RAID-Technologie verspricht höhere Performance und mehr Sicherheit beim permanenten Speichern von Daten. Die ADMIN-Redaktion gibt einen Überblick über ... (mehr)

Steuerung per Netshell und Powershell

Die Windows-Firewall lässt sich bequem über die grafische Oberfläche konfigurieren. Unter »Computerkonfiguration/Windows-Einstellungen/Sicherheitseinstellungen | Windows-Firewall mit erweiterter Sicherheit« hilft der bekannte Dialog-Assistent dabei, bestimmte Regeln für ein- und ausgehenden Netzwerkverkehr und die Verbindungssicherheitsregeln zu erstellen.

Doch auch auf der Kommandozeile lässt sich die Windows-Firewall auslesen und konfigurieren, zum Beispiel mit der Netshell. So können Sie zum Beispiel alle Regeln der Firewall mit dem folgenden Befehl auslesen:

netsh advfirewall firewall show rule name=all

Möchten Sie die Firewall deaktivieren, können Sie dies mit dem folgenden Befehl für sämtliche Profile tun: »netsh advfirewall set allprofiles state off« . Die Reaktivierung erfolgt mit demselben Befehl, nur dass am Ende »state on« angegeben wird. Um beispielsweise eine Regel zu erstellen, die Ping eingehend erlaubt, lautet der Befehl folgendermaßen:

netsh advfirewall firewall add rule name="ICMPv4 eingehend" dir=in action=allow protocol=icmpv4

Die Regel ist aktiv und wird auch im Regelwerk unter »Eingehende Regeln« angezeigt.

Auch die Powershell ermöglicht eine Konfiguration der Windows-Firewall. Allerdings ist dies nicht ganz trivial und bei Weitem nicht so gradlinig wie die Netshell-Befehle. Die Interaktion mit der Windows-Firewall geschieht über das COM-Objekt »HNetCFG.FWPolicy2« . Die Konfiguration erfordert einige Skripting-Kenntnisse.

Tipps und Fazit

Die Windows-Firewall mit erweiterter Sicherheit bietet die Möglichkeit, sowohl eingehende als auch ausgehende Verbindungen zu kontrollieren. Sie unterscheidet dabei einzelne Netzwerkstandorte, die als Profile hinterlegt sind. Dabei ist zu beachten, dass ausgehende Verbindungen grundsätzlich durch die Standardregel für alle Profile erlaubt sind. Andererseits arbeitet die Firewall "stateful", das heißt sie lässt Antwortpakete durch, ohne dass hierfür explizite Regeln erforderlich sind.

Die Windows-Firewall ermöglicht es dem Administrator, im Gegensatz zu Netzwerk-Firewalls, für einzelne Programme festzulegen, ob ihnen die Kommunikation erlaubt oder verboten ist. Zusätzlich ist es möglich, die Kommunikation via IPsec abzusichern. Hierzu lässt sich die Windows-Firewall sowohl für Authentifizierung wie auch für Verschlüsselung konfigurieren.

Der Autor

Eric Amberg ist Geschäftsführer der ATRACON GmbH ( http://www.atracon.de ), seit vielen Jahren im Bereich IT-Infrastruktur als Trainer und Consultant tätig und verfügt über langjährige Projekterfahrung. Sein besonderer Fokus liegt auf Netzwerk-Themen. In seinen Seminaren legt er großen Wert auf eine praxisnahe Schulung.

comments powered by Disqus
Mehr zum Thema

Windows-Clients mit Defender Firewall absichern

Mehr Netzwerk- und Clientsicherheit lässt sich nicht nur durch teure Lösungen und viel Feinjustierung erreichen. In diesem Artikel stellen wir eine Quick-and-Dirty-Lösung vor, die die Messlatte für einen Angreifer hoch genug legt, um als Administrator ruhiger schlafen zu können. Das Konzept funktioniert mit jeder beliebigen Software-Firewall, wir bedienen uns aber der vorhandenen Systemwerkzeuge: Windows Defender Firewall und Gruppenrichtlinien.
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2023