Ausnahmen zur Windows-Firewall hinzufügen in Windows 10 und Windows 11

Überblick

Was ist eine Windows-Firewall-Ausnahme?

Eine Windows-Firewall-Ausnahme ist eine Zulassungsregel, mit der bestimmter Netzwerkverkehr die Windows Defender Firewall passieren darf. Die Ausnahme kann eine bestimmte App, eine Desktop-Programmdatei, einen Windows-Dienst, eine Portnummer, ein Protokoll oder Datenverkehr von einer vertrauenswürdigen IP-Adresse erlauben.

In Windows 10 und Windows 11 werden Firewall-Ausnahmen normalerweise an einer von zwei Stellen erstellt: im einfachen Bildschirm Eine App durch die Firewall zulassen oder in der erweiterten Konsole Windows Defender Firewall mit erweiterter Sicherheit. Die erweiterte Konsole bietet mehr Kontrolle über Richtung, Programmpfad, Protokoll, Port, Profil und Bereich der Remoteadressen.

🧩

App-Ausnahme

Erlaubt eine bestimmte App oder ausführbare Datei durch die Firewall. Am besten für die meisten Desktop-Programme und Microsoft-Store-Apps.

🔌

Port-Ausnahme

Erlaubt Datenverkehr zu einem TCP- oder UDP-Port, zum Beispiel 8080, 25565 oder 3389. Nützlich für Server und Netzwerktools.

🌐

IP-Bereichs-Ausnahme

Erlaubt Datenverkehr nur von ausgewählten lokalen Netzwerkadressen, Subnetzen oder vertrauenswürdigen Geräten statt vom gesamten Netzwerk.

ℹ️

Wichtig Eine Firewall-Ausnahme ist nicht dasselbe wie ein Microsoft-Defender-Antivirus-Ausschluss. Eine Firewall-Ausnahme steuert Netzwerkverkehr. Ein Antivirus-Ausschluss weist Defender an, eine Datei, einen Ordner, einen Prozess oder einen Dateityp nicht zu scannen.

Anwendungsfälle

Wann sollten Sie eine Ausnahme zur Windows-Firewall hinzufügen?

Sie müssen möglicherweise eine Ausnahme hinzufügen, wenn eine vertrauenswürdige Anwendung eingehende Verbindungen empfangen muss oder wenn ein anderes Gerät keine Verbindung zu einem Dienst herstellen kann, der auf Ihrem Windows-PC läuft.

Ein Spieleserver, lokaler Webserver, Datenbankserver, Medienserver oder Entwicklungstool benötigt eingehenden Zugriff.
Ein Programm funktioniert auf demselben Computer, ist aber von einem anderen PC im lokalen Netzwerk nicht erreichbar.
Remotedesktop, Dateifreigabe, Druckerfreigabe oder eine andere Windows-Funktion wird in einem vertrauenswürdigen Netzwerk blockiert.
Eine Unternehmensanwendung verlangt, dass eine bestimmte ausführbare Datei oder ein bestimmter Port per Richtlinie zugelassen wird.
Eine Drittanbieter-App fragt nach Berechtigung, aber die erste Firewall-Abfrage wurde versehentlich blockiert.

⚠️

Sicherheitswarnung Fügen Sie keine weit gefassten Firewall-Ausnahmen für unbekannte Programme hinzu. Erlauben Sie nur das, was Sie wirklich benötigen, vermeiden Sie das Profil „Öffentlich“ nach Möglichkeit und entfernen Sie Testregeln, sobald Sie sie nicht mehr brauchen.

Vorbereitung

Bevor Sie eine Firewall-Ausnahme in Windows 10 oder Windows 11 hinzufügen

Bevor Sie Firewall-Regeln ändern, sollten Sie genau bestimmen, was zugelassen werden muss. Dadurch vermeiden Sie Ausnahmen, die zu breit sind oder später schwer zu prüfen sind.

Frage	Warum es wichtig ist	Beispiel
Welches Programm benötigt Zugriff?	Eine programmbasierte Regel ist in der Regel sicherer als eine reine Port-Regel.	`C:\Program Files\MyApp\MyApp.exe`
Eingehend oder ausgehend?	Die meisten Hosting-Probleme mit Apps benötigen eingehende Regeln. Ausgehende Regeln werden verwendet, wenn ausgehender Verkehr eingeschränkt ist.	Eingehende Regel für einen lokalen Server
Welches Netzwerkprofil?	„Privat“ ist für Heim- oder Büro-LANs meist sicherer. „Öffentlich“ sollte begrenzt werden.	Nur Privat
Welches Protokoll und welcher Port?	TCP und UDP sind getrennt. Einige Apps benötigen beides.	`TCP 8080` oder `UDP 27015`
Welche Geräte dürfen eine Verbindung herstellen?	Der Bereich der Remoteadressen kann die Regel auf vertrauenswürdige IP-Adressen begrenzen.	`192.168.1.0/24`

🏢 Domäne 🏠 Privat ☕ Öffentlich

Privat ist normalerweise das richtige Profil für ein vertrauenswürdiges Heim- oder Büronetzwerk. Öffentlich wird für nicht vertrauenswürdige Netzwerke wie Hotels, Flughäfen, Cafés und gemeinsam genutztes WLAN verwendet. Wenn Sie nicht sicher sind, welches Profil Ihr Netzwerk verwendet, öffnen Sie Einstellungen → Netzwerk & Internet und prüfen Sie die Eigenschaften der aktiven Verbindung.

Methode 1

So lassen Sie eine App durch die Windows-Firewall zu

Dies ist die einfachste Methode, wenn Sie eine Firewall-Ausnahme für ein normales Desktop-Programm oder eine gelistete Microsoft-Store-App hinzufügen möchten.

Drücken Sie Win + R, geben Sie control firewall.cpl ein und drücken Sie Enter.
Klicken Sie auf Eine App oder ein Feature durch die Windows Defender Firewall zulassen.
Klicken Sie auf Einstellungen ändern. Administratorrechte können erforderlich sein.
Suchen Sie die App in der Liste und aktivieren Sie das Kontrollkästchen daneben.
Wählen Sie die zugelassenen Profile: Privat, Öffentlich oder beide.
Wenn die App nicht aufgeführt ist, klicken Sie auf Andere App zulassen....
Klicken Sie auf Durchsuchen..., wählen Sie die .exe-Datei des Programms und klicken Sie auf Hinzufügen.
Klicken Sie auf OK, um die Firewall-Ausnahme zu speichern.

✅

Empfohlen Für Heim- und Büronetzwerke sollten Sie die App zunächst nur im Profil Privat zulassen. Fügen Sie das Profil Öffentlich nur hinzu, wenn Sie genau wissen, warum die App Verbindungen in nicht vertrauenswürdigen Netzwerken annehmen muss.

Methode 2

So fügen Sie eine Programmausnahme in der Windows Defender Firewall mit erweiterter Sicherheit hinzu

Die erweiterte Firewall-Konsole ist besser geeignet, wenn Sie eine benannte Regel, einen präzisen Programmpfad, ausgewählte Netzwerkprofile oder Einschränkungen auf Remote-IP-Adressen benötigen.

Drücken Sie Win + R, geben Sie wf.msc ein und drücken Sie Enter.
Klicken Sie im linken Bereich auf Eingehende Regeln.
Klicken Sie im rechten Bereich auf Neue Regel....
Wählen Sie Programm und klicken Sie auf Weiter.
Wählen Sie Dieser Programmpfad, klicken Sie auf Durchsuchen... und wählen Sie die ausführbare Datei.
Wählen Sie Verbindung zulassen.
Wählen Sie die Profile, für die die Regel gelten soll: Domäne, Privat und/oder Öffentlich.
Geben Sie einen aussagekräftigen Namen ein, zum Beispiel Allow MyApp Inbound - Private.
Klicken Sie auf Fertig stellen.

Gute Namen für Firewall-Regeln:

Allow Plex Media Server - Private LAN

Allow TCP 8080 - Local Web Test Server

Allow MyApp.exe Inbound - Accounting Network

Doppelklicken Sie nach dem Erstellen der Regel darauf, um die Registerkarten Programme und Dienste, Protokolle und Ports, Bereich und Erweitert zu prüfen. Diese Registerkarten steuern, was die Ausnahme erlaubt und wo sie gilt.

Methode 3

So fügen Sie eine Port-Ausnahme zur Windows-Firewall hinzu

Eine Port-Ausnahme ist nützlich, wenn Sie den genauen TCP- oder UDP-Port kennen, der von einem Server, Spiel, Gerätetool oder einer Entwicklungsumgebung benötigt wird. Verwenden Sie nach Möglichkeit eine Programmausnahme; verwenden Sie eine Port-Ausnahme, wenn die App-Dokumentation ausdrücklich einen Port verlangt.

Drücken Sie Win + R, geben Sie wf.msc ein und drücken Sie Enter.
Wählen Sie Eingehende Regeln.
Klicken Sie auf Neue Regel....
Wählen Sie Port und klicken Sie auf Weiter.
Wählen Sie TCP oder UDP.
Wählen Sie Bestimmte lokale Ports und geben Sie die Portnummer ein, zum Beispiel 8080. Sie können auch einen Bereich wie 5000-5010 eingeben.
Wählen Sie Verbindung zulassen.
Wählen Sie die richtigen Profile, vorzugsweise nur Privat für die Nutzung im lokalen Netzwerk.
Benennen Sie die Regel eindeutig und klicken Sie auf Fertig stellen.

Beispielregel	Protokoll	Port	Empfohlener Bereich
Lokaler Web-Testserver	TCP	`8080`	Privates Profil, nur lokales Subnetz
Minecraft-Java-Server	TCP	`25565`	Privates Profil oder vertrauenswürdige Remoteadressen
Remotedesktop	TCP/UDP	`3389`	Nur VPN oder vertrauenswürdige IP-Adressen
Dateifreigabe / SMB	TCP	`445`	Nur privates LAN; nicht dem Internet aussetzen

Methode 4

Windows-Firewall-Ausnahmen mit PowerShell hinzufügen

PowerShell ist nützlich für Administratoren, wiederholbare Einrichtung, Skripte und Remote-Support. Öffnen Sie Terminal (Administrator) oder Windows PowerShell (Administrator), bevor Sie die folgenden Befehle ausführen.

Eine Programmausnahme mit PowerShell hinzufügen

PowerShellNew-NetFirewallRule `
  -DisplayName "Allow MyApp Inbound - Private" `
  -Direction Inbound `
  -Program "C:\Program Files\MyApp\MyApp.exe" `
  -Action Allow `
  -Profile Private

Eine TCP-Port-Ausnahme mit PowerShell hinzufügen

PowerShellNew-NetFirewallRule `
  -DisplayName "Allow TCP 8080 - Local Web Server" `
  -Direction Inbound `
  -Protocol TCP `
  -LocalPort 8080 `
  -Action Allow `
  -Profile Private

Eine UDP-Port-Ausnahme mit PowerShell hinzufügen

PowerShellNew-NetFirewallRule `
  -DisplayName "Allow UDP 27015 - Game Server" `
  -Direction Inbound `
  -Protocol UDP `
  -LocalPort 27015 `
  -Action Allow `
  -Profile Private

Nur ein vertrauenswürdiges lokales Subnetz zulassen

PowerShellNew-NetFirewallRule `
  -DisplayName "Allow TCP 8080 from LAN only" `
  -Direction Inbound `
  -Protocol TCP `
  -LocalPort 8080 `
  -RemoteAddress 192.168.1.0/24 `
  -Action Allow `
  -Profile Private

Ersetzen Sie Programmpfad, Anzeigenamen, Port, Protokoll, Profil und Remoteadresse durch die Werte, die Ihre App oder Ihr Netzwerk benötigt.

Methode 5

Windows-Firewall-Ausnahmen mit der Eingabeaufforderung hinzufügen

Die Eingabeaufforderung kann Firewall-Ausnahmen mit netsh advfirewall erstellen. Das ist nützlich für ältere Skripte oder Systeme, auf denen PowerShell nicht bevorzugt wird.

Eine Programmausnahme mit netsh hinzufügen

Eingabeaufforderungnetsh advfirewall firewall add rule name="Allow MyApp Inbound - Private" dir=in action=allow program="C:\Program Files\MyApp\MyApp.exe" profile=private enable=yes

Eine TCP-Port-Ausnahme mit netsh hinzufügen

Eingabeaufforderungnetsh advfirewall firewall add rule name="Allow TCP 8080 - Local Web Server" dir=in action=allow protocol=TCP localport=8080 profile=private enable=yes

Eine UDP-Port-Ausnahme mit netsh hinzufügen

Eingabeaufforderungnetsh advfirewall firewall add rule name="Allow UDP 27015 - Game Server" dir=in action=allow protocol=UDP localport=27015 profile=private enable=yes

💡

Tipp Verwenden Sie nach Möglichkeit PowerShell für neue Automatisierungen. Es ist leichter zu lesen, einfacher zu filtern und konsistenter mit moderner Windows-Administration.

Bereich

Eine Firewall-Ausnahme auf private Netzwerke oder vertrauenswürdige IP-Adressen begrenzen

Die sicherste Firewall-Ausnahme ist die engste Ausnahme, mit der die App noch funktioniert. Nachdem Sie eine Regel in wf.msc erstellt haben, können Sie sie weiter einschränken.

Regel auf private Netzwerke begrenzen

Öffnen Sie wf.msc.
Klicken Sie auf Eingehende Regeln.
Doppelklicken Sie auf Ihre benutzerdefinierte Regel.
Öffnen Sie die Registerkarte Erweitert.
Lassen Sie unter Profile nur Privat aktiviert, sofern kein anderes Profil erforderlich ist.
Klicken Sie auf OK.

Regel auf vertrauenswürdige IP-Adressen begrenzen

Öffnen Sie die Regeleigenschaften in wf.msc.
Öffnen Sie die Registerkarte Bereich.
Wählen Sie unter Remote-IP-Adresse die Option Diese IP-Adressen.
Klicken Sie auf Hinzufügen....
Geben Sie eine vertrauenswürdige IP-Adresse oder ein Subnetz ein, zum Beispiel 192.168.1.50 oder 192.168.1.0/24.
Klicken Sie auf OK, um die Änderung zu speichern.

🔐

Best Practice Wenn nur ein Gerät Zugriff benötigt, erlauben Sie nur die IP-Adresse dieses Geräts. Wenn alle Geräte in Ihrem Heim-LAN Zugriff benötigen, erlauben Sie das lokale Subnetz statt aller Remoteadressen.

Verwaltung

Windows-Firewall-Ausnahmen bearbeiten, deaktivieren oder entfernen

Überprüfen Sie benutzerdefinierte Firewall-Ausnahmen regelmäßig. Alte Testregeln, doppelte Regeln oder Regeln für entfernte Anwendungen können unnötige Angriffsflächen schaffen und die Fehlerbehebung erschweren.

Aufgabe	GUI-Methode	PowerShell-Befehl
Eine Regel deaktivieren	Öffnen Sie `wf.msc`, klicken Sie mit der rechten Maustaste auf die Regel und wählen Sie Regel deaktivieren.	`Disable-NetFirewallRule -DisplayName "Rule Name"`
Eine Regel aktivieren	Klicken Sie mit der rechten Maustaste auf die Regel und wählen Sie Regel aktivieren.	`Enable-NetFirewallRule -DisplayName "Rule Name"`
Eine Regel entfernen	Klicken Sie mit der rechten Maustaste auf die Regel und wählen Sie Löschen.	`Remove-NetFirewallRule -DisplayName "Rule Name"`
Passende Regeln anzeigen	Verwenden Sie die Such- oder Filteroptionen in Eingehende Regeln.	`Get-NetFirewallRule -DisplayName "MyApp"`

Eine Regel mit der Eingabeaufforderung entfernen

Eingabeaufforderungnetsh advfirewall firewall delete rule name="Allow TCP 8080 - Local Web Server"

Fehlerbehebung

Warum eine Windows-Firewall-Ausnahme nicht funktioniert

Wenn die App nach dem Hinzufügen einer Ausnahme weiterhin blockiert wird, prüfen Sie Regelrichtung, Profil, Programmpfad, Protokoll, Port und ob die Anwendung tatsächlich auf Verbindungen wartet.

Problem	Was prüfen?	Lösung
Falsches Netzwerkprofil	Die Regel ist für „Privat“ erlaubt, aber Windows markiert das Netzwerk als „Öffentlich“.	Ändern Sie das aktive Netzwerk auf „Privat“, wenn es vertrauenswürdig ist, oder fügen Sie der Regel das richtige Profil hinzu.
Falsche Regelrichtung	Eingehende oder ausgehende Regel.	Erstellen Sie eine eingehende Regel, wenn andere Geräte eine Verbindung zu diesem PC herstellen müssen.
Programmpfad geändert	Die App wurde aktualisiert oder in einen anderen Ordner verschoben.	Bearbeiten Sie die Regel oder erstellen Sie eine neue Regel mit dem aktuellen `.exe`-Pfad.
Kein Dienst wartet auf Verbindungen	`netstat -ano \| findstr :PORT`	Starten Sie die App oder den Dienst, der Verbindungen annehmen soll.
Falsches Protokoll	Die App benötigt UDP, aber nur TCP wurde erlaubt, oder umgekehrt.	Erstellen Sie die richtige TCP- oder UDP-Regel. Einige Apps benötigen beides.
Router blockiert Zugriff aus dem Internet	Portweiterleitung, WAN-IP, CGNAT und Firewall-Regeln des Routers.	Konfigurieren Sie Portweiterleitung am Router nur, wenn externer Zugriff erforderlich und sicher ist.
Drittanbieter-Firewall ist aktiv	Security-Suiten können die Firewall ersetzen oder eine zusätzliche Firewall-Ebene hinzufügen.	Fügen Sie die Ausnahme in der Drittanbieter-Firewall hinzu oder testen Sie vorübergehend mit deaktivierter Firewall.

Nützliche Befehle zum Prüfen von Verbindungen

Eingabeaufforderungnetstat -ano | findstr LISTENING
netstat -ano | findstr :8080

PowerShellGet-NetTCPConnection -State Listen
Test-NetConnection 192.168.1.50 -Port 8080

FAQ

Häufig gestellte Fragen zu Windows-Firewall-Ausnahmen

Q Ist es sicher, eine Ausnahme zur Windows-Firewall hinzuzufügen?

Es kann sicher sein, wenn die App vertrauenswürdig ist, die Regel auf das richtige Netzwerkprofil begrenzt wird und der Bereich der Remoteadressen nicht breiter als nötig ist. Vermeiden Sie Ausnahmen für unbekannte Apps oder öffentliche Netzwerke.

Q Sollte ich ein Programm zulassen oder einen Port öffnen?

Bevorzugen Sie nach Möglichkeit eine Programmausnahme. Eine Programmausnahme gilt für die konkrete ausführbare Datei. Eine Port-Ausnahme erlaubt Datenverkehr zu einem Port, unabhängig davon, welches Programm auf diesem Port wartet.

Q Was ist der Unterschied zwischen privaten und öffentlichen Firewall-Profilen?

„Privat“ ist für vertrauenswürdige Heim- oder Büronetzwerke gedacht. „Öffentlich“ ist für nicht vertrauenswürdige Netzwerke wie Hotels, Cafés, Flughäfen und gemeinsam genutztes WLAN. Firewall-Ausnahmen sollten in der Regel auf „Privat“ begrenzt werden, sofern es keinen konkreten Grund für „Öffentlich“ gibt.

Q Benötige ich Administratorrechte, um eine Firewall-Ausnahme hinzuzufügen?

Ja, das Ändern von Windows-Firewall-Regeln erfordert normalerweise Administratorrechte. Standardbenutzer können die Einstellungen möglicherweise sehen, aber die meisten Firewall-Änderungen nicht speichern.

Q Macht eine Firewall-Ausnahme die App aus dem Internet erreichbar?

Nicht allein. Eine Windows-Firewall-Ausnahme erlaubt Datenverkehr auf dem lokalen PC. Internetzugriff hängt zusätzlich von Portweiterleitung am Router, öffentlicher IP-Verfügbarkeit, NAT, ISP-Einschränkungen und der Dienstkonfiguration ab.

Q Wie mache ich eine Firewall-Ausnahme rückgängig?

Öffnen Sie wf.msc, suchen Sie die Regel unter Eingehende Regeln oder Ausgehende Regeln und deaktivieren oder löschen Sie sie. In PowerShell verwenden Sie Disable-NetFirewallRule oder Remove-NetFirewallRule.

Zusammenfassung

Der beste Weg, Ausnahmen zur Windows-Firewall hinzuzufügen

Für die meisten Benutzer ist die sicherste Methode, eine bestimmte App durch die Windows-Firewall zuzulassen und sie nur im Profil Privat zu aktivieren. Für mehr Kontrolle verwenden Sie wf.msc, um eine benannte eingehende Regel zu erstellen, das genaue Programm oder den genauen Port auszuwählen und den Bereich auf vertrauenswürdige IP-Adressen zu begrenzen.

🔐 Fazit

Fügen Sie nur die Firewall-Ausnahmen hinzu, die Sie wirklich benötigen, verwenden Sie aussagekräftige Regelnamen, vermeiden Sie das Profil „Öffentlich“, sofern es nicht erforderlich ist, und entfernen Sie alte Regeln nach Tests. Eine enge Regel für eine vertrauenswürdige App oder einen vertrauenswürdigen IP-Bereich ist deutlich sicherer als eine breite Regel, die jedem Gerät eine Verbindung erlaubt.