Lektion 2: Windows-Firewall mit erweiterter Sicherheit 179
Lektion 2: Windows-Firewall mit erweiterter Sicherheit
Windows Server 2008 wird mit einer Firewall ausgeliefert, die standardmäßig aktiviert ist.
In dieser Lektion erfahren Sie etwas über die Windows-Firewall mit erweiterter Sicherheit
und über die Funktionen, die die Windows-Firewall von der älteren Firewall-Software aus
Windows-Betriebssystemen wie Windows Server 2003 unterscheidet. Sie erfahren, wie man
eingehende und ausgehende Firewallregeln erstellt, IP-Adressbereiche definiert und Verbin-
dungssicherheitsregeln konfiguriert, die mit Windows Vista und Windows Server 2008 neu
eingeführt wurden.
Am Ende dieser Lektion werden Sie in der Lage sein, die folgenden Aufgaben auszuführen:
■ Konfigurieren der Filter für ein- und ausgehenden Datenverkehr
■ Konfigurieren der Active Directory-Kontointegration
■ Angeben der gebräuchlichen Ports und Protokolle
■ Beschreiben der Unterschiede zwischen Windows-Firewall und Windows-Firewall mit
erweiterter Sicherheit
■ Konfigurieren von Firewalls mit Gruppenrichtlinien
■ Verwalten der Isolationsrichtlinien
Veranschlagte Zeit für diese Lektion: 40 Minuten
Windows-Firewall und Windows-Firewall mit erweiterter Sicherheit
In Windows Server 2008 arbeiten zwei Firewalls zusammen, nämlich die Windows-Firewall
und die Windows-Firewall mit erweiterter Sicherheit. Der wichtigste Unterschied zwischen
diesen beiden Firewalls liegt in der Komplexität der Regeln, die sich anwenden lassen. Win-
dows-Firewall, zugänglich über die Systemsteuerung und in Abbildung 4.12 zu sehen, er-
möglicht nur die Anwendung einfacher Regeln. Bei der Erstellung einer Regel können Sie
zwar auf der Basis von Programmen oder Ports Ausnahmen festlegen, aber Sie können keine
komplexeren Ausnahmen auf der Basis von Netzwerkstandorten, einzelnen Netzwerkschnitt-
stellen oder bestimmten ein- und ausgehenden Adressen definieren. Mit den eingeschränkten
Mitteln, die zur Formulierung von Ausnahmen zur Verfügung stehen, ist Windows-Firewall
im Vergleich zu Windows-Firewall mit erweiterter Sicherheit ein eher schlichtes Werkzeug.
Als Serveradministrator werden Sie wahrscheinlich das erweiterte Leistungsangebot von
Windows-Firewall
mit erweiterter Sicherheit vorziehen. Daher konzentriert sich diese Lektion
auf diese komplexere Technologie.
Network Location Awareness
Vor der näheren Beschäftigung mit Windows-Firewall mit erweiterter Sicherheit ist es wich-
tig, sich mit dem Konzept der Network Location Awareness (NLA) zu beschäftigen. NLA,
auch unter dem Stichwort Netzwerkprofile bekannt, ermöglicht es Anwendungen und Diens-
ten, die den Netzwerkstandort erkennen können, ihr Verhalten unter Windows Vista und
Windows Server 2008 entsprechend anzupassen. Wenn Sie einen Windows Server 2008-
180 Kapitel 4: Netzwerkzugriffssicherheit
Abbildung 4.12 Die Registerkarte Ausnahmen der Windows-Firewall
Computer an ein neues Netzwerk anschließen, werden Sie gefragt, ob es sich um ein öffent-
liches, ein privates oder ein Domänennetzwerk handelt. Je nach Ihrer Klassifizierung weist
Windows Server 2008 folgende Netzwerksumgebungskategorien zu:
■ Öffentlich Standardmäßig wird ein Netzwerk als öffentliches Netzwerk klassifiziert.
Das bedeutet, dass der eingehende Datenverkehr verworfen wird. Ausgehende Verbin-
dungen sind erlaubt, wenn das öffentliche Profil aktiv ist. Ein nichtvertrauenswürdiges
Netzwerk einschließlich des Internets sollte als öffentliches Netzwerk klassifiziert
werden.
■ Privat Benutzer können von Hand die Netzwerkkategorie Privat einstellen und für
ein Netzwerk verwenden, das von öffentlichen Netzwerken wie dem Internet nicht di-
rekt zugänglich ist. Private Netzwerke werden durch Firewalls oder NAT-Geräte vom
öffentlichen Netzwerk getrennt. Damit ist nicht Windows-Firewall oder Windows-
Firewall mit erweiterter Sicherheit auf dem Host selbst gemeint. Wenn ein Windows
Server 2008-Computer in einem geschützten Netzwerk als eigenständiger Server ein-
gerichtet wird, konfigurieren Sie die Netzwerkverbindung als Verbindung mit einem
privaten Netzwerk.
■ Domäne Wählen Sie die Kategorie Domäne, wenn sich ein Computer bei einer Active
Directory-Domäne
authentifiziert hat. Diese Kategorie wird automatisch gewählt, wenn
über eine Netzwerkschnittstelle eine Authentifizierung bei der Domäne erfolgt ist und
ein Domänencontroller verfügbar ist.
Wenn mehrere Netzwerkschnittstellen verfügbar und mit Netzwerken unterschiedlicher Ka-
tegorien verbunden sind, wird dem Computer die unsicherste Kategorie zugewiesen. Ist also
eine Netzwerkschnittstelle mit dem Internet verbunden und eine andere mit einem geschütz-
ten Netzwerk, in dem es einen Domänencontroller gibt, wird die Kategorie Öffentlich einge-
stellt und die Firewall blockiert eingehende Netzwerkverbindungen.
Get Aktualisieren Ihrer MCSA/MCSE-Zertifizierung auf Windows Server 2008 MCTS - Original Microsoft Training für Examen 70-648 und 70-649 now with the O’Reilly learning platform.
O’Reilly members experience books, live events, courses curated by job role, and more from O’Reilly and nearly 200 top publishers.
