Jump to content
Sign in to follow this  
t.hoelzl

"Raustelefonieren" der svchost.exe unterbinden

Recommended Posts

Hallo,

 

die svchost.exe versucht regelmäßig über Port 80 Verbindungen zu diversen IPs im Internet aufzubauen. Die externe IP-Bereiche gehören meist level3.net, akamai oder Microsoft selbst. Allerdings haben die Clients einen Proxyserver in den Internetoptionen eingetragen und kommen nur über diesen ins www. Alle Windowsupdates laufen über einen internen WSUS. Die Verbindungen über Port 80 werden dann natürlich an der Firewall geblockt.

 

Mit tasklist /svc /fi "Imagename eq svchost.exe" habe ich mir mal angesehen, welche Dienste sich hinter der svchost.exe verstecken, die die Aufrufe versuchen. Diese sind CryptSvc, Dnscache, LanmanWorkstation, NlaSvc, WinRM. Kann mir jemand einen Tipp geben, welcher dieser Dienste wirklich den Traffic verursacht und warum er sich nicht an die Interneteinstellungen hält?

Share this post


Link to post
Share on other sites

Ich hole diesen Thread mal zurück, da ich das gleiche Problem mit unseren virtuellen Rechner (Über 1000!!) haben. Das haut natürlich ganz schön rein bei der Firewall. Gibt es hierfür evtl. einen Tipp?

Share this post


Link to post
Share on other sites

dreh mal die ganzen dienste welche

- du nicht brauchst und

- die den svchost nutzen

ab.

Beispiele sind

Windows Audio

Computerbrowser

Kryptografiedienste

DHCP-Client

COM+-Ereignissystem

Kompatibilität für schnelle Benutzerumschaltung

HID Input Service

Server

Arbeitsstationsdienst

Netzwerkverbindungen

NLA (Network Location Awareness}

RAS-Verbindungsverwaltung

Taskplaner

Systemereignisbenachrichtigung

Shellhardwareerkennung

Systemwiederherstellungsdienst

Telefonie

Designs

Überwachung verteilter Verknüpfungen (Client)

Windows-Verwalltungsinstrumentation

Automatische Updates

 

etc. etc....

 

auto-update (bei wsus) einstellungen und registry einträge kontrollieren und evt anpassen.

 

hauptursache für traffic ist meist der updatedienst.

 

ich nehme an dass deine svchost im system32 ordner liegt. ansonsten mal anti-schädlings-aktion starten.

Share this post


Link to post
Share on other sites

Hi,

 

wenn ich den Sub-Prozess "CryptSvc" in Deinen Angaben sehe, wird es sich bei den Zugriffsversuchen vermutlich um folgende Funktion handeln: An automatic updater of revoked certificates is available for Windows Vista, Windows Server 2008, Windows 7, and Windows Server 2008 R2

 

Kannst Du prüfen, ob auch die folgenden URLs geprüft werden?

 

http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/disallowedcertstl.cab

http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab

 

Viele Grüße

olc

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...