Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Ab Windows 11 Version 22H2 ist die Hyper-V-Firewall eine Netzwerkfirewalllösung, die das Filtern von eingehendem und ausgehendem Datenverkehr zu/aus von Windows gehosteten Containern ermöglicht, einschließlich der Windows-Subsystem für Linux (WSL).
In diesem Artikel wird beschrieben, wie Hyper-V-Firewallregeln und -Einstellungen mithilfe von PowerShell oder konfigurationsdienstanbieter (Configuration Service Provider, CSP) konfiguriert werden.
Wichtig
Die Konfiguration der Hyper-V-Firewall ist nicht über gruppenrichtlinien (GPO) verfügbar. Wenn Windows-Firewalleinstellungen über GPO konfiguriert werden und Hyper-V-Firewalleinstellungen nicht über CSP konfiguriert werden, werden die anwendbaren Regeln und Einstellungen automatisch aus der GPO-Konfiguration gespiegelt.
Konfigurieren der Hyper-V-Firewall mit PowerShell
In diesem Abschnitt werden die Schritte zum Verwalten der Hyper-V-Firewall mithilfe von PowerShell beschrieben.
Abrufen der WSL-GUID
Hyper-V-Firewallregeln sind pro VMCreatorId aktiviert. Verwenden Sie zum Abrufen der VMCreatorId das Cmdlet:
Get-NetFirewallHyperVVMCreator
Die Ausgabe enthält einen VmCreator-Objekttyp, der über einen eindeutigen Bezeichner VMCreatorId und friendly name eigenschaften verfügt. Die folgende Ausgabe zeigt beispielsweise die Eigenschaften von WSL:
PS C:\> Get-NetFirewallHyperVVMCreator
VMCreatorId : {40E0AC32-46A5-438A-A0B2-2B479E8F2E90}
FriendlyName : WSL
Hinweis
Die WSL-VMCreatorId ist {40E0AC32-46A5-438A-A0B2-2B479E8F2E90}.
Überprüfen der Hyper-V-Firewalleinstellungen
Die Hyper-V-Firewall verfügt über Einstellungen, die im Allgemeinen für eine VMCreatorId gelten. Verwenden Sie das Cmdlet Get-NetFirewallHyperVVMSetting , um die Einstellungen zu überprüfen. Beispielsweise können Sie die auf WSL angewendeten Richtlinien mit dem Befehl abrufen:
Get-NetFirewallHyperVVMSetting -PolicyStore ActiveStore -Name '{40E0AC32-46A5-438A-A0B2-2B479E8F2E90}'
Hinweis
-PolicyStore ActiveStore gibt die angewendeten Einstellungen zurück.
Die Ausgabe enthält die folgenden Werte:
| Wert | Beschreibung |
|---|---|
Enabled (True/False) |
True, wenn die Hyper-V-Firewall für WSL-VMs aktiviert ist. |
DefaultInboundAction, DefaultOutboundAction |
Dies sind Standardregelrichtlinien, die auf Pakete angewendet werden, die den WSL-Container betreten oder verlassen. Die Regelrichtlinien können wie in diesem Artikel beschrieben geändert werden. |
LoopbackEnabled |
Verfolgt nach, ob Loopbackdatenverkehr zwischen dem Host und dem Container zulässig ist, ohne dass Hyper-V-Firewallregeln erforderlich sind. WSL aktiviert dies standardmäßig, damit der Windows-Host mit WSL und WSL mit dem Windows-Host kommunizieren kann. |
AllowHostPolicyMerge |
Bestimmt, wie Windows Host Firewall Enterprise Settings (GPO), Hyper-V Firewall Enterprise Settings (CSP), Windows Host Firewall Enterprise Settings (CSP), lokale Hyper-V Firewall-Einstellungen und lokale Hostfirewall-Einstellungen interagieren. Diese Einstellung wird im Cmdlet Set-NetFirewallHyperVVMSetting ausführlich beschrieben. |
Konfigurieren von Hyper-V-Firewalleinstellungen
Verwenden Sie zum Konfigurieren der Hyper-V-Firewall den Befehl Set-NetFirewallHyperVVMSetting . Der folgende Befehl legt beispielsweise die standardmäßige eingehende Verbindung auf Zulassen fest:
Set-NetFirewallHyperVVMSetting -Name '{40E0AC32-46A5-438A-A0B2-2B479E8F2E90}' -DefaultInboundAction Allow
Firewallregeln
Hyper-V-Firewallregeln können in PowerShell aufgelistet und erstellt werden. Verwenden Sie zum Anzeigen von Regeln das Cmdlet Get-NetFirewallHyperVRule . Verwenden Sie beispielsweise den folgenden Befehl, um Firewallregeln anzuzeigen, die sich nur auf WSL beziehen:
Get-NetFirewallHyperVRule -VMCreatorId '{40E0AC32-46A5-438A-A0B2-2B479E8F2E90}'
Verwenden Sie zum Konfigurieren bestimmter Regeln das Cmdlet Set-NetFirewallHyperVRule .
Um beispielsweise eine Regel für eingehenden Datenverkehr zu erstellen, um TCP-Datenverkehr an WSL an Port 80 zuzulassen, verwenden Sie den folgenden Befehl:
New-NetFirewallHyperVRule -Name MyWebServer -DisplayName "My Web Server" -Direction Inbound -VMCreatorId '{40E0AC32-46A5-438A-A0B2-2B479E8F2E90}' -Protocol TCP -LocalPorts 80
Hyper-V-Firewallregeln und -Einstellungen auf bestimmte Profile ausrichten
Hyper-V-Firewallregeln und -Einstellungen können auf die Firewallprofile ausgerichtet werden, die auf dem Typ des Netzwerks basieren, mit dem das Gerät verbunden ist:
- Öffentliches Profil
- Privates Profil
- Domänenprofil
Die Richtlinienoptionen ähneln den bereits beschriebenen, werden jedoch auf bestimmte Profile für den verbundenen Windows Host-Netzwerkadapter angewendet.
Verwenden Sie den folgenden Befehl, um die Einstellungen pro Profil anzuzeigen:
Get-NetFirewallHyperVProfile -PolicyStore ActiveStore
Hinweis
-PolicyStore ActiveStore gibt die angewendeten Einstellungen zurück.
Die Ausgabe enthält einen zusätzlichen Wert im Vergleich zu den im vorherigen Abschnitt beschriebenen Werten:
| Wert | Beschreibung |
|---|---|
AllowLocalFirewallRules (True/False) |
Diese Einstellung bestimmt, wie Hyper-V-Firewallregeln des Unternehmens (CSP oder GPO) mit den lokal definierten Hyper-V-Firewallregeln interagieren: – Wenn der Wert True ist, werden sowohl die Hyper-V-Firewallregeln des Unternehmens als auch die lokal definierten Regeln angewendet. – Wenn der Wert False ist, werden die lokal definierten Hyper-V-Firewallregeln nicht angewendet, und es werden nur Enterprise-Regeln angewendet. |
Hinweis
Verwenden Sie zum Konfigurieren dieser Einstellungen pro Profil das Cmdlet Set-NetFirewallHyperVProfile .
So konfigurieren Sie diese Regeln pro Profil mithilfe des Cmdlets Set-NetFirewallHyperVRule mit der -Profile Option.
Konfigurieren der Hyper-V-Firewall mit CSP
Sie können die Hyper-V-Firewall mithilfe des Firewall-CSP konfigurieren, z. B. mit einer MDM-Lösung wie Microsoft Intune.
Weitere Informationen zu den CSP-Optionen finden Sie unter den folgenden Links:
- Konfigurieren der Hyper-V-Firewalleinstellungen: Konfigurieren der Hyper-V-Firewalleinstellungen
- Konfigurieren von Hyper-V-Firewallregeln: Zum Konfigurieren einer Liste von Regeln, die den Datenverkehr über die Hyper-V-Firewall steuern
Informationen zum Konfigurieren der Firewall mit Microsoft Intune finden Sie unter Firewallrichtlinie für Endpunktsicherheit.
Feedback geben
Um Feedback zur Hyper-V-Firewall zu geben, öffnen Sie den Feedback-Hub, und verwenden Sie die Kategorie Sicherheit und Datenschutz > Microsoft Defender Firewall und Netzwerkschutz.