# Windows Firewall with Advanced Security (WFAS): Profi-Management

TL;DR / Management Summary Während die Standard-Firewall (Artikel 497) einfache Ports blockt, bietet die WFAS (Windows Firewall with Advanced Security) tiefe Einblicke und komplexe Regelwerke. Wir nutzen sie für Connection Security Rules (IPsec) zur Authentifizierung von Server-zu-Server Verbindungen und implementieren granulare Outbound-Blockaden. Ein Senior Admin nutzt die WFAS als integralen Bestandteil der Host-basierten IDS/IPS-Strategie, um Angriffe bereits am Eintrittspunkt zu stoppen.

# 1. Einführung & Architektur

Die WFP (Windows Filtering Platform).

WFAS ist eine grafische Oberfläche für die Windows Filtering Platform (WFP), eine Kernel-API, die Pakete auf jeder Ebene des Netzwerkstacks abfangen kann.

# Kern-Features

# 2. Advanced Rule Management

Mehr als nur Ports.

# 1. Programm-basierte Regeln

Anstatt Port 8080 für alle zu öffnen, erlauben wir nur dem spezifischen Binary den Zugriff:

New-NetFirewallRule -DisplayName "LOB App" \
    -Direction Inbound \
    -Action Allow \
    -Program "%ProgramFiles%\LOB\App.exe" \
    -Profile Domain

# 2. Authenticated Bypass

Erlauben Sie dem Security-Scanner (z.B. Nessus/OpenVAS) den Zugriff auf alle Ports, aber nur, wenn er sich via IPsec authentifiziert.

# 3. Deep Dive: Connection Security Rules (IPsec)

Verschlüsselung als Firewall-Regel.

Dies ist die “Königsdisziplin”. Wir zwingen zwei Server (z.B. Web und DB), nur noch verschlüsselt miteinander zu sprechen.

# Der Workflow

  1. Authentication: Beide Server nutzen Computer-Zertifikate oder Kerberos.
  2. Encryption: Der Traffic wird via AES-256 verschlüsselt.
  3. Resultat: Selbst wenn ein Angreifer im gleichen VLAN sitzt, kann er den Traffic zwischen Web und DB nicht lesen.

# 4. Day-2 Operations: Logging & Forensik

Den ‘Drop’ sichtbar machen.

# Erweitertes Auditing (GPO)

Computerkonfiguration -> Windows-Einstellungen -> Sicherheitseinstellungen -> Erweiterte Überwachungsrichtlinienkonfiguration -> Zugriff auf Objekte

# Real-time Monitoring via PowerShell

# Zeigt alle Pakete an, die der Kernel gerade verwirft (live)
netsh wfp show state
# (Generiert eine XML-Datei zur Analyse der Filter-Engine)

# 5. Troubleshooting & “War Stories”

Wenn die Regeln sich beißen.

# Top 3 Fehlerbilder

  1. Symptom: IPsec Verbindung bricht nach 1 Stunde ab.

    • Ursache: Phase-2 Rekeying schlägt fehl (IKE Handshake Problem).
    • Lösung: Main Mode und Quick Mode Timeouts in der GPO abgleichen.

  2. Symptom: Ping geht, aber SQL-Verbindung (1433) schlägt fehl.

    • Ursache: Eine “Stealth Mode” Regel blockiert den Port ohne Rückmeldung (ICMP Unreachable wird unterdrückt).
    • Lösung: Firewall-Stealth-Modus via Registry deaktivieren für Debugging.

  3. Symptom: GPO-Regeln werden durch lokale Admin-Regeln überschrieben.

    • Lösung: GPO-Option “Regelzusammenführung” (Rule Merging) auf Nein setzen. Nur noch GPO-Regeln gelten!

# “War Story”: Der “Double-Firewall” Geistereffekt

Ein Admin wunderte sich, warum sein FTP-Server trotz offener Ports 20/21 nicht funktionierte. Die Analyse: Er hatte die Windows Firewall konfiguriert, aber zusätzlich die Proxmox VM Firewall (Artikel 710) aktiv. Während Windows das Paket erlaubte, dropte Proxmox die dynamischen Passiv-Ports des FTP-Protokolls. Lehre: Koordinieren Sie Host-Firewall (WFAS) und Hypervisor-Firewall. Nutzen Sie WFAS für Anwendungs-Logik und Hypervisor-Firewall für grobe Segmentierung (VLAN-Schutz).

# 6. Monitoring & Alerting

Zentrale Dashboarding.

# WFAS in Grafana

Nutzen Sie den windows_exporter mit aktiviertem firewall Modul.

# 7. Fazit & Empfehlung

WFAS ist weit mehr als ein einfacher Paketfilter.

# Anhang: Cheatsheet

Aufgabe Befehl
Firewall Konsole wf.msc
Alle Regeln exportieren netsh advfirewall export "C:\rules.wfw"
Profil-Status Get-NetFirewallProfile
Filter-Engine Diagnose netsh wfp show filters

# Referenzen