RRZE - Microsoft Firewall
Durch die Installation des XP SP2 wird die Firewall automatisch aktiviert!
Folgende Neuerungen zum bisherigen IP-Filter kommen mit der XP SP2 / 2003 SP1 Firewall hinzu:
- Stateful Filtering
TCP-Verbindungen vom PC zu einem Server können uneingeschränkt aufgebaut werden.
Der Rückkanal wird nach erfolgreichem TCP-Handshake automatisch zugelassen.
Listening-Ports am PC müssen explizit freigegeben werden.
Eingehender Kommunikationsverkehr wird geblockt (u.a. Fernsteuersoftware, Zugriff auf RPC-Port, usw.).
- Boot Time Policy
Bereits beim Starten des Netzwerkes während des Bootvorganges gelten fest einprogrammierte Filterregeln (Boot Time Policy), die jeglichen einkommenden Verkehr filtern, außer DHCP, DNS und AD (GPO).
Erst wenn später während des Bootvorganges der Firewall-Dienst startet, wird die eingestellte Konfiguration aktiv (Run Time Policy).
- Globale Ausnahmen / Exceptions
Um Listening-Ports freizuschalten, können Ausnahmen (Exceptions) konfiguriert werden, die für alle Netzwerkkarten gelten.
Die Ausnahmen sind Freischaltungen einzelner Programme über den Programmpfad oder spezielle Ports. Die Freischaltung kann für einzelne IP-Adressen, das eigene lokale Subnetz oder frei definierbare Subnetzbereiche konfiguriert werden (Scope).
Für Subnetzbetreuer stehen vor dem Rollout folgende Aufgaben an:
- Tests
Test der eingesetzten Anwendungen an einem Test-System mit XP SP2.
Dazu wird ein Testrechner mit allen im Subnetz verwendeten Anwendungen aufgestellt und die XP SP2 Firewall aktiviert.
Anschließend werden alle Programme unter Verwendung einer administrativen Kennung mindestens einmal aufgerufen, um festzustellen, welche Programme Ports für eine Netzwerkkommunikation öffnen.
Mit diesem Test kann eine Liste der anzupassenden Anwendungen erstellt werden. - Vorbereitende Konfiguration
Die Konfiguration der Firewall befindet sich unterhalb des Registry-Keys
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy].
Die Werte unterhalb dieses Schlüssels können vor dem Rollout des XP SP2 an allen zu aktualisierenden XP PCs importiert werden. Dies ist vor allem dann empfehlenswert, wenn Fernsteuerungssoftware eingesetzt wird, die nach dem Einspielen des XP SP2 ohne diese Vorbereitung nicht mehr funktionieren wird. - Nachbereitende Konfiguration
Die Konfiguration kann auch nachträglich am PC manuell über das Firewall-Konfigurationsprogramm in der Systemsteuerung (Control Panel) oder in Skripten mit Hilfe des Befehls
netsh firewall ...
eingerichtet werden.
- Anpassung bei Verwendung des RRZE Sicherheitskripts
Falls das Dienste-Sicherheitsskript des RRZE angewandt wurde, wird die Firewall nicht mit der Run Time Policy starten, da die Konfiguration des Dienstes zu restriktiv ist.
Um die Standardberechtigungen wieder herzustellen, muss der Schlüssel
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Security]
gelöscht werden.
WinCampus-2004-10-21.pdf 
zum Seitenanfang
Navigation ausblenden
