186 Kapitel 4: Netzwerkzugriffssicherheit
verkehr daran, dass Blockierungsregeln Vorrang vor Zulassungsregeln haben. Wenn Sie also
den Zugriff auf alle Webserver mit Ausnahme der Server aus dem Subnetz 10.10.10.0 /24
sperren möchten, müssen Sie den Bereich der Regel so festlegen, dass die Regel für die
Remoteadressbereiche 0.0.0.1–10.10.9.255 und 10.10.11.0–255.255.255.255 gilt, statt den
gesamten Datenverkehr auf Port 80 zu sperren und ihn mit einer weiteren Regel für das
Subnetz 10.10.10.0 /24 zu erlauben.
Verbindungssicherheitsregeln
Verbindungssicherheitsregeln legen fest, wie und unter welchen Bedingungen Computer
miteinander kommunizieren können. Zu den Angaben in Verbindungssicherheitsregeln ge-
hören eine Liste der Computer, ob für die Verbindung eine Authentifizierung angefordert
wird oder erforderlich ist, sowie die zulässigen Authentifizierungsarten. Verbindungssicher-
heitsregeln lassen sich in verschiedene Kategorien aufteilen, die sich jeweils für unterschied-
liche Szenarien eignen. Wie eingehende und ausgehende Regeln können Sie auch Verbin-
dungssicherheitsregeln auf verschiedene Arten festlegen, nämlich in der WFAS-Konsole,
mit
netsh im Kontext advfirewall firewall oder mit Gruppenrichtlinien. Auf den folgenden
Seiten werden die verschiedenen Arten von Verbindungssicherheitsregeln ausführlicher
beschrieben.
Isolationsrichtlinien
Durch Isolationsrichtlinien können Sie bestimmte Computer aus dem Netzwerk zu Gruppen
zusammenfassen, in denen eine bestimmte Netzwerkauthentifizierung und bestimmte Ver-
schlüsselungsrichtlinien gelten. Nur Computer, die die Voraussetzungen erfüllen, sind in der
Lage, mit anderen Computern zu kommunizieren, für die diese Isolationsrichtlinien gelten.
Es ist zwar möglich, Isolationsrichtlinien mit der Konsole WFAS oder mit
netsh im Kontext
advfirewall consec auf Computerbasis zu konfigurieren, aber da Isolationsrichtlinien ge-
wöhnlich für viele Computer gelten, ist es besser, sie mit Gruppenrichtlinien zu konfigurie-
ren und durchzusetzen.
Die einfachste Form der Isolationsrichtlinie ist die Serverisolationsrichtlinie. Sie verlangt,
dass die gesamte Kommunikation mit einem Server authentifiziert und verschlüsselt wird.
Wie aus Abbildung 4.16 hervorgeht, kann eine Authentifizierung mit Kerberos V5 für Com-
puter- und Benutzerkonten erfolgen, wenn der Computer Mitglied einer Domäne ist, oder
mit einem Computerzertifikat oder einem Integritätszertifikat von einer vertrauenswürdigen
Zertifizierungsstelle. Durch die Wahl der Option Erweitert ist es auch möglich, eine Authen-
tifizierung mit dem NTLMv2-Protokoll oder einem vorinstallierten Schlüssel durchzufüh-
ren.
Weitere Informationen Serverisolation
Weitere Informationen über die Serverisolation in Windows Server 2008-Netzwerken finden
Sie unter dem TechNet-Link http://technet.microsoft.com/en-us/library/cc770626.aspx.
Lektion 2: Windows-Firewall mit erweiterter Sicherheit 187
Abbildung 4.16 Authentifizierungsoptionen für Isolationsregeln
Die Domänenisolation beschränkt den Kontakt zu Computern auf der Basis der Domänen-
mitgliedschaft. Wird sie streng angewendet, können Computer und Benutzer, die Mitglieder
einer bestimmten Domäne oder Gesamtstruktur sind, sich unter der Domänenregel authenti-
fizieren. Domänenisolationsrichtlinien gelten für alle Computer, die Mitglieder einer be-
stimmten Domäne sind, also nicht wie Serverisolationsrichtlinien für eine bestimmte ausge-
wählte Menge von Computern. Werden Domänenisolationsrichtlinien verwendet, lässt sich
der Datenverkehr mit IPSec schützen. Wie man IPSec im Zusammenhang mit Verbindungs-
sicherheitsrichtlinien konfiguriert, haben Sie bereits in Kapitel 2, „Konfigurieren von IP-
Diensten“, erfahren.
Weitere Informationen Domänenisolation
Weitere Informationen über die Domänenisolation in Windows Server 2008-Netzwerken
finden Sie unter dem TechNet-Link http://technet.microsoft.com/en-us/library/cc770610.
aspx.
Authentifizierungsausnahme
Authentifizierungsausnahmen ermöglichen die Auswahl von Computern, für die vorhandene
Verbindungssicherheitsregeln nicht gelten sollen, anhand ihrer IP-Adressen oder bestimmter
vordefinierter Computersätze. Administratoren verwenden Authentifizierungsausnahmen
hauptsächlich, um die Kommunikation mit Infrastrukturservern sicherzustellen, mit denen
Computer bereits kommunizieren müssen, bevor die Authentifizierung abgeschlossen ist. Zu
den Beispielen für solche Infrastrukturserver zählen DHCP-Server (Dynamic Host Configu-
ration Protocol), DNS-Server und Domänencontroller. Um eine Authentifizierungsausnahme
zu erstellen, gehen Sie folgendermaßen vor:
188 Kapitel 4: Netzwerkzugriffssicherheit
1. Starten Sie den Assistenten für neue Verbindungssicherheitsregel.
2. Wählen Sie den Regeltyp Authentifizierungsausnahme und klicken Sie auf Weiter.
3. Klicken Sie auf der Seite Computer ausschließen auf Hinzufügen.
4. Geben Sie im Dialogfeld IP-Adresse eine einzelne IP-Adresse, eine Subnetzadresse
oder einen IP-Adressbereich ein, oder wählen Sie aus der Dropdownliste einen vor-
definierten Computersatz aus. Klicken Sie auf OK und klicken Sie dann auf Weiter.
5. Wählen Sie die Netzwerkprofile aus, für die die Authentifizierungsausnahme gelten
soll, und klicken Sie dann auf Weiter.
6. Geben Sie der Ausnahme einen Namen und klicken Sie auf Fertig stellen.
Server-zu-Server-Regeln
Server-zu-Server-Regeln ermöglichen die Festlegung der Authentifizierung zwischen zwei
verschiedenen Computergruppen. Wie Abbildung 4.17 zeigt, geben Sie die Computer durch
ihre IP-Adressen oder IP-Adressbereiche an. Wie bei anderen Verbindungssicherheitsregeln
können Sie die Regel so konfigurieren, dass für eingehende und ausgehende Verbindungen
die Authentifizierung angefordert wird, dass die Authentifizierung für eingehende Verbin-
dungen erforderlich ist und für ausgehende Verbindungen angefordert wird, oder dass für
alle Verbindungen eine Authentifizierung erforderlich ist.
Abbildung 4.17 Eine Server-zu-Server-Regel
Nachdem Sie festgelegt haben, welche Authentifizierungen angefordert werden oder erfor-
derlich sind, müssen Sie angeben, wie die Authentifizierung stattfinden soll. Zur Wahl ste-
hen ein Computerzertifikat, das von einer vertrauenswürdigen Zertifizierungsstelle ausge-
stellt wurde, ein vorinstallierter Schlüssel oder eine Kombination der Authentifizierung von
Get Aktualisieren Ihrer MCSA/MCSE-Zertifizierung auf Windows Server 2008 MCTS - Original Microsoft Training für Examen 70-648 und 70-649 now with the O’Reilly learning platform.
O’Reilly members experience books, live events, courses curated by job role, and more from O’Reilly and nearly 200 top publishers.
