# Windows Server Firewall: Härtung & Workload-Isolation

TL;DR / Management Summary Die Windows Defender Firewall with Advanced Security (WFAS) ist auf Servern oft die letzte Barriere vor einem erfolgreichen Ransomware-Angriff. In einer Virtualisierungsumgebung (Proxmox) verlassen wir uns nicht nur auf die äußere Firewall, sondern nutzen die Host-Firewall zur Mikrosegmentierung. Ein Senior Admin konfiguriert die Firewall nach dem Prinzip Default Deny Outbound, um sicherzustellen, dass kompromittierte Server keine Malware nachladen oder Daten an Externe senden können.

# 1. Einführung & Strategie

Security in Depth.

Auf einem Server gelten andere Regeln als auf dem Client:

  1. Statische Rollen: Ein SQL-Server braucht nur Port 1433 Inbound. Alles andere (außer Management) sollte zu sein.
  2. Kein Internet-Surfen: Server sollten (außer für Updates) keinen Outbound-Zugriff auf Port 80/443 haben.
  3. Management-Isolation: Zugriff auf RDP/WinRM nur aus dem Admin-Subnetz erlauben.

# 2. Rollenbasierte Konfiguration

Automatische Regeln verstehen.

Wenn Sie eine Rolle (z.B. IIS) via Server Manager installieren, legt Windows automatisch Firewall-Regeln an.

# Beispiel: SQL Server Port einschränken (PowerShell)

Set-NetFirewallRule -DisplayName "SQL Server (MSSQLSERVER)" `
    -RemoteAddress "10.0.1.0/24" # Nur das Applikations-Subnetz darf an die DB

# 3. Deep Dive: Outbound Filtering (Whitelisting)

Den ‘Phone Home’ stoppen.

Standardmäßig erlaubt Windows Server alle ausgehenden Verbindungen. Das ist das Paradies für Trojaner.

# Workflow zur Härtung

  1. Outbound Default auf Block stellen (Vorsicht: Dienste brechen sofort!).
  2. Events überwachen (ID 5157).
  3. Explizite Regeln erstellen für:
    • DNS (zu Ihren DCs).
    • NTP (zu Ihren DCs).
    • Windows Update (via WSUS, Artikel 423).
    • Die eigentliche App-Kommunikation.

# 4. Day-2 Operations: Firewall Logs & Analyse

Forensik im Netzwerk.

# Logging aktivieren

Aktivieren Sie das Logging für “Dropped Packets” auf allen Profilen.

# Analyse via PowerShell

# Zeigt alle Pakete, die in der letzten Stunde blockiert wurden
Get-Content "$env:windir\system32\LogFiles\Firewall\pfirewall.log" -Tail 100 | Select-String "DROP"

# 5. Troubleshooting & “War Stories”

Wenn die Firewall den Cluster zerreißt.

# Top 3 Fehlerbilder

  1. Symptom: AD-Replikation schlägt fehl (RPC Endpoint Mapper Fehler).

    • Ursache: RPC nutzt dynamische Ports (49152-65535). Nur Port 135 zu öffnen reicht nicht.
    • Lösung: GPO-Gruppe “Active Directory-Domänendienste” aktivieren, die den gesamten dynamischen Bereich abdeckt.

  2. Symptom: Monitoring-Agent meldet “Down”, obwohl der Dienst läuft.

    • Ursache: ICMP (Ping) ist im Profil “Public” (oft Standard bei neuen VMs) deaktiviert.
    • Lösung: Enable-NetFirewallRule -Name FPS-ICMP4-ERQ-In.

  3. Symptom: Backup via SMB ist extrem langsam.

    • Ursache: Firewall-Inspektion (WFP) bremst bei sehr hohen Paketraten auf alten CPUs.

# “War Story”: Der “Auto-Update” Lockout

Ein Admin aktivierte Outbound-Blocking auf einem Webserver, erlaubte aber DNS nicht explizit. Das Ergebnis: Der Server konnte den Hostnamen des SQL-Servers nicht mehr auflösen. Die Webseite zeigte “DB Connection Error”. Da der Admin via Hostname per RDP zugreifen wollte, kam er selbst nicht mehr auf den Server. Lehre: Testen Sie Outbound-Filtering immer mit einem aktiven “Emergency-Access” (z.B. IP-basierter Zugriff über die Proxmox-Konsole).

# 6. Monitoring & Alerting

Zentrale Kontrolle.

# SIEM Integration

Senden Sie Firewall-Logs via Event Forwarding (Artikel 463) an einen Collector. Suchen Sie nach Mustern:

# 7. Fazit & Empfehlung

Die Windows Firewall ist ein unterschätztes Sicherheits-Juwel.

# Anhang: Die wichtigsten Server-Ports

Dienst Port Protokoll
Active Directory 88, 135, 389, 445, 636, 3268 TCP/UDP
SQL Server 1433, 1434 TCP
RDP 3389 TCP/UDP
WinRM (WAC) 5985, 5986 TCP
DNS 53 TCP/UDP

# Referenzen