Weingeist 157 Geschrieben 11. Mai 2015 Melden Teilen Geschrieben 11. Mai 2015 Hallo Leute, Gibt es eine Möglichkeit - z.B. einen Registry-Flag - um sämtlichen Traffic zu blocken wenn der Firewall-Dienst down/beendet ist? Standarmässig wird ja dann alles durchgelassen. Grüsse und Danke Zitieren Link zu diesem Kommentar
zahni 525 Geschrieben 11. Mai 2015 Melden Teilen Geschrieben 11. Mai 2015 Hm, blockiert nicht er FW-Dienst die Ports? Wenn der nicht läuft, hast Du ein Problem. Warum sollte der denn nicht laufen? Zitieren Link zu diesem Kommentar
daabm 1.197 Geschrieben 11. Mai 2015 Melden Teilen Geschrieben 11. Mai 2015 Wenn Du - ab Windows Vista - den Firewall-Dienst (mpssvc) beendest, solange sein Startmodus nicht auf "Deaktiviert" steht, geht das System in die Boot Time Protection und blockiert alle eingehenden Verbindungen. Wenn Du noch XP einsetzt, möchte ich Dir eigentlich nicht mehr helfen :D Zitieren Link zu diesem Kommentar
Weingeist 157 Geschrieben 12. Mai 2015 Autor Melden Teilen Geschrieben 12. Mai 2015 (bearbeitet) @daabm: Ich nutze neben XP sogar noch W98, DOS und Windows 3.11. Geht hier aber schon um neuere OS, sonst wärs nicht die Advanced =) @Beide: Das ist eben die Frage. Wenn ich den Dienst manuell deaktiviere ist ja voller Durchzug. In wie Out. Eine Malware macht ja im Grunde nix anderes. Zumindest die letzte mit der ich Kontakt hatte, hat alles sauber deaktiviert (Virenscanner, Firewall) und teilweise sogar deinstalliert (Windows Update, Bits), Update Status auf aktuell gesetzt usw. Volles Programm. Die Kiste selbst hat sich überall als komplett durchgepatcht zu erkennen gegeben. Keinerlei Warnungen. Ziemlich perfid. Wenn nun eine Malware die Firewall abschaltet, oder auch ein User, möchte ich dem PC die Kommunikation ganz verweigern. Sprich die Malware müsste dann selber Firewallregeln erstellen. Klar auch das ist möglich, aber zumindest etwas unwahrscheinlicher. bearbeitet 12. Mai 2015 von Weingeist Zitieren Link zu diesem Kommentar
Daniel -MSFT- 129 Geschrieben 12. Mai 2015 Melden Teilen Geschrieben 12. Mai 2015 Schau Dir mal Network Access Protection (NAP) an. Damit kann man sowas realisieren. Du kannst das nicht allein auf dem Client lösen. Dem Rechner die Netzwerkkommunikation zu unterbinden muss von aussen geschehen, wenn die Malware den Rechner gerootet hat. Zitieren Link zu diesem Kommentar
Weingeist 157 Geschrieben 12. Mai 2015 Autor Melden Teilen Geschrieben 12. Mai 2015 (bearbeitet) @Daniel: OK, warum eigentlich? Ein Block-All wäre da doch sinnvoller oder? Ich weiss nicht wie der TMG das macht, aber bei dem ist - soweit ich mich richtig erinnere - Schluss mit traffic wenn die Firewall down ist. Zumindest von und nach extern. Und dieses Ding klinkt sich ja in die Advanced Firewall ein. NAP: Danke für den tipp, werde mich mal durchwühlen. bearbeitet 12. Mai 2015 von Weingeist Zitieren Link zu diesem Kommentar
zahni 525 Geschrieben 12. Mai 2015 Melden Teilen Geschrieben 12. Mai 2015 Warum darf ein User oder eine Malware die FW Abschalten? Hat der User zu viele Rechte? Zitieren Link zu diesem Kommentar
NorbertFe 1.834 Geschrieben 12. Mai 2015 Melden Teilen Geschrieben 12. Mai 2015 Nö im Tmg lockdown gibt's immer noch Traffic für local Host. In lockdown mode, the following functionality applies: The kernel-mode packet filter driver (fweng) applies the firewall policy. Outgoing traffic from the Local Host network to all networks is allowed. If an outgoing connection is established, that connection can be used to respond to incoming traffic. For example, a DNS query can receive a DNS response on the same connection. The following system policy rules continue to allow incoming traffic to the Local Host network unless they are disabled: Allow remote management from selected computers using MMC. Allow remote management from selected computers using Terminal Server. Allow DHCP replies from DHCP servers to Forefront TMG. Allow ICMP (PING) requests from selected computers to Forefront TMG. VPN remote access clients cannot access Forefront TMG. Similarly, access is denied to remote site networks in site-to-site VPN scenarios. Any changes to the network configuration that are made in lockdown mode are applied only after the Firewall service restarts and Forefront TMG exits lockdown mode. Forefront TMG does not issue any alerts. https://technet.microsoft.com/en-us/library/cc995069.aspx Bye Norbert Zitieren Link zu diesem Kommentar
Weingeist 157 Geschrieben 12. Mai 2015 Autor Melden Teilen Geschrieben 12. Mai 2015 Malware: Nun, wenn sie die richtigen Sicherheitslücken ausnutzt, dann ist egal welche Rechte der User hat. Auf dem betreffenden Desktop war kein einziger User mit mehr als Userrechten unterwegs. War ein aktuelles 8.1 System. Kein Ahnung worauf die gesurft waren, Logs war alles geleert. So richtig schön aufgeräumt... User: Können Normale natürlich nicht... Auf Produktionsmaschinen sind Admin-Rechte auf der lokalen Maschine für die Entwickler der Automatisation leider oft notwendig. Musste ich bei nem Kunden auch so einrichten. Die nehmen gerne mal den bequemen Weg und disablen den Dienst anstatt entsprechende Regeln zu definieren. Ist ja nur für kurz und am Ende bleibts aus. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.