Windows-Praxis: Sicherheit per Gruppenrichtlinien

Firewall-Einstellungen über Gruppenrichtlinien setzen

Auf Client-PCs erstellen Sie neue Regeln in der Windows-Firewall über die erweiterte Konsole. Diese starten Sie durch Eingabe von wf.msc im Suchfeld des Startmenüs.

Sie können aber auch über Gruppenrichtlinien Firewall-Regeln erstellen und diese an die Clients verteilen.

Sie finden die Einstellungen über Computerkonfiguration/Richtlinien/Windows-Einstellungen/Sicherheitseinstellungen/Windows-Firewall mit erweiterter Sicherheit.

Hier können Sie eingehende und ausgehende Regeln festlegen. Die Oberfläche dazu ist die gleiche wie bei der lokalen Verwaltung der Firewall.

Tunneln beim Einsatz von DirectAccess erzwingen

Mit DirectAccess können Windows-7-Clients über das Internet getunnelt auf Daten des internen Netzwerks zugreifen. Dazu muss im internen Netzwerk ein Server mit Windows Server 2008 R2 zur Verfügung stehen. Lesen Sie dazu auch unseren ausführlichen Beitrag DirectAccess mit Windows Server 2008 R2.

Standardmäßig können DirectAccess-Remote-Clients gleichzeitig auf das Internet, das Intranet und das jeweilige lokale Subnetz zugreifen. DirectAccess-Clients sind so konfiguriert, dass alle Namensabfrageanforderungen für das Intranet an die DNS-Server im Intranet und nicht erkannte oder Ausnahmen betreffende Namensabfrageanforderungen an die DNS-Server des Internetdienstanbieters gesendet werden. Wenn Sie erzwingen möchten, dass der gesamte Intranet- und Internetdatenverkehr über die DirectAccess-Verbindung geschickt wird, können Sie das Erzwingen von Tunneln über Gruppenrichtlinieneinstellung in der Gruppenrichtlinie für DirectAccess-Clients aktivieren:

Computerkonfiguration\Administrative Vorlagen\Netzwerk\Netzwerkverbbindungen\Gesamten Verkehr über das interne Netzwerk weiterleiten

Haben Sie das Erzwingen von Tunneln aktiviert, wird der Datenverkehr vom DirectAccess-Client über einen IP-HTTPS-Tunnel an das Intranet geleitet. (mje)