Die Windows-Firewall lehnt jeglichen eingehenden Netzwerkverkehr ab, der nicht als Antwort auf eine Anfrage eingeht oder für den keine Ausnahme konfiguriert ist Die Firewall lässt allerdings ausgehenden Netzwerkverkehr automatisch zu. In der Verwaltungskonsole für die Windows-Firewall sind Einstellungen für IPsec (Internet Protocol Security) integriert. Damit können Sie eigene Verschlüsselungsregeln erstellen oder IPsec zusammen mit dem Netzwerkzugriffschutz (NAP) verwenden. Ausführliche Informationen zur Vorgehensweise finden Sie auch in Microsofts TechNet.
Verbindungssicherheitsregeln konfigurieren
Öffnen Sie die Verwaltungskonsole für die Windows-Firewall über wf.msc. Klicken Sie auf der linken Seite der MMC mit der rechten Maustaste auf Verbindungssicherheitsregeln und wählen Sie im Kontextmenü den Eintrag Neue Regel aus.
Es startet ein Assistent zum Erstellen neuer Regeln für IPsec-Verbindungen. Sie können über den Assistenten mehrere Bedingungen für die Regel festlegen. Wenn Sie Gruppenrichtlinien mit integrierten Firewall-Regeln erstellen, können Sie diese im Netz auf weitere Server verteilen. Alternativ erstellen Sie auf den einzelnen Servern manuell Regeln für IPsec. Tipps und Anmerkungen hierzu finden Sie auch im TechNet
Folgende Konfigurationen lassen sich als Basis einer Verbindungssicherheitsregel vornehmen, unabhängig davon, ob Sie diese als Richtlinie oder lokal in der Firewall-Konsole erstellen:
• Isolierung - Legt über das Active Directory oder über den Status von Computern fest, welche Computer von anderen isoliert sind. Sie müssen angeben, wann eine Authentifizierung zwischen den Computern stattfinden soll (zum Beispiel bei eingehendem oder ausgehendem Netzwerkverkehr) und ob die Verbindung geschützt sein muss oder ob dies nur angefordert wird, aber keine Voraussetzung ist. Die Isolation über den Status eines Computers nutzt den Netzwerkzugriffschutz von Windows Server 2008 R2 und Windows 7. Auf diesem Weg sichern Sie den Zugriff auf sensible Server auf IP-Ebene ab.
• Authentifizierungsausnahme - Legt über die IP-Adresse die Computer fest, die sich nicht authentifizieren müssen oder keine geschützte Verbindung benötigen.
• Server zu Server - Legt fest, wie die Verbindung zwischen Computern geschützt ist. Sie müssen Endpunkte (IP-Adressen) festlegen und angeben, wann die Authentifizierung stattfinden soll. Außerdem müssen Sie die Authentifizierungsmethode festlegen.
• Tunnel - Legt eine durch einen Tunnel geschützte Verbindung fest, zum Beispiel bei Verbindungen über das Internet. Sie müssen die Tunnel-Endpunkte über deren IP-Adressen angeben.
• Benutzerdefiniert - Erstellt eine frei konfigurierbare Regel, mit allen zur Verfügung stehenden Optionen für IPsec.
IPsec-Richtlinien über Gruppenrichtlinien erstellen
IPsec-Richtlinien können Sie entweder zusammen mit dem Netzwerkzugriffsschutz (NAP) oder als einzelne Firewallregel zwischen Servern einrichten. Wollen Sie IPsec zusammen mit NAP einsetzen, sollten Sie zunächst die NAP-Einstellungen vornehmen.
IPsec-Richtlinien erstellen Sie über die Einstellungen der erweiterten Firewall über die Gruppenrichtlinien. Sie können dazu die Default Domain Policy verwenden oder für IPsec eine neue Gruppenrichtlinie erstellen, die Sie mit der OU verknüpfen, in der Sie die Computerkonten der Server und PCs aufnehmen, die per IPsec kommunizieren können sollen:
1. Sie finden die notwendigen Einstellungen für IPsec in der Gruppenrichtlinienverwaltung über Computerkonfiguration/Richtlinien/Windows-Einstellungen/Sicherheitseinstellungen/Windows-Firewall mit erweiterter Sicherheit.
2. Rufen Sie über die rechte Maustaste die Eigenschaften von Windows-Firewall mit erweiterter Sicherheit auf.
3. Anschließend stehen Ihnen verschiedene Registerkarten zur Verfügung, auf denen Sie Voreinstellungen treffen. Hauptsächlich nehmen Sie die Einstellungen für die verschiedenen Netzwerkprofile der Computer vor. Sie sollten für alle Netzwerkprofile identische Einstellungen wählen.
4. Setzen Sie den Firewallstatus auf Ein (Empfohlen).
5. Setzen Sie die Option für Eingehende Verbindungen auf Blocken (Standard).
6. Setzen Sie die Option auf Ausgehende Verbindungen auf Zulassen (Standard).
7. Führen Sie diese Einstellungen für alle drei Netzwerkprofile durch.
8. Bestätigen Sie die Eingaben mit OK.
Regeln richtig konfigurieren
Klicken Sie anschließend auf Verbindungssicherheitsregeln und wählen Neue Regel aus. Danach können Sie entscheiden, welche Art von Regel Sie erstellen wollen. Dazu stehen Ihnen verschiedene Möglichkeiten zur Verfügung, wie im vorangegangenen Abschnitt besprochen. Für die Einrichtung von IPsec-Verbindungen eignet sich die Option Isolierung oder Server-zu-Server. Eine Isolierungsregel schränkt Verbindungen auf der Grundlage der von Ihnen definierten Authentifizierungskriterien ein. Sie können Computer Ihrer Domäne von Computern außerhalb der Domäne isolieren.
Die Authentifizierungsausnahme verwenden Sie, um Computer von der Anforderung auszunehmen. Dieser Regeltyp kommt zum Einsatz, um den Zugriff Domänencontroller, Zertifizierungsstellen oder DHCP-Server sicherzustellen. Der Regeltyp Server zu Server kümmert sich um die Kommunikation zwischen zwei Computern. Mit einem Tunnel sichern Sie die Kommunikation von Computern zwischen Tunnelendpunkten ab, zum Beispiel bei virtuellen privaten Netzwerken oder L2TP-Tunneln (IPsec Layer Two Tunneling Protocol).
Auf der nächsten Seite des Assistenten legen Sie die Art der Authentifizierung fest. Wählen Sie hier die Option Authentifizierung ist für eingehende Verbindungen erforderlich und muss für ausgehende Verbindungen angefordert werden aus. Mit dieser Option bestimmen Sie, dass der gesamte eingehende Datenverkehr authentifiziert oder anderenfalls blockiert wird. Der ausgehende Datenverkehr kann authentifiziert werden, ist aber auch bei fehlerhafter Authentifizierung zugelassen. Sie haben hier alle Möglichkeiten zur Auswahl, müssen sich aber über die Konsequenzen im Klaren sein, wenn die Authentifizierung nicht funktioniert.
Mit der Option Authentifizierung für eingehende und ausgehende Verbindungen anfordern legen Sie fest, dass der gesamte ein- und ausgehende Datenverkehr authentifiziert wird, lassen die Kommunikation jedoch auch bei fehlerhafter Authentifizierung zu. Wenn die Authentifizierung erfolgreich ist, ist auch der Datenverkehr authentifiziert. Die Option Authentifizierung ist für eingehende und ausgehende Verbindungen erforderlich legt fest, dass der gesamte ein- und ausgehende Datenverkehr authentifiziert ist oder Windows den Datenverkehr blockiert.
Auf der nächsten Seite legen Sie fest, welche Art die Authentifizierung verwenden soll. Wählen Sie hier Standard aus. Haben Sie als Regeltyp Server-zu-Server festgelegt, verwenden Sie hier Computerzertifikat. Die Option Standard legt die Authentifizierungsmethode auf Basis der Konfiguration auf der Registerkarte IPsec-Einstellungen in den Eigenschaften der Windows-Firewall mit erweiterter Sicherheit fest.
Bei Computer und Benutzer (Kerberos V5) verwenden Sie sowohl die Computer- als auch die Benutzerauthentifizierung. Kerberos lässt sich nur verwenden, wenn Computer und die Benutzer Mitglied einer Domäne sind. Bei Computer (Kerberos V5) ist die Computerauthentifizierung über Kerberos-Version 5 erforderlich oder wird angefordert. Benutzer (Kerberos V5) ist die Benutzerauthentifizierung über Kerberos-Version 5.
Aktivieren Sie die Option Nur Integritätszertifikate akzeptieren. Bei dieser Methode ist ein gültiges Integritätszertifikat zur Authentifizierung erforderlich, oder Windows fordert es an. Diese Option erscheint nur bei der Auswahl des Regeltyps Server-zu-Server.
Klicken Sie auf Durchsuchen und wählen Sie die Root-CA aus. Aktivieren Sie auf der nächsten Seite die Regel für alle drei Netzwerkprofile. Schließen Sie die Erstellung der Regel mit der Definition der Bezeichnung ab. Die Regel wird anschließend in der Gruppenrichtlinie unter den Verbindungsregeln angezeigt.
Netzwerkrichtlinienserver konfigurieren
Sie können auf Basis der Windows-Sicherheitsintegritätsverifizierung sicherstellen, welche Clients eine sichere IPsec-Verbindung aufbauen können.
Diese Konfiguration führen Sie mit dem Assistenten für den Netzwerkzugriffsschutz durch. Starten Sie dazu die Verwaltung des Netzwerkrichtlinienservers über Start/Verwaltung oder über nps.msc. Gehen Sie zur Konfiguration folgendermaßen vor:
1. Klicken Sie auf den obersten Eintrag der Konsole und dann in der Mitte der Konsole auf NAP konfigurieren, um den Assistenten zu starten.
2. Wählen Sie als Netzwerkverbindungsmethode die Option IPsec mit Integritätsregistrierungsstelle (HRA) aus.
3. Auf der nächsten Seite des Assistenten legen Sie den Netzwerkzugriffserver fest, auf dem die Integritätsregistrierungsstelle (HRA) installiert ist.
4. Danach können Sie spezielle Gruppen festlegen, die Sie für NAP über IPsec konfigurieren wollen. In den meisten Umgebungen können Sie dieses Fenster ohne Eingaben bestätigen.
5. Im nächsten Schritt legen Sie die NAP-Integritätsrichtlinie fest. Hier sollten die beiden Optionen Windows-Sicherheitsintegritätsverifizierung und Automatische Wartung von Clients aktivieren aktiviert sein.
6. Bestätigen Sie die Optionen und schließen Sie den Assistenten ab.
Handelt es sich beim HRA-Server und beim NPS-Server nicht um den gleichen Server, müssen Sie den HRA-Server als RADIUS-Client auf dem NPS-Server hinterlegen.
Clients für die IPsec-Kommunikation konfigurieren
Die Clients im Netzwerk konfigurieren Sie so, dass die Kommunikation IPsec- und NAP-geschützt stattfinden kann.
Die Verwaltung von IPsec und des Netzwerkzugriffsschutzes baut auf der Sicherheitsintegritätsprüfung, in diesem Fall der Windows-Sicherheitsintegritätsverifizierung, auf. Diese ruft von den Clients das Statement of Health (SoH) ab.
Diese Einstellungen finden Sie in der Verwaltungskonsole über NPS/Netzwerkzugriffsschutz/Systemintegritätsprüfungen. Solche Systemintegritätsprüfungen bezeichnet Microsoft auch als Security Health Agents (SHA). Der SHA ist in Windows Vista und Windows 7 durch den Windows Security Health Validator (SHV) verbunden. Hauptsächlich überprüfen diese SHAs den Zustand des Windows-Sicherheitscenters in Windows Vista und des Wartungscenters in Windows 7. Damit die Windows-Sicherheitsintegritätsverifizierung unter Windows Server 2008 R2 Daten empfangen kann, muss in Windows Vista das Sicherheitscenter aktiviert sein, bei Windows 7 ist das automatisch der Fall. Das Sicherheitscenter fragt die entsprechenden Daten auf dem Computer ab und sendet diese zum NPS-Server.
Die nächste Aufgabe, die Sie durchführen müssen, ist die Aktivierung der NAP-Unterstützung auf dem Client:
1. Starten Sie dazu auf dem Computer über napclcfg.msc die Verwaltungskonsole des NAP-Clients.
2. Klicken Sie auf den Konsoleneintrag Erzwingungsclients.
3. Aktivieren Sie Vertrauende Seite von IPsec.
Alternativ können Sie Erzwingungs-Clients für den Netzwerkzugriffsschutz auch über Gruppenrichtlinien aktivieren. Diese Einstellung finden Sie unter Computerkonfiguration/Richtlinien/Windows-Einstellungen/Sicherheitseinstellungen/Netzwerkzugriffschutz/NAP-Clientkonfiguration/Erzwingungsclients.
NAP über IPsec verwenden
Für die Verwendung von NAP über IPsec müssen Sie in der NAP-Client-Konfiguration noch den Menüpunkt Integritätsregistrierungseinstellungen aufrufen:
1. Klicken Sie mit der rechten Maustaste auf die Gruppe Vertrauenswürdige Servergruppen und wählen Neu.
2. Geben Sie auf dem nächsten Fenster der Gruppe eine Bezeichnung. Geben Sie zum Beispiel HRA-Server ein.
3. Deaktivieren Sie das Kontrollkästchen Serververifizierung (https:) ist für alle Server in dieser Gruppe erforderlich.
4. Fügen Sie im Fenster noch die URL http://<NPS-Servername>/domainhra/hcsrvext.dll als Health Registration Authority (HRA) hinzu. Dieser Server stellt Zertifikate für jene Computer aus, die sich in der Domäne authentifiziert haben.
5. Als Nächstes fügen Sie die URL http://<NPS-Servername>/nondomainhra/hcsrvext.dll ein. Diese URL wird nach der oberen URL angeordnet. Durch diese Konfiguration ist sichergestellt, dass sich Clients erst authentifizieren müssen, wenn sie ein Zertifikat erhalten wollen. Gelingt das nicht, verwendet Windows die zweite URL, die ebenfalls einen anonymen Zugriff gestattet.
6. Wenn Sie auf dem NPS-Server den Internetinformationsdienste-Manager starten, können Sie diese beiden Webs anzeigen lassen.
7. Schließen Sie die Konfiguration ab. Anschließend sollten die vertrauten Server und deren URL in der NAP-Client-Verwaltungskonsole angezeigt werden.
Starten Sie den Client neu und melden Sie sich an. Öffnen Sie anschließend die Verwaltungskonsole für lokale Zertifikate. Fügen Sie dazu in einer Verwaltungskonsole das Snap-In Zertifikate hinzu und öffnen Sie den lokalen Zertifikatespeicher. Hier sollte ein Zertifikat angezeigt werden, das durch die Zertifizierungsstelle ausgestellt worden ist. Dazu muss eine lokale Zertifizierungsstelle so eingerichtet sein, dass Sie Zertifikate für IPsec-Clients ausstellen können. Achten Sie aber darauf, dass die Zertifizierungsstelle entsprechend konfiguriert sein muss. Informationen darüber, wie dies funktioniert, finden Sie im TechNet.
Automatische Registrierung von Zertifikaten in Active Directory konfigurieren
Die Zertifizierungsstelle im Unternehmen sollte so konfiguriert sein, dass sie automatisch Zertifikate ausstellt. Auf Basis dieser Zertifikate bauen Windows-Clients später die IPsec-Kommunikation auf. Für die automatische Registrierung von Zertifikaten verwenden Sie am besten die Gruppenrichtlinien:
1. Navigieren Sie zu Computerkonfiguration/Richtlinien/Windows-Einstellungen/Sicherheitseinstellungen/Richtlinien für öffentliche Schlüssel.
2. Klicken Sie auf der rechten Seite doppelt auf die Richtlinie Zertifikatdiensteclient-Automatische Registrierung.
3. Setzen Sie die Richtlinie auf Aktiviert.
4. Aktivieren Sie zusätzlich noch die beiden Optionen Abgelaufene Zertifikate erneuern… und Zertifikate die Zertifikatvorlagen verwenden, aktualisieren.
5. Bestätigen Sie alle Fenster und schließen den Editor für die Gruppenrichtlinien wieder.
Fehlersuche beim Einrichten von NAP über IPsec
Sie können mit dem Befehl
netsh nap client show configuration
die Konfiguration des NAP-Clients in der Befehlszeile anzeigen lassen. Um ein neues Integritätszertifikat anzufordern, reicht es, wenn Sie den Systemdienst des NAP-Agenten neu starten.
Wichtig ist, dass der Erzwingungs-Client für IPsec aktiviert ist, die URLs für die vertrauenswürdige Servergruppe stimmen und der NAP-Client-Dienst gestartet ist. Die aktuelle Logdatei für den NPS finden Sie auf dem Server im Verzeichnis C:\Windows\System32\LogFiles. Hier finden Sie viele Infos, was die Arbeit des NPS transparenter macht. Auch in den Ereignisanzeigen des NPS-Servers schreibt Windows viele Ereignisse, wenn die NAP-Vorgänge ablaufen. Sie finden diese Fehler im Systemprotokoll auf dem Server. Auf dem Client erreichen Sie in der Ereignisanzeige über Anwendungs- und Dienstprotokolle/Microsoft/Windows/Network Access Protection zahlreiche Ereignisse, wenn Sie den NAP-Agent-Dienst neu starten. Diese Ereignisse haben die Quelle Network Access Protection und SystemHealthState. Zusätzlich sollten Sie noch folgende Funktionen überprüfen:
Stellen Sie sicher, dass das Computerkonto des NPS-Servers in den Eigenschaften der Zertifizierungsstelle auf der Registerkarte Sicherheit eingetragen ist und über die Rechte Zertifikate ausstellen und verwalten und Zertifikate anfordern verfügt. Überprüfen Sie, ob für die Zertifizierungsstelle auf der Registerkarte Richtlinienmodul die automatische Registrierung aktiviert ist.
Stellen Sie sicher, dass die Objekterkennung von Zertifikatvorlagen in der Zertifikatvorlagenverwaltung auf der Registerkarte Erweiterungen über Anwendungsrichtlinien/Bearbeiten/Systemintegritätsauthentifizierung/Bearbeiten auf 1.3.6.1.4.1.311.47.1.1 gesetzt ist. Testen Sie, ob der NPS-Server, der auch als Health Registration Authority dient, ein Systemintegritätsauthentifizierungs-Zertifikat hat.
Sollten Sie immer noch kein Zertifikat erhalten, können Sie über die Zertifikateverwaltung des Clients durch Rechtsklick auf Eigene Zertifikate/Alle Aufgaben/Neues Zertifikat anfordern ein Zertifikat manuell ausstellen. Hier sollte auf jeden Fall das Zertifikat für die Systemintegritäts-Authentifizierung vorhanden sein. Um die IPsec-Einrichtung vornehmen zu können, besteht ebenso die Möglichkeit, dass Sie sich zunächst manuell ein Zertifikat ausstellen, die IPsec-Einrichtung durchführen und später überprüfen, warum das automatische Registrieren von Zertifikaten nicht funktioniert. Microsoft stellt eine englischsprachige Anleitung zur Verfügung, die die Einrichtung in einer Testumgebung zeigt. (mje)