Probleme mit der Technik? - Schnurer hilft! - Windows Vista Firewall konfigurieren

Microsoft hatte schon Windows XP eine einfache, aber effektive Firewall mit auf den Weg gegeben, die eingehende Netzwerkverbindungen blockieren kann. Die Vista-Firewall lässt sich detaillierter und trotzdem bequemer konfigurieren, indem sie die Regeln an die Netzwerkumgebung anpasst.

Die Firewall, die Microsoft Windows XP spendiert und mit Service Pack 2 renoviert hat, leistet schon alles, was man von einer guten Desktop-Firewall verlangt: Sie schottet den Rechner gegen Angriffe von außen ab, indem sie eingehende Netzwerkverbindungen generell blockiert und nur Antworten auf Anfragen reinlässt. Ausgehenden Datenverkehr filtert sie im Gegensatz zu kommerziellen Personal Firewalls nicht [--] macht nix, denn diesen Mechanismus können Schadprogramme allzu leicht umgehen [siehe: "Der Spion, der aus dem Innern kam, Warum Personal Firewalls als Detektiv versagen", c’t 17/06, S. 108].

Die Firewall von Windows Vista arbeitet von Haus aus wie die von Windows XP, räumt jedoch mit einigen Schwachstellen wie zu lange offen stehenden Türen auf [siehe : "Firewall-Kur, Netzwerkschutz mit Service Pack 2", c’t 16/04, S. 98]. Weitere Neuerungen richten sich vor allem an Admins im Unternehmen. Hier dreht sich alles um die Integration von IPsec mit der Firewall-Konfiguration, was die verschlüsselte Kommunikation Unternehmens-Netzwerken erleichtert. Viele dieser Goodies kommen aber erst im nächsten Jahr mit dem Windows Server 2008 zum Zuge, der Infrastruktur schafft, die unter anderem überprüft, ob ein Client alle Sicherheitsupdates und die neuesten Virensignaturen an Bord hat, noch bevor er das gesamte Netzwerk sehen darf.

Die Vista-Firewall, offiziell "Windows Firewall mit erweiterter Sicherheit" getauft, fußt auf der neuen Programmierschnittstelle Windows Filtering Platform. Diese soll Programmierern die Überwachung und Kontrolle des Netzwerkverkehrs auf verschiedenen Ebenen vereinfachen.

[b]Erweiterung[/b]

Dreh- und Angelpunkt der Verbesserungen, die jedem Anwender zu gute kommen, ist die automatische Anpassung der Firewall an das Netzwerk, an dem der Rechner hängt: Sie kann die drei unterschiedlichen Standorte Domäne, öffentliches und privates Netz unterscheiden und aktiviert darin jeweils eigene Sätze von Firewall-Regeln. Diese Unterscheidung ermöglicht Benutzern, etwa zu Hause mit Dateifreigaben großzügig umzugehen und Musik mit iTunes zu verteilen, diese Freigaben aber im Bahnhofs-Hotspot automatisch sperren zu lassen, sodass Fremde keine Daten klauen können. Bei der Einrichtung einer Netzwerkverbindung fragt Vista, ob diese in ein Netzwerk auf der Arbeit, ein privates oder öffentliches Netz führt. Das Profil "Domäne" steht dem Normalbenutzer nicht zur Auswahl, es kommt nur nach einer gründlichen automatischen Prüfung der Netzwerkumgebung zum Einsatz: nur, wenn an jeder aktiven Netzwerkschnittstelle ein Domänencontroller der eigenen Domäne sichtbar ist. Das bedeutet zum Beispiel: Wer auf dem Firmenrechner Bluetooth aktiviert, um Daten von seinem Handy zu überspielen, fliegt unter Umständen aus dem Netz, weil Vista vom Domänenprofil auf "Öffentlich" umschaltet. Arbeit und Heim werden nur pro forma unterschieden [--] in beiden Fällen wendet Vista das Profil "Privat" an, das Datei- und Druckfreigaben ebenso freischaltet wie die Remote-Unterstützung und Basisdienste wie DNS und DHCP.

Vista beobachtet die Hardware-Adresse des Internet-Gateways und speichert seine Zuordnung zu einem Standort-Profil ab. Nimmt man also sein Laptop in einem anderen Netz als dem heimischen in Betrieb, schaltet Vista erstmal auf das öffentliche Standort-Profil um, in dem im Auslieferungszustand alle Schotten dicht sind. Anschließend fragt Windows erneut nach, ob es sich bei dem neuen Netzwerk um ein öffentliches oder privates handelt. Für verschiedene Netze lassen sich jedoch keine eigenen Regelsätze anlegen, die Regeln beziehen sich immer auf ein Standort-Profil. Doch per Kommandozeilen-Skript kann man Regelsätze en bloc sichern und neu laden, so dass sich auch hier Mittel und Wege finden, das Laptop im Büro weniger offenherzig zu betreiben als zu Hause. Die folgende Eingabe macht zum Beispiel den lokal installierten Webserver für die neugierigen Kollegen unsichtbar.

[i]netsh advfirewall add rule name="Web blockieren" protocol=tcp dir=in remoteport=80,443 action=block[/i]

Benutzer mit lokalen Administratorrechten können [--] sofern es kein Domänenadmin verboten hat [--] mit einem Rechtsklick auf das Netzwerksymbol im Systemtray das "Netzwerk- und Freigabecenter" öffnen. Dort kann man über einen Klick auf "Anpassen" rechts vom Netzwerknamen den Netzwerkstandort zwischen "Öffentlich" und "Privat" umschalten. Das private Standort-Profil sollte man aber nur aktivieren, wenn man hinter einem NAT-Router sitzt oder anderweitig durch eine vorgeschaltete Firewall geschützt ist.

Will sich eine Anwendung als Server eingehende Verbindungen empfangen, zeigt die Vista-Firewall eine Warnung an und holt beim Anwender eine Erlaubnis ein.

Die in der Systemsteuerung sichtbare Oberfläche der Vista-Firewall ist dabei genauso spartanisch wie die unter Windows XP SP2. Sie erlaubt lediglich, entweder ein Programm oder einen Netzwerkport freizuschalten und dabei höchstens noch die IP-Adressen beziehungsweise -Netzbereiche einzugrenzen. So kann man dem Apache-Webserver aus einem XAMPP-Paket entweder alle erdenklichen Netzwerkverbindungen erlauben oder den Zugriff auf die TCPPorts 80 und 443 für HTTP und HTTPS generell freigeben [--] dann können aber auch x-bliebige andere Anwendungen auf diesen Ports lauschen. Eine detailliertere Konfiguration ist erst unter Vista mit der erweiterten Firewall-Konfiguration in der Management-Konsole MMC möglich. Für Privatanwender reichen die einfachen Ausnahmeregeln für gewöhnlich jedoch aus.

Wie bereits angedeutet, kann die Vista-Firewall neben eingehenden auch ausgehende Verbindungen kontrollieren. In der Grundeinstellung erlaubt sie jedoch in allen Standort-Profilen alle ausgehenden Verbindungen. Sie verhält sich daher erstmal wie die Firewall von Windows XP SP2. Eine gravierende Einschränkung ist jedoch, dass Vista bei blockierten ausgehenden Verbindungen keine Warnungen anzeigen kann. In der Standardinstallation werden die unerwünschten Kontaktversuche nicht einmal protokolliert. Für Privatanwender ist die generelle Blockade ausgehenden Verkehrs mit der Vista-Firewall daher nicht sinnvoll. Nur allzuschnell verkonfiguriert man sich, sodass einige Anwendungen ins Stolpern kommen. Sicherheit hat man trotzdem nicht gewonnen, weil ausgefeiltere Schädlinge sich ohnehin in freigeschaltete Prozesse wie den Webbrowser einklinken und so unbemerkt nach Hause telefonieren oder Spam verschicken können.

Den kompletten Artikel "Vistas Netzwerkwächter, Wozu die Vista-Firewall taugt [--] und wozu nicht" finden Sie ind der Printausgabe 20/07 des c't magazins ab Seite 202. Ab dem 1. Oktober erhalten Sie den Artikel auch im c't Kiosk.

[b]Fragen Sie doch einfach![/b]

Fragen Sie unseren Experten und schicken Sie uns Ihre Frage als Video. Schafft es Ihre Anfrage in die Sendung, schenken wir Ihnen ein exklusives c't-magazin-Computerversteher-T-Shirt. Mehr Informationen darüber, wie Sie uns Ihr selbstgefilmtes Video schicken können, finden Sie hier.