Ich stelle mal eine Frage bzw. Beobachtung eines Blog-Lesers hier zur Diskussion – ich selbst bin beim kurzen Versuch einer Reproduktion nicht so richtig auf einen grünen Zweig gekommen (lag möglicherweise an der Windows 11 VM). Vielleicht gibt es noch Rückmeldungen aus der Leserschaft, die das bestätigen oder Antworten bzw. Erklärungen liefern.
Eine Leserbeobachtung und -frage
Blog-Leser Rüdiger hatte sich bereits Ende Februar 2026 bei mir per Mail unter dem Betreff "Frage bzgl. Freigabeverhalten in W11 (evtl. Blog-würdig?)" gemeldet. Er schrieb, dass "man als IT-Dienstleister ja gelegentlich schon mal auf die eine oder andere technische Besonderheit, die es zu teilen lohnt." Der Leser war im Zuge der Einrichtung eines "Scan-Ordners" auf eine – aus seiner Sicht – interessante Beobachtung gestoßen.
Was der Leser getan hatte: Es ging darum, eine simple SMB-Freigabe unter Windows 11 Pro (wird wohl 24H2 oder 25H2 gewesen sein) zu erstellen. Ziel sollte sein, dass die Multifunktionsdrucker des Kunden auf die SMB-Freigabe zugreifen kann. Der erste Test verlief auch direkt positiv: Der Leser hat einen dedizierten Benutzer für den Drucker eingerichtet, eine Freigabe in einem eigenen Ordner unter C: eingerichtet und die Sicherheitseinstellungen des NTFS entsprechend angepasst. Das war es dann erst einmal!, der erste Testscan klappte, und das Thema schien vom Tisch.
Jetzt kommt aber das große Aber, schrieb der Leser: Denn in den Netzwerkeinstellungen war die Netzwerkverbingung auf Öffentliches Netzwerk gestellt! Das kam dem Leser etwas spanisch vor. Nachdem er dann die Verbindung auf Privates Netzwerk umgestellt hatte, war die Freigabe des Ordners weg.
Lange Rede, kurzer Sinn: Der Leser ging auf Fehlersuche und stellte fest, dass die Datei- und Druckerfreigabe für das Private Netzwerk inaktiv war. Kein Wunder, dass die Freigabe dann nicht funktionierte. Kurz aktiviert, und alles war diesbezüglich okay.
Der Leser ging dann aber spaßeshalber noch mal die Einstellungen dieser Netzwerkverbindung für Öffentliche Netzwerke durch und hat diese geprüft. Dort war die Datei- und Druckerfreigabe gar nicht aktiv!
Der Leser fand das komisch und meinte: "Dort, wo die Firewall eigentlich restriktiver sein sollte, werden Freigaben selbst ohne aktivierter Freigabeeinstellung durchgelassen. In den optionalen Privaten Netzwerken aber muss man die Einstellung erst explizit setzen." Er fragte, ob mir so etwas bekannt sei, was ich verneint habe. Der Leser schrieb: "Meines Erachtens ist das keine beabsichtigte Funktionsweise, oder? Jetzt wüsste ich nur gerne, wie man jetzt am besten vorgeht?"
Reproduzieren konnte der Leser im Februar 2026 das Verhalten auf seinem eigenen Windows-11-ProNotebook. Er fragte, ob eine E-Mail an Microsoft hilft? Sehe ich skeptisch, das verschwindet im Orkus. Einen Blog-Eintrag verfassen? Habe ich nun, mit Verspätung mal probiert, und frage, ob jemand das auch reproduzieren kann?
MVP: 2013 – 2016
Meine persönliche Erfahrung/Meinung: setz ne ordentliche Firewall ein! Weder Defender noch die ms-eigene Firewall taugen was, die haben noch ganz andere Patzer.
Klar besser als nix… mehr aber auch nicht. Fällt beides eher unter den Begriff "Placebo".
jm2c
Der Landesdatenschutzbeauftragte unseres Bundeslandes hat uns sogar schriftlich gegeben, daß mit Aktivierung des MS-Defender auf der Arbeitsstation ausreichend Vorsorge getroffen ist – auch ohne Drittanbieterlösung.
Machen wir natürlich nicht (es gibt auch noch eine Perimeterfirewall), aber für Instutionen mit knappem Budget (z.B. Schulen) kann das rechtlich bedeutsam sein.
Dann hält man sich rechtlich an einem Schriftstück des Landesdatenschutzbeauftragten fest und hat alles richtig gemacht, wenn man dann trotzdem gehackt wird, so geht Digitalisierung in Deutschland.
Na die ganzen inkompetenten IT Systemhäuser, die gerne Firewalls verkaufen, weil man so viel Geld daran verdient (Sophos EK: 250€, VK: 1250 €) müssen natürlich ihre Pfründe verteidigen.
Nur vernünftig einrichten können sie ihre Produkte nicht. "Freischaltung hab ich gemacht" ist mittlerweile zu meinem Lieblings Runninggag geworden.
Neulich erst: "Fritzbox reicht nicht, hier haben sie eine teure Sophos. Für die Telefonanlage hab ich Port 5060 UDP Mal eingehend freigegeben."
Nichts verstanden und alles falsch gemacht. Vorher war sicherer, ausgehend hätte gereicht.
Deswegen benötigt man für den Betrieb einer Enterprise Firewall auch wirklich Leute die tiefe Netzwerkkenntnisse haben. Ich höre da so viel Schwachsinn, da wird mir manchmal schon schlecht und ich mache mir ernsthafte Sorgen wie das Firewall Regelwerk aussehen muss.
Ein Landesdatenschutzbeauftragter kann und wird euch erst recht nichts schriftlich gegeben haben in Bezug auf Informationssicherheit.
Der kümmert sich um Datenschutz und da endet auch seine Expertise (ist bei weitem auch groß genug das Feld).
Und was für Patzer sollen das sein?
Ich halte sie für völlig ausreichend. Sie blockt eingehende Verbindungen. Klar, die Nachvollziehbarkeit und Logging ist sehr Basic und ist per Default nicht aktiv. Aber wer das am Client macht, anstatt mit der zentralen Firewall, hat vermutlich auch zu viel Zeit.
Und das wichtigste: Sie ist über Richtlinien steuerbar.
Klar ist so ziemlich jedes Produkt eines Drittherstellers besser. Aber das bezahlt man auch und da gibt es in meinen Augen größere Baustellen, in die man investieren kann.
Das Loggin der Windows-Firewall funktioniert sogar. Und wenn man sich ein paar Scripte drumherum zum Auswerten der Logs schreibt, die zum beispiel gewünschte/bekannte Verbindungen raus filtert, kommt man damit recht gut zurecht. Eine (bessere) Host-based-Firewall Alternative unter Windows kann man lange suchen.
Das Erstellen von Regeln ist allerdings tatsächlich sehr "basic", es gbit nur Ports, IP-Adressen und Subnetze. Würde mir wünschen, man könnte selbst global im AD Portgruppen und Hostgruppen erstellen (vergleiche Cisco, Checkpoint und Co) und mit denen arbeiten.
das ist unnötig. die Windows eigene Firewall ist komplett ausreichend.
jedes 3rd Party Produkt auf einem Windows Client zu dem Thema ist rausgeschmissen Geld.
die 3 Profile sind streitbar in ihrer Konfiguration, 2 reichen, was Windows 10 ja so eher lebt, im Gegensatz zu Windows 7, wo immer die Nachfrage nach dem Netzwerk Profil kam.
Einige Partner haben Ähnliches beobachtet.
Siehe dazu auch: https://roadmap.synaxon-services.de/p/netzwerkschnittstelle-offentlich-privat
Vielleicht einfach mal mit der ms-eigenen Firewall auseinandersetzen. ;)
-> https://firewall.dsinternals.com/ADDS/
-> https://anthonyfontanez.com/index.php/2021/09/16/windows-firewall-the-series/
(Beim "Defender" dann ggfs. noch zwischen dem "Windows Defender" und "Defender for Endpoint / Server / Identity / …" unterscheiden.)
Ich denke die Freigabe wurde eingerichtet während "öffentliches Netzwerk" aktiv war und dabei hat der Assistent eben das aktuelle Firewallprofil entsprechend modifiziert.
Ursächlich wäre zu klären, warum der Client sich nicht in einem privaten Netwerk wähnt.
Network location awareness (NLA) ist inzwischen ein recht komplexer Prozeß, bei dem auch die Erreichbarkeit von zwei Microsoft-URLs (www.msftncsi.com und http://www.msftconnecttest.com) eine Rolle spielt.
Ein häufiger Fall ist, daß eine Netzwerkverbindung mit IPv4 und IPv6 eingerichtet wurde, aber gar keine IPv6-Konnektivität ins Internet besteht.
Zweithäufigster Fall ist, daß die Netzwerkkonnektivität beim Booten anders war und geändert wurde, etwa durch Anstecken eines Kabels nach dem Booten, andocken eines Laptops an einer Dockingstation oder manuelles Einloggen z.B. in einem Netzwerk.
Dritthäufigster Fall sind Eingriffe in den Netzwerkverkehr. Etwa die z.B. in Hotels beliebten Loginportale im WLAN, in denen man sich erst mit Zimmernummer Zugriff freischalten muß oder SSL-interception-Firewalls. Alles wohlgemerkt nur, wenn bei deren Einrichtung ein Fehler gemacht wurde.
Witzigster Fall, den ich mal hatte war ein "zum Laden" an den Laptop angestecktes Handy, welches noch auf Thetering eingestellt war und immer beim Anstecken ein eigenes Netzwerkinterface aufmachte und den Traffic übernahm, ohne daß es dem Anwender in diesem Moment bewußt war.
Ich hatte in letzter Zeit häufiger den Fall, dass die Netzwerkverbindung auf "öffentlich" stand, ohne dass dies explizit eingestellt worden wäre.
Ist meist erst aufgefallen, wenn z.B. im Windows-Explorer die Netzwerkumgebung aufgerufen wurde und das Durchsuchen des Netzwerkes eingeschaltet wurde, um auf Dateifreigaben zuzugreifen.
Jupp, ein altes Phänomen, das nach dem Neustart für die monatlichen Updates auftreten kann.
Netzwerkadapter fühlt sich nicht mehr der Domäne zugehörig.
Hi, Fritz,
ich bin der Rüdiger, der das Phänomen hier zur Ansprache gebracht hat.
Ja, ich meine, dass ich anfangs nicht auf den Netzwerkprofiltyp geachtet hatte, sodass das Netzwerk auf öffentlich stand während des Einrichtens der Freigabe. Ich werde das noch mal nachstellen und dann hier Feedback geben.
So wie Du es in der ersten Möglichkeit geschrieben hast, ergibt das jetzt sogar schon Sinn für mich. Stutzig wurde ich hingegen, dass die Freigabe halt ausschließlich für das Öffentliche Profil galt und hat nicht auch für private Netzwerke.
Danke an dieser Stelle jedenfalls für Deinen aufschlussreichen Kommentar!
Mit sonnigen Pfingstgrüßen
Rüdiger
Ich denke auch, dass das Problem mit NLA zu tun hat. Einfacher wärs ja, wenn es eine Windows Domäne geben würde, in der Regel wird dann nämlich als Domämen-Netz eingestuft, wenn der DC erreichbar ist.
Jau, hat man nur nicht bei jedem Kunden – insbesondere nicht bei den privaten.
Zumindest unter meinem privaten Windows 10 kann ich das nicht nachvollziehen. Wäre aber durchaus relevant, wenn das ein genereller Fehler unter Windows 11 ist. Wäre fatal, wenn mobile Clients im HomeOffice oder gar öffentlichen Netzen offen wären. Werde ich bei Gelegenheit nochmal prüfen.
Wurde denn nachvollzogen, ob die von MS vordefinierten Firewall-Regeln für die SMB-Freigabe im öffentlichen Netz aktiviert sind?
Ggf. hat auch schlicht eine andere Software ihre "eigene" Regel hinzugefügt, die TCP 139, 445 aufmacht.
Es gab vor Monaten einen Bug mit der Firewall das er die falschen Profile lädt (egal was angezeigt wird). Unter Server war die Lösung die Netzwerkkarten kurz zu deaktivieren und wieder zu aktivieren, auf Windows ist der Bug teils immer noch da. Kann ich also voll bestätigen (verwalte knapp 1.000 PCs/Server).
ich meine der Fehler liegt an der NLA, nicht der Firewall, denn diese übernimmt das Profil von der NLA Erkennung
Servus!
Der Rüdiger hier. Ich habe dieses Phänomen an Herrn Born gesendet mit der Frage, ob es einen Blog-Eintrag wert ist. Ich freue mich, dass es das zu sein scheint. (Ich habe mich ja oben in einem Unterkommentar ja bereits zu Wort gemeldet.)
Es gibt Neuigkeiten, die mich weiter an der Benutzerfreundlichkeit der Windows-Welt zweifeln lassen, wobei ich auch andererseits denke, dass diesbezüglich die Meinungen auseinandergehen werden. Aber erstmal zum Wesentlichen!
Ich habe jetzt eine Windows-11-VM (Version 24H2) aufgesetzt und mich hinsichtlich der Einstellungen nur auf die Installation der Zusatztreiber und wenige optische Einstellungen beschränkt. Man kann also sagen, dieses Windows 11 ist noch recht jungfräulich. Die Netzwerkerkennung habe ich explizit auf Privates Netzwerk gestellt (mehr nicht!!!). Das heißt, die Datei- und Druckerfreigabe der Erweiterten Netzwerkeinstellungen blieb unangetastet und somit deaktiviert!
Anschließend habe ich übers Terminal einen weiteren User angelegt und ihm ein Passwort darüber vergeben. Außerdem habe ich das Kennwort dauerhaft gültig gesetzt.
Ab dann habe ich einen Ordner unter C: erstellt und diesen mittels GUI (Rechtsklick, Eigenschaften, Erweiterte Freigabe etc.) grundsätzlich als Netzfreigabe eingerichtet. Die NTFS-Sicherheitseinstellungen ließ ich unangetastet.
Anschließend versuchte ich, mich via Linux-System auf die SMB-Freigabe zu schalten – und das ging! Ich konnte sogar eine Textdatei in der Freigabe erstellen, was ich nun letztendlich auch nicht mehr allzu verwunderlich fand. Aber sapperlot, obwohl Netzfreigaben deaktiviert sind, Windows lässt den Zugriff zu!
Interessanterweise – und das stützt auch Fritz Vermutung von oben – war die Freigabe nach dem Umstellen auf Öffentliches Netzwerk (wie auch in der von mir ursprünglich geschilderten Ausgangslage, nur halt anders herum) ad hoc gesperrt. Eine Umstellung zurück auf Privates Netzwerk gab die Freigabe wieder frei.
Während man sich allerdings in der Einstellung Privates Netzwerk befindet, spielt es allerdings keine Rolle, ob man nun die Option Datei- und Druckerfreigabe aktiviert und anschließend wieder deaktiviert. Zumindest diese eine Freigabe bleibt hiervon unbeeindruckt und somit aktiv.
Für mich eine wenig intuitive Systematik. Jedenfalls wäre ich im Leben nicht darauf gekommen, dass die NLA derart leicht auszuhebeln ist, indem man eine Freigabe einrichtet, während das Netzwerk als Öffentliches Netzwerk eingestellt ist.
So, so langsam glaube ich wirklich an einen Bug!
Laptop, neue Freigabe nach obigem Schema erstellt (Öffentliches Netzwerk, Ordner angelegt, Freigabe erstellt, Freigabe nur für einen Benutzer freigegeben und "Jeder" entfernt). Trotz Öffentlichem Netzwerk und deaktivierter Datei- und Druckerfreigabe Zugriff erhalten.
Jetzt aber kommt 's: WLAN gewechselt, ebenfalls Öffentliches Netzwerk, aber halt anderes Neztwerk. Freigabe weiterhin aktiv und erreichbar!
Nein, M$, einfach nein!