O'Reilly logo

Aktualisieren Ihrer MCSA/MCSE-Zertifizierung auf Windows Server 2008 MCTS - Original Microsoft Training für Examen 70-648 und 70-649 by Ian L. McLean, Orin Thomas

Stay ahead with the world's most comprehensive technology and business learning platform.

With Safari, you learn the way you learn best. Get unlimited access to videos, live online training, learning paths, books, tutorials, and more.

Start Free Trial

No credit card required

Lektion 2: Konfigurieren von IPSec 83
Arbeiten mit der Windows-Firewall mit erweiterter Sicherheit
In Windows Server 2008 können Sie sowohl die Windows-Firewall als auch IPSec mit
einem einzigen Tool konfigurieren, dem MMC-Snap-In Windows-Firewall mit erweiterter
Sicherheit (Windows Firewall with Advanced Security, WFAS). Die neue WFAS baut auf
der Standardkonfiguration auf, die von den Verbindungssicherheitsregeln implementiert
wird (siehe den vorherigen Abschnitt). Indem die Windows-Firewall IPSec-Verbindungs-
sicherheitsregeln und Firewallfilter in einer einzigen Richtlinie kombiniert, implementiert
sie richtliniengesteuerten Netzwerkzugriff. Das ermöglicht intelligentere Firewallaktionen
für die Authentifizierung.
Weitere Informationen Richtliniengesteuerter Netzwerkzugriff
Verwechseln Sie richtliniengesteuerten Netzwerkzugriff nicht mit der IPSec-Konfiguration
über IPSec-Richtlinien. Weitere Informationen über richtliniengesteuerten Netzwerkzugriff
finden Sie unter http://technet.microsoft.com/de-de/magazine/cc194389.aspx.
Die Windows-Firewall mit erweiterter Sicherheit ist in der Standardeinstellung aktiviert. Sie
kombiniert und erweitert die beiden Funktionen, die in älteren Windows Server-Versionen
separat verwaltet wurden. Neben der neuen grafischen Benutzeroberfläche (Graphical User
Interface, GUI) steht Ihnen für die Verwaltung von Windows-Firewall und IPSec auch der
Befehlskontext
netsh advfirewall zur Verfügung (mehr dazu im nächsten Abschnitt dieser
Lektion).
In der Standardeinstellung wird der gesamte eingehende IPv4- und IPv6-Verkehr blockiert,
sofern es keine Antwort auf eine vorherige ausgehende Anforderung vom Computer ist
(angeforderter Verkehr) oder aufgrund einer Regel erlaubt ist, die diesen Verkehr explizit
zulässt. Standardmäßig wird der gesamte ausgehende Verkehr erlaubt, sofern keine Dienst-
härtungsregeln verhindern, dass Standarddienste auf unerwartete Weise kommunizieren. Sie
können Verkehr anhand von Portnummern, IPv4- oder IPv6-Adressen, Pfad und Name einer
Anwendung, Name eines auf dem Computer laufenden Dienstes oder anderer Kriterien er-
lauben.
Sie können Netzwerkverkehr, der in oder aus dem Computer fließt, mit IPSec schützen, in-
dem Sie die Integrität des Netzwerksverkehrs überprüfen, die Identität der sendenden und
empfangenden Computer oder Benutzer authentifizieren und (optional) den Verkehr ver-
schlüsseln, um Vertraulichkeit zu gewährleisten. Sie richten eine Regel ein, indem Sie in der
Windows-Firewall mit erweiterter Sicherheit eine eingehende Regel definieren. Das kann
beispielsweise eine Regel sein, die den eingehenden Port 443 identifiziert, festlegt, dass nur
eine sichere Verbindung erlaubt wird und dass Verschlüsselung obligatorisch ist. Sobald Sie
die Erstellung der Regel abgeschlossen haben, bearbeiten Sie die Regel in der Konsole Win-
dows-Firewall mit erweiterter Sicherheit und legen fest, für welche IP-Adressen sie gilt. Bei
dieser Methode können Sie festlegen, welche Quell- und Ziel-IP-Adresse sowie Ports IPSec-
Verschlüsselung und bestimmte Authentifizierungsmethoden erfordern. Abbildung 2.15 zeigt
die Dialogfelder, mit denen Sie eine Regel auf diese Art definieren. Das sind unter anderem
das Dialogfeld Datenschutzeinstellungen anpassen, die Konsole Windows-Firewall mit er-
weiterter Sicherheit und das Dialogfeld IPSec-Einstellungen anpassen.

With Safari, you learn the way you learn best. Get unlimited access to videos, live online training, learning paths, books, interactive tutorials, and more.

Start Free Trial

No credit card required