Deaktivieren der Windows-Firewall: Ein umfassender Leitfaden

„Warum würden Sie die Windows-Firewall deaktivieren oder ausschalten?“

Es gibt viele Gründe, warum man die Firewall in Windows deaktivieren würde. Natürlich ist nicht jeder Grund vernünftig, aber es gibt legitime Gründe.

In diesem Artikel erfahren Sie, wie Sie die Windows-Firewall auf verschiedene Arten deaktivieren können. Egal, ob Sie eine Einzelplatzumgebung, ein Heimnetzwerk oder eine Unternehmensumgebung haben, dieser Artikel ist für Sie.

Sie lernen, wie Sie die Software-Firewall in Windows auf nahezu jede erdenkliche Weise ausschalten können!

• Verwenden der Windows-Firewall-Verwaltungskonsole
• Die Befehlszeile (cmd.exe)
• PowerShell
• Gruppenrichtlinie
• Sogar die Azure Custom Script-Erweiterung, wenn Sie virtuelle Azure-Maschinen verwenden

Legen wir los!

Voraussetzungen

Da es sich bei diesem Artikel um eine Anleitung handelt, müssen Sie einige Voraussetzungen erfüllen, um den Anweisungen folgen zu können. Einige Beispiele beziehen sich auf eine Domänen- und eine Nicht-Domänen-Umgebung.

Für eine Nicht-Domänen-Umgebung

• Ein oder mehrere Computer, die unter Windows 10 ausgeführt werden. Sie können die Beispiele hier auch nur auf einem Computer durchführen, aber einige Anweisungen beziehen sich auf Remoting.
• Und Sie müssen Administratorberechtigungen auf diesen Windows 10-Computern haben.

Für eine Domänen-Umgebung

• A Windows 2019 server that is also a domain controller. A Windows 2016 server should also work.
• Ein oder mehrere Windows 10-Computer im selben Netzwerk und in der Domäne registriert.

Verwendung der grafischen Benutzeroberfläche

Der wahrscheinlich schnellste Weg, die Firewall zu deaktivieren, besteht darin, die im Lieferumfang von Windows enthaltenen GUI-Tools zu verwenden. Die Verwendung der GUI ist wahrscheinlich der einfachste Weg, um die Windows-Firewall für Heimanwender auszuschalten.

Verwendung der Windows Security-App

Das erste GUI-Tool zur Verwaltung ist die Windows Security-App. Die Windows Security-App ist auf Windows 10, Version 1703 und höher verfügbar.

1. Starten Sie die Windows Security-App, indem Sie auf die Start-Schaltfläche klicken und Windows Security eingeben. Das Suchergebnis zeigt die Windows Security-App an, klicken Sie auf Öffnen.

2. Sie sehen verschiedene Menüpunkte in der Startseite der Windows Security-App. Suchen Sie nach Firewall & Netzwerkschutz und klicken Sie darauf, um es zu öffnen.

3. Auf der Seite Firewall & Netzwerkschutz sehen Sie die verschiedenen Netzwerkprofile. Diese Netzwerkprofile sind Domänennetzwerk, Privates Netzwerk und Öffentliches Netzwerk. Sie können die Firewall für jeden dieser Netzwerkverbindungsorte einzeln deaktivieren. In diesem Beispiel müssen Sie das Profil Privates Netzwerk auswählen.

4. In diesem Beispiel ist das Profil Privates Netzwerk ausgewählt. Sobald Sie sich in den Einstellungen des Privaten Netzwerks befinden, klicken Sie auf den Schalter, um die Windows Defender Firewall auszuschalten.

Wiederholen Sie die gleichen Schritte auch für die anderen Netzwerkprofile, falls gewünscht.

Deaktivieren der Windows-Firewall mithilfe der Windows Defender Firewall-Systemsteuerung

Ein weiteres GUI-Tool ist die Windows Defender Firewall-Systemsteuerung. Im Gegensatz zur Windows Security-App, die die moderne Benutzeroberfläche einer Windows 10-App hat, hat die Windows Defender Firewall-Systemsteuerung das gleiche Aussehen wie klassische Systemsteuerungselemente.

Nachfolgend sind mehrere Möglichkeiten aufgeführt, wie Sie die Windows Defender Firewall-Systemsteuerung

Methode 1: Gehen Sie zu Systemsteuerung -> System und Sicherheit -> Windows Defender Firewall.

Methode 2: Öffnen Sie das Startmenü und geben Sie Windows Defender Firewall ein. Klicken Sie auf den Link Windows Defender Firewall.

Methode 3: Öffnen Sie das Ausführen-Fenster und geben Sie den Befehl control firewall.cpl ein und klicken Sie auf OK.

In der Windows Defender Firewall-Systemsteuerung sehen Sie eine vertraute Liste von Netzwerkprofilen: Domänennetzwerke, Private Netzwerke, und Gast- oder öffentliche Netzwerke. Klicken Sie auf der linken Seite auf den Link Windows Defender ein- oder ausschalten.

Auf der Seite „Einstellungen anpassen“ haben Sie die Möglichkeit, die Windows-Firewall für jedes Netzwerkprofil zu deaktivieren. Im folgenden Beispiel ist die Windows-Firewall für alle Netzwerkprofile deaktiviert.

Verwendung der Befehlszeile

Wie Sie möglicherweise bereits wissen, haben die meisten, wenn nicht alle, GUI-Operationen in Windows eine Befehlszeilenentsprechung. Die Verwendung der Befehlszeile ist manchmal schneller, als zu verschiedenen Orten in den Fenstern zu gehen, wenn man die GUI-Optionen verwendet.

Zusätzlich ermöglichen die Befehlszeilenoptionen Benutzern das Skripten oder Automatisieren der Aufgabe.

Deaktivieren der Windows Firewall mit dem NETSH-Befehl

Ein altes, aber nützliches Dienstprogramm namens netsh steht zur Verfügung, um Netzwerkkonfigurationen auf einem Computer zu verwalten, oder in diesem Fall, um die Windows Firewall zu deaktivieren.

Mit netsh advfirewall set können Sie die Windows Firewall einzeln für jeden Standort oder alle Netzwerkprofile deaktivieren.

• netsh advfirewall set currentprofile state off – dieser Befehl deaktiviert die Firewall für das aktuelle Netzwerkprofil, das aktiv oder verbunden ist. Nehmen wir zum Beispiel an, das aktuell aktive Netzwerkprofil ist das Domänennetzwerk. In diesem Fall deaktiviert dieser Befehl die Firewall für dieses Netzwerkprofil.
• netsh advfirewall set domainprofile state off – deaktiviert nur das Profil für das Domänennetzwerk.
• netsh advfirewall set privateprofile state off – deaktiviert nur das Profil für das Private Netzwerk.
• netsh advfirewall set publicprofile state off – dieser Befehl deaktiviert nur das Profil für das Öffentliche Netzwerk.
• netsh advfirewall set allprofiles state off – dieser Befehl deaktiviert alle Netzwerkprofile auf einmal.

Die folgende Demonstration zeigt jeden der oben genannten Befehle in Aktion.

Erfahren Sie mehr über Netsh-Befehlssyntax, Kontexte und Formatierung

Verwendung des PowerShell-Cmdlets Set-NetFirewallProfile

Das PowerShell-Modul NetSecurity ist in Windows 10 sowie in Windows Server 2012 und höher integriert. Dieses NetSecurity PowerShell-Modul enthält Cmdlets zur Konfiguration von Netzwerken und Netzwerksicherheit. Eines dieser Cmdlets ist Set-NetFirewallProfile, mit dem die Windows-Firewall deaktiviert werden kann.

Die Syntax von Set-NetFirewallProfile ist wie folgt:

# Windows-Firewall für jeden angegebenen Netzwerkprofil deaktivieren
Set-NetFirewallProfile -Profile <PROFILE NAME> -Enabled False

# Windows-Firewall für ALLE Netzwerkprofile deaktivieren
Set-NetFirewallProfile -All -Enabled False

Der folgende Befehl deaktiviert die Firewall für die Netzwerkprofile Öffentlich, Privat und Domäne.

Set-NetFirewallProfile -Profile Domain,Private,Public -Enabled False

Die folgende Demonstration zeigt, wie Set-NetFirewallProfile verwendet wird, um die Windows-Firewall mit dem obigen Befehl zu deaktivieren.

Ohne die Angabe von Profilnamen zeigt das folgende Beispiel, wie die Windows-Firewall für alle Netzwerkprofile deaktiviert werden kann, indem der Parameter -All verwendet wird.

Remotes Deaktivieren der Windows-Firewall mit PowerShell

Wenn Sie die Firewall auf vielen Computern deaktivieren müssen, wäre es ineffizient, sich manuell an jedem Computer anzumelden und die Befehle auszuführen. Insbesondere in einer Netzwerkumgebung können Sie dies mit PowerShell remote deaktivieren.

Hinweis: Dieses Verfahren setzt voraus, dass WinRM bereits auf dem Zielcomputer aktiviert ist. In den meisten Fällen ist WinRM bereits für domänenverbundene Computer für Fernverwaltungszwecke eingerichtet.

Erfahren Sie mehr: Wie man die Windows-Remote-Shell aktiviert

Wenn Sie beabsichtigen, die Windows-Firewall nacheinander auf einem Remote-Computer zu deaktivieren, können Sie das Cmdlet Enter-PsSession verwenden, um die Befehle an den Remote-Computer zu senden.

Im folgenden Beispiel wird der Befehl vom Server mit dem Namen dc ausgegeben und der Name des Remote-Computers ist desktop1. Der zu verwendende Befehl wird unten angezeigt.

Enter-PsSession -ComputerName desktop1
Set-NetFirewallProfile -All -Enabled False

Wenn Sie den obenstehenden Code in PowerShell ausführen, erhalten Sie eine ähnliche Ausgabe wie in der folgenden Demo.

Der obige Vorgang ist nur sinnvoll, wenn Sie an einigen wenigen Remote-Computern arbeiten. Wenn Sie jedoch eine große Anzahl von Computern haben, bei denen Sie dies deaktivieren müssen, benötigen Sie einen Ansatz, der besser für Skripting geeignet ist. Dafür können Sie das Cmdlet Invoke-Command verwenden.

$computers = @('desktop1')
$computers | ForEach-Object {
	Invoke-Command -ComputerName $_ {
		Set-NetFirewallProfile -All -Enabled False
	}
}

Wie Sie aus dem obigen Code sehen können, werden die Namen der Remote-Computer in der Variable $computers als Array gespeichert. Dann durchläuft PowerShell jeden der Remote-Computer, um das Cmdlet Invoke-Command auszuführen und den Befehl Set-NetFirewallProfile -All -Enabled False auszuführen. Sehen Sie sich die folgende Demo für das erwartete Ergebnis an.

Die Verwendung von Gruppenrichtlinien

Durch Bereitstellung einer Gruppenrichtlinie (GPO) können Systemadministratoren die Windows-Firewall für ausgewählte oder alle Computer in der Domäne deaktivieren. Sobald die GPO bereitgestellt ist, erfolgt die Deaktivierung der Windows-Firewall automatisch, da die Konfiguration über die Richtlinie auf alle Computer angewendet wird, die betroffen sind.

Erstellung der GPO

Um eine GPO zu erstellen, müssen Sie die Gruppenrichtlinienverwaltung auf dem Server starten. Geben Sie dazu den Befehl gpmc.msc im Ausführen-Dialog ein.

In der Gruppenrichtlinienverwaltung klicken Sie auf den Domänenbereich, in dem Sie die GPO erstellen möchten. Im folgenden Bild wird die GPO in der Domäne xyz.int erstellt. Klicken Sie mit der rechten Maustaste auf die Domäne und wählen Sie Eine GPO in dieser Domäne erstellen und hier verknüpfen…

Es wird ein Dialogfeld Neue GPO angezeigt. Geben Sie Windows-Firewall deaktivieren in das Feld Name ein und klicken Sie dann auf OK.

Klicken Sie nun mit der rechten Maustaste auf die neue GPO und wählen Sie Bearbeiten. Die GPO wird im Gruppenrichtlinienverwaltungs-Editor geöffnet. Klicken Sie anschließend auf die Ordner Computerkonfiguration —> Richtlinien —> Administrative Vorlagen —> Netzwerk —> Netzwerkverbindungen —> Windows Defender —> Firewall —> Domänenprofil

In der Einstellungsliste im rechten Fenster doppelklicken Sie auf Windows Defender Firewall: Alle Netzwerkverbindungen schützen, um die Eigenschaften zu öffnen.

Ändern Sie den Wert, indem Sie Deaktiviert auswählen, und klicken Sie dann auf OK.

Wiederholen Sie die gleiche Option für die Einstellungen des Standardprofils. Anschließend können Sie das Fenster des Group Policy Management Editors schließen.

Bereitstellen der GPO auf allen Domänencomputern

Jetzt, da Sie die GPO erstellt haben, müssen Sie die GPO auf den Domänencomputern bereitstellen.

Um die GPO anzuwenden, wählen Sie in der Group Policy Management die GPO „Windows-Firewall deaktivieren“ aus. Klicken Sie dann im Bereich-Tab auf die Schaltfläche „Hinzufügen“ unter dem Abschnitt „Sicherheitsfilterung“.

In dem Dialogfeld „Benutzer, Computer oder Gruppe auswählen“ suchen Sie nach „Domänencomputer“ und klicken Sie auf „OK“. Dadurch wird sichergestellt, dass die GPO auf alle Computer angewendet wird, die Mitglieder der Gruppe „Domänencomputer“ sind.

Und das ist es! Das nächste Mal, wenn die Client-Computer das Richtlinienupdate erhalten, wird die Firewall auf diesen Computern deaktiviert sein.

Jetzt, da die GPO erstellt und bereitgestellt wurde, können Sie testen, ob die GPO funktioniert, indem Sie ein Richtlinienupdate erzwingen. Führen Sie das gpupdate /force auf dem Client-Computer aus, um das Richtlinienupdate zu testen.

Wie Sie oben sehen können, wurde die Richtlinie sofort auf dem Client-Computer angewendet. Die Konfiguration zur Deaktivierung der Windows-Firewall wurde angewendet. Außerdem gibt es eine Infobox, die besagt, dass die Einstellungen vom Systemadministrator verwaltet werden.

Hinweis: Das automatische Aktualisierungsintervall für Gruppenrichtlinien beträgt alle 90 Minuten für normale Benutzer und Computer. Darüber hinaus werden Gruppenrichtlinien auch aktualisiert, wenn der Computer gestartet wird oder sich ein Benutzer anmeldet.

Verwendung der benutzerdefinierten Skripterweiterung zum Deaktivieren der Windows-Firewall auf Azure Virtual Machines

Wenn Sie eine Azure-VM haben, auf die Sie plötzlich keinen Zugriff mehr haben, weil die Windows-Firewall den Datenverkehr blockiert, einschließlich RDP. Vielleicht haben Sie Änderungen an der Windows-Firewall vorgenommen und sich versehentlich ausgesperrt!

Wenn Sie alle zuvor in diesem Artikel besprochenen Möglichkeiten ausprobiert haben und immer noch kein Glück haben, gibt es noch Hoffnung. Sie können die Windows-Firewall im Gastbetriebssystem einer Azure-VM deaktivieren, indem Sie die Azure Custom Script Extension verwenden. Die Azure Custom Script Extension funktioniert, indem ein Skript in Azure Storage oder GitHub gegen das Gastbetriebssystem Ihrer Azure-VM ausgeführt wird.

Die Schritte auf hoher Ebene umfassen:

• Erstellen Sie ein PowerShell-Skript (*.PS1) mit Befehlen zum Deaktivieren der Windows-Firewall.
• Installieren Sie die benutzerdefinierte Skripterweiterung auf Ihrer Azure-VM mithilfe des Azure-Portals.
  • Laden Sie das PowerShell-Skript in Azure Storage hoch.
  • Das Skript wird automatisch im Gastbetriebssystem der Azure-VM einmalig ausgeführt.

In diesem Beispiel ist die Test-VM mit dem Namen devmachine1 und der Windows-Firewall im Zustand aktiviert.

Hinweis: Stellen Sie sicher, dass Sie über die entsprechende Azure RBAC-Rolle in Ihrem Konto verfügen, bevor Sie fortfahren.

Erstellen des Skripts Disable-Windows-Firewall.ps1

In den vorherigen Abschnitten haben Sie gelernt, welche Befehle verfügbar sind, um die Windows-Firewall zu deaktivieren. In diesem Beispiel wird das Dienstprogramm netsh verwendet.

Erstellen Sie mit dem Code- oder Texteditor Ihrer Wahl eine neue Datei mit dem Namen Disable-Windows-Firewall.ps1. Bearbeiten Sie das Skript und fügen Sie diese Codezeile hinzu: netsh advfirewall set allprofiles state off. Speichern Sie das Skript, wenn Sie fertig sind. Unten sehen Sie, wie Sie dies schnell in PowerShell erledigen können.

'netsh advfirewall set allprofiles state off' | Out-File .\\Disable-Windows-Firewall.ps1

Installieren der benutzerdefinierten Skripterweiterung und Hochladen des PowerShell-Skripts

Jetzt, da Ihr Skript bereit ist, ist der nächste Schritt die Installation der benutzerdefinierten Skripterweiterung und das Hochladen des Skripts an einen Azure Storage-Speicherort. Sobald die Erweiterung installiert ist, wird das Skript automatisch auf der Azure-VM ausgeführt.

• Melden Sie sich zunächst im Azure-Portal an und suchen Sie die Azure-VM-Ressource. Öffnen Sie diese. In diesem Beispiel lautet der Name der Azure-VM devmachine1. Gehen Sie dann zum Erweiterungen-Blade und klicken Sie auf die Schaltfläche Hinzufügen.
• Auf der Seite Neue Ressource suchen und auf Benutzerdefinierte Skript-Erweiterung klicken. Dann auf Erstellen klicken. Auf der Seite Erweiterung installieren auf die Schaltfläche Durchsuchen neben dem Feld Skriptdatei (erforderlich) klicken.
• Die Speicherkonto aus der Liste auswählen. In diesem Beispiel ist der Name des Speicherkontos storagexyz01. Danach wird eine Liste der Container angezeigt; auf den Container klicken, in dem die Skriptdatei hochgeladen werden soll. In diesem Beispiel ist der Name des Containers cont1.

Hinweis: Wenn Sie noch kein Azure-Speicherkonto oder -Container haben und einen erstellen möchten, besuchen Sie Erstellen eines Azure-Speicherkontos, um mehr zu erfahren.

• Nachdem der Container ausgewählt wurde, auf Hochladen klicken und nach der disable-windows-firewall.ps1-Datei suchen, die Sie auf Ihrem Computer erstellt haben. Sobald Sie die Datei ausgewählt haben, auf die Schaltfläche Hochladen klicken.
• Sie sollten sehen, dass die Datei disable-windows-firewall.ps1 jetzt im Container verfügbar ist. Auf disable-windows-firewall.ps1 in der Liste klicken und auf Auswählen klicken. Sie werden zur Seite Erweiterung installieren zurückgebracht und müssen auf OK klicken, um die Installation der Erweiterung endgültig zu starten.

An diesem Punkt müssen Sie nur noch auf die Bereitstellung der Erweiterung warten, die auch automatisch das von Ihnen hochgeladene Skript ausführt. Sehen Sie sich die folgende Demonstration an, um den gesamten Vorgang in Aktion zu sehen.

Zusammenfassung

In diesem Artikel haben Sie gelernt, wie Sie die Windows-Firewall mithilfe der integrierten, verfügbaren GUI-Tools in Windows deaktivieren können. Sie haben auch gelernt, wie Sie Befehle mit netsh und PowerShell verwenden, um die Windows-Firewall lokal oder remote zu deaktivieren.

Darüber hinaus haben Sie gelernt, wie Sie ein Gruppenrichtlinienobjekt erstellen und bereitstellen können, um die Windows-Firewall für Domänencomputer zu deaktivieren. Schließlich haben Sie gelernt, wie Sie die Azure Custom Script Extension verwenden können, um die Windows-Firewall im Gastbetriebssystem von Azure-VMs zu deaktivieren.

Es gibt sicherlich viele verschiedene Möglichkeiten, die Windows-Firewall zu deaktivieren. Einige dieser Methoden wurden in diesem Artikel behandelt. Es gibt jedoch noch andere Methoden, die Sie selbst erkunden könnten, wie z.B. die Verwendung von PsExec, um sie remote zu deaktivieren.

Weiterführende Informationen

• Wie man ein Azure SAS-Token generiert, um auf Speicherkonten zuzugreifen
• Wie man Dateien zwischen lokalem und Azure-Speicher mit AZCopy verwalten kann
• Verwendung der Azure Custom Script Extension Windows