Windows Firewall: Neue Funktionen

Erster Eindruck: Windows XP Service Pack 2 Release Candidate 1

Windows Firewall: Neue Funktionen

Vor allem der eingebauten Firewall hat Microsoft neue Funktionen verpasst – und auch der Name ändert sich. Statt Internet Connection Firewall heißt die Schutz-Software jetzt schlicht Windows Firewall.


		Nur Windows: Windows meckert, wenn die eingebaute Firewall deaktiviert ist.

Mit Windows XP lieferte Microsoft zum ersten Mal einen Port-Blocker mit dem Betriebssystem aus, die einfachste Form einer Firewall. Der Blocker war relativ gut versteckt, daher musste sich der Nutzer bis zu den Eigenschaften der Netzwerk-Hardware voranklicken, bis er dann endlich unter dem Stichwort “Erweitert die Firewall einschalten konnte. Von Benutzerfreundlichkeit keine Spur. Mit SP2 integriert Microsoft die Windows Firewall ins Sicherheitscenter, das über ein Icon im Systray mit einem Mausklick erreichbar ist. Ein zweiter Klick auf das Firewall-Icon öffnet das Konfigurations-Menü.

Nach der Installation des SP2 ist für jede Netzwerk-Verbindung die Windows Firewall eingeschaltet, unabhängig davon, ob es bereits eine andere Firewall gibt oder nicht. Das ist kein schlechter Gedanke, denn vor allem Einsteiger denken meist nicht daran, den Rechner abzusichern und vergessen, sich eine eigene Firewall zu installieren. Neu ist auch, dass die Windows Firewall auf Programm-Ebene gesteuert werden kann. Das heißt: Für ein bestimmtes Programm, etwa den Messenger-Client, kann die Internet-Verbindung gezielt erlaubt oder verboten werden. Auch das ist einsteiger-freundlich, denn die Firewall-Konfiguration hängt damit nicht mehr so stark vom Wissen über Protokolle und Ports ab.

Boot-Lücke gestopft
Auch bei eingeschalteter Firewall war es bisher ein Problem, dass das Netzwerk beim Booten schon initialisiert wurde und dann eine gewisse Zeit verstrich, bis der Firewall-Dienst aktiv war. Angreifer konnten diese Zeitlücke, die auf langsamen Rechnern größer ist, für einen Angriff nutzen. Auch in diesem Fall bietet das SP2 mehr Sicherheit: Der Firewall-Treiber selbst kennt bereits grundlegende Sicherheits-Richtlinien und kann etwa mit einem DNS- oder DHCP-Server kommunizieren. Ist dann der Firewall-Dienst gestartet, überschreibt er die Einstellungen des Firewall-Treibers.

Ein netter Nebeneffekt: Falls der Firewall-Dienst nicht starten kann, bleiben die Treiber-Richtlinien gültig und blocken alle eingehenden Verbindungen. Damit werden aber auch alle Administratoren ausgesperrt, die sich über den Remote-Desktop von einem entfernten Rechner aus anmelden wollen.

Eine für alle
Die neue Firewall verteilt die Einstellungen auf alle Netzwerk-Adapter. Einmal definierte Regeln sind also für alle Netzwerk-Verbindungen gültig – auf jeden Fall auch ein Fortschritt gegenüber den bisherigen Möglichkeiten. Cool ist vor allem, dass bei neuen Netzwerk-Adaptern gleich die vorhandenen Firewall-Einstellungen der anderen Karten gültig sind.


		Begrenzung: Zugriffe lassen sich auf Subnetze oder IP-Adressen einschränken.

Eine nützliche Funktion für Fortgeschrittene ist die Zugriffsbeschränkung auf Subnetz-Ebene. Sie können über die erweiterten Einstellungen Netzwerkzugriffe für ein bestimmtes Programm auf das eigene Subnetz einschränken oder eine Kombination aus mehreren IP-Adressen und Subnetzmasken hinzufügen. Vorteile ergeben sich etwa bei der Datei- und Druckerfreigabe, die sich leicht auf das aktuelle Subnetz einschränken lässt. Wird sie aktiviert, sind die UDP-Ports 137 und 138 respektive die TCP-Ports 139 und 445 nur aus dem gleichen Subnetz erreichbar. Für das Universal Plug-and-Play öffnen sich UDP-Port 1900 und TCP-Port 2869 lokal.

Administratoren werden das Kommandozeilen-Tool Netsh Helper kennen, das im Advanced Networking Pack enthalten ist. Leider kam es bisher nur mit IPv6 klar. Das SP2 liefert das Tool IPv4-tauglich aus. Das Hilfsprogramm ist vor allem für Admins interessant, die in Skripten Befehle an die Firewall unterbringen wollen oder Remote auf einer Client-Maschine angemeldet sind.

Wer sich ganz abschotten will, für den bietet die Firewall die Option "Keine Ausnahmen zulassen". Dahinter verbirgt sich schlicht die Möglichkeit, alle für Programme geöffneten Horch-Verbindungen per Mausklick zu verbieten. Deaktiviert man diese Option wieder, sind alle Ausnahmen wieder erlaubt. Microsoft empfiehlt die restriktive Vorgehensweise, wenn Sie sich etwa an einem W-LAN-Hotspot anmelden.

Blaster-feindlich
Die Windows Firewall erlaubt mit den Standardeinstellungen keine Verbindungen über den Remote Procedure Call (RPC). Zwar benutzen diesen Mechanismus viele Anwendungen, aber auch der Blaster-Wurm hat diesen Dienst verwendet. Benutzerfreundlich ist die Möglichkeit, die Standardeinstellungen der Firewall mit nur einem Mausklick wiederherzustellen.


	Lesen Sie auf der nächsten Seite: Virenscanner: Verwaltung in Windows