Windows-Firewall mit erweiterter Sichtbarkeit Minimal Firewall bringt feingranulare Kontrolle in den Bordmittel-Schutz

Anbieter zum Thema

Rittal GmbH & Co. KG

VON ZUR MÜHLEN'SCHE GmbH

Kentix GmbH

„Minimal Firewall“ ergänzt die Windows-Firewall um eine durchgängige Block-by-Default-Logik für ausgehende Verbindungen, ein Audit für Regeländerungen Dritter sowie ein Live-Monitoring aktiver TCP-Sockets. Die Anwendung steht unter AGPL-3.0 und arbeitet ohne eigenen Kernel-Treiber.

Das Firewall-Tool von deminimis setzt direkt auf der „Windows Defender“ Firewall auf und nutzt die offizielle COM-Bibliothek „NetFwTypeLib“ für sämtliche Regeloperationen. Eine zusätzliche Filter-Engine im Stil WFP-basierter Drittprogramme kommt nicht zum Einsatz.

Damit lassen sich Konflikte zwischen konkurrierenden Regelwerken vermeiden. Die Anwendung läuft als einzelne, ausführbare Datei, hinterlässt keine Hintergrunddienste und speichert ihre Konfiguration in %LocalAppData%.

Lockdown-Modus blockiert ausgehende Verbindungen ohne Allow-Regel

Im aktivierten Lockdown-Modus konfiguriert Minimal Firewall die ausgehende Default-Aktion auf "Block". Jeder Verbindungsversuch einer Anwendung ohne explizite Allow-Regel scheitert, bis der Administrator den Zugriff freigibt. Die Reaktion erfolgt über Pop-up-Alerts oder über stille Hinweise im Dashboard.

Programmbasierte Regeln benötigen einen Klick. Über den „Advanced-Editor“ lassen sich Protokoll (TCP, UDP, ICMP), lokale und remote Ports, IP-Bereiche, Dienste sowie die Netzwerkprofile Domain, Private und Public kombinieren. Wildcard-Regeln decken Programme mit häufigen Pfadwechseln oder versionierten Verzeichnissen ab und erfassen alle .exe- und .dll-Dateien in einem Ordner samt Unterordnern.

Audit-Tab überwacht fremde Regeländerungen

Der Audit-Bereich registriert Anlegen, Ändern und Löschen von Firewall-Regeln durch andere Prozesse. Die Detektion läuft über einen ManagementEventWatcher, der die WMI-Klasse "MSFT_NetFirewallRule" beobachtet. Eine Farbcodierung markiert den Vertrauensstatus anhand der digitalen Signatur. Grün steht für vertrauenswürdig, gelb für Drittanbieter, rot für unsignierte oder unbekannte Quellen.

Im Quarantänemodus, derzeit als Beta gekennzeichnet, deaktiviert das Tool jede neu eingetragene Regel externer Anwendungen automatisch, bis sie geprüft und freigegeben wird. Batch-Operationen erlauben das gleichzeitige Annehmen, Deaktivieren oder Löschen mehrerer Einträge.

Live-TCP-Monitoring und Prozesszuordnung

Der Live-Connections-Tab zeigt aktive TCP-Verbindungen in Echtzeit. Die Datenerhebung erfolgt über die Funktion "GetExtendedTcpTable" aus der iphlpapi.dll und liefert pro Socket den zugehörigen Prozessnamen samt lokaler und entfernter Adresse.

Über das Kontextmenü lassen sich Prozesse beenden oder spezifische Block-Regeln für eine entfernte IP anlegen. Connection-Alerts beruhen auf der Auswertung der Windows-Event-ID 5157 aus dem Security-Log, einer nativen Quelle für blockierte Verbindungsversuche. Damit verzichtet die Anwendung auf einen eigenen Kernel-Treiber.

Technische Basis und Betrieb

Minimal Firewall ist in C# auf .NET 10 als Windows-Forms-Anwendung umgesetzt und greift über die INetFwPolicy2-Schnittstelle auf die Regelverwaltung zu. Eine Import- und Export-Funktion sichert Standard-, Advanced- und Wildcard-Regeln in einer JSON-Datei und ersetzt absolute Pfade durch Umgebungsvariablen, womit Profile portabel bleiben.

Die Anwendung muss nach dem Setup der Regeln nicht dauerhaft laufen. Die Lockdown-Konfiguration bleibt persistent in der Windows-Firewall hinterlegt, ohne dass im Hintergrund ein Dienst aktiv sein muss. Wildcard-Updates und der Quarantänemodus benötigen jedoch einen laufenden Prozess. Die aktuelle Version steht über das GitHub-Release und über winget unter dem Paketnamen "Deminimis.MinimalFirewall" bereit.

(ID:50841301)