Hinzufügen oder Bearbeiten einer Firewallregel

Regeln können für eingehenden ebenso wie für ausgehenden Datenverkehr erstellt werden. Beim Konfigurieren der Regel kann das Programm, der Dienst, das Protokoll oder der Port angegeben werden. Bei Änderungen an Ihrer IT-Umgebung können Sie Regeln ändern, erstellen oder löschen.

Firewallregeln werden in der folgenden Prioritätsreihenfolge angewendet:

• Authentifizierte Umgehung (Regeln, die Blockierungsregeln außer Kraft setzen)
  
  
• Verbindung blockieren
  
  
• Verbindung zulassen
  
  

Da die Windows-Firewall mit erweiterter Sicherheit standardmäßig den gesamten eingehenden nicht angeforderten TCP/IP-Datenverkehr blockiert, müssen Sie möglicherweise Programm-, Port- und Systemdienstregeln für Programme oder Dienste konfigurieren, die als Server, Listener oder Peers dienen. Programm-, Port- und Systemdienstregeln müssen dauerhaft verwaltet und angepasst werden, da sich die Serverrollen oder -konfigurationen ändern.

Wichtig

Die Einstellungen für eine Firewallregel fügen den Kriterien, bei denen Verbindungsanforderungen eine Übereinstimmung mit der Regel erzielen, steigende Einschränkungsebenen hinzu. Wenn Sie beispielsweise auf der Registerkarte Programme und Dienste kein Programm und keinen Dienst angeben, kann von allen Programmen und Diensten eine Verbindung hergestellt werden, wenn sie andere Kriterien erfüllen. Daher bewirkt das Hinzufügen detaillierterer Kriterien, dass die Regel zunehmend restriktiver wird und die Wahrscheinlichkeit einer Übereinstimmung sinkt.

Wenn Sie der Regelliste ein Programm hinzufügen möchten, müssen Sie den vollständigen Pfad zur ausführbaren Datei (*.exe) des Programms angeben. Ein Systemdienst, der in seiner eigenen eindeutigen EXE-Datei ausgeführt und nicht von einem Dienstcontainer gehostet wird, wird als Programm behandelt und kann der Regelliste hinzugefügt werden. Ebenso wird ein Programm, das als Systemdienst fungiert und auch dann ausgeführt wird, wenn kein Benutzer am Computer angemeldet ist, ebenfalls als Programm behandelt, sofern es in seiner eigenen eindeutigen EXE-Datei ausgeführt wird.

	Vorsicht
	Wenn Sie Programme, die Dienste hosten (z. B. Svchost.exe, Dllhost.exe und Inetinfo.exe), ohne weitere Einschränkungen in der Regel der Regelliste hinzufügen, könnten Sie den Computer dadurch Sicherheitsrisiken aussetzen. Außerdem kann das Hinzufügen dieser Programme zu Konflikten mit anderen Diensthärtungsrichtlinien auf Computern unter Windows Server 2008 R2 oder Windows Server 2008 führen.

Wenn Sie der Regelliste ein Programm hinzufügen, öffnet die Windows-Firewall mit erweiterter Sicherheit die für das Programm erforderlichen Ports dynamisch (hebt die Blockierung auf) und schließt sie wieder (blockiert sie). Wenn das Programm ausgeführt wird und auf eingehenden Datenverkehr wartet, öffnet die Windows-Firewall mit erweiterter Sicherheit die erforderlichen Ports. Wenn das Programm nicht ausgeführt wird oder nicht auf eingehenden Datenverkehr wartet, schließt die Windows-Firewall mit erweiterter Sicherheit die Ports. Aufgrund dieses dynamischen Verhaltens wird das Hinzufügen von Programmen zur Regelliste empfohlen, wenn eingehender nicht angeforderter Datenverkehr durch die Windows-Firewall mit erweiterter Sicherheit zugelassen werden soll.

Hinweis

Sie können nicht angeforderten eingehenden Datenverkehr mithilfe von Programmregeln durch die Windows-Firewall mit erweiterter Sicherheit nur dann zulassen, wenn vom Programm Windows Sockets (Winsock) zum Erstellen von Portzuweisungen verwendet wird. Wenn Ports von einem Programm nicht mithilfe von Winsock zugewiesen werden, müssen Sie feststellen, welche Ports von dem Programm verwendet werden, und diese Ports der Regelliste hinzufügen.

In einigen Fällen, d. h., wenn Sie ein Programm oder einen Systemdienst nicht der Regelliste hinzufügen können, müssen Sie feststellen, welcher Port bzw. welche Ports vom Programm oder Dienst verwendet werden. Anschließend müssen Sie diesen Port bzw. diese Ports der Regelliste der Windows-Firewall mit erweiterter Sicherheit hinzufügen.

Auf der Registerkarte Protokoll und Ports können Sie aus einer Liste der am häufigsten verwendeten Protokolle und der zugehörigen Protokollnummern auswählen. Wenn das hinzuzufügende Protokoll nicht in der Liste enthalten ist, können Sie Benutzerdefiniert auswählen und die Protokollnummer angeben.

Wenn Sie das Protokoll TCP oder UDP auswählen, können Sie anschließend die lokalen und Remoteports angeben, für die die Regel gilt. Wenn Sie der Regelliste einen TCP- oder UDP-Port hinzufügen, ist der Port geöffnet (bzw. seine Blockierung ist aufgehoben), sobald die Windows-Firewall mit erweiterter Sicherheit ausgeführt wird, unabhängig davon, ob ein Programm oder Dienst auf dem Port auf eingehenden Datenverkehr wartet. Aus diesem Grund sollten Sie eine Programmregel anstatt einer Portregel erstellen, wenn Sie nicht angeforderten Datenverkehr durch die Windows-Firewall mit erweiterter Sicherheit zulassen müssen.

Verwenden Sie die Registerkarte Bereich, um eine IP-Adresse, ein Subnetz oder einen IP-Adressbereich anzugeben. Sie können IPv4- und IPv6-IP-Adressen verwenden.