Sicherheitsregeln für die Windows-Firewall und IPsec-basierte Verbindung in Windows Vista und Windows Server 2008

Dieser Artikel beschreibt eine Betaversion eines Microsoft-Produkts. Die Informationen in diesem Artikel als- und geändert werden.

Bietet keinen offiziellen Produktsupport ist für diese Betaversion von Microsoft erhältlich. Informationen zu Unterstützung für eine Betaversion finden Sie in der Dokumentation der Betaversion oder der Website, wo Sie diese Version heruntergeladen haben.

Einführung

In diesem Artikel werden folgende Themen behandelt:
  • Sicherheitsregeln für die Windows-Firewall in Windows Vista
  • Sicherheitsregeln für IPsec-basierte Verbindung in Windows Vista und Windows Server 2008
  • Herstellen eine verschlüsselte Verbindung zwischen Windows Vista und Windows XP oder zwischen Windows Vista und Windows Server 2003

Weitere Informationen

In Windows Vista werden die neuen Windows-Firewall-Sicherheitsregeln und neue Verbindung IPsec-basierten Sicherheitsregeln vollständig Gruppenrichtlinien integriert. Daher die Einstellungen zusammenführen und Delegieren sie Verhalten auf die gleiche Weise wie andere Einstellungen.

Sicherheitsregeln für die Windows-Firewall in Windows Vista

Das Snap-in "Windows-Firewall mit erweiterter Sicherheit"-Steuerelement MMC (Microsoft Management) unterstützt die folgenden Arten von Sicherheitsregeln.

Hinweis Die Liste der Windows-Firewall-Sicherheitsregeln und die Liste der Regeln werden von allen anwendbaren Gruppenrichtlinien zusammengeführt. Anschließend werden diese Sicherheitsregeln in der folgenden Reihenfolge verarbeitet. Der Reihenfolge wird immer erzwungen, unabhängig von der Quelle die Sicherheitsregeln.
  • Windows Service Hardening Regel
    Windows Service Hardening Regel verhindert, dass Services Herstellen einer Verbindung. Dienst eingeschränkt sind so konfiguriert, dass Windows-Dienste nur auf eine bestimmte Weise kommunizieren können. Beispielsweise können Sie Datenverkehr über einen bestimmten Port einschränken. Bis Sie eine Firewallregel erstellen, ist jedoch kein Datenverkehr zugelassen.
  • Verbindungssicherheitsregel
    Die Verbindungssicherheitsregel definiert, wie und wann Computer authentifiziert werden IPSec-Funktion. Verbindungssicherheitsregeln dienen zu Server- und Domänenisolation. Verbindungssicherheitsregeln dienen darüber hinaus (Network Access Protection, NAP) erzwingen.
  • Authentifizierte Umgehung Regel
    Der authentifizierte umgehen Regel können bestimmte Computer verbunden sein, wenn der Datenverkehr mit IPSec-Funktion unabhängig von anderen eingehenden Regeln geschützt sind. Angegebenen Computer können eingehende Regeln umgehen, die Datenverkehr blockieren. Beispielsweise können Sie Firewallremoteverwaltung von bestimmten Computern aus nur von Regeln zur authentifizierten Umgehung für Computer erstellen. Oder Sie können Remoteunterstützung durch Aufrufen von Helpdesk.
  • Regel blockieren
    Die Blockierungsregel blockiert explizit eine bestimmten Typ von eingehendem oder eine bestimmte Art von ausgehenden Datenverkehr.
  • Regel zulassen
    Die Zulassungsregel lässt explizit einen bestimmten Typen von eingehendem Datenverkehr oder bestimmte Arten von ausgehenden Datenverkehr.
  • Standardregel
    Die Default-Regel ist so konfiguriert, eingehende Standardregel Verbindungen blockiert und ausgehende Standardregel ermöglicht Verbindungen.

Sicherheitsregeln für IPsec-basierte Verbindung in Windows Vista und Windows Server 2008

Die folgenden zwei Arten von IPSec-Regeln können auf einem Windows Vista-Computer oder einem Windows Server 2008-Computer angewendet werden:
  • IPSec-Regeln
    Frühere IPSec-Regeln sind derzeit in Windows 2000 und Windows Server 2003 bereitgestellt. Die früheren IPSec-Regeln werden vom Richtlinien-Agent-Dienst verwaltet. Diese IPSec-Regeln werden Internet Key Exchange (IKE), die nur computerbasierte Kerberos-Authentifizierung, x. 509-Zertifikate oder Authentifizierung mit vorinstallierten Schlüsseln unterstützen. Diese IPSec-Regeln sind im "IPsec Policy Management" MMC-Snap-in konfiguriert. IKE-basierte Richtlinien-Agent-Regeln werden auf die gleiche Weise wie in Windows 2000 und Windows Server 2003 angewendet. Obwohl auf einem bestimmten Computer mehrere Richtlinien angewendet werden können, wird nur die zuletzt angewendete Richtlinie ist erfolgreich. Dies entspricht der "last Writer Wins"-Methode. Außerdem können IKE-Richtlinien zusammengeführt werden.
  • Verbindungssicherheitsregeln
    Verbindungssicherheitsregeln werden nur in Windows Vista und Windows Server 2008 unterstützt. Verbindungssicherheitsregeln werden durch eine IKE-Erweiterung, die AuthIP (Authenticated IP) aufgerufen wird. AuthIP bietet Unterstützung für die folgenden Authentifizierungsmechanismen:
    • Interaktive Benutzeranmeldeinformationen für Kerberos oder NTLMv2 interaktive Benutzeranmeldeinformationen
    • Benutzer x. 509-Zertifikate
    • Computerzertifikate für Secure Sockets Layer (SSL)
    • NAP-Integritätszertifikate
    • Anonyme Authentifizierung (optional)
    Sie können Sicherheitsregeln für das Snap-in "Windows-Firewall und erweiterte Sicherheit" mithilfe der folgenden Tools konfigurieren:
    • Domänenbasierte Gruppenrichtlinien
    • Das Snap-in "Windows-Firewall mit erweiterter Sicherheit"

      Hinweis Das Snap-in "Windows-Firewall mit erweiterter Sicherheit" ist der Standardspeicherort für Richtlinien, die mit dem Befehl wf.msc zugegriffen werden kann.
    • Lokale Gruppenrichtlinien Snap-in (Gpedit.msc)
    • Der Befehl Netsh advfirewall

      Hinweis Der Befehl Netsh Advfirewall verweist auf denselben Speicherplatz wie der Befehl wf.msc .
    Wie andere Firewall- und Gruppenrichtlinienregeln werden Regeln aus allen relevanten Gruppenrichtlinienobjekten zusammengeführt.

    Verbindungssicherheitsrichtlinien können IPsec-Richtlinien erstellen, die mit IKE Version 1, basierenden Clients wie Microsoft Windows 2000, Windows XP und Windows Server 2003 konfiguriert werden. Verbindungssicherheitsrichtlinien können auch für die Richtlinien erstellen, die Kommunikation zwischen Windows Vista und Windows Server 2008-Computern konfiguriert werden.

    Ein Administrator kann eine Verbindungssicherheitsrichtlinie erstellen, mithilfe der folgenden Methoden:
    • Der Administrator kann eine Verbindungssicherheitsrichtlinie erstellen, die nur Kerberos-Authentifizierung, x. 509-Benutzerzertifikate oder Computerauthentifizierung unterstützt.

      Hinweise
      • In diesem Fall erstellt der Mpssvc-Dienst automatisch sowohl AuthIP als auch frühere IKE Richtlinien.
      • Wenn computerbasierte Authentifizierung mit vorinstallierten Schlüsseln angegeben wird, werden nicht AuthIP-Regeln erstellt.
    • Der Administrator kann eine Verbindungssicherheitsrichtlinie erstellen, die eine Benutzerauthentifizierung erfordert.

      Hinweis In diesem Fall wird nur die AuthIP-Richtlinie für Verhandlungen innerhalb von Windows Vista Windows Vista und Windows Vista-Windows Server 2008-Aushandlungen erstellt. Dies ist da IKE keine Benutzerauthentifizierung unterstützt.
    • Der Administrator kann eine Verbindungssicherheitsrichtlinie erstellen, in der Optionen für die Benutzerauthentifizierung zur Richtlinie hinzugefügt werden. Darüber hinaus kann der Administrator auch die zweite Authentifizierung ist optional Option.

      Hinweis Der Mpssvc-Dienst erstellt sowohl AuthIP-Richtlinien als auch frühere IKE-Richtlinien. Optionale Benutzerauthentifizierung ist enthalten im AuthIP-Satz. Optionale Benutzerauthentifizierung ist nicht in der früheren IKE-Richtlinie enthalten.
    • Der Administrator kann eine Verbindungssicherheitsrichtlinie erstellen, die NTLM-Authentifizierung erfordert.

      Hinweis In diesem Fall wird nur die AuthIP-Richtlinie für Verhandlungen innerhalb von Windows Vista Windows Vista und und Windows Vista-Windows Server 2008 erstellt da IKE keine NTLM-Authentifizierung unterstützt.
    • Der Administrator wählt "Diffie-Hellman-Algorithmus in die globale"Main Mode Schlüsselaustausch"Algorithmus, der nicht kompatibel mit früheren Clients wie dem Algorithmus"Elliptische Kurve Diffie-Hellman-P-256".

      Hinweise
      • In diesem Fall werden "Diffie-Hellman-Algorithmus nicht von früheren IKE-Version 1-Clients unterstützt. Zudem sind die IKE-Verhandlungen nicht erfolgreich.
      • Wir empfehlen die Einstellung "Diffie-Hellman-Gruppe 2" zu verwenden, da diese Einstellung über die breiteste Palette an Clients unterstützt wird.
      • Die Einstellung "Diffie-Hellman-Gruppe 14" ist in Windows XP Service Pack 2 (SP2) und Windows Server 2003 unterstützt.
      • In diesem Fall ist das Verhalten ändern "Diffie-Hellman-Algorithmus im Allgemeinen nicht für die AuthIP-basierte Verhandlungen verwendet.
      • Wenn der Mpssvc-Dienst AuthIP-Regeln erstellt, legt er fest, dass Windows Vista Windows Vista oder Windows Vista-Windows Server 2008 Verhandlungen nur "Diffie-Hellman-Algorithmus verwenden soll, wenn die Hauptmodus-Authentifizierungsmethode auf Anonymfestgelegt ist.
      • Wenn der Mpssvc-Dienst IKE-Regeln erstellt, verwendet der Mpssvc-Dienst immer "Diffie-Hellman-Algorithmus, der für die globale Main Mode Key Exchange -Einstellung.
      • Ein Security Support Provider Interface SSPI gemeinsamer geheimer Schlüssel wird verwendet, um das Schlüsselmaterial im AuthIP-Austausch generiert in dem der Schlüsselaustausch im Hauptmodus nicht Diffie-Hellman-Austausch haben.

    Von AuthIP verwendete Zertifikate

    • AuthIP verwendet Zertifikate, die Client-Authentifizierungseinstellungen oder Server Authentifizierungseinstellungen. SSL-Zertifikate können Clientauthentifizierungszertifikate sein. Oder SSL-Zertifikate können Clientauthentifizierungszertifikate und Serverauthentifizierungszertifikate sein.
    • Wenn Sie Richtlinien zum Verwenden von Zertifikatauthentifizierung für Windows Vista erstellen, müssen Sie Zertifikate, die mit AuthIP. Dies bedeutet, dass die Zertifikate, die Sie Clients bereitstellen, SSL-Zertifikate, die Clients oder Serverauthentifizierung verwenden. Die Authentifizierung hängt, ob Sie einseitige oder gegenseitige Authentifizierung. Die SSL-Zertifikate unterscheiden sich von den digitalen Standardzertifikaten, die unter Windows XP oder Windows Server 2003 verwendet werden.
    • Standardmäßig werden Zertifikate von NAP-Implementierung verwendet.

Verarbeitung der Gruppenrichtlinie für das Snap-in "Windows-Firewall mit erweiterter Sicherheit"

Verbindungssicherheitsregeln werden aus allen relevanten Gruppenrichtlinienobjekten zusammengeführt. Es ist jedoch eine zusammenhängende Gruppe von Einstellungen für IPsec und AuthIP, das Standardverhalten nicht additiv IPsec verwaltet. Diese Gruppe von Einstellungen enthält globale Authentifizierungssätze, der Schnellmodus-Einstellungen, Schlüsselaustausch und Internet Control Message Protocol (ICMP) Ausnahmen.

Der Standardsatz von Verbindungssicherheitsoptionen oder IPSec-Optionen, die aus den höchsten Vorrang Gruppenrichtlinienobjekt (GPO) wird auf einem Windows Vista-Client erfolgreich. Legt der höchsten Rangfolge Gruppenrichtlinienobjekt verwenden Sie z. B. alle Verbindungssicherheitsregeln auf dem Windows Vista-Client, die standardmäßige Authentifizierungssätze oder Kryptografiesätze verwenden. Wenn Sie mehr Flexibilität wünschen, können Sie die folgenden Optionen:
  • Konfigurieren der Authentifizierung für Authentifizierungssätze mithilfe der Verbindungssicherheitsregel anstatt mit der Standardauthentifizierung.
  • Bei Schnellmodus-Kryptografiesätzen Befehl Netsh um Schnellmodus-Kryptografieeinstellungen für jede Verbindungssicherheitsregel zu konfigurieren.
  • Bei Hauptmodus-Kryptografiesätzen wird für jede Richtlinie nur eine Hauptmodus-Kryptografiesatz unterstützt. Wenn mehrere Hauptmodus-Kryptografiesätze empfangen werden, der Hauptmodus-Kryptografiesatz vom höchsten Vorrang vor GPO festgelegt wird auf alle Verbindungssicherheitsregeln in der Gruppenrichtlinie angewendet. Allerdings kann nicht unterschiedliche Hauptmodus-Kryptografiesätze verwenden die Regeln anpassen.
  • Wenn Sie Gruppenrichtlinienobjekte für Verbindungssicherheitsrichtlinien und Firewallrichtlinien konfigurieren, können Sie die Verwendung von lokalen Firewallregeln und Verbindungssicherheitsregeln deaktivieren. Daher können nur Gruppenrichtlinien, die auf Gruppenrichtlinienobjekte Gruppenrichtlinienobjekten der Domäne oder Organisationseinheit (OU) Gruppenrichtlinienobjekte verknüpft sind Windows-Firewall Verhalten steuern.
Zum Anzeigen im Whitepaper "Einführung zu Windows-Firewall mit erweiterter Sicherheit" für Windows Vista finden Sie auf der folgenden Microsoft-Website:Weitere Informationen über AuthIP in Windows Vista finden Sie auf der folgenden Microsoft-Website:Weitere Informationen über die neue Windows-Firewall in Windows Vista und Windows Server 2008 finden Sie auf der folgenden Microsoft-Website:

Herstellen eine verschlüsselte Verbindung zwischen Windows Vista und Windows XP oder zwischen Windows Vista und Windows Server 2003

In Windows Server 2003 und Windows XP besteht IPSec-Richtlinienkonfiguration normalerweise der Großteil des Datenverkehrs im Netzwerk und einen weiteren Satz von Regeln für geschützten Datenverkehrausnahmen zu Regeln. Eine Konfiguration kann die Server- und Domänenisolation umfassen. Ausnahmen sind für eine ungeschützte Kommunikation mit Netzwerkinfrastrukturservern wie Dynamic Host Configuration Protocol (DHCP)-Server, Server (DNS = Domain Name System) und Domänencontrollern erforderlich. Beim Starten eines Computers muss eine IP-Adresse des Computers und muss DNS einen Domänencontroller zu verwenden. Darüber hinaus muss der seiner Domäne anmelden, bevor der Computer kann mit Kerberos-Authentifizierung selbst als IPSec-Peer authentifizieren. Kommunikation mit Netzwerkknoten, die nicht IPsec-fähig sind weitere Ausnahmen notwendig. In einigen Fällen gibt es viele, die IPSec-Schutzes in einem Unternehmensnetzwerk bereitstellen und das Unternehmensnetzwerk langfristig erschweren.

In Windows Server 2008 und Windows Vista stellt IPsec ein optionales Verhalten zum Aushandeln von IPSec-Schutz. Angenommen Sie, IPsec aktiviert ist und ein IPSec-Knoten unter Windows Server 2008 oder Windows Vista die Kommunikation mit einem anderen Netzwerkknoten initiiert. In diesem Fall versucht der IPSec-Knoten ohne Verschlüsselung, oder "unverschlüsselt." Der Knoten versucht parallel geschützten Kommunikation auszuhandeln. Wenn der initiierende IPsec-Peer keine Antwort auf den ersten Aushandlungsversuch erhält, wird die Kommunikation in Klartext fortgesetzt. Wenn der initiierende IPsec-Peer eine Antwort auf den ersten Aushandlungsversuch erhält, wird die Kommunikation bis Abschluss der Verhandlung. Wenn die Aushandlung abgeschlossen ist, erhalten nachfolgende Kommunikation Schutz. Der initiierende IPsec-Knoten kann herausfinden, ob der Netzwerkknoten, mit denen er kommuniziert, IPsec ausführen kann. Der initiierende IPsec-Knoten verhält sich dann entsprechend. Dieses Verhalten des IPSec-Knotens ist durch das optionale IPsec-Verhalten. Außerdem ist dieses Verhalten empfohlene Konfiguration der Schutz für eingehende initiierte Kommunikation erfordert und das für ausgehende initiierte Kommunikation angefordert. Dieses neue Verhalten wird die IPSec-Richtlinienkonfiguration erheblich vereinfacht. Beispielsweise muss der initiierende IPsec-Knoten keine Reihe von vordefinierten IPSec-Filter für eine Reihe von Hosts auszunehmen, die Netzwerkverkehr mit IPsec schützen können. Der initiierende IPsec-Knoten versucht, geschützten und ungeschützten Datenverkehr parallel. Wenn keine geschützter Kommunikation möglich ist, verwendet der initiierende IPsec-Knoten ungeschützte Kommunikation.

Das neue Verhalten der Aushandlung verbessert auch die Leistung ungeschützte Verbindung an Hosts. Ein IPSec-Knoten unter Windows Server 2003 oder Windows XP konfiguriert geschützte Kommunikation anfordern jedoch ungeschützte Kommunikation ermöglicht. Dieses Verhalten der IPSec-Knoten wird fallback genannt deaktivieren. Der IPSec-Knoten Aushandlungsnachrichten gesendet und wartet auf eine Antwort. Der initiierende IPsec-Knoten wartet bis zu drei Sekunden Klartext und ungeschützte Kommunikation. In Windows Server 2008 und Windows Vista wird nicht länger eine Verzögerung von drei Sekunden zurück um zu deaktivieren, da Kommunikation bereits ausgeführt werden, wenn der initiierende IPsec-Knoten auf eine Antwort wartet.

Weitere Informationen über Server- und Domänenisolation finden Sie auf der folgenden Microsoft-Website:

Wichtige Punkte beim Herstellen einer verschlüsselten Verbindungs zwischen Windows Vista und Windows XP oder zwischen Windows Vista und Windows Server 2003

  • Aktivieren Sie nur in Windows Vista verschlüsselt, wird Windows Vista nur auf IPSec-Ebene mit anderen Clients ausgehandelt. Dazu gehören Windows XP-basierte Clients.
  • Standardmäßig ist Windows XP oder Windows Server 2003 nicht auf IPsec aushandeln. Daher haben wir eine IPSec-Regel in Windows XP oder Windows Server 2003 herstellen eine verschlüsselte Verbindung zwischen Windows Vista und Windows XP oder zwischen Windows Vista und Windows Server 2003 zugewiesen.
  • Standardmäßig die Option nur sichere Verbindungen zulassen aktiviert ist, kann Windows Vista mit der Verschlüsselungsmethode AES-128 und Verschlüsselungsmethode 3DES verhandelt werden. Die Verschlüsselungsmethode AES-128 wird in Windows XP nicht unterstützt. Die Verschlüsselungsmethode 3DES wird in Windows XP und Windows Server 2003 unterstützt.
  • Standardmäßig Wenn IPsec in Windows XP oder Windows Server 2003 aktiviert wird IPSec-Verhandlungen mit der Verschlüsselungsmethode 3DES.
Um mithilfe des Snap-Ins "Windows-Firewall mit erweiterter Sicherheit" eine verschlüsselte Verbindung zwischen einem Windows Vista-Computer und einem Windows XP-basierten Computer herzustellen, gehen Sie folgendermaßen vor:
  1. Klicken Sie auf Start, auf dem Windows Vista-Computer,the Start button , geben Sie Firewall in das Feld Suche starten , und klicken Sie dann in der Liste Programme auf Windows-Firewall mit erweiterter Sicherheit .
  2. Klicken Sie in der Konsolenstruktur auf Eingehende Regeln.
  3. Doppelklicken Sie in der Liste der eingehenden Regeln auf Remotedesktop (TCP eingehend)und klicken Sie dann auf die Registerkarte Allgemein .
  4. Klicken Sie im Bereich Aktion auf nur sichere Verbindungen zulassen, aktivieren Sie das Kontrollkästchen Verschlüsselung und klicken Sie dann auf OK.
  5. Klicken Sie in der Konsolenstruktur auf Regeln, und klicken Sie dann im Menü Aktion auf Neue Regel .
  6. Klicken Sie auf Isolierungund klicken Sie dann auf Weiter.
  7. Authentifizierung für eingehende und ausgehende Verbindungenauf und klicken Sie dann auf Weiter.
  8. Klicken Sie auf Standard, und klicken Sie auf Weiter.
  9. Aktivieren Sie die folgenden Kontrollkästchen, und klicken Sie auf Weiter:
    • Domäne
    • Privat
    • Öffentliche
  10. Geben Sie im Feld Name den Namen der Regel, geben Sie die Beschreibung der Regel im Feld Beschreibung (optional) Wenn Sie, und klicken Sie dann auf Fertig stellen.
  11. Klicken Sie im Menü Datei auf Beenden.
  12. Klicken Sie auf dem Windows XP-basierten Computer auf Start, klicken Sie auf Ausführen, geben Sie secpol.mscund klicken Sie dann auf OK.
  13. In der Konsolenstruktur Maustaste auf IP-Sicherheitsrichtlinien auf lokaler Computer, und klicken Sie dann auf IP-Sicherheitsrichtlinie erstellen.
  14. Klicken Sie auf Weiter, und folgen Sie den in der IP-Sicherheitsrichtlinien-Assistent die IP-Sicherheitsrichtlinie erstellen. Verwenden Sie die Standardeinstellungen dieser Richtlinie zu erstellen.
  15. Maustaste auf Neue IP-Sicherheitsrichtlinieund klicken Sie dann auf zuweisen.
  16. Klicken Sie im Menü Datei auf Beenden.
Eigenschaften

Artikelnummer: 942957 – Letzte Überarbeitung: 14.01.2017 – Revision: 2

Feedback