Windows XP Personal Firewall

Einleitung

Windows XP enthält ab Service Pack 2 eine stark verbesserte Firewall. Wir empfehlen dringen, diese einzusetzen, um Ihren Rechner besser gegen Angriffe zu schützen.

Falls Sie das Service Pack 2 noch nicht installiert haben, können Sie es aus dem Downloadbereich des ZID herunterladen:
https://wwws.uibk.ac.at/zid/software/download/

Hier finden Sie sowohl eine von uns angepasste Version, in denen die hier beschriebenen Firewall-Anpassungen bereits vorgenommen wurden, als auch das Original Windows XP Service Pack 2 von Microsoft. Wir empfehlen, ersteres zu verwenden.

 

Automatische Aktivierung und Konfiguration

Die einfachste und schnellste Methode, die Firewall zu konfigurieren (abgesehen von der oben beschriebenen Möglichkeit, das gleich bei der Installation des Service Pack 2 zu machen) ist, folgende Datei auf Ihrem Rechner zu speichern und dann als Administrator auszuführen:
XPFirewall.cmd

Speichern Sie die Datei ab und klicken Sie dann auf diese doppelt, um sie auszuführen.

In der Datei sind auch optionale Bereiche enthalten. Wenn Sie von einem anderen Rechner aus auf die Dateien (oder Drucker) auf Ihren Rechner zugreifen wollen, sollten Sie einen der beiden nachfolgenden Teile vor dem Ausführen der Datei aktivieren, indem Sie diese editieren und die Zeichenfolge "rem" am Beginn der Zeilen löschen. Selbiges gilt, wenn Sie auf Ihrem PC SAP verwenden wollen. Für die "VPN" Komponente von SAP ist eine Freischaltung an der Firewall notwendig, da es sonst zu Verbindungsunterbrechungen kommt. Da diese Zeile nur aktiviert werden kann, wenn diese Komponente auch wirklich aktiv ist, wurde sie ebenfalls mit "rem" auskommentiert.

Wenn Datei- und Druckzugriffe nur aus dem Subnetz erlaubt sein sollen, in dem Sie sich befinden (empfohlen) (die Zeilenumbrüche mit nachfolgender Einrückung dienen der Lesbarkeit und sind in der Datei nicht zu inkludieren):

netsh firewall add portopening protocol=TCP port=139 
name="Windows Freigabe (nur lokales Subnetz)"
scope=CUSTOM addresses=LocalSubnet profile=STANDARD
netsh firewall add portopening protocol=TCP port=445
name="Windows Freigabe (nur lokales Subnetz)"
scope=CUSTOM addresses=LocalSubnet profile=STANDARD
netsh firewall add portopening protocol=UDP port=137
name="Windows Freigabe (nur lokales Subnetz)"
scope=CUSTOM addresses=LocalSubnet profile=STANDARD
netsh firewall add portopening protocol=UDP port=138
name="Windows Freigabe (nur lokales Subnetz)"
scope=CUSTOM addresses=LocalSubnet profile=STANDARD

Wenn Datei- und Druckzugriffe aus dem Bereich der gesamten Universität möglich sein sollen (die Zeilenumbrüche mit nachfolgender Einrückung dienen der Lesbarkeit und sind in der Datei nicht zu inkludieren)::

netsh firewall add portopening protocol=TCP port=139 scope=CUSTOM
name="Windows Freigabe (Uni Innsbruck)" profile=STANDARD
addresses=138.232.0.0/16,172.24.0.0/14,193.171.64.0/21
netsh firewall add portopening protocol=TCP port=445 scope=CUSTOM
name="Windows Freigabe (Uni Innsbruck)" profile=STANDARD
addresses=138.232.0.0/16,172.24.0.0/14,193.171.64.0/21
netsh firewall add portopening protocol=UDP port=137 scope=CUSTOM
name="Windows Freigabe (Uni Innsbruck)" profile=STANDARD
addresses=138.232.0.0/16,172.24.0.0/14,193.171.64.0/21
netsh firewall add portopening protocol=UDP port=138 scope=CUSTOM
name="Windows Freigabe (Uni Innsbruck)" profile=STANDARD
addresses=138.232.0.0/16,172.24.0.0/14,193.171.64.0/21

Dieses Programm nimmt folgende Änderungen vor:

  • Die Windows-Firewall wird aktiviert.
  • Der Port 6000 wird für X11 (z.B. Exceed) freigeschaltet.
  • Die Ports für den TSM Scheduler werden freigeschaltet.
  • VNC und RDP (Remote Desktop) werden für den Bereich der Universität freigeschaltet. Diese werden beispielsweise vom Vor-Ort-Service für den Support verwendet.
  • Der "ident" Port (113) wird innerhalb der Universität Innsbruck freigeschaltet. Damit werden Verzögerungen beim Versenden von Mails vermieden.
  • Es wird konfiguriert, dass der Rechner wieder mit "ping" erreicht werden kann. Außerdem werden noch ein paar andere kleine Anpassungen bei den ICMP Einstellungen vorgenommen.

 

Manuelle Aktivierung

Wenn Sie nicht die von uns verwendeten Einstellungen übernehmen wollen, können Sie die Firewall auch manuell konfigurieren.

Um zu überprüfen, ob die Firewall aktiv ist, wählen Sie im Windows-Menü unter "Einstellungen" den Menüpunkt "Systemsteuerung". In dieser wählen Sie "Sicherheitscenter". Hier sollte nun bei "Firewall" stehen, dass diese aktiv ist:

Windows Firewall im Sicherheitscenter

Ist dies nicht der Fall, wählen Sie unten unter "Sicherheitseinstellungen verwalten für" die Windows-Firewall und aktivieren Sie diese im nachfolgenden Dialog:

Windows Firewall aktivieren

 

Anpassen der Firewall

Wenn Sie die Firewall automatisch konfiguriert haben, lesen Sie bitte gegebenenfalls den vorigen Abschnitt, um zu erfahren, wie Sie den Dialog zum Anpassen der Firewall öffnen.

Im Firewall-Konfigurationsdialog wählen Sie oben den Karteireiter "Ausnahmen":

Windows Firewall aktivieren

Hier sehen Sie, welche Ports und Anwendungen durch die Firwall erlaubt sind.
Hier können Sie weitere Ausnahmen definieren.

Führen Sie hier nur Änderungen durch, wenn Sie genau wissen, was Sie machen. Ansonsten können große Sicherheitsrisiken für Ihren PC entstehen.

Um einen Port freizuschalten, wählen Sie die Schaltfläche "Port" und tragen im erscheinenden Dialog den Namen ein, der in der Liste der Ausnahmen erscheinen soll, und die Nummer des Ports.

Windows Firewall aktivieren

Um diesen Port nur für einen bestimmten Bereich freizugeben, wählen Sie "Bereich ändern". In diesem Dialog können Sie nun wählen, ob alle Computer, nur die aus Ihrem Subnetz oder eine benutzerdefinierte Liste zugreifen können soll. Im Bild sehen Sie die benutzerdefinierte Liste mit den Adressen der Universität Innsbruck.

Windows Firewall aktivieren

 

Weiterführendes

Eine Beschreibung von Microsoft, mit deren Hilfe Sie herausfinden können, welchen Port ein Programm benötigt (sofern das nicht bereits in der Dokumentation des Programmes beschrieben ist) finden Sie unter:
http://support.microsoft.com/default.aspx?kbid=842242