Zugelassene Dienste und erweiterte Einstellungen
In den Abschnitten „Firewall“ und „Netzwerkangriffsschutz“ können Sie erweiterte Filteroptionen konfigurieren, um verschiedene Arten von Angriffen und mögliche Schwachstellen auf Ihrem Computer zu erkennen.
In bestimmten Fällen erhalten Sie keinen Hinweis zum gesperrten Datenverkehr. Im Abschnitt Erstellen von Logs und Erstellen von Regeln oder Ausnahmen anhand des Logs finden Sie Anweisungen dazu, wie Sie den gesamten blockierten Datenverkehr im Firewall-Log anzeigen. |
Die Verfügbarkeit bestimmter Optionen in den Erweiterten Einstellungen (F5) > Netzwerkschutz > Firewall und Erweiterte Einstellungen (F5) > Netzwerkschutz > Netzwerkangriffsschutz hängt von der Art und Version Ihres Firewall-Moduls und der Version Ihres Betriebssystems ab. |
Zugelassene Dienste
Die Einstellungen in dieser Gruppe sollen die Konfiguration des Zugriffs auf die Dienste dieses Computers von der vertrauenswürdigen Zone aus erleichern. Mit vielen von ihnen werden vordefinierte Firewall-Regeln aktiviert/deaktiviert.
- Datei- und Druckerfreigabe in der vertrauenswürdigen Zone zulassen - Remotecomputern in der vertrauenswürdigen Zone Zugriff auf Ihre freigegebenen Dateien und Drucker gewähren.
- UPnP für Systemdienste in der vertrauenswürdigen Zone zulassen - Erlaubt ein- und ausgehende UPnP-Anfragen für Systemdienste. UPnP (Universal Plug and Play, auch bekannt als Microsoft Network Discovery) wird in Windows Vista und neueren Betriebssystemen verwendet.
- Eingehende RPC-Verbindungen in der vertrauenswürdigen Zone zulassen - Erlaubt TCP-Verbindungen aus der vertrauenswürdigen Zone und somit Zugang zum MS RPC Portmapper und RPC/DCOM-Services.
- Remotedesktopverbindungen in der vertrauenswürdigen Zone zulassen - Erlaubt Verbindungen über das Microsoft Remote Desktop-Protokoll (RDP) und erlaubt Computern in der vertrauenswürdigen Zone, per RDP auf Ihren Computer zuzugreifen (z. B. „Remotedesktopverbindung“). Siehe auch Erlauben von RDP-Verbindungen außerhalb der vertrauenswürdigen Zone.
- Anmeldung bei Multicast-Gruppen per IGMP aktivieren - Erlaubt ein- und ausgehende IGMP- und eingehende UDP-Multicast-Streams, z. B. Video-Streams von Programmen, die das IGMP-Protokoll (Internet Group Management Protocol) verwenden.
- Kommunikation für „bridged“ Verbindungen zulassen – Wählen Sie diese Option aus, um zu verhindern, dass Bridge-Verbindungen beendet werden. Bridged Networking verbindet virtuelle Computer über den Ethernet-Adapter des Hostcomputers mit einem Netzwerk. Wenn Sie Bridged Networking verwenden, kann der virtuelle Computer auf andere Geräte im Netzwerk zugreifen und umgekehrt, als ob es sich um einen physischen Computer im Netzwerk handelt.
- Automatische Web Services-Discovery-Anfragen für Systemdienste in der vertrauenswürdigen Zone zulassen - Erlaubt eingehende Web Services-Discovery-Anfragen aus vertrauenswürdigen Zonen durch die Firewall. WSD ist ein Protokoll, das zur Erkennung von Diensten im lokalen Netzwerk verwendet wird.
- Multicast-Adress-Auflösung (LLMNR) in der vertrauenswürdigen Zone zulassen – LLMNR (Link-local Multicast Name Resolution) ist ein auf dem DNS-Paketformat basierendes Protokoll, mit dem sowohl IPv4- als auch IPv6-Hostcomputer Namensauflösungen für Rechner auf demselben lokalen Link durchführen können, ohne einen DNS-Server oder eine Konfiguration als DNS-Client zu benötigen. Diese Option erlaubt eingehende Multicast-DNS-Anfragen aus der vertrauenswürdigen Zone durch die Firewall.
- Unterstützung für Windows Stammgruppe – Unterstützung für Stammgruppen. In einer Heimnetzgruppe können Dateien und Drucker in einem lokalen Netzwerk freigegeben werden. Um die Heimnetzgruppe zu konfigurieren, klicken Sie auf Start > Systemsteuerung > Netzwerk und Internet > Heimnetzgruppe.
Eindringversuche erkennen
- SMB-Protokoll - Erkennt und blockiert verschiedene Sicherheitsprobleme im SMB-Protokoll:
- Angriffe über manipulierte Authentifizierungs-Challenge erkennen - Schützt Sie vor einem Angriff mit einer manipulierten Authentifizierungs-Challenge zum Abschöpfen von Anmeldedaten.
- IDS-Umgehungsversuche beim Öffnen von Named Pipes erkennen– Erkennung bekannter Umgehungsversuche für MSRPC-Named Pipes im SMB-Protokoll.
- CVE-Erkennungsmethoden („Common Vulnerabilities and Exposures“, übliche Schwachstellen und Gefahren) – Bereitgestellte Erkennungsmethoden für verschiedene Angriffe, Formulare, Sicherheitslücken und Exploits über das SMB-Protokoll. Weitere Informationen zu CVE-Identifizierungen finden Sie auf der CVE-Website auf cve.mitre.org.
- RPC-Protokoll - Erkennt und blockiert verschiedene CVEs im RPC-System, die für die Umgebung für verteilte Datenverarbeitung (DCE) entwickelt wurden.
- RDP-Protokoll – Erkennt und blockiert verschiedene CVEs im RDP-Protokoll (siehe weiter oben).
- ARP Poisoning-Angriffe erkennen - Erkennung von ARP Poisoning-Angriffen in Form von Man-in-the-Middle-Angriffen oder Sniffing am Netzwerk-Switch. ARP (Address Resolution Protocol) wird von Netzwerkanwendungen und -geräten zur Bestimmung der Ethernet-Adresse verwendet.
- TCP/UDP Portscan-Angriffe erkennen - Erkennung von Angriffen durch Portscanning-Software - Diese Anwendungen suchen nach offenen Ports, indem sie Anfragen an eine Vielzahl von Port-Adressen schicken. Nähere Informationen zu dieser Angriffsart finden Sie im Glossar.
- Unsichere Adresse nach erkanntem Angriff blockieren - Fügt IP-Adressen, die als Angriffsquellen identifiziert wurden, zur Negativliste hinzu, um die Verbindung für einen bestimmten Zeitraum zu unterbinden.
- Hinweis bei erkanntem Angriff anzeigen – Aktivieren der Hinweise im Infobereich der Taskleiste (Windows Benachrichtigungsbereich) rechts unten auf dem Bildschirm.
- Benachrichtigung auch bei eingehenden Angriffen auf Sicherheitslücken anzeigen - Zeigt eine Benachrichtigung an, wenn Angriffe auf Sicherheitslücken erkannt werden oder eine Bedrohung versucht, auf diese Weise in das System zu gelangen.
Paketprüfung
- Eingehende Verbindungen zu administrativen Freigaben per SMB-Protokoll zulassen - Administrative Freigaben (admin shares) sind Standard-Netzwerkfreigaben für Festplattenpartitionen (C$, D$, ...) im System zusammen mit dem Systemordner (ADMIN$). Die Deaktivierung von Verbindungen zu den administrativen Freigaben unterbindet zahlreiche Sicherheitsrisiken. Der Conficker-Wurm verwendet beispielsweise Wörterbuchangriffe, um sich mit administrativen Freigaben zu verbinden.
- Alte (nicht unterstützte) SMB-Dialekte blockieren - SMB-Sitzungen mit alten SMB-Dialekten verhindern, die nicht von IDS unterstützt werden. Moderne Windows-Systeme unterstützen alte SMB-Dialekte aus Kompatibilitätsgründen mit alten Systemen wie z. B. Windows 95. Ein Angreifer kann einen alten Dialekt in einer SMB-Sitzung verwenden, um die Datenprüfung zu umgehen. Blockieren Sie alte SMB-Dialekte, wenn Ihr Computer keine Dateien mit alten Windows-Versionen teilen (oder SMB-Kommunikation allgemein verwenden) muss.
- SMB-Sitzungen ohne erweiterte Sicherheitsfunktionen blockieren - Erweiterte Sicherheit kann in SMB-Sitzungen verwendet werden, um einen sichereren Authentifizierungsmechanismus im Vergleich zur LAN Manager Challenge/Response (LM)-Methode zu erhalten. Die LM-Methode gilt als schwach und sollte daher nicht verwendet werden.
- Öffnen von ausführbaren Dateien auf Server außerhalb der vertrauenswürdigen Zone per SMB-Protokoll blockieren – Blockiert Verbindungen, wenn Sie versuchen, eine ausführbare Datei (.exe, .dll, usw.) aus einem freigegebenen Ordner auf einem Server auszuführen, der in der Firewall nicht der vertrauenswürdigen Zone zugeordnet ist. Das Kopieren ausführbarer Dateien aus vertrauenswürdigen Quellen kann zwar rechtmäßig sein, diese Prüfung soll jedoch vor Risiken schützen, die durch unerwünschtes Ausführen von Dateien auf infizierten Servern (beispielsweise durch Öffnen einer Datei mit Schadsoftware nach dem Klicken auf einen Hyperlink) entstehen.
- NTLM-Authentifizierung bei Server innerhalb/außerhalb der vertrauenswürdigen Zone per SMB-Protokoll blockieren - Protokolle mit NTLM-Authentifizierungsmechanismen (beide Versionen) können durch die Übertragung von Anmeldeinformationen angegriffen werden (bekannt als SMB Relay-Angriff im Fall des SMB-Protokolls). Durch das Blockieren von NTLM-Authentifizierung für Server außerhalb der vertrauenswürdigen Zone verhindern Sie, dass Anmeldeinformationen durch diese Server weitergeleitet werden. Die NTLM-Authentifizierung kann ebenfalls für Server innerhalb der vertrauenswürdigen Zone blockiert werden.
- Verbindungen zur Sicherheitskontenverwaltung (SAM) zulassen - Weitere Informationen zu diesem Dienst finden Sie unter [MS-SAMR].
- Verbindungen zur Local Security Authority (LSASS) zulassen - Weitere Informationen zu diesem Dienst finden Sie unter [MS-LSAD] und [MS-LSAT].
- Verbindungen zum Dienst „Remoteregistrierung“ zulassen - Weitere Informationen zu diesem Dienst finden Sie unter [MS-SAMR].
- Verbindungen zum Service Control Manager (SCM) zulassen - Weitere Informationen zu diesem Dienst finden Sie unter [MS-SAMR].
- Verbindungen zum Serverdienst zulassen - Weitere Informationen zu diesem Dienst finden Sie unter [MS-SAMR].
- Verbindungen zu anderen Diensten zulassen - Sonstige MSRPC-Dienste. MSRPC ist die Microsoft-Implementierung des DCE RPC-Mechanismus. MSRPC kann außerdem Named Pipes aus dem SMB-Protokoll für den Transport verwenden (ncacn_np transport). MSRPC-Services bieten Schnittstellen für den Fernzugriff und die Verwaltung von Windows-Systemen. Es wurden zahlreiche Schwachstellen im Microsoft MSRPC-System entdeckt und ausgenutzt (Beispiel: Conficker-Wurm, Sasser-Wurm usw). Deaktivieren Sie die Kommunikation mit nicht benötigten MSRPC-Diensten, um zahlreiche Sicherheitsrisiken auszuschließen (z. B. Remote Code Execution oder Service Failure-Angriffe).