Exportieren (0) Drucken
Alle erweitern
Erweitern Minimieren

Windows Firewall

Veröffentlicht: 21. Jul 2004 | Aktualisiert: 14. Nov 2004

Windwos-Firewall ist ein Firewall für Windows XP und Windows Server 2003 mit statusbezogener Filterfunktion. Er bietet Schutz für PCs, die an ein Netzwerk angeschlossen sind, indem unaufgefordert eingehende Verbindungen über TCP/IP Version 4 (IPv4) verhindert werden. SP2 aktiviert Windows-Firewall standardmäßig und startet ihn früher im Bootprozess. Sechs der zahlreichen neuen Funktionen können unmittelbare Auswirkungen auf vorhandene Anwendungen haben.

Auf dieser Seite

 Standardmäßige Aktivierung
 Sicherheit beim Systemstart
 Einfachere Konfiguration
 Berechtigungsliste für Anwendungen (Windows-Firewall-Berechtigungsliste)
 RPC-Unterstützung
 Geschützter Betriebsmodus

Standardmäßige Aktivierung

Vor SP2 war Windows-Firewall in Windows XP standardmäßig deaktiviert. Benutzer mussten entweder einen Assistenten ausführen oder Windows-Firewall im Ordner "Netzwerkverbindungen" aktivieren. Durch die standardmäßige Aktivierung von Windows-Firewall ist der Computer vor vielen netzwerkbasierten Angriffen geschützt. Wäre Windows-Firewall standardmäßig aktiviert gewesen, hätte beispielsweise der vor kurzem erfolgte MSBlaster-Angriff wesentlich weniger Auswirkungen nach sich gezogen, und zwar unabhängig davon, ob die Benutzer alle aktuellen Patches installiert hatten, da Windows-Firewall unaufgeforderte Verbindungen, wie etwa die Portabfrage, untersagt.

Die standardmäßige Aktivierung von Windows-Firewall kann Probleme für vorhandene Anwendungen mit sich bringen, wenn die Anwendungen keine statusbezogene Filterung verwenden. Erwartet die Anwendung zum Beispiel Nachrichten von einem anderen Computer, ohne selbst zuvor eine Nachricht zu senden (d. h. er fungiert als Client und als Server), kann die Anwendung fehlschlagen. Außerdem muss Windows-Firewall für PCs, die einen Webserver ausführen, konfiguriert werden, um solche Anfragen zuzulassen (http://support.microsoft.com/default.aspx?scid=kb;EN-US;320855).

Sicherheit beim Systemstart

In früheren Versionen von Windows gab es ein Zeitfenster zwischen dem Ausführen des Netzwerkstacks und dem Beginn des Schutzes durch Windows-Firewall. Dadurch ergab sich die Möglichkeit, dass ein Paket ohne Filterung durch Windows-Firewall an einen Dienst übergeben und empfangen werden konnte und der Computer dadurch potenziell gefährdet wurde. Dies lag daran, dass der Firewalltreiber erst zu filtern begann, als der Firewalldienst geladen war und die geeignete Richtlinie übernommen hatte. Der Firewalldienst weist eine Reihe von Abhängigkeiten auf, die bewirken, dass der Dienst wartet, bis diese Abhängigkeiten aufgelöst sind, bevor er die Richtlinie an den Treiber übergibt. Der hierfür aufgewendete Zeitraum basiert auf der Geschwindigkeit des Computers.

In Windows XP Service Pack 2 verfügt der Firewalltreiber über eine statische Regel, die sogenannte Startrichtlinie. Sie führt statusbezogene Filtervorgänge aus und und beseitigt das Gefährdungsfenster beim Computerstart. Diese neue Richtlinie gestattet es dem Computer, Ports zu öffnen, sodass grundlegende Netzwerkaufgaben, wie etwa DNS und DHCP, ausgeführt werden können. Sie lässt auch eine Verbindung mit einem Domänencontroller zu, um geeignete Richtlinien zu erhalten. Sobald der Firewalldienst ausgeführt wird, werden die Windows-Firewall-Laufzeitrichtlinien geladen und die Startfilter entfernt. (Die Startrichtlinie kann nicht konfiguriert werden.)

Es ist keine Startsicherheit gegeben, wenn Windows-Firewall/Gemeinsame Nutzung der Internetverbindung auf Deaktiviert gesetzt wird.

Einfachere Konfiguration

Windows-Firewall ist nun einfacher zu konfigurieren, da eine globale Konfiguration aller Schnittstellen möglich ist, sodass Änderungen automatisch auf alle vorhandenen und neuen Netzwerkverbindungen angewendet werden. Es sind weiterhin jedoch auch individuelle Konfigurationen möglich. Außerdem ermöglicht Windows-Firewall nun die Erstellung von zwei Gruppen von Firewallrichtlinien, nämlich eine, wenn der Computer mit dem Unternehmensnetzwerk verbunden ist, und ein zweite, wenn keine Verbindung besteht. Sie können für die Verbindung mit dem Unternehmensnetzwerk eine weniger strenge Richtlinie festlegen, sodass Spartenanwendungen ausgeführt werden können. Sie können auch eine aggressivere Sicherheitsrichtlinie anwenden, die erzwungen wird, wenn der Computer das Unternehmensnetzwerk verlässt, um vor Internet-basierten Angriffen zu schützen. Mehrere Profile für Windows-Firewall gelten jedoch nur für Computer, die in einer Domäne zusammengefasst sind. Computer in einer Arbeitsgruppe haben nur ein Profil.

Administratoren können nun das Befehlszeilenhilfsprogramm Netsh (früher nur mit Advanced Networking Pack für Windows XP verfügbar) für folgende Aufgaben einsetzen:

  • Anwendungen zur Windows-Firewall-Berechtigungsliste hinzufügen oder aus ihr entfernen

  • Standardstatus des Windows-Firewall konfigurieren (Aus, Aktiviert, Geschützt)

  • Konfigurieren, welche Ports offen sein sollen, ob Ports globalen oder eingeschränkten Zugriff auf das lokale Subnetz zulassen und ob Ports für alle Schnittstellen oder Vorschnittstellen geöffnet sind

  • Protokollierungsoptionen konfigurieren

  • Die IMCP-Optionen (Internet Control Message Protocol) konfigurieren

    Beachten Sie, dass Service Pack 2 auch neue Gruppenrichtlinienobjekte enthält, mit denen Netzwerkadministratoren Windows-Firewall-Richtlinien in der Unternehmensumgebung verwalten können. Diese Gruppenrichtlinienobjekte umfassen den Betriebsmodus (Ein, Aus oder Geschützt), Zugelassene Programme, Offene Ports (statisch), ICMP-Einstellungen und Dynamisch zugewiesene Ports für RPC und DCOM. Diese Objekte können sowohl in den Unternehmens- als auch in den Standardprofilen konfiguriert werden.

Berechtigungsliste für Anwendungen (Windows-Firewall-Berechtigungsliste)

Einige Anwendungen arbeiten sowohl als Netzwerkclient als auch als Netzwerkserver. Als Server müssen Sie unaufgeforderten eingehenden Datenverkehr zulassen, da zunächst unbekannt ist, von wem die Daten kommen.

In früheren Windows-Versionen musste eine Anwendung die Windows-Firewall-APIs aufrufen, damit die erforderlichen Empfangsports geöffnet wurden. Dies hat sich in Peer-to-Peer-Situationen als schwierig erwiesen, wenn der Port nicht im Voraus bekannt war. Die Anwendung war dafür verantwortlich, den Port nach Abschluss der Kommunikation wieder zu schließen. Andernfalls konnte es beim unbeabsichtigten Beenden der Anwendung zu unnötig geöffneten Ports kommen.

Diese Ports konnten außerdem nur geöffnet werden, wenn Anwendungen im Sicherheitskontext eines lokalen Administrators ausgeführt wurden. Dies widerspricht dem Prinzip möglichst geringer Berechtigungen, da Anwendungen im Administratorkontext ausgeführt werden mussten und nicht nur mit den mindestens erforderlichen Berechtigungen ausgeführt werden konnten.

In Windows XP Service Pack 2 kann eine Anwendung, die das Netzwerk abhören muss, programmtechnisch oder auch vom Administrator zur Windows-Firewall-Berechtigungsliste hinzugefügt werden. Wenn eine Anwendung in der Berechtigungsliste (Windows-Firewall-Berechtigungsliste) enthalten ist, öffnet Windows den erforderlichen Port automatisch für den Zeitraum, in dem die Anwendung den betreffenden Port abhört, und zwar unabhängig vom Sicherheitskontext der Anwendung. Eine Anwendung kann keinen Port öffnen, den sie nicht verwendet, da dadurch eine andere Anwendung oder ein Dienst gezielt oder unabsichtlich dem Netzwerkverkehr dieses Ports ausgesetzt werden könnte.

Dies gestattet es auch, dass Anwendungen, die das Netzwerk abhören, als einfacher Benutzer anstatt als Administrator ausgeführt werden können, wie es in früheren Windows-Versionen der Fall war.

Anwendungen, die das Netzwerk nicht abhören, brauchen nicht in die Berechtigungsliste für Anwendungen aufgenommen zu werden. Wenn Sie der Windows-Firewall-Berechtigungsliste eine Anwendung grafisch hinzufügen müssen, kann ein Administrator entweder im Fensterausschnitt der Netzwerkaufgaben die Option Configure Windows Firewall (Windows-Firewall konfigurieren) wählen, wenn er die Netzwerkverbindungen anzeigt, oder indem er auf der Registerkarte Erweitert für eine bestimmte Netzwerkverbindung auf die Schaltfläche "Einstellungen" klickt. Das angezeigte Dialogfeld, das in Abbildung 1 zu sehen ist, gestattet einem Administrator, Windows-Firewall mit Ausnahmen zu aktivieren (d. h. die weiße Liste ist aktiv), ohne Ausnahmen zu aktivieren (wird auch als "Geschützt" bezeichnet) oder zu deaktivieren.

XPSP2OnlineTraining_02

Abbildung 1: Windows-Firewall, Registerkarte "Allgemein"

Wenn die erste Option ausgewählt wurde, wird die Berechtigungsliste von Windows-Firewall auf der Registerkarte "Exceptions" (Ausnahmen) verfügbar (siehe Abbildung 2).

XPSP2OnlineTraining_03

Abbildung 2: Windows-Firewall, Registerkarte "Exceptions" (Ausnahmen)

Um eine Anwendung in die Berechtigungsliste von Windows-Firewall aufzunehmen, klickt der Administrator auf die Schaltfläche Hinzufügen und konfiguriert die ausführbare Datei der Anwendung, wie in Abbildung 3 dargestellt. Beachten Sie, dass in diesem Dialogfeld auch einzelne TCP- und UDP-Ports aktiviert werden können.

XPSP2OnlineTraining_04

Abbildung 3: Windows-Firewall, Dialogfeld "Exceptions" (Ausnahmen)

Administratoren können die Berechtigungsliste von Windows-Firewall auch mit dem weiter oben beschriebenen Befehlszeilenhilfsprogramm Netsh verwalten.

RPC-Unterstützung

In früheren Windows-Versionen wurde die RPC-Kommunikation (Remote Procedure Call) von Windows-Firewall blockiert. Obwohl Windows-Firewall so konfiguriert werden konnte, dass Netzwerkdatenverkehr zur RPC-Endpunktzuordnung zulässig war, wurde der RPC-Datenverkehr für Anwendungen, die dynamische Endpunkte verwendeten, von Windows-Firewall aufgrund der willkürlichen Wahl des Netzwerkports durch RPC blockiert.

Zahlreiche Anwendungen und Komponenten schlagen fehl, wenn RPC nicht über das Netzwerk kommunizieren kann. Hierzu zählen folgende Beispiele:

  • Datei- und Druckerfreigabe

  • Remoteverwaltung

  • WMI-Remotekonfiguration (Windows Management Instrumentation)

  • Skripts für die Verwaltung von Remoteclients und -servern

RPC öffnet einen oder mehrere Ports und stellt auf diesen Ports mehrere verschiedene RPC-Server bereit. Auf einer normalen Arbeitsstation oder einem normalen Server werden standardmäßig etwa 60 RPC-Server ausgeführt, die für Clientanforderungen im Netzwerk empfangsbereit sind. Bei einigen Servern sind abhängig von der Konfiguration mehr Ports geöffnet. Diese offenen Ports bilden die RPC-Angriffsfläche.

Da in Windows XP so viele RPC-Server enthalten sind und die meisten von ihnen unter dem gleichen Prozessimage-Dateinamen (Svchost.exe) ausgeführt werden, verwendet Windows-Firewall für RPC-Server ein anderes Verfahren. Beim Öffnen eines Ports könnte ein Benutzer fordern, dass der Port für RPC verwendet werden soll. Windows-Firewall akzeptiert diese Forderung nur, wenn der Benutzer im Sicherheitskontext "Lokales System", "Netzwerkdienst" oder "Lokaler Service" ausgeführt wird. Windows-Firewall unterstützt ein Flag auf Profilebene, die ein Öffnen von RPC-Ports auch dann gestattet, wenn der Benutzer nicht in der Berechtigungsliste von Windows-Firewall enthalten ist.

Dieses Flag wird in der Registrierung im Profilschlüssel als REG _DWORD-Wert mit der Bezeichnung PrivilegedRpcServerPermission gespeichert. Die Werte entsprechen der NET_FWV 4_SERVICE_PERMISSION-Auflistung:

  • NET_ FWV 4_SERVICE_BLOCK = 0. RPC-Server dürfen Ports nur öffnen, wenn sie in der Berechtigungsliste von Windows-Firewall enthalten sind.

  • NET_ FWV 4_SERVICE_ALLOW_LOCAL = 1. Wenn ein RPC-Server nicht in der Berechtigungsliste von Windows-Firewall enthalten ist, wird der Port zwar geöffnet, doch es wird nur Netzwerkdatenverkehr vom lokalen Subnetz akzeptiert.

  • NET_ FWV 4_SERVICE_ALLOW_ALL = 2. Wenn ein RPC-Server nicht in der Berechtigungsliste von Windows-Firewall enthalten ist, wird der Port für den Netzwerkdatenverkehr aller Subnetze geöffnet.

Beachten Sie jedoch, dass die autorisierten Anwendungseinstellungen immer Vorrang vor der generischen RPC-Einstellung haben. Wenn die RPC-Einstellung zum Beispiel â?oallow local,â? ist, aber die ausführbare Datei des RPC-Servers auch in der Berechtigungsliste von Windows-Firewall enthalten und das lokale Subnetz nicht aktiviert ist, wird der Port des RPC-Servers für alle Subnetze geöffnet.

Geschützter Betriebsmodus

Windows-Firewall kann so konfiguriert werden, dass während der normalen Verwendung unaufgefordert eingehender Datenverkehr zugelassen wird. Dies erfolgt normalerweise aufgrund der Notwendigkeit, wichtige Vorgänge, wie etwa die Datei- und Druckerfreigabe, zu ermöglichen. Wenn in einem oder mehreren der empfangenden Windows-Dienste ein Sicherheitsproblem erkannt wird, kann es für den Computer erforderlich sein, in einen reinen Client-Modus zu wechseln, den Geschützten Modus. Beim Wechseln in diesen reinen Client-Modus wird Windows-Firewall so konfiguriert, dass unaufgefordert eingehender Datenverkehr verhindert wird, ohne dass der Firewall neu konfiguriert werden muss. Für diese Konfiguration muss die Option Geschützter Modus gewählt werden (siehe Abbildung 1).

In diesem Modus werden alle statischen Ports geschlossen. API-Aufrufe, einen statischen Port zu öffnen, werden zugelassen und die Konfiguration wird gespeichert. Sie wird jedoch erst dann übernommen, wenn der Betriebsmodus von Windows-Firewall zurück in den Normalbetrieb wechselt. Alle Empfangsanforderungen von Anwendungen werden ebenfalls ignoriert.

Beachten Sie, dass Viren, Würmer und Angreifer nach Diensten suchen, deren Schwächen ausgenutzt werden können. In diesem Betriebsmodus verhindert Windows-Firewall, dass diese Art von Angriffen erfolgreich verläuft. Der Computer kann keine eingehenden Anforderungen aus dem Netzwerk empfangen. Ausgehende Verbindungen sind dagegen erfolgreich.

Implikationen für den Entwickler

pfeilrechts Einführung
pfeilrechts Erhöhter Netzwerkschutz
pfeilrechts Neuer Speicherschutz
pfeilrechts Verbesserte E-Mail-Sicherheit
pfeilrechts Erweiterte Sicherheit beim Browsen
pfeilrechts Zusammenfassung


Microsoft führt eine Onlineumfrage durch, um Ihre Meinung zur MSDN-Website zu erfahren. Wenn Sie sich zur Teilnahme entscheiden, wird Ihnen die Onlineumfrage angezeigt, sobald Sie die MSDN-Website verlassen.

Möchten Sie an der Umfrage teilnehmen?
Anzeigen:
© 2015 Microsoft