Und zwar das pop-up, wenn die Firewall für Programm xy die Verbindung blockiert hat und mich fragt, wie ich das handhaben möchte. Vorweg: Die Firewall läuft mit Standard Einstellungen und wurde zwischenzeitlich auch nochmal darauf zurück gesetzt.

Also pop-up mit blockierter Verbindung:

Ist der Haken bei öffentlich gesetzt und bestätige ich, verbindet sich das Programm. Check, so soll es sein. Wähle ich abbrechen, verbindet sich das Programm trotzdem. Nehme ich den Haken bei öffentlich raus, bleibt nur noch "Abbrechen" zur Auswahl und auch dann steht die Verbindung. :confused:

Wozu also dieses pop-up und viel wichtiger: Wieso wird meine Einstellung nicht übernommen?

Welches Programm will überhaupt raus. Welche Ports benutzt es? Welche Ports hat die Firewall dafür freigegeben?

Die Windows-FW fragt nur für das Öffnen von Ports, also eingehende Verbindungen. Alles andere ist erlaubt, sofern man nicht händisch eine Verbots-Regel auch für ausgehende Verbindungen erstellt.

Welches Programm will überhaupt raus. Welche Ports benutzt es? Welche Ports hat die Firewall dafür freigegeben?

Ist das denn von Bedeutung? System Dienste und Programme lässt die FW ja eh alle durch. Als Beispiel nehme ich mal Battlefield V. Das zeigt das von mir oben beschriebene Verhalten. Natürlich soll sich das Spiel verbinden dürfen, was aber wenn mal tatsächlich jemand von außen auf meinen Rechner will und die FW alles durchwinkt egal was ich einstelle? Wie gesagt, nur ein Beispiel. Es geht mir um das Prinzip was dahinter steckt.

Die Windows-FW fragt nur für das Öffnen von Ports, also eingehende Verbindungen. Alles andere ist erlaubt, sofern man nicht händisch eine Verbots-Regel auch für ausgehende Verbindungen erstellt.

Das weiß ich. Ich weiß auch wie ich ein und ausgehende Verbindungen für bestimmte Programme in der Firewall unterbinde. Ich frag mich lediglich wofür das pop-up und warum die Einstellungen dort nicht übernommen werden. Wozu hab ich dort eine Wahlmöglichkeit, wenn die Wahl völlig egal ist und die Verbindung trotzdem hergestellt wird?

ausgehende verbindungen sind immer offen. die frage ist für eingehende.

https://oli.new-lan.de/wp-content/uploads/2019/03/advanced_firewall.png

Die Frage nach der Firewall-Freigabe kommt deswegen, weil man ja eventuell die Standardrichtlinie für "Ausgehende Verbindungen" auf "Blockieren" gesetzt haben könnte. Standard ist "Zulassen" und damit ist es für ausgehende Verbindungen vollkommen egal, was du bei der Abfrage anklickst. Die Abfrage erstellt nämlich ausschließlich "Zulassen"-Regeln, die dann aktiviert ("Ok") oder deaktiviert ("Abbrechen") werden.

Wenn du ausgehende Verbindungen für ein bestimmtes Programm/IP/Port blockieren möchtest, musst du eine explizite "Blockier-Regel" erstellen oder das Standardverhalten für ausgehende Verbindungen ändern (was ich mir an deiner Stelle aber genau überlegen würde).

Edit: Ums nochmal klar zu machen: Sämtliche "Zulassen"-Regeln, die du unter "Ausgehende Verbindungen" findest, können problemlos gelöscht werden, wenn die Standardrichtlinie für ausgehenden Verbindungen sowieso auf "Zulassen" steht (was dem Standardverhalten der Windows-Firewall entspricht). Nur "Blockier"-Regeln haben dann eine Wirkung. Ändert man die Standardrichtlinie für ausgehenden Verbindungen auf "Blockieren", dreht sich das Verhalten und man benötigt für jede Verbindung eine entsprechende "Zulassen"-Regel.

Falls man nicht weiß, wie man an die Blockierregeln kommt (Erweiterte Einstellungen bei Firewall anklicken): https://www.win-10-forum.de/windows-10-sicherheit/8291-firewall-nutzung-windows-10-programme-blockieren.html#post51795

https://oli.new-lan.de/wp-content/uploads/2019/03/advanced_firewall.png

Die Frage nach der Firewall-Freigabe kommt deswegen, weil man ja eventuell die Standardrichtlinie für "Ausgehende Verbindungen" auf "Blockieren" gesetzt haben könnte. Standard ist "Zulassen" und damit ist es für ausgehende Verbindungen vollkommen egal, was du bei der Abfrage anklickst. Die Abfrage erstellt nämlich ausschließlich "Zulassen"-Regeln, die dann aktiviert ("Ok") oder deaktiviert ("Abbrechen") werden.

Wenn du ausgehende Verbindungen für ein bestimmtes Programm/IP/Port blockieren möchtest, musst du eine explizite "Blockier-Regel" erstellen oder das Standardverhalten für ausgehende Verbindungen ändern (was ich mir an deiner Stelle aber genau überlegen würde).

Edit: Ums nochmal klar zu machen: Sämtliche "Zulassen"-Regeln, die du unter "Ausgehende Verbindungen" findest, können problemlos gelöscht werden, wenn die Standardrichtlinie für ausgehenden Verbindungen sowieso auf "Zulassen" steht (was dem Standardverhalten der Windows-Firewall entspricht). Nur "Blockier"-Regeln haben dann eine Wirkung. Ändert man die Standardrichtlinie für ausgehenden Verbindungen auf "Blockieren", dreht sich das Verhalten und man benötigt für jede Verbindung eine entsprechende "Zulassen"-Regel.

Mir gehts tatsächlich um die eingehende Verbindung, die ist für alle Profile auf Blockieren (Standard) gesetzt. Also sollte doch eine eingehende Verbindung auf Nachfrage der FW mit "Abbrechen" nicht hergestellt werden können. Wird sie aber trotzdem. Battlefield V fragt eine Verbindung bei der Gegenstelle an, die Gegenstelle antwortet und ist bereit zur Verbindung. An diesem Punkt fragt mich die FW. Zulassen oder Abbrechen. Wieso wird die Verbindung erstellt, ganz egal was ich auswähle. Steh ich grade danz dick auf dem Schlauch, oder drücke ich mich zu unklar aus?

An diesem Punkt fragt mich die FW. Zulassen oder Abbrechen. Wieso wird die Verbindung erstellt, ganz egal was ich auswähle.


Weil jede ausgehende Verbindung logischerweise einen Port für die Antwort öffnet.

Als Beispiel mal eine Anfrage eines Browsers an den Webserver.
Dieser fragt den Webserver um die Übermittlung einer Website, was eine ausgehende Verbindung ist und damit mit den Standardeinstellungen der Windows Firewall erlaubt ist. Dabei schickt der Browser auch die eigene Adresse, sowie einen Port mit, an welchem er die Antwort, also den Inhalt der Website, erwartet. Da dieser Port dann zur ausgehenden Anfrage gehört wird er für die Antwort des Webservers auch von der Firewall nicht blockiert.

Die Firewall blockiert (mit Standardeinstellungen) nur von außen initierte Verbindungen.

Spiele, sowie auch andere Software, verwenden unter Umständen verschiedene Möglichkeiten um ihre Verbindungen aufzubauen, dabei wird evtl. Versucht eine von außen initierte aufzubauen, und falls das nicht funktioniert, macht man den "Trick" indem man eine Verbindung nach außen aufbaut und entsprechend den Antwortkanal für die Rückmeldungen vom Server verwendet, was wenn man sich hinter einem NAT befindet sowieso notwendig ist.

Mir gehts tatsächlich um die eingehende Verbindung, die ist für alle Profile auf Blockieren (Standard) gesetzt. Also sollte doch eine eingehende Verbindung auf Nachfrage der FW mit "Abbrechen" nicht hergestellt werden können. Wird sie aber trotzdem. Battlefield V fragt eine Verbindung bei der Gegenstelle an, die Gegenstelle antwortet und ist bereit zur Verbindung. An diesem Punkt fragt mich die FW. Zulassen oder Abbrechen. Wieso wird die Verbindung erstellt, ganz egal was ich auswähle. Steh ich grade danz dick auf dem Schlauch, oder drücke ich mich zu unklar aus?Ich tippe mal drauf, dass das Programm mehrere Ports benutzt und du nur einen davon blockierst. Ein anderer Port kann für die Kommunikation genutzt werden und es läuft. Dafür müsstes du mal in das Regelwerk gucken, welche Ports für eingehende Verbindungen für das Programm erlaubt wurden.

Mir gehts tatsächlich um die eingehende Verbindung, die ist für alle Profile auf Blockieren (Standard) gesetzt. Also sollte doch eine eingehende Verbindung auf Nachfrage der FW mit "Abbrechen" nicht hergestellt werden können. Wird sie aber trotzdem. Battlefield V fragt eine Verbindung bei der Gegenstelle an, die Gegenstelle antwortet und ist bereit zur Verbindung. An diesem Punkt fragt mich die FW. Zulassen oder Abbrechen. Wieso wird die Verbindung erstellt, ganz egal was ich auswähle. Steh ich grade danz dick auf dem Schlauch, oder drücke ich mich zu unklar aus?

Du verwechselst da auch glaube was: Die Paketrichtung ist nicht unbedingt gleichzusetzen mit der Verbindungsrichtung. Wie der Gast über mir schon erwähnte, kommt es drauf an, wer die Verbindung initiiert hat. Wenn du die Verbindung zu einem Server aufbaust, ist das erstmal immer eine ausgehende Verbindung mit ausgehenden Paketen für die Windows-Firewall. Wenn jetzt die Antwortpakete vom Server zu deinem Rechner geschickt werden, werden diese von der Windows-Firewall dieser vorher von dir initiierten, ausgehenden Verbindung zugeordnet (es handelt sich also nicht um eine eingehende Verbindung!), und somit benötigt man keine explizite Eingangs-Regel für diese eingehenden Pakete. Das Prinzip nennt sich "Stateful Inspection".

Ohne diese Technik hätte man eine reine Paketfirewall und du müsstest tatsächlich für alle eingehenden Pakete extra "Zulassen"-Regeln erstellen. Du kannst dir ja vorstellen, wie aufwendig so ein Regelwerk wäre, wenn man nicht vereinfachend einfach alle Ports/IPS/Programme zulässt, sondern jede Regel maximal für den jeweiligen Zweck eingrenzt.

PS: Wie der Gast ebenfalls schon richtig schrieb, sind eingehende Verbindungen, die vom Internet heraus initiiert werden, meistens eh schon durch einen NAT-Router blockiert. Für eine erfolgreiche eingehende Verbindung würde eine Port-Weiterleitung (DNAT) im NAT-Router benötigt werden. Sowas kommt i.d.R. nur bei Servern hinter NAT-Routern zur Anwendung, z.B. wenn du einen Webserver auf deinem Rechner betreiben möchtest, der vom Internet aus erreichbar sein soll.

PS: Wie der Gast ebenfalls schon richtig schrieb, sind eingehende Verbindungen, die vom Internet heraus initiiert werden, meistens eh schon durch einen NAT-Router blockiert. Für eine erfolgreiche eingehende Verbindung würde eine Port-Weiterleitung (DNAT) im NAT-Router benötigt werden. Sowas kommt i.d.R. nur bei Servern hinter NAT-Routern zur Anwendung, z.B. wenn du einen Webserver auf deinem Rechner betreiben möchtest, der vom Internet aus erreichbar sein soll.

Wobei über UPNP, falls der Router es unterstützt und es auch aktiviert ist, auch von einem Gerät innerhalb des Netzwerks temporär ein Port geöffnet werden kann.

Wobei über UPNP, falls der Router es unterstützt und es auch aktiviert ist, auch von einem Gerät innerhalb des Netzwerks temporär ein Port geöffnet werden kann.

Jop, weswegen in so ziemlich jedem Security-Guide für Router das Deaktivieren der UPNP-Funktion empfohlen wird (ich brauch es nicht und hab es auch immer deaktiviert).