84 Kapitel 2: Konfigurieren von IP-Diensten
Abbildung 2.15 Dialogfelder zum Konfigurieren von IPSec-Regeln
Weitere Informationen Verwenden von NAP-Regeln in IPSec
Indem Sie Verbindungssicherheitsregeln benutzen und die IPSec-Richtlinie in der Windows-
Firewall mit erweiterter Sicherheit anpassen, können Sie festlegen, dass zusammen mit oder
statt einer IPSec-Regel eine NAP-Regel innerhalb einer IPSec-Richtlinie angewendet wird.
Weitere Informationen finden Sie unter http://www.microsoft.com/windowsserver2008/en/
us/security-policy.aspx. Weitere Informationen über NAP finden Sie in Kapitel 4, „Netz-
werkzugriffssicherheit“.
Netsh-Befehle für IPSec
Wie für die meisten administrativen Aufgaben können Sie statt der grafischen Tools auch
das Netzwerkshell-Tool Netsh verwenden, um IPSec zu verwalten. Der Kontext
netsh ipsec,
mit dem Sie in Windows Server 2003 IPSec verwaltet haben, ist in Windows Server 2008
aber nicht mehr das beste Werkzeug. Die Kontexte
netsh ipsec static und netsh ipsec dynamic
stehen weiterhin zur Verfügung, dienen aber nur der Kompatibilität zu älteren Windows-
Versionen. Sie können damit keine der neuen IPSec-Features aus Windows Server 2008
verwalten. Microsoft empfiehlt, dass Sie stattdessen den Kontext
netsh advfirewall benutzen.
Lektion 2: Konfigurieren von IPSec 85
Weitere Informationen Der Kontext netsh ipsec
Unter http://technet.microsoft.com/en-us/library/cc725926.aspx können Sie Ihr Wissen über
die Kontexte
netsh ipsec static und netsh ipsec dynamic auffrischen.
Weitere Informationen Arbeiten mit netsh advfirewall
Weitere Informationen über die netsh advfirewall-Befehle, die in Windows Server 2008 die
netsh ipsec-Befehle ersetzen, finden Sie unter http://support.microsoft.com/kb/947709. Für
die Prüfungen sollten Sie sich mit
netsh advfirewall vertraut machen. Sie sollten vor allem
wissen, wie Sie überprüfen, dass IPSec aktiviert ist.
Die Verwaltung von IPSec über die Befehlszeile ist besonders nützlich, wenn Sie folgende
Aufgaben erledigen wollen:
■ Konfigurieren von IPSec mithilfe eines Skripts
■ Erweitern der Sicherheit und der Verwaltbarkeit von IPSec, indem Sie folgende
Features konfigurieren, die nicht im Snap-In IP-Sicherheitsrichtlinienverwaltung
verfügbar sind:
■ IPSec-Diagnose
■ Ausnahmen für Standardverkehr
■ Obligatorische Prüfung der Zertifikatsperrliste
■ IKE-Protokollierung (Oakley)
■ Protokollierungsintervalle
■ Computerstartsicherheit
■ Ausnahmen für Computerstartverkehr
Hinweis Ausführen als Administrator
Wenn Sie IPSec mit dem Befehl netsh konfigurieren (oder die meisten anderen netsh-Kon-
figurationen durchführen), müssen Sie die Eingabeaufforderung als Administrator ausführen.
netsh advfirewall ist ein Befehlszeilenkontext für die Windows-Firewall mit erweiterter
Sicherheit. Sie erstellen, verwalten und überwachen darin die Windows-Firewall-und IPSec-
Einstellungen. Das Tool ist insbesondere in folgenden Situationen nützlich:
■ Sie stellen WFAS-Einstellungen auf Computern in einem WAN (Wide Area Network)
bereit. Sie können die Befehle interaktiv an der Netsh-Eingabeaufforderung eingeben.
Über langsame Netzwerkverbindungen bietet das bessere Leistung als grafische
Dienstprogramme.
■ Sie stellen WFAS-Einstellungen auf sehr vielen Computern bereit. In diesem Fall kön-
nen Sie die
netsh advfirewall-Befehle im Batchmodus an der Netsh-Eingabeaufforde-
rung ausführen, um administrative Aufgaben in Skripts ausführen zu lassen und zu
automatisieren.
86 Kapitel 2: Konfigurieren von IP-Diensten
Hinweis Der Kontext netsh firewall
Der Kontext netsh firewall wird nur aus Gründen der Abwärtskompatibilität zur Verfügung
gestellt. Microsoft rät davon ab, diesen Kontext auf einem Windows Server 2008-Computer
zu benutzen.
Zum Verwalten der Windows-Firewall mit erweiterter Sicherheit stehen folgende Kontexte
zur Verfügung:
■ netsh advfirewall
■ netsh advfirewall consec
■ netsh advfirewall firewall
■ netsh advfirewall monitor
Der Kontext netsh advfirewall
Sie können netsh advfirewall als separaten Kontext betrachten. Er ist von den drei anderen
getrennt, auch wenn die genau genommen untergeordnete Kontexte von
netsh advfirewall
sind. Dieser Kontext enthält Befehle, die alle WFAS-Einstellungen gemeinsam betreffen,
darunter die IPSec-Einstellungen. Nehmen wir an, Sie wollen eine WFAS-Konfiguration,
die IPSec-Einstellungen umfasst, von einem Computer exportieren und diese Konfiguration
in andere Computer importieren. In der
netsh advfirewall-Eingabeaufforderung stehen fol-
gende Befehle zur Verfügung:
■ dump
■ export
■ import
■ reset
■ set
■ show
Dump Der Befehl
dump steht im Kontext netsh advfirewall und seinen drei untergeordneten
Kontexten zur Verfügung, ist aber nicht implementiert. Er generiert keine Ausgabe, verur-
sacht aber auch keinen Fehler.
Export Der Befehl
export exportiert die WFAS-Konfiguration aus dem aktuellen Speicher
in eine Datei. Diese Datei können Sie dann im Befehl
import verwenden, um die WFAS-
Dienstkonfiguration in einem Speicher auf demselben Computer oder einem anderen Com-
puter wiederherzustellen. Mit welcher WFAS-Konfiguration der Befehl
export arbeitet, wird
mit
dem Befehl set store festgelegt. Dieser Befehl hat dieselbe Funktion wie der Menübefehl
Richtlinie exportieren in der MMC-Konsole Windows-Firewall mit erweiterter Sicherheit.
Import Der Befehl
import importiert eine WFAS-Dienstkonfiguration aus einer Datei, die
mit
dem Befehl export erstellt wurde, in den lokalen Dienst. Der Befehl hat dieselbe Funktion
wie der Menübefehl Richtlinie importieren in der MMC-Konsole Windows-Firewall mit
erweiterter Sicherheit.
Reset Der Befehl
reset stellt WFAS mit den Standardeinstellungen und -regeln wieder her.
Optional sichert er vorher die aktuellen Einstellungen mithilfe des Befehls
export, wobei er
die Einstellungen in eine Konfigurationsdatei schreibt. Der Befehl hat dieselbe Funktion wie
Get Aktualisieren Ihrer MCSA/MCSE-Zertifizierung auf Windows Server 2008 MCTS - Original Microsoft Training für Examen 70-648 und 70-649 now with the O’Reilly learning platform.
O’Reilly members experience books, live events, courses curated by job role, and more from O’Reilly and nearly 200 top publishers.
