resas0

Hallo, ich benutze die Windows 7 Firewall auf der Einstellung, dass alle aus- und eingehenden Verbindungen geblockt werden. Also nicht die Standardeinstellung, dass alle ausgehenden Verbindungen erlaubt sind. Ich benutze eine Desktopfirewall zusätzlich zu meiner Routerfirewall, damich ich genau festlegen kann, welches Programm ins Internet darf und welches nicht. Ich habe zudem alle Standard-Regeln deaktiviert und muss also jede Anwendung explizit in das Regelwerk aufnehmen, um ihr einen Zugriff auf das Internet zu gewähren. Neben Firefox, Thunderbird und Avira Antivir Updater habe ich noch die svchost.exe von Windows erlaubt, damit die windwos updatefunktion reibungslos funktioniert. Sonst nichts! Heute habe ich aber mit Entsetzen festgestellt, dass ich im Adobe Acrobat Reader unter "Hilfe" auf die Funktion "Nach Updates suchen" klicken kann und dort auch tatsächlich eines gefunden werden konnte, obwohl ich definitiv nur die oben genannten 4 Programme explizit erlaubt habe. Wenn ich das Netzwerkkabel aus meinem Rechner ziehe und beim Adobe Acrobat Reader auf die Funktion "Nach Updates suchen" klicke, dann meldet er auch, dass er keine Internetverbingung hat. Sobald das Kabel allerdings wieder drin ist, meldet er dies nicht mehr, nur, dass auf dem Server keine neuen Updates zur Verfügung stehen. Der Updater konnte also ins Internet verbinden, obwohl ich - wie bereits erwähnt nur Firefox, Thunderbird, Avira Antivir Updater und die svchost.exe von Windows erlaubt habe. Dann habe ich getestet, was passiert, wenn ich die Erlaubnis für die svchost.exe von Windows (aus dem system32-Verzeichnis) deaktiviere - und siehe da!!! plötzlich findet der Adobe Acrobat Reader Updater keinen Server mehr. Dh. der Adobe Acrobat Reader Updater schleicht sich irgendwie über die svchost.exe von Windows (aus dem system32-Verzeichnis) ins Internet. Ich dachte bisher immer ich hätte die Kontrolle über meine Firewall bzw. welches Programm ins Internet darf und welches nicht - aber nun weiß ich, dass sich wohl jedes beliebige Programm einfach über die svchost.exe einen Internetzugriff erschleichen kann. Also auch ein trojaner oder spyware... das ist ja eine EXTREME Sicherheitslücke. Dann kann ich die Firewall ja gleich ganz aus lassen, wenn sie so einfach austricksbar ist. Das möchte ich aber nicht! Das finde ich katastrophal und würde gerne wissen, wie das überhaupt möglich ist. Hat jemand eine Erklärung und noch besser auch noch einen Tipp, wie man dagegen vorgehen kann? Vielen dank und geschockte Grüße resas0

Hallo, ich nutze die Windows 7 Firewall und habe sie so konfiguriert, dass sie standardmäßig jede kommunikation nach aussen und nach innen blockiert. ich muss also jedes programm einzeln in der firewall-konfiguration händisch explizit erlauben, um dem jeweiligen programm einen internetzugriff zu ermöglichen. das geht sogar soweit, dass nichteinmal windowsupdate usw. funktioniert, solange man nicht svhost.exe explizit frei gibt. ich denke also, bzw dachte bist heute, die firewall wäre ziemlich sicher. jetzt ist es aber so, dass ich heute herausgefunden habe, dass wenn man bei Sun VirtualBox "Bridged Network" bzw. "Netzwerkbrücke" (* Details siehe unten) für den Guest auswählt, dann kann man bei der Host Windows 7 Firewall den gesamten Verkehr auf "sperren" stellen --> nun funktioniert erwartungsgemäß kein einiziger internetzugriff auf dem host (also kein windows-update, kein erlaubtes programm, da ja blockiereinstellungen freigaben überlagern) --> ABER: das guest betriebssystem kann trotzdem noch munter ins internet. das hätte ich so nicht erwatet! das macht mir ernsthafte sorgen. liegt das an der windows 7 firewall, oder können auch andere softwarefirewalls diesen ausgehenden datenverkehr nicht unterbinden? was ist wenn ein virus/trojaner auch einfach über eine art bridged-konnektion an der windows 7 firewall (bzw. anderen sw-firwalls) vorbei kkommuniziert? wie schätzt ihr das ein und woran liegt es eurer meinung, dass die windows 7 wirewall diesen verkehr nicht aufhalten kann? vielen Dank. grüße resas -------- * es wird keine zusätzliche netzwerkkarte auf dem host installiert. nur dem existierenden physisischen adapter ein "protokoll" (also wir zb. TCP4) hinzugefügt, dass "VirtualBox Bridged Networking Driver" heißt. PS: wenn man den Haken bei diesem EIntrag beim Hostsystem entfernt, kommt dann tatsächlich auch der Guest nicht mehr ins internet... aber wieso sieht das die windows 7 firewall nicht? -------- erklärung von "VirtualBox"-Hilfe zu Bridged networking: This is for more advanced networking needs such as network simulations and running servers in a guest. When enabled, VirtualBox sets up an additional, software-based network interface on the host to which the virtual machine is connected. With bridged networking, VirtualBox uses a device driver on your host system that filters data from your physical network adapter. This driver is therefore called a "net filter" driver. This allows VirtualBox to intercept data from the physical network and inject data into it, effectively creating a new network interface in software. When a guest is using such a new software interface, it looks to the host system as though the guest were physically connected to the interface using a network cable: the host can send data to the guest through that interface and receive data from it. This means that you can set up routing or bridging between the guest and the rest of your network.