Konfiguration der Windows Firewall per Kommandozeile

Symptom

In der Core-Installation von Windows Servern wollen Sie die Firewalleinstellungen ändern, es steht Ihnen jedoch die Verwaltungs-GUI für die „Windows-Firewall mit erweiterter Sicherheit“ nicht zur Verfügung. Insbesondere ist das z.B. bei den frei verfügbaren Hyper-V Core Servern der Fall, in denen Sie die Windows GUI auch nicht nachinstallieren können.

Lösung

Allgemein
Die Einstellungen der Windows Firewall können Sie mit dem Befehl

netsh advfirewall firewall

anpassen. Sie können entweder einzelne Ports öffnen oder schließen, z.B. mit

netsh advfirewall firewall add rule name="Port 80 oeffnen" dir=in action=allow protocol=TCP localport=80

oder vordefinierte Regelgruppen von Windows für bestimmte Anwendungszwecke verwenden. Dies umfasst dann ggf. mehrere Ports bzw. Einstellungen auf einmal. Beispielweise können Sie die Firewall für den Remotedesktop-Zugriff öffnen mit dem Befehl

netsh advfirewall firewall set rule group="Remotedesktop" new enable=yes

Windows bietet folgende vordefinierte Regelgruppen:

Windows-Firewallremoteverwaltung
Remotedesktop
Datei- und Druckerfreigabe
Windows-Verwaltungsinstrumentation (WMI)
Windows-Firewallremoteverwaltung
Remotedienstverwaltung	
Distributed Transaction Coordinator
Kernnetzwerk
Leistungsprotokolle und -warnungen
Schlüsselverwaltungsdienst
Verwaltung virtueller TPM-Smartcards
Microsoft Hyper-V-Verwaltungsclients
Remote-Ereignisprotokollverwaltung
iSCSI-Dienst
Remotevolumeverwaltung
Routing und RAS
Windows-Remoteverwaltung (Kompatibilität)
Windows-Remoteverwaltung
Remoteverwaltung geplanter Aufgaben
Datei- und Druckerfreigabe über SMBDirect
Hyper-V-Replikat - HTTPS
Hyper-V-Replikat - HTTP
Hyper-V
Anmeldedienst
Netzwerkerkennung
Remoteherunterfahren
SNMP-Trap
Überwachung für virtuelle Computer

Anwendungen
Zu Testzwecken kann es sinnvoll sein, auf einem Server, der sich nicht im Produktivbetrieb befindet, die Firewall-Einstellungen hinsichtlich Remoteverwaltbarkeit etwas großzügiger freizuschalten, ohne dabei die gesamte Firewall zu deaktivieren. Dafür bietet sich beispielsweise der folgende Satz an Befehlen an:

netsh advfirewall firewall set rule group="Windows-Firewallremoteverwaltung" new enable=yes
netsh advfirewall firewall set rule group="Remotedesktop" new enable=yes
netsh advfirewall firewall set rule group="Datei- und Druckerfreigabe" new enable=yes
netsh advfirewall firewall set rule group="Windows-Verwaltungsinstrumentation (WMI)" new enable=yes
netsh advfirewall firewall set rule group="Remotedienstverwaltung" new enable=yes
netsh advfirewall firewall set rule group="Leistungsprotokolle und -warnungen" new enable=yes
netsh advfirewall firewall set rule group="Remote-Ereignisprotokollverwaltung" new enable=yes
netsh advfirewall firewall set rule group="Remotevolumeverwaltung" new enable=yes
netsh advfirewall firewall set rule group="Windows-Remoteverwaltung" new enable=yes
netsh advfirewall firewall set rule group="Remoteverwaltung geplanter Aufgaben" new enable=yes
netsh advfirewall firewall set rule group="Leistungsprotokolle und -warnungen" new enable=yes

Für Hyper-V Server im Testbetrieb hat sich die Freischaltung folgender Ports und Regelgruppen bewährt:

netsh advfirewall firewall set rule group="Hyper-V" new enable=yes
netsh advfirewall firewall add rule name=" TCP Port 6600 fuer Hyper-V Live Migration" dir=in action=allow protocol=TCP localport=6600
netsh advfirewall firewall set rule group="Hyper-V-Replikat - HTTPS " new enable=yes
netsh advfirewall firewall set rule group="Hyper-V-Replikat - HTTP" new enable=yes
netsh advfirewall firewall set rule group="Überwachung für virtuelle Computer" new enable=yes

Bitte beachten Sie: Wir empfehlen, die Firewall auf einem Server im Produktivbetrieb aus Sicherheitsgründen in jedem Falle so restriktiv wie möglich zu konfigurieren. Dies gilt auch für Server, die sich im LAN befinden und selbst keine Portfreigaben ins Internet besitzen.

Weitere Informationen

https://www.max-it.de/managed-services/anwender-und-netzwerk/

Kontakt

Wenn Sie Fragen oder Anmerkungen zu diesem Artikel haben, melden Sie sich bitte bei uns: mailto:techcorner@max-it.de.

Über m.a.x. Informationstechnologie AG:
Als etabliertes Münchner Systemhaus zeichnen wir uns seit 1989 als verlässlicher IT-Partner mittelständischer und großer Unternehmen aus. Unser Portfolio reicht von IT- Services über individuelle Softwareentwicklung bis hin zur ERP-Beratung.

Tags

Windows Server Firewall, Windows Firewall mit erweiterter Sicherheit, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2, Windows Server Core, Hyper-V Server 2008 R2, Windows Server 2012, Windows Server 2012 R2