Firewalls - Windowsstartet nicht mehr

    An die frohe Gemeinde der Firewallnutzer.


    Ich hatte heute ein unangenehmes Erlebnis, das ich Euch nicht vorenthalten will, weil das wirklich jedem beim Optimieren seiner Firewall mal passieren kann.


    Ich habe jetzt die Kerio 4 Firewall im Einsatz mit Windows 2000 auf meinem Server.


    Beim Optimieren der Einstellungen zwecks Minimierung der Risiken bin ich leider unwissentlich etwas zu weit gegangen und habe dem Windows Dienst svchost verboten andere Programme zu starten.


    Nach einem turnusmässigen Reboot befand sich Windows in einer Endlosschleife beim Starten, wollte die Netzwerkverbindungen herstellen und meldete dann gleich danach (wie beim runterfahren): "Dateien werden gesichert" und spielte dazu noch die Startmusik ab :)
    (Genau zu diesem Verhalten gibt es auch ein bekanntes Windowsproblem mit verschobenen Laufwerksbuchstaben) - was bei mir aber nicht der fall war.


    Im abgesicherten Modus keine Probleme.


    Nach Reparaturinstallation wieder die Endlosschleife.


    Dann habe ich im abgesicherten Modus mal einige Dienste deaktiviert (unter anderem auch den Firewalldienst) und siehe da - alles wieder normal.


    Was ist also passiert?


    Der von der Firewall zum Krüppel verurteilte Dienst SVCHOST startet den LOCATOR. Und ohne LOCATOR geht unter Windws nichts (ebenso wie ohne Arbeitsstationsdienst.)


    Flugs das Starten von Programmen für SVCHOST wieder freigegeben und alles lief wieder wie vorher.


    Leider war das nächste Image eigentlich erst demnächst dran, sodaß mir zuviel beim Image rückspielen verlorengegangen wäre.

    Hallo Martin,


    auf die Gefahr hin, dass ich jetzt einige vor den Kopf stoße:
    Schon mal darüber nachgedacht, dass eine (Desktop) Firewall ein völlig nutzloses Stück Software ist?


    Gerald

    ich bin Root! Wenn du mich grinsen siehst, hast du besser ein Backup.

    ich habe die wichtigsten Argumente hier mal zusammengestellt. Ich beziehe mich dabei auf durchaus renommierte Quellen. Siehe ganz unten auf der Seite.


    Falls du Fragen hast oder einfach mit mir rummaulen willst, gerne :pc:


    Es gibt übrigens ein Script, das automatisch die wichtigsten Dienste unter Windows abstellt. Bei Interesse einfach melden.


    Gerald

    ich bin Root! Wenn du mich grinsen siehst, hast du besser ein Backup.

    Hallo dlareghoe,


    danke für den Hinweis mit der aktuellen IP-Adresse, was ja nun wirklich keine Kunst ist ebenso wie die Windowsversion festzustellen und den Browsertyp.
    Seitdem ich den Router vorne dran hängen habe, sehe ich die jeweils aktuelle mit ipconfig nicht mehr so einfach.


    Finde ich nicht nett von Arcor, daß die mir anscheinend gerne immer wieder die gleiche IP geben :(


    Das sind aber alles Dinge, die man auf jeder besseren Sicherheitsseite für seinen Rechner abfragen kann mit einem kleinen Script und sicher auch aus der Software des Webboardes auslesen kann - wenn man weiss wo es steht.


    Gerne würde ich erfahren, welchen dieser Wege Du gegangen bist.


    Zum anderen täte mich interessieren, was Du noch so alles rausfinden könntest, wenn Du wolltest und dürftest.


    Vielleicht können wir uns mal in Verbindung setzen.


    Fakt ist jedenfalls, daß die Firewall nicht auf einem Desktop läuft, sondern auf einem separaten Rechner, wo sie auch Sinn macht.


    Gegen trickreiches Tunneling (was ja meistens von innen beginnt) hilft natürlich nur logisches untersuchen des Datenstromes und hierzu gab es in der c't mal einen sehr schönen Artikel, der den meisten Admins (speziell denen mit einer Checkpoint oder einer von den kleineren Symantec Hardwarebüchsen) die Haare senkrecht hoch stehen läßt.


    Zu den Scripten:
    Ich lasse ungern Scripte auf meine Rechner los, die ich nicht kenne und wo ich nicht so recht weiss, was die wirklich tun (auch das ist Teil meines Sicherheitskonzeptes)


    Die meisten Dienste sind auf jedem Fall auf dem Server eh nicht aktiv, aber ein paar braucht man Halt zu Leben, wie z.B. den Taskplaner für wiederkehrende Aufgaben. Die Ports sind aber von ausserhalb geblockt.


    So - nun bist Du wieder dran. Wie ist meine IP jetzt ?

    Zitat

    Original von Videomartin
    Fakt ist jedenfalls, daß die Firewall nicht auf einem Desktop läuft, sondern auf einem separaten Rechner, wo sie auch Sinn macht.
    .....
    So - nun bist Du wieder dran. Wie ist meine IP jetzt ?


    Dann macht sie Sinn, ja. nur konnte man von der bisherigen Beschreibung davon ausgeghen, daß es eine Desktop "FW" ist. Und die wäre in der Tat ziemlich sinnlos.*gg*
    Also hast Du Deinen FW-Rechner unter Win laufen? *kopfkratz*


    Die IP wird automatisch abgefragt beim Betrachten, daher hast Du scheinbar auch immer die gleiche.. es wird jedesmal neu "gesehen".
    Ist zwar nicht an mich gerichtet gewesen, ich sag es trotzdem nochmal ;o)

    Martin,


    das meiste hat dir Tikaey schon beantwortet. Schau dir einfach die Adresse an, auf die diese Anzeige verweist.
    Es gibt noch den Trick, dass man dem ahnungslosen Surfer den gesamten Inhalt seiner Festplatte anzeigt. Das hat schon viele schockiert. Ist aber eben nur ein Trick.


    Und das Script liegt in Sourcecode vor, du kannst also genau kontrollieren, was es anrichtet.


    Noch eine Frage:
    Du hast die Firewall auf einem anderen Rechner (Gateway, Server) laufen. Wie kann sie da Einfluss auf den Prozess svchost auf deinem Arbeits - PC haben?



    Gerald

    ich bin Root! Wenn du mich grinsen siehst, hast du besser ein Backup.

    Einmal editiert, zuletzt von dlareghoe ()

    Hi,


    in der PC-Welt 12/2003, Seite 80, gab es eine Printversion.
    Allerdings gehen die Meinungen bezgl. folgender Dienste da auseinander:


    COM+-Ereignissystem, automatisch oder manuell?
    Netzwerkverbindungen, automatisch oder manuell?
    Remoteprozeduraufruf, automatisch oder manuell?
    Server, automatisch oder manuell?
    Telefonie, mauell oder deaktivieren?


    Gerald, wie ist da Deine Meinung?


    Tom

    Tom,


    ich halte mich da an die Empfehlungen, die man bei KSS Systeme nachlesen kann. Diese wurden unter laaaangen und teils heftigen Diskussionen im Usenet erstellt. Selbstverständlich sind die individuellen Gegebenheiten zu berücksichtigen: Einzelrechner oder Client am Server, Betriebssystem, welche Arbeiten werden am Rechner verrichtet, .... to be continued.


    Auf manuell setzen
    - Ablagemappe
    - Anwendungsverwaltung
    - COM+-Ereignissystem
    - COM+-Systemanwendung
    - Computerbrowser
    - Designs
    - DHCP-Client
    - Distributed Transaction Coordinator
    - DNS-Client
    - Gatewaydienst auf Anwendungsebene
    - Hilfe und Support
    - IMAPI-CD-Brenn Com Dienste
    - Intelligenter Hintergrundübertragungsdienst
    - Internetverbindungsfirewall/Gemeinsame Nutzung der Internetverbindung
    - IPSEC-Richtlinienagent
    - Leistungsdatenprotokolle und Warnungen
    - Kompatibilität für schnelle Benutzerumschaltung
    - Konfigurationsfreie drahtlose Verbindung
    - MS Software Shadow Copy Provider
    - NetMeeting-Remotedesktop-Freigabe
    - Netzwerk-DDE-Dienst
    - Netzwerk-DDE-Serverdienst
    - Netzwerkverbindungen
    - NLA
    - NT-LM-Sicherheitsdienst
    - QoS RSVP
    - RAS-Verbindungsverwaltung
    - Remote-Registrierung
    - Sekundäre Anmeldung
    - Seriennummern der tragbaren Medien
    - Sicherheitskontenverwaltung
    - Sitzungsmanager für Remotedesktophilfe
    - Smartcard
    - Smartcard-Hilfsprogramm
    - Taskplaner
    - TCP/IP-NetBIOS-Hilfsprogramm
    - Telefonie
    - Terminaldienste
    - Treiberverwaltung für Windows-Verwaltungsinstrumentation
    - Überwachung verteilter Verknüpfungen (Client)
    - Universeller Plug & Play Gerätehost (siehe auch 4. Beenden von ssdp)
    - Unterbrechungsfreie Spannungsversorgung
    - Verwaltung für automatische RAS-Verbindung
    - Verwaltungsdienst für die Verwaltung logischer Datenträger
    - Volumenschattenkopie
    - Wechselmedien
    - Windows Installer
    - Windows-Bilderfassung (WIA)
    - Windows-Verwaltungsinstrumentation
    - Windows-Zeitgeber
    - WMI-Leistungsadapter


    Auf automatisch setzen


    - Druckwarteschlange
    - Ereignisprotokoll
    - Geschützter Speicher
    - InteractiveLogon
    - Kryptografiedienste
    - Plug & Play
    - Remoteprozeduraufruf (RPC)
    - Shellhardwareerkennung
    - Systemereignisbenachrichtigung
    - Systemwiederherstellungsdienst
    - Upload-Manager
    - Verwaltung logischer Datenträger
    - WebClient
    - Windows Audio


    Auf deaktiv setzen
    - Automatische Updates
    - Eingabegerätezugang
    - Fehlerberichterstattungsdienst
    - Indexdienst
    - Routing und RAS
    - SSDP Suchdienst (siehe auch 4. Beenden von ssdp)
    - Telnet


    Gerald

    ich bin Root! Wenn du mich grinsen siehst, hast du besser ein Backup.

    Hi Gerald,


    zu den Diensten:


    interessant ist, dass die von mir gelisteten Dienste auf meinem Rechner alle auf "manuell" gesetzt sind.
    Trotzdem sind sie direkt nach dem Windowsstart aktiviert.


    Dann kann ich sie doch gleich auf "automatisch" lassen, oder übersehe ich da etwas?


    Tom

    Ich bin mir jetzt nicht zu 100% sicher, aber manuell heisst eigentlich nur, daß er erst gestartet wird, wenn er (von irgendeiner Anwendung?) benötigt wird, Automatisch heisst, er wird immer gestartet.

    Zitat

    Original von VideomartinWie ist meine IP jetzt ?


    Hier extra für Dich angefertigt :D


    Zu dem leidigen Thema Firewall - nichts als ein schönes Beispiel dafür, wie mit der Angst der User mächtig Geld gemacht wird... :shake:


    Gerade das Thema "Quasselstrippen" wird oft als letztes Argument herangezogen, wenn es darum geht Personal Firewalls eine Daseinsberechtigung zu verschaffen. In dem Zusammenhang verweise ich immer besonders gerne auf meine beiden Lieblingsbildchen, die schön veranscheulichen wie sinnvoll eine Firewall auf einem Windowsrechner ist: :D


    http://www.nibbler.de/pics/unischranke.jpg
    http://www.ircm.de/pics/fun/win98_with_firewall.jpg


    Diese Bildchen sind geklaut von der Seite http://www.udel.de/faq/, die jedem ans Herz gelegt sei, der sich ein bisschen mit der Materie auseinander setzen möchte. Insbesondere die FAQ von Lutz Donnerhacke oder auch die Verweise zu den Erklärungen wie Firewalls umgangen werden können sind ein interessanter Einstieg.


    Ausserdem interessant ist SUperior SU - ein kleines bisschen UNIX-(Sicherheits)-Feeling für Windows-PCs durch strikte User/ Admin-Trennung...


    cybertom - Die Seiten von Steve Gibson werden auch vielerorts heftig kritisiert - gerade weil sie dem User mit ihren Shields-Up-Tests Sicherheit vorgaukeln...

    Ja gut, aber wenn der Dienst bereits gestartet ist, wenn ich das in der Verwaltung überprüfe, könnte ich ihn doch auch atomatisch starten lassen, weil er ja wohl von irgendeiner Applikation benötigt wird.


    Was ich allerdings dabei nicht verstehe ist folgendes:


    mein Video-Rechner hängt nicht am Inter- oder Intra-Net.
    Deshalb ist auch kein einziges Netzwerkprotokoll installiert.
    Aber die Netzwerkverbindungen werden von Windows gestartet.


    Was wird da gestartet, wenn kein Netzwerkprotokoll installiert ist?


    Grübel.


    Tom

    Die "udel-Seite" kenn ich, sehr viel Lesestoff ;)


    >>gerade weil sie dem User mit ihren Shields-Up-Tests Sicherheit vorgaukeln...<<


    bezieht sich das auf die Sicherheit, die den User unvorsichtig werden lassen, oder sind diese Port-Scans fehlerhaft?


    Tom

    Eventuelle Netzwerkkarten, ISDN-Karten etc benötigen den.
    Ohne würdest Du zum Beispiel keine einzige Netzwerkverbindung die eingerichtet sein KÖNNTE, sehen.


    Win2000 hab manchmal zum Beispiel die Macke, den rauszuschmeissen, und dann ist nix mehr da, was da sein sollte.



    Hast und nutzt Du keine, kannste den AFAIK deaktivieren.

    >>Eventuelle Netzwerkkarten, ISDN-Karten etc benötigen den.<<


    ich sagte doch, dass ich kein Netz auf dem Video-Rechner habe. Also ist da auch keine ISDN-Karte.


    Und die Ethernet-Schnittstelle auf dem MoBo ist im BIOS deaktiviert.
    Sie taucht deshalb auch nicht im Gerätemanager auf.


    Oder könnte es die Feuerwehrkarte sein? Behandelt die Windows als Netzwerk?


    Tom