Firewalleinstellungen

Die Firewalleinstellungen setzen Windows Defender Firewall-Regeln um, die nicht autorisierte Zugriffe auf das Netz blockieren, was das Risiko von Bedrohungen der Netzsicherheit an allen Endpunkten verringert. Diese Richtlinie unterstützt Windows Version 1709 und höher.

Was ist Windows Defender Firewall?

Windows Defender Firewall ist eine Sicherheitsanwendung, die Netzdatenübertragungen an ein und von einem Windows-System filtert und schädliche Verbindungen sowie die Programme, die diese Verbindungen einleiten, blockiert.

Wie funktioniert die Firewall?

Die Firewall verwendet einen vordefinierten Satz von Regeln für beide Typen (eingehend/abgehend) von Netzverkehr. Sie können den Listen zulässiger Programme, die Verbindungen über die Firewall herstellen dürfen, ein Programm hinzufügen. Der Richtlinienworkflow ist folgendermaßen:
  1. Wählen Sie das Kontrollkästchen Firewalleinstellungen konfigurieren aus.
  2. Konfigurieren Sie globale Einstellungen für die Firewallrichtlinie.
  3. Konfigurieren Sie, wie sich die Firewall verhalten soll, wenn Endpunkte mit einer Domäne, einem privaten oder einem öffentlichen Netz verbunden werden.
  4. Konfigurieren Sie angepasste Firewallregeln für das in der Richtlinie ausgewählte Netz.

Firewalleinstellungen konfigurieren

Eine Firewallkonfiguration ist eine Sammlung von Profilen oder Regeln. Sie wenden diese Profile oder Regeln auf dem Computer an, um die Berechtigungen für alle eingehenden und abgehenden Verbindungen für bestimmte Ports festzulegen. Windows verwendet Profile, um Verbindungen zum Internet oder Netz herzustellen. Windows verwendet die folgenden Profile:
  • Domäne: Das Domänenprofil gilt für Netze, in denen sich das Hostsystem gegenüber einem Domänencontroller authentifizieren kann.
  • Privat: Das private Profil ist ein vom Benutzer zugewiesenes Profil, das zur Bezeichnung privater oder Heimnetze verwendet wird.
  • Öffentlich: Das öffentliche Profil (Standardprofil) wird verwendet, um öffentliche Netze, wie z. B. WiFi-Hot-Spots oder Cafés, Flughäfen oder andere Standorte, zu bezeichnen.

In der folgenden Tabelle werden die Firewall-Einstellungen beschrieben, die Sie für Windows-Geräte konfigurieren können.

Tabelle 1. Firewalleinstellungen
Richtlinieneinstellung Beschreibung Unterstützte Geräte
Firewalleinstellungen konfigurieren Wenn diese Option aktiviert ist, können Sie globale Einstellungen, Netzeinstellungen und angepasste Firewallregeln für Datenverkehr an und von Windows-Endpunkten konfigurieren. Windows Professional, Bildung, Unternehmen
Globale Einstellungen
File Transfer Protocol inaktivieren Wenn diese Option aktiviert ist, legt sie fest, wie die Firewall FTP-Datenverkehr verarbeitet.

Wenn Sie Nein auswählen, überwacht die Firewall den gesamten FTP-Datenverkehr. Wenn Sie Ja auswählen, überwacht die Firewall den FTP-Datenverkehr nicht.

 Windows Professional, Bildung, Unternehmen
Inaktivitätsdauer für Sicherheitszuordnungen vor Löschung Diese Option legt fest, wie lange (in Sekunden) das Gerät maximal wartet, bevor inaktive Sicherheitszuordnungen gelöscht werden. Der gültige Wertebereich ist 300 bis 3600 Sekunden.

Sicherheitszuordnungen sind eine Vereinbarung zwischen zwei Peers oder Endpunkten. Diese Vereinbarungen enthalten alle Informationen, die für einen sicheren Datenaustausch erforderlich sind.

 Windows Professional, Bildung, Unternehmen
Codierung vorab verteilter Schlüssel Wählen Sie den Typ der für den vorab verteilten Schlüssel zu verwendenden Codierung aus.

Ein vorab verteilter Schlüssel (PSK, Pre-shared Key) ist ein geheimer Schlüssel, der von zwei Geräten (z. B. einem Client und einem Server), die über einen gesicherten Kanal verbunden sind, gemeinsam genutzt wird. Der vorab verteilte Schlüssel wird vom Server für die Authentifizierung des Clients verwendet. Ein vorab verteilter Schlüssel kann in Umgebungen verwendet werden, in denen es nicht möglich ist, Clientzertifikate für die gegenseitige Authentifizierung zu verwenden.

 Windows Professional, Bildung, Unternehmen
IPsec-Ausnahmen Wählen Sie den Datenverkehr aus, der von IPsec ausgeschlossen werden soll.

IPsec ist ein Framework offener Standards für die Sicherung einer privaten und sicheren Kommunikation über IP-Netze (Internet Protocol) unter Verwendung von Services für die Verschlüsselungssicherheit. IPsec unterstützt Peerauthentifizierung auf Netzebene, Authentifizierung der Datenherkunft, Datenintegrität, Datenvertraulichkeit (Verschlüsselung) und Schutz gegen Nachrichtenaufzeichnung und -wiederholung. Internet Protocol Security (IPsec) ist ein Satz von Sicherheitsprotokollen, der für die vertrauliche Übertragung von IP-Paketen im Internet verwendet wird. IPsec ist für alle IPv6-Implementierungen verbindlich und für IPv4 optional.

  • IPv6-Codes des Typs ICMP für Nachbarerkennung ausschließen
  • ICMP ausschließen
  • IPv6-Codes des Typs ICMP für Routererkennung ausschließen
  • IPv4- und IPv6-DHCP-Datenverkehr ausschließen
 Windows Professional, Bildung, Unternehmen
CRL-Verifizierung Wählen Sie aus, wie die Verifizierung der Zertifikatswiderrufsliste (CRL, Certificate Revocation List) erzwungen wird.
  • CRL-Überprüfung inaktivieren (Standardeinstellung): Inaktiviert die CRL-Überprüfung.
  • CRL-Verifizierung nur bei widerrufenem Zertifikat als fehlgeschlagen markieren: Die CRL-Überprüfung wird versucht und die Zertifikatsvalidierung schlägt nur fehl, wenn das Zertifikat widerrufen wird. Andere Fehler, die während der CRL-Überprüfung auftreten (wie z. B. die Nichterreichbarkeit der Widerruf-URL), führen nicht zum Fehlschlagen der Zertifikatsvalidierung.
  • CRL-Prüfung bei jedem auftretenden Fehler als fehlgeschlagen markieren: Die CRL-Überprüfung ist erforderlich und die Zertifikatsvalidierung schlägt fehl, wenn während der CRL-Verarbeitung ein Fehler auftritt.
 Windows Professional, Bildung, Unternehmen
Opportunistischen Abgleich des Authentifizierungssatzes pro Schlüsselerstellungsmodul aktivieren Legt fest, wie Schlüsselmodule Authentifizierungssuites ignorieren. Wenn Sie diese Option aktivieren, ignorieren Schlüsselmodule nur die Authentifizierungssuites, die sie nicht unterstützen. Durch die Inaktivierung dieser Option werden die Schlüsselmodule gezwungen, den gesamten Authentifizierungssatz zu ignorieren, wenn sie nicht alle Authentifizierungssuites im Satz unterstützen. Windows Professional, Bildung, Unternehmen
Einreihen von Paketen in die Warteschlange Wählen Sie aus, wie das Einreihen von Paketen in Warteschlangen auf dem Gerät funktioniert. Mit dieser Einstellung können Sie eine ordnungsgemäße Skalierung sicherstellen.

Dieser Wert legt fest, wie die Skalierung für die Software auf der Empfängerseite für den Weiterleitungspfad für verschlüsselten Text und Klartext in einem Gateway-Szenario mit IPsec-Tunnel aktiviert werden soll. Die Verwendung dieser Option stellt sicher, dass die Paketreihenfolge beibehalten wird. Der Datentyp für diesen Optionswert ist Integer und besteht aus einer Kombination von Flags. Gültige Werte:

  • Warteschlangensteuerung inaktivieren: Die gesamte Warteschlangensteuerung wird inaktiviert.
  • Eingehende verschlüsselte Pakete in Warteschlange einreihen: Eingehende verschlüsselte Pakete werden in die Warteschlange eingereiht.
  • Erst nach Paketentschlüsselung in Warteschlange einreihen: Pakete werden nach der Entschlüsselung für die Weiterleitung in die Warteschlange eingereiht.
 Windows Professional, Bildung, Unternehmen
  • Domänennetz (Arbeitsplatz) konfigurieren
  • Privates (nicht erkennbares) Netz konfigurieren
  • Öffentliches (erkennbares) Netz konfigurieren
  • Stealth-Modus aktivieren: Wenn Sie diese Option aktivieren, wird das Gerät in den Stealth-Modus versetzt.

    Der Stealth-Modus verhindert, dass böswillige Benutzer an Informationen über Netzgeräte und Services gelangen. Der aktivierte Stealth-Modus blockiert abgehende Nachrichten über die Nichtereichbarkeit von ICMP oder das Zurücksetzen von TCP von Ports, ohne dass eine App direkt an diesem Port empfangsbereit ist.

  • Ausschluss von IPsec-gesicherten Paketen im Stealth-Modus inaktivieren: Wenn Sie diese Option aktivieren, legt sie fest, wie die Firewall unerwarteten Datenverkehr verarbeitet, der durch IPsec gesichert ist.

    Wenn Sie diese Option nicht aktivieren, lässt die Firewall unerwarteten Netzdatenverkehr zu, der durch IPsec gesichert ist.

    Diese Einstellung ist nur gültig, wenn Sie Stealth-Modus aktivieren.

  • Abgeschirmten Modus aktivieren: Wenn Sie diese Option und die Firewall aktivieren, muss der Server den gesamten eingehenden Datenverkehr unabhängig von anderen Richtlinieneinstellungen blockieren. Standardmäßig ist das Kontrollkästchen abgewählt.
  • Unicast-Antworten auf Multicast-Broadcasts inaktivieren: Wenn Sie diese Option aktivieren, legt sie das Verhalten für die Antworten auf Multicast- oder Broadcastnetzverkehr fest.

    Wenn Sie diese Option inaktivieren, blockiert die Firewall alle Antworten auf Multicast- oder Broadcastnetzverkehr.

  • Eingehende Benachrichtigungen inaktivieren: Wenn Sie diese Option aktivieren, legt sie das Benachrichtigungsverhalten für die Firewall fest. Die Firewall kann Benachrichtigungen an den Benutzer senden, wenn sie eine neue App blockiert.

    Wenn diese Option inaktiviert (abgewählt) ist, sendet die Firewall keine Benachrichtigungen.

  • Abgehende Verbindungen blockieren: Wenn Sie diese Option aktivieren, blockiert die Firewall abgehende Verbindungen. Die Firewall blockiert den gesamten abgehenden Datenverkehr, sofern nicht explizit anders angegeben.
  • Eingehende Verbindungen blockieren: Wenn Sie diese Option aktivieren, blockiert die Firewall alle eingehenden Verbindungen. Die Firewall blockiert den gesamten eingehenden Datenverkehr, sofern nicht explizit anders angegeben.
  • Firewallregeln für berechtigte Anwendungen aus dem lokalen Speicher erzwingen: Wenn Sie Ja auswählen, werden Firewallregeln für berechtigte Anwendungen im lokalen Speicher angewendet, weil sie von der Firewall erkannt und erzwungen werden.
  • Defender Firewall-Regeln aus dem lokalen Speicher erzwingen: Wenn Sie Ja auswählen, werden Firewallregeln im lokalen Speicher angewendet, weil sie von der Firewall erkannt und erzwungen werden.
  • Defender Firewall-Regeln für globalen Port aus dem lokalen Speicher erzwingen: Wenn Sie Ja auswählen, werden Firewallregeln für globale Ports im lokalen Speicher angewendet, weil sie von der Firewall erkannt und erzwungen werden.
  • IPsec-Regeln aus dem lokalen Speicher erzwingen: Wenn Sie Ja auswählen, werden Verbindungssicherheitsregeln aus dem globalen Speicher unabhängig von Versionen von Schema- oder Verbindungssicherheitsregeln angewendet.
 Windows Professional, Bildung, Unternehmen
Firewallregeln konfigurieren Eine Liste von Regeln, die den Datenverkehr über die Windows-Firewall steuern. Zum Hinzufügen einer Regel klicken Sie in der rechten Ecke dieses Abschnitts auf das Symbol Hinzufügen (+).
  • Regelname: Eine eindeutige alphanumerische Kennung für die Regel. Der Regelname darf keinen Schrägstrich (/) enthalten.
  • Regelbeschreibung: Eine Beschreibung der Regel.
  • Datenverkehrsrichtung: Die Regel wird basierend auf der Datenverkehrsrichtung aktiviert.
    • Abgehend (Standardeinstellung): Die Regel gilt für abgehenden Datenverkehr.
    • Eingehend: Die Regel gilt für eingehenden Datenverkehr.
  • Datenverkehr blockieren: Die Regel blockiert Datenverkehr basierend auf der Option, die in der Einstellung Datenverkehrsrichtung verwendet wird. Diese Option lässt standardmäßig den gesamten Datenverkehr zu.
  • Netztypen: Der Typ des Netzes (Domäne, Privat, Öffentlich), für den die Regel gilt. Wenn Sie keinen Netztyp auswählen, gilt die Regel standardmäßig für alle Typen von Netzen.
  • Anwendungskonfigurationen: Die Regeln, die Verbindungen für eine App, ein Programm oder einen Service steuern.
    • Alle (Standardeinstellung): Die Regel gilt für alle Apps, Programme und Services.
    • Paketfamilienname: Der eindeutige Name der Microsoft Store-App. Weitere Informationen zum Abrufen des Paketfamiliennamens finden Sie unter Beispiele für das manuelle Abrufen von Windows-App-IDs.
    • Dateipfad: Der vollständige Dateipfad der App. Beispiel: C:\Windows\System\Notepad.exe
    • Windows-Dienst: Der Name, der verwendet wird, wenn ein Dienst (oder Service) und keine App Datenverkehr sendet oder empfängt.
  • IP-Adresskonfiguration - Lokale Adresse: Die lokalen IP-Adressen, für die die Regel gilt:
    • Beliebige Adresse
    • Bestimmte Adressen: Eine durch Kommas getrennte Liste lokaler Adressen, die von der Regel abgedeckt sind.
      • Eine gültige IPv6-Adresse.
      • Ein IPv4-Adressbereich im Format "Adresse-Ende-Adresse starten" ohne Leerzeichen. Zum Beispiel: 24.194.231.8-24.194.231.12
      • Ein IPv6-Adressbereich im Format der "Adresse-end-Adresse starten" ohne Leerzeichen. Zum Beispiel: 2001:0DB8:ABCD: 0012:0000:0000:0000:0000-2001:0DB8:ABCD: 0012 :FFFF:FFFF:FFFF:FFF
  • IP-Adresskonfiguration - Ferne Adresse: Die fernen IP-Adressen, für die die Regel gilt.
    • Beliebige Adresse
    • Bestimmte Adressen: Eine durch Kommas getrennte Liste von Token, die die fernen Adressen angeben, die von der Regel abgedeckt sind.
      • "Defaultgateway"
      • "DHCP"
      • "DNS"
      • "WINS"
      • "Intranet" (Dieses Token wird von Windows Version 1809 und höher unterstützt.)
      • "RmtIntranet" (Dieses Token wird von Windows Version 1809 und höher unterstützt)
      • "Internet" (Dieses Token wird von Windows Version 1809 und höher unterstützt.)
      • "Ply2Renders" (Dieses Token wird von Windows Version 1809 und höher unterstützt)
      • "LocalSubnet" gibt jede lokale Adresse im lokalen Teilnetz an. Bei diesem Token muss die Groß-/Kleinschreibung nicht beachtet werden.
      • Eine gültige IPv6-Adresse.
      • Ein IPv4-Adressbereich im Format "Adresse-Ende-Adresse starten" ohne Leerzeichen. Zum Beispiel: 24.194.231.8-24.194.231.12
      • Ein IPv6-Adressbereich im Format der "Adresse-end-Adresse starten" ohne Leerzeichen. Zum Beispiel: 2001:0DB8:ABCD: 0012:0000:0000:0000:0000-2001:0DB8:ABCD: 0012 :FFFF:FFFF:FFFF:FFF
  • Protokolle und Ports: Die lokalen und fernen Protokolle oder Ports, für die die Regel gilt.
    • Beliebig (Standardeinstellung): Beliebiger Port oder beliebiges Protokoll, für den bzw. das die Regel gilt.
    • TCP: (Transmission Control Protocol) Ein Kommunikationsprotokoll, das im Internet und in jedem Netz verwendet wird, das die IETF-Standards (Internet Engineering Task Force) für Internetprotokolle einhält. TCP ist ein zuverlässiges Host-to-Host-Protokoll in DFV-Netzen mit Paketvermittlung und Systemverbünden solcher Netze.
      • Alle Ports
      • Bestimmte Ports: Eine durch Kommas getrennte Liste von Portbereichen.
    • UDP: (User Datagram Protocol) Ein Internetprotokoll, das einen unzuverlässigen, verbindungsunabhängigen Datagrammservice bereitstellt. Damit ist ein Anwendungsprogramm in einem System oder Prozess in der Lage, ein Datagramm an ein Anwendungsprogramm in einem anderen System oder Prozess zu senden.
      • Alle Ports
      • Bestimmte Ports: Eine durch Kommas getrennte Liste von Portbereichen.
    • Angepasster Port: Eine durch Kommas getrennte Liste von Portnummern. Die gültigen Werte sind 0 bis 255.
  • Schnittstellentypen: Der Typ von Netzverbindungen, für den die Regel gilt.
    • Fernzugriff
    • Festnetzunabhängig
    • LAN
  • Berechtigte Benutzer: Die Liste berechtigter lokaler Benutzer für diese Regel. Die Liste ist eine Zeichenfolge im SDDL-Format (Security Descriptor Definition Language). Weitere Informationen zu SDDL finden Sie unter https://docs.microsoft.com/en-us/windows/win32/secauthz/security-descriptor-string-format.
 Windows Professional, Bildung, Unternehmen