Entwurfshandbuch für Windows Defender Firewall mit erweiterter Sicherheit
Windows Defender Firewall mit erweiterter Sicherheit ist eine Hostfirewall, die das Gerät auf zwei Arten schützt. Zunächst kann der Netzwerkdatenverkehr gefiltert werden, der aus dem Netzwerk auf das Gerät gelangen darf, und außerdem steuern, welchen Netzwerkdatenverkehr das Gerät an das Netzwerk senden darf. Zweitens unterstützt Windows Defender Firewall IPsec, wodurch Sie die Authentifizierung von jedem Gerät anfordern können, das versucht, mit Ihrem Gerät zu kommunizieren. Wenn eine Authentifizierung erforderlich ist, können Geräte, die sich nicht authentifizieren können, nicht mit Ihrem Gerät kommunizieren. Mit IPsec können Sie auch verlangen, dass bestimmter Netzwerkdatenverkehr verschlüsselt wird, um zu verhindern, dass er während der Übertragung zwischen Geräten gelesen oder abgefangen wird.
Die Schnittstelle für Windows Defender Firewall ist viel leistungsfähiger und flexibler als die benutzerfreundliche Schnittstelle im Windows Defender Firewall Systemsteuerung. Beide interagieren mit denselben zugrunde liegenden Diensten, bieten aber unterschiedliche Steuerungsebenen für diese Dienste. Die Windows Defender Firewall Systemsteuerung erfüllt zwar die Anforderungen zum Schutz eines einzelnen Geräts in einer privaten Umgebung, bietet jedoch nicht genügend zentrale Verwaltungs- oder Sicherheitsfeatures, um komplexeren Netzwerkdatenverkehr in einer typischen Unternehmensumgebung zu schützen.
Weitere Übersichtsinformationen finden Sie unter Windows Defender Firewall mit erweiterter Sicherheit.
Informationen zu diesem Leitfaden
Dieser Leitfaden enthält Empfehlungen, die Ihnen helfen, einen Entwurf für die Bereitstellung von Windows Defender Firewall in Ihrer Unternehmensumgebung auszuwählen oder zu erstellen. Der Leitfaden beschreibt einige der allgemeinen Ziele für die Verwendung von Windows Defender Firewall und hilft Ihnen dann, die Ziele, die für Ihr Szenario gelten, den Designs zuzuordnen, die in diesem Leitfaden vorgestellt werden.
Dieser Leitfaden richtet sich an IT-Experten, denen die Aufgabe übertragen wurde, Firewall- und IPsec-Technologien im Netzwerk eines organization bereitzustellen, um die Sicherheitsziele der organization zu erreichen.
Windows Defender Firewall sollte Teil einer umfassenden Sicherheitslösung sein, die verschiedene Sicherheitstechnologien implementiert, z. B. Umkreisfirewalls, Angriffserkennungssysteme, virtuelle private Netzwerke (VPN), IEEE 802.1X-Authentifizierung für drahtlose und kabelgebundene Verbindungen und IPsec-Verbindungssicherheitsregeln.
Um diesen Leitfaden erfolgreich verwenden zu können, benötigen Sie ein gutes Verständnis der Von Windows Defender Firewall bereitgestellten Funktionen und der Bereitstellung von Konfigurationseinstellungen für Ihre verwalteten Geräte mithilfe von Gruppenrichtlinie in Active Directory.
Sie können die Implementierungsziele verwenden, um eines der folgenden Windows Defender Firewall mit Advanced Security-Designs oder ein benutzerdefiniertes Design zu erstellen, das Elemente aus den hier vorgestellten Zielen kombiniert:
Grundlegendes Firewallrichtliniendesign. Schränkt den Ein- und Ausgehenden Netzwerkdatenverkehr Ihrer Geräte auf den benötigten und autorisierten Datenverkehr ein.
Entwurf der Domänenisolationsrichtlinie. Verhindert, dass Geräte, die Domänenmitglieder sind, unerwünschten Netzwerkdatenverkehr von Geräten empfangen, die keine Domänenmitglieder sind. Es können weitere "Zonen" eingerichtet werden, um die speziellen Anforderungen einiger Geräte zu erfüllen, z. B.:
Eine "Begrenzungszone" für Geräte, die Anforderungen von nicht isolierten Geräten empfangen können müssen.
Eine "Verschlüsselungszone" für Geräte, die vertrauliche Daten speichern, die während der Netzwerkübertragung geschützt werden müssen.
Entwurf der Serverisolationsrichtlinie. Beschränkt den Zugriff auf einen Server auf eine begrenzte Gruppe autorisierter Benutzer und Geräte. Dieser Server kann häufig als Zone in einem Domänenisolationsentwurf konfiguriert werden, kann aber auch als eigenständiger Entwurf konfiguriert werden, der viele der Vorteile der Domänenisolation für eine kleine Gruppe von Geräten bietet.
Entwurf einer zertifikatbasierten Isolationsrichtlinie. Dieses Design ist eine Ergänzung zu einem der beiden vorherigen Designs und unterstützt jede ihrer Funktionen. Anstelle der standardmäßig in Active Directory verwendeten Kerberos V5-Authentifizierung werden kryptografische Zertifikate verwendet, die auf Clients und Servern für die Authentifizierung bereitgestellt werden. Dieser Entwurf ermöglicht Es Geräten, die nicht Teil einer Active Directory-Domäne sind, z. B. Geräte, auf denen andere Betriebssysteme als Windows ausgeführt werden, an Ihrer Isolationslösung teilzunehmen.
Zusätzlich zu Beschreibungen und Beispielen für jeden Entwurf finden Sie Richtlinien zum Sammeln erforderlicher Daten zu Ihrer Umgebung. Anschließend können Sie diese Richtlinien verwenden, um Ihre Windows Defender Firewall mit erweiterter Sicherheit zu planen und zu entwerfen. Nachdem Sie dieses Handbuch gelesen und die Anforderungen Ihrer organization gesammelt, dokumentiert und zugeordnet haben, erhalten Sie die Informationen, die Sie benötigen, um mit der Bereitstellung Windows Defender Firewall zu beginnen, indem Sie die Anleitung im Bereitstellungshandbuch für Windows Defender Firewall mit erweiterter Sicherheit verwenden.
Das Bereitstellungshandbuch für die Windows Defender Firewall mit erweiterter Sicherheit finden Sie an diesen Stellen:
Bereitstellungshandbuch für Windows Defender Firewall mit erweiterter Sicherheit
(Herunterladbares Word Dokument)
Inhalt dieses Abschnitts
| Thema | Beschreibung |
|---|---|
| Grundlegendes zum entwurfsprozess der Windows Defender Firewall mit erweiterter Sicherheit | Erfahren Sie, wie Sie mit dem Entwurfsprozess der Windows Defender Firewall mit erweiterter Sicherheit beginnen. |
| Identifizieren Ihrer Windows Defender Firewall mit erweiterten Sicherheitsbereitstellungszielen | Erfahren Sie, wie Sie Ihre Windows Defender Firewall mit Implementierungszielen für erweiterte Sicherheit identifizieren. |
| Zuordnen Ihrer Bereitstellungsziele zu einer Windows Defender Firewall mit erweitertem Sicherheitsentwurf | Nachdem Sie die vorhandenen Implementierungsziele für Windows Defender Firewall mit erweiterter Sicherheit überprüft und ermittelt haben, welche Ziele für Ihre spezifische Bereitstellung wichtig sind, können Sie diese Ziele einem bestimmten Windows Defender Firewall mit erweiterter Sicherheit zuordnen. |
| Entwerfen einer Windows Defender Firewall mit erweiterter Sicherheitsstrategie | Um den effektivsten Entwurf für den Schutz des Netzwerks auszuwählen, müssen Sie Zeit damit verbringen, wichtige Informationen zu Ihrer aktuellen Computerumgebung zu sammeln. |
| Planen Ihrer Windows Defender Firewall mit erweitertem Sicherheitsentwurf | Nachdem Sie die relevanten Informationen in den vorherigen Abschnitten gesammelt und die Grundlagen der Entwürfe wie weiter oben in diesem Leitfaden beschrieben verstanden haben, können Sie das Design (oder die Kombination von Designs) auswählen, das Ihren Anforderungen entspricht. |
| Anhang A: Beispiel-GPO-Vorlagendateien für die in diesem Handbuch verwendeten Einstellungen | Sie können eine XML-Datei mit benutzerdefinierten Registrierungseinstellungen in ein Gruppenrichtlinie Object (GPO) importieren, indem Sie die Einstellungsfunktion der Gruppenrichtlinie Management Console (GPMC) verwenden. |
In diesem Leitfaden verwendete Terminologie
In der folgenden Tabelle werden begriffe identifiziert und definiert, die in diesem Leitfaden verwendet werden.
| Begriff | Definition |
|---|---|
| Active Directory-Domäne | Eine Gruppe von Geräten und Benutzern, die von einem Administrator mithilfe von Active Directory Domain Services (AD DS) verwaltet werden. Geräte in einer Domäne verwenden eine gemeinsame Verzeichnisdatenbank und Sicherheitsrichtlinien. In einer "Gesamtstruktur" können mehrere Domänen gleichzeitig vorhanden sein, wobei Vertrauensstellungen die Gesamtstruktur als Sicherheitsgrenze festlegen. |
| Authentication | Ein Prozess, der es dem Absender einer Nachricht ermöglicht, seine Identität gegenüber dem Empfänger nachzuweisen. Aus Gründen der Verbindungssicherheit in Windows wird die Authentifizierung von der IPsec-Protokollsuite implementiert. |
| Begrenzungszone | Eine Teilmenge der Geräte in einer isolierten Domäne, die in der Lage sein muss, unerwünschten und nicht authentifizierten Netzwerkdatenverkehr von Geräten zu empfangen, die keine Mitglieder der isolierten Domäne sind. Geräte in der Begrenzungszone fordern jedoch keine Authentifizierung an. Sie verwenden IPsec, um mit anderen Geräten in der isolierten Domäne zu kommunizieren. |
| Verbindungssicherheitsregel | Eine Regel in Windows Defender Firewall, die eine Reihe von Bedingungen und eine Aktion enthält, die auf Netzwerkpakete angewendet werden soll, die den Bedingungen entsprechen. Die Aktion kann das Paket zulassen, das Paket blockieren oder verlangen, dass das Paket durch IPsec geschützt wird. In früheren Versionen von Windows wurde diese Regel als IPsec-Regel bezeichnet. |
| Zertifikatbasierte Isolation | Eine Möglichkeit zum Hinzufügen von Geräten, die die Kerberos V5-Authentifizierung nicht verwenden können, zu einer isolierten Domäne mithilfe einer alternativen Authentifizierungsmethode. Jedes Gerät in der isolierten Domäne und die Geräte, die Kerberos V5 nicht verwenden können, werden mit einem Gerätezertifikat bereitgestellt, das für die Authentifizierung untereinander verwendet werden kann. Die zertifikatbasierte Isolation erfordert eine Möglichkeit, ein geeignetes Zertifikat zu erstellen und zu verteilen (wenn Sie keins von einem kommerziellen Zertifikatanbieter erwerben möchten). |
| Domänenisolation | Eine Technik zum Schutz der Geräte in einem organization, indem die Geräte vor dem Austausch von Informationen die Identität des anderen authentifizieren und Verbindungsanforderungen von Geräten ablehnen, die sich nicht authentifizieren können. Die Domänenisolation nutzt die Active Directory-Domänenmitgliedschaft und das Kerberos V5-Authentifizierungsprotokoll, das für alle Mitglieder der Domäne verfügbar ist. Siehe auch "Isolierte Domäne" in dieser Tabelle. |
| Verschlüsselungszone | Eine Teilmenge der Geräte in einer isolierten Domäne, die vertrauliche Daten verarbeiten. Geräte, die Teil der Verschlüsselungszone sind, verfügen über verschlüsselten Netzwerkdatenverkehr, um die Anzeige durch nicht autorisierte Benutzer zu verhindern. Geräte, die Teil der Verschlüsselungszone sind, unterliegen in der Regel auch den Zugriffssteuerungseinschränkungen der Serverisolation. |
| Firewallregel | Eine Regel in Windows Defender Firewall, die eine Reihe von Bedingungen enthält, mit denen bestimmt wird, ob ein Netzwerkpaket die Firewall passieren darf. Standardmäßig werden die Firewallregeln in Windows Server 2016. Windows Server 2012 blockieren Windows Server 2008 R2, Windows Server 2008, Windows 11, Windows 10, Windows 8, Windows 7 und Windows Vista unerwünschten eingehenden Netzwerkdatenverkehr. Ebenso ist standardmäßig der gesamte ausgehende Netzwerkdatenverkehr zulässig. Die firewall, die in früheren Versionen von Windows enthalten war, hat nur eingehenden Netzwerkdatenverkehr gefiltert. |
| Internetprotokollsicherheit (Internet Protocol Security, IPsec) | Eine Reihe von auf Kryptografie basierenden Schutzdiensten und Protokollen nach Branchenstandard. IPsec schützt alle Protokolle in der TCP/IP-Protokollsuite mit Ausnahme des Address Resolution Protocol (ARP). |
| IPsec-Richtlinie | Eine Sammlung von Verbindungsicherheitsregeln, die den erforderlichen Schutz für Netzwerkdatenverkehr bieten, der das Gerät ein- und ausläuft. Der Schutz umfasst die Authentifizierung des sendenden und empfangenden Geräts, den Integritätsschutz des zwischen ihnen ausgetauschten Netzwerkdatenverkehrs und kann die Verschlüsselung umfassen. |
| Isolierte Domäne | Eine Active Directory-Domäne (oder eine Active Directory-Gesamtstruktur oder eine Gruppe von Domänen mit bidirektionalen Vertrauensstellungen), für die Gruppenrichtlinie Einstellungen angewendet werden, um ihre Mitgliedsgeräte mithilfe von IPsec-Verbindungssicherheitsregeln zu schützen. Mitglieder der isolierten Domäne erfordern eine Authentifizierung für alle nicht angeforderten eingehenden Verbindungen (mit Ausnahmen, die von den anderen Zonen behandelt werden). In diesem Leitfaden bezieht sich der Begriff isolierte Domäne auf das IPsec-Konzept einer Gruppe von Geräten, die die Authentifizierung gemeinsam nutzen können. Der Begriff Active Directory-Domäne bezieht sich auf die Gruppe von Geräten, die mithilfe von Active Directory eine Sicherheitsdatenbank gemeinsam nutzen. |
| Serverisolation | Eine Methode zum Verwenden der Gruppenmitgliedschaft, um den Zugriff auf einen Server einzuschränken, der in der Regel bereits Mitglied einer isolierten Domäne ist. Der zusätzliche Schutz ergibt sich aus der Verwendung der Authentifizierungsanmeldeinformationen des anfordernden Geräts, um seine Gruppenmitgliedschaft zu bestimmen, und dann nur dann den Zugriff zuzulassen, wenn das Computerkonto (und optional das Benutzerkonto) Mitglied einer autorisierten Gruppe ist. |
| Angeforderter Netzwerkdatenverkehr | Netzwerkdatenverkehr, der als Antwort auf eine Anforderung gesendet wird. Standardmäßig lässt Windows Defender Firewall den gesamten angeforderten Netzwerkdatenverkehr zu. |
| Unerwünschter Netzwerkdatenverkehr | Netzwerkdatenverkehr, der keine Antwort auf eine frühere Anforderung ist und der vom empfangenden Gerät nicht unbedingt vorhergesehen werden kann. Standardmäßig blockiert Windows Defender Firewall den gesamten unerwünschten Netzwerkdatenverkehr. |
| Zone | Eine Zone ist eine logische Gruppierung von Geräten, die aufgrund ihrer Kommunikationsanforderungen gemeinsame IPsec-Richtlinien verwenden. Beispielsweise lässt die Begrenzungszone eingehende Verbindungen von nicht vertrauenswürdigen Geräten zu. Die Verschlüsselungszone erfordert, dass alle Verbindungen verschlüsselt sind. Diese Begriffszone bezieht sich nicht auf die zone, die vom Domain Name System (DNS) verwendet wird. |
Weiter:Grundlegendes zur Windows Defender Firewall mit erweitertem Sicherheitsentwurfsprozess