Adam der Automator

„Warum sollten Sie die Windows-Firewall deaktivieren oder deaktivieren?“

Es gibt viele Gründe, warum man die Firewall in Windows deaktivieren würde. Natürlich ist nicht jeder Grund vernünftig, aber es gibt legitime.

In diesem Artikel erfahren Sie, wie Sie die Windows-Firewall auf vielfältige Weise deaktivieren können. Unabhängig davon, ob Sie sich in einem Einzelmaschinen-Setup, einem Heimnetzwerk oder einer Unternehmensumgebung befinden, ist dieser Artikel genau das Richtige für Sie.

Sie werden lernen, wie Sie die Software-Firewall in Windows auf nahezu jede erdenkliche Weise ausschalten können!

• Verwenden der Windows-Firewall-Verwaltungskonsole
• Die Befehlszeile (cmd.exe)
• PowerShell
• Gruppenrichtlinie
• Sogar Azure Custom Script Extension, wenn Sie auf einer Azure Virtual machines

Lassen Sie uns graben!

Voraussetzungen

Da es sich bei diesem Artikel um eine Anleitung handelt, müssen Sie einige Anforderungen zusammen mit den Anweisungen befolgen. Einige Beispiele betreffen Domänen- und Nichtdomänenumgebungen.

Für eine Nicht-Domänenumgebung

• Ein oder mehrere Computer, die unter Windows 10 ausgeführt werden. Sie können die Beispiele hier in nur einem Computer ausführen, aber einige Anweisungen beziehen sich speziell auf das Remoting.
• Und Sie müssen über Administratorrechte auf diesen Windows 10-Computern verfügen.

Für eine Domänenumgebung

• Ein Windows 2019-Server, der auch ein Domänencontroller ist. Ein Windows 2016 Server sollte ebenfalls funktionieren.
• Ein oder mehrere Windows 10-Computer im selben Netzwerk, die der Domäne beigetreten sind.

Verwenden der GUI

Der wahrscheinlich schnellste Weg, die Firewall zu deaktivieren, ist die Verwendung der mitgelieferten GUI-Tools in Windows. Die Verwendung der GUI ist wahrscheinlich der einfachste Weg, um die Windows-Firewall für Heimanwender auszuschalten.

Verwenden der Windows-Sicherheits-App

Das erste zu verwaltende GUI-Tool ist die Windows-Sicherheits-App. Die Windows-Sicherheits-App ist unter Windows 10, Version 1703 und höher verfügbar.

1. Starten Sie die Windows-Sicherheits-App, indem Sie auf die Schaltfläche Start klicken und Windows-Sicherheit eingeben. Das Suchergebnis würde die Windows-Sicherheits-App zeigen, klicken Sie auf Öffnen.

2. In der Startseite der Windows-Sicherheits-App werden verschiedene Menüelemente angezeigt. Suchen Sie nach Firewall & Netzwerkschutz und klicken Sie, um es zu öffnen.

3. Auf der Seite Firewall & Netzwerkschutz sollten die verschiedenen Netzwerkprofile aufgelistet sein. Diese Netzwerkprofile sind Domänennetzwerk, privates Netzwerk und öffentliches Netzwerk. Sie können die Firewall für jeden dieser Netzwerkverbindungsplätze einzeln deaktivieren. In diesem Beispiel müssen Sie das private Netzwerkprofil auswählen.

4. In diesem Beispiel wird das private Netzwerkprofil ausgewählt. Klicken Sie in den privaten Netzwerkeinstellungen auf den Schalter, um die Windows Defender-Firewall auszuschalten.

Wiederholen Sie die gleichen Schritte für die anderen Netzwerkprofile, wenn Sie möchten.

Deaktivieren Sie die Windows-Firewall über die Windows Defender-Firewall-Systemsteuerung

Ein weiteres GUI-Tool ist die Windows Defender-Firewall-Systemsteuerung. Im Gegensatz zur Windows-Sicherheits-App, die über die moderne Benutzeroberfläche einer Windows 10-App verfügt, sieht die Windows Defender Firewall-Systemsteuerung genauso aus wie klassische Elemente der Systemsteuerung.

Im Folgenden finden Sie verschiedene Möglichkeiten zum Starten der Windows Defender—Firewall Systemsteuerung

Methode 1: Gehen Sie zu Systemsteuerung —> System und Sicherheit -> Windows Defender Firewall.

Methode 2: Öffnen Sie das Startmenü und geben Sie Windows Defender Firewall ein. Klicken Sie auf den Link Windows Defender Firewall.

Methode 3: Öffnen Sie das Dialogfeld Ausführen, geben Sie den Befehl control firewall.cpl ein und klicken Sie auf OK.

In der Windows Defender-Firewall-Systemsteuerung sollte eine vertraute Liste von Netzwerkprofilen angezeigt werden: Domänennetzwerke, private Netzwerke und Gast- oder öffentliche Netzwerke. Klicken Sie auf der linken Seite auf den Link Windows Defender ein- oder ausschalten.

Auf der Seite Einstellungen anpassen haben Sie die Möglichkeit, die Windows-Firewall für jedes Netzwerkprofil zu deaktivieren. Im folgenden Beispiel ist die Windows-Firewall in allen Netzwerkprofilen deaktiviert.

Verwenden der Befehlszeile

Wie Sie vielleicht bereits wissen, haben die meisten, wenn nicht alle GUI-Vorgänge in Windows ein Befehlszeilengegenstück. Die Verwendung der Befehlszeile ist manchmal schneller, als bei Verwendung der GUI-Optionen zu einem anderen Windows-Speicherort zu wechseln.

Darüber hinaus ermöglichen die Befehlszeilenoptionen Benutzern, die Aufgabe zu skripten oder zu automatisieren.

Ausschalten der Windows-Firewall mit dem NETSH-Befehl

Ein altes, aber nützliches Dienstprogramm namens netsh kann zum Verwalten von Netzwerkkonfigurationen auf einem Computer oder in diesem Fall zum Deaktivieren der Windows-Firewall verwendet werden.

Mit netsh advfirewall set c können Sie die Windows-Firewall an jedem Standort oder in allen Netzwerkprofilen einzeln deaktivieren.

• netsh advfirewall set currentprofile state off – dieser Befehl deaktiviert die Firewall für das aktuelle Netzwerkprofil, das aktiv oder verbunden ist. Angenommen, das derzeit aktive Netzwerkprofil lautet Domänennetzwerk. In diesem Fall wird dieser Befehl die Firewall für dieses Netzwerkprofil.
• netsh advfirewall set domainprofile state off – deaktiviert nur das Domänennetzwerkprofil.
• netsh advfirewall set privateprofile state off – deaktiviert nur das private Netzwerkprofil.
• netsh advfirewall set publicprofile state off – dieser Befehl wird nur im öffentlichen Netzwerkprofil deaktiviert.
• netsh advfirewall set allprofiles state off – dieser Befehl wird in allen Netzwerkprofilen gleichzeitig deaktiviert.

Die folgende Demonstration zeigt jeden der obigen Befehle in Aktion.

Weitere Informationen zu Netsh-Befehlssyntax, Kontexten und Formatierung

Verwenden des PowerShell-Cmdlets Set-NetFirewallProfile

Das NetSecurity PowerShell-Modul ist in Windows 10 sowie Windows Server 2012 und höher integriert. Dieses NetSecurity PowerShell-Modul enthält Cmdlets für die Netzwerk- und Netzwerksicherheitskonfiguration. Eines dieser Cmdlets ist Set-NetFirewallProfile, mit dem die Windows-Firewall deaktiviert werden kann.

Die Set-NetFirewallProfile Syntax wird unten gezeigt.

# Disable Windows Firewall for each specified network profileSet-NetFirewallProfile -Profile <PROFILE NAME> -Enabled False# Disable Windows Firewall for ALL network profilesSet-NetFirewallProfile -All -Enabled False

Mit dem folgenden Befehl wird die Firewall in den öffentlichen, privaten und Domänennetzwerkprofilen deaktiviert.

Set-NetFirewallProfile -Profile Domain,Private,Public -Enabled False

Die folgende Demonstration zeigt, wie Set-NetFirewallProfile funktioniert, um die Windows-Firewall mit dem obigen Befehl zu deaktivieren.

Ohne Angabe von Profilnamen zeigt das folgende Beispiel, wie die Windows-Firewall in allen Netzwerkprofilen mithilfe des Parameterschalters -All deaktiviert wird.

Deaktivieren der Windows-Firewall aus der Ferne mit PowerShell

Wenn Sie die Firewall auf vielen Computern deaktivieren müssen, ist es ineffizient, sich manuell bei jedem Computer anzumelden und die Befehle auszuführen. Insbesondere in einer Netzwerkumgebung können Sie mithilfe von PowerShell remote deaktivieren.

Hinweis: Dieses Verfahren erfordert, dass WinRM bereits auf dem Zielcomputer aktiviert ist. In den meisten Fällen ist WinRM bereits für domänengebundene Computer für Remoteverwaltungszwecke eingerichtet.

Weitere Informationen: Aktivieren der Windows-Remoteshell

Wenn Sie die Windows-Firewall auf jeweils einem Remotecomputer deaktivieren möchten, können Sie die Befehle mit dem Cmdlet Enter-PsSession an den Remotecomputer senden.

Im folgenden Beispiel wird der Befehl vom Server mit dem Namen dc ausgegeben, und der Name des Remotecomputers lautet desktop1. Der Befehl, der verwendet wird, wird unten angezeigt.

Enter-PsSession -ComputerName desktop1Set-NetFirewallProfile -All -Enabled False

Das Ausführen des obigen Codes in PowerShell würde zu einer ähnlichen Ausgabe führen, wie in der folgenden Demo.

Der obige Vorgang ist nur dann gut, wenn Sie an einigen Remotecomputern arbeiten. Wenn Sie jedoch einen Großteil der Computer haben, auf denen Sie sie deaktivieren müssen, benötigen Sie einen Ansatz, der besser an die Skripterstellung angepasst ist. Dazu können Sie das Cmdlet Invoke-Command verwenden.

$computers = @('desktop1')$computers | ForEach-Object {Invoke-Command -ComputerName $_ {Set-NetFirewallProfile -All -Enabled False}}

Wie Sie dem obigen Code entnehmen können, wird der Name der Remotecomputer in der Variablen $computers als Array gespeichert. Anschließend durchläuft PowerShell jeden der Remotecomputer, um das Cmdlet Invoke-Command auszuführen und den Befehl Set-NetFirewallProfile -All -Enabled False auszugeben. Das erwartete Ergebnis finden Sie in der folgenden Demo.

Verwenden der Gruppenrichtlinie

Durch Bereitstellen eines Gruppenrichtlinienobjekts können Systemadministratoren die Windows-Firewall für ausgewählte oder alle Computer in der Domäne deaktivieren. Nach der Bereitstellung wird das Deaktivieren der Windows-Firewall automatisiert, da die Konfiguration sie über Richtlinien auf allen Computern erzwingt, die sich im Gültigkeitsbereich befinden.

Erstellen des Gruppenrichtlinienobjekts

Um ein Gruppenrichtlinienobjekt zu erstellen, müssen Sie die Gruppenrichtlinienverwaltungskonsole auf dem Server starten. Führen Sie dazu den Befehl gpmc.msc im Dialogfeld Ausführen aus.

Erweitern Sie in der Gruppenrichtlinienverwaltungskonsole die Gesamtstruktur, und wählen Sie dann die Domäne aus, in der Sie das Gruppenrichtlinienobjekt erstellen möchten. In der Abbildung unten wird das Gruppenrichtlinienobjekt im xyz.int domäne. Klicken Sie mit der rechten Maustaste auf die Domäne, und klicken Sie auf Gruppenrichtlinienobjekt in dieser Domäne erstellen, und verknüpfen Sie es hier…

Das Dialogfeld Neues Gruppenrichtlinienobjekt wird angezeigt. Geben Sie Disable Windows Firewall in das Feld Name ein und klicken Sie dann auf die Schaltfläche OK.

Klicken Sie anschließend mit der rechten Maustaste auf das neue Gruppenrichtlinienobjekt, und klicken Sie auf Bearbeiten. Das Gruppenrichtlinienobjekt wird im Gruppenrichtlinienverwaltungseditor geöffnet. Erweitern Sie dann diese Ordner Computerkonfiguration -> Richtlinien —> Administrative Vorlagen —> Netzwerk —> Netzwerkverbindungen —> Windows Defender —> Firewall —> Domänenprofil.

Doppelklicken Sie in der Einstellungsliste im rechten Bereich auf Windows Defender Firewall: Schützen Sie alle Netzwerkverbindungen, um die Eigenschaften zu öffnen.

Sobald die Eigenschaft Einstellungen geöffnet ist, ändern Sie den Wert, indem Sie Deaktiviert auswählen, und klicken Sie dann auf OK.

Wiederholen Sie die gleiche Option und wenden Sie sie auf die Standardprofileinstellungen an. Anschließend können Sie das Fenster Gruppenrichtlinienverwaltungs-Editor verlassen.

Bereitstellen des Gruppenrichtlinienobjekts auf allen Domänencomputern

Nachdem Sie das Gruppenrichtlinienobjekt erstellt haben, müssen Sie das Gruppenrichtlinienobjekt nun auf den Domänencomputern bereitstellen.

Um das Gruppenrichtlinienobjekt anzuwenden, wählen Sie in der Gruppenrichtlinienverwaltung das Gruppenrichtlinienobjekt Windows-Firewall deaktivieren aus. Klicken Sie dann auf der Registerkarte Bereich im Abschnitt Sicherheitsfilterung auf die Schaltfläche Hinzufügen.

Suchen Sie im Dialogfeld Benutzer, Computer oder Gruppe auswählen nach Domänencomputern, und klicken Sie auf OK. Dadurch wird sichergestellt, dass das Gruppenrichtlinienobjekt auf alle Computer angewendet wird, die Mitglieder der Gruppe Domänencomputer sind.

Und das war’s! Wenn die Clientcomputer das Richtlinienupdate das nächste Mal erhalten, wird die Firewall auf diesen Computern deaktiviert.

Nachdem das Gruppenrichtlinienobjekt erstellt und bereitgestellt wurde, können Sie testen, ob das Gruppenrichtlinienobjekt funktioniert, indem Sie eine Richtlinienaktualisierung erzwingen. Führen Sie gpupdate /force auf dem Clientcomputer aus, um die Richtlinienaktualisierung zu testen.

Wie Sie dem obigen Ergebnis entnehmen können, sobald die Richtlinie auf dem Clientcomputer angewendet wurde. Die Konfiguration zum Deaktivieren der Windows-Firewall wurde angewendet. Darüber hinaus gibt es ein Informationsfeld, das besagt, dass die Einstellungen vom Systemadministrator verwaltet werden.

Hinweis: Das automatische Aktualisierungsintervall für Gruppenrichtlinien beträgt alle 90 Minuten für normale Benutzer und Computer. Darüber hinaus wird die Gruppenrichtlinie auch aktualisiert, wenn der Computer gestartet wird oder sich ein Benutzer anmeldet.

Verwenden der benutzerdefinierten Skripterweiterung zum Deaktivieren der Windows-Firewall auf virtuellen Azure-Maschinen

Wenn Sie über eine Azure-VM verfügen, auf die Sie plötzlich nicht mehr zugreifen können, weil die Windows-Firewall den Datenverkehr einschließlich RDP blockiert. Vielleicht haben Sie Änderungen an der Windows-Firewall vorgenommen und sich versehentlich ausgesperrt!

Wenn Sie alle zuvor in diesem Artikel beschriebenen Methoden ausprobiert haben und immer noch kein Glück haben, gibt es immer noch Hoffnung. Sie können die Windows-Firewall im Gastbetriebssystem einer Azure-VM deaktivieren, indem Sie die benutzerdefinierte Azure-Skripterweiterung verwenden. Die benutzerdefinierte Azure-Skripterweiterung führt ein in Azure Storage oder GitHub gehostetes Skript für das Gastbetriebssystem Ihrer Azure-VM aus.

Die High-Level-Schritte beinhalten:

• Erstellen Sie ein PowerShell-Skript (*.PS1) mit Befehlen zum Deaktivieren der Windows-Firewall.
• Installieren Sie die benutzerdefinierte Skripterweiterung mithilfe des Azure-Portals auf Ihrer Azure-VM.
  • Laden Sie das PowerShell-Skript in Azure Storage hoch.
  • Das Skript wird nur einmal automatisch auf dem Gastbetriebssystem der Azure-VM ausgeführt.

In diesem Beispiel heißt die Test-VM devmachine1, wobei sich die Windows-Firewall in einem aktivierten Zustand befindet.

Hinweis: Bevor Sie fortfahren, stellen Sie sicher, dass Sie die richtige Azure RBAC-Rolle in Ihrem Konto haben.

Erstellen des Skripts Disable-Windows-Firewall.ps1

In den vorherigen Abschnitten haben Sie erfahren, welche Befehle zum Deaktivieren der Windows-Firewall verfügbar sind. In diesem Beispiel wird das Dienstprogramm netsh verwendet.

Erstellen Sie mit dem Code- oder Texteditor Ihrer Wahl eine neue Datei mit dem Namen Disable-Windows-Firewall.ps1. Bearbeiten Sie das Skript und fügen Sie diese Codezeile hinzu: netsh advfirewall set allprofiles state off. Speichern Sie das Skript, wenn Sie fertig sind. Im Folgenden erfahren Sie, wie Sie dies schnell in PowerShell tun können.

'netsh advfirewall set allprofiles state off' | Out-File .\Disable-Windows-Firewall.ps1

Installieren der benutzerdefinierten Skripterweiterung und Hochladen des PowerShell-Skripts

Nachdem Ihr Skript fertig ist, müssen Sie im nächsten Schritt die benutzerdefinierte Skripterweiterung installieren und das Skript an einen Azure-Speicherort hochladen. Sobald die Erweiterung installiert ist, wird das Skript automatisch für die Azure-VM ausgeführt.

• Melden Sie sich zunächst beim Azure-Portal an, suchen Sie die Azure VM-Ressource und öffnen Sie sie. In diesem Beispiel lautet der Azure-VM-Name devmachine1. Gehen Sie dann zum Extensions Blade und klicken Sie auf die Schaltfläche Hinzufügen.
• Suchen und klicken Sie auf der Seite Neue Ressource auf Benutzerdefinierte Skripterweiterung. Klicken Sie dann auf Erstellen. Klicken Sie auf der Seite Erweiterung installieren auf die Schaltfläche Durchsuchen neben dem Feld Skriptdatei (erforderlich).
• Wählen Sie das Speicherkonto aus der Liste aus. In diesem Beispiel lautet der Name des Speicherkontos storagexyz01. Klicken Sie auf den Container, in den die Skriptdatei hochgeladen werden soll. In diesem Beispiel lautet der Containername cont1.

Hinweis: Wenn Sie noch kein Azure-Speicherkonto oder -Container haben und eines erstellen müssen, erfahren Sie unter Erstellen eines Azure-Speicherkontos, wie.

• Klicken Sie nach Auswahl des Containers auf Hochladen und suchen Sie nach der Datei disable-windows-firewall.ps1, die Sie auf Ihrem Computer erstellt haben. Sobald Sie die Datei ausgewählt haben, klicken Sie auf die Schaltfläche Hochladen.
• Sie sollten sehen, dass die Datei disable-windows-firewall.ps1 jetzt im Container verfügbar ist. Klicken Sie auf disable-windows-firewall.ps1 aus der Liste und klicken Sie auf Auswählen. Sie werden zurück zur Seite Erweiterung installieren gebracht, und Sie müssen auf OK klicken, um endlich mit der Installation der Erweiterung zu beginnen.

Zu diesem Zeitpunkt müssen Sie nur noch warten, bis die Erweiterung bereitgestellt ist, wodurch auch das von Ihnen hochgeladene Skript automatisch ausgeführt wird. Sehen Sie sich die Demonstration unten an, um den gesamten Prozess in Aktion zu sehen.

Zusammenfassung

In diesem Artikel erfahren Sie, wie Sie die Windows-Firewall mithilfe der integrierten, verfügbaren GUI-Tools in Windows deaktivieren. Sie haben auch gelernt, wie Sie Befehle mit netsh und PowerShell verwenden, um die Windows-Firewall lokal oder remote zu deaktivieren.

Außerdem haben Sie gelernt, wie Sie ein Gruppenrichtlinienobjekt erstellen und bereitstellen, das die Windows-Firewall für Domänencomputer deaktiviert. Zuletzt haben Sie gelernt, wie Sie die benutzerdefinierte Azure-Skripterweiterung verwenden, um die Windows-Firewall im Gastbetriebssystem der Azure-VM zu deaktivieren.

Es gibt sicherlich viele verschiedene Möglichkeiten, die Windows-Firewall zu deaktivieren. Einige dieser Methoden wurden in diesem Artikel behandelt. Es gibt jedoch noch andere Methoden, die Sie selbst untersuchen können, z. B. die Verwendung von PsExec zum Remote-Deaktivieren.

Weiterführende Literatur

• Generieren eines Azure SAS-Tokens für den Zugriff auf Speicherkonten
• Verwalten von Dateien zwischen lokalem und Azure-Speicher mit AzCopy
• Verwenden der benutzerdefinierten Azure-Skripterweiterung Windows