RAID-Technologie verspricht höhere Performance und mehr Sicherheit beim permanenten Speichern von Daten. Die ADMIN-Redaktion gibt einen Überblick über ... (mehr)

Ausgehende Regeln

Im Bereich »Ausgehende Regeln« sind ebenfalls diverse Regeln vordefiniert. Viele von diesen Regeln sind deaktiviert, einzelne Regeln, für die als Aktion »zulassen« definiert ist, aber bereits aktiviert. Diese Regeln sind allerdings erst dann wirklich relevant, wenn die Standardregel des aktiven Profils auf »blocken« steht, was per Default nicht der Fall ist. Im Normalfall erlaubt die Windows-Firewall jede ausgehende Kommunikation, die nicht explizit geblockt wird. Solange die Standardregel für ausgehende Verbindungen auf »zulassen« steht, ergeben bei den ausgehenden Regeln nur diejenigen Regeln Sinn, die entweder eine bestimmte Kommunikation blocken oder aber sichere Verbindungen voraussetzen.Windows kennt eine Reihe von Regeltypen. Neben den bisher vorgestellten gibt es zum Beispiel noch die Windows-Diensthärtung, Verbindungssicherheitsregeln und Regeln zur authentifizierten Umgehung. Die Reihenfolge der internen Abarbeitung funktioniert in der folgenden Art und Weise:

1. Windows-Diensthärtung

2. Verbindungssicherheitsregeln

3. Authentifizierte Umgehungsregeln

4. Sperrregeln

5. Zulassungsregeln

6. Standardregeln

Mit diesem Ansatz geht die Windows-Firewall etwas andere Wege als andere Firewalls, die das Regelwerk in der Reihenfolge der einzelnen Regeln abarbeiten. Bei der Erstellung der Regeln müssen Sie dies berücksichtigen.

Nur abgesicherte Verbindungen erlaubt

Während die normalen Regeln Verbindungen zulassen oder blockieren, ergänzen die Verbindungssicherheitsregeln dieses Regelwerk. Wählen Sie in einer Regel aus, dass nur sichere Verbindungen erlaubt sein sollen, muss die Kommunikation einer der hier erstellten Regeln entsprechen. Anders als bei den ein- oder ausgehenden Regeln existieren hier keine Default-Regeln.

Die Erstellung einer Verbindungssicherheitsregel erfolgt in derselben Art und Weise, wie die Erstellung ein- und ausgehender Regeln. Nach Auswahl von »Neue Regel« im Kontextmenü können Sie zwischen verschiedenen Regeltypen wählen:

  • Isolierung: schränkt die Verbindungen anhand bestimmter Authentifizierungsregeln ein.
  • Authentifizierungsausnahme: definiert Computer, von denen keine Verbindungen angenommen werden.
  • Server-zu-Server: Verbindungen zwischen den in der Regel angegebenen Computern werden authentifiziert.
  • Tunnel: Bezieht sich auf Gateway-Computer als Tunnelendpunkte. Wählen Sie »Isolierung« , wird der Computer gegen nicht authentifizierte Computer isoliert. Auf der nächsten Dialogseite können wiederum verschiedene Möglichkeiten ausgewählt werden:
  • Authentifizierung für eingehende und ausgehende Verbindungen anfordern: Obwohl die Authentifizierung generell angefordert wird, ist sie bei diesem Typ nicht erforderlich.
  • Authentifizierung ist für eingehende Verbindungen erforderlich und muss für ausgehende Verbindungen angefordert werden: Hier sind eingehende Verbindungen nur dann erlaubt, wenn sie authentifiziert werden können. Ausgehende Verbindungen werden zwar nach Möglichkeit authentifiziert, aber auch zugelassen, wenn die Authentifizierung nicht erfolgreich war.
  • Authentifizierung ist für eingehende und ausgehende Verbindungen erforderlich: Diese Einstellung ist die restriktivste von allen und erlaubt sowohl bei ein- als auch bei ausgehenden Verbindungen nur authentifizierte Kommunikation (Abbildung 7).
Abbildung 7: Im restriktivsten Modus ist für eingehende wie auch ausgehende Verbindungen eine Authentifizierung nötig.

Als Nächstes wird die Authentifizierungsmethode festgelegt. Hierbei können Sie wählen, ob die IPsec-Einstellungen verwendet werden sollen, oder ob über Kerberos authentifiziert werden soll. Letzeres erfordert die Mitgliedschaft in einer Domäne. Nachdem die Regel einen Namen erhalten hat, ist sie erstellt und erscheint im Hauptfenster. Achtung: Die Regel ist auch sofort aktiv! Haben Sie eine entsprechend restriktive Regel erstellt, wird der Computer isoliert, wenn die Remote-Systeme nicht ebenfalls entsprechend konfiguriert sind. Möchten Sie die Verbindung über eine bestimmte ein- oder ausgehende Regel nur dann zulassen, wenn sie gesichert ist, können Sie die entsprechende Aktion in den Eigenschaften der Regel auswählen (Abbildung 8). In diesem Fall können Sie über den Button »Anpassen« weitere Einstellungen für die Sicherung der Kommunikation auswählen und so zum Beispiel eine Verschlüsselung erzwingen.

Abbildung 8: Mit dieser Einstellung erlaubt die Windows-Firewall Verbindungen nur dann, wenn sie entsprechend geschützt sind.
comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2021