- Overzicht
- Variabelen
- Stap 1: Profielen begrijpen en toepassen
- Stap 2: Standaardbeleid instellen
- Stap 3: Regels beheren
- Stap 4: Logboekregistratie en auditing
- Stap 5: Centrale sturing met GPO
- Stap 6: Periodieke controle en troubleshooting
- Samenvatting
Overzicht
Dit artikel behandelt de configuratie van Windows Defender Firewall (voorheen Windows Firewall) op Windows Server. We behandelen het ontwerp van de profielen (Domein, Privé, Openbaar), het optimaliseren van inkomende en uitgaande beleidsregels, logverzameling en -analyse, en centrale sturing via GPO en scripts.
Variabelen
| Variabele | Voorbeeld | Toelichting |
|---|---|---|
<<SERVER_NAME>> |
SRV-CORE01 |
Doelhostnaam |
<<LOG_PATH>> |
C:\FirewallLogs\pfirewall.log |
Pad voor firewalllogboeken |
<<OU_NAME>> |
Servers |
OU-naam |
Stap 1: Profielen begrijpen en toepassen
Windows Defender Firewall gebruikt drie profielen:
| Profiel | Doel | Typische omgeving |
|---|---|---|
| Domein | Netwerken die lid zijn van Active Directory | LAN, VPN |
| Privé | Vertrouwd, losstaand netwerk | Test/afgesloten netwerken |
| Openbaar | Niet-vertrouwd netwerk | Publieke wifi, lab/VM |
Huidige status controleren:
Get-NetFirewallProfile | Select-Object Name, Enabled, DefaultInboundAction, DefaultOutboundAction
Stap 2: Standaardbeleid instellen
Standaard: inkomend blokkeren, uitgaand toestaan. Pas dit expliciet toe of verscherp waar nodig.
Set-NetFirewallProfile -Profile Domain,Private,Public `
-DefaultInboundAction Block `
-DefaultOutboundAction Allow `
-NotifyOnListen True
Opmerking: In strengere omgevingen kies
-DefaultOutboundAction Blocken sta alleen noodzakelijke uitgaande stromen expliciet toe (bijv. DNS, NTP, WSUS).
Stap 3: Regels beheren
Lijsten en filteren
# Alle regels
Get-NetFirewallRule
# Zoekregels op naam
Get-NetFirewallRule | Where-Object DisplayName -Like "*RDP*"
# Alleen ingeschakelde regels
Get-NetFirewallRule | Where-Object Enabled -eq "True"
Nieuwe regels aanmaken
# Inkomend RDP (TCP/3389) toestaan voor Domeinprofiel
New-NetFirewallRule -DisplayName "Allow RDP (Domain)" `
-Direction Inbound -Protocol TCP -LocalPort 3389 `
-Action Allow -Profile Domain
# Uitgaand NTP (UDP/123) toestaan
New-NetFirewallRule -DisplayName "Allow NTP Outbound" `
-Direction Outbound -Protocol UDP -LocalPort 123 `
-Action Allow -Profile Domain,Private,Public
Parameteroverzicht en waarden
| Item | Parameter | Voorbeeld | Geldige waarden / notatie |
|---|---|---|---|
| Richting | -Direction |
Inbound / Outbound |
Inbound, Outbound |
| Actie | -Action |
Allow / Block |
Allow, Block |
| Protocol | -Protocol |
TCP / UDP / ICMPv4 / ICMPv6 / Any |
Bovenstaande; ICMP kan met -IcmpType worden verfijnd |
| Lokale poort | -LocalPort |
80 / 1024-2048 / 80,443,8080 |
Één poort, bereik, of CSV-lijst |
| Externe poort | -RemotePort |
53 / 1000-2000 / 53,67,68 |
Één poort, bereik, of CSV-lijst |
| Extern adres | -RemoteAddress |
192.168.1.1, 192.168.0.0/24, Any |
IP, CIDR, bereik, CSV, Any |
| Lokaal adres | -LocalAddress |
10.0.0.1, 10.0.0.0/16, Any |
IP, CIDR, bereik, CSV, Any |
| Programma | -Program |
C:\Program Files\App\App.exe |
Volledig pad naar exe |
| Service | -Service |
W32Time |
Servicenaam |
| Profiel | -Profile |
Domain,Private |
Combinatie van Domain, Private, Public |
| Interfacetype | -InterfaceType |
Ethernet / Wireless / RemoteAccess |
Ondersteunde interfacetypes |
Voorbeeld: HTTP alleen van vertrouwd IP toestaan
New-NetFirewallRule -DisplayName "Allow HTTP from Trusted IP" `
-Direction Inbound -Protocol TCP -LocalPort 80 `
-RemoteAddress 192.168.1.100 `
-Action Allow -Profile Domain,Private
Voorbeeld: Programma-gebaseerde uitgaand-regel
New-NetFirewallRule -DisplayName "Allow Outbound for App.exe" `
-Direction Outbound -Program "C:\Program Files\App\App.exe" `
-Action Allow -Profile Domain,Private,Public
Voorbeeld: Service-gebaseerde inkomend-regel
New-NetFirewallRule -DisplayName "Allow W32Time Inbound" `
-Direction Inbound -Service "W32Time" `
-Action Allow -Profile Domain,Private
Voorbeeld: Uitgaand via wifi blokkeren
New-NetFirewallRule -DisplayName "Block Outbound on Wireless" `
-Direction Outbound -InterfaceType Wireless `
-Action Block -Profile Public
Regels wijzigen, (de)activeren en verwijderen
Disable-NetFirewallRule -DisplayName "Allow RDP (Domain)"
Enable-NetFirewallRule -DisplayName "Allow RDP (Domain)"
Set-NetFirewallRule -DisplayName "Allow RDP (Domain)" -Profile Domain,Private
Remove-NetFirewallRule -DisplayName "Allow RDP (Domain)"
Export/Import van beleid
netsh advfirewall export "C:\Backup\FirewallPolicy.wfw"
netsh advfirewall import "C:\Backup\FirewallPolicy.wfw"
Stap 4: Logboekregistratie en auditing
# Beide (Allow/Block) loggen, max. 32 MB
Set-NetFirewallProfile -Profile Domain,Private,Public `
-LogAllowed True -LogBlocked True `
-LogFileName "<<LOG_PATH>>" -LogMaxSizeKilobytes 32767
Log live volgen:
Get-Content "<<LOG_PATH>>" -Tail 20 -Wait
Let op:
LogAllowed=Truekan veel data genereren. Plan rotatie/archivering en overweeg beperken tot kritieke profielen (bijv. Openbaar). Max. loggrootte is 32767 KB.
Stap 5: Centrale sturing met GPO
GPO aanmaken en firewallinstellingen via registry-policy zetten
$gpo = New-GPO -Name "Firewall-Policy-Domain"
Set-GPRegistryValue -Name $gpo.DisplayName `
-Key "HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile" `
-ValueName "EnableLogging" -Type DWord -Value 1
Set-GPRegistryValue -Name $gpo.DisplayName `
-Key "HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\Logging" `
-ValueName "LogFilePath" -Type String -Value "%systemroot%\system32\logfiles\firewall\pfirewall.log"
Set-GPRegistryValue -Name $gpo.DisplayName `
-Key "HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\Logging" `
-ValueName "LogFileSize" -Type DWord -Value 32767
GPO koppelen aan OU
Import-Module ActiveDirectory
$gpo = Get-GPO -Name "Firewall-Policy-Domain"
$ou = Get-ADOrganizationalUnit -LDAPFilter '(name=<<OU_NAME>>)' `
-SearchBase (Get-ADDomain).DistinguishedName -SearchScope Subtree |
Select-Object -First 1
New-GPLink -Name $gpo.DisplayName -Target $ou.DistinguishedName -LinkEnabled Yes -Enforced No
Vereisten: RSAT-modules ActiveDirectory en GroupPolicy op het beheersysteem.
Stap 6: Periodieke controle en troubleshooting
# Overzicht effectief ingeschakelde regels
Get-NetFirewallRule | Where-Object {$_.Enabled -eq "True"} |
Select-Object DisplayName, Direction, Action, Profile
# Bereikbaarheid/poorttest
Test-NetConnection -ComputerName <<SERVER_NAME>> -Port 3389
Samenvatting
Windows Defender Firewall levert robuuste netwerkverdediging op Windows Server. Door inkomend en uitgaand verkeer expliciet te sturen, logboeken te analyseren en beleid centraal (GPO) en geautomatiseerd (PowerShell) te beheren, verkrijgt u zowel zichtbaarheid als naleefbare, zero-trust-geschikte hardening.
