Sicherheitsregeln, NAP, Zertifikate

Praxis-Workshop: Windows-Firewall mit IPsec konfigurieren

Mithilfe der Windows-Firewall, der erweiterten Sicherheitseinstellungen und IPsec können Sie unerwünschten Datenverkehr im Netzwerk blockieren und den erwünschten schützen. Dieser Beitrag erläutert Sicherheitsregeln sowie deren Konfiguration und bietet Unterstützung beim Zusammenspiel von IPsec und NAP.

Die Windows-Firewall lehnt jeglichen eingehenden Netzwerkverkehr ab, der nicht als Antwort auf eine Anfrage eingeht oder für den keine Ausnahme konfiguriert ist Die Firewall lässt allerdings ausgehenden Netzwerkverkehr automatisch zu. In der Verwaltungskonsole für die Windows-Firewall sind Einstellungen für IPsec (Internet Protocol Security) integriert. Damit können Sie eigene Verschlüsselungsregeln erstellen oder IPsec zusammen mit dem Netzwerkzugriffschutz (NAP) verwenden. Ausführliche Informationen zur Vorgehensweise finden Sie auch in Microsofts TechNet.

Verbindungssicherheitsregeln konfigurieren

Öffnen Sie die Verwaltungskonsole für die Windows-Firewall über wf.msc. Klicken Sie auf der linken Seite der MMC mit der rechten Maustaste auf Verbindungssicherheitsregeln und wählen Sie im Kontextmenü den Eintrag Neue Regel aus.

Festlegung: Sie können mit der Windows-Firewall eine neue Verbindungssicherheitsregel erstellen.
Festlegung: Sie können mit der Windows-Firewall eine neue Verbindungssicherheitsregel erstellen.

Es startet ein Assistent zum Erstellen neuer Regeln für IPsec-Verbindungen. Sie können über den Assistenten mehrere Bedingungen für die Regel festlegen. Wenn Sie Gruppenrichtlinien mit integrierten Firewall-Regeln erstellen, können Sie diese im Netz auf weitere Server verteilen. Alternativ erstellen Sie auf den einzelnen Servern manuell Regeln für IPsec. Tipps und Anmerkungen hierzu finden Sie auch im TechNet

Folgende Konfigurationen lassen sich als Basis einer Verbindungssicherheitsregel vornehmen, unabhängig davon, ob Sie diese als Richtlinie oder lokal in der Firewall-Konsole erstellen:

Isolierung - Legt über das Active Directory oder über den Status von Computern fest, welche Computer von anderen isoliert sind. Sie müssen angeben, wann eine Authentifizierung zwischen den Computern stattfinden soll (zum Beispiel bei eingehendem oder ausgehendem Netzwerkverkehr) und ob die Verbindung geschützt sein muss oder ob dies nur angefordert wird, aber keine Voraussetzung ist. Die Isolation über den Status eines Computers nutzt den Netzwerkzugriffschutz von Windows Server 2008 R2 und Windows 7. Auf diesem Weg sichern Sie den Zugriff auf sensible Server auf IP-Ebene ab.

Authentifizierungsausnahme - Legt über die IP-Adresse die Computer fest, die sich nicht authentifizieren müssen oder keine geschützte Verbindung benötigen.

Server zu Server - Legt fest, wie die Verbindung zwischen Computern geschützt ist. Sie müssen Endpunkte (IP-Adressen) festlegen und angeben, wann die Authentifizierung stattfinden soll. Außerdem müssen Sie die Authentifizierungsmethode festlegen.

Tunnel - Legt eine durch einen Tunnel geschützte Verbindung fest, zum Beispiel bei Verbindungen über das Internet. Sie müssen die Tunnel-Endpunkte über deren IP-Adressen angeben.

Benutzerdefiniert - Erstellt eine frei konfigurierbare Regel, mit allen zur Verfügung stehenden Optionen für IPsec.