Mit diesem Dialogfeld können Sie die grundlegenden Firewalleigenschaften für die verschiedenen Netzwerkprofile konfigurieren. Mit der Registerkarte IPsec-Einstellungen können Sie außerdem die Standardwerte für verschiedene IPsec-Konfigurationsoptionen konfigurieren.
So öffnen Sie dieses Dialogfeld |
Führen Sie im MMC-Snap-In Windows-Firewall mit erweiterten Sicherheitseinstellungen einen der folgenden Schritte aus:
- Klicken Sie im Navigationsbereich mit der rechten Maustaste auf Windows-Firewall mit erweiterter Sicherheit, und klicken Sie dann auf Eigenschaften.
- Wählen Sie im Navigationsbereich den obersten Knoten aus, und klicken Sie dann im mittleren Bereich im Abschnitt Übersicht auf Windows-Firewalleigenschaften.
- Wählen Sie im Navigationsbereich den obersten Knoten aus, und klicken Sie dann im Aktionsbereich auf Eigenschaften.
- Klicken Sie im Navigationsbereich mit der rechten Maustaste auf Windows-Firewall mit erweiterter Sicherheit, und klicken Sie dann auf Eigenschaften.
Registerkarten "Domänenprofil", "Privates Profil" und "Öffentliches Profil"
Sie können jedes Profil konfigurieren, auch solche, die zurzeit nicht angewendet werden. Falls Sie die Profileinstellungen nicht ändern, werden die jeweiligen Standardwerte angewendet, sobald das Profil von der Windows-Firewall mit erweiterten Sicherheitseinstellungen verwendet wird. Es empfiehlt sich, die Windows-Firewall mit erweiterten Sicherheitseinstellungen für jedes der drei Profile zu aktivieren.
Auf jeder Profilregisterkarte können die folgenden Einstellungen konfiguriert werden:
Status
Durch die Statusauswahl wird festgelegt, ob die Profileinstellungen von der Windows-Firewall mit erweiterten Sicherheitseinstellungen verwendet werden und wie eingehende und ausgehende Netzwerkmeldungen vom Profil gehandhabt werden.
Firewallstatus
Wählen Sie Ein (empfohlen) aus, damit die Windows-Firewall die Einstellungen für dieses Profil verwendet, um den Netzwerkverkehr zu filtern. Wenn Sie Aus auswählen, verwendet die Windows-Firewall keine der Firewall- oder Verbindungssicherheitsregeln für dieses Profil.
Wichtig | |
Wenn Sie die Windows-Firewall mithilfe einer Gruppenrichtlinie deaktivieren oder für die Windows-Firewall eine Regel konfigurieren, die den gesamten eingehenden Netzwerkverkehr zulässt, wird der Benutzer vom Windows-Sicherheitscenter benachrichtigt, dass Sicherheitsprobleme aufgetreten sind, die der Benutzer beheben sollte. Wenn der Benutzer versucht, das gemeldete Problem zu beheben, indem er im Windows-Sicherheitscenter auf Aktivieren klickt, wird ein Fehler angezeigt, da die Windows-Firewall nicht über das Windows-Sicherheitscenter aktiviert werden kann. Dies kann zu unerwünschten Supportanfragen beim Helpdesk führen. Wenn Sie die Sicherheit der Computer in Ihrer Organisation verwalten und vermeiden möchten, dass das Windows-Sicherheitscenter die Benutzer über Sicherheitsprobleme informiert, können Sie das Windows-Sicherheitscenter deaktivieren. Verwenden Sie hierfür die Gruppenrichtlinieneinstellung Sicherheitscenter aktivieren (nur Domänencomputer) unter Richtlinie für "Lokaler Computer\Konfiguration\Administrative Vorlagen\Windows-Komponenten\Sicherheitscenter. |
Eingehende Verbindungen
Diese Einstellung bestimmt das Verhalten für eingehende Verbindungen, die keiner eingehenden Firewallregel entsprechen. Das Standardverhalten ist, Verbindungen zu blockieren, sofern sie nicht durch Firewallregeln zugelassen werden. Sie können das folgende Verhalten für eingehende Verbindungen auswählen.
Auswahl | Beschreibung |
---|---|
Blocken (Standard) |
Blockiert alle Verbindungen, die nicht ausdrücklich durch Firewallregeln zugelassen sind. |
Alle Verbindungen blocken |
Blockiert alle Verbindungen unabhängig davon, ob sie ausdrücklich durch Firewallregeln zugelassen sind. |
Zulassen |
Lässt alle Verbindungen zu, die nicht ausdrücklich durch Firewallregeln blockiert werden. |
Ausgehende Verbindungen
Diese Einstellung bestimmt das Verhalten für ausgehende Verbindungen, die keiner ausgehenden Firewallregel entsprechen. Das Standardverhalten ist, Verbindungen zuzulassen, sofern sie nicht durch Firewallregeln blockiert werden. Sie können das folgende Verhalten für ausgehende Verbindungen auswählen:
Auswahl | Beschreibung |
---|---|
Blocken |
Blockiert alle Verbindungen, die nicht ausdrücklich durch Firewallregeln zugelassen werden. |
Zulassen (Standard) |
Lässt die Verbindung zu, sofern sie nicht ausdrücklich durch eine Firewallregel blockiert wird. |
Vorsicht | |
Wenn Sie für Ausgehende Verbindungen die Option Blockieren auswählen und dann die Firewallrichtlinie mithilfe eines Gruppenrichtlinienobjekts bereitstellen, können Computer, die das Gruppenrichtlinienobjekt erhalten, keine nachfolgenden Gruppenrichtlinienaktualisierungen empfangen, es sei denn, Sie erstellen zuvor eine ausgehende Regel, die das Funktionieren der Gruppenrichtlinie wieder ermöglicht, und stellen diese Regel bereit. Vordefinierte Regeln für das Kernnetzwerk schließen ausgehende Regeln ein, die die Funktion von Gruppenrichtlinien aktivieren. Stellen Sie sicher, dass diese ausgehenden Regeln aktiv sind, und testen Sie Firewallprofile gründlich, bevor Sie die Richtlinie bereitstellen. |
Geschützte Netzwerkverbindungen
Mit dieser Einstellung können Sie die Netzwerkadapter angeben, die von der Konfiguration dieses Profils abhängen. Klicken Sie auf Anpassen, um das Dialogfeld Geschützte Netzwerkverbindungen für "Firewallprofil" anzuzeigen.
Einstellungen
Mit diesen Einstellungen können Sie Einstellungen für Benachrichtigungen, Unicastantworten auf Multicast- oder Broadcastdatenverkehr und die Regelzusammenführung für Gruppenrichtlinien konfigurieren. Klicken Sie auf Anpassen, um das Dialogfeld Einstellungen für "Firewallprofil" anpassen anzuzeigen.
Protokollierung
Mit diesen Einstellungen können Sie konfigurieren, wie Ereignisse von der Windows-Firewall mit erweiterten Sicherheitseinstellungen protokolliert werden, wie groß die Protokolldatei werden kann und wo sie gespeichert wird. Klicken Sie auf Anpassen, um das Dialogfeld Protokollierungseinstellungen für "Firewallprofil" anpassen anzuzeigen.
Registerkarte "IPsec-Einstellungen"
Mit dieser Registerkarte können Sie die standardmäßigen und systemweiten IPsec-Einstellungen konfigurieren.
IPsec-Standardeinstellungen
Mit diesen Einstellungen können Sie den Schlüsselaustausch, den Schutz der Daten und die von IPsec verwendeten Authentifizierungsmethoden konfigurieren, um zum Schutz des Netzwerkverkehrs beizutragen. Klicken Sie auf Anpassen, um das Dialogfeld IPsec-Einstellungen anpassen anzuzeigen.
IPsec-Ausnahmen
Mit dieser Option können Sie festlegen, ob Netzwerkverkehr, der ICMP-Meldungen (Internet Control Message-Protokoll) enthält, durch IPsec geschützt wird.
ICMP wird üblicherweise von Tools und Verfahren zur Problembehandlung im Netzwerk verwendet. Viele Netzwerkadministratoren nehmen ICMP-Pakete aus dem IPsec-Schutz aus, um sicherzustellen, dass diese Meldungen nicht blockiert werden.
Wichtig | |
Mit dieser Einstellung wird ICMP ausschließlich aus dem IPsec-Teil der Windows-Firewall mit erweiterten Sicherheitseinstellungen ausgenommen. Um sicherzustellen, dass ICMP-Pakete die Windows-Firewall passieren dürfen, müssen Sie eine eingehende Regel erstellen und aktivieren. |
Hinweis | |
Wenn Sie die Datei- und Druckerfreigabe im Netzwerk- und Freigabecenter aktivieren, werden Firewallregeln, die gängige ICMP-Pakettypen zulassen, automatisch durch die Windows-Firewall mit erweiterten Sicherheitseinstellungen aktiviert. Hierdurch werden jedoch auch Netzwerkfeatures zugelassen, die nicht mit ICMP in Zusammenhang stehen. Wenn Sie ausschließlich ICMP ermöglichen möchten, müssen Sie eine Regel für die Windows-Firewall erstellen, die eingehende ICMP-Netzwerkpakete zulässt. |
IPsec-Tunnelautorisierung
Verwenden Sie diese Option, wenn Sie eine Verbindungssicherheitsregel eingerichtet haben, durch die eine IPsec-Tunnelmodusverbindung von einem Remotecomputer zum lokalen Computer erstellt wird, und Sie nun die Benutzer und Computer angeben möchten, denen der tunnelbasierte Zugriff auf den lokalen Computer erlaubt ist oder verweigert wird. Wählen Sie Erweitert aus, und klicken Sie dann auf Anpassen, um das Dialogfeld IPsec-Tunnelautorisierungen anpassen anzuzeigen.
Die hier angegebenen Autorisierungen gelten nur für diejenigen Tunnelregeln, für die die Option Autorisierung anwenden im Dialogfeld IPsec-Tunnelingeinstellungen anpassen ausgewählt wurde.