Windows 10 Firewall - Immer fragen?

Registriert
März 2015
Beiträge
161
Hallo,

gibt es bei Windows 10 die Möglichkeit die Firewall so einzustellen, dass immer gefragt wird, ob ein Programm ins Netz darf?
Ich kenne das von der Kaspersky Firewall, dass man erstmal alles auf "Aktion erfragen" stellt und so nur das zulässt, was raus kann.
 
Braucht man also tatsächlich ein extra Programm um das einzustellen?
Jetzt will ich mich gerade damit abfinden, bei Windows 10 auf KIS zu verzichten und stolpere schon bei der ersten Einstellung.
 
Du Grundlage für wfc ist ja die Windows eigene Firewall. Das ist nur ein extra Tool, welches dir mehr Einstellungen zur Verfügung Stellt, bzw. diese vereinfacht. Quasi eine GUI.

Bedauerlicher Weise bietet die Windows Firewall diese Möglichkeit der Abfrage für ausgehende Verbindungen von Haus nicht.
 
@Matthew Sobol

Vielen Dank für diesen Tipp. Das Tool ist echt genial. Läuft bei mir jetzt auf beiden Windows-Systemen (7 Home, 10 Pro).
 
  • Gefällt mir
Reaktionen: Spawn182
Guten Abend.
Falls OK.
Weil hier das Tool ´Windows Firewall Control´ angesprochen wird, bzw. auch das ´immer fragen´ (der Firewall):
ich testete die neueste Version (6.11) mit den ´Empfohlenen Einstellungen´, mit verheerender Wirkung, der Zugang zum öffentlichen Hotspot - den ich mit Win10 grundsätzlich und oft verwende - war nicht mehr möglich.
Da eine Sicherung bevor Ändern nicht angeboten war, half da nur eine ca. 15 minütige Systemwiederherstellung.

Eine Firewall sollte einfach zu handhaben sein. Agnitum Outpost 2 war es, das Meiste. Ein- und ausgehende Verbindungen wurden gemeldet und konnten direkt per Verweigern oder Erlauben konfiguriert werden. (Und hatte die falsche Auswahl ein Blockieren mal eine ungewünschte Wirkung, konnte diese, schnell auffindbar, auch wieder geändert werden.)

Als Nächstes werde ich wohl diese probieren https://safing.io/download/.
Allerdings unsicher, ob es einfacher wird, als die Win10 Firewall. die mir einfach nicht zu handhaben ist.

Danke für´s Interesse.

P.S.: Entschuldigung, vergaß zu erwähnen, daß ´wfc´ die Empfohlenen Einstellungen nicht transparent und nicht per Liste für einzelne Auswahl anzeigt.
Ich wünsche also eine Firewall, die mich die ein- und ausgehenden Anfragen je einzeln nachfragt. um sie da per Auswahl für die Zukunft zu erlauben oder eben nicht.
Danke.
 
Zuletzt bearbeitet:
Soweit ich weiß, verbietet "Windows Firewall Control" nichts unter den "Empfohlenen Einstellungen“, sondern erlaubt den für die Funktion wichtigen Diensten grundsätzlich die Kommunikation, also legt eine Basis an Regeln fest.
Alles andere musst du selbst einstellen. Dafür gibt es dann die zwei Bereiche "Profile" und "Benachrichtigungen".

Unter "Benachrichtigungen" kannst du den "Lern-Modus" wählen, wenn du einfach erst mal alles erlauben möchtest, dann legt wfc für jedes Programm eine Regel an und diese kann man dann nachträglich manuell bearbeiten oder man nutzt die Option "Anzeigen von Benachrichtigungen" dann bekommst du bei jeder ausgehenden Kommunikation ohne passende Regel eine Frage. "Deaktiviert" fragt dich weder, noch legt es Regeln an.

Dazu gibt es dann die "Profile". "Hohe Filterung" blockiert schlicht alle Verbindungen. Die "Mittlere Filterung" (wird empfohlen und nutze auch ich) erlaubt nur die ausgehende Kommunikation für Programme mit vorhandener Regel und wenn dann die passenden "Benachrichtigungen" an sind, kann man für alles andere neue Regeln erstellen. Am Ende gibt es noch "Tiefe Filterung" hier greifen nur blockiert Regeln und "Keine Filterung".

Du stellst also das Profil "Mittlere Filterung" zusammen mit "Anzeigen von Benachrichtigungen". Dann bekommst du ziemlich viele Pop-Ups mit Fragen, was du erlauben möchtest, die werden dann mit der Zeit immer weniger, da du ja passende Regeln erstellst.

Wenn also das Profil gestimmt hat und der Zugang zum öffentlichen Hotspot nicht möglich war, hattest du entweder bereits eine Regel, die diesen blockiert oder die Benachrichtigungen aus.

Es gibt ein paar wenige Ausnahmen, bei denen es sehr kompliziert ist Regeln zu erstellen oder die keine Fragen stellen. Ich nutzte jetzt die besagte Hotspot Funktion nicht, deshalb kann ich dazu keine genauere Aussage treffen.

Wichtig und oft übersehen, du kannst unter "Benachrichtigungen" auch Ausnahmen erstellen, für die immer eine Regel erstellt wird. Das ist hilfreich, bei Programmen, denen du vertraust, die aber immer wieder bei einem Update in einem neuen Ordner landen. Dafür schreibst du einen Programmnamen oder Pfad in Caps in das Feld "Definieren Sie hier eine Ausnahme". ACHTUNG das sind Wildcards, wenn du also EDIT.EXE dort freigibst, dann gilt dies auch für SUPEREDIT.EXE etc. pp, dasselbe bei den Pfaden.

Und noch eine letzte kleine Anmerkung, wenn eine Abfrage kommt, dann wurde die Verbindung bereits blockiert. Leider gibt es etliche Programme, die nicht mit einer Firewall rechnen und die keine weiteren Verbindungsversuche unternehmen, dies gilt auch beim "Lern-Modus". Man muss also so manches Programm mehrfach starten. Ganz doof bei Programmen, die sich bei jedem Start in einem random Temp Folder verorten.

So, das war mein kleiner schneller Starter Guide :) Vielleicht hat es ja jemanden geholfen. Da geht natürlich bei den individuellen Regeln noch viel mehr.

Noch eine letzte Anmerkung, blockier Regeln werden immer bevorzugt bearbeitet. Alles blockieren und dann eine Verbindung erlauben geht entsprechend nicht. Wenn man nur einen IP Bereich erlauben will und trotz "Anzeigen von Benachrichtigungen" nicht ständig neue Pop-Ups sehen möchte, blockiert man in einer Regel alles bis auf den IP Bereich und erstellt dann die erlauben Regel noch mal extra für den Bereich.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: visionhelp
Wow, Spawn182. Danke.

Internet-Zugang über Hotspot ist öffentliches Netzwerk.

Zu Zitat "Die "Mittlere Filterung" (wird empfohlen und nutze auch ich)": habe ich entsprechend gewählt bzw. (wohl) belassen.
Das Lesen und Verstehen der Regeln sowie der Regeln für die Benachrichtigungen mußte ich zunächst (erst mal) ignorieren.
Meine Erwartung war, daß bei ´Empfohlenen Einstellungen´ schon mal gar nichts schief gehen sollte.
Dann aber der Internet-Zugang weg, OHNE Nachfrage, also so entsprechend schon mal nicht vor-eingestellt, bzw. selbst vorzunehmen, ist einfach überfrachtend.
Jetzt da auf die Suche gehen, welche Einstellung da korrigiert werden müßte, ob in der Windows Firewall selbst oder in ´wfc´ ist ebenfalls nur überfordernd.
(Deshalb blieb mir da nur die System-Wiederherstellung.)

Ich weiß nicht, ob Agnitum Outpost 2 bekannt ist, auch da muß ich Einiges bis heute ignorieren, aber ich werde gefragt, und es gibt eine Echtzeit-Überwachung - und An- und Einsicht - von Prozessen und Ports, die über diese Firewall erfasst werden.

Nochmal, bitte:: Um nicht als ERSTES in die Tiefen einer Firewall bzw. eines Tools FÜR die Firewall einsteigen müssen, oder bzw. auch überhaupt, erwarte ich eine funktionsfähige Firewall.
Die mir meldet, was rein und raus will, und ich jeweils bestimmen kann, erlauben bzw. nicht, oder unter bestimmten Bedingungen (Regeln).
Und die dann bei Erkennen von unerwünschten ´Nebenwirkungen´ schnell und einfach zugänglich und einfach veränderbar sind.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Spawn182
Meinen Respekt und meine Hochachtung, wer sich erfolgreich mit einer Firewall beschäftigen kann.
(Ich testete sogar die Agnitum Outpost 2, die sich (in Win10) installieren läßt, aber irgendwie nicht greift, trotz die Win10 eigene Firewall deaktiviert.
Vielleicht schon vor/für Installation die Win10-eigene Firewall deaktiveren ?

Bspw. kenne ich von dieser Firewall Eingehende Anfrage, die, wenn verweigert, die dann damit in die Rubrik Blockierte ´wandert´, die ich dann aber wieder in Teil-Erlaubte (per Regel) wieder in diese Rubrik zurückbringen muß, sonst bleibt der Internet-Zugriff blockiert.
Das Schöne, das ist in der genannten Firewall sehr übersichtlich und einfach zu ´handle´n., zu handhaben.)

Und bevor ich mir als Free Version funktions-eingeschränkt einen 300 MB Download und installiert 500 MB antue, würde ich doch bevorzugt ´WFC´ mich heran tasten wagen wollen.
(Die ´Empfohlenen Einstellungen´ vermeidend, wegen Blockieren meines Internet-Zugangs Öffentlicher WLAN Hotspot.)

Ich möchte hier aber auch selbst nicht überfrachten. Also: falls, dann bitte kurz einen freundlichen Hinweis. Danke.

Fand nun diesen Beitrag https://www.computerbase.de/forum/threads/firewall-steuerung-anwendung-fuer-windows-10.2135700/
und einen Hinweis zu simplewall https://www.simplewall.org/de/ und die Github-Adresse https://github.com/henrypp/simplewall/releases.
Die hört sich erst mal gut an für mich.
Download (bei Github) sollte die 2. Datei sein ... ? (Völlig unklar leider. Sorry.)

1729179538278.png
 
Zuletzt bearbeitet: (Korrektur/en, Verbesserungen, Ergänzungen.)
simplewall-3.8.4-setup.exe mußt Du runterladen.
Simplewall fragt grundsätzlich bei erstmalig rauswollenden Programmen um Erlaubnis.
Man kann auch eine temporäre Erlaubnis erteilen, die nach Ablauf der gewählten Zeit wieder verfällt.
Außerdem gibt es eine M$-Telemetrie-Filterliste.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: visionhelp
OK. Danke.
739 KB (...setup.exe) Installationsdatei Größe läßt mich vermuten, daß die Installation nicht auf diese Datei-Größe begrenzt ist, sondern (zum Einen) eine Internet-Verbindung notwendig ist, und (zum Anderen) noch nicht klar ist, wie groß nur schon die Installations-Datei tatsächlich ist.
Deshalb bevorzuge ich grundsätzlich die Installation offline.
Zumindest bis ich ganz klar eine mir funktionale Firewall auch dafür habe.

"Simplewall fragt grundsätzlich bei erstmalig rauswollenden Programmen": das ist schon mal gut zu wissen.

"temporäre Erlaubnis": auch gut.

"M$-Telemetrie": das sagt mir leider nichts.

Was ich leider auch widersprüchlich und völlig unklar bleibend lesen muß, ob die Windows eigene Firewall deaktiviert werden kann oder nicht.

Folgendes ´hört´ sich gar nicht gut an (Quelle https://www.security-insider.de/sim...ll-nutzen-a-a7a9947e5de9fa5ce1f2df2fb1b2400f/), Zitat:
"Wenn Regeln temporär hinterlegt sind, löscht sie WFP beim nächsten Neustart. Bei der Deinstallation oder dem Löschen von Simplewall bleiben die Regeln weiterhin bestehen. Die Regeln werden nicht durch das Entfernen von Simplewall entfernt, sondern nur wenn die Regeln manuell oder über WFP gelöscht werden.".

Wouh, je weiter ich da lese, desto unhandlicher wird mir das da ebenfalls.
 
Zuletzt bearbeitet: (Ergänzung/en, Korrektur/en.)
Die kleine setup.exe ist der vollständige Installer, das Programm ist sehr schlank und übersichtlich.
M$-Telemetrie = Microsoft-Dienste die nach hause telefonieren.
Ich fahre beide Firewalls parallel ohne Probleme.
 
  • Gefällt mir
Reaktionen: visionhelp
"Schlank und übersichtlich": ist schon mal sehr gut. Vielen Dank.
Aber BRAUCHT mit die Win10 eigene Firewall, vergleichbar wie bei ´WFC´ auch ?

Was mir aber schon gar nicht gefällt, ist "Bei der Deinstallation oder dem Löschen von Simplewall bleiben die Regeln weiterhin bestehen. Die Regeln werden nicht durch das Entfernen von Simplewall entfernt, sondern nur wenn die Regeln manuell oder über WFP gelöscht werden".

Im Falle einer Deinstallation muß ich jede selbst neu erstellte Regel manuell bzw. über´WFP´ - ebenfalls einzeln ? - entfernt (bzw. rückgängig gemacht) werden.
Falls ich in die Situation gerate, wo mir das notwendig erscheint.
Ist verstehbar, was meine Sorge ist ?
 
WFC und simplewall, wie auch zig andere, setzen auf der Windows Filtering Plattform (WFP) auf, das ist die in Windows integrierte Firewall. Es ist quasi ein Frontend, welches die Regelerstellung erleichtert und je nach dem, noch einige extra Tools bietet.

Es gibt auch kaum noch was anders, denn WFP macht alles, was eben eine Firewall machen sollte und dass ohne großen Performance Impact. Ich wüsste nicht, dass seit Windows 7 überhaupt noch ein anderes vernünftiges Produkt auf den Markt gekommen ist.

Was ist denn dein Ziel? In der Regel hast du Programme, denen du vertraust, also erlaubst du denen eh alles. Dann hast du Programme denen du nicht vertraust (sollte man dann auch gar nicht nutzen), die blockierst du.

Das würde unter einem normal installierten Windows bedeuten, dass du für die letztere Kategorie unter den erweiterten Firewall-Einstellungen eine "Block" Regel für die jeweilige "boese.exe" anlegst.

PS Wenn du schon dem Installer nicht vertraust, weil er noch eine aktuellere Quelle nachlädt, dann würde ich den nicht benutzen.

Dann hast du eventuell noch ein zwei Sonderfälle, die nur zu einem Ziel kommunizieren sollen oder nur im LAN. Sonderfälle sollte man kennen, also kannst du auch hier manuell die Regel einfach erstellen.

Unerwünschte eingehende Kommunikation wird vom Router geblockt, die haben heutzutage alle eine "Stateful Firewall" laufen, alles andere wäre auch Fallschirmspringen ohne Fallschirm. Sprich Regeln für eingehende Kommunikation kannst du dir sparen, sofern die ausgehende Kommunikation passt (siehe Vertrauen).

Ich vertraue z.B. Windows, im Gegensatz zu gefühlt vielen anderen Windows Usern, soll heißen, Windows-Dienste dürfen bei mir alles. Ich gönne auch der meisten Software, die ich nutzte ihre Telemetrie, denn ich möchte ja bessere Produkte. Spiele nutzten auch zig Ports für ihre Dienste, so dass mein Game Folder eine Wildcard Regel hat. Da bleibt bei mir genau ein Programm übrig, welches ich blockiere.

Ich habe aber in meinem Router einen Ad-Blocker laufen, aus meiner Sicht, ist das viel sinnvoller als eine Firewall auf OS Ebene. Bei mir ist das Diversion, andere nutzten so etwas wie Pi-Hole.

Domains haben heutzutage oftmals zig IP Adressen, da werden Regeln auf IP Basis eh ziemlich komplex und laufen meist auf ein "Deny All" heraus.
Kannst du bei einem anderen Programm anhand der IPs erkennen, was nun Telemetrie, Lizenz Aktivierung, Streaming von Daten oder sonstige Kommunikation ist. Also läuft es da wieder auf ein "Allow All" hinaus :)

Fazit, Ottonormalo braucht keine Firewall und wäre damit auch überfordert.

Früher habe ich mir mal die Mühe gemacht (zu Tiny Firewall Zeiten) Gruppen anzulegen z.B. DNS, DNS HTTP, DNS HTTP HTTPS etc. pp. und habe zu den jeweiligen Gruppen die Programme zugeordnet. Das wäre mir aber heutzutage zu aufwändig.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: visionhelp und SPB
visionhelp schrieb:
Was mir aber schon gar nicht gefällt, ist "Bei der Deinstallation oder dem Löschen von Simplewall bleiben die Regeln weiterhin bestehen. Die Regeln werden nicht durch das Entfernen von Simplewall entfernt, sondern nur wenn die Regeln manuell oder über WFP gelöscht werden".

Im Falle einer Deinstallation muß ich jede selbst neu erstellte Regel manuell bzw. über´WFP´ - ebenfalls einzeln ? - entfernt (bzw. rückgängig gemacht) werden.
Nein.
Uninstall:
When you uninstall simplewall, all previously configured filters stay alive in system. To remove all filters created by simplewall, start simplewall and press "Disable filters" button.
https://github.com/henrypp/simplewall/blob/master/README.md
Der "Disable Filters" button ist die große Schaltfläche oben links unter der Menüleiste.
Damit kann man alle Regeln mit einem Mausklick ein- und ausschalten.
Sollte man dann natürlich vor einer Deinstallation machen.

simplewall.png
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: visionhelp und Spawn182
SPB schrieb:
alle Regeln mit einem Mausklick ein- und ausschalten
Super. Danke.
Betrifft nur die Regeln, die ich neu erstellt habe und nur in SFP geändert wurden. Hat also keine Auswirkung auf die jetzigen Einstellungen der Windows eigenen Firewall ?

Spawn182 schrieb:
Was ist denn dein Ziel?
Mein WUNSCH wäre, die Agnitum Outpost2 Version - Größe der Installations-Datei: 2,49 MB - unter Win10.
(OK.
´WFP´ unter 1 MB ist da mir eine Ansage !)

Einmal will ich wissen, was rein und raus will, aber mehr möchte ich das kontrollleren und selbst bestimmen dürfen.
Updates verändern plötzlich mal ´Alles´ Gewohnte. Ungefragt, uninformiert, untransparent.
Das bestimmt mir fremd, wann ich was ich mich mit beschäftigen soll, bzw. mir neu erarbeiten muß.
Das dann rückgängig machen ist mit erheblichem Aufwand verbunden.
Die alte Version muß in meinem privaten Archiv vorhanden sein.
Ich muß neu installieren, und alle mir erforderlichen Einstellungen komplett wiederum durchführen.

Beispiel Internet Explorer (Edge) MUSS ich nicht verwenden, aber es gibt Seiten, die per Internet Explorer geladen werden, obwohl 2 andere Browser installiert sind, und Firefox als Standard bestimmt ist.
Verhindere ich den IE (Edge) nicht per Firewall, verbindet er sich in´s Internet, was ich einfach nicht möchte.

Ich möchte einfach selbst bestimmen, wann ich was im Internet mache, und was wann nicht.
Und welche Arbeiten ich wann mache oder auch nicht.

Da neben gibt es bei Einwahl in´s Internet, die ich immer nur bei Bedarf vornehme, und danach auch immer direkt selbst beende, mindestens eine ausgehende Anfrage, die dafür einmalig erlaubt werden muß.
Oder falls versehentlich mal verweigert, von Blockiert wieder zu erlaubt bzw. teil-erlaubt werden muß, damit die Einwahl in´s Internet überhaupt statt-finden kann.
So kenne ich es, und würde ich gerne so weiter haben wollen.

Danke das Interesse.

´WFP´ werde ich nun versuchen. Vielen Dank schon mal bis hier hin.
 
  • Gefällt mir
Reaktionen: Spawn182
Das weicht jetzt stark von meinem Szenario ab, entsprechend fehlt mir da die Erfahrung. Ich würde mich jetzt nicht von irgendwelchen Programmgrößen abschrecken lassen, wobei eine Firewall bzw. ein entsprechendes Frontend sehr kompakt sein kann.

Ich glaube für deine Zwecke ist die von @SPB verlinkte simplewall ein guter Ansatz, zumal auch kostenlos. Mit WFC ginge das auch, über die Profile und je nach Menge der Programme entsprechend Tuning.

Vielleicht auch noch mal in einem Forum fragen, welches sich auf Firewalls spezialisiert hat.

Ich habe heute aus Spaß die "neue" Comodo Firewall 2025 getestet, das war früher mal ein recht gutes Tool, wenn man sich mehr oder minder auf die freie Firewall Funktion beschränkt hat. Jetzt wurde ich mehrfach gefragt, ob ich noch andere Tools installieren möchte. Kann man zwar immer wegklicken, aber nicht so mein Ding.
 
  • Gefällt mir
Reaktionen: visionhelp
Zurück
Oben