Windows-Firewall mit erweiterter Sicherheit

Domänenprofil

Status

Firewallstatus

Wählen Sie Ein (empfohlen) aus, damit die Windows-Firewall die Einstellungen für dieses Profil verwendet, um den Netzwerkverkehr zu filtern. Wenn Sie Aus auswählen, verwendet die Windows-Firewall keine der Firewall- oder Verbindungssicherheitsregeln für dieses Profil.

Wichtig:
Wenn Sie die Windows-Firewall mithilfe einer Gruppenrichtlinie deaktivieren oder für die Windows-Firewall eine Regel konfigurieren, die den gesamten eingehenden Netzwerkverkehr zulässt, wird der Benutzer vom Windows-Sicherheitscenter benachrichtigt, dass Sicherheitsprobleme aufgetreten sind, die der Benutzer beheben sollte. Wenn der Benutzer versucht, das gemeldete Problem zu beheben, indem er im Windows-Sicherheitscenter auf Aktivieren klickt, wird ein Fehler angezeigt, da die Windows-Firewall nicht über das Windows-Sicherheitscenter aktiviert werden kann. Dies kann zu unerwünschten Supportanfragen beim Helpdesk führen. Wenn Sie die Sicherheit der Computer in Ihrer Organisation verwalten und vermeiden möchten, dass das Windows-Sicherheitscenter die Benutzer über Sicherheitsprobleme informiert, können Sie das Windows-Sicherheitscenter deaktivieren. Verwenden Sie hierfür die Gruppenrichtlinieneinstellung Sicherheitscenter aktivieren (nur Domänencomputer) unter Richtlinie für "Lokaler Computer\Konfiguration\Administrative Vorlagen\Windows-Komponenten\Sicherheitscenter.


Eingehende Verbindungen

Diese Einstellung bestimmt das Verhalten für eingehende Verbindungen, die keiner eingehenden Firewallregel entsprechen. Das Standardverhalten ist, Verbindungen zu blockieren, sofern sie nicht durch Firewallregeln zugelassen werden. Sie können das folgende Verhalten für eingehende Verbindungen auswählen.

Auswahl Beschreibung

  • Blocken (Standard)
    • Blockiert alle Verbindungen, die nicht ausdrücklich durch Firewallregeln zugelassen sind.
  • Alle Verbindungen blocken
    • Blockiert alle Verbindungen unabhängig davon, ob sie ausdrücklich durch Firewallregeln zugelassen sind.
  •  Zulassen
    • Lässt alle Verbindungen zu, die nicht ausdrücklich durch Firewallregeln blockiert werden.

Ausgehende Verbindungen

Diese Einstellung bestimmt das Verhalten für ausgehende Verbindungen, die keiner ausgehenden Firewallregel entsprechen. Das Standardverhalten ist, Verbindungen zuzulassen, sofern sie nicht durch Firewallregeln blockiert werden. Sie können das folgende Verhalten für ausgehende Verbindungen auswählen:

Auswahl Beschreibung

  • Blocken
    • Blockiert alle Verbindungen, die nicht ausdrücklich durch Firewallregeln zugelassen werden.
  • Zulassen (Standard)
    • Lässt die Verbindung zu, sofern sie nicht ausdrücklich durch eine Firewallregel blockiert wird.

Vorsicht:
Wenn Sie für Ausgehende Verbindungen die Option Blockieren auswählen und dann die Firewallrichtlinie mithilfe eines Gruppenrichtlinienobjekts bereitstellen, können Computer, die das Gruppenrichtlinienobjekt erhalten, keine nachfolgenden Gruppenrichtlinienaktualisierungen empfangen, es sei denn, Sie erstellen zuvor eine ausgehende Regel, die das Funktionieren der Gruppenrichtlinie wieder ermöglicht, und stellen diese Regel bereit. Vordefinierte Regeln für das Kernnetzwerk schließen ausgehende Regeln ein, die die Funktion von Gruppenrichtlinien aktivieren. Stellen Sie sicher, dass diese ausgehenden Regeln aktiv sind, und testen Sie Firewallprofile gründlich, bevor Sie die Richtlinie bereitstellen.


Geschützte Netzwerkverbindungen

Mit dieser Einstellung können Sie die Netzwerkadapter angeben, die von der Konfiguration dieses Profils abhängen. Klicken Sie auf Anpassen, um das Dialogfeld Geschützte Netzwerkverbindungen für "Firewallprofil" anzuzeigen.


Einstellungen

Benachrichtigung anzeigen, wenn ein Programm blockiert wird

Aktivieren Sie diese Option, damit die Windows-Firewall mit erweiterten Sicherheitseinstellungen eine Benachrichtigung für den Benutzer anzeigt, wenn eingehende Verbindungen für ein Programm blockiert werden. Die Benachrichtigung wird angezeigt, wenn alle der folgenden Bedingungen zutreffen:

Diese Option ist aktiviert.

  • Es gibt keine bestehende Blockierungs- oder Zulassungsregel für dieses Programm. Falls eine Blockierungsregel vorhanden ist, wird das Programm blockiert, ohne dass eine Benachrichtigung für den Benutzer angezeigt wird.
  • Das Programm wird durch das Standardverhalten der Windows-Firewall blockiert.

Dem Benutzer wird die Möglichkeit gegeben, die Blockierung für das Programm aufzuheben, sofern der Benutzer über Netzwerkoperator- oder Administratorberechtigungen verfügt. Wenn Sie die Option aktivieren, um die Blockierung für das Programm aufzuheben, wird für das blockierte Programm automatisch eine eingehende Programmregel erstellt.


Unicastantwort auf Multicast- oder Broadcastanforderungen zulassen

Diese Option ist nützlich, wenn Sie steuern müssen, ob dieser Computer Unicastantworten auf ausgehende Multicast- oder Broadcastnachrichten empfangen darf. Wenn Sie diese Einstellung aktivieren und der Computer Multicast- oder Broadcastnachrichten an andere Computer sendet, wartet die Windows-Firewall mit erweiterten Sicherheitseinstellungen bis zu 4 Sekunden auf Unicastantworten von den anderen Computern und blockiert alle späteren Antworten. Wenn Sie diese Einstellung deaktivieren und der Computer Multicast- oder Broadcastnachrichten an andere Computer sendet, blockiert die Windows-Firewall mit erweiterten Sicherheitseinstellungen die Unicastantworten, die von den anderen Computern gesendet werden.


Lokale Firewallregeln zulassen

Aktivieren Sie diese Option, wenn Firewallregeln nicht nur über computerspezifische Gruppenrichtlinien angewendet werden sollen, sondern es Administratoren möglich sein soll, lokale Firewallregel auf diesem Computer zu erstellen und anzuwenden. Wenn Sie diese Option deaktivieren, können Administratoren zwar weiterhin Regeln erstellen, lokal definierte Regeln werden jedoch nicht angewendet. Diese Einstellung ist nur verfügbar, wenn Sie die Richtlinie über die Gruppenrichtlinie konfigurieren.


Lokale Verbindungssicherheitsregeln zulassen

Aktivieren Sie diese Option, wenn Verbindungssicherheitsregeln nicht nur über computerspezifische Gruppenrichtlinien angewendet werden sollen, sondern es Administratoren möglich sein soll, lokale Verbindungssicherheitsregeln auf diesem Computer zu erstellen und anzuwenden. Wenn Sie diese Option deaktivieren, können Administratoren zwar weiterhin Regeln erstellen, lokal definierte Regeln werden jedoch nicht angewendet. Diese Einstellung steht nur bei der Konfiguration der Richtlinie über Gruppenrichtlinien zur Verfügung.


Protokollierung

Name

Geben Sie den Pfad und Namen der Datei ein, in die Protokollinformationen der Windows-Firewall geschrieben werden sollen. Wenn Sie ein Gruppenrichtlinienobjekt für die Bereitstellung auf mehreren Computern konfigurieren, sollten Sie die verfügbaren Umgebungsvariablen, z. B. %windir%,, verwenden, um sicherzustellen, dass für jeden Computer im Netzwerk der richtige Speicherort angegeben wird.
Durch die Angabe eines Dateipfads wird die Protokollierung noch nicht gestartet. Sie müssen auch eines der folgenden Kontrollkästchen aktivieren, um Informationen zu verworfenen Paketen oder erfolgreichen Verbindungen zu protokollieren.

Wichtig:
Wenn Sie die Einstellung für einen Computer unter Windows Vista oder einer späteren Version von Windows konfigurieren und nicht den Standardaufenthaltsort angeben, müssen Sie sicherstellen, dass der Windows-Firewalldienst über die Berechtigung zum Schreiben an diesem Speicherort verfügt.

So gewähren Sie dem Windows-Firewalldienst Schreibberechtigungen für den Protokollordner:

  • Navigieren Sie zu dem Ordner, den Sie für die Protokolldatei angegeben haben, klicken Sie mit der rechten Maustaste darauf, und klicken Sie dann auf Eigenschaften.
  • Klicken Sie auf die Registerkarte Sicherheit, und klicken Sie dann auf Bearbeiten.
  • Klicken Sie auf Hinzufügen, geben Sie im Feld Geben Sie die zu verwendenden Objektnamen ein den Namen NT SERVICE\mpssvc ein, und klicken Sie dann auf OK.
  • Überprüfen Sie im Dialogfeld Berechtigungen, ob MpsSvc über Schreibzugriff verfügt, und klicken Sie dann auf OK.

Größenlimit

Geben Sie die maximale Größe für die Datei an. Der Wert muss zwischen 1 und 32.767 KB liegen.

Sobald die Datei die Maximalgröße erreicht hat, wird die Protokolldatei von der Windows-Firewall mit erweiterten Sicherheitseinstellungen geschlossen und umbenannt, indem am Ende des Dateinamens der Zusatz ".old" hinzugefügt wird. Anschließend wird eine neue Protokolldatei erstellt und verwendet, die den Namen der ursprünglichen Protokolldatei erhält. Es sind immer nur zwei Dateien gleichzeitig vorhanden. Wenn die zweite Datei die Maximalgröße erreicht hat, wird sie umbenannt, indem der Zusatz ".old" hinzugefügt wird. Die ursprüngliche OLD-Datei wird verworfen.


Verworfene Pakete protokollieren

Verwenden Sie diese Option, um zu protokollieren, wann eingehende Pakete aus beliebigem Grund von der Windows-Firewall mit erweiterten Sicherheitseinstellungen verworfen werden. Im Protokoll wird aufgezeichnet, warum und wann das Paket verworfen wurde. Suchen Sie in der Spalte Aktion des Protokolls nach Einträgen mit dem Wort DROP.


Erfolgreiche Verbindungen protokollieren

Verwenden Sie diese Option, um zu protokollieren, wann eingehende Pakete von der Windows-Firewall mit erweiterten Sicherheitseinstellungen zugelassen werden. Im Protokoll wird aufgezeichnet, warum und wann die Verbindung aufgebaut wurde. Suchen Sie in der Spalte Aktion des Protokolls nach Einträgen mit dem Wort ALLOW.


Privates Profil

Status

Firewallstatus

Wählen Sie Ein (empfohlen) aus, damit die Windows-Firewall die Einstellungen für dieses Profil verwendet, um den Netzwerkverkehr zu filtern. Wenn Sie Aus auswählen, verwendet die Windows-Firewall keine der Firewall- oder Verbindungssicherheitsregeln für dieses Profil.

Wichtig:
Wenn Sie die Windows-Firewall mithilfe einer Gruppenrichtlinie deaktivieren oder für die Windows-Firewall eine Regel konfigurieren, die den gesamten eingehenden Netzwerkverkehr zulässt, wird der Benutzer vom Windows-Sicherheitscenter benachrichtigt, dass Sicherheitsprobleme aufgetreten sind, die der Benutzer beheben sollte. Wenn der Benutzer versucht, das gemeldete Problem zu beheben, indem er im Windows-Sicherheitscenter auf Aktivieren klickt, wird ein Fehler angezeigt, da die Windows-Firewall nicht über das Windows-Sicherheitscenter aktiviert werden kann. Dies kann zu unerwünschten Supportanfragen beim Helpdesk führen. Wenn Sie die Sicherheit der Computer in Ihrer Organisation verwalten und vermeiden möchten, dass das Windows-Sicherheitscenter die Benutzer über Sicherheitsprobleme informiert, können Sie das Windows-Sicherheitscenter deaktivieren. Verwenden Sie hierfür die Gruppenrichtlinieneinstellung Sicherheitscenter aktivieren (nur Domänencomputer) unter Richtlinie für "Lokaler Computer\Konfiguration\Administrative Vorlagen\Windows-Komponenten\Sicherheitscenter.


Eingehende Verbindungen

Diese Einstellung bestimmt das Verhalten für eingehende Verbindungen, die keiner eingehenden Firewallregel entsprechen. Das Standardverhalten ist, Verbindungen zu blockieren, sofern sie nicht durch Firewallregeln zugelassen werden. Sie können das folgende Verhalten für eingehende Verbindungen auswählen.

Auswahl Beschreibung

  • Blocken (Standard)
    • Blockiert alle Verbindungen, die nicht ausdrücklich durch Firewallregeln zugelassen sind.
  • Alle Verbindungen blocken
    • Blockiert alle Verbindungen unabhängig davon, ob sie ausdrücklich durch Firewallregeln zugelassen sind.
  • Zulassen
    • Lässt alle Verbindungen zu, die nicht ausdrücklich durch Firewallregeln blockiert werden.

Ausgehende Verbindungen

Diese Einstellung bestimmt das Verhalten für ausgehende Verbindungen, die keiner ausgehenden Firewallregel entsprechen. Das Standardverhalten ist, Verbindungen zuzulassen, sofern sie nicht durch Firewallregeln blockiert werden. Sie können das folgende Verhalten für ausgehende Verbindungen auswählen:

Auswahl Beschreibung

  • Blocken
    • Blockiert alle Verbindungen, die nicht ausdrücklich durch Firewallregeln zugelassen werden.
  • Zulassen (Standard)
    • Lässt die Verbindung zu, sofern sie nicht ausdrücklich durch eine Firewallregel blockiert wird.

Vorsicht:
Wenn Sie für Ausgehende Verbindungen die Option Blockieren auswählen und dann die Firewallrichtlinie mithilfe eines Gruppenrichtlinienobjekts bereitstellen, können Computer, die das Gruppenrichtlinienobjekt erhalten, keine nachfolgenden Gruppenrichtlinienaktualisierungen empfangen, es sei denn, Sie erstellen zuvor eine ausgehende Regel, die das Funktionieren der Gruppenrichtlinie wieder ermöglicht, und stellen diese Regel bereit. Vordefinierte Regeln für das Kernnetzwerk schließen ausgehende Regeln ein, die die Funktion von Gruppenrichtlinien aktivieren. Stellen Sie sicher, dass diese ausgehenden Regeln aktiv sind, und testen Sie Firewallprofile gründlich, bevor Sie die Richtlinie bereitstellen.


Geschützte Netzwerkverbindungen

Mit dieser Einstellung können Sie die Netzwerkadapter angeben, die von der Konfiguration dieses Profils abhängen. Klicken Sie auf Anpassen, um das Dialogfeld Geschützte Netzwerkverbindungen für "Firewallprofil" anzuzeigen.


Einstellungen

Benachrichtigung anzeigen, wenn ein Programm blockiert wird

Aktivieren Sie diese Option, damit die Windows-Firewall mit erweiterten Sicherheitseinstellungen eine Benachrichtigung für den Benutzer anzeigt, wenn eingehende Verbindungen für ein Programm blockiert werden. Die Benachrichtigung wird angezeigt, wenn alle der folgenden Bedingungen zutreffen:

Diese Option ist aktiviert.

  • Es gibt keine bestehende Blockierungs- oder Zulassungsregel für dieses Programm. Falls eine Blockierungsregel vorhanden ist, wird das Programm blockiert, ohne dass eine Benachrichtigung für den Benutzer angezeigt wird.
  • Das Programm wird durch das Standardverhalten der Windows-Firewall blockiert.

Dem Benutzer wird die Möglichkeit gegeben, die Blockierung für das Programm aufzuheben, sofern der Benutzer über Netzwerkoperator- oder Administratorberechtigungen verfügt. Wenn Sie die Option aktivieren, um die Blockierung für das Programm aufzuheben, wird für das blockierte Programm automatisch eine eingehende Programmregel erstellt.


Unicastantwort auf Multicast- oder Broadcastanforderungen zulassen

Diese Option ist nützlich, wenn Sie steuern müssen, ob dieser Computer Unicastantworten auf ausgehende Multicast- oder Broadcastnachrichten empfangen darf. Wenn Sie diese Einstellung aktivieren und der Computer Multicast- oder Broadcastnachrichten an andere Computer sendet, wartet die Windows-Firewall mit erweiterten Sicherheitseinstellungen bis zu 4 Sekunden auf Unicastantworten von den anderen Computern und blockiert alle späteren Antworten. Wenn Sie diese Einstellung deaktivieren und der Computer Multicast- oder Broadcastnachrichten an andere Computer sendet, blockiert die Windows-Firewall mit erweiterten Sicherheitseinstellungen die Unicastantworten, die von den anderen Computern gesendet werden.


Lokale Firewallregeln zulassen

Aktivieren Sie diese Option, wenn Firewallregeln nicht nur über computerspezifische Gruppenrichtlinien angewendet werden sollen, sondern es Administratoren möglich sein soll, lokale Firewallregel auf diesem Computer zu erstellen und anzuwenden. Wenn Sie diese Option deaktivieren, können Administratoren zwar weiterhin Regeln erstellen, lokal definierte Regeln werden jedoch nicht angewendet. Diese Einstellung ist nur verfügbar, wenn Sie die Richtlinie über die Gruppenrichtlinie konfigurieren.


Lokale Verbindungssicherheitsregeln zulassen

Aktivieren Sie diese Option, wenn Verbindungssicherheitsregeln nicht nur über computerspezifische Gruppenrichtlinien angewendet werden sollen, sondern es Administratoren möglich sein soll, lokale Verbindungssicherheitsregeln auf diesem Computer zu erstellen und anzuwenden. Wenn Sie diese Option deaktivieren, können Administratoren zwar weiterhin Regeln erstellen, lokal definierte Regeln werden jedoch nicht angewendet. Diese Einstellung steht nur bei der Konfiguration der Richtlinie über Gruppenrichtlinien zur Verfügung.


Protokollierung

Name

Geben Sie den Pfad und Namen der Datei ein, in die Protokollinformationen der Windows-Firewall geschrieben werden sollen. Wenn Sie ein Gruppenrichtlinienobjekt für die Bereitstellung auf mehreren Computern konfigurieren, sollten Sie die verfügbaren Umgebungsvariablen, z. B. %windir%,, verwenden, um sicherzustellen, dass für jeden Computer im Netzwerk der richtige Speicherort angegeben wird.
Durch die Angabe eines Dateipfads wird die Protokollierung noch nicht gestartet. Sie müssen auch eines der folgenden Kontrollkästchen aktivieren, um Informationen zu verworfenen Paketen oder erfolgreichen Verbindungen zu protokollieren.

Wichtig:
Wenn Sie die Einstellung für einen Computer unter Windows Vista oder einer späteren Version von Windows konfigurieren und nicht den Standardaufenthaltsort angeben, müssen Sie sicherstellen, dass der Windows-Firewalldienst über die Berechtigung zum Schreiben an diesem Speicherort verfügt.

  • So gewähren Sie dem Windows-Firewalldienst Schreibberechtigungen für den Protokollordner
  • Navigieren Sie zu dem Ordner, den Sie für die Protokolldatei angegeben haben, klicken Sie mit der rechten Maustaste darauf, und klicken Sie dann auf Eigenschaften.
  • Klicken Sie auf die Registerkarte Sicherheit, und klicken Sie dann auf Bearbeiten.
  • Klicken Sie auf Hinzufügen, geben Sie im Feld Geben Sie die zu verwendenden Objektnamen ein den Namen NT SERVICE\mpssvc ein, und klicken Sie dann auf OK.
  • Überprüfen Sie im Dialogfeld Berechtigungen, ob MpsSvc über Schreibzugriff verfügt, und klicken Sie dann auf OK.

Größenlimit

Geben Sie die maximale Größe für die Datei an. Der Wert muss zwischen 1 und 32.767 KB liegen.

Sobald die Datei die Maximalgröße erreicht hat, wird die Protokolldatei von der Windows-Firewall mit erweiterten Sicherheitseinstellungen geschlossen und umbenannt, indem am Ende des Dateinamens der Zusatz ".old" hinzugefügt wird. Anschließend wird eine neue Protokolldatei erstellt und verwendet, die den Namen der ursprünglichen Protokolldatei erhält. Es sind immer nur zwei Dateien gleichzeitig vorhanden. Wenn die zweite Datei die Maximalgröße erreicht hat, wird sie umbenannt, indem der Zusatz ".old" hinzugefügt wird. Die ursprüngliche OLD-Datei wird verworfen.


Verworfene Pakete protokollieren

Verwenden Sie diese Option, um zu protokollieren, wann eingehende Pakete aus beliebigem Grund von der Windows-Firewall mit erweiterten Sicherheitseinstellungen verworfen werden. Im Protokoll wird aufgezeichnet, warum und wann das Paket verworfen wurde. Suchen Sie in der Spalte Aktion des Protokolls nach Einträgen mit dem Wort DROP.


Erfolgreiche Verbindungen protokollieren

Verwenden Sie diese Option, um zu protokollieren, wann eingehende Pakete von der Windows-Firewall mit erweiterten Sicherheitseinstellungen zugelassen werden. Im Protokoll wird aufgezeichnet, warum und wann die Verbindung aufgebaut wurde. Suchen Sie in der Spalte Aktion des Protokolls nach Einträgen mit dem Wort ALLOW.


Öffentliches Profil

Status

Firewallstatus

Wählen Sie Ein (empfohlen) aus, damit die Windows-Firewall die Einstellungen für dieses Profil verwendet, um den Netzwerkverkehr zu filtern. Wenn Sie Aus auswählen, verwendet die Windows-Firewall keine der Firewall- oder Verbindungssicherheitsregeln für dieses Profil.

Wichtig:
Wenn Sie die Windows-Firewall mithilfe einer Gruppenrichtlinie deaktivieren oder für die Windows-Firewall eine Regel konfigurieren, die den gesamten eingehenden Netzwerkverkehr zulässt, wird der Benutzer vom Windows-Sicherheitscenter benachrichtigt, dass Sicherheitsprobleme aufgetreten sind, die der Benutzer beheben sollte. Wenn der Benutzer versucht, das gemeldete Problem zu beheben, indem er im Windows-Sicherheitscenter auf Aktivieren klickt, wird ein Fehler angezeigt, da die Windows-Firewall nicht über das Windows-Sicherheitscenter aktiviert werden kann. Dies kann zu unerwünschten Supportanfragen beim Helpdesk führen. Wenn Sie die Sicherheit der Computer in Ihrer Organisation verwalten und vermeiden möchten, dass das Windows-Sicherheitscenter die Benutzer über Sicherheitsprobleme informiert, können Sie das Windows-Sicherheitscenter deaktivieren. Verwenden Sie hierfür die Gruppenrichtlinieneinstellung Sicherheitscenter aktivieren (nur Domänencomputer) unter Richtlinie für "Lokaler Computer\Konfiguration\Administrative Vorlagen\Windows-Komponenten\Sicherheitscenter.


Eingehende Verbindungen

Diese Einstellung bestimmt das Verhalten für eingehende Verbindungen, die keiner eingehenden Firewallregel entsprechen. Das Standardverhalten ist, Verbindungen zu blockieren, sofern sie nicht durch Firewallregeln zugelassen werden. Sie können das folgende Verhalten für eingehende Verbindungen auswählen.

Auswahl Beschreibung

  • Blocken (Standard)
    • Blockiert alle Verbindungen, die nicht ausdrücklich durch Firewallregeln zugelassen sind.
  • Alle Verbindungen blocken
    • Blockiert alle Verbindungen unabhängig davon, ob sie ausdrücklich durch Firewallregeln zugelassen sind.
  • Zulassen
    • Lässt alle Verbindungen zu, die nicht ausdrücklich durch Firewallregeln blockiert werden.

Ausgehende Verbindungen

Diese Einstellung bestimmt das Verhalten für ausgehende Verbindungen, die keiner ausgehenden Firewallregel entsprechen. Das Standardverhalten ist, Verbindungen zuzulassen, sofern sie nicht durch Firewallregeln blockiert werden. Sie können das folgende Verhalten für ausgehende Verbindungen auswählen:

Auswahl Beschreibung

  • Blocken
    • Blockiert alle Verbindungen, die nicht ausdrücklich durch Firewallregeln zugelassen werden.
  • Zulassen (Standard)
    • Lässt die Verbindung zu, sofern sie nicht ausdrücklich durch eine Firewallregel blockiert wird.

Vorsicht:
Wenn Sie für Ausgehende Verbindungen die Option Blockieren auswählen und dann die Firewallrichtlinie mithilfe eines Gruppenrichtlinienobjekts bereitstellen, können Computer, die das Gruppenrichtlinienobjekt erhalten, keine nachfolgenden Gruppenrichtlinienaktualisierungen empfangen, es sei denn, Sie erstellen zuvor eine ausgehende Regel, die das Funktionieren der Gruppenrichtlinie wieder ermöglicht, und stellen diese Regel bereit. Vordefinierte Regeln für das Kernnetzwerk schließen ausgehende Regeln ein, die die Funktion von Gruppenrichtlinien aktivieren. Stellen Sie sicher, dass diese ausgehenden Regeln aktiv sind, und testen Sie Firewallprofile gründlich, bevor Sie die Richtlinie bereitstellen.


Geschützte Netzwerkverbindungen

Mit dieser Einstellung können Sie die Netzwerkadapter angeben, die von der Konfiguration dieses Profils abhängen. Klicken Sie auf Anpassen, um das Dialogfeld Geschützte Netzwerkverbindungen für "Firewallprofil" anzuzeigen.


Einstellungen

Benachrichtigung anzeigen, wenn ein Programm blockiert wird

Aktivieren Sie diese Option, damit die Windows-Firewall mit erweiterten Sicherheitseinstellungen eine Benachrichtigung für den Benutzer anzeigt, wenn eingehende Verbindungen für ein Programm blockiert werden. Die Benachrichtigung wird angezeigt, wenn alle der folgenden Bedingungen zutreffen:

Diese Option ist aktiviert.

  • Es gibt keine bestehende Blockierungs- oder Zulassungsregel für dieses Programm. Falls eine Blockierungsregel vorhanden ist, wird das Programm blockiert, ohne dass eine Benachrichtigung für den Benutzer angezeigt wird.
  • Das Programm wird durch das Standardverhalten der Windows-Firewall blockiert.

Dem Benutzer wird die Möglichkeit gegeben, die Blockierung für das Programm aufzuheben, sofern der Benutzer über Netzwerkoperator- oder Administratorberechtigungen verfügt. Wenn Sie die Option aktivieren, um die Blockierung für das Programm aufzuheben, wird für das blockierte Programm automatisch eine eingehende Programmregel erstellt.


Unicastantwort auf Multicast- oder Broadcastanforderungen zulassen

Diese Option ist nützlich, wenn Sie steuern müssen, ob dieser Computer Unicastantworten auf ausgehende Multicast- oder Broadcastnachrichten empfangen darf. Wenn Sie diese Einstellung aktivieren und der Computer Multicast- oder Broadcastnachrichten an andere Computer sendet, wartet die Windows-Firewall mit erweiterten Sicherheitseinstellungen bis zu 4 Sekunden auf Unicastantworten von den anderen Computern und blockiert alle späteren Antworten. Wenn Sie diese Einstellung deaktivieren und der Computer Multicast- oder Broadcastnachrichten an andere Computer sendet, blockiert die Windows-Firewall mit erweiterten Sicherheitseinstellungen die Unicastantworten, die von den anderen Computern gesendet werden.


Lokale Firewallregeln zulassen

Aktivieren Sie diese Option, wenn Firewallregeln nicht nur über computerspezifische Gruppenrichtlinien angewendet werden sollen, sondern es Administratoren möglich sein soll, lokale Firewallregel auf diesem Computer zu erstellen und anzuwenden. Wenn Sie diese Option deaktivieren, können Administratoren zwar weiterhin Regeln erstellen, lokal definierte Regeln werden jedoch nicht angewendet. Diese Einstellung ist nur verfügbar, wenn Sie die Richtlinie über die Gruppenrichtlinie konfigurieren.


Lokale Verbindungssicherheitsregeln zulassen

Aktivieren Sie diese Option, wenn Verbindungssicherheitsregeln nicht nur über computerspezifische Gruppenrichtlinien angewendet werden sollen, sondern es Administratoren möglich sein soll, lokale Verbindungssicherheitsregeln auf diesem Computer zu erstellen und anzuwenden. Wenn Sie diese Option deaktivieren, können Administratoren zwar weiterhin Regeln erstellen, lokal definierte Regeln werden jedoch nicht angewendet. Diese Einstellung steht nur bei der Konfiguration der Richtlinie über Gruppenrichtlinien zur Verfügung.


Protokollierung

Name

Geben Sie den Pfad und Namen der Datei ein, in die Protokollinformationen der Windows-Firewall geschrieben werden sollen. Wenn Sie ein Gruppenrichtlinienobjekt für die Bereitstellung auf mehreren Computern konfigurieren, sollten Sie die verfügbaren Umgebungsvariablen, z. B. %windir%,, verwenden, um sicherzustellen, dass für jeden Computer im Netzwerk der richtige Speicherort angegeben wird.
Durch die Angabe eines Dateipfads wird die Protokollierung noch nicht gestartet. Sie müssen auch eines der folgenden Kontrollkästchen aktivieren, um Informationen zu verworfenen Paketen oder erfolgreichen Verbindungen zu protokollieren.

Wichtig:
Wenn Sie die Einstellung für einen Computer unter Windows Vista oder einer späteren Version von Windows konfigurieren und nicht den Standardaufenthaltsort angeben, müssen Sie sicherstellen, dass der Windows-Firewalldienst über die Berechtigung zum Schreiben an diesem Speicherort verfügt.

  • So gewähren Sie dem Windows-Firewalldienst Schreibberechtigungen für den Protokollordner
  • Navigieren Sie zu dem Ordner, den Sie für die Protokolldatei angegeben haben, klicken Sie mit der rechten Maustaste darauf, und klicken Sie dann auf Eigenschaften.
  • Klicken Sie auf die Registerkarte Sicherheit, und klicken Sie dann auf Bearbeiten.
  • Klicken Sie auf Hinzufügen, geben Sie im Feld Geben Sie die zu verwendenden Objektnamen ein den Namen NT SERVICE\mpssvc ein, und klicken Sie dann auf OK.
  • Überprüfen Sie im Dialogfeld Berechtigungen, ob MpsSvc über Schreibzugriff verfügt, und klicken Sie dann auf OK.

Größenlimit

Geben Sie die maximale Größe für die Datei an. Der Wert muss zwischen 1 und 32.767 KB liegen.

Sobald die Datei die Maximalgröße erreicht hat, wird die Protokolldatei von der Windows-Firewall mit erweiterten Sicherheitseinstellungen geschlossen und umbenannt, indem am Ende des Dateinamens der Zusatz ".old" hinzugefügt wird. Anschließend wird eine neue Protokolldatei erstellt und verwendet, die den Namen der ursprünglichen Protokolldatei erhält. Es sind immer nur zwei Dateien gleichzeitig vorhanden. Wenn die zweite Datei die Maximalgröße erreicht hat, wird sie umbenannt, indem der Zusatz ".old" hinzugefügt wird. Die ursprüngliche OLD-Datei wird verworfen.


Verworfene Pakete protokollieren

Verwenden Sie diese Option, um zu protokollieren, wann eingehende Pakete aus beliebigem Grund von der Windows-Firewall mit erweiterten Sicherheitseinstellungen verworfen werden. Im Protokoll wird aufgezeichnet, warum und wann das Paket verworfen wurde. Suchen Sie in der Spalte Aktion des Protokolls nach Einträgen mit dem Wort DROP.


Erfolgreiche Verbindungen protokollieren

Verwenden Sie diese Option, um zu protokollieren, wann eingehende Pakete von der Windows-Firewall mit erweiterten Sicherheitseinstellungen zugelassen werden. Im Protokoll wird aufgezeichnet, warum und wann die Verbindung aufgebaut wurde. Suchen Sie in der Spalte Aktion des Protokolls nach Einträgen mit dem Wort ALLOW.


IPsec-Einstellungen

IPsec-Standardeinstellungen

Schlüsselaustausch (Hauptmodus)

Die hier ausgewählten Schlüsselaustauscheinstellungen gelten für alle Verbindungssicherheitsregeln. Damit die erfolgreiche und sichere Kommunikation sichergestellt ist, führt IPsec einen aus zwei Phasen bestehenden Vorgang durch, um eine sichere Verbindung zwischen den beiden Computern aufzubauen. Mithilfe von Integritäts-, Verschlüsselungs- und Authentifizierungsalgorithmen, auf die sich die beiden Computer in den Sicherheitsaushandlungen einigen, werden in jeder Phase Vertraulichkeit und Authentifizierung sichergestellt. Dadurch, dass die Aufgaben auf zwei Phasen verteilt werden, kann die Schlüsselerstellung mit sehr hoher Geschwindigkeit durchgeführt werden.

Während der ersten Phase richten die beiden Computer einen sicheren, authentifizierten Kanal ein, der Hauptmodus-Sicherheitszuordnung genannt wird. Die Hauptmodus-Sicherheitszuordnung wird in der zweiten Phase verwendet, um die sichere Aushandlung der Schnellmodus-Sicherheitszuordnung zu ermöglichen. In der Schnellmodus-Sicherheitszuordnung sind die Schutzeinstellungen für regelkonforme TCP/IP-Daten festgelegt, die zwischen den beiden Computern übertragen werden.

  • Standard
    • Aktivieren Sie diese Option, um die Schlüsselaustauscheinstellungen zu verwenden, die standardmäßig installiert oder über die Gruppenrichtlinie als Standardwerte konfiguriert wurden. Diese Einstellung wird für alle Schlüsselaustauschvorgänge verwendet. Weitere Informationen finden Sie unter Standardeinstellungen für die Windows-Firewall mit erweiterter Sicherheit.
  • Erweitert
    • Aktivieren Sie diese Option, um die Schlüsselaustauscheinstellungen anzugeben, die auf alle Schlüsselaustauschvorgänge angewendet werden. Diese Einstellung hat Vorrang vor den installierten Standardeinstellungen. Klicken Sie nach dem Aktivieren dieser Option auf Anpassen, und wählen Sie dann im Dialogfeld Erweiterte Schlüsselaustauscheinstellungen anpassen die zu verwendenden Einstellungen aus.

Datenschutz (Schnellmodus)

Die hier ausgewählten Datenschutzeinstellungen gelten für alle Verbindungssicherheitsregeln, die mithilfe des Snap-Ins Windows-Firewall mit erweiterten Sicherheitseinstellungen erstellt werden. Wenn Sie eine Verbindungssicherheitsregel mit benutzerdefinierten Datenschutzeinstellungen erstellen müssen, müssen Sie die Regel mit dem Kontext netsh advfirewall consec erstellen. Weitere Informationen finden Sie im Artikel zu den Netsh-Befehlen für die Windows-Firewall mit erweiterter Sicherheit (möglicherweise in englischer Sprache) (http://go.microsoft.com/fwlink/?linkid=111237).

  • Standard
    • Aktivieren Sie diese Option, um die Datenintegritäts- und Verschlüsselungseinstellungen zu verwenden, die standardmäßig installiert oder über die Gruppenrichtlinie als Standardwerte konfiguriert wurden. Weitere Informationen finden Sie unter Standardeinstellungen für die Windows-Firewall mit erweiterter Sicherheit.
  • Erweitert
    • Verwenden Sie diese Option, um Datenintegritäts- und Verschlüsselungseinstellungen anzugeben, die für die Aushandlung der Schnellmodus-Sicherheitszuordnung verfügbar sind. Diese Einstellung setzt die installierten Standardeinstellungen außer Kraft. Klicken Sie nach dem Aktivieren dieser Option auf Anpassen, und wählen Sie dann im Dialogfeld Datenschutzeinstellungen anpassen die zu verwendenden Datenschutzeinstellungen aus.

Authentifizierungsmethode

Einstellungen für die Authentifizierungsmethode, die Sie hier auswählen, gelten nur für Verbindungssicherheitsregeln, bei denen Standard als Authentifizierungsmethode ausgewählt wurde.

  • Standard
    • Aktivieren Sie diese Option, um die Authentifizierungseinstellungen zu verwenden, die standardmäßig installiert oder über die Gruppenrichtlinie als Standardwerte konfiguriert wurden. Weitere Informationen finden Sie unter Standardeinstellungen für die Windows-Firewall mit erweiterter Sicherheit.
  • Computer und Benutzer (Kerberos V5)
    • Aktivieren Sie diese Option, um die Computer- und Benutzerauthentifizierung mittels Kerberos, Version 5, zu verwenden. Die Verwendung dieser Option entspricht der Auswahl von Erweitert, der Auswahl von Computer (Kerberos V5) für die erste Authentifizierung und Benutzer (Kerberos V5) für die zweite Authentifizierung und der anschließenden Deaktivierung von Erste Authentifizierung ist optional und Zweite Authentifizierung ist optional.
  • Computer (Kerberos V5)
    • Aktivieren Sie diese Option, um die Computerauthentifizierung mittels Kerberos, Version 5, zu verwenden. Die Verwendung dieser Option entspricht der Auswahl von Erweitert, der Auswahl von Computer (Kerberos V5) für die erste Authentifizierung und der anschließenden Aktivierung von Zweite Authentifizierung ist optional.
  • Benutzer (Kerberos V5)
    • Aktivieren Sie diese Option, um die Benutzerauthentifizierung mittels Kerberos, Version 5, zu verwenden. Die Verwendung dieser Option entspricht der Auswahl von Erweitert, der Auswahl von Benutzer (Kerberos V5) für die zweite Authentifizierung und der anschließenden Aktivierung von Erste Authentifizierung ist optional.
  • Erweitert
    • Mit dieser Option können Sie eine maßgeschneiderte Methode für Ihre Bedürfnisse erstellen. Wenn Sie diese Option aktivieren, müssen Sie auf Anpassen klicken, um das Dialogfeld Erweiterte Authentifizierungsmethoden anpassen zum Angeben der zu verwendenden Authentifizierungsmethoden zu verwenden.

IPsec-Ausnahmen

Das Ausschließen von ICMP aus allen IPsec-Anforderungen kann die Behandlung von Netzwerkkonnektivitätsproblemen vereinfachen.


IPsec-Einstellungen

Mit diesen Einstellungen können Sie angeben, welche Benutzer oder Computer autorisiert sind, eine Tunnelverbindung mit dem lokalen Computer herzustellen. Diese Einstellungen gelten nur für eingehende Verbindungen. Diese Autorisierungseinstellungen gelten nicht für Tunnelverbindungen, die vom lokalen Computer initiiert werden.

Hinweis:
Diese Einstellungen gelten nur für Tunnelmodusregeln, für die die Option Autorisierung anwenden im Dialogfeld IPsec-Tunnelingeinstellungen anpassen aktiviert ist.

So öffnen Sie dieses Dialogfeld

  • Klicken Sie im MMC-Snap-In Windows-Firewall mit erweiterten Sicherheitseinstellungen unter Übersicht auf Windows-Firewalleigenschaften.
  • Klicken Sie auf die Registerkarte IPsec-Einstellungen.
  • Wählen Sie unter IPsec-Tunnelautorisierung die Option Erweitert aus, und klicken Sie dann auf Anpassen.
  • Registerkarte "Computer"
    • Mit dieser Registerkarte können Sie Computer oder Computergruppen angeben, die autorisiert sind, Tunnelmodusverbindungen mit dem lokalen Computer herzustellen.

Autorisierte Computer

  • Nur Verbindungen von diesen Computern zulassen
  • Aktivieren Sie diese Option, um die Computer anzugeben, die eine Tunnelmodusverbindung mit dem lokalen Computer herstellen können.
    Wenn Sie das Kontrollkästchen aktivieren, wird Hinzufügen aktiviert. Klicken Sie auf Hinzufügen, und geben Sie dann die Computer- oder Gruppenkonten im Dialogfeld zur Auswahl von Active Directory-Objekten an.
  • Wählen Sie einen Computer oder eine Gruppe aus, und klicken Sie dann auf Entfernen, um den Computer oder die Gruppe von der Liste zu entfernen.

Ausnahmen

  • In diesem Abschnitt können Sie Computer- oder Gruppenkonten angeben, denen die Berechtigung zum Herstellen von Tunnelmodusverbindungen mit dem lokalen Computer verweigert wird. Wenn ein Computer, der versucht, eine Verbindung herzustellen, sowohl unter Autorisierte Computer als auch unter Ausnahmen aufgelistet wird (entweder direkt oder als Mitglied einer Gruppe), hat die Ausnahme Vorrang, und die Verbindung wird blockiert.
  • Verbindungen von diesen Computern verweigern
  • Aktivieren Sie diese Option, um die Computer anzugeben, denen das Herstellen einer Tunnelmodusverbindung mit diesem Computer untersagt ist.
    Wenn Sie das Kontrollkästchen aktivieren, wird Hinzufügen aktiviert. Klicken Sie auf Hinzufügen, und geben Sie dann die Computer- oder Gruppenkonten im Dialogfeld zur Auswahl von Active Directory-Objekten an.
  • Wählen Sie einen Computer oder eine Gruppe aus, und klicken Sie dann auf Entfernen, um den Computer oder die Gruppe von der Liste zu entfernen.

Registerkarte "Benutzer"

  • Mit dieser Registerkarte können Sie Benutzer oder Benutzergruppen angeben, die autorisiert sind, Tunnelmodusverbindungen mit dem lokalen Computer herzustellen.

Autorisierte Benutzer

  • Nur Verbindungen von diesen Benutzern zulassen
  • Aktivieren Sie diese Option, um die Benutzer anzugeben, die eine Tunnelmodusverbindung mit diesem Computer herstellen können.
    Wenn Sie das Kontrollkästchen aktivieren, wird Hinzufügen aktiviert. Klicken Sie auf Hinzufügen, und geben Sie dann die Benutzer- oder Gruppenkonten im Dialogfeld zur Auswahl von Active Directory-Objekten an.
  • Wählen Sie einen Benutzer oder eine Gruppe aus, und klicken Sie dann auf Entfernen, um den Benutzer oder die Gruppe von der Liste zu entfernen.
    Ausnahmen

In diesem Abschnitt können Sie Benutzer- oder Gruppenkonten angeben, denen die Berechtigung zum Herstellen von Tunnelmodusverbindungen mit dem lokalen Computer verweigert wird. Wenn ein Benutzer, der versucht, eine Verbindung herzustellen, sowohl unter Autorisierte Benutzer als auch unter Ausnahmen aufgelistet wird (entweder direkt oder als Mitglied einer Gruppe), hat die Ausnahme Vorrang, und die Verbindung wird blockiert.

Verbindungen von diesen Benutzern verweigern

  • Aktivieren Sie diese Option, um die Benutzer anzugeben, denen das Herstellen einer Tunnelmodusverbindung mit diesem Computer untersagt ist.
    Wenn Sie das Kontrollkästchen aktivieren, wird Hinzufügen aktiviert. Klicken Sie auf Hinzufügen, und geben Sie dann die Benutzer- oder Gruppenkonten im Dialogfeld zur Auswahl von Active Directory-Objekten an.
  • Wählen Sie einen Benutzer oder eine Gruppe aus, und klicken Sie dann auf Entfernen, um den Benutzer oder die Gruppe von der Liste zu entfernen.