Die Firewall von Vista abschalten und konfigurieren
Ein weit verbreitetes Szenario ist das komplette Abschalten/Deaktivieren der
Firewallfunktion, sobald sich der Rechner oder das Notebook im eigenen LAN
befindet.
Ob das nun aus Sicherheitssicht empfohlen ist, oder nicht sei in diesem Artikel
mal ausser Acht gelassen. Ich möchte mich in diesen Streit gar nicht einmischen,
aber ein bis zwei Sätze werde ich mir nicht sparen ;-)
Das Hauptargument für die Nutzung und Aktivierung der Firewall im eigenen LAN
ist meist: Schutz vor der Verbreitung von Viren im internen Netzwerk, wobei man
sich dann auf jeden Fall fragen sollte, wie die überhaupt ins Netzwerk kommen
konnten (Stichwort: Eine Firewall ist kein Ersatz für den Virenscanner) und
Schutz vor internen Angriffen, z.B.: durch den Zugriff auf die AdminShares,
NetBIOS Scans und andere per Default verfügbaren Dienste und Protokolle auf
einem Windows System. Nur spezielle Rechner und damit die Benutzer dieser Rechner soll der
Zugriff gestattet sein. Also den Administratoren auf ihren AdminWorkstations und
den Admins vom Server aus.
Jetzt werden oftmals 2 Netzwerke gebildet, eins für die normalen Client PCs und
eins für die Server und Admin Workstations. Als Regel wird jetzt nur der Zugriff
vom 2ten ins 1te Netzwerk durch die Firewall zugelassen.
Jetzt sollte man sich nur mal Fragen, wer Zugriff auf die
AdminShares hat, wer Freigaben an einem System erstellen darf
und vor allen, wer Tools installieren kann die direkten Zugriff auf die Hardware
haben, oder zusätzliche Protokolle an die Netzwerkkarte binden.
Nunja, was soll ich sagen? Wenn man in seinem Netzwerk nur mit "Benutzern"
hantiert, dann steht man überhaupt erst garnicht vor dem Sicherheitsproblem.
Aber das nur nebenbei.
Wie man herauslesen kann, bin ich ein Anwender und Verfechter der Idee:
Abschalten der Firewall im eigenen Netzwerk oder "richtig" konfigurieren. Da
letzteres oftmals an anderen Strukturen scheitert, ich mir als Admin aber den
Zugriff nicht entziehen möchte, kommt es am Ende oft auf das Abschalten heraus.
Wie geht das also?
Grundsätzliche Vorgabe:
Es erfolgt eine "automatische" Auswahl des Profils der Firewall anhand der neuen
Netzwerkerkennung von Windows Vista. Sobald im System ein Netzwerk vorhanden
ist, oder erkannt wird an dem kein eigener DC vorhanden ist, ist das Gerät an
einem unsicheren Platz und damit das Profil "Öffentliches Netzwerk" aktiv, somit
auch die Firewall an. Die Frage ist nun, wie verhält sich die Windows Firewall
bei unterschiedlicher Richtlinienkonfiguration. Im Test ist jeweils nur die eine
Richtlinie konfiguriert.
1. Richtlinie:
"Verwendung des Internetverbindungsfirewalls im
eigenen DNS-Domänennetzwerk nicht zulassen" = Aktiviert
Computerkonfiguration/Administrative
Vorlagen/Netzwerk/Netzwerkverbindungen
Ergebnis
Status: Grün, Firewall an
Eingehende Verbindungen, die keine Ausnahme besitzen werden geblockt.
Benachrichtigungen anzeigen, wenn ein Programm geblockt wird = Ja.
Netzwerkstandort: Öffentliches Netzwerk
Wie es scheint ignoriert Vista jetzt endlich den DNS Namen als
alleiniges Kriterium und akzeptiert nur noch die Profile. Das macht auch Sinn,
denn das war ein Schwachpunkt in XP.
2. Richtlinie:
"Windows-Firewall: Alle Netzwerkverbindungen
schützen" = deaktiviert
Computerkonfiguration/Administrative
Vorlagen/Netzwerk/Netzwerkverbindungen/Windows-Firewall/Domänenprofil
Status: Rot, Firewall aus
3. Test, Konfiguration in der neuen CSE
Computerkonfiguration\Windows Einstellungen\Sicherheitseinstellungen
-> Windows Firewall mit erweiterter Sicherheit
Domänenprofil: aus
Eingehende Verbindungen:
-> Zulassen (Standard bei "Nicht konfiguriert" = "Blockieren", ups)
Privat und Öffentliches Profil: Nicht konfiguriert
Ergebnis wie unter Test 2.
Status: Rot, Firewall aus
Wie verhält sich nun das Firewallprofil wenn ein
"Öffentliches Netzwerk" erkannt wird? Bei mir im System ist immer ein
"Microsoft Loopback Adapter" installiert.
Lästigerweise wird dieser immer als öffentlich
erkannt, ich kann ihn nur für die Dauer der Sitzung als ein
"Privates Netzwerk" konfigurieren. Nach Neustart ist es wieder
öffentlich. Das Ganze ist umso ärgerlicher, da der Loopback ja nun wirklich
keinerlei Kommunikation nach Aussen oder von Aussen nach Innen zulässt.
1. Richtlinie:
"Verwendung des Internetverbindungsfirewalls im
eigenen DNS-Domänennetzwerk nicht zulassen" = Aktiviert
Computerkonfiguration/Administrative
Vorlagen/Netzwerk/Netzwerkverbindungen
Ergebnis
Status: Grün, Firewall an
Eingehende Verbindungen, die keine Ausnahme besitzen werden geblockt.
Benachrichtigungen anzeigen, wenn ein Programm geblockt wird = Ja.
Netzwerkstandort: Öffentliches Netzwerk
2. Richtlinie:
"Windows-Firewall: Alle Netzwerkverbindungen
schützen" = deaktiviert
Computerkonfiguration/Administrative
Vorlagen/Netzwerk/Netzwerkverbindungen/Windows-Firewall/Domänenprofil
Die Firewall ist weiterhin aktiv, die GUI wechselt von Grün auf Rot, da ich
nicht mehr die Empfohlenen Einstellungen verwende, das Verhalten der Firewall
ist aber wie unter Test 1.
Status: Rot, Firewall an
Eingehende Verbindungen, die keine Ausnahme besitzen werden geblockt.
Benachrichtigungen anzeigen, wenn ein Programm geblockt wird = Ja.
Netzwerkstandort: Öffentliches Netzwerk
3. Test, Konfiguration in der neuen CSE
Computerkonfiguration\Windows Einstellungen\Sicherheitseinstellungen
-> Windows Firewall mit erweiterter Sicherheit
Domänenprofil: aus
Eingehende Verbindungen:
-> Zulassen (Standard bei "Nicht konfiguriert" = "Blockieren", ups)
Privat und Öffentliches Profil: Nicht konfiguriert
Ergebnis wie unter Test 2.
Status: Rot, Firewall an
Eingehende Verbindungen, die keine Ausnahme besitzen werden geblockt.
Benachrichtigungen anzeigen, wenn ein Programm geblockt wird = Ja.
Netzwerkstandort: Öffentliches Netzwerk
QED :-)
Es ist ein "Öffentliches Netzwerk erkannt, also ist die Firewall
aktiviert.
Jetzt kommt der Knaller:
Man nehme Szenario 2
Domänenprofil:
"Windows-Firewall: Alle Netzwerkverbindungen schützen" = deaktiviert
Firewall sollte wieder aus sein (ist sie auch, normalerweise) aber
jetzt aktiviert man sein per Schalter am Notebook abgeschaltetes WLAN,
ohne sich mit dem hausinternen LAN zu verbinden.
*rumms* es wird ein Netzwerk erkannt, das nicht zugeordnet werden kann,
ihr seit wieder in einem "Öffentlichen Netzwerk *paff*
Status: Grün, Firewall an
Eingehende Verbindungen, die keine Ausnahme besitzen werden geblockt.
Benachrichtigungen anzeigen, wenn ein Programm geblockt wird = Ja.
Netzwerkstandort: Öffentliches Netzwerk
Ich kann dieses Verhalten sowohl mit dem WLAN, als auch mit dem Loopback Adapter
reproduzieren. Ich gehe davon aus, das diese Stolperfalle auch bei BlueTooth und
1394 Firewire Netzwerk Adaptern auftreten kann.
Noch ein nettes Phänomen:
Der Grund, daß das Netzwerk bei einem aktiven Loopback Adapter immer als
Öffentlich erkannt wird, liegt am Fehlen eines Gateways.
MS verwendet diesen, um sich das Netzwerk als solches zu merken und beim
nächsten mal das Profil automatisch zuzuweisen. Ein ärgerliches Problem ist nun
in der NG aufgetaucht: Es gibt Netzwerke in denen kein Gateway (Router)
existiert. Der Internet Zugang erfolgt einzig auf Applikation Ebene mit einem
Proxy.
Wenn der Vista Client keinen Gateway definiert hat
oder findet,
kann er nicht in das AD integriert werden.
Simple Lösung:
Vista überprüft nicht die Funktion des Gateway/Router, sondern nur das
Vorhandensein.
... man definiere einfach den Printserver als Gateway, das macht zwar
funktionell keinen Sinn, aber der Drucker ist idR immer erreichbar.
Danach glaubt das Netzwerk- und Freigabecenter, daß alles in bester Ordnung ist.
Klappt natürlich mit jedem beliebigen Gerät das immer erreichbar ist.
(c) 2003 - heute, Mark Heitbrink, weitere Informationen unter WebSite-Info\Copyright