Firewall(Firewall oder Firewall) Windows erweckt keinen Respekt. Von XP auf Vista leicht verändert, erledigt sie ihre einfache Aufgabe gut, aber ihr fehlt der Ehrgeiz, die beste persönliche Firewall zu sein. Doch trotz der Tatsache, dass die Windows 7-Firewall mehrere neue Funktionen erhalten hat, erhielt sie immer noch nicht das, was ich erwartet hatte.

Abhängen mit der Heimnetzgruppe

Zur Zeit Windows-Installationen 7 schlägt vor, eine „Stammgruppe“ zu gründen. Sobald andere Windows 7-Computer im Netzwerk erkannt werden, werden diese ebenfalls eingeladen, der Gruppe beizutreten. Und alles, was sie dafür brauchen, ist ein Passwort dafür. Da ich jedoch einen Computer mit Windows 7 hatte, sah ich den Vorgang der Anmeldung bei einer Gruppe anderer Computer nicht, obwohl eine Benachrichtigung darüber nicht schaden würde. Während jedoch jeder Computer mit Windows 7 einer Heimnetzgruppe beitreten kann, können Computer mit Windows 7 Home Basic und Windows 7 Starter keine solche erstellen.

Computer in derselben Heimnetzgruppe können Drucker und bestimmte Dateibibliotheken gemeinsam nutzen (oder, wie sie sagen, „freigeben“). Standardmäßig werden Bibliotheken mit Bildern, Musik, Videos und Dokumenten geteilt, der Benutzer kann sie jedoch nach eigenem Ermessen einschränken. Die Hilfe im Betriebssystem gibt klare Erklärungen dazu, wie man eine Datei oder einen Ordner von der Freigabe ausschließt, sie schreibgeschützt macht oder den Zugriff darauf einschränkt.

In seinem Heimnetzwerk Der Benutzer kann seine Inhalte mit anderen Computern und Geräten teilen, und sogar mit Computern, die nicht unter Windows 7 laufen, und sogar mit Nicht-Computern. Insbesondere zeigte Microsoft Beispiele, wie man Inhalte auf der Xbox 360 teilen kann. Einen Anschluss der Wii an das Netzwerk bietet das Unternehmen allerdings nicht an. Leider hat das Unternehmen die Wii nicht als Streaming-Media-Gerät qualifiziert.

Wie viel sicherer ist Ihr Heimnetzwerk unter Windows 7? Typischerweise beginnen Benutzer, die es versäumen, Dateien und Ordner freizugeben, damit, alles um sie herum zu deaktivieren, einschließlich Dateiwand, Antivirenprogramm usw., was ihrer Meinung nach diesen Prozess beeinträchtigen könnte. Wenn Sie das Teilen gleichzeitig vereinfachen, können Sie vermeiden, dass alles um Sie herum ausgeschaltet wird.

Wenn Vista Netzwerke in öffentliches (Public) und privates (Private) unterteilt, dann unterteilt Windows 7 das private Netzwerk in Heimnetzwerk (Home) und Arbeitsnetzwerk (Work). Stammgruppe(Heimgruppe) ist nur verfügbar, wenn Sie ein Heimnetzwerk auswählen. Allerdings auch in Arbeitsnetzwerk Ihr Computer kann weiterhin andere darin enthaltene Geräte sehen und sich mit ihnen verbinden. In einem öffentlichen Netzwerk (z. B. einem drahtlosen Netzwerk in einem Internetcafé) wiederum blockiert Windows 7 zu Ihrer Sicherheit den Zugriff von und auf andere Geräte. Das ist eine kleine, aber feine Gelegenheit.

Dual-Mode-Firewall

In Vista und XP besteht die Verwaltung der Firewall lediglich darin, sie ein- und auszuschalten. Gleichzeitig Windows-Zeit 7 bietet dem Benutzer verschiedene Konfigurationseinstellungen für private (Heim- und Arbeitsnetzwerke) und öffentliche Netzwerke. Gleichzeitig muss der Benutzer die Firewall-Einstellungen nicht eingeben, um beispielsweise in einem lokalen Café zu arbeiten. Er muss lediglich ein öffentliches Netzwerk auswählen und die Firewall selbst wendet den gesamten Satz restriktiver Parameter an. Höchstwahrscheinlich werden Benutzer das öffentliche Netzwerk so konfigurieren, dass alle eingehenden Verbindungen blockiert werden. Unter Vista war dies nicht möglich, ohne auch den gesamten eingehenden Datenverkehr im eigenen Netzwerk des Benutzers zu unterbrechen.

Einige Benutzer verstehen nicht, warum eine Firewall benötigt wird. Wenn die Benutzerkontensteuerung funktioniert, ist eine Firewall dann nicht übertrieben? In Wirklichkeit verfolgen diese Programme völlig andere Ziele. UAC überwacht Programme und deren Betrieb innerhalb des lokalen Systems. Die Firewall prüft ein- und ausgehende Daten genau. Wenn man sich diese beiden Programme als zwei Helden vorstellt, die Rücken an Rücken stehen und Zombie-Angriffe abwehren, dann kann man sozusagen kaum etwas falsch machen.

Zuerst war ich fasziniert neue Chance„Benachrichtigen Sie mich, wann Windows-Firewall Blöcke neues Programm" Ist dies ein Zeichen dafür, dass die Windows-Firewall die Kontrolle über Programme erlangt hat und zu einer echten Zwei-Wege-Firewall geworden ist? Ich hatte den Wunsch, diese Funktion zu deaktivieren. Und das Ergebnis war, dass die Windows-Firewall nicht mehr Respekt erhielt als zuvor.

Es ist zehn Jahre her, dass ZoneLabs die Zwei-Wege-Personal-Firewall populär gemacht hat. Ihr ZoneAlarm-Programm versteckte alle Ports des Computers (was die Windows-Firewall kann) und ermöglichte Ihnen außerdem, den Zugriff von Programmen auf das Internet zu kontrollieren (was die Windows-Firewall immer noch nicht kann). Ich benötige keine intelligente Überwachung des Programmverhaltens, wie etwa bei Norton Internet sicherheit 2010 und in anderen Paketen. Ich hoffe aber, dass Microsoft bis zur Veröffentlichung von Windows 8 dennoch eine Reihe von Funktionen des zehn Jahre alten ZoneAlarm in seine Firewall einführt.

Microsoft ist sich bewusst, dass viele Benutzer Firewalls und Sicherheitspakete von Drittanbietern installieren und die Windows-Firewall einfach deaktivieren. In der Vergangenheit haben viele Sicherheitsprogramme von Drittanbietern die Windows-Firewall automatisch deaktiviert, um Konflikte zu vermeiden. Bei Windows 7 hat Microsoft dies selbst durchgeführt. Bei der Installation einer ihm bekannten Firewall deaktiviert das Betriebssystem seine eingebaute Firewall und meldet, dass „die Firewall-Einstellungen von diesem und jenem Programm von diesem und jenem Hersteller gesteuert werden“.

Unabhängig davon, ob Sie sie verwenden oder nicht, ist die Windows-Firewall in jedem Windows 7 vorhanden und verfügt über eine solide Integration Betriebssystem. Wäre es also nicht besser, wenn Sicherheitsanwendungen von Drittanbietern die Windows-Filewall für ihre eigenen Zwecke nutzen könnten? Dies ist die Idee hinter einer Programmierschnittstelle namens Windows Filtering Platform. Aber werden Entwickler es nutzen? Mehr dazu im nächsten Teil.

Windows 7-Sicherheit: Windows-Filterplattform

Firewalls müssen mit Windows 7 auf einem sehr niedrigen Niveau arbeiten, was Microsoft-Programmierern absolut verabscheut. Einige Microsoft-Technologien wie PatchGuard, die in 64-Bit-Editionen von Windows 7 vorhanden sind (64-Bit-Windows 7 bietet eine Reihe von Sicherheitsvorteilen gegenüber 32-Bit-Windows 7), blockieren Angreifer und schützen auch den Kernel vor Zugriff darauf. Dennoch bietet Microsoft nicht das gleiche Maß an Sicherheit wie Programme von Drittanbietern. Was also tun?

Die Lösung für dieses Problem ist die Windows Filtering Platform (WFP). Letzteres ermöglicht laut Microsoft den Einsatz von Firewalls Dritter auf Schlüsselbasis Windows-Funktionen Firewall – ermöglicht Ihnen das Hinzufügen benutzerdefinierter Funktionen und das selektive Aktivieren und Deaktivieren von Teilen der Windows-Firewall. Dadurch kann der Benutzer eine Firewall auswählen, die mit der Windows-Firewall koexistiert.

Aber wie nützlich ist es wirklich für Sicherheitsentwickler? Werden sie es nutzen? Ich habe ein paar Leute gefragt und jede Menge Antworten bekommen.

BitDefender LLC

Produktentwicklungsmanager Iulian Costache sagte, sein Unternehmen nutze diese Plattform derzeit in Windows 7. Es seien jedoch erhebliche Speicherlecks aufgetreten. Der Fehler liegt auf der Seite von Microsoft, was der größte Softwareriese bereits bestätigt hat. Allerdings weiß Julian nicht, wann das Problem gelöst wird. Inzwischen wurden sie vorübergehend ersetzt neuer Fahrer WFP auf altem TDI.

Check Point Software Technologies Ltd

Mirka Janus, PR-Managerin von Check Point Software Technologies Ltd, sagte, sein Unternehmen verwende WFP seit Vista. Sie verwenden die Plattform auch unter Windows 7. Es ist eine gute, unterstützte Schnittstelle, aber jede Malware oder jeder inkompatible Treiber könnte für ein Sicherheitsprodukt, das darauf basiert, gefährlich sein. ZoneAlarm basiert seit jeher auf zwei Schichten – Schichten Netzwerkverbindungen Und Paketebene. Beginnend mit Vista bot Microsoft WFP als unterstützte Möglichkeit zum Filtern von Netzwerkverbindungen an. Ab Windows 7 SP1 muss Microsoft WFP beibringen, die Paketfilterung zu aktivieren.

„Die Verwendung unterstützter APIs bedeutet verbesserte Stabilität und weniger BSODs. Viele Treiber können registriert werden und jeder Treiberentwickler muss sich nicht um die Kompatibilität mit anderen kümmern. Wenn beispielsweise ein Fahrer blockiert ist, kann kein anderer registrierter Fahrer diese Blockierung umgehen. Andererseits kann ein inkompatibler Treiber zum Problem werden und alle anderen registrierten Treiber umgehen. Wir verlassen uns bei der Netzwerksicherheit nicht allein auf WFP.“

F-Secure Corporation

Mikko Hypponen, leitender Forscher bei F-Secure Corporation, sagte, dass WFP aus irgendeinem Grund bei Entwicklern von Sicherheitssoftware nie populär geworden sei. Gleichzeitig nutzte sein Unternehmen WFP schon seit längerem und war damit zufrieden.

McAfee, Inc.

Ahmed Sallam, leitender Architekt von McAfee, sagte wiederum, dass WFP eine leistungsfähigere und flexiblere Netzwerkfilterschnittstelle sei als die vorherige NDIS-basierte Schnittstelle. McAfee nutzt WFP aktiv in seinen Sicherheitsprodukten.

Gleichzeitig können Cyberkriminelle trotz der Tatsache, dass WFP über positive Fähigkeiten verfügt, auch die Vorteile der Plattform ausnutzen. Die Plattform könnte es Malware ermöglichen, in den Netzwerkstapel auf Windows-Kernelebene einzudringen. Daher 64-Bit Windows-Treiber Die Kernelebene muss über digitale Signaturen verfügen, um den Kernel vor dem Laden zu schützen Schadsoftware. Bei 32-Bit-Versionen sind jedoch keine digitalen Signaturen erforderlich.

Ja, theoretisch sind digitale Signaturen ein sinnvoller Sicherheitsmechanismus, aber in Wirklichkeit können Malware-Autoren sie immer noch selbst erwerben.

Panda-Sicherheit

Pedro Bustamante, Sprecher von Panda Security, sagte, sein Unternehmen überwache die WFP-Plattform, nutze sie derzeit aber nicht. Als Hauptnachteile des WFP sieht das Unternehmen erstens die Unfähigkeit, eine Technologie zu entwickeln, die verschiedene Techniken kombiniert, um den Schutz zu maximieren. Technologie ist nutzlos, wenn ein Unternehmen die Pakete, die in die Maschine ein- und ausgehen, nicht sehen kann. Es soll auch als Sensor für andere Sicherheitstechnologien fungieren. Keine dieser Funktionen wird von WFP bereitgestellt. Zweitens wird WFP nur von Vista und neueren Betriebssystemen unterstützt. Die Plattform ist nicht abwärtskompatibel. Und drittens ist WFP ruhig neue Plattform, und das Unternehmen setzt lieber auf ältere und bewährte Technologien.

Symantec Corp.

Dan Nadir, Direktor für Verbraucherproduktmanagement bei Symantec, sagte, dass WFP aufgrund seiner relativen Neuheit noch nicht in ihren Produkten verwendet werde. Im Laufe der Zeit plant das Unternehmen jedoch, darauf umzusteigen, weil... Die alten Schnittstellen, auf die sie derzeit angewiesen sind, werden nicht in der Lage sein, die volle Funktionalität bereitzustellen, die sie benötigen. Sie halten WFP für eine gute Plattform, weil... Es wurde speziell entwickelt, um die Interoperabilität zwischen einer Vielzahl von Programmen von Drittanbietern bereitzustellen. Grundsätzlich dürfte die Plattform künftig noch weniger Kompatibilitätsprobleme haben. WFP ist auch deshalb großartig, weil es in das Microsoft Network Diagnostic Framework integriert ist. Das ist äußerst nützlich, weil... erleichtert die Suche nach bestimmten Programmen, die ein Hindernis darstellen, erheblich Netzwerktraffic. Und schließlich sollte WFP zu einer verbesserten Leistung und Stabilität des Betriebssystems führen, weil ... Die Plattform vermeidet Emulation und Probleme mit Treiberkonflikten oder Stabilität.

Andererseits kann WFP laut Nadir jedoch bestimmte Probleme verursachen, die in jeder Struktur vorhanden sind – Entwickler, die sich auf WFP verlassen, können weder Schwachstellen innerhalb von WFP selbst schließen noch die spezifischen Funktionen erweitern, die WFP bietet. Auch wenn viele Programme auf WFP angewiesen sind, könnten Malware-Ersteller theoretisch versuchen, WFP selbst anzugreifen.

Trend Micro Inc.

Forschungsdirektor bei Trend Micro Inc. Dale Liao sagte, dass der größte Vorteil der Plattform ihre Kompatibilität mit dem Betriebssystem sei. Auch eine Standard-Firewall ist mittlerweile sinnvoll. Jetzt können sie sich auf das konzentrieren, was für den Benutzer wirklich wichtig ist. Das Schlimme an WFP ist, dass das Unternehmen, wenn ein Fehler in der Plattform entdeckt wird, darauf warten muss, dass dieser von Microsoft behoben wird.

WFP: Fazit

Daher verwenden die meisten der von mir interviewten Sicherheitsentwickler bereits WFP. Allerdings teilweise parallel zu anderen Technologien. Sie mögen Interoperabilität, wie die Dokumentation und Formalität der Plattform, und auch die wahrgenommene Stabilität ihres Betriebs. Wenn andererseits alle Entwickler auf WFP setzen, könnte die Plattform potenziell zu einer Schwachstelle für alle werden. Und sie müssen sich darauf verlassen, dass Microsoft das Problem behebt. Darüber hinaus bietet die Plattform noch keine Filterung auf Paketebene.

Ein weiterer großer Nachteil von WFP besteht darin, dass es unter Windows XP nicht verfügbar ist. Daher müssen Entwickler, die XP unterstützen möchten, zwei parallele Projekte ausführen. Ich denke jedoch, dass WFP bei Entwicklern immer beliebter werden wird, wenn XP den Markt verlässt.

Beginnend mit Server 2008 und Vista wurde der WFP-Mechanismus in Windows integriert.
Dabei handelt es sich um eine Reihe von APIs und Systemdiensten. Mit seiner Hilfe wurde es möglich
Verbindungen verweigern und zulassen, einzelne Pakete verwalten. Diese
Innovationen sollten das Leben von Entwicklern verschiedener Art vereinfachen
Schutz Die an der Netzwerkarchitektur vorgenommenen Änderungen betrafen sowohl den Kernel-Modus als auch
und Benutzermodusteile des Systems. Im ersten Fall werden die notwendigen Funktionen exportiert
fwpkclnt.sys, im zweiten - fwpuclnt.dll (die Buchstaben „k“ und „u“ in den Bibliotheksnamen).
stehen jeweils für Kernel und User). In diesem Artikel werden wir über die Anwendung sprechen
WFP zum Abfangen und Filtern des Datenverkehrs und nachdem Sie sich mit den Grundlagen vertraut gemacht haben
Unter Verwendung der Definitionen und Funktionen von WFP werden wir unseren eigenen einfachen Filter schreiben.

Grundlegendes Konzept

Bevor wir mit dem Codieren beginnen, ist es unbedingt erforderlich, dass wir uns mit der Terminologie vertraut machen
Microsoft – und weitere Literatur wird zum Verständnis des Artikels hilfreich sein
Es wird einfacher zu lesen sein :). So lass uns gehen.

Einstufung– der Prozess der Bestimmung, was mit einem Paket geschehen soll.
Mögliche Aktionen: Erlauben, Blockieren oder Hinweisen.

Hinweise ist eine Reihe von Funktionen im Treiber, die eine Inspektion durchführen
Pakete. Sie verfügen über eine spezielle Funktion, die eine Paketklassifizierung durchführt. Das
Die Funktion kann Folgendes entscheiden:

• erlauben(FWP_ACTION_PERMIT);
• block(FWP_ACTION_BLOCK);
• Verarbeitung fortsetzen;
• weitere Daten anfordern;
• die Verbindung beenden.

Filter- Regeln, die angeben, in welchen Fällen es aufgerufen wird
diesen oder jenen Hinweis. Ein Fahrer kann mehrere Callouts haben und
In diesem Artikel werden wir einen Treiber mit Callout entwickeln. Übrigens, Colautas
Es gibt auch integrierte Funktionen, zum Beispiel NAT-Callout.

Schicht- Dies ist ein Zeichen, durch das verschiedene Filter kombiniert werden (oder,
wie es in MSDN heißt, „Container“).

Um ehrlich zu sein, sieht die Dokumentation von Microsoft bisher recht unklar aus
Sie können sich die Beispiele im WDK nicht ansehen. Deshalb, wenn Sie sich plötzlich dazu entschließen, etwas zu entwickeln
Im Ernst, Sie müssen sie unbedingt kennenlernen. Nun, es ist jetzt glatt
Kommen wir zum Üben. Für eine erfolgreiche Kompilierung und Tests benötigen Sie WDK (Windows
Treiberkit), VmWare, virtuelle Maschine mit installiertem Vista und dem WinDbg-Debugger.
Was das WDK betrifft, habe ich persönlich die Version 7600.16385.0 installiert – alles ist da
notwendige Bibliotheken (da wir den Treiber entwickeln werden, brauchen wir nur
fwpkclnt.lib und ntoskrnl.lib) und Beispiele für die Verwendung von WFP. Links zu allen
Die Tools wurden bereits mehrfach vorgestellt, daher werden wir sie nicht wiederholen.

Codierung

Um das Callout zu initialisieren, habe ich die BlInitialize-Funktion geschrieben. Allgemeiner Algorithmus
So erstellen Sie ein Callout und fügen einen Filter hinzu:

1. FWPMENGINEOPEN0öffnet eine Sitzung;
2. FWPMTRANSACTIONBEGIN0- Aufnahme der Zusammenarbeit mit WFP;
3. FWPSCALLOUTREGISTER0- Erstellen eines neuen Callouts;
4. FWPMCALLOUTADD0- Hinzufügen eines Callout-Objekts zum System;
5. FWPMFILTERADD0- Hinzufügen neuer Filter;
6. FWPMTRANSACTIONCOMMIT0- Änderungen speichern (hinzugefügt
   Filter).

Beachten Sie, dass Funktionen auf 0 enden. In Windows 7 sind einige davon
Funktionen wurden geändert, zum Beispiel erschien FwpsCalloutRegister1 (mit
gespeichert von FwpsCalloutRegister0). Sie unterscheiden sich in den Argumenten und infolgedessen
Prototypen von Klassifizierungsfunktionen, aber für uns ist das jetzt nicht wichtig - 0-Funktionen
Universal.

FwpmEngineOpen0 und FwpmTransactionBegin0 sind für uns nicht besonders interessant – diese sind es
Vorbereitungsphase. Der Spaß beginnt bei der Funktion
FwpsCalloutRegister0:

FwpsCalloutRegister0-Prototyp

NTSTATUS NTAPI FwpsCalloutRegister0
__inout void *deviceObject,
__in const FWPS_CALLOUT0 *callout,
__out_opt UINT32 *calloutId
);

Ich habe bereits gesagt, dass es sich beim Callout um eine Reihe von Funktionen handelt, jetzt ist es an der Zeit
Erzählen Sie uns mehr darüber. Die Struktur FWPS_CALLOUT0 enthält Zeiger auf drei
Funktionen – klassifizierend (classifyFn) und zwei benachrichtigend (about
Hinzufügen/Entfernen eines Filters (notifyFn) und Schließen des verarbeiteten Flusses (flowDeleteFn)).
Die ersten beiden Funktionen sind obligatorisch, die letzte wird nur benötigt, wenn
Sie möchten die Pakete selbst überwachen, nicht nur die Verbindungen. Auch im Aufbau
enthält eine eindeutige Kennung, die Callout-GUID (calloutKey).

Callout-Registrierungscode

FWPS_CALLOUT sCallout = (0);
sCallout.calloutKey = *calloutKey;
sCallout.classifyFn = BlClassify;
// Klassifizierungsfunktion
sCallout.notifyFn = (FWPS_CALLOUT_NOTIFY_FN0)BlNotify;
// Funktion, die über das Hinzufügen/Entfernen eines Filters benachrichtigt
// ein neues Callout erstellen
status = FwpsCalloutRegister(deviceObject, &sCallout, calloutId);

DWORD WINAPI FwpmCalloutAdd0(
__in HANDLE engineGriff,
__in const FWPM_CALLOUT0 *callout,
__in_opt PSECURITY_DESCRIPTOR sd,
__out_opt UINT32 *id
);
typedef struct FWPM_CALLOUT0_ (
GUID calloutKey;
FWPM_DISPLAY_DATA0 displayData; // Callout-Beschreibung
UINT32-Flags;
GUID *providerKey;
FWP_BYTE_BLOB ProviderData;
GUID anwendbarLayer;
UINT32 calloutId;
) FWPM_CALLOUT0;

In der FWPM_CALLOUT0-Struktur interessiert uns das Feld „applicationLayer“ – eindeutig
ID der Ebene, zu der das Callout hinzugefügt wird. In unserem Fall ist es so
FWPM_LAYER_ALE_AUTH_CONNECT_V4. „v4“ im Bezeichnernamen bedeutet Version
Für das IPv4-Protokoll gibt es auch FWPM_LAYER_ALE_AUTH_CONNECT_V6 für IPv6. Angesichts
geringe Verbreitung von IPv6 in momentan, wir werden nur mit arbeiten
IPv4. CONNECT im Namen bedeutet, dass wir nur die Installation kontrollieren
Verbindungen gibt es keine Rede von Paketen, die an dieser Adresse ein- oder ausgehen! Überhaupt
Neben der von uns verwendeten gibt es noch viele weitere Ebenen – sie werden in der Header-Datei deklariert
fwpmk.h von WDK.

Hinzufügen eines Callout-Objekts zum System

// Callout-Name
displayData.name = L"Blocker Callout";
displayData.description = L"Blocker Callout";
mCallout.calloutKey = *calloutKey;
mCallout.displayData = displayData;
// Callout-Beschreibung
//FWPM_LAYER_ALE_AUTH_CONNECT_V4
mCallout.applicableLayer = *layerKey;
status = FwpmCalloutAdd(gEngineHandle, &mCallout, NULL, NULL);

Nachdem das Callout erfolgreich zum System hinzugefügt wurde, müssen Sie es erstellen
Filter, das heißt, geben Sie an, in welchen Fällen unser Callout aufgerufen wird, nämlich
- seine klassifizierende Funktion. Ein neuer Filter wird durch die Funktion FwpmFilterAdd0 erstellt.
die die FWPM_FILTER0-Struktur als Argument übergibt.

FWPM_FILTER0 verfügt über eine oder mehrere FWPM_FILTER_CONDITION0-Strukturen (ihre
die Zahl wird durch das Feld numFilterConditions bestimmt). Das Feld „layerKey“ wird mit einer GUID gefüllt
die Ebene, der wir beitreten möchten. In diesem Fall geben wir an
FWPM_LAYER_ALE_AUTH_CONNECT_V4.

Schauen wir uns nun das Füllen von FWPM_FILTER_CONDITION0 genauer an. Erstens, in
fieldKey muss explizit angegeben werden, was wir steuern möchten – Port, Adresse,
App oder etwas anderes. In diesem Fall WPM_CONDITION_IP_REMOTE_ADDRESS
zeigt dem System an, dass wir an der IP-Adresse interessiert sind. Der fieldKey-Wert bestimmt, ob
Welche Art von Werten wird in der Struktur FWP_CONDITION_VALUE enthalten sein?
FWPM_FILTER_CONDITION0. In diesem Fall enthält es die IPv4-Adresse. Lass uns gehen
weiter. Das matchType-Feld bestimmt, wie der Vergleich durchgeführt wird
Werte in FWP_CONDITION_VALUE mit dem, was über das Netzwerk kam. Hier gibt es viele Möglichkeiten:
Sie können FWP_MATCH_EQUAL angeben, was bedeutet, dass die Bedingung vollständig erfüllt ist, und
Sie können - FWP_MATCH_NOT_EQUAL, das heißt, wir können dies tatsächlich hinzufügen
somit ist eine Filterung ausgeschlossen (Adresse, deren Verbindung nicht überwacht wird).
Es gibt auch Optionen FWP_MATCH_GREATER, FWP_MATCH_LESS und andere (siehe enum
FWP_MATCH_TYPE). In diesem Fall haben wir FWP_MATCH_EQUAL.

Ich habe mir nicht allzu viele Gedanken gemacht und einfach eine Bedingung für die Blockierung geschrieben
eine ausgewählte IP-Adresse. Falls es eine Anwendung versucht
Um eine Verbindung zur ausgewählten Adresse herzustellen, wird der Klassifikator aufgerufen
unsere Callout-Funktion. Sie können sich den Code ansehen, der das Gesagte zusammenfasst
Weitere Informationen finden Sie in der Seitenleiste „Hinzufügen eines Filters zum System“.

Hinzufügen eines Filters zum System

filter.flags = FWPM_FILTER_FLAG_NONE;
filter.layerKey = *layerKey;
filter.displayData.name = L"Blocker Callout";
filter.displayData.description = L"Blocker Callout";
filter.action.type = FWP_ACTION_CALLOUT_UNKNOWN;
filter.action.calloutKey = *calloutKey;
filter.filterCondition = filterConditions;
// eine Filterbedingung
filter.numFilterConditions = 1;
//filter.subLayerKey = FWPM_SUBLAYER_UNIVERSAL;
filter.weight.type = FWP_EMPTY; // automatisches Gewicht.
// Einen Filter zur Remote-Adresse hinzufügen
filterConditions.fieldKey = FWPM_CONDITION_IP_REMOTE_ADDRESS;
filterConditions.matchType = FWP_MATCH_EQUAL;
filterConditions.conditionValue.type = FWP_UINT32;
filterConditions.conditionValue.uint32 = ntohl(BLOCKED_IP_ADDRESS);
// einen Filter hinzufügen
status = FwpmFilterAdd(gEngineHandle, &filter, NULL, NULL);

Generell kann es natürlich viele Filterbedingungen geben. Das können Sie zum Beispiel
Geben Sie das Blockieren von Verbindungen zu einem bestimmten Remote- oder lokalen Port an (FWPM_CONDITION_IP_REMOTE_PORT
bzw. FWPM_CONDITION_IP_LOCAL_PORT). Sie können alle Pakete abfangen
ein bestimmtes Protokoll oder eine bestimmte Anwendung. Und das ist noch nicht alles! Dürfen,
Blockieren Sie beispielsweise den Datenverkehr eines bestimmten Benutzers. Im Allgemeinen gibt es wo
spazieren gehen.

Kehren wir jedoch zum Filter zurück. Die Klassifizierungsfunktion ist in unserem Fall einfach
blockiert die Verbindung zur angegebenen Adresse (BLOCKED_IP_ADDRESS) und kehrt zurück
FWP_ACTION_BLOCK:

Code unserer Klassifizierungsfunktion

void BlClassify(
const FWPS_INCOMING_VALUES* inFixedValues,
const FWPS_INCOMING_METADATA_VALUES* inMetaValues,
VOID* Paket,IN const FWPS_FILTER* Filter,
UINT64 flowContext,FWPS_CLASSIFY_OUT* classifyOut)
{
// Fülle die Struktur FWPS_CLASSIFY_OUT0
if(classifyOut)( // Paket blockieren
classifyOut->actionType =
FWP_ACTION_BLOCK;
// wenn Sie ein Paket blockieren, das Sie benötigen
FWPS_RIGHT_ACTION_WRITE zurücksetzen
classifyOut->rights&=~FWPS_RIGHT_ACTION_WRITE;
}
}

In der Praxis kann die Klassifizierungsfunktion auch FWP_ACTION_PERMIT festlegen.
FWP_ACTION_CONTINUE usw.

Und schließlich müssen Sie beim Entladen des Treibers alle installierten Dateien entfernen
Callouts (raten Sie mal, was passieren wird, wenn das System versucht, Callouts aufzurufen
Treiber entladen? Das ist richtig, BSOD). Dafür gibt es eine Funktion
FwpsCalloutUnregisterById. Als Parameter wird 32-Bit übergeben
Callout-ID, die von der FwpsCalloutRegister-Funktion zurückgegeben wird.

Beenden eines Callouts

NTSTATUS BlUninitialize())(
NTSTATUS ns;
if(gEngineHandle)(
FwpmEngineClose(gEngineHandle);

}
if(gBlCalloutIdV4)(
ns =FwpsCalloutUnregisterById(gBlCalloutIdV4);
}
Rückkehr ns;
}

Wie Sie sehen, ist die Programmierung eines WFP-Filters keine so schwierige Aufgabe
MS hat uns eine sehr praktische API zur Verfügung gestellt. In unserem Fall haben wir übrigens installiert
Filter im Treiber, dies kann aber auch über Usermod erfolgen! Beispiel: Beispiel von wdk
msnmntr (MSN Messenger Traffic Monitor) macht genau das – so können Sie es nicht tun
Überlastung des Kernelmodus-Teils des Filters.

Ihre GUID

Um ein Callout zu registrieren, benötigt es eine eindeutige Kennung. Damit
Holen Sie sich Ihre GUID (Globally Unique Identifier) ​​und verwenden Sie guidgen.exe
in Visual Studio. Das Tool befindet sich unter (VS_Path)\Common7\Tools. Wahrscheinlichkeit einer Kollision
ist sehr klein, da die GUID-Länge 128 Bit beträgt und insgesamt 2^128 verfügbar sind
Bezeichner.

Debuggen des Filters

Zum Debuggen von Brennholz ist es praktisch, die Kombination Windbg+VmWare zu verwenden. Dafür benötigen Sie
Konfigurieren Sie sowohl das Gastsystem (Vista) als auch den Debugger
WinDbg. Wenn Sie in WinXP boot.ini für das Remote-Debugging bearbeiten mussten, dann
Für Vista+ gibt es ein Konsolendienstprogramm namens bcdedit. Wie üblich müssen Sie das Debuggen aktivieren:

BCDedit /dbgsettings SERIAL DEBUGPORT:1 BAUDRATE:115200 BCDedit /debug
ON (oder BCDedit /set debug ON)

Jetzt ist alles fertig! Wir starten eine Batchdatei mit dem folgenden Text:

Starten Sie windbg -b -k com:pipe,port=\\.\pipe\com_1,resets=0

und sehen Sie sich die Debugging-Ausgabe im windbg-Fenster an (siehe Bild).

Abschluss

Wie Sie sehen, ist der Anwendungsbereich des WFP recht groß. Es liegt an Ihnen, zu entscheiden, wie
Wenden Sie dieses Wissen an – zum Bösen oder zum Guten :)

Snap-In der OS Management Console (MMC). Windows Vista™ ist eine Netzwerkerkennungs-Firewall für Workstations, die eingehende und ausgehende Verbindungen entsprechend filtert gegebenen Einstellungen. Sie können jetzt Firewall-Einstellungen konfigurieren und IPsec-Protokoll mit einem Werkzeug. In diesem Artikel werden die Funktionsweise der Windows-Firewall mit erweiterter Sicherheit, häufig auftretende Probleme und Lösungen beschrieben.

So funktioniert die Windows-Firewall mit erweiterter Sicherheit

Die Windows-Firewall mit erweiterter Sicherheit ist eine Firewall zur Protokollierung des Netzwerkstatus für Workstations. Im Gegensatz zu Router-Firewalls, die am Gateway zwischen Ihrem lokalen Netzwerk und dem Internet bereitgestellt werden, ist die Windows-Firewall für die Ausführung auf einzelnen Computern konzipiert. Es überwacht nur den Datenverkehr der Workstation: den an der IP-Adresse dieses Computers eingehenden Datenverkehr und den vom Computer selbst ausgehenden Datenverkehr. Die Windows-Firewall mit erweiterter Sicherheit führt die folgenden grundlegenden Vorgänge aus:

Das eingehende Paket wird überprüft und mit der Liste des erlaubten Datenverkehrs verglichen. Wenn das Paket mit einem der Listenwerte übereinstimmt, leitet die Windows-Firewall das Paket zur weiteren Verarbeitung an TCP/IP weiter. Wenn das Paket keinem der Werte in der Liste entspricht, blockiert die Windows-Firewall das Paket und erstellt bei aktivierter Protokollierung einen Eintrag in der Protokolldatei.

Die Liste des erlaubten Datenverkehrs wird auf zwei Arten erstellt:

Wenn eine von der Windows-Firewall mit erweiterter Sicherheit gesteuerte Verbindung ein Paket sendet, erstellt die Firewall einen Wert in der Liste, um die Annahme des Rückdatenverkehrs zu ermöglichen. Für relevanten eingehenden Verkehr ist eine zusätzliche Genehmigung erforderlich.

Wenn Sie eine Zulassungsregel für die Windows-Firewall mit erweiterter Sicherheit erstellen, wird der Datenverkehr, für den Sie die Regel erstellt haben, auf einem Computer zugelassen, auf dem die Windows-Firewall ausgeführt wird. Dieser Computer akzeptiert explizit zugelassenen eingehenden Datenverkehr, wenn er als Server, Client-Computer oder Peer-to-Peer-Netzwerkhost fungiert.

Der erste Schritt zur Lösung von Problemen mit der Windows-Firewall besteht darin, zu überprüfen, welches Profil aktiv ist. Die Windows-Firewall mit erweiterter Sicherheit ist eine Anwendung, die Ihre Netzwerkumgebung überwacht. Das Windows-Firewall-Profil ändert sich, wenn sich Ihre Netzwerkumgebung ändert. Ein Profil ist eine Reihe von Einstellungen und Regeln, die abhängig von der Netzwerkumgebung und der aktuellen Situation angewendet werden Netzwerkverbindungen.

Die Firewall unterscheidet zwischen drei Arten von Netzwerkumgebungen: Domänen-, öffentliche und private Netzwerke. Eine Domäne ist eine Netzwerkumgebung, in der Verbindungen von einem Domänencontroller authentifiziert werden. Standardmäßig werden alle anderen Netzwerkverbindungstypen als öffentliche Netzwerke behandelt. Wenn etwas Neues entdeckt wird Windows-Verbindungen Vista fordert den Benutzer auf, anzugeben, ob dieses Netzwerk privat oder öffentlich. Das allgemeine Profil ist für den Einsatz an öffentlichen Orten wie Flughäfen oder Cafés vorgesehen. Das private Profil ist für die Verwendung zu Hause oder im Büro sowie in einem sicheren Netzwerk vorgesehen. Um ein Netzwerk als privat zu definieren, muss der Benutzer über entsprechende Administratorrechte verfügen.

Obwohl der Computer gleichzeitig mit Netzwerken verbunden sein kann verschiedene Typen, kann nur ein Profil aktiv sein. Die Wahl des aktiven Profils hängt von folgenden Gründen ab:

Wenn alle Schnittstellen die Domänencontroller-Authentifizierung verwenden, wird das Domänenprofil verwendet.

Wenn mindestens eine der Schnittstellen angeschlossen ist privates Netzwerk, und alle anderen - zur Domäne oder zu privaten Netzwerken wird ein privates Profil verwendet.

In allen anderen Fällen wird das allgemeine Profil verwendet.

Um das aktive Profil zu ermitteln, klicken Sie auf den Knoten Überwachung im Handumdrehen Windows-Firewall mit erweiterter Sicherheit. Über dem Text Firewall-Status zeigt an, welches Profil aktiv ist. Wenn beispielsweise ein Domänenprofil aktiv ist, wird es oben angezeigt Das Domänenprofil ist aktiv.

Mithilfe von Profilen kann die Windows-Firewall automatisch eingehenden Datenverkehr für bestimmte Computerverwaltungstools zulassen, wenn sich der Computer in einer Domäne befindet, und denselben Datenverkehr blockieren, wenn der Computer mit einem öffentlichen oder privaten Netzwerk verbunden ist. Somit schützt die Bestimmung der Art der Netzwerkumgebung Ihre lokales Netzwerk ohne die Sicherheit mobiler Benutzer zu beeinträchtigen.

Häufige Probleme beim Ausführen der Windows-Firewall mit erweiterter Sicherheit

Im Folgenden sind die Hauptprobleme aufgeführt, die auftreten, wenn die Windows-Firewall mit erweiterter Sicherheit ausgeführt wird:

Für den Fall, dass der Datenverkehr blockiert wird, sollten Sie zunächst prüfen, ob die Firewall aktiviert ist und welches Profil aktiv ist. Wenn eine der Anwendungen blockiert ist, stellen Sie sicher, dass das Snap-In funktioniert Windows-Firewall mit erweiterter Sicherheit Für das aktuelle Profil ist eine aktive Zulassungsregel vorhanden. Um zu überprüfen, ob eine Zulassungsregel vorhanden ist, doppelklicken Sie auf den Knoten Überwachung, und wählen Sie dann den Abschnitt aus Firewall. Wenn für dieses Programm keine aktiven Zulassungsregeln vorhanden sind, besuchen Sie die Website und erstellen Sie eine neue Regel für dieses Programm. Erstellen Sie eine Regel für ein Programm oder einen Dienst oder geben Sie eine Regelgruppe an, die für diese Funktion gilt, und stellen Sie sicher, dass alle Regeln in dieser Gruppe aktiviert sind.

Um zu überprüfen, ob eine Zulassungsregel nicht durch eine Blockierungsregel außer Kraft gesetzt wird, führen Sie die folgenden Schritte aus:

Im Schnappbaum Windows-Firewall mit erweiterter Sicherheit Klicken Sie auf den Knoten Überwachung, und wählen Sie dann den Abschnitt aus Firewall.

Zeigen Sie eine Liste aller aktiven lokalen und Gruppenrichtlinienregeln an. Verbotsregeln haben Vorrang vor Erlaubnisregeln, auch wenn letztere genauer definiert sind.

Gruppenrichtlinien verhindern die Anwendung lokaler Regeln

Wenn die Windows-Firewall mit erweiterter Sicherheit mithilfe von Gruppenrichtlinien konfiguriert ist, kann Ihr Administrator festlegen, ob Firewallregeln oder von lokalen Administratoren erstellte Verbindungssicherheitsregeln verwendet werden. Dies ist sinnvoll, wenn lokale Firewall-Regeln oder Verbindungssicherheitsregeln konfiguriert sind, die nicht im entsprechenden Einstellungsbereich enthalten sind.

Um festzustellen, warum lokale Firewall-Regeln oder Verbindungssicherheitsregeln im Abschnitt „Überwachung“ fehlen, führen Sie die folgenden Schritte aus:

Im Handumdrehen Windows-Firewall mit erweiterter Sicherheit, klicken Sie auf den Link Eigenschaften der Windows-Firewall.

Wählen Sie die Registerkarte „Aktives Profil“ aus.

Im Kapitel Optionen, Drücken Sie den Knopf Melodie.

Wenn lokale Regeln gelten, Abschnitt Regeln kombinieren wird aktiv sein.

Regeln, die sichere Verbindungen erfordern, können den Datenverkehr blockieren

Beim Erstellen einer Firewall-Regel für eingehenden oder ausgehenden Datenverkehr ist einer der Parameter . Falls ausgewählt diese Funktion, müssen Sie über eine entsprechende Verbindungssicherheitsregel oder eine separate IPSec-Richtlinie verfügen, die bestimmt, welcher Datenverkehr sicher ist. Andernfalls wird dieser Datenverkehr blockiert.

Um zu überprüfen, ob eine oder mehrere Anwendungsregeln sichere Verbindungen erfordern, führen Sie die folgenden Schritte aus:

Im Schnappbaum Windows-Firewall mit erweiterter Sicherheit Klicken Sie auf den Abschnitt Regeln für eingehende Verbindungen. Wählen Sie die Regel aus, die Sie überprüfen möchten, und klicken Sie auf den Link Eigenschaften im Konsolenbereich.

Wählen Sie eine Registerkarte aus Sind üblich und prüfen Sie, ob der Optionsfeldwert ausgewählt ist Nur zulassen sichere Verbindungen .

Wenn die Regel mit dem Parameter angegeben wird Erlauben Sie nur sichere Verbindungen, erweitern Sie den Abschnitt Überwachung im Snap-In-Baum und wählen Sie den Abschnitt aus. Stellen Sie sicher, dass der in der Firewall-Regel definierte Datenverkehr über entsprechende Verbindungssicherheitsregeln verfügt.

Warnung:

Wenn Sie über eine aktive IPSec-Richtlinie verfügen, stellen Sie sicher, dass die Richtlinie den erforderlichen Datenverkehr schützt. Erstellen Sie keine Verbindungssicherheitsregeln, um Konflikte zwischen IPSec-Richtlinien und Verbindungssicherheitsregeln zu vermeiden.

Ausgehende Verbindungen können nicht zugelassen werden

Im Schnappbaum Windows-Firewall mit erweiterter Sicherheit Wählen Sie einen Abschnitt Überwachung. Wählen Sie die Registerkarte „Aktives Profil“ und im Abschnitt aus Firewall-StatusÜberprüfen Sie, ob ausgehende Verbindungen, die nicht unter die Zulassungsregel fallen, zulässig sind.

Im Kapitel Überwachung Wählen Sie einen Abschnitt Firewall um sicherzustellen, dass erforderliche ausgehende Verbindungen nicht in den Ablehnungsregeln angegeben sind.

Gemischte Richtlinien können zur Blockierung des Datenverkehrs führen

Sie können Firewall- und IPSec-Einstellungen über verschiedene Windows-Schnittstellen konfigurieren.

Das Erstellen von Richtlinien an mehreren Orten kann zu Konflikten und blockiertem Datenverkehr führen. Folgende Einstellpunkte stehen zur Verfügung:

Windows-Firewall mit erweiterter Sicherheit. Diese Richtlinie wird mithilfe des entsprechenden Snap-Ins lokal oder als Teil der Gruppenrichtlinie konfiguriert. Diese Richtlinie definiert Firewall- und IPSec-Einstellungen auf Computern mit Windows Vista.

Administrative Vorlage für die Windows-Firewall. Diese Richtlinie wird mit dem Gruppenrichtlinienobjekt-Editor im Abschnitt konfiguriert. Diese Schnittstelle enthält Windows-Firewall-Einstellungen, die vor Windows Vista verfügbar waren, und wird zum Konfigurieren des Gruppenrichtlinienobjekts verwendet, das frühere Windows-Versionen steuert. Obwohl diese Parameter für laufende Computer verwendet werden können Windows-Steuerung Vista wird empfohlen, stattdessen die Richtlinie zu verwenden Windows-Firewall mit erweiterter Sicherheit, da es mehr Flexibilität und Sicherheit bietet. Bitte beachten Sie, dass einige der Domänenprofileinstellungen für die administrative Vorlage und Richtlinie der Windows-Firewall gelten Windows-Firewall mit erweiterter Sicherheit, sodass Sie hier die im Domänenprofil mithilfe des Snap-Ins konfigurierten Parameter sehen können Windows-Firewall mit erweiterter Sicherheit.

IPSec-Richtlinien. Diese Richtlinie wird mithilfe des lokalen Snap-Ins konfiguriert IPSec-Richtlinienverwaltung oder den Gruppenrichtlinienobjekt-Editor im Abschnitt „Computerkonfiguration\Windows-Konfiguration\Sicherheitseinstellungen\IP-Sicherheitsrichtlinien“ unter „Lokaler Computer“. Diese Richtlinie definiert IPSec-Einstellungen, die sowohl von früheren Versionen von Windows als auch von Windows Vista verwendet werden können. Sollte nicht gleichzeitig auf demselben Computer verwendet werden diese Politik und Verbindungssicherheitsregeln, die in der Richtlinie definiert sind Windows-Firewall mit erweiterter Sicherheit.

Um alle diese Optionen in den entsprechenden Snap-Ins anzuzeigen, erstellen Sie Ihr eigenes Verwaltungskonsolen-Snap-In und fügen Sie die Snap-Ins hinzu Windows-Firewall mit erweiterter Sicherheit, Und IP-Sicherheit.

Um Ihr eigenes Verwaltungskonsolen-Snap-In zu erstellen, führen Sie die folgenden Schritte aus:

Drück den Knopf Start, gehe zum Menü Alle Programme, dann zum Menü Standard und auswählen Ausführen.

In einem Textfeld Offen EINGEBEN.

Weitermachen.

Auf der Speisekarte Konsole Menüpunkt wählen.

Auf der Liste Verfügbares Zubehör Ausrüstung auswählen Windows-Firewall mit erweiterter Sicherheit und drücken Sie die Taste Hinzufügen.

Drück den Knopf OK.

Wiederholen Sie die Schritte 1 bis 6, um Druckknöpfe hinzuzufügen Kontrolle Gruppenrichtlinie Und IP-Sicherheitsmonitor.

Um zu überprüfen, welche Richtlinien in einem aktiven Profil aktiv sind, verwenden Sie das folgende Verfahren:

Um zu überprüfen, welche Richtlinien angewendet werden, führen Sie die folgenden Schritte aus:

IN Befehlszeile Geben Sie mmc ein und drücken Sie die Taste EINGEBEN.

Wenn das Dialogfeld „Benutzerkontensteuerung“ angezeigt wird, bestätigen Sie die angeforderte Aktion und klicken Sie auf Weitermachen.

Auf der Speisekarte Konsole Menüpunkt wählen Fügen Sie ein Snap-In hinzu oder entfernen Sie es.

Auf der Liste Verfügbares Zubehör Ausrüstung auswählen Gruppenrichtlinienverwaltung und drücken Sie die Taste Hinzufügen.

Drück den Knopf OK.

Erweitern Sie einen Knoten in einem Baum (normalerweise der Baum des Waldes, in dem er sich befindet). dieser Computer) und doppelklicken Sie auf den Abschnitt im Detailbereich der Konsole.

Wählen Sie den Optionsfeldwert aus Richtlinieneinstellungen anzeigen für aus Werten aktueller Benutzer oder Ein anderer Benutzer. Wenn Sie keine Richtlinieneinstellungen für Benutzer, sondern nur Richtlinieneinstellungen für den Computer anzeigen möchten, aktivieren Sie das Optionsfeld Benutzerrichtlinie nicht anzeigen (nur Computerrichtlinie anzeigen) und drücken Sie die Taste zweimal Weiter.

Drück den Knopf Bereit. Der Assistent für Gruppenrichtlinienergebnisse generiert einen Bericht im Detailbereich der Konsole. Der Bericht enthält Registerkarten Zusammenfassung, Optionen Und Politische Ereignisse.

Um zu überprüfen, dass kein Konflikt mit IP-Sicherheitsrichtlinien besteht, wählen Sie nach der Erstellung des Berichts die Registerkarte aus Optionen und öffnen Sie Computerkonfiguration\Windows-Konfiguration\Sicherheitseinstellungen\IP-Sicherheitseinstellungen im Verzeichnisdienst Active Directory. Fehlt der letzte Abschnitt, wurde die IP-Sicherheitsrichtlinie nicht festgelegt. Andernfalls werden der Name und die Beschreibung der Richtlinie sowie des Gruppenrichtlinienobjekts, zu dem sie gehört, angezeigt. Wenn Sie eine IP-Sicherheitsrichtlinie und eine Windows-Firewall mit erweiterter Sicherheit gleichzeitig mit Verbindungssicherheitsregeln verwenden, kann es zu Konflikten zwischen diesen Richtlinien kommen. Es wird empfohlen, nur eine dieser Richtlinien zu verwenden. Die optimale Lösung verwendet IP-Sicherheitsrichtlinien zusammen mit der Windows-Firewall mit erweiterten Sicherheitsregeln für eingehenden oder ausgehenden Datenverkehr. Wenn Parameter an verschiedenen Stellen konfiguriert werden und nicht miteinander konsistent sind, kann es zu schwer lösbaren Richtlinienkonflikten kommen.

Es kann auch zu Konflikten zwischen in lokalen Gruppenrichtlinienobjekten definierten Richtlinien und von der IT-Abteilung konfigurierten Skripten kommen. Überprüfen Sie alle IP-Sicherheitsrichtlinien mit dem Programm IP Security Monitor oder indem Sie an der Eingabeaufforderung den folgenden Befehl eingeben:

Um die in der administrativen Windows-Firewall-Vorlage definierten Einstellungen anzuzeigen, erweitern Sie den Abschnitt Computerkonfiguration\Administrative Vorlagen\Netzwerk\Netzwerkverbindungen\Windows-Firewall.

Um die neuesten Ereignisse im Zusammenhang mit der aktuellen Richtlinie anzuzeigen, können Sie auf die Registerkarte gehen Richtlinienereignisse in derselben Konsole.

Um die von der Windows-Firewall mit erweiterter Sicherheit verwendete Richtlinie anzuzeigen, öffnen Sie das Snap-In auf dem Computer, den Sie diagnostizieren, und überprüfen Sie die Einstellungen darunter Überwachung.

Um administrative Vorlagen anzuzeigen, öffnen Sie das Snap-In Gruppenrichtlinie und im Abschnitt Ergebnisse der GruppenrichtlinienÜberprüfen Sie, ob von Gruppenrichtlinien geerbte Einstellungen vorhanden sind, die dazu führen können, dass Datenverkehr abgelehnt wird.

Um IP-Sicherheitsrichtlinien anzuzeigen, öffnen Sie das Snap-In „IP Security Monitor“. Im Baum auswählen lokalen Computer. Wählen Sie im Konsolenbereich den Link aus Aktive Politik, Grundmodus oder Schneller Modus. Suchen Sie nach konkurrierenden Richtlinien, die dazu führen können, dass der Datenverkehr blockiert wird.

Im Kapitel Überwachung Takelwerk Windows-Firewall mit erweiterter Sicherheit Sie können sehen bestehende Regeln sowohl lokale als auch Gruppenrichtlinien. Zum Erhalten Weitere Informationen siehe Abschnitt „ Verwenden der Überwachungsfunktion in einem Snap-In Windows-Firewall mit erweiterter Sicherheit » dieses Dokuments.

Um den IPSec-Richtlinien-Agenten zu stoppen, führen Sie die folgenden Schritte aus:

Drück den Knopf Start und wählen Sie einen Abschnitt aus Schalttafel.

Klicken Sie auf das Symbol System und seine Wartung und wählen Sie einen Abschnitt aus Verwaltung.

Doppelklicken Sie auf das Symbol Dienstleistungen. Weitermachen.

Suchen Sie in der Liste nach einem Dienst IPSec-Richtlinien-Agent

Wenn der Dienst IPSec-Agent läuft, klicken Sie mit der rechten Maustaste darauf und wählen Sie den Menüpunkt aus Stoppen. Sie können den Dienst auch beenden IPSec-Agentüber die Befehlszeile mit dem Befehl

Peer-to-Peer-Richtlinien können dazu führen, dass Datenverkehr abgelehnt wird

Für Verbindungen, die IPSec verwenden, müssen beide Computer über kompatible IP-Sicherheitsrichtlinien verfügen. Diese Richtlinien können mithilfe des Snap-Ins „Windows-Firewall-Verbindungssicherheitsregeln“ definiert werden IP-Sicherheit oder ein anderer IP-Sicherheitsanbieter.

Gehen Sie folgendermaßen vor, um die Einstellungen der IP-Sicherheitsrichtlinie in einem Peer-to-Peer-Netzwerk zu überprüfen:

Im Handumdrehen Windows-Firewall mit erweiterter Sicherheit Knoten auswählen Überwachung Und Verbindungssicherheitsregeln um sicherzustellen, dass die IP-Sicherheitsrichtlinie auf beiden Netzwerkknoten konfiguriert ist.

Wenn einer der Computer in einem Peer-to-Peer-Netzwerk mehr als läuft frühe Version Stellen Sie bei Windows als bei Windows Vista sicher, dass mindestens eine der Verschlüsselungssammlungen im nativen Modus und eine der Verschlüsselungssammlungen im schnellen Modus Algorithmen verwenden, die von beiden Hosts unterstützt werden.

1. Klicken Sie auf Abschnitt Grundmodus Wählen Sie im Detailbereich der Konsole die Verbindung aus, die Sie testen möchten, und klicken Sie dann auf den Link Eigenschaften im Konsolenbereich. Überprüfen Sie die Verbindungseigenschaften für beide Knoten, um sicherzustellen, dass sie kompatibel sind.

   Wiederholen Sie Schritt 2.1 für die Partition Schneller Modus. Überprüfen Sie die Verbindungseigenschaften für beide Knoten, um sicherzustellen, dass sie kompatibel sind.

Wenn Sie die Authentifizierung mit Kerberos Version 5 verwenden, stellen Sie sicher, dass sich der Host in derselben oder einer vertrauenswürdigen Domäne befindet.

Wenn Sie Zertifikate verwenden, stellen Sie sicher, dass die erforderlichen Kontrollkästchen aktiviert sind. Für Zertifikate, die Internet Key Exchange (IKE) IPSec verwenden, müssen Sie Folgendes tun Digitale Unterschrift. Zertifikate, die Authenticated Internet Protocol (AuthIP) verwenden, erfordern eine Client-Authentifizierung (abhängig vom Authentifizierungstyp des Servers). Weitere Informationen zu AuthIP-Zertifikaten finden Sie im Artikel IP-Authentifizierung in Windows Vista AuthIP in Windows Vista auf der Microsoft-Website.

Die Windows-Firewall mit erweiterter Sicherheit kann nicht konfiguriert werden

Die Einstellungen der Windows-Firewall mit erweiterter Sicherheit sind in den folgenden Fällen ausgegraut (ausgegraut):

Der Computer ist mit einem Netzwerk verbunden zentralisierte Verwaltung, und der Netzwerkadministrator verwendet Gruppenrichtlinien, um die Windows-Firewall mit erweiterten Sicherheitseinstellungen zu konfigurieren. In diesem Fall oben am Druckknopf Windows-Firewall mit erweiterter Sicherheit Sie sehen die Meldung „Einige Einstellungen werden durch Gruppenrichtlinien gesteuert.“ Ihr Netzwerkadministrator konfiguriert die Richtlinie und verhindert so, dass Sie die Windows-Firewall-Einstellungen ändern.

Ein Computer mit Windows Vista ist nicht mit einem zentral verwalteten Netzwerk verbunden, die Einstellungen der Windows-Firewall werden jedoch durch lokale Gruppenrichtlinien bestimmt.

Um die Einstellungen der Windows-Firewall mit erweiterter Sicherheit mithilfe lokaler Gruppenrichtlinien zu ändern, verwenden Sie das Snap-In Lokale Computerrichtlinie. Um dieses Snap-In zu öffnen, geben Sie secpol an der Eingabeaufforderung ein. Wenn das Dialogfeld „Benutzerkontensteuerung“ angezeigt wird, bestätigen Sie die angeforderte Aktion und klicken Sie auf Weitermachen. Gehen Sie zu Computerkonfiguration\Windows-Konfiguration\Sicherheitseinstellungen\Windows-Firewall mit erweiterter Sicherheit, um die Richtlinieneinstellungen für die Windows-Firewall mit erweiterter Sicherheit zu konfigurieren.

Der Computer antwortet nicht auf Ping-Anfragen

Die Hauptmethode zum Testen der Konnektivität zwischen Computern besteht darin, mit dem Ping-Dienstprogramm die Konnektivität zu einer bestimmten IP-Adresse zu testen. Bei einem Ping wird eine ICMP-Echo-Nachricht (auch ICMP-Echo-Request genannt) gesendet und im Gegenzug eine ICMP-Echo-Antwort angefordert. Standardmäßig lehnt die Windows-Firewall eingehende ICMP-Echonachrichten ab, sodass der Computer keine ICMP-Echoantwort senden kann.

Wenn Sie eingehende ICMP-Echonachrichten zulassen, können andere Computer Ihren Computer anpingen. Andererseits wird der Computer dadurch anfällig für Angriffe mit ICMP-Echonachrichten. Es wird jedoch empfohlen, eingehende ICMP-Echonachrichten bei Bedarf vorübergehend zuzulassen und dann zu deaktivieren.

Um ICMP-Echonachrichten zuzulassen, erstellen Sie neue eingehende Regeln, die ICMPv4- und ICMPv6-Echoanforderungspakete zulassen.

Gehen Sie folgendermaßen vor, um ICMPv4- und ICMPv6-Echoanforderungen aufzulösen:

Im Schnappbaum Windows-Firewall mit erweiterter Sicherheit Knoten auswählen Regeln für eingehende Verbindungen und klicken Sie auf den Link Neue Regel im Aktionsbereich der Konsole.

Anpassbar und drücken Sie die Taste Weiter.

Geben Sie den Schalterwert an Alle Programme und drücken Sie die Taste Weiter.

In der Dropdown-Liste Protokolltyp Wähle Wert ICMPv4.

Drück den Knopf Melodie für Artikel ICMP-Protokollparameter.

Stellen Sie das Optionsfeld auf ein Spezifische ICMP-Typen, aktivieren Sie das Kontrollkästchen Echo-Anfrage, Drücken Sie den Knopf OK und drücken Sie die Taste Weiter.

Stellen Sie bei der Auswahl lokaler und Remote-IP-Adressen, die dieser Regel entsprechen, die Schalter auf die entsprechenden Werte ein Beliebige IP-Adresse oder Angegebene IP-Adressen. Wenn Sie den Wert auswählen Angegebene IP-Adressen Geben Sie die erforderlichen IP-Adressen an und klicken Sie auf die Schaltfläche Hinzufügen und drücken Sie die Taste Weiter.

Geben Sie den Schalterwert an Verbindung zulassen und drücken Sie die Taste Weiter.

Wählen Sie in der Profilauswahlphase ein oder mehrere Profile (Domänenprofil, privates oder öffentliches Profil) aus, in denen Sie diese Regel verwenden möchten, und klicken Sie auf die Schaltfläche Weiter.

Auf dem Feld Name Geben Sie den Namen der Regel und in das Feld ein Beschreibung– optionale Beschreibung. Drück den Knopf Bereit.

Wiederholen Sie die obigen Schritte für das ICMPv6-Protokoll und wählen Sie aus Protokolltyp Dropdown-Wert ICMPv6 anstatt ICMPv4.

Wenn Sie über aktive Verbindungssicherheitsregeln verfügen, kann der vorübergehende Ausschluss von ICMP aus den IPsec-Anforderungen zur Lösung von Problemen beitragen. Öffnen Sie dazu im Snap Windows-Firewall mit erweiterter Sicherheit Dialogfenster Eigenschaften, gehen Sie zur Registerkarte IPSec-Einstellungen und geben Sie den Wert in der Dropdown-Liste an Ja für Parameter ICMP von IPSec ausschließen.

Notiz

Die Einstellungen der Windows-Firewall können nur von Administratoren und Netzwerkbetreibern geändert werden.

Dateien und Drucker können nicht freigegeben werden

Wenn Sie nicht bekommen können allgemeiner Zugang Um auf Dateien und Drucker auf einem Computer mit aktiver Windows-Firewall zuzugreifen, stellen Sie sicher, dass alle Gruppenregeln aktiviert sind Zugriff auf Dateien und Drucker Windows-Firewall mit erweiterter Sicherheit Knoten auswählen Regeln für eingehende Verbindungen Zugriff auf Dateien und Drucker Regel aktivieren im Konsolenbereich.

Aufmerksamkeit:

Es wird dringend davon abgeraten, die Datei- und Druckerfreigabe auf Computern zu aktivieren, die direkt mit dem Internet verbunden sind, da Angreifer versuchen könnten, darauf zuzugreifen geteilte Dateien und Ihnen Schaden zufügen, indem Sie Ihre persönlichen Dateien beschädigen.

Die Windows-Firewall kann nicht remote verwaltet werden

Wenn Sie einen Computer mit aktiver Windows-Firewall nicht remote verwalten können, stellen Sie sicher, dass alle Regeln in der Standardgruppe aktiviert sind Remote-Windows-Firewall-Verwaltung aktives Profil. Im Handumdrehen Windows-Firewall mit erweiterter Sicherheit Knoten auswählen Regeln für eingehende Verbindungen und scrollen Sie durch die Liste der Regeln zur Gruppe Fernbedienung. Stellen Sie sicher, dass diese Regeln aktiviert sind. Wählen Sie jede der deaktivierten Regeln aus und klicken Sie auf die Schaltfläche Regel aktivieren im Konsolenbereich. Stellen Sie außerdem sicher, dass der IPSec Policy Agent-Dienst aktiviert ist. Dieser Dienst ist erforderlich für Fernbedienung Windows-Firewall.

Um zu überprüfen, ob der IPSec-Richtlinien-Agent ausgeführt wird, führen Sie die folgenden Schritte aus:

Drück den Knopf Start und wählen Sie einen Abschnitt aus Schalttafel.

Klicken Sie auf das Symbol System und seine Wartung und wählen Sie einen Abschnitt aus Verwaltung.

Doppelklicken Sie auf das Symbol Dienstleistungen.

Wenn das Dialogfeld „Benutzerkontensteuerung“ angezeigt wird, geben Sie die erforderlichen Benutzerinformationen mit den entsprechenden Berechtigungen ein und klicken Sie auf Weitermachen.

Suchen Sie in der Liste nach einem Dienst IPSec-Richtlinien-Agent und stellen Sie sicher, dass es den Status „Wird ausgeführt“ hat.

Wenn der Dienst IPSec-Agent gestoppt, klicken Sie mit der rechten Maustaste darauf und wählen Sie „in“ aus Kontextmenü Absatz Start. Sie können den Dienst auch starten IPSec-Agentüber die Befehlszeile mit dem Befehl „net start Policy Agent“.

Notiz

Standarddienst IPSec-Richtlinien-Agent gestartet. Dieser Dienst sollte ausgeführt werden, sofern er nicht manuell gestoppt wurde.

Fehlerbehebungen für die Windows-Firewall

In diesem Abschnitt werden Tools und Techniken beschrieben, die zur Lösung häufiger Probleme verwendet werden können. Dieser Abschnitt besteht aus den folgenden Unterabschnitten:

Verwenden Sie Überwachungsfunktionen in der Windows-Firewall mit erweiterter Sicherheit

Der erste Schritt zur Lösung von Windows-Firewall-Problemen besteht darin, die aktuellen Regeln zu überprüfen. Funktion Überwachung ermöglicht Ihnen die Anzeige der verwendeten Regeln basierend auf lokalen Richtlinien und Gruppenrichtlinien. Zum Anzeigen der aktuellen eingehenden und ausgehenden Regeln in der Snap-In-Struktur Windows-Firewall mit erweiterter Sicherheit Wählen Sie einen Abschnitt Überwachung, und wählen Sie dann den Abschnitt aus Firewall. In diesem Abschnitt können Sie auch aktuelle anzeigen Verbindungssicherheitsregeln Und Sicherheitszuordnungen (Haupt- und Schnellmodus).

Aktivieren und verwenden Sie die Sicherheitsüberwachung mit dem Befehlszeilentool auditpol

Standardmäßig sind die Überwachungsoptionen deaktiviert. Um sie zu konfigurieren, verwenden Sie das Befehlszeilentool auditpol.exe, das die Überauf dem lokalen Computer ändert. Mit Auditpol können Sie die Anzeige verschiedener Ereigniskategorien aktivieren oder deaktivieren und diese später im Snap-In anzeigen Ereignisanzeige.

Um eine Liste der von auditpol unterstützten Kategorien anzuzeigen, geben Sie an der Eingabeaufforderung Folgendes ein:

• Um eine Liste der Unterkategorien anzuzeigen, die in einer bestimmten Kategorie enthalten sind (z. B. die Kategorie „Richtlinienänderung“), geben Sie in der Befehlszeile Folgendes ein:

  auditpol.exe /list /category:"Richtlinienänderungen"

• Um die Anzeige einer Kategorie oder Unterkategorie zu aktivieren, geben Sie in der Befehlszeile Folgendes ein:

  /Unterkategorie:" NameKategorie"

Um beispielsweise Überwachungsrichtlinien für eine Kategorie und ihre Unterkategorie festzulegen, geben Sie den folgenden Befehl ein:

auditpol.exe /set /category:"Richtlinie ändern" /subcategory:"Richtlinie auf MPSSVC-Regelebene ändern" /success:enable /failure:enable

Richtlinienänderung

Ändern der Richtlinie auf MPSSVC-Regelebene

Ändern der Filterplattformrichtlinie

Eingang Ausgang

IPsec-Basismodus

IPsec-Schnellmodus

Erweiterter IPsec-Modus

System

IPSEC-Treiber

Andere Systemereignisse

Zugriff auf Objekte

Paketverlust durch Filterplattform

Anschließen der Filterplattform

Damit Änderungen an der Sicherheitsüberwachungsrichtlinie wirksam werden, müssen Sie den lokalen Computer neu starten oder eine manuelle Richtlinienaktualisierung erzwingen. Um eine Richtlinienaktualisierung zu erzwingen, geben Sie an der Eingabeaufforderung Folgendes ein:

secedit/refreshpolicy<название_политики>

Nachdem die Diagnose abgeschlossen ist, können Sie die Ereignisüberwachung deaktivieren, indem Sie den Parameter „enable“ in den obigen Befehlen durch „disable“ ersetzen und die Befehle erneut ausführen.

Sehen Sie sich Sicherheitsüberwachungsereignisse im Ereignisprotokoll an

Nachdem Sie die Überwachung aktiviert haben, verwenden Sie die Ereignisanzeige, um Überwachungsereignisse im Sicherheitsereignisprotokoll anzuzeigen.

Gehen Sie folgendermaßen vor, um die Ereignisanzeige im Ordner „Verwaltungstools“ zu öffnen:

1. Drück den Knopf Start.

   Wählen Sie einen Abschnitt Schalttafel. Klicken Sie auf das Symbol System und seine Wartung und wählen Sie einen Abschnitt aus Verwaltung.

   Doppelklicken Sie auf das Symbol Ereignisanzeige.

Um die Ereignisanzeige zur MMC hinzuzufügen, gehen Sie folgendermaßen vor:

Drück den Knopf Start, gehe zum Menü Alle Programme, dann zum Menü Standard und auswählen Ausführen.

In einem Textfeld Offen Geben Sie mmc ein und drücken Sie die Taste EINGEBEN.

Wenn das Dialogfeld „Benutzerkontensteuerung“ angezeigt wird, bestätigen Sie die angeforderte Aktion und klicken Sie auf Weitermachen.

Auf der Speisekarte Konsole Menüpunkt wählen Fügen Sie ein Snap-In hinzu oder entfernen Sie es.

Auf der Liste Verfügbares Zubehör Ausrüstung auswählen Ereignisanzeige und drücken Sie die Taste Hinzufügen.

Drück den Knopf OK.

Speichern Sie die Konsole für die zukünftige Verwendung, bevor Sie das Snap-In schließen.

Im Handumdrehen Ereignisanzeige Erweitern Sie den Abschnitt Windows-Protokolle und wählen Sie einen Knoten aus Sicherheit. Im Arbeitsbereich der Konsole können Sie Sicherheitsüberwachungsereignisse anzeigen. Alle Ereignisse werden oben im Arbeitsbereich der Konsole angezeigt. Klicken Sie oben im Arbeitsbereich der Konsole auf ein Ereignis, um es anzuzeigen genaue Information am unteren Rand des Panels. Auf der Registerkarte Sind üblich Es erfolgt eine Beschreibung der Ereignisse im Klartext. Auf der Registerkarte Einzelheiten Folgende Optionen zur Ereignisanzeige stehen zur Verfügung: Klare Darstellung Und XML-Modus.

Konfigurieren Sie das Firewall-Protokoll für ein Profil

Bevor Sie Firewall-Protokolle anzeigen können, müssen Sie die Windows-Firewall mit erweiterter Sicherheit zum Generieren von Protokolldateien konfigurieren.

Gehen Sie folgendermaßen vor, um die Protokollierung für eine Windows-Firewall mit erweitertem Sicherheitsprofil zu konfigurieren:

Im Schnappbaum Windows-Firewall mit erweiterter Sicherheit Wählen Sie einen Abschnitt Windows-Firewall mit erweiterter Sicherheit und drücken Sie die Taste Eigenschaften im Konsolenbereich.

Wählen Sie die Profilregisterkarte aus, für die Sie die Protokollierung konfigurieren möchten (Domänenprofil, privates Profil oder öffentliches Profil), und klicken Sie dann auf Melodie Im Kapitel Protokollierung.

Geben Sie den Namen und den Speicherort der Protokolldatei an.

Geben Sie die maximale Protokolldateigröße an (von 1 bis 32767 Kilobyte).

In der Dropdown-Liste Fehlende Pakete protokollieren Geben Sie den Wert ein Ja.

In der Dropdown-Liste Zeichnen Sie erfolgreiche Verbindungen auf Geben Sie den Wert ein Ja und klicken Sie dann auf die Schaltfläche OK.

Firewall-Protokolldateien anzeigen

Öffnen Sie die Datei, die Sie im vorherigen Verfahren „Konfigurieren des Firewall-Protokolls für ein Profil“ angegeben haben. Um auf das Firewall-Protokoll zugreifen zu können, müssen Sie über lokale Administratorrechte verfügen.

Sie können die Protokolldatei mit Notepad oder einem beliebigen Texteditor anzeigen.

Analysieren von Firewall-Protokolldateien

Die im Protokoll aufgezeichneten Informationen werden in der folgenden Tabelle angezeigt. Einige Daten werden nur für bestimmte Protokolle angegeben (TCP-Flags, ICMP-Typ und -Code usw.), und einige Daten werden nur für verworfene Pakete (Größe) angegeben.

Notiz

Der Bindestrich (-) wird in Feldern des aktuellen Datensatzes verwendet, die keine Informationen enthalten.

Erstellen von Netstat- und Tasklist-Textdateien

Sie können zwei benutzerdefinierte Protokolldateien erstellen, eine zum Anzeigen von Netzwerkstatistiken (eine Liste aller Überwachungsports) und eine andere zum Anzeigen von Dienst- und Anwendungsaufgabenlisten. Die Aufgabenliste enthält die Prozesskennung (PID) für Ereignisse, die in der Netzwerkstatistikdatei enthalten sind. Das Verfahren zum Erstellen dieser beiden Dateien wird im Folgenden beschrieben.

Gehen Sie folgendermaßen vor, um Textdateien mit Netzwerkstatistiken und einer Aufgabenliste zu erstellen:

Geben Sie an der Eingabeaufforderung Folgendes ein: netstat -ano > netstat.txt und drücken Sie die Taste EINGEBEN.

Geben Sie an der Eingabeaufforderung Folgendes ein: Aufgabenliste > Aufgabenliste.txt und drücken Sie die Taste EINGEBEN. Wenn Sie eine Textdatei mit einer Liste von Diensten erstellen müssen, geben Sie ein tasklist /svc > tasklist.txt.

Öffnen Sie die Dateien tasklist.txt und netstat.txt.

Suchen Sie den Code des Prozesses, den Sie diagnostizieren, in der Datei tasklist.txt und vergleichen Sie ihn mit dem Wert in der Datei netstat.txt. Notieren Sie die verwendeten Protokolle.

Beispiel für die Ausgabe der Dateien Tasklist.txt und Netstat.txt

Netstat.txt
Proto Local Address Foreign Address State PID
TCP 0.0.0.0:XXX 0.0.0.0:0 LISTENING 122
TCP 0.0.0.0:XXXXX 0.0.0.0:0 LISTENING 322
Tasklist.txt
Bildname PID-Sitzungsname Sitzungsnummer Speichernutzung
==================== ======== ================ =========== ============
svchost.exe 122 Dienste 0 7.172 K
XzzRpc.exe 322 Dienste 0 5.104 K

Notiz

Die echten IP-Adressen werden in „X“ und der RPC-Dienst in „z“ geändert.

Stellen Sie sicher, dass wichtige Dienste ausgeführt werden

Die folgenden Dienste müssen ausgeführt werden:

Grundlegender Filterdienst

Gruppenrichtlinien-Client

IPsec-Schlüsselmodule für Internet-Schlüsselaustausch und IP-Authentifizierung

IP-Zusatzdienst

IPSec-Richtlinien-Agent-Dienst

Netzwerkstandortdienst

Netzwerklistendienst

Windows-Firewall

Führen Sie die folgenden Schritte aus, um das Dienste-Snap-In zu öffnen und zu überprüfen, ob die erforderlichen Dienste ausgeführt werden:

Drück den Knopf Start und wählen Sie einen Abschnitt aus Schalttafel.

Klicken Sie auf das Symbol System und seine Wartung und wählen Sie einen Abschnitt aus Verwaltung.

Doppelklicken Sie auf das Symbol Dienstleistungen.

Wenn das Dialogfeld „Benutzerkontensteuerung“ angezeigt wird, geben Sie die erforderlichen Benutzerinformationen mit den entsprechenden Berechtigungen ein und klicken Sie auf Weitermachen.

Stellen Sie sicher, dass die oben aufgeführten Dienste ausgeführt werden. Wenn einer oder mehrere Dienste nicht ausgeführt werden, klicken Sie mit der rechten Maustaste auf den Dienstnamen in der Liste und wählen Sie ihn aus Start.

Zusätzliche Möglichkeit, Probleme zu lösen

Als letzten Ausweg können Sie die Einstellungen Ihrer Windows-Firewall auf die Standardeinstellungen zurücksetzen. Beim Wiederherstellen der Standardeinstellungen gehen alle nach der Installation von Windows Vista vorgenommenen Einstellungen verloren. Dies kann dazu führen, dass einige Programme nicht mehr funktionieren. Auch wenn Sie den Computer aus der Ferne steuern, geht die Verbindung zu ihm verloren.

Stellen Sie vor dem Wiederherstellen der Standardeinstellungen sicher, dass Sie Ihre aktuelle Firewall-Konfiguration gespeichert haben. Dadurch können Sie bei Bedarf Ihre Einstellungen wiederherstellen.

Nachfolgend finden Sie die Schritte zum Speichern Ihrer Firewall-Konfiguration und zum Wiederherstellen der Standardeinstellungen.

Um die aktuelle Firewall-Konfiguration zu speichern, gehen Sie folgendermaßen vor:

Im Handumdrehen Windows-Firewall mit erweiterter Sicherheit Klicken Sie auf den Link Exportrichtlinie im Konsolenbereich.

Um Ihre Firewall-Einstellungen auf die Standardeinstellungen zurückzusetzen, gehen Sie folgendermaßen vor:

Im Handumdrehen Windows-Firewall mit erweiterter Sicherheit Klicken Sie auf den Link Standardeinstellungen wiederherstellen im Konsolenbereich.

Wenn Sie eine Windows-Firewall mit erweiterter Sicherheit erhalten, klicken Sie auf Ja um die Standardwerte wiederherzustellen.

Abschluss

Es gibt viele Möglichkeiten, Probleme mit der Windows-Firewall mit erweiterter Sicherheit zu diagnostizieren und zu beheben. Darunter:

Verwendung der Funktion Überwachung um Firewall-Aktionen, Verbindungssicherheitsregeln und Sicherheitszuordnungen anzuzeigen.

Analysieren Sie Sicherheitsüberwachungsereignisse im Zusammenhang mit der Windows-Firewall.

Textdateien erstellen Aufgabenliste Und netstat zur vergleichenden Analyse.