Sicherheit unter Windows 7 und Server 2008 R2
Erweiterte Schutzwand
Neben der Software, die vor Viren, Würmern und unerwünschten Dateianhängen schützt, gehören die Firewalls zu den bekanntesten Sicherheitsmaßnahmen. Am Sinn und Zweck von Desktop-Firewalls scheiden sich zwar häufig die Geister, doch sind nun standardmäßig alle Windows-Versionen damit ausgerüstet. Wir zeigen, was es mit der "erweiterten Sicherheit" der Firewall bei den aktuellen Windows-Systemen auf sich hat.
In vielen Sicherheitsforen und -Blogs findet man immer noch Diskussionen, in denen heftig über
die Nützlichkeit von Desktop-Firewalls auf Softwarebasis gestritten wird: Ein harter Kern von
Gegnern solcher Lösung postuliert weiterhin, dass ein Einsatz dieser Programme mehr Schaden als
Nutzen bringt, da sie die Anwender in falscher Sicherheit wiegen und sie zudem mit viel zu vielen
unverständlichen Benachrichtigungen dazu verleiten würden, im Zweifelsfall immer auf "Ja" zu
klicken.
Unter Windows XP noch nicht komplett
Die Entwickler und Verantwortlichen bei Microsoft scheinen sich dieser Meinung nicht
anzuschließen: Sie haben die seit den Zeiten von Windows XP zum Lieferumfang gehörende Firewall
kontinuierlich weiterentwickelt und immer besser in die Betriebssysteme integriert. War die
Firewall zunächst standardmäßig deaktiviert, wurde sie ab dem zweiten Service-Pack für Windows XP
automatisch so auf das System gebracht, dass sie ohne weiteres Zutun der Anwender oder
Administratoren aktiv war. Allerdings hatte diese Version noch einige Nachteile und genoss sowohl
bei den Systemverwaltern als auch bei den Anwendern eher den Ruf der Nutzlosigkeit.
Dabei richtete schon diese Version der Windows-Firewall zwei unterschiedliche Profile (Corpnet
und Internet) ein und konnte mit Hilfe von Gruppenrichtlinien verwalten werden. Ein von vielen
Kritikern immer wieder betonte Nachteil war aber vor allen Dingen die Tatsache, dass sie nur den
eingehenden Netzwerkverkehr kontrollierte: Sie war so konzipiert, dass sie grundsätzlich den
kompletten ausgehenden Netzwerkverkehr unbehelligt passieren ließ. Sie blockierte jedoch
eingehenden Datenverkehr, der keine Anfrage auf eine zuvor abgesetzte Anfrage war. Gelang es nun
aber einem Schadprogramm aus dem System heraus eine Anfrage ins Internet zu stellen, so passierte
dadurch die Antwort als vermeintlich legaler Datenverkehr ungehindert die Firewall.
Mit Vista wurde es besser
Mit der Verfügbarkeit von Vista und Windows Server 2003 haben die Microsoft-Ingenieure dann eine
stark überarbeitete Version der Firewall geschaffen, die heute auch unter Windows 7 und dem Windows
Server 2008 R2 (Bild 1) zur Verfügung steht. Das Erscheinungsbild und die Einstellmöglichkeiten
unterscheiden sich dabei kaum, so dass den Systemverwaltern über die Windows-Plattformen hinweg
eine einheitliche Oberfläche zur Verfügung steht. Die neue Firewall, die auf den etwas sperrigen
Namen "Windows Firewall mit erweiterter Sicherheit" hört, unterscheidet sich vor allen Dingen in
vier wichtigen Punkten von ihrem Vorgänger:
- Ein Snap-in für die MMC (Microsoft Management Console) bietet Übersicht und erleichtert die
Bedienung enorm; - entsprechende Einstellungen für IPv6 und für die verschiedenen Filterregeln sind nun direkt
innerhalb dieses Snap-ins möglich; - zudem verfügt der Administrator nun über weitaus mehr Möglichkeiten, Ausnahmen beispielsweise
auch für Active-Directory-Konten zu konfigurieren; und - wie lange gefordert, wird bei dieser Lösung aus- und eingehender Netzwerkverkehr überwacht und
im Zweifelsfall auch blockiert.
Es ist selbstverständlich auch weiterhin möglich, die Firewall wie unter den XP- und
Windows-Server-2003-Systemen über das Firewall-Icon innerhalb der Systemverwaltung zu steuern und
hier die grundlegenden Einstellungen vorzunehmen, wie es auch in Bild 1 auf dem Server-System zu
sehen ist. Das exakt gleiche Bild bekommt dann auch der Anwender auf dem Windows-7-Rechner
präsentiert. Er kann dort ebenfalls über den Eintrag "Erweiterte Einstellungen" in das Snap-in zur
feineren Konfiguration der Firewall wechseln. Natürlich – und dies verdeutlicht auf den aktuellen
Systemen das Schild-Icon neben diesem Menüeintrag – ist dies nur mit Administratorrechten
möglich.
Netzwerkstandorte entscheiden
In diesem Zusammenhang sei noch auf die verschiedenen Netzwerkstandorte hingewiesen, die bei den
aktuellen Windows-Systemen immer vorhanden sind und auch ausgewählt werden müssen. Eine derartige
Auswahl hat nämlich auch Einfluss auf die Einstellungen der Firewall. Diese Auswahl wird immer dann
verlangt, wenn sich das Netzwerk ändert und per Systemdienst Network Location Awareness (NLA)
gesteuert. Er hat die Aufgabe, die entsprechenden Informationen zur Konfiguration des Netzwerks zu
sammeln und benachrichtigt die betroffenen Programme, wenn eine Änderung auftritt.
Dabei nutzt das System vier unterschiedliche Profile: Heimnetzwerk, Arbeitsplatznetzwerk,
öffentliches Netzwerk und die Domäne. Die Domäneneinstellung steht nur zur Verfügung, wenn der
fragliche Rechner auch Teil einer Domäne ist. Sowohl beim Heimnetzwerk als auch bei der Einstellung
für kleine Firmen- und Arbeitsplatznetzwerke wird die Firewall-Konfiguration verändert: Eine
Kommunikation von außen ist dann möglich, denn in diesen Netzen ist die Netzwerkerkennung aktiv,
damit sich andere Rechner und Geräte wie Drucker erkennen und finden lassen.
Die sicherste Möglichkeit stellt deshalb die Auswahl eines so genannten öffentlichen Netzwerks
dar, die vor allen Dingen auf mobilen Systemen immer als Standard eingestellt sein sollte. In
dieser Einstellung sperrt die Firewall alle Anfragen, die in das Netzwerk hereinkommen. Ganz
wichtiger Hinweis: Ändert der Anwender dies beispielsweise auf seinem Notebook, weil er die
Verbindung zu einem Instant-Messaging-Dienst benötigt, während er mit einem öffentlichen
Access-Point verbunden ist, so wird diese Einstellung abgespeichert und gilt danach für alle
Netzwerk, die das Profil "öffentliches Netzwerk" verwenden. Deshalb ist es sinnvoll, alle Ausnahmen
anschließend wieder rückgängig zu machen.
Der Typ Domäne (Bild 2) kommt schließlich nur bei Rechnern zum Einsatz, die auch innerhalb einer
AD-Domäne arbeiten, wie wohl bei den meisten Arbeitsplätzen in Unternehmen der Fall ist. Die
Steuerung liegt beim jeweiligen Netzwerkadministrator, der Anwender kann nichts auswählen oder gar
verändern.
Regeln für eingehenden und ausgehenden Netzwerkverkehr
Genau wie die zuvor geschilderte Version unter Windows XP ist auch die neue Windows Firewall
dazu in der Lage, jeden unverlangt eingehenden Netzwerkverkehr sofort zu verwerfen. Dabei handelt
es sich grundsätzlich um Netzwerkpakete, die nicht als eine direkte Antwort auf eine Anfrage dieses
Systems eintreffen, solange für diese keine explizite Ausnahme konfiguriert ist. Die Firewall der
Windows-7- und der -2008-Server-Systeme unterstützt nun aber auch eine Kontrolle des ausgehenden
Netzwerkverkehrs. So kann ein Administrator zum Beispiel Ausnahmen konfigurieren, die alle an
bestimmte Ports gesendeten Pakete blockieren. Dabei kann es sich beispielsweise um solche Ports
handeln, von denen bekannt ist, dass Schadprogramme sie nutzen und eigene Anwendungen sie nicht
verwenden sollen (Bild 3).
Beim Erstellen der Regeln sowohl für den ein- als auch für den ausgehenden Netzwerkverkehr kann
der Systembetreuer unter vier verschiedene Arten auswählen:
- Programm: Blockiert oder lässt den Zugriff für genau eine bestimmte Anwendung zu;
- Port: Blockiert oder lässt den Zugriff über einen oder mehrere (auch Bereiche sind möglich, wie
Bild 3 zeigt) TCP- oder UDP-Ports zu. - Vordefiniert: Regeln, die schon zum vordefinierten Funktionsumfang des Windows-Systems gehören,
zum Beispiel die Dateifreigabe oder die Einstellung für den Branche Cache; und - Benutzerdefiniert: Hier kann der Administrator frei wählen, welche Einstellungen er verwenden
will, um eigene Regel zu definieren.
Ein Netzwerkadministrator, der selbst benutzerdefinierte Regel erstellen will, kann dabei auf
sehr viele Einstellungen zugreifen. Dabei stehen ihm diese nicht nur für lokale Regeln, sondern
auch für solche zur Verfügung, die sich über Gruppenrichtlinien verteilen und anwenden lassen. Zu
den Einstellungen und Elementen, auf die er dabei zugreifen kann, gehören die Benutzer- und
Computerkonten und -gruppen, wie sie im Active Directory zu finden sind. Weiterhin kann er Regeln
definieren, die sich auf Ports, Adressen und Protokollnummern sowohl für TCP als auch UDP, die
verschiedenen Netzwerkschnittstellen (sowohl traditionell als auch drahtlose und
Remote-Verbindungen) und auf ICMP-Typen und -Fehlercodes (Internet Control Message Protocol)
beziehen. Abgespeichert sind diese Regeln wie unter Windows üblich in der Registry. Sie sind dort
unter dem Pfad:
\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters
zu finden. Dort existiert der Unterzweig FirewallPolicy, in dem weitere Unterverzweigungen wie
DomainProfile, FirewallRules, PublicProfile, Restricted Services und StandardProfile abgespeichert
sind. Obwohl sich alle Einstellung hier so handlich beieinander finden, sollten Administratoren
sich hüten, diese direkt in der Registrierungsdatenbank zu ändern: Zu groß ist die Gefahr, dass an
dieser Stelle Fehler passieren. Zudem unterstützt Microsoft grundsätzlich nur die Bearbeitung der
Regeln über das Snap-in in der MMC. Sowohl unter Windows7 als auch unter Windows Server 2008 R2
werden die Ereignisse der Windows-Firewall mit erweiterten Sicherheitseinstellungen auch in der
Ereignisanzeige gespeichert. Zu finden sind sie unter Anwendungs- und
Dienstprotokolle\Microsoft\Windows\Windows-Firewall mit erweiterter Sicherheit. Dort erscheinen die
Informationen zu Firewall- und IPsec-Ereignissen (Verbindungssicherheit).
Sicherheitsregeln für die Verbindungen
Sehr vielfältige Konfigurationsmöglichkeiten bekommt der Administrator durch die
Verbindungssicherheitsregeln an die Hand. Legen die zuvor vorgestellten Regel grundsätzlich fest,
welche Kommunikation erlaubt ist oder nicht, kann er mithilfe dieser Sicherheitsregeln eine noch
feinere Unterscheidung erreichen. Mit ihrer Hilfe spezifiziert er verschiedene Szenarien, bei denen
er festlegt, ob und wie eine Verbindung zu authentifizieren ist. Wählt man bei den grundlegenden
Regeln die Anforderung aus, dass nur sichere Verbindungen zugelassen sind, so muss eine solche
Kommunikation einer dieser Verbindungssicherheitsregeln entsprechen, damit sie von der Firewall
zugelassen wird. Die Einstellungen für die Verbindungssicherheit werden ebenfalls innerhalb der MMC
angeboten und stehen im rechten Panel direkt zur Verfügung (Bild 4).
Durch einen Rechtsklick und der anschließenden Auswahl von "Neue Regel?" erscheint wiederum ein
Assistent, der durch das Anlegen der Regel leitet. Dem Netzwerkadministrator stehen hier fünf
unterschiedliche Ansätze offen, um die Authentifizierung einer Verbindung festzulegen. Auch der
Text in diesem Fenster weist den Administrator noch einmal darauf hin, dass er mit dem Festlegen
dieser Art von Regel keinesfalls bestimmt, ob eine Verbindung grundsätzlich zugelassen wird. An
dieser Stelle wird nur eine Entscheidungsgrundlage dafür festgeschrieben, auf welche Art und zu
welchem Zeitpunkt beim Verbindungsaufbau eine Authentifizierung zu erfolgen hat. Dabei stehen dem
Systembetreuer die folgenden Arten von Regeln zur Verfügung:
- Isolation: Eine solche Regel legt fest, welches System isoliert wird. Dies geschieht dabei
entweder mit Hilfe der AD-Infrastruktur oder auch über den Status des Computers. So lassen sich
mithilfe der Authentifizierung die Verbindungen von und zu einem System genau gesteuert
steuern; - Authentifizierungsausnahme: Mithilfe der IP-Adresse sind Systeme definierbar, die sich nicht
authentifizieren müssen oder bei denen keine geschützte Kommunikation notwendig ist; - Server-zu-Server: Dies legt die Verbindung zwischen Computern fest. Dabei muss der
Administrator IP-Adressen als Endpunkte angeben, die Methode der Authentifizierung festlegen und
angeben, wann diese stattfinden soll; - Tunnel: Kann beispielweise bei einer Verbindung zweier Gateway-Systeme über das Internet zum
Einsatz kommen. Auch dabei sind die Endpunkte des Tunnels anhand ihrer IP-Adressen zu benennen;
und - Benutzerdefiniert: Der Netzwerkverwalter kann eigene Regeln frei anlegen.
Nach dem Erstellen einer Regel erscheint sie in ihrem Detailbereich zur Verbindungssicherheit.
Dort lassen sich auch die erweiterten Eigenschaften der Ausnahme (unter anderem der Name der Regel
und die Authentifizierungsmethode) durch einen Rechtsklick auswählen und bearbeiten.
Für Profis: Zugriff von der Kommandozeile
Neben den sehr komfortablen Zugriffsmöglichkeiten über das Snap-in kann der Systemprofi aber
auch bei den neuen Windows-Systemen wieder über die Kommandozeile auf die Firewall zugreifen.
Administratoren, die schon unter Windows XP oder Windows Server 2003 die Firewall mittels der
Kommandozeile konfiguriert und gesteuert haben, werden aus dieser Zeit sicher noch das Kommando "
netsh Firewall" kennen. Dieses Kommando steht unter den neuen Systemen zwar immer noch zur
Verfügung, Microsoft weist aber ausdrücklich darauf hin, dass dies nur aus Kompatibilitätsgründen
geschieht. Dieser Befehl unterstützt so zum Beispiel nicht das Verwalten oder Konfigurieren von
Firewall-Features, die mit den neueren Windows-Versionen eingeführt wurden. Zudem erlaubt er keine
direkte Konfiguration einer Firewall mittels der Remote-Verwaltung eines Computers. All diese
Features werden durch den neuen netsh-Kontext geboten, dessen Aufruf so aussieht:
c:\ > netshnetsh > advfirewall netsh advfirewall >
Diese Vorgehen unterstützt Befehle wie "show", mit deren Hilfe der Administrator sich die
Profil- und globalen Eigenschaften anschauen kann. Innerhalb von advfirewall stehen dann noch vier
weitere Unterkontexte zur Verfügung. Ihr Aufruf geschieht durch Eingabe ihres Namens an der
Eingabeaufforderung "netsh advfirewall". Dabei sind verfügbar:
- consec: Anzeige und Konfiguration von Verbindungssicherheitsregeln für die Systeme;
- firewall: Anzeige und Konfiguration von Firewall-Regeln;
- mainmode: Anzeige und Konfiguration der Hauptmodus-Konfigurationsregeln. Steht nur unter
Windows 7 und Windows Server 2008 R2 zur Verfügung; und - monitor: Mit diesem Aufruf kann der Netzwerkverwalter die aktuell definierten Firewall- und
IPsec-Regeln sowie die Regeln anzeigen, die aufgrund der Zuordnung zu derzeit aktiven Profilen
aktiv sind.
Der "monitor"-Kontext ermöglicht es zudem, die Sicherheitszuordnungen der aktiven Verbindungen
auf dem System anzuzeigen. Auch die Sicherheitsoptionen, die beim Erstellen ausgehandelt wurden,
lassen sich auf diese Weise per Kommandozeile auf den Schirm bringen. Weitere Möglichkeiten und
Einstellungen des jeweiligen "netsh-Kontextes" kann der Administrator leicht durch Eingabe des
Fragezeichens oder des Befehls "help" am jeweiligen Prompt des Unterkontextes anzeigen lassen.
Lesen Sie mehr zum Thema
