In Windows Vista finden sich gleich zwei Firewall-Varianten: die einfache Firewall, die mit vielen vorkonfigurierten Regeln arbeitet und wenig Vorwissen benötigt, und die Windows-Firewall mit erweiterter Sicherheit. Dort lassen sich Regeln granular und differenziert festlegen.
Um mit der Windows-Firewall mit erweiterter Sicherheit arbeiten zu können, braucht es allerdings deutlich mehr Wissen über die Anwendungen, die Protokolle des TCP/IP-Stacks und generell die Konfiguration von Firewalls. Dafür kann man aber auch viel genauer steuern, welche Zugriffe zugelassen werden und welche nicht.
Auf der Startseite wird zunächst eine Übersicht zum aktuellen Status der Firewall angezeigt. Dabei fallen drei Profile auf, die voneinander unterschieden werden. Profile erlauben es, mit unterschiedlichen Firewall-Einstellungen zu arbeiten, je nachdem, wo das System betrieben wird.
Das Domänenprofil ist das Profil, das dann genutzt wird, wenn der Computer mit einem Netzwerk verbunden ist und die Authentifizierung über das Domänenkonto durchgeführt wurde. Es handelt sich um das Profil, das in der Regel die meisten Möglichkeiten bietet, da davon auszugehen ist, dass das Unternehmensnetzwerk tendenziell sicherer als private oder öffentliche Netzwerke ist. Allerdings darf man die realen Sicherheitsrisiken in Unternehmensnetzwerken nicht unterschätzen und sollte auch hier eher restriktive Firewall-Regeln konfigurieren.
Der erste Schritt der Konfiguration ist die Festlegung des Grundverhaltens der verschiedenen Profile. Die Konfiguration erfolgt über den Eigenschaften-Dialog für die Windows-Firewall mit erweiterter Sicherheit. In dem Dialogfeld gibt es vier Register. Drei davon beziehen sich auf die unterschiedlichen Profile, das vierte auf die IPsec-Einstellungen. Auf diese wird weiter unten noch im Zusammenhang mit den Verbindungsregeln und der Verbindungssicherheit näher eingegangen.
In den Registern für die Profile kann zunächst der Firewall-Status definiert werden. Die Firewall kann pro Profil aktiviert oder deaktiviert werden. Ausserdem finden sich hier auch die Festlegungen für eingehende und ausgehende Verbindungen.
Standardmässig sind die Option Blocken (Standard) und Zulassen (Standard) aktiviert. Das bedeutet, dass alle eingehenden Verbindungen unterbunden werden, wenn sie nicht explizit durch Firewall-Regeln zugelassen werden. Auf der anderen Seite werden alle ausgehenden Verbindungen zugelassen, wenn es nicht eine Regel gibt, die das verbietet.
Für eingehende Verbindungen gibt es auch die Option, diese zuzulassen oder generell – ohne jede Ausnahme – zu blocken. Ebenso können auch ausgehende Verbindungen zunächst geblockt werden, um dann über Firewall-Regeln selektiv einzelne Verbindungen zuzulassen. Mit den Grundeinstellungen wird man aber meist gute Ergebnisse erzielen.
Die Einstellungen sind übrigens standardmässig für alle Profile gleich. Der Unterschied ergibt sich erst durch die Firewall-Regeln, deren Gültigkeit pro Profil festgelegt werden muss. Es gibt also beispielsweise vordefinierte Firewall-Regeln, die nicht für das Domänen-Profil gelten, sondern nur für das private und das öffentliche Profil.
Nachdem die Grundeinstellungen vorgenommen wurden, müssen im nächsten Schritt die Firewall-Regeln betrachtet und gegebenenfalls angepasst werden. Diese finden sich bei Eingehende Regeln respektive Ausgehende Regeln. Es gibt sehr viele vordefinierte Regeln, mit denen die Standarddienste von Windows Vista abgesichert werden. Weitere Regeln können jederzeit erstellt werden. Ausserdem lassen sich Regeln gezielt aktivieren und deaktivieren. Man kann also einen umfassenden Regelsatz erstellen und nur ausgewählte Regeln aktivieren. Das verhindert insbesondere, dass man aktuell nicht benötigte Regeln löschen und eventuell zu einem späteren Zeitpunkt wieder anlegen muss.
Die Erstellung neuer Regeln wird durch einen Assistenten unterstützt. Im ersten Dialogfeld können unterschiedliche Regeltypen ausgewählt werden. Programmregeln steuern Verbindungen von ausgewählten Anwendungen, Port-Regeln setzen auf den typischen Festlegungen für TCP- und UDP-Ports auf. Mit vordefinierten Regeln kann man die Regeln für standardmässige Vorgänge in Windows-Systemen anpassen. Benutzerdefinierte Regeln erlauben dagegen eine Auswahl von Programmen, Ports, Protokollen und anderen Einstellungen und bieten damit Zugriff auf alle Parameter, die in einer Regel verwendet werden können.
Mit den Firewall-Regeln wird gesteuert, ob und welche Pakete bei ein- und ausgehenden Verbindungen in einem System zugelassen werden. Damit wird aber noch nicht definiert, ob und wie sicher die Verbindung ist. Dafür kann zusätzlich mit Verbindungssicherheitsregeln gearbeitet werden. Diese definieren, in welcher Form Verbindungen zwischen Systemen aufgebaut werden sollen. Hier gibt es allerdings keine vordefinierten Regeln, weil sich diese je nach Systemen und Netzwerk-Infrastruktur doch stark voneinander unterscheiden.
Neue Regeln können auch in diesem Bereich mit Hilfe eines Assistenten erstellt werden. Dabei gibt es unterschiedliche Varianten wie Isolierungen auf Basis von Auswahlkriterien wie der Domänenmitgliedschaft oder einem Integritätsstatus, den expliziten Ausschluss von Systemen, Server-zu-Server-Verbindungen und Tunnels. Die Einschränkungen für die Verbindungen werden über IPsec gesteuert, wobei die Grundeinstellungen für IPsec bei den Eigenschaften der Firewall festgelegt werden können.
Für die Verbindungsregeln lassen sich dagegen Anforderungen, Authentifizierungsmethoden, gegebenenfalls die Endpunkte bei entsprechend eingeschränkten Regeln und die Profile, denen die Regeln zugeordnet sind, festlegen. Damit kann die gesamte Konfiguration von IPsec pro System mit den Festlegungen für die erweiterten Einstellungen der Windows-Firewall zusammengefasst werden, um an einer Stelle die Konfiguration von zulässigen und nicht zulässigen Netzwerkzugriffen sowie ihrer Durchführung festlegen zu können.
Die Steuerung der Einstellungen für die Windows-Firewall mit erweiterter Sicherheit macht wenig Sinn, wenn sie pro System durchgeführt werden muss. Statt dessen empfiehlt es sich, die Einstellungen zunächst auf Testsystemen zu konfigurieren und zu überprüfen, um die Richtlinie anschliessend zu exportieren. Die exportierten Richtlinien lassen sich wiederum in die Gruppenrichtlinien einlesen. Dort finden sich die Einstellungen im Bereich Computerkonfiguration und dort unterhalb der Sicherheitseinstellungen. In den Gruppenrichtlinien können die Regeln falls erforderlich auch direkt angepasst werden.
Über die Gruppenrichtlinien können die Parameter anschliessend auf alle Systeme verteilt werden, auf die die Gruppenrichtlinie angewendet wird. Das setzt voraus, dass man saubere Strukturen im Active Directory definiert hat, über die sich die Systeme, auf die unterschiedliche Varianten von Firewall-Einstellungen angewendet werden sollen, klar und einfach unterscheiden lassen.
Im Vergleich mit der einfachen Windows-Firewall ist die Variante mit erweiterter Sicherheit wesentlich leistungsfähiger. Sie bietet auch im Vergleich zu vielen anderen Lösungen am Markt zwei wichtige Vorteile. Der eine ist die zentrale Konfiguration über die Gruppenrichtlinien, so dass eine einheitliche Einrichtung von lokalen Firewalls im Netzwerk einfach durchsetzbar ist. Der zweite ist die enge Integration mit IPsec, um auch die Authentifizierung und Sicherung von Verbindungen zu unterstützen. Damit lassen sich Gesamtkonzepte für sichere Netzwerke im Windows-Umfeld gut umsetzen.
Als lokale Firewall und in Ergänzung zu zentralen Firewalls und VPN-Gateways im Netzwerk ist die Windows-Firewall mit erweiterter Sicherheit daher eine sehr interessante Alternative – weil sie sowohl leistungsfähig und flexibel als auch sehr gut im verteilten Umfeld verwaltbar ist.
