190 Kapitel 4: Netzwerkzugriffssicherheit
WFAS-Befehlszeile
Windows-Firewall mit erweiterter Sicherheit lässt sich auch auf der Befehlszeile steuern.
Das kann wichtig werden, wenn Sie einen eigenständigen Computer mit einer Server Core-
Installation von Windows Server 2008 aufbauen. Mit den Befehlen
netsh firewall und netsh
advfirewall können Sie Regeln erstellen, die aktuellen Konfigurationen anzeigen und diese
Konfigurationen exportieren und importieren. Sie können die Export- und Importfunktionen
dazu verwenden, um schnell eine größere Zahl von Computern zu konfigurieren, auf denen
Windows Server 2008 als Server Core-Installation verwendet wird. Eine vollständige Be-
schreibung der
netsh advfirewall-Befehle geht zwar über den Rahmen dieses Buchs hinaus,
aber zu den Befehlen, mit denen Sie WFAS konfigurieren können, gehören zum Beispiel:
■ netsh advfirewall show allprofiles Zeigt die Eigenschaften aller erweiterten Fire-
wallprofile an
■ netsh advfirewall dump Speichert die aktuelle Firewallkonfiguration als Skriptdatei,
mit der die Firewallkonfiguration wiederhergestellt werden kann
■ netsh advfirewall reset Stellt die Standardkonfiguration einer Firewall wieder her
■ netsh advfirewall consec Wechselt in den Verbindungssicherheitskontext, in dem
sich Verbindungssicherheitsregeln erstellen lassen
■ netsh advfirewall firewall add rule Damit kann eine erweiterte Firewallregel erstellt
werden, wobei alle Kategorien zur Verfügung stehen, die auch in der GUI verfügbar
sind
Weitere Informationen Konfigurieren von WFAS
Weitere Informationen über die Konfiguration von WFAS mit dem Befehl netsh finden Sie
auf der Microsoft-Website in dem Artikel http://support.microsoft.com/kb/947709.
Prüfungstipp
Merken Sie sich die Unterschiede zwischen Windows-Firewall und WFAS.
Übung Konfigurieren der Firewall mit Gruppenrichtlinien
In dieser Übung erstellen Sie eine Richtlinie für Windows-Firewall mit erweiterter Sicher-
heit. Dabei aktivieren Sie die Firewall für alle Profile, konfigurieren eine Regel für eine be-
stimmte Datenverkehrsart und konfigurieren eine Verbindungssicherheitsregel.
Übung 1 Erstellen und Anwenden einer WFAS-Richtlinie
In dieser Übung erstellen Sie eine Richtlinie, um WFAS für alle Netzwerkpfadprofile zu ak-
tivieren. Dabei stellen Sie die Richtlinie so ein, dass die IPSec-Verschlüsselung aktiviert
wird, wenn Verbindungssicherheitsregeln erzwungen werden. Außerdem erstellen Sie eine
Regel, die eingehenden HTTP- und HTTPS-Datenverkehr zulässt, wenn das Domänenprofil
aktiv ist.
1. Melden Sie sich mit dem Benutzerkonto Kim_Akers auf Glasgow an.
2. Öffnen Sie im Menü Ver wal tun g die Konsole Gruppenrichtlinienverwaltung.
Lektion 2: Windows-Firewall mit erweiterter Sicherheit 191
3. Erstellen Sie unter der Domäne contoso.internal eine neue Organisationseinheit
namens Firewall_Clients.
4. Klicken Sie die Organisationseinheit Firewall_Clients mit der rechten Maustaste an
und wählen Sie dann Gruppenrichtlinienobjekt hier erstellen und verknüpfen. Nennen
Sie das Gruppenrichtlinienobjekt WFAS_Richtlinien und klicken Sie auf OK. Über-
prüfen Sie, ob das Fenster der Konsole Gruppenrichtlinienverwaltung auf Glasgow der
Abbildung 4.19 ähnelt.
Abbildung 4.19 Erstellen eines Gruppenrichtlinienobjekts
5. Klicken Sie WFAS_Richtlinien auf der Registerkarte Verknüpfte Gruppenrichtlinien-
objekte mit der rechten Maustaste an und wählen Sie dann Bearbeiten.
Der Gruppenrichtlinienverwaltungs-Editor öffnet sich.
6. Wechseln Sie zum Knoten Computerkonfiguration\Richtlinien\Windows-Einstellun-
gen\Sicherheitseinstellungen\Windows-Firewall mit erweiterter Sicherheit\Windows-
Firewall mit erweiterter Sicherheit.
7. Klicken Sie die Verknüpfung Windows-Firewalleigenschaften im Bereich Übersicht
an, um das Dialogfeld Windows-Firewall mit erweiterter Sicherheit zu öffnen. Stellen
Sie den Firewallstatus auf der Registerkarte Domänenprofil auf Ein, stellen Sie Ein-
gehende Verbindungen auf Blocken (Standard) und Ausgehende Verbindungen auf Zu-
lassen (Standard), wie in Abbildung 4.20 gezeigt, und klicken Sie auf Übernehmen.
8. Wiederholen Sie Schritt 7 auf den Registerkarten Privates Profil und Öffentliches
Profil.
9. Klicken Sie auf der Registerkarte IPSec-Einstellungen auf Anpassen. Wählen Sie im
Dialogfeld IPSec-Einstellungen anpassen (Abbildung 4.21) im Bereich Datenschutz
(Schnellmodus) die Option Erweitert und klicken Sie auf die Schaltfläche Anpassen.
Wählen Sie das Kontrollkästchen Verschlüsselung für alle Verbindungssicherheits-
regeln anfordern, die diese Einstellungen verwenden und klicken Sie auf OK.
192 Kapitel 4: Netzwerkzugriffssicherheit
Abbildung 4.20 Domänenprofileinstellungen
Abbildung 4.21 Anpassen der IPSec-Einstellungen
10. Klicken Sie zweimal auf OK, um alle offenen Dialogfelder zu schließen.
11. Wählen Sie im Gruppenrichtlinienverwaltungs-Editor unter dem Knoten Windows-
Firewall mit erweiterter Sicherheit den Knoten Eingehende Regeln und klicken Sie ihn
dann mit der rechten Maustaste an. Wählen Sie Neue Regel.
Der Assistent für neue eingehende Regel öffnet sich.
12. Wählen Sie auf der Seite Regeltyp die Option Port und klicken Sie dann auf Weiter.
Get Aktualisieren Ihrer MCSA/MCSE-Zertifizierung auf Windows Server 2008 MCTS - Original Microsoft Training für Examen 70-648 und 70-649 now with the O’Reilly learning platform.
O’Reilly members experience books, live events, courses curated by job role, and more from O’Reilly and nearly 200 top publishers.
