# Windows Firewall: Enterprise-Netzwerkschutz auf dem Endgerät

TL;DR / Management Summary Die Windows Defender Firewall with Advanced Security (WFAS) ist eine stateful Firewall auf Host-Ebene. In modernen Zero-Trust-Architekturen ist sie die wichtigste Verteidigungslinie gegen laterale Bewegungen (Lateral Movement) von Angreifern im LAN. Wir nutzen GPOs, um standardisierte Regelsätze durchzusetzen, den Zugriff auf Management-Ports (RDP, WinRM) zu limitieren und nur signierte Applikationen nach außen kommunizieren zu lassen.

# 1. Einführung & Architektur

Die drei Gesichter der Firewall.

Windows unterscheidet zwischen drei Profilen, basierend auf dem Netzwerktyp:

Domain: Wenn der PC mit dem AD-Controller verbunden ist.
Private: Vertrauenswürdige Netze (Home Office, kleine Büros).
Public: Öffentliche WLANs (Hotels, Cafés) – hier ist der Schutz am strengsten.

# Funktionsweise

Die Firewall arbeitet nach dem Prinzip: Inbound blockiert (Default), Outbound erlaubt (Default). Ein Senior Admin härtet das System, indem er auch Outbound-Regeln auf Whitelist-Basis definiert.

# Architektur-Diagramm (Mermaid)

graph LR
    NET[Network] <--> NIC[Network Card]
    NIC <--> WFP[Windows Filtering Platform]
    subgraph "Firewall Engine"
    WFP <--> RULES{Rule Match?}
    RULES -->|Yes| ALLOW[Process Traffic]
    RULES -->|No| DROP[Discard Packet]
    end
    RULES <--> IPSec[IPsec Encryption]

# 2. Regel-Management in der Praxis

Granularität ist Sicherheit.

# Erstellung von Regeln via PowerShell

Die GUI (wf.msc) ist gut für schnelle Checks, aber PowerShell ist unschlagbar für Automatisierung.

# Inbound Regel für einen speziellen Dienst erstellen
New-NetFirewallRule -DisplayName "Allow LOB-App Inbound" `
    -Direction Inbound `
    -Action Allow `
    -Protocol TCP `
    -LocalPort 8080 `
    -Program "C:\Apps\LOB\service.exe" `
    -RemoteAddress 10.0.0.0/24

# Application Whitelisting (Outbound)

Verhindern Sie, dass Malware nach Hause telefoniert (“Beaconing”):

GPO setzen: Ausgehende Verbindungen, die keiner Regel entsprechen, blockieren.
Explizite Regeln für browser.exe, outlook.exe, teams.exe etc. erstellen.

# 3. Deep Dive: Connection Security Rules (IPsec)

Verschlüsselung im LAN.

Ein oft unterschätztes Feature: Die Windows Firewall kann Datenverkehr zwischen zwei Hosts via IPsec verschlüsseln und authentifizieren.

Vorteil: Selbst wenn jemand das LAN mitschneidet (WireShark), sieht er nur verschlüsselten Traffic.
Anwendungsfall: Sicherung der Kommunikation zwischen App-Server und Datenbank-Server in ungeschützten Subnetzen.

# 4. Day-2 Operations: Logging & Monitoring

Wer klopft an die Tür?

# Firewall-Logs aktivieren

Die Logs liegen standardmäßig deaktiviert in %systemroot%\system32\LogFiles\Firewall\pfirewall.log. Empfehlung: Aktivieren Sie via GPO das Logging für “Verworfene Pakete” (Dropped Packets).

# Echtzeit-Analyse mit `netsh`

# Zeigt alle aktuell aktiven Regeln und deren Status
netsh advfirewall monitor show rule name=all

# 5. Troubleshooting & “War Stories”

Wenn die Firewall den Admin aussperrt.

# Top 3 Fehlerbilder

Symptom: RDP-Zugriff geht nicht mehr nach Domänen-Beitritt.
- Ursache: Das Profil wechselt von “Public” zu “Domain”. Die GPO für das Domain-Profil hat keine RDP-Ausnahme.
- Lösung: GPO für Inbound-Port 3389 im Domain-Profil prüfen.
Symptom: Applikation funktioniert im LAN, aber nicht über VPN.
- Ursache: VPN-Interfaces werden oft als “Public” eingestuft.
- Lösung: VPN-Adapter-Metrik oder Profil-Zuweisung via PowerShell korrigieren.
Symptom: Massive CPU-Last durch den Dienst mpssvc.
- Ursache: Zu viele (oft tausende) dynamische Regeln durch Drittanbieter-Apps oder Fehlkonfiguration.
- Lösung: Firewall-Regelsatz bereinigen (netsh advfirewall reset).

# “War Story”: Der “Hidden” Drop

Ein Backup-Job brach immer bei 90% ab. Die Netzwerk-Kollegen schworen, alle Ports am Core-Switch seien offen. Die Entdeckung: Eine “Stateful Inspection” Grenze. Die Windows Firewall erkannte extrem lange TCP-Sessions ohne Traffic (während der Deduplizierung) als verwaist und schloss den Port. Lösung: Aktivierung von TCP Keep-Alive in der Backup-Software und Erstellung einer speziellen Firewall-Regel mit erhöhtem Timeout.

# 6. Fazit & Empfehlung

Die Windows Firewall ist ein mächtiges, kostenloses EDR-Modul.

Empfehlung: Nutzen Sie das Prinzip der geringsten Privilegien. Erlauben Sie Inbound-Traffic nur für die Quell-IPs Ihres Management-Netzes.
Wahl: Kombinieren Sie die Firewall mit AppLocker (Artikel 478) für ein umfassendes Whitelisting-Konzept.

# Anhang: Cheatsheet

Aufgabe	Befehl / Tool
Firewall GUI	`wf.msc`
Alle Profile deaktivieren (Test!)	`netsh advfirewall set allprofiles state off`
Regeln nach Port suchen	`Get-NetFirewallPortFilter -LocalPort 443
Firewall-Status exportieren	`netsh advfirewall export "C:\backup.wfw"`