Zugriff auf Dateifreigabe per IP in Windows 11 beschränken

Den Zugriff auf Dateifreigaben durch eine Whitelist vertrauenswürdiger IP-Adressen einzuschränken ist eine grundlegende Strategie, um Netzwerkabwehr gegen Ransomware, Malware und unbefugte Zugriffe in professionellen und Gaming-LAN-Umgebungen zu stärken.

Die Dateifreigabe über das SMB-Protokoll (Server Message Block) vereinfacht die Zusammenarbeit mit Daten in lokalen Netzwerken erheblich. Doch dieser Komfort öffnet eine kritische Sicherheitslücke. Jedes Gerät im selben Subnetz kann potenziell die freigegebenen Ordner einsehen, verändern oder verschlüsseln. Windows 11 aktiviert den Zugriff, sobald die Netzwerkerkennung eingeschaltet ist. Deshalb ist eine strikte Filterung auf Netzwerkebene unerlässlich. Eine Whitelist-Technik über die Windows Defender Firewall beschränkt den Zugriff auf Dateifreigaben ausschließlich auf vertrauenswürdige Adressen. Dieser Ansatz ersetzt die Abhängigkeit von leicht kompromittierbaren Kennwörtern durch schwer zu fälschende Netzwerkidentitäten.

Systemvoraussetzungen und Netzwerkvorbereitung

Stellen Sie vorab sicher, dass sich alle Computer in einem einzigen lokalen Subnetz befinden. Statische IP-Adressen werden sowohl für den Server als auch für die Clients dringend empfohlen. DHCP bietet zwar Komfort, kann aber die Verbindung unterbrechen, wenn die Lease-Zeit abläuft und Geräte neue Adressen erhalten. Sie benötigen außerdem Administratorrechte auf dem PC, der als Dateiserver fungiert. Überprüfen Sie, ob die Windows Defender Firewall aktiv und nicht durch Drittanbieter-Sicherheitssoftware überschrieben ist. Die Dienste Server und Workstation müssen ebenfalls ordnungsgemäß laufen, damit das SMB-Protokoll funktioniert. Diese Voraussetzugen schaffen eine verlässliche Grundlage.

Auch lesen: Internet-Zugriff von Apps in Windows-Firewall blockieren

Funktionsweise von SMB und Sicherheitsrisiken

Das SMB-Protokoll arbeitet auf der Anwendungsschicht und verwendet in der Regel den TCP-Port 445 für die direkte Kommunikation. Dieser Pfad wird häufig zu einem Vektor für Cyberangriffe. Der WannaCry-Wurm etwa verbreitete sich über Schwachstellen in SMBv1. Obwohl Windows 11 SMBv1 standardmäßig deaktiviert, bleibt die Dateifreigabe ohne IP-Filter gefährlich. Brute-Force-Angriffe oder die Verbreitung von Ransomware von einem bereits kompromittierten internen Gerät sind weiterhin praktikable Bedrohungen. Durch IP-Whitelisting bauen Sie einen Mikro-Sicherheitsperimeter auf. Nur Datenpakete von registrierten Adressen können den Dateidienst-Port erreichen. Diese Technik eignet sich hervorragend, um den Zugang zwischen Abteilungen oder Spielverzeichnissen während einer LAN-Party zu isolieren.

Schritt 1: Die Dateifreigabe aktivieren

Die grundlegende Einrichtung erfordert das Aktivieren des Freigabedienstes im Betriebssystem. Befolgen Sie diese Schritte, um die Basis zu errichten, bevor die Sicherheitsebene hinzukommt:

1. Öffnen Sie die Einstellungen mit der Tastenkombination (WIN + I).
2. Navigieren Sie zu Netzwerk & Internet und wählen Sie Erweiterte Netzwerkeinstellungen.
3. Klicken Sie unter Weitere Einstellungen auf Erweiterte Freigabeeinstellungen.
4. Aktivieren Sie im Bereich Privates Netzwerk die Schalter für Netzwerkerkennung und Datei- und Druckerfreigabe.

Deaktivieren Sie anschließend die kennwortgeschützte Freigabe, um die Tests zu vereinfachen. So stützt sich die Filterung rein auf die Netzwerkidentität ohne Eingriff von Anmeldeinformationen.

5. Scrollen Sie zum Abschnitt Alle Netzwerke und wählen Sie Kennwortgeschütztes Freigeben deaktivieren.
6. Klicken Sie auf Änderungen speichern, um die Einstellungen zu übernehmen.

Schritt 2: Einen bestimmten Ordner freigeben

Nach Dienstaktivierung wählen Sie das lokale Verzeichnis, das Sie verfügbar machen möchten. Dieser Schritt kombiniert NTFS-Dateisystemberechtigungen und Freigabeberechtigungen für umfassende Kompatibilität.

1. Öffnen Sie den Datei-Explorer und suchen Sie den gewünschten Ordner.
2. Klicken Sie mit der rechten Maustaste auf den Ordner und wählen Sie Eigenschaften.
3. Wechseln Sie zum Tab Freigabe und klicken Sie auf Erweiterte Freigabe.
4. Aktivieren Sie das Kontrollkästchen Diesen Ordner freigeben. Sie können den Freigabenamen zur leichteren Identifikation anpassen.
5. Klicken Sie auf Berechtigungen, um die netzwerkseitigen Zugriffsrechte zu verwalten.

Gewähren Sie im Fenster Berechtigungen dem Gruppe Jeder entweder Vollzugriff oder zumindest Lesen. Ziel ist, eine doppelte Blockierung zu vermeiden. Die Firewall filtert den Datenverkehr später, daher stellen diese Berechtigungen nur sicher, dass Clients, die den Filter passieren, nicht durch Dateisystemverweigerungen aufgehalten werden.

Schritt 3: Erstverbindung testen

Überprüfen Sie vor dem Setzen von Filtern, ob der Ordner über einen anderen Client erreichbar ist. Verwenden Sie einen zweiten Rechner im Netzwerk und geben Sie den UNC-Pfad in die Adressleiste des Datei-Explorers ein.

\\192.168.1.100

Ersetzen Sie die Beispiel-IP durch die lokale Adresse Ihres Server-PCs. Erscheint der freigegebene Ordner, war die Basiseinrichtung erfolgreich. Notieren Sie die IP-Adressen der Client-Rechner, die exklusiven Zugriff erhalten sollen, bevor Sie mit dem Sicherheitsteil fortfahren.

Kernkonfiguration: Zugriff auf Dateifreigabe per Firewall beschränken

Der Kern dieser Sicherheitsstrategie liegt darin, den gesamten eingehenden SMB-Verkehr global zu blockieren und dann präzise Ausnahmen für vertrauenswürdige IP-Adressen zu schaffen. Diese Methode stellt sicher, dass jeder Port-445-Scan von einem unbekannten Gerät still verworfen wird.

1. Standardregeln für Datei- und Druckerfreigabe blockieren

Der erste Schritt ist das Deaktivieren der zu freizügigen integrierten Regeln, die das Betriebssystem automatisch anwendet.

1. Öffnen Sie die Systemsteuerung und navigieren Sie zu System und Sicherheit > Windows Defender Firewall.
2. Klicken Sie links auf Eine App oder ein Feature durch die Windows Defender Firewall zulassen.
3. Klicken Sie auf Einstellungen ändern, um den Bearbeitungsmodus zu aktivieren. Dazu sind Administratorrechte erforderlich.
4. Scrollen Sie durch die Liste und entfernen Sie sämtliche Häkchen bei Datei- und Druckerfreigabe sowie Datei- und Druckerfreigabe über SMBDirect. Dadurch werden alle eingehenden Verbindungen zu freigegebenen Ressourcen gekappt.

2. Benutzerdefinierte IP-Whitelist-Regel (eingehende Regel) erstellen

Nachdem die globale Blockade eingerichtet ist, bauen wir eine „Geheimtür“, die nur designierte Adressen passieren dürfen. Dies geschieht über Windows Defender Firewall mit erweiterter Sicherheit.

1. Wählen Sie auf der Hauptseite der Windows Defender Firewall links Erweiterte Einstellungen.
2. Klicken Sie mit der rechten Maustaste auf den Knoten Eingehende Regeln und wählen Sie Neue Regel.

3. Wählen Sie auf der Seite Regeltyp die Option Benutzerdefiniert für vollständige Paketkontrolle. Klicken Sie auf Weiter.
4. Wählen Sie unter Programm die Einstellung Alle Programme. Klicken Sie auf Weiter.
5. Konfigurieren Sie im Schritt Protokoll und Ports:
   
   
   
   • Protokolltyp: TCP
   
   
   • Lokaler Port: Bestimmte Ports und geben Sie 445 ein.
   
   
   
   Klicken Sie auf Weiter.

Die kritischste Phase ist das Definieren der Whitelist auf der Seite Bereich. Präzision beim Eintragen der IP-Adressen ist essenziell.

6. Suchen Sie im Schritt Bereich nach Für welche Remote-IP-Adressen gilt diese Regel?.
7. Wählen Sie Diese IP-Adressen und klicken Sie auf Hinzufügen.
8. Geben Sie die spezifischen IP-Adressen der PCs oder Server ein, die Sie autorisieren möchten. Sie können eine einzelne IP oder ein ganzes Subnetz in CIDR-Notation hinzufügen.
9. Klicken Sie im Schritt Aktion auf Weiter und lassen Sie Verbindung zulassen ausgewählt.
10. Lassen Sie im Schritt Profil alle Profile (Domäne, Privat, Öffentlich) angehakt und klicken Sie auf Weiter.
11. Vergeben Sie einen aussagekräftigen Namen für die Regel, z. B. Allow_SMB_Trusted_IPs. Klicken Sie auf Fertig stellen.

Verifikation und Fehlerbehebung nach der Einrichtung

Nach dem Erstellen der Regel sind Tests von beiden Seiten zwingend erforderlich. Greifen Sie von einem Client, dessen IP in der Whitelist steht, auf den freigegebenen Ordner zu. Die Verbindung sollte einwandfrei zustande kommen. Versuchen Sie anschließend den Zugriff von einem nicht gelisteten Gerät. Das System muss eine Fehlermeldung wie „Windows kann nicht zugreifen…“ oder eine letztlich scheiternde Anmeldeaufforderung ausgeben.

Wenn Verbindungen weiterhin scheitern, leeren Sie den DNS-Cache mit ipconfig /flushdns in der Eingabeaufforderung. Prüfen Sie auf widersprüchliche Blockregeln, die stören könnten. Für tiefere Sicherheit kombinieren Sie diese IP-Filterung mit SMBv3-Verschlüsselung, um die Daten während der Übertragung zu schützen. Viele Administratoren halten es zudem für sinnvoll, die Audit-Protokollierung zu aktivieren, um unerlaubte Zugriffsversuche nachverfolgen zu können.

Praktische Anwendungsszenarien und Umsetzung

In professionellen Umfeldern erweist sich IP-Whitelisting als unschätzbar. Ein Entwicklungsteam teilt beispielsweise einen Build-Ordner nur mit einer CI/CD-Maschine, die eine feste Adresse besitzt. Ebenso können Administratoren von Spielservern verhindern, dass normale Spieler anfällige Konfigurationsdateien manipulieren. Diese Methode ist Teil einer mehrschichtigen Verteidigungsstrategie. Kein Administrator sollte sich ausschließlich auf IP-Filter verlassen; aktivieren Sie stets die Windows-Auditprotokolle, um unbefugte Versuche zu überwachen. Vertiefende Informationen finden Sie in der offiziellen Dokumentation: Microsoft SMB Overview und im Windows Firewall Configuration Guide.