Konfigurieren der Hyper-V-Firewall
Ab Windows 11 Version 22H2 ist die Hyper-V-Firewall eine Netzwerkfirewalllösung, die das Filtern von eingehendem und ausgehendem Datenverkehr zu/aus von Windows gehosteten Containern ermöglicht, einschließlich der Windows-Subsystem für Linux (WSL).
In diesem Artikel wird beschrieben, wie Hyper-V-Firewallregeln und -Einstellungen mithilfe von PowerShell oder konfigurationsdienstanbieter (Configuration Service Provider, CSP) konfiguriert werden.
Wichtig
Die Konfiguration der Hyper-V-Firewall ist nicht über gruppenrichtlinien (GPO) verfügbar. Wenn Windows-Firewalleinstellungen über GPO konfiguriert werden und Hyper-V-Firewalleinstellungen nicht über CSP konfiguriert werden, werden die anwendbaren Regeln und Einstellungen automatisch aus der GPO-Konfiguration gespiegelt.
Konfigurieren der Hyper-V-Firewall mit PowerShell
In diesem Abschnitt werden die Schritte zum Verwalten der Hyper-V-Firewall mithilfe von PowerShell beschrieben.
Abrufen der WSL-GUID
Hyper-V-Firewallregeln sind pro VMCreatorId aktiviert. Verwenden Sie zum Abrufen der VMCreatorId das Cmdlet:
Get-NetFirewallHyperVVMCreator
Die Ausgabe enthält einen VmCreator-Objekttyp, der über einen eindeutigen Bezeichner VMCreatorId und friendly name eigenschaften verfügt. Die folgende Ausgabe zeigt beispielsweise die Eigenschaften von WSL:
PS C:\> Get-NetFirewallHyperVVMCreator
VMCreatorId : {40E0AC32-46A5-438A-A0B2-2B479E8F2E90}
FriendlyName : WSL
Hinweis
Die WSL-VMCreatorId ist {40E0AC32-46A5-438A-A0B2-2B479E8F2E90}.
Überprüfen der Hyper-V-Firewalleinstellungen
Die Hyper-V-Firewall verfügt über Einstellungen, die im Allgemeinen für eine VMCreatorId gelten. Verwenden Sie das Cmdlet Get-NetFirewallHyperVVMSetting , um die Einstellungen zu überprüfen. Beispielsweise können Sie die auf WSL angewendeten Richtlinien mit dem Befehl abrufen:
Get-NetFirewallHyperVVMSetting -PolicyStore ActiveStore -Name '{40E0AC32-46A5-438A-A0B2-2B479E8F2E90}'
Hinweis
-PolicyStore ActiveStore gibt die angewendeten Einstellungen zurück.
Die Ausgabe enthält die folgenden Werte:
| Wert | Beschreibung |
|---|---|
Enabled (True/False) |
True, wenn die Hyper-V-Firewall für WSL-VMs aktiviert ist. |
DefaultInboundAction, DefaultOutboundAction |
Dies sind Standardregelrichtlinien, die auf Pakete angewendet werden, die den WSL-Container betreten oder verlassen. Die Regelrichtlinien können wie in diesem Artikel beschrieben geändert werden. |
LoopbackEnabled |
Verfolgt nach, ob Loopbackdatenverkehr zwischen dem Host und dem Container zulässig ist, ohne dass Hyper-V-Firewallregeln erforderlich sind. WSL aktiviert dies standardmäßig, damit der Windows-Host mit WSL und WSL mit dem Windows-Host kommunizieren kann. |
AllowHostPolicyMerge |
Bestimmt, wie Windows Host Firewall Enterprise Settings (GPO), Hyper-V Firewall Enterprise Settings (CSP), Windows Host Firewall Enterprise Settings (CSP), lokale Hyper-V Firewall-Einstellungen und lokale Hostfirewall-Einstellungen interagieren. Diese Einstellung wird im Cmdlet Set-NetFirewallHyperVVMSetting ausführlich beschrieben. |
Konfigurieren von Hyper-V-Firewalleinstellungen
Verwenden Sie zum Konfigurieren der Hyper-V-Firewall den Befehl Set-NetFirewallHyperVVMSetting . Der folgende Befehl legt beispielsweise die standardmäßige eingehende Verbindung auf Zulassen fest:
Set-NetFirewallHyperVVMSetting -Name '{40E0AC32-46A5-438A-A0B2-2B479E8F2E90}' -DefaultInboundAction Allow
Firewallregeln
Hyper-V-Firewallregeln können in PowerShell aufgelistet und erstellt werden. Verwenden Sie zum Anzeigen von Regeln das Cmdlet Get-NetFirewallHyperVRule . Verwenden Sie beispielsweise den folgenden Befehl, um Firewallregeln anzuzeigen, die sich nur auf WSL beziehen:
Get-NetFirewallHyperVRule -VMCreatorId '{40E0AC32-46A5-438A-A0B2-2B479E8F2E90}'
Verwenden Sie zum Konfigurieren bestimmter Regeln das Cmdlet Set-NetFirewallHyperVRule .
Um beispielsweise eine Regel für eingehenden Datenverkehr zu erstellen, um TCP-Datenverkehr an WSL an Port 80 zuzulassen, verwenden Sie den folgenden Befehl:
New-NetFirewallHyperVRule -Name MyWebServer -DisplayName "My Web Server" -Direction Inbound -VMCreatorId '{40E0AC32-46A5-438A-A0B2-2B479E8F2E90}' -Protocol TCP -LocalPorts 80
Hyper-V-Firewallregeln und -Einstellungen auf bestimmte Profile ausrichten
Hyper-V-Firewallregeln und -Einstellungen können auf die Firewallprofile ausgerichtet werden, die auf dem Typ des Netzwerks basieren, mit dem das Gerät verbunden ist:
- Öffentliches Profil
- Privates Profil
- Domänenprofil
Die Richtlinienoptionen ähneln den bereits beschriebenen, werden jedoch auf bestimmte Profile für den verbundenen Windows Host-Netzwerkadapter angewendet.
Verwenden Sie den folgenden Befehl, um die Einstellungen pro Profil anzuzeigen:
Get-NetFirewallHyperVProfile -PolicyStore ActiveStore
Hinweis
-PolicyStore ActiveStore gibt die angewendeten Einstellungen zurück.
Die Ausgabe enthält einen zusätzlichen Wert im Vergleich zu den im vorherigen Abschnitt beschriebenen Werten:
| Wert | Beschreibung |
|---|---|
AllowLocalFirewallRules (True/False) |
Diese Einstellung bestimmt, wie Hyper-V-Firewallregeln des Unternehmens (CSP oder GPO) mit den lokal definierten Hyper-V-Firewallregeln interagieren: – Wenn der Wert True ist, werden sowohl die Hyper-V-Firewallregeln des Unternehmens als auch die lokal definierten Regeln angewendet. – Wenn der Wert False ist, werden die lokal definierten Hyper-V-Firewallregeln nicht angewendet, und es werden nur Enterprise-Regeln angewendet. |
Hinweis
Verwenden Sie zum Konfigurieren dieser Einstellungen pro Profil das Cmdlet Set-NetFirewallHyperVProfile .
So konfigurieren Sie diese Regeln pro Profil mithilfe des Cmdlets Set-NetFirewallHyperVRule mit der -Profile Option.
Konfigurieren der Hyper-V-Firewall mit CSP
Sie können die Hyper-V-Firewall mithilfe des Firewall-CSP konfigurieren, z. B. mit einer MDM-Lösung wie Microsoft Intune.
Weitere Informationen zu den CSP-Optionen finden Sie unter den folgenden Links:
- Konfigurieren der Hyper-V-Firewalleinstellungen: Konfigurieren der Hyper-V-Firewalleinstellungen
- Konfigurieren von Hyper-V-Firewallregeln: Zum Konfigurieren einer Liste von Regeln, die den Datenverkehr über die Hyper-V-Firewall steuern
Informationen zum Konfigurieren der Firewall mit Microsoft Intune finden Sie unter Firewallrichtlinie für Endpunktsicherheit.
Feedback geben
Um Feedback zur Hyper-V-Firewall zu geben, öffnen Sie den Feedback-Hub, und verwenden Sie die Kategorie Sicherheit und Datenschutz > Microsoft Defender Firewall und Netzwerkschutz.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für