Anzeige

Am Puls von Microsoft

Erweiterte Windows-Firewall von Windows 7 und Vista

xedoc

treuer Stammgast
Kleiner Hinweis: Dieses Tutorial setzt im unteren Bereich Grundkenntnisse in Netzwerktechnik voraus, allerdings nur für den komplizierten Weg. Der normale Weg ist auch ohne solche Kenntnisse machbar.

Standardmäßig ist die Vista und Windows 7 Firewall so eingestellt wie die von XP. Sie blockt ungewünschten Netzwerkverkehr von außen, lässt allerdings alles von eurem Rechner nach außen kommunizieren ohne es zu prüfen.

Der ein oder andere (die eine oder andere auch ;) ) möchte eventuell diese Sachen, aus welchen Gründen auch immer etwas genauer regulieren. Genau dies funktioniert ab Vista mit der integrierten Firewall. Die erweiterte Firewall ist sowohl und Vista als auch unter Windows 7 jeweils ab HomePremium vorhanden. Ich versuche euch einen kleinen Überblick dazu zu geben.

Ihr kennt bestimmt die Ansicht der Firewall unter der Systemsteuerung (siehe Bilder):


1.png

2.png

3.png

4.png

Jetzt wo Ihr wisst wie man diese Ansicht aufruft. Vergesst sie wieder, die werden wir nie mehr benötigen.

Wir müssen die „Ansicht für Erwachsene“ verwenden, auch „Windows-Firewall mit erweiterter Sicherheit“ genannt.

Gebt in der Suchleiste im Startmenü „wf.msc“ (ohne Anführungszeichen) ein und drückt „Enter“.


5.png

6.png

Es erscheint das Fenster „Windows-Firewall mit erweiterter Sicherheit“. Hier ist wichtig welches Profil aktiv ist.

Ein kurzer Exkurs zu den Profilen:

Es gibt unzählige Netzwerkregeln für die Firewall, manchmal sind diese aber nicht für den jeweiligen Standort geeignet. Je nach Standort können diese automatisch aktiviert werden.


Es gibt 3 Profile:

  • Domäne
    Dieses Profil wird für uns nicht zutreffen. Es ist aktiv wenn euer Rechner sich in einer Domäne befindet.​
  • Öffentlich
    Dieses Profil verwendet Ihr, wenn Ihr euch zum Beispiel an einen AcessPoint im Café/Stammkneipe verbindet. Es kann auch eine Modemverbindung oder die Internetverbindung sein.​
  • Privat
    Dieses Profil wird bei euch mit hoher Wahrscheinlichkeit aktiv sein. Es ist im privaten Netzwerk Standard (Hier wird z.B. der Netzwerkzugriff auf Freigaben zugelassen)​

Es ist wichtig, zu wissen welches Profil aktiv ist. Denn für genau dieses müssen wir auch die Einstellungen festlegen (man die Regeln auch für andere Profile gleich miterstellen, dazu später mehr).

Bei unserem Beispiel ist das private Profil aktiv. Macht jetzt einen Rechtsklick auf „Windows-Firewall mit erweiterter Sicherheit“ (siehe Bild).

7.png

Klickt nun auf „Eigenschaften“

8.png

Nun geht ein Fenster auf (Überblick siehe weiter unten). Geht hier auf den Reiter für das aktive Profile (siehe Bild).

9.png

Die Einstellungen werden hier also für das Profil „Privat“ getätigt. Es können für jedes Profile eigene Einstellungen getätigt werden. Hier ein kurzer Überblick:

10.png


Erklärung (Standardwerte sind fett markiert):

  1. = Firewallstatus (Ein (Standard) / Aus)
    Hier kann die Firewall für das Profil ein oder ausgeschaltet werden, das werdet Ihr noch öfter brauchen.​
  2. = Eingehende Verbindungen (Blockieren (Standard) / Zulassen)
    Hier sollten wir nichts dran einstellen, zur Erklärung. Dies ist auch das Verhalten wie es unter XP Standard ist. Eingehende Verbindungen, die wir nicht angefordert haben werden geblockt. Es muss für Serverdienste nicht(!) auf Zulassen gestellt werden. Dafür sind die Regeln da.​
  3. = Ausgehende Verbindungen (Blockieren / Zulassen (Standard) )
    Genau hier wollen wir ansetzten. Wählt jetzt einfach Blocken und klickt auf „Übernehmen“. Startet jetzt den Browser eurer Wahl (Chrome wird leider auch später nicht gehen, dazu aber dann mehr).​

Ich verwende für dieses Beispiel den Internet Explorer, Firefox und Opera tun es natürlich auch.

Wenn Ihr jetzt eine Internetadresse ansurft, dann seht Ihr ein ähnliches Bild wie ich.


11.png


Dies ist auch ganz normal, wir haben festgelegt, dass wir ausgehenden Verkehr blocken. Da wir keine Regel für unseren Browser erstellt haben sagt Windows zu unserem Browser: „Du kommst hier nicht durch“.

Ich finde, der Rechner ist jetzt ein wenig zu sicher. Surfen möchte ich schon können.

Wollen wir also Windows beibringen, dass der Internet Explorer auch raus darf. Klickt dazu auf „Ausgehende Regeln“ (im linken Bereich). Lasst euch nicht von der Anzahl der Regeln erschlagen. Diese sind von Windows bereits vorgefertigt. Grüne Regeln sind aktiv, graue sind zwar vorhanden aber nicht aktiv, rote blockieren.

Windows geht nun, wenn ein Programm nach draußen möchte diese Regeln von oben nach unten durch. Nicht aktive Regeln übergeht er dabei. Sollte eine Regel zutreffen, führt er diese durch und schaut sich die anderen Regeln nicht mehr an. Das wäre auch nicht sinnvoll, er hat das Programm ja schon rausgelassen. Die auszuführende Regel kann Programme zulassen oder Blockieren.

Wir möchten jetzt eine Regel erstellen, die zulässt das der Internet Explorer (oder Firefox, Opera, whatever) nach draußen darf.

Kurzer technischer Einwurf für jemanden der sich mit Paketfiltern auskennt: Die Windows-Firewall ist eine SPI-Firewall. Wir müssen also nur eine ausgehende Regel erstellen.

12.png

13.png

Ab hier gibt es 2 Möglichkeiten. Die eine ist für Anwender, die sich nicht mit Ports und probieren rumschlagen möchten, die andere für „Profis“. Ich werde beide erklären.

14.png

Zuerst die Rundumsorglosvariante:

Geht auf „Programm“ und klickt auf „Weiter“:

15.png

Wir erhalten folgenden Bildschirm:

16.png

Hier ist es wenig sinnvoll auf „Alle Programme“ zu gehen. Da hätten wir auch die Einstellung von oben („Ausgehende Verbindungen blockieren“) nicht einstellen müssen.

Klickt auf „Durchsuchen“ (siehe Bild) und wählt im Öffnen-Fenster die Anwendung aus, die ins Internet darf.

17.png

In diesem Fall nehmen wir als Beispiel den Internet Explorer:

18.png

Klickt dann auf „Weiter“ wenn Ihr das Programm ausgewählt habt:

19.png

Wir sollten hier auf „Verbindung zulassen“ gehen. Man kann aber auch einzelne Programm vom Internet komplett ausschließen, das ist sinnvoll wenn ihr den ausgehenden Verkehr auf „Zulassen“ gestellt habt und nur einzelne Programme blockieren möchtet, Klickt danach auf „Weiter“:

20.png

Im nächsten Fenster können wir auswählen in welchen Profilen (siehe Oben) die Regeln aktiv sein sollen. Wir können hier die Einstellungen so belassen und auf „Weiter“ klicken:

21.png

Jetzt sollten wir einen sinnvollen Namen eingeben, damit wir die Regel später auch wiederfinden können. Eine Beschreibung kann eingegeben werden, für den Internet Explorer brauchen wir das nicht. Bei anderen Programmen kann das aber Sinn machen, vor allem wenn auch noch andere Nutzer die Regeln bearbeiten müssen.

22.png

Jetzt sehen wir, dass die Regel unter „Ausgehende Regeln“ angelegt wurde und aktiv ist.

23.png

Wenn wir jetzt den Interner Explorer starten und zu einer Seite surfen wollen:

24.png


Hurra, es geht.


Für alle die nichts von Ports und Protokollen hören möchten, hier kann runtergescrollt werden ;)

Könnte benötgit werden:
Portliste (Portliste - Alle bekannten TCP und UDP Ports von Trojanern und Programmen - a² Knowledgebase)

Jetzt der Weg für alle, die die Programme genauer kontrollieren möchten.

Bis zur Programmauswahl ist alles noch gleich. Danach fängt es an interessant zu werden:
(Ich kann dieses Tutorial leider nicht bis auf Netzwerkgrundlagen herunterbrechen, daher gehe ich davon aus das Ihr ab hier Kenntnisse in Protokollen und Ports mitbringt).


25.png



  1. Hier können wir einstellen, auf welches Protokoll die Regel angewendet wird. Es kann immer nur 1 Protokoll pro Regel eingestellt werden. TCP für http.
  2. Hier kann man die lokalen Ports eingeben. Wie Ihr wisst: Server auf der anderen Seite Port 80, lokaler Port => 1024. Können wir allerdings nicht so eingeben, deshalb muss es für den Internet Explorer auf „Alle Ports stehen“
  3. Remoteports, also die Ports die wir auf dem entfernten Server erreichen möchten. Fürs Internet wären: 80, 443, 20, 21 ganz gut (http/s, ftp).


Im Abschnitt „Bereich“ könnt Ihr die Regel auf einzelne IP-Adressen festnageln (FQDNs kann man hier leider nicht eintragen). In unserem Fall nicht sinnvoll.

26.png

Die letzten 3 Bereiche sind equivalent zur der normalen Programmregel oben.


Hilfeabteilung:

Ahhh, nichts geht mehr:

Ihr habt eine tolle Regel erstellt die alles blockt und könnt die Regel nicht mehr finden?
Es lassen sich die Standardeinstellungen wiederherstellen (alle Regeln von Euch sind dann weg).

Klickt wieder auf „Windows-Firewall mit erweiterter Sicherheit“ mit rechts und wählt „Standardrichtlinie wiederherstellen“.

27.png

Windows fragt noch einmal nach, wenn hier bestätigt wird sind die Regeln wie nach eine Neuinstallation.

28.png

Welches Programm will wohin?

Nehmt tcpview (TCPView for Windows)


Allgemein:

Ihr könnt natürlich zu Testzwecken die Firewall auch kurz ausschalten oder die ausgehenden Verbindungen zulassen.

Warum geht das nicht mit Chrome:

Chrome installiert sich ins eigene Profilverzeichnis, leider mag das die Windows-Firewall nicht. Egal welches Programm und welche Regel: Es wird geblockt.
 
Zuletzt bearbeitet von einem Moderator:
Anzeige
Oben