Offene Ports einer Standard-Windows-Installation
Seit Windows XP wird Windows mit einer Firewall ausgeliefert, welche jedoch standardmäßig deaktiviert ist. Ab Service Pack 2 für Windows XP ist diese Firewall standardmäßig in den Windows Client-Varianten aktiviert.
In den Windows Server-Varianten ist die mitgelieferte Firewall erst ab Windows Server 2008 standardmäßig aktiviert.
Ab Windows Vista/Windows Server 2008 sind in der mitgelieferten Firewall standardmäßig einige Ports mit unbegrenzter Reichweite geöffnet. Folgende Tabelle listet kritische Ports, deren Reichweite, die dazugehörigen Anwendungen, Prozesse und Dienste auf.
Windows Vista/7/8/8.1
| Offener Port | Protokoll | OS | Reichweite | Profil | Prozess | Dienst |
|---|---|---|---|---|---|---|
| 135 | TCP | Windows Vista/7/8/8.1 | Internet | Domäne | %systemroot%\system32\svchost.exe | Remote Assistance (DCOM-In) |
| 443 | TCP | Windows Vista/7 | Internet | Domäne/Privat | System | Beliebig (IPHTTPS) |
| Beliebig | TCP | Windows Vista/7/8/8.1 | Internet | Domäne | %systemroot%\system32\raserver.exe | Beliebig |
| Beliebig | TCP | Windows Vista/7/8/8.1 | Internet | Domäne/Privat | %systemroot%\system32\msra.exe | Beliebig |
| Beliebig | TCP | Windows 8 | Internet | Domäne/Privat | Bing-App | Beliebig |
| Beliebig | TCP | Windows 8 | Internet | All | Foto-App | Beliebig |
| Beliebig | TCP | Windows 8/8.1 | Internet | All | Mail-, Kalender-, Kontakte- und Nachrichten-App | Beliebig |
| Beliebig | TCP | Windows 8 | Internet | Domäne/Privat | Reader-App | Beliebig |
| Beliebig | TCP | Windows 8.1 | Internet | Domäne/Privat | Windows Reading List-App | Beliebig |
| Beliebig | TCP | Windows 8.1 | Internet | All | Skype-App | Beliebig |
| Beliebig | TCP | Windows 8/8.1 | Internet | Domäne/Privat | Store-App | Beliebig |
| Verschiedene | TCP | Windows 8/8.1 | Internet | All | Diverse Ports für Play-To-Funktionalität | Verschiedene |
| Beliebig | TCP | Windows 8/8.1 | Internet | All | %systemroot%\system32\proximityuxhost.exe | Beliebig |
| Beliebig | TCP | Windows 8.1 | Internet | All | VPN-Apps | Beliebig |
| Beliebig | TCP | Windows 8.1 | Internet | Öffentlich | Diverse Ports für WiFi-Direct-Funktionalität | Verschiedene |
| Beliebig | TCP | Windows 8.1 | Internet | Privat/Öffentlich | %systemroot%\system32\WUDFHost.exe | Beliebig |
Keine offenen Ports in der Windows Firewall bei einem Windows Vista/7-Client in einer Nicht-Domain-Umgebung
Die obige Tabelle zeigt, dass ein Windows Vista/7-Client-System in der Standardkonfiguration in einer Nicht-Domain-Umgebung keine kritischen offenen Ports aufweist. In einer Domain-Umgebung werden jedoch der Port 135 und zwei Prozesse der Remoteunterstützung (Remote-Assistance) weltweit geöffnet.
Der Zugriff auf den Port 135 wird zwar auf den Dienst Remote-Assistance eingeschränkt sollte jedoch weiter auf vertrauenswürdige IP-Adressen eingeschränkt werden. Dasselbe gilt auch für die weiteren geöffneten Ports der Remoteunterstützung.
Diverse offene Ports in der Windows Firewall bei einem Windows 8/8.1-Client nach einer Standardinstallation
Windows 8/8.1 hat durch viele standardmäßig aktivierte Funktionalitäten und einige mitgelieferte Windows Store Apps diverse TCP-Ports internetweit geöffnet.
Die Reichweite dieser Ports sollte möglichst auf vertrauenswürdige IP-Adressen begrenzt werden.
Windows Server 2008/2008 R2/2012/2012 R2
| Offener Port | Protokoll | OS | Reichweite | Profil | Prozess | Dienst |
|---|---|---|---|---|---|---|
| 135 | TCP | Windows Server 2008/ Windows Server 2008 R2 | Internet | Domäne/Privat/Öffentlich | %systemroot%\system32\svchost.exe | RPCSS |
| 445 | TCP | Windows Server 2008/ Windows Server 2008 R2 | Internet | Domäne/Privat/Öffentlich | System | Beliebig |
| Beliebig | TCP | Windows Server 2008/ Windows Server 2008 R2 | Internet | Domäne/Privat/Öffentlich | %systemroot%\system32\dfsfrsHost.exe | Beliebig |
| Beliebig | TCP | Windows Server 2008/ Windows Server 2008 R2 | Internet | Domäne/Privat/Öffentlich | %systemroot%\system32\svchost.exe | winmgmt |
| 5985 | TCP | Windows Server 2012/ Windows Server 2012 R2 | Internet | Öffentlich | System | Localsubnet |
Problematische geöffnete Ports in der Standard-Server-Konfiguration
Nach einer Windows Server 2008/2008 R2-Standardserverinstallation sind die Ports 135 und 445 weltweit geöffnet.
Der Zugriff auf diese Ports sollte unbedingt auf vertrauenswürdige IP-Adressen eingeschränkt werden.
Ab Windows Server 2012/2012 R2 ist dieses Problem behoben. Nach einer Windows Server 2012/2012 R2-Standardserverinstallation ist nur der TCP-Port 5985 (Windows Remote Management - WinRM) innerhalb des lokalen Subnetzes geöffnet.
Installation von Software öffnet zusätzliche Ports mit weltweiter Reichweite
Durch die Installation von mitgelieferter Software (Rollen/Features) oder die Installation von zusätzlicher Software werden oft Ports in der Windows-Firewall mit der Reichweite weltweit geöffnet.
Schließen von kritischen geöffneten Ports in der Windows Firewall
Mittels einer administrativen Kommandozeile lassen sich ab Windows Vista/Windows Server 2008 alle geöffneten Ports auf vertrauenswürdige IP-Adressen einschränken.
Ein Beispiel für die Einschränkung aller geöffneten Ports eines Windows-Systems auf das lokale Subnetz ist folgendes Kommando:
netsh advfirewall firewall set rule name="all" dir=in new remoteip=localsubnet
Der Parameter remoteip kann beliebige IP-Adressen und Subnetze enthalten, s . Netsh AdvFirewall Firewall Commands.
Bei Fragen oder Hinweisen zu diesem Dokument melden Sie sich bitte per E-Mail bei joerg.maletzky(at)uni-rostock.de.