Wenn Sie Verbindung zulassen, wenn sie sicher ist für eine Firewallregel auswählen, geben Sie an, dass die Netzwerkpakete durch die IPsec (Internet Protocol Security, Internetprotokollsicherheit) geschützt werden müssen; andernfalls entspricht das Paket nicht der Regel. Wenn Sie neben dieser Option auf Anpassen klicken, können Sie Optionen konfigurieren, die es Ihnen ermöglichen, die Art des erforderlichen IPsec-Schutzes festzulegen.
Sie müssen eine der ersten drei Optionen aktivieren, die im Folgenden beschrieben werden. Die letzte Option, Regeln zum Blockieren außer Kraft setzen kann unabhängig von den anderen Optionen aktiviert werden.
 | So öffnen Sie dieses Dialogfeld |
Wenn Sie mit dem Assistenten für neue Firewallregeln eine Firewallregel erstellen, klicken Sie auf der Seite Aktion auf Verbindung zulassen, wenn sie sicher ist, und klicken Sie dann auf Anpassen.
Wenn Sie eine bestehende Firewallregeln ändern, wählen Sie auf der Registerkarte Allgemein die Option Verbindung zulassen, wenn sie sicher ist aus, und klicken Sie dann auf Anpassen.
Verbindung zulassen, wenn sie authentifiziert und integritätsgeschützt ist
Dies ist die Standardoption. Mit dieser Option legen Sie fest, dass alle übereinstimmenden Netzwerkpakete sowohl die IPsec-Authentifizierung als auch Integritätsalgorithmen gemäß Definition in einer separaten Verbindungssicherheitsregel verwenden. Wenn ein Netzwerkpaket, das alle anderen Kriterien erfüllt, weder authentifiziert, noch mit einem Integritätsalgorithmus geschützt wird, entspricht es nicht der Regel und wird daher blockiert.
 | Hinweis |
Diese Einstellung wird unterstützt, wenn sie auf Computern unter Windows Vista oder höheren Versionen von Windows angewendet wird. |
Verschlüsselung der Verbindungen erforderlich
Mit dieser Option legen Sie fest, dass alle übereinstimmenden Netzwerkpakete die Datenverschlüsselung gemäß Definition in einer separaten Verbindungssicherheitsregel verwenden. Wenn ein Netzwerkpaket, das alle anderen Kriterien erfüllt, nicht verschlüsselt ist, entspricht es nicht dieser Regel und wird daher blockiert. Wenn diese Option aktiviert ist, verwendet Windows-Firewall mit erweiterten Sicherheitseinstellungen die Einstellungen im Dialogfeld Datenschutzeinstellungen anpassen.
Dynamisches Verhandeln der Verschlüsselung für Computer zulassen
Diese Option ist nur für eingehende Regeln verfügbar. Verwenden Sie diese Option, um die Netzwerkverbindung nach erfolgreicher Authentifizierung zuzulassen und unverschlüsselten Netzwerkverkehr zu senden und zu empfangen, während die Verschlüsselungsalgorithmen ausgehandelt werden.
 | Sicherheit Hinweis |
Während die Verschlüsselung ausgehandelt wird, wird der Netzwerkverkehr als Klartext gesendet. Verwenden Sie diese Option nicht, wenn der Netzwerkverkehr, der in diesem Zeitraum über die Verbindung gesendet wird, zu sensibel ist, um als Klartext gesendet werden. |
Verwendung von Nullkapselung für die Verbindung zulassen
Mit dieser Option legen Sie fest, dass alle übereinstimmenden Netzwerkpakete die IPsec-Authentifizierung verwenden, Integritäts- oder Verschlüsselungsschutz jedoch nicht erforderlich ist. Es empfiehlt sich, diese Option nur dann zu verwenden, wenn Sie Netzwerkhardware oder -software verwenden, die mit den Integritätsprotokollen Encapsulating Security Payload (ESP) oder Authentication Header (AH) nicht kompatibel ist.
| Hinweis |
Diese Einstellung wird unterstützt, wenn sie auf Computern unter Windows 7 oder Windows Server 2008 R2 angewendet wird. Sie gilt nicht für Computer, auf denen frühere Versionen von Windows ausgeführt werden. |
Regeln zum Blockieren außer Kraft setzen
Mit dieser Option lassen Sie alle Netzwerkpakete zu, die mit dieser Firewallregel übereinstimmen, und setzen alle Firewallregeln außer Kraft, die sie blockieren würden. Diese Option wird auch als authentifizierte Umgehung bezeichnet. Normalerweise haben Regeln, die Verbindungen ausdrücklich blockieren, Vorrang vor Regeln, die Verbindungen zulassen. Wenn Sie diese Option verwenden, wird die Verbindung auch dann zugelassen, wenn sie von einer anderen Regel blockiert würde. Im Prinzip geben Sie hiermit an, dass Netzwerkverkehr, der dieser Regel entspricht, zugelassen wird, da er als von einem autorisierten und vertrauenswürdigen Benutzer oder Computer stammend authentifiziert wurde.
Diese Option wird üblicherweise verwendet, um die uneingeschränkte Ausführung für vertrauenswürdige Programme, z. B. Programme, die das Netzwerk auf Sicherheitsrisiken überprüfen, und andere Netzwerktools, zu ermöglichen. Obwohl eine typische Firewallkonfiguration den Netzwerkverkehr von diesen Geräten blockiert und blockieren sollte, können Sie eine Regel erstellen, die autorisierte Computer identifiziert. Mit der Option Regeln zum Blockieren außer Kraft setzen mit nur der Datenverkehr von diesen autorisierten Computern zugelassen. Wenn Sie diese Option nicht verwenden, haben blockierende Firewallregeln mit denselben Regelkriterien Vorrang, sodass die Verbindungen blockiert werden.
Wenn Sie diese Option aktivieren, müssen Sie auf der Seite Computer des Assistenten für neue Firewallregeln oder auf der Registerkarte Computer des Dialogfelds Eigenschaften von Firewallregel mindestens einen Computer oder eine Computergruppe für die Autorisierung angeben.
| Hinweis |
Wenn Sie für den Firewallbetriebsstatus im Dialogfeld Eigenschaften von Windows-Firewall mit erweiterter Sicherheit die Einstellung Alle Verbindungen blockieren konfigurieren, wird der gesamte Netzwerkverkehr auch dann blockiert, wenn diese Option aktiviert ist. |