|
"Raustelefonieren" der svchost.exe unterbinden
Hallo,
die svchost.exe versucht regelmäßig über Port 80 Verbindungen zu diversen IPs im Internet aufzubauen. Die externe IP-Bereiche gehören meist level3.net, akamai oder Microsoft selbst. Allerdings haben die Clients einen Proxyserver in den Internetoptionen eingetragen und kommen nur über diesen ins www. Alle Windowsupdates laufen über einen internen WSUS. Die Verbindungen über Port 80 werden dann natürlich an der Firewall geblockt.
Mit tasklist /svc /fi "Imagename eq svchost.exe" habe ich mir mal angesehen, welche Dienste sich hinter der svchost.exe verstecken, die die Aufrufe versuchen. Diese sind CryptSvc, Dnscache, LanmanWorkstation, NlaSvc, WinRM. Kann mir jemand einen Tipp geben, welcher dieser Dienste wirklich den Traffic verursacht und warum er sich nicht an die Interneteinstellungen hält?
|
