aktive Angriffe verwenden

Ein wichtiges Firewallfeature, das Sie verwenden können, um Schäden während eines aktiven Angriffs zu mindern, ist der Modus "Abschirmen". Es ist ein informeller Begriff, der sich auf eine einfache Methode bezieht, die ein Firewalladministrator verwenden kann, um die Sicherheit angesichts eines aktiven Angriffs vorübergehend zu erhöhen.

Die Abschirmung kann erreicht werden , indem Sie alle eingehenden Verbindungen blockieren aktivieren, einschließlich der in der Liste der zulässigen Apps in der Windows-Einstellungs-App oder in der Legacydatei firewall.cpl.

Eingehende Verbindungen.

Abbildung 6: Windows-Einstellungen App/Windows-Sicherheit/Firewallschutz/Netzwerktyp

Firewall cpl.

Abbildung 7: Legacy-firewall.cpl

Standardmäßig blockiert die Windows Defender Firewall alles, es sei denn, es wird eine Ausnahmeregel erstellt. Diese Einstellung setzt die Ausnahmen außer Kraft.

Das Remotedesktopfeature erstellt beispielsweise automatisch Firewallregeln, wenn diese aktiviert ist. Wenn es jedoch einen aktiven Exploit gibt, der mehrere Ports und Dienste auf einem Host verwendet, können Sie, anstatt einzelne Regeln zu deaktivieren, den Abschirmmodus verwenden, um alle eingehenden Verbindungen zu blockieren und vorherige Ausnahmen außer Kraft zu setzen, einschließlich der Regeln für Remotedesktop. Die Remotedesktopregeln bleiben erhalten, aber der Remotezugriff funktioniert nicht, solange die Abschirmung aktiviert ist.

Wenn der Notfall beendet ist, deaktivieren Sie die Einstellung, um den regulären Netzwerkdatenverkehr wiederherzustellen.

Erstellen von Ausgangsregeln

Nachfolgend finden Sie einige allgemeine Richtlinien zum Konfigurieren von Ausgangsregeln.

  • Die Standardkonfiguration von "Für ausgehenden Datenverkehr blockiert" kann für bestimmte äußerst sichere Umgebungen berücksichtigt werden. Die Regelkonfiguration für eingehenden Datenverkehr sollte jedoch niemals so geändert werden, dass datenverkehr standardmäßig zulässig ist.
  • Es wird empfohlen, ausgehenden Datenverkehr für die meisten Bereitstellungen standardmäßig zuzulassen, um App-Bereitstellungen zu vereinfachen, es sei denn, das Unternehmen bevorzugt strenge Sicherheitskontrollen gegenüber einfacher Bedienung.
  • In Umgebungen mit hoher Sicherheit muss eine Bestandsaufnahme aller unternehmensweiten Apps vom Administrator oder den Administratoren erstellt und protokolliert werden. Datensätze müssen enthalten, ob eine verwendete App Netzwerkkonnektivität erfordert. Administratoren müssen neue Regeln für jede App erstellen, die Netzwerkkonnektivität benötigt, und diese Regeln zentral per Push übertragen, über Gruppenrichtlinien (GP), Mobile Geräteverwaltung (MDM) oder beides (für Hybrid- oder Co-Verwaltungsumgebungen).

Aufgaben im Zusammenhang mit dem Erstellen von Ausgangsregeln finden Sie unter Prüfliste: Erstellen von Firewallregeln für ausgehenden Datenverkehr.

Dokumentieren Ihrer Änderungen

Wenn Sie eine Regel für eingehenden oder ausgehenden Datenverkehr erstellen, sollten Sie Details zur App selbst, zum verwendeten Portbereich und wichtige Hinweise wie das Erstellungsdatum angeben. Regeln müssen gut dokumentiert sein, damit sie sowohl von Ihnen als auch von anderen Administratoren leichter überprüft werden können. Es wird dringend empfohlen, sich die Zeit zu nehmen, um die Überprüfung Ihrer Firewallregeln zu einem späteren Zeitpunkt zu vereinfachen. Und schaffen Sie niemals unnötige Löcher in Ihrer Firewall.