Firewall in Windows 7 optimal einstellen

Die Firewall von Windows 7 hat eigentlich einen guten Ruf. Standardmäßig ist sie so eingestellt, dass sie unerwünschten Netzwerkverkehr von außen zuverlässig blockiert.

Auf der anderen Seite erlaubt die Firewall aber allen Programmen, also auch Schädlingen wie Trojanern, ungestört nach außen zu kommunizieren. Damit Ihr PC sicher wird, müssen Sie die Firewall richtig konfigurieren. Nur so kontrolliert sie auch den Datenverkehr vom PC ins Internet.

Zudem lässt sich mit einem Tool überwachen, welche Programme sich nach außen verbinden wollen, und ob neu installierte Programme versuchen, ins Internet zu kommen. Für solche Programme lassen sich dann mit wenigen Mausklicks Regeln festlegen.

Die Firewall von Windows 7 lässt in der Standardansicht nur wenige Einstellungen zu. Erst die erweiterte Expertenansicht ermöglicht es, wichtige Einstellungen vorzunehmen und detaillierte Regeln aufzustellen.

In der Systemsteuerung gelangen Sie über „System und Sicherheit, Windows-Firewall“ zu den rudimentären Standardeinstellungen.

Dort sehen Sie die zwei Einträge „Heim- oder Arbeitsplatznetzwerk (privat)“ und „Öffentliche Netzwerke“. Daneben steht die Information, welches Netzwerk aktuell mit dem Internet verbunden ist.

Die Firewall-Einstellungen lassen sich bei Windows 7 für jede Art Netzwerk getrennt anlegen. Die Unterschiede zwischen den einzelnen Netzwerken erklärt der nächste Anschnitt „Windows 7: Das sind die vier Netzwerk-Arten“.

Wenn Sie auf der linken Seite auf den Link „Ein Programm oder Feature durch die Windows-Firewall zulassen“ klicken, dann sehen Sie, welche Programme im jeweiligen Netzwerk frei kommunizieren dürfen, also auch Verbindungen nach außen aufbauen.

Die meisten Programme haben sich unbemerkt selbst in diese Liste eingetragen und damit eine Tür in der Firewall geöffnet.

Windows 7 unterteilt Netzwerke in vier Kategorien. Im Folgenden lesen Sie, worin sie sich unterscheiden und welches Netzwerk sich am besten für Sie eignet.

Heimnetzwerk: Das Heimnetzwerk, auch privates Netzwerk genannt, ist für den Einsatz zu Hause konzipiert. Die Kategorie Heimnetzwerk geht davon aus, dass alle Personen und damit die PCs und Geräte im Netzwerk vertrauenswürdig und sicher sind. Zudem lassen sich alle Windows-7-Rechner des Netzwerks zu einer Heimnetzgruppe zusammenzufassen.

Die Rechner erkennen sich untereinander. Dateien, Bibliotheken und Geräte wie Drucker lassen sich gemeinsam nutzen. Diese Netzwerk-Art ist — wie der Name vermuten lässt — eine gute Wahl, wenn Ihr PC zu Hause steht.

Arbeitsplatznetzwerk: Das Arbeitsplatznetzwerk unterscheidet sich nur geringfügig vom Heimnetzwerk und ist für den Einsatz in kleineren Firmen ausgelegt. Die PCs im Netzwerk erkennen sich ebenfalls, und eine Datenfreigabe ist auch erlaubt. Im Arbeitsplatznetzwerk ist es aber nicht möglich, mehrere PCs zu einer Gruppe zusammenzuschließen.

Öffentliches Netzwerk: Im öffentlichen Netzwerk gelten erhöhte Sicherheitseinstellungen, da die beteiligten Rechner nicht unbedingt vertrauenswürdig sind. Standardmäßig erkennen sich die anderen Computer und Geräte nicht. Die Anwender dürfen auch nicht auf sie zugreifen.

Ein öffentliches Netzwerk schützt Sie somit vor schädlichen Programmen, wenn Sie etwa an öffentlichen Orten wie Internetcafés, Flughäfen oder Hotels ins Internet gehen.

Wegen der erhöhten Sicherheitseinstellungen des öffentlichen Netzwerks ist dies eine gute Wahl, wenn ein Zugriff auf andere PCs im Netzwerk oder eine gemeinsame Nutzung von Dateien und Geräten nicht benötigt werden. Das gilt auch für mobile DSL-Verbindungen.

Domäne: Erst ab der Version Windows 7 Professional gibt es die Domäne. Diese Netzwerk-Art ist für Netzwerke in großen Unternehmen konzipiert, wobei ein Server die zentrale Verwaltung übernimmt.

Sehr detailliert lässt sich die Firewall nur in der erweiterten Ansicht konfigurieren. Diese Ansicht ist in Windows 7 allerdings etwas versteckt: Sie erreichen sie über „Start, Systemsteuerung, System und Sicherheit, Windows-Firewall, Erweiterte Einstellungen“.

Das Fenster „Windows-Firewall mit erweiterter Sicherheit“ zeigt in einer Übersicht, welches Netzwerk-Profil gerade aktiv ist, also „Domänenprofil“, „Privates Profil“ oder „Öffentliches Profil“ . In den meisten Fällen ist „Privates Profil“ aktiv.

Im Folgenden schließen Sie zunächst für alle Programme die Verbindung nach außen und lassen dann nur noch Programme zu, die Sie kennen und deren Herstellern Sie vertrauen. Dazu klicken Sie links oben mit der rechten Maustaste auf „Windows-Firewall mit erweiterter Sicherheit“. Wählen Sie aus dem Kontextmenü den Punkt „Eigenschaften“. In dem neuen Fenster mit vier Reitern wählen Sie den Reiter des aktiven Profils aus. Bei „Eingehende Verbindungen“ belassen Sie die Einstellung „Blockieren (Standard)“. Eingehende Verbindungen, die Sie nicht angefordert haben, werden dadurch verhindert. „Ausgehende Verbindungen“ steht standardmäßig auf „Zulassen (Standard)“. Windows 7 lässt somit alle Programme nach außen kommunizieren, für die Sie es nicht ausdrücklich verbieten.

Besser ist der umgekehrte Weg: alles verbieten und nur die vertrauenswürdigen Programme zulassen. Genau das machen Sie jetzt: Setzen Sie die Einstellung auf „Blockieren“ und klicken Sie auf „Übernehmen“.

Nun ist Ihr PC aber zu sicher, da keinerlei Kommunikation nach außen mehr möglich ist. Wenn Sie jetzt beispielsweise Ihren Browser starten, dann erhalten Sie eine Fehlermeldung.

Im nächsten Schritt teilen Sie daher dem Betriebssystem mit, welche Programme ins Internet dürfen, etwa Browser, E-Mail-Client und FTP-Programm. Klicken Sie dazu auf der linken Seite auf „Ausgehende Regeln“. Eine große Zahl an Regeln ist von Windows 7 bereits angelegt.

Wenn ein Programm sich nach draußen verbinden möchte, dann geht Windows 7 diese Regeln von oben nach unten durch. Wenn eine Regel zutrifft, dann wendet das Betriebssystem diese an und ignoriert alle übrigen.

Als Beispiel erstellen Sie jetzt eine Regel, die es Firefox erlaubt, Verbindungen nach außen aufzubauen. Dazu klicken Sie auf der rechten Seite des Fensters auf den Punkt „Neue Regel…“. Wählen Sie dann „Programm“ und klicken Sie auf „Weiter“.

Im nächsten Fenster klicken Sie auf „Durchsuchen…“ und navigieren im „Öffnen“-Fenster zur Datei „firefox .exe“. Anschließend klicken Sie auf „Verbindung zulassen“. Zuletzt bestimmen Sie noch, für welche Arten von Netzwerk die neue Regel gelten soll. Sie vergeben einen Namen für die Regel sowie eine Beschreibung und klicken auf „Fertig stellen“. Zur Kontrolle rufen Sie Firefox auf, der nun wieder ins Internet darf.

Das Tool Windows 7 Firewall Control hilft, die Windows-7-Firewall schnell einzurichten. Laden Sie die Plus-Version herunter und installieren Sie diese. Immer wenn sich ein neues Programm mit dem Internet verbinden will, erstellen Sie damit schnell eine neue Firewall-Regel und legen fest, was das Programm darf und was nicht.

Das Programm ist für Privatanwender kostenlos, blendet aber ab und zu ein Fenster ein, das Sie zum Kauf der kommerziellen Programmversion ermuntern soll.

Wenn Sie lieber die ebenfalls kostenlose portable Version von Windows 7 Firewall Control verwenden wollen, dann laden Sie diese von der Seite Sphinx Software herunter. Sie hat weniger Funktionen und ist nicht auf Deutsch erhältlich, blendet dafür aber auch keine Kaufaufforderung ein.

Das Programm liest beim ersten Start die Einstellungen der Windows-7-Firewall aus und listet alle Programme auf, die eine Internetverbindung nutzen . Zudem zeigt das Tool an, welche Programme wie oft blockiert wurden.

Über die Einstellungen lassen sich einzelne Tools dauerhaft oder vorübergehend blockieren. Oder Sie regeln gezielt nur den eingehenden oder ausgehenden Datenverkehr.

Sobald ein bis dato unbekanntes Programm sich mit dem Internet verbinden will, fragt Windows 7 Firewall Control, wie es damit umgehen soll. Sie können dem Programm den Zugang einmalig oder dauerhaft erlauben oder verbieten. Zudem ist es hier möglich, dem Programm eine andere Zone zuzuweisen. Im Dropdown-Menü „Zone“ ist eine Handvoll gebräuchlicher Zonen mit vordefinierten Rechten und Regeln eingetragen, zum Beispiel „LAN only“ oder „WebBrowserZone“. Wollen Sie noch mehr Zonen zur Auswahl, entfernen Sie das Häkchen vor „Zeige nur empfohlene Zonen“.

Windows 7 Firewall Control legt automatisch eine Log-Datei an. Darin speichert es alle Programme, die unerlaubt versuchen, mit dem Internet zu kommunizieren. Sie lässt sich mit jedem Texteditor öffnen[Link auf Beitrag 26746]. Sie finden die Datei „blocked.log“ im selben Verzeichnis, in dem Sie Firewall Control installiert haben.

Darin sehen Sie versuchte Verstöße gegen die Firewall-Regeln. Die ersten beiden Spalten zeigen Datum und Uhrzeit. Es folgt das Protokoll, also IPv4 oder IPv6, und das Netzwerkprotokoll UDP oder TCP.

Zu den wichtigen Angaben gehören die IP-Adresse und der Port, über den das blockierte Programm kommunizieren wollte. Schließlich zeigt die Liste noch die verursachende Datei selbst, die verletzte Firewall-Regel und die Richtung des Datenflusses, also ein- oder ausgehend. Die maximale Größe der Log-Datei lässt sich in den „Einstellungen“ festlegen. Sie beträgt standardmäßig 1 MByte. Auch den Speicherort geben Sie selbst vor.