Firewall - svchost.exe, explorer.exe,.. blockieren

Hallo IT-Sicherheits-Experten!
Ich möchte meinen PC so weit wie möglich mit meiner Firewall in der Netzwerkfähigkeit einschränken.
Das heißt, dass auch die Systemprozesse nur noch auf die mindesten Netzwerkressourcen frei Zugang haben sollen.
Mir geht es vor allem um den Prozess „svchost.exe“, wie weit kann ich diesen einschränken, dass ein Browser, ein Virenscanner, ein Chat-Programm (z.B. IRC) noch Internetzugang hat. Welche Ports kann ich für den Prozess mit Sicherheit schließen, sodass die Internetverbindung immer noch steht.
Bzw. kann man überhaupt was blockieren oder ist der Prozess abhängig vom Netzwerk? Stellt der Prozess für alle anderen Prozesse im PC eine Netzwerkbrücke dar?
Wie sieht das mit anderen Systemprozessen aus? Was kann ich bei „explorer.exe“, „smss.exe“ mit Sicherheit schließen? Was funktioniert dann noch/was nicht mehr?
Wär echt gut wenn da jemand ein paar Tipps abegeben könnte!
Das Thema ist zwar ein wenig seicht und unklar, mein Ziel ist es jedenfalls meinen PC möglichst gut vor Eindringlingen zu schützen. (Ich weiß,…am besten das Kabel ziehen )

PS: Gibt es eine PeerGuardian Liste, bei der Google nicht betroffen ist?

Gruß Breather

Hallo Breather

Bzw. kann man überhaupt was blockieren oder ist der Prozess
abhängig vom Netzwerk?

Man kann die svchost.exe entweder sperren oder zulassen. Wenn Du sie sperrst, dann nur komplett.

Stellt der Prozess für alle anderen Prozesse im PC eine Netzwerkbrücke
dar?

Nicht unbedingt für alle. Aber ja, es stellt anderen Prozessen bestimmte Funktionen zur Verfügung. Dabei geht es nicht immer um Netzwerkzugriff, sondern um verschiedene Sachen. Du müsstest Dich, wenn es Dich wirklich interessiert, mal im Detail informieren, wofür die svchost.exe und andere Sachen ganz genau verwendet werden können.

Wie sieht das mit anderen Systemprozessen aus? Was kann ich
bei „explorer.exe“, „smss.exe“ mit Sicherheit schließen?

Also, schliessen tut man Ports. Und zwar indem man den Dienst, der am jeweiligen Port lauscht, beendet. Oder, wenn man den Dienst nicht beenden kann, weil sonst Windows nicht mehr (richtig) funktioniert, dann konfiguriert man den Dienst so, dass er nur lokal (etwa auf Localhost 127.0.0.1) lauscht.

Wär echt gut wenn da jemand ein paar Tipps abegeben könnte!

Du solltest Dich am besten erstmal eingehend mit dem Thema befassen und lernen, was Dienste, Ports etc. sind. Lerne auch den Unterschied zwischen einem offenen Port, an dem ein Dienst permanent lauscht und dem Port, den z.B. der Browser temporär öffnet, um die Antwort eines Webservers entgegenzunehmen.

Das Thema ist zwar ein wenig seicht und unklar, mein Ziel ist
es jedenfalls meinen PC möglichst gut vor Eindringlingen zu
schützen. (Ich weiß,…am besten das Kabel ziehen )

Gegen Eindringlinge, die von aussen versuchen auf Deinen PC zu gelangen, helfen folgende Massnahmen:

Zumindest, wenn Dein PC direkt am Internet hängt, kannst Du die Windows-eigenen Dienste (RPC, LSASS und wie sie alle heissen…) vernünftig konfigurieren. Wie oben bereits angedeutet, kann man einige Dienste problemlos beenden, andere müssen laufen. Aber die kann man so einstellen, dass sie nur lokal lauschen, nicht nach aussen. Das Tool ‚Windows-Dienste abschalten‘ auf http://www.dingens.org macht das für die wesentlichsten Anwendungsfälle automatisch. Lies die Seite und die dort verlinkten Sachen trotzdem aufmerksam durch, damit Du auch verstehst, was das Tool macht und warum.

Halte das Betriebssystem und die verwendeten Programme stets aktuell, z.B. durch Verwendung von eingebauten Update-Funktionen, die das automatisch erledigen.

Vermeide die Verwendung des IE und verwende stattdessen z.B. Firefox.

Gegen Eindringlinge, die Du Dir einfängst und die dann nach aussen wollen, helfen solche Sachen, wie Du sie angedacht hast, nicht wirklich. Wenn Du z.B. mit einer Personal Firewall erstmal alles abriegelst, danach aber auch nur ein einziges Programm, z.B. den Browser, erlaubst, kann ein Schädling dieses Programm dazu missbrauchen, auch nach aussen zu gelangen. Daher ist die einzige zuverlässige Möglichkeit, sowas zu verhindern die, nur solche Programme zu installieren und zu verwenden, die man braucht und die sich so verhalten, wie man das wünscht.

CU
Peter

Vielen Dank für die kurze und gut erklärte Antwort. Ich werde einige Dienste abschalten und nur das nötigste laufen lassen.
Wäre ich es auch gut wenn ich das Programm von http://www.dingens.org/ verwenden würde wenn ich schon Service Pack 2 und eingeschaltete Windows Firewall habe?

Gutes neues Jahr!
cu

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

Hallo Breather

Wäre ich es auch gut wenn ich das Programm von
http://www.dingens.org/ verwenden würde wenn ich schon Service
Pack 2 und eingeschaltete Windows Firewall habe?

Nun, einerseits solltest Du inzwischen das SP3 installiert haben. Andererseits ist es durchaus sinnvoll, die XP-Firewall als Ergänzung zum Konfigurieren der Dienste zu verwenden. Jedenfalls wenn Du direkt am Internet hängst. Wenn Du via einen Router online gehst, ist es weniger problematisch, da der Router nicht alles reinlässt, was da so anklopft.

CU
Peter

Mahlzeit,

vielleicht hilft dir ja dieser Link.

http://www.microsoft.com/germany/technet/datenbank/a…

Ich glaube in diesem Bericht ist nicht beschrieben, wie man auf auf die Ausnahmen kommt. Bei den Ausnahmen (oder wie der Butten genau heißt) kann man genau die Ports für die Anwendung anschauen, freigeben oder blockieren. Da ich neuerdings Linux benutze (weil Sicherer ) kann ich dir nicht genau sagen wo man das genau findet.

Schöne Grüße, Frederik

Hallo,
lies mal:
http://support.microsoft.com/kb/314056/de
Fazit: Finger weg von svchost.exe

siehe auch:
http://www.frankn.com/html/svchost_exe.html

Culles

Hallo Frederik

vielleicht hilft dir ja dieser Link.

Danke, aber ich kenne den schon. Aber erstens ist der Artikel eher für Administratoren einer Windows-Domäne gedacht, zweitens bezweifle ich etwas, dass damit etwas möglich ist, wie es im Ursprungsposting gefragt wurde. Denn solche Sachen wie ‚svchost.exe‘ muss man global erlauben oder verbieten, denn da weiss man glaub ich nie genau, welches Programm dieses Ding benutzt.

CU
Peter

Hallo Breather

Wäre ich es auch gut wenn ich das Programm von
http://www.dingens.org/ verwenden würde wenn ich schon Service
Pack 2 und eingeschaltete Windows Firewall habe?

Nun, einerseits solltest Du inzwischen das SP3 installiert
haben.

Ich hab es schon installiert, ich habe jedoch nur Service Pack 2 geschrieben, da dieses SP die „Minimalanforderung“ ist, um dieses Programm nicht zu installieren.

Thanks nochmal!

Hallo Breather

Ich hab es schon installiert, ich habe jedoch nur Service Pack
2 geschrieben, da dieses SP die „Minimalanforderung“ ist, um
dieses Programm nicht zu installieren.

Sorry, aber das ist nicht ganz korrekt. Man kann auch ohne SP2 auf dieses Tool verzichten, indem man entweder die Dienste manuell konfiguriert oder die ‚Internetverbindungsfirewall‘, wie das Ding vor SP2 noch hiess, manuell einschaltet.

Trotzdem ist es natürlich besser, das System mit dem aktuellsten Service Pack, also mit SP3, auszustatten.

CU
Peter