designhandbuch für Windows Defender Firewall mit erweiterter Sicherheit

Windows Defender Firewall mit erweiterter Sicherheit ist eine Hostfirewall, die das Gerät auf zwei Arten schützt. Zunächst kann der Netzwerkdatenverkehr gefiltert werden, der über das Netzwerk an das Gerät gesendet werden darf, und außerdem steuern, welcher Netzwerkdatenverkehr vom Gerät an das Netzwerk gesendet werden darf. Zweitens unterstützt Windows Defender Firewall IPsec, wodurch Sie die Authentifizierung von jedem Gerät anfordern können, das versucht, mit Ihrem Gerät zu kommunizieren. Wenn eine Authentifizierung erforderlich ist, können Geräte, die sich nicht authentifizieren können, nicht mit Ihrem Gerät kommunizieren. Mithilfe von IPsec können Sie auch festlegen, dass bestimmter Netzwerkdatenverkehr verschlüsselt wird, um zu verhindern, dass er während der Übertragung zwischen Geräten gelesen oder abgefangen wird.

Die Schnittstelle für Windows Defender Firewall ist wesentlich leistungsfähiger und flexibler als die verbraucherfreundliche Schnittstelle in der Windows Defender Firewall Systemsteuerung. Beide interagieren mit den gleichen zugrunde liegenden Diensten, bieten jedoch unterschiedliche Kontrollebenen für diese Dienste. Die Windows Defender Firewall Systemsteuerung erfüllt zwar die Anforderungen zum Schutz eines einzelnen Geräts in einer Heimumgebung, bietet jedoch nicht genügend zentrale Verwaltungs- oder Sicherheitsfeatures, um komplexeren Netzwerkdatenverkehr in einer typischen Unternehmensumgebung zu sichern.

Weitere Übersichtsinformationen finden Sie unter Windows Defender Firewall mit erweiterter Sicherheit.

Informationen zu diesem Leitfaden

Dieses Handbuch enthält Empfehlungen, mit denen Sie ein Design für die Bereitstellung Windows Defender Firewall in Ihrer Unternehmensumgebung auswählen oder erstellen können. Der Leitfaden beschreibt einige der allgemeinen Ziele für die Verwendung Windows Defender Firewall und hilft Ihnen dann, die Ziele, die für Ihr Szenario gelten, den in diesem Leitfaden dargestellten Designs zuzuordnen.

Dieser Leitfaden richtet sich an IT-Experten, denen die Aufgabe zugewiesen wurde, Firewall- und IPsec-Technologien im Netzwerk einer Organisation bereitzustellen, um die Sicherheitsziele der Organisation zu erreichen.

Windows Defender Firewall sollte Teil einer umfassenden Sicherheitslösung sein, die verschiedene Sicherheitstechnologien implementiert, z. B. Perimeterfirewalls, Angriffserkennungssysteme, VPN (Virtual Private Networking), IEEE 802.1X-Authentifizierung für drahtlose und kabelgebundene Verbindungen und IPsec-Verbindungssicherheitsregeln.

Um dieses Handbuch erfolgreich verwenden zu können, benötigen Sie ein gutes Verständnis sowohl der Funktionen von Windows Defender Firewall als auch der Bereitstellung von Konfigurationseinstellungen für Ihre verwalteten Geräte mithilfe von Gruppenrichtlinie in Active Directory.

Sie können die Implementierungsziele verwenden, um eine dieser Windows Defender Firewall mit Advanced Security-Designs zu bilden, oder ein benutzerdefiniertes Design, das Elemente aus den hier vorgestellten Zielen kombiniert:

  • Entwurf einer grundlegenden Firewallrichtlinie. Beschränkt den Netzwerkdatenverkehr in und von Ihren Geräten auf den, der benötigt und autorisiert ist.

  • Entwurf einer Domänenisolationsrichtlinie. Verhindert, dass Geräte, die Domänenmitglieder sind, unerwünschten Netzwerkdatenverkehr von Geräten empfangen, die keine Domänenmitglieder sind. Es können weitere "Zonen" eingerichtet werden, um die speziellen Anforderungen einiger Geräte zu unterstützen, z. B.:

    • Eine "Grenzzone" für Geräte, die Anforderungen von nicht isolierten Geräten empfangen können müssen.

    • Eine "Verschlüsselungszone" für Geräte, die vertrauliche Daten speichern, die während der Netzwerkübertragung geschützt werden müssen.

  • Entwurf einer Serverisolationsrichtlinie. Beschränkt den Zugriff auf einen Server auf eine begrenzte Gruppe autorisierter Benutzer und Geräte. Dieser Server kann häufig als Zone in einem Domänenisolationsentwurf konfiguriert werden, kann aber auch als eigenständiges Design konfiguriert werden, was viele der Vorteile der Domänenisolation für eine kleine Gruppe von Geräten bietet.

  • Entwurf einer zertifikatbasierten Isolationsrichtlinie. Dieses Design ist eine Ergänzung zu einem der beiden vorherigen Designs und unterstützt alle funktionen. Es verwendet kryptografische Zertifikate, die für die Authentifizierung auf Clients und Servern bereitgestellt werden, anstelle der standardmäßig in Active Directory verwendeten Kerberos V5-Authentifizierung. Mit diesem Entwurf können Geräte, die nicht Teil einer Active Directory-Domäne sind, z. B. Geräte, auf denen andere Betriebssysteme als Windows ausgeführt werden, an Ihrer Isolationslösung teilnehmen.

Zusätzlich zu Beschreibungen und Beispielen für jedes Design finden Sie Richtlinien zum Sammeln erforderlicher Daten über Ihre Umgebung. Anschließend können Sie diese Richtlinien verwenden, um Ihre Windows Defender Firewall mit Advanced Security-Bereitstellung zu planen und zu entwerfen. Nachdem Sie diese Anleitung gelesen und die Erfassung, Dokumentation und Zuordnung der Anforderungen Ihrer Organisation abgeschlossen haben, verfügen Sie über die Informationen, die Sie benötigen, um mit der Bereitstellung Windows Defender Firewall zu beginnen, indem Sie die Anleitung im Windows Defender Firewall mit Advanced Security Deployment Guide verwenden.

Sie finden die Windows Defender Firewall mit Advanced Security Deployment Guide an folgenden Speicherorten:

Inhalt dieses Abschnitts

Thema Beschreibung
Grundlegendes zur Windows Defender Firewall mit erweitertem Sicherheitsentwurfsprozess Erfahren Sie, wie Sie mit der Windows Defender Firewall mit dem Entwurfsprozess "Erweiterte Sicherheit" beginnen.
Identifizieren Ihrer Windows Defender Firewall mit erweiterten Sicherheitsbereitstellungszielen Erfahren Sie, wie Sie Ihre Windows Defender Firewall mit Den Advanced Security-Implementierungszielen identifizieren.
Zuordnen Ihrer Bereitstellungsziele zu einer Windows Defender Firewall mit erweitertem Sicherheitsdesign Nachdem Sie die überprüfung der vorhandenen Windows Defender Firewall mit Advanced Security-Implementierungszielen abgeschlossen haben und festgelegt haben, welche Ziele für Ihre spezifische Bereitstellung wichtig sind, können Sie diese Ziele einer bestimmten Windows Defender Firewall mit erweitertem Sicherheitsdesign zuordnen.
Entwerfen einer Windows Defender Firewall mit erweiterter Sicherheitsstrategie Um das effektivste Design zum Schutz des Netzwerks auszuwählen, müssen Sie Zeit für das Sammeln wichtiger Informationen über Ihre aktuelle Computerumgebung aufwenden.
Planen Ihrer Windows Defender Firewall mit erweitertem Sicherheitsdesign Nachdem Sie die relevanten Informationen in den vorherigen Abschnitten gesammelt und die Grundlagen der Designs wie weiter oben in diesem Leitfaden beschrieben verstanden haben, können Sie das Design (oder eine Kombination von Designs) auswählen, das Ihren Anforderungen entspricht.
AnhangA: GPO-Beispielvorlagendateien für die in diesem Handbuch verwendeten Einstellungen Sie können eine XML-Datei mit angepassten Registrierungseinstellungen in ein Gruppenrichtlinie-Objekt (GPO) importieren, indem Sie das Einstellungsfeature der Gruppenrichtlinie Management Console (GPMC) verwenden.

Terminologie, die in diesem Leitfaden verwendet wird

In der folgenden Tabelle werden die in diesem Handbuch verwendeten Begriffe identifiziert und definiert.

Begriff Definition
Active Directory-Domäne Eine Gruppe von Geräten und Benutzern, die von einem Administrator mithilfe von Active Directory Domain Services (AD DS) verwaltet werden. Geräte in einer Domäne teilen sich eine gemeinsame Verzeichnisdatenbank und Sicherheitsrichtlinien. Mehrere Domänen können in einer "Gesamtstruktur koexistiert werden, mit Vertrauensbeziehungen," die die Gesamtstruktur als Sicherheitsgrenze festlegen.
Authentifizierung Ein Prozess, mit dem der Absender einer Nachricht seine Identität dem Empfänger nachweisen kann. Für die Verbindungssicherheit in Windows wird die Authentifizierung von der IPsec-Protokollsuite implementiert.
Begrenzungszone Eine Teilmenge der Geräte in einer isolierten Domäne, die in der Lage sein muss, unerwünschten und nicht authentifizierten Netzwerkdatenverkehr von Geräten zu empfangen, die keine Mitglieder der isolierten Domäne sind. Geräte in der Grenzzonenanforderung, erfordern jedoch keine Authentifizierung. Sie verwenden IPsec für die Kommunikation mit anderen Geräten in der isolierten Domäne.
Verbindungssicherheitsregel Eine Regel in Windows Defender Firewall, die eine Reihe von Bedingungen und eine Aktion enthält, die auf Netzwerkpakete angewendet werden soll, die den Bedingungen entsprechen. Die Aktion kann das Paket zulassen, das Paket blockieren oder den Schutz des Pakets durch IPsec erfordern. In früheren Versionen von Windows wurde diese Regel als IPsec-Regel bezeichnet.
Zertifikatbasierte Isolation Eine Möglichkeit zum Hinzufügen von Geräten, die keine Kerberos V5-Authentifizierung verwenden können, zu einer isolierten Domäne mithilfe einer alternativen Authentifizierungstechnik. Jedes Gerät in der isolierten Domäne und die Geräte, die Kerberos V5 nicht verwenden können, erhalten ein Gerätezertifikat, das für die Authentifizierung miteinander verwendet werden kann. Die zertifikatbasierte Isolation erfordert eine Möglichkeit zum Erstellen und Verteilen eines geeigneten Zertifikats (wenn Sie sich entscheiden, kein Zertifikat von einem kommerziellen Zertifikatanbieter zu erwerben).
Domänenisolation Eine Technik zum Schutz der Geräte in einer Organisation, indem die Geräte die Identität des anderen vor dem Austausch von Informationen authentifizieren und Verbindungsanforderungen von Geräten ablehnen, die sich nicht authentifizieren können. Die Domänenisolation nutzt die Active Directory-Domänenmitgliedschaft und das Kerberos V5-Authentifizierungsprotokoll, das für alle Mitglieder der Domäne verfügbar ist. Siehe "auch "Isolierte Domäne" " in dieser Tabelle.
Verschlüsselungszone Eine Teilmenge der Geräte in einer isolierten Domäne, die vertrauliche Daten verarbeiten. Bei Geräten, die Teil der Verschlüsselungszone sind, ist der gesamte Netzwerkdatenverkehr verschlüsselt, um die Anzeige durch nicht autorisierte Benutzer zu verhindern. Geräte, die Teil der Verschlüsselungszone sind, unterliegen in der Regel auch den Zugriffssteuerungseinschränkungen der Serverisolation.
Firewallregel Eine Regel in Windows Defender Firewall, die eine Reihe von Bedingungen enthält, die verwendet werden, um zu bestimmen, ob ein Netzwerkpaket die Firewall passieren darf.
Standardmäßig werden die Firewallregeln in Windows Server 2016. Windows Server 2012 blockieren Windows Server 2008 R2, Windows Server 2008, Windows 11, Windows 10, Windows 8, Windows 7 und Windows Vista unerwünschten eingehenden Netzwerkdatenverkehr. Ebenso ist standardmäßig der gesamte ausgehende Netzwerkdatenverkehr zulässig. Die Firewall, die in früheren Versionen von Windows enthalten war, hat nur eingehenden Netzwerkdatenverkehr gefiltert.
Internetprotokollsicherheit (Internet Protocol Security, IPsec) Eine Reihe von industriestandardbasierten, kryptografiebasierten Schutzdiensten und -protokollen. IPsec schützt alle Protokolle in der TCP/IP-Protokollsuite mit Ausnahme von Address Resolution Protocol (ARP).
IPsec-Richtlinie Eine Sammlung von Verbindungssicherheitsregeln, die den erforderlichen Schutz für Netzwerkdatenverkehr bereitstellen, der das Gerät ein- und verlässt. Der Schutz umfasst die Authentifizierung des sendenden und empfangenden Geräts, den Integritätsschutz des zwischen ihnen ausgetauschten Netzwerkdatenverkehrs und kann Verschlüsselung umfassen.
Isolierte Domäne Eine Active Directory-Domäne (oder eine Active Directory-Gesamtstruktur oder eine Gruppe von Domänen mit bidirektionalem Vertrauensverhältnis), für die Gruppenrichtlinie Einstellungen angewendet wurden, um die Mitgliedergeräte mithilfe von IPsec-Verbindungssicherheitsregeln zu schützen. Mitglieder der isolierten Domäne erfordern die Authentifizierung für alle unerwünschten eingehenden Verbindungen (mit Ausnahmen, die von den anderen Zonen behandelt werden).
In diesem Leitfaden bezieht sich der Begriff "isolierte Domäne " auf das IPsec-Konzept einer Gruppe von Geräten, die die Authentifizierung gemeinsam nutzen können. Der Begriff Active Directory-Domäne bezieht sich auf die Gruppe von Geräten, die eine Sicherheitsdatenbank mithilfe von Active Directory gemeinsam nutzen.
Serverisolation Eine Methode zum Verwenden der Gruppenmitgliedschaft zum Einschränken des Zugriffs auf einen Server, der in der Regel bereits Mitglied einer isolierten Domäne ist. Der zusätzliche Schutz besteht darin, die Authentifizierungsanmeldeinformationen des anfordernden Geräts zu verwenden, um dessen Gruppenmitgliedschaft zu bestimmen, und dann nur den Zugriff zuzulassen, wenn das Computerkonto (und optional das Benutzerkonto) Mitglied einer autorisierten Gruppe ist.
Netzwerkdatenverkehr wird angesucht Netzwerkdatenverkehr, der als Antwort auf eine Anforderung gesendet wird. Standardmäßig lässt Windows Defender Firewall den gesamten anfallenden Netzwerkdatenverkehr zu.
Unerwünschter Netzwerkdatenverkehr Netzwerkdatenverkehr, der keine Antwort auf eine frühere Anforderung ist und der vom empfangenden Gerät nicht unbedingt erwartet werden kann. Standardmäßig blockiert Windows Defender Firewall den gesamten unerwünschten Netzwerkdatenverkehr.
Zone Eine Zone ist eine logische Gruppierung von Geräten, die aufgrund ihrer Kommunikationsanforderungen gemeinsame IPsec-Richtlinien verwenden. Beispielsweise lässt die Grenzzone eingehende Verbindungen von nicht vertrauenswürdigen Geräten zu. Die Verschlüsselungszone erfordert, dass alle Verbindungen verschlüsselt sind.
Diese Ausdruckszone bezieht sich nicht auf die zone, die von Domain Name System (DNS) verwendet wird.

Next:Understanding the Windows Defender Firewall with Advanced Security Design Process