Konfiguration der Windows Firewall per Kommandozeile: Unterschied zwischen den Versionen

(Weitere Informationen)
 
(6 dazwischenliegende Versionen von 4 Benutzern werden nicht angezeigt)
Zeile 1: Zeile 1:
 
=== '''Symptom''' ===
 
=== '''Symptom''' ===
In der Core-Installation von Windows Servern wollen Sie die Firewalleinstellungen ändern, es steht Ihnen jedoch die Verwaltungs-GUI für die „Windows-Firewall mit erweiterter Sicherheit“ nicht zur Verfügung. Insbesondere ist das z.B. bei den frei verfügbaren Hyper-V Core Servern der Fall, in denen Sie die Windows GUI auch nicht nachinstallieren können.<br /><br />
+
In der Core-Installation von Windows Servern wollen Sie die Firewalleinstellungen ändern, es steht Ihnen jedoch die Verwaltungs-GUI für die „Windows-Firewall mit erweiterter Sicherheit“ nicht zur Verfügung. Insbesondere ist das z.B. bei den frei verfügbaren Hyper-V Core Servern der Fall, in denen Sie die Windows GUI auch nicht nachinstallieren können.
  
 
=== '''Lösung''' ===
 
=== '''Lösung''' ===
 
'''Allgemein'''<br />
 
'''Allgemein'''<br />
Die Einstellungen der Windows Firewall können Sie mit dem Befehl<br />
+
Die Einstellungen der Windows Firewall können Sie mit dem Befehl  
 
<pre>netsh advfirewall firewall</pre>
 
<pre>netsh advfirewall firewall</pre>
  
anpassen. Sie können entweder einzelne Ports öffnen oder schließen, z.B. mit<br />
+
anpassen. Sie können entweder einzelne Ports öffnen oder schließen, z.B. mit  
  
 
<pre>netsh advfirewall firewall add rule name="Port 80 oeffnen" dir=in action=allow protocol=TCP localport=80</pre>
 
<pre>netsh advfirewall firewall add rule name="Port 80 oeffnen" dir=in action=allow protocol=TCP localport=80</pre>
  
oder vordefinierte Regelgruppen von Windows für bestimmte Anwendungszwecke verwenden. Dies umfasst dann ggf. mehrere Ports bzw. Einstellungen auf einmal. Beispielweise können Sie die Firewall für den Remotedesktop-Zugriff öffnen mit dem Befehl<br />
+
oder vordefinierte Regelgruppen von Windows für bestimmte Anwendungszwecke verwenden. Dies umfasst dann ggf. mehrere Ports bzw. Einstellungen auf einmal. Beispielweise können Sie die Firewall für den Remotedesktop-Zugriff öffnen mit dem Befehl  
  
 
<pre>netsh advfirewall firewall set rule group="Remotedesktop" new enable=yes</pre>
 
<pre>netsh advfirewall firewall set rule group="Remotedesktop" new enable=yes</pre>
Zeile 69: Zeile 69:
 
netsh advfirewall firewall set rule group="Überwachung für virtuelle Computer" new enable=yes</pre>
 
netsh advfirewall firewall set rule group="Überwachung für virtuelle Computer" new enable=yes</pre>
  
'''Bitte beachten Sie:''' Wir empfehlen, die Firewall auf einem Server im Produktivbetrieb aus Sicherheitsgründen in jedem Falle so restriktiv wie möglich zu konfigurieren. Dies gilt auch für Server, die sich im LAN befinden und selbst keine Portfreigaben ins Internet besitzen.<br /><br />
+
'''Bitte beachten Sie:''' Wir empfehlen, die Firewall auf einem Server im Produktivbetrieb aus Sicherheitsgründen in jedem Falle so restriktiv wie möglich zu konfigurieren. Dies gilt auch für Server, die sich im LAN befinden und selbst keine Portfreigaben ins Internet besitzen.
  
 
=== '''Weitere Informationen''' ===
 
=== '''Weitere Informationen''' ===
https://mittelstand.max-it.de/Managed-Services/Server-Applications<br /><br />
+
Mehr Informationen zur Anwender- und Netzwerkbetreuung finden Sie auf<br />
 +
[https://www.max-it.de/managed-services/managed-client-services/ www.max-it.de/managed-services/managed-client-services]
  
 
=== '''Kontakt''' ===
 
=== '''Kontakt''' ===
Wenn Sie Fragen oder Anmerkungen zu diesem Artikel haben, melden Sie sich bitte bei uns: mailto:techcorner@max-it.de.<br />
+
Wenn Sie Fragen oder Anmerkungen zu diesem Artikel haben, melden Sie sich bitte bei uns:<br />
 +
[http://mailto:techcorner@max-it.de techcorner@max-it.de].<br />
  
Über m.a.x. Informationstechnologie AG: <br />
+
'''Über m.a.x. Informationstechnologie AG:''' <br />
Als etabliertes Münchner Systemhaus zeichnen wir uns seit 1989 als verlässlicher IT-Partner mittelständischer und großer Unternehmen aus. Unser Portfolio reicht von IT- Services über individuelle Softwareentwicklung bis hin zur ERP-Beratung.<br />
+
Als etabliertes Münchner Systemhaus zeichnen wir uns seit 1989 als verlässlicher IT-Partner mittelständischer und großer Unternehmen aus. Unser Portfolio reicht von IT- Services über individuelle Softwareentwicklung bis hin zur ERP-Beratung.
<br />
 
 
   
 
   
 
=== '''Tags''' ===
 
=== '''Tags''' ===

Aktuelle Version vom 14. Mai 2020, 13:10 Uhr

Symptom

In der Core-Installation von Windows Servern wollen Sie die Firewalleinstellungen ändern, es steht Ihnen jedoch die Verwaltungs-GUI für die „Windows-Firewall mit erweiterter Sicherheit“ nicht zur Verfügung. Insbesondere ist das z.B. bei den frei verfügbaren Hyper-V Core Servern der Fall, in denen Sie die Windows GUI auch nicht nachinstallieren können.

Lösung

Allgemein
Die Einstellungen der Windows Firewall können Sie mit dem Befehl

netsh advfirewall firewall

anpassen. Sie können entweder einzelne Ports öffnen oder schließen, z.B. mit

netsh advfirewall firewall add rule name="Port 80 oeffnen" dir=in action=allow protocol=TCP localport=80

oder vordefinierte Regelgruppen von Windows für bestimmte Anwendungszwecke verwenden. Dies umfasst dann ggf. mehrere Ports bzw. Einstellungen auf einmal. Beispielweise können Sie die Firewall für den Remotedesktop-Zugriff öffnen mit dem Befehl

netsh advfirewall firewall set rule group="Remotedesktop" new enable=yes

Windows bietet folgende vordefinierte Regelgruppen:

Windows-Firewallremoteverwaltung
Remotedesktop
Datei- und Druckerfreigabe
Windows-Verwaltungsinstrumentation (WMI)
Windows-Firewallremoteverwaltung
Remotedienstverwaltung	
Distributed Transaction Coordinator
Kernnetzwerk
Leistungsprotokolle und -warnungen
Schlüsselverwaltungsdienst
Verwaltung virtueller TPM-Smartcards
Microsoft Hyper-V-Verwaltungsclients
Remote-Ereignisprotokollverwaltung
iSCSI-Dienst
Remotevolumeverwaltung
Routing und RAS
Windows-Remoteverwaltung (Kompatibilität)
Windows-Remoteverwaltung
Remoteverwaltung geplanter Aufgaben
Datei- und Druckerfreigabe über SMBDirect
Hyper-V-Replikat - HTTPS
Hyper-V-Replikat - HTTP
Hyper-V
Anmeldedienst
Netzwerkerkennung
Remoteherunterfahren
SNMP-Trap
Überwachung für virtuelle Computer

Anwendungen
Zu Testzwecken kann es sinnvoll sein, auf einem Server, der sich nicht im Produktivbetrieb befindet, die Firewall-Einstellungen hinsichtlich Remoteverwaltbarkeit etwas großzügiger freizuschalten, ohne dabei die gesamte Firewall zu deaktivieren. Dafür bietet sich beispielsweise der folgende Satz an Befehlen an:

netsh advfirewall firewall set rule group="Windows-Firewallremoteverwaltung" new enable=yes
netsh advfirewall firewall set rule group="Remotedesktop" new enable=yes
netsh advfirewall firewall set rule group="Datei- und Druckerfreigabe" new enable=yes
netsh advfirewall firewall set rule group="Windows-Verwaltungsinstrumentation (WMI)" new enable=yes
netsh advfirewall firewall set rule group="Remotedienstverwaltung" new enable=yes
netsh advfirewall firewall set rule group="Leistungsprotokolle und -warnungen" new enable=yes
netsh advfirewall firewall set rule group="Remote-Ereignisprotokollverwaltung" new enable=yes
netsh advfirewall firewall set rule group="Remotevolumeverwaltung" new enable=yes
netsh advfirewall firewall set rule group="Windows-Remoteverwaltung" new enable=yes
netsh advfirewall firewall set rule group="Remoteverwaltung geplanter Aufgaben" new enable=yes
netsh advfirewall firewall set rule group="Leistungsprotokolle und -warnungen" new enable=yes

Für Hyper-V Server im Testbetrieb hat sich die Freischaltung folgender Ports und Regelgruppen bewährt:

netsh advfirewall firewall set rule group="Hyper-V" new enable=yes
netsh advfirewall firewall add rule name=" TCP Port 6600 fuer Hyper-V Live Migration" dir=in action=allow protocol=TCP localport=6600
netsh advfirewall firewall set rule group="Hyper-V-Replikat - HTTPS " new enable=yes
netsh advfirewall firewall set rule group="Hyper-V-Replikat - HTTP" new enable=yes
netsh advfirewall firewall set rule group="Überwachung für virtuelle Computer" new enable=yes

Bitte beachten Sie: Wir empfehlen, die Firewall auf einem Server im Produktivbetrieb aus Sicherheitsgründen in jedem Falle so restriktiv wie möglich zu konfigurieren. Dies gilt auch für Server, die sich im LAN befinden und selbst keine Portfreigaben ins Internet besitzen.

Weitere Informationen

Mehr Informationen zur Anwender- und Netzwerkbetreuung finden Sie auf
www.max-it.de/managed-services/managed-client-services

Kontakt

Wenn Sie Fragen oder Anmerkungen zu diesem Artikel haben, melden Sie sich bitte bei uns:
techcorner@max-it.de.

Über m.a.x. Informationstechnologie AG:
Als etabliertes Münchner Systemhaus zeichnen wir uns seit 1989 als verlässlicher IT-Partner mittelständischer und großer Unternehmen aus. Unser Portfolio reicht von IT- Services über individuelle Softwareentwicklung bis hin zur ERP-Beratung.

Tags

Windows Server Firewall, Windows Firewall mit erweiterter Sicherheit, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2, Windows Server Core, Hyper-V Server 2008 R2, Windows Server 2012, Windows Server 2012 R2