Wer den Konfigurationsdialog für die Windows Firewall über die Systemsteuerung startet, wird herb enttäuscht: Die neue Firewall scheint exakt den selben Funktionsumfang zu haben, wie die Firewall von Windows XP und 2003. Sogar die Oberfläche sieht bei Vista nahezu identisch aus.
Doch der erste Eindruck täuscht. Vista verfügt aus unerklärlichen Gründen über zwei unterschiedliche Benutzerschnittstellen für die Firewall-Konfiguration. Die neue und deutlich mächtigere Oberfläche erreichen Sie über die administrativen Werkzeuge. Um damit uneingeschränkt arbeiten zu können, muss dieses Tool unter einem administrativen Account ausgeführt werden.
Das wurde erweitert
Bisher konnte die Windows Firewall nur eingehenden Traffic filtern. Der neue Filterungsmechanismus kümmert sich nun auch um ausgehende Datenpakete. So kann der Admin eines Rechners beispielsweise ausgehenden Traffic blockieren, der sich an bekannte und unerwünschte Adressen richtet.
Ebenso ist es auch möglich, Ports zu blockieren, die als Ausgangsport für bestimmte Malware bekannt sind. Von Haus aus blockiert die Firewall sämtlichen eingehenden Traffic, solange er nicht zu einer bestehenden Verbindung oder einer Ausnahmeregel passt. Ausgehender Traffic wird grundsätzlich blockiert, sofern es keine Ausnahmeregel gibt. Damit ein Vista Rechner nach der Installation mit einem Netzwerk kommunizieren kann, wird das System von Haus aus mit einer ganzen Reihe von Regeln für den ausgehenden Verkehr ausgeliefert.
Zudem gibt es die bereits erwähnte neue Benutzerschnittstelle, die in Form eines MMC-Plugins vorliegt. Optional lässt sich die Konfiguration auch über Group Policies oder per Kommandozeile erledigen. Dafür gibt es den neuen „advfirewall“ Kontext im „netsh“ Kommando.
Schließlich hat Microsoft die Firewall-Einstellungen und die Einstellungen für IPSec zusammengefasst. Bei Windows XP und dem Server 2003 wurden Firewall und IPSec separat konfiguriert. Sowohl IPSec als auch die Firewall können Pakete blockieren oder erlauben – daher war es früher theoretisch möglich, sich widersprechende Regeln für IPSec und die Firewall anzulegen. Das ist nun nicht länger der Fall – außerdem ist der IPSec Stack nun deutlich sichtbarer und besser erreichbar.
Die neue Konsole
Nach dem Start erscheint die neue Konsole mit dem für Vista typischen dreispaltigen Layout. In der Linken Spalte sind die verschiedenen Regelsätze aufgelistet. Der hier ausgewählte Knoten bestimmt, was in der mittleren Spalte angezeigt wird: „Inbound Rules“, „Outbound Rules“ oder „Connection Security Rules“. Letztere sind die Regeln für IPSec. In der rechten Spalte finden sich Links zu möglichen Aktionen, Filtermöglichkeiten und dergleichen. Was genau angeboten wird, ist ebenfalls von der Auswahl in der linken Spalte abhängig.
Ist noch keiner der Regelsätze ausgewählt, so zeigt die mittlere Spalte den Status der Firewall an. Um diese Anzeige zu verstehen, muss man aber erst einmal einen neuen Begriff kennen lernen: Die „Network Location Types“.
Network Location Types
Vista unterscheidet zwischen drei unterschiedlichen Arten von Netzwerken: Domain, Public und Private.
Der Computer befindet sich in einem Domain-Netz, wenn er Verbindung zu einem Netzwerk hat sich in diesem Netzwerk ein Domain-Controller für eine Domain befindet, zu der auch der Rechner selbst gehört. Typischerweise ist das bei einem Firmennetzwerk der Fall.
Ein Public-Netz liegt vor, wenn das Netzwerk einen direkten Zugang zum Internet hat, der Rechner aber nicht zur Domain des Netzwerkes gehört. Solche Netzwerke finden sich beispielsweise in öffentlichen Einrichtungen wie Bibliotheken.
Ein Private-Netz ist ein Netzwerk mit einem gewissen Maß an Schutz vor dem Internet, das andere vertrauenswürdige Computer beherbergt.
Für jede dieser drei Netzwerkarten können Sie die Windows Firewall dediziert konfigurieren und Regelsätze anlegen. Das ist zum Beispiel für Laptops praktisch: Befindet sich der Laptop am Arbeitsplatz, gelten die Regeln der „Domain“-Firewall. Ist der Laptop nicht mehr in der Docking-Station sondern unterwegs in Betrieb, gelten die Regeln aus dem „Public Profile“.
Anlegen einer neuen Regel
Um eine neue Regel für eingehenden Traffic anzulegen, klickt man mit der rechten Maustaste auf den Knoten für „Inbound Rules“ und wählt dann den Befehl „Neue Regel“ (New Rule). Das öffnet den Wizard zum Anlegen einer neuen Regel.
Im ersten Schritt teilen Sie diesem Wizard mit, was für eine Art von Regel Sie definieren wollen. Hier unterscheidet die Firewall zwischen „Program“, „Port“, „Predefined“ und „Custom“. Eine Regel für ein „Program“ basiert auf dem Pfad zum Programm, der im zweiten Schritt anzugeben ist. Außerdem stellen Sie ein, ob die Verbindung zugelassen oder blockiert werden soll. Als dritte Möglichkeit gibt es noch die Option, die Verbindung zuzulassen, wenn es sich um eine sichere Verbindung handelt. Danach wählen Sie aus, für welche der Netzwerkprofile die Regel gelten soll, und vergeben einen Namen.
Ähnliche, den anderen Vorgaben angepasste Angaben müssen auch für die anderen Regelarten gemacht werden.
Editieren von Regeln
Alle Regeln erscheinen dann in der Liste der „Inbound Rules“, die in der mittleren Spalte der Firewall-Konsole angezeigt wird. Per Doppelklick auf eine der Regeln erreichen Sie den Eigenschaften-Dialog dieser Regel. Das ist wichtig, denn einige der Eigenschaften können mit dem Wizard nicht eingestellt werden. Dazu zählt zum Beispiel die Möglichkeit, eine Regel auf bestimmte Userkonten oder Computer einzuschränken. Ebenso ist es auch möglich, Regeln nur auf bestimmte Netzwerkinterfaces anzuwenden. Von Haus aus werden die Regeln immer auf alle angewendet.
Die Definition von Regeln für ein- und ausgehenden Datenverkehr ist weitgehend identisch: Anders sieht die Sache bei den „Connection Security Rules“ aus. Hier bietet der Wizard fünf unterschiedliche Arten von Sicherheitsregeln an, die naturgemäß nichts mit den Regeln der Firewall zu tun haben. Stattdessen geht es hier darum, ob ein Isolationsbetrieb gefahren werden soll, ob Inter-Server Kommunikation geschützt werden soll, und so weiter.
Verbindungs-Sicherheit
Die folgenden Arten an Regeln für Connection-Security können definiert werden:
Isolation: Ein solche Regel beschränkt Verbindungen auf Basis von Domain-Mitgliedschaften und erlaubt die Isolierung von Domains.
Authentifizierungsausnahmen: Mit Hilfe einer solchen Regeln können Computer von einer ansonsten vorgeschriebenen Authentifizierung ausgenommen werden.
Server-to-Server: Mit einer solchen Regel werden normalerweise Inter-Serververbindungen gesichert. Im Wesentlichen definiert man dafür zwei Endpunkte, für die dann die weiterhin festzulegenden Erfordernisse passen müssen, damit eine Verbindung zugelassen wird.
Tunnel: Eine Tunnel-Regel wird meist für die Verbindung zweier Gateway-Computer über das Internet eingesetzt.
Custom: Zudem bietet das System noch die Möglichkeit an, Regeln völlig frei zu konfigurieren.
Schließlich bietet die Firewall-Konsole auch noch einen Monitoring-Teil. Der zeigt im Wesentlichen den aktuellen Zustand der Firewall an. Dazu zählt die Art und Weise, in der momentan Pakete gehandhabt werden, welches Netzwerk-Profil aktiv ist sowie wo und wie die Firewall-Aktivitäten protokolliert werden.
Die Windows Firewall in Vista ist eine stateful, Host basierte Firewall, die ein- und ausgehende Verbindungen blockieren kann. Eine sehr simplifizierte Variante zur Konfiguration dieser Firewall findet sich weiterhin in der Systemsteuerung. Tatsächlich ist die neue Firewall aber regelbasiert, und die Regeln können mit einem zusätzlichen Tool aus den administrativen Werkzeugen erstellt werden.
Über die Group Policies lassen sich die Einstellungen der Firewall schnell und automatisch auf alle Computer in der Domäne verteilen und aktualisieren. Damit kann der Administrator zentral auf neue Gefahren reagieren oder zusätzliche Applikationen erlauben. (Thomas Wölfer/mha)