[HowTo]Firewall im Whitelist-Modus --> Ungewollten Traffic automatisch blockieren

[Scheinweltname]

Und das wäre dann die Gateway Adresse oder eine andere ?

ne, du müsstest die Adresse eintragen, die bei ipconfig /all bei DNS-Server erscheint (diese IP mit 192.168 am Anfang).

Aber wenn ich für das Programm Malwarebytes' Anti-Malware nicht extra eine Zieladresse zuweise und nur Port 80 und 443 offen lassen, woher weiß ich, dass es dann nur Updates von den vertrauenswürdigen IPs zieht ? Es könnte doch dann Updates von jeder Zieladresse beziehen.

wäre schon ironisch, wenn Malwarebytes sich mit Malware-Servern verbinden würde
Aber natürlich ist es sinnvoll, die als CIDR anzugeben, in der die Update-Server liegen. Aber bist du sicher, dass die Updates nur port 80 und 443 brauchen? Kaspersky braucht z.B. noch andere Ports, um vollständig zu funktionieren (frag mich nicht, warum es trotzdem mit meinen Windows-Firewalleinstellungen funktioniert ).

Wobei:

Oder lass mich raten, mass muss keine extra Regel für svchost.exe erstellen. Es reicht die Zieladressen von Microsoft und co. in die die Vertrauenswürdige IPs (alle Programme) Regel aufzunehmen ^^

^^ gut geraten . Wenn du auch so eine Regel erstellst, kann Malwarebytes sowieso, auch ohne eigene Regel, auf seine Update-Server zugreifen.
Allerdings würde ich bei den "vertrauenswürdigen IPs" wirklich nur die Adressen von MS, Limelight und Verisign eintragen; bzw. allgemein IPs, auf die viele Programme zugreifen. Wenn nur ein, zwei Programme bestimmte IPs brauchen (z.B. Google würde ich nicht allgemein, sondern nur für den Firefox zulassen; die Adressen meiner E-Mail-Accounts kann nur Thunderbird erreichen usw.), dann würde ich die auch wirklich nur denjenigen Programmen zuordnen.
Anderseits handelt es sich ja eh um vertrauenswürdige IPs. Mal abgesehen davon, dass sich z.B. MS Word eh nicht mit nem Server von Blizzard verbindet, wären die Server sowieso sicher. Insofern könntest du deine Regeln auch so lassen.

Nach dem WinUpdate schreibe ich hier erstmal rein ob es auch nur mit port80, 443 geklappt hat, ohne Zieladressen ^^

?? Port 80 und 443 solltest du niemals (außer bei einem Browser) ohne Zieladresse öffnen; ganz besonders, wenn die Regel für alle Programme gilt. Auch der svchost ist ein sehr kritischer Dienst (der wichigste Dienst überhaupt in Windows). Der sollte unbedingt feste Adressen haben (wenn man sich schon die Mühe macht, eine Whitelist-Firewall einzurichten). Probier also zuerst, ob das Windowsupdate nicht auch mit deiner Regel "Windows Updates" funktioniert (und lass die Regel "update ohne ips" deaktiviert).

EDIT: Heute wurden alle Daten des WinUpdates (über 50MB!) von einem MS-Server aus dem Bereich 65.52.0.0/14 geladen; keine Beteiligung von Limelight.

 

[Falkner]

ne, du müsstest die Adresse eintragen, die bei ipconfig /all bei DNS-Server erscheint (diese IP mit 192.168 am Anfang).

Gut, da steht 192.168.2.1 , war das nicht die für die ganze Nation ?^^
Trage das jetzt in die DNS UDP-53 für alle Programme ein, hoffe das ist jetzt die richtige.
Ansonsten muss ich hier ein Screenshot von der Eingabeanforderung machen.

wäre schon ironisch, wenn Malwarebytes sich mit Malware-Servern verbinden würde
Aber natürlich ist es sinnvoll, die als CIDR anzugeben, in der die Update-Server liegen. Aber bist du sicher, dass die Updates nur port 80 und 443 brauchen? Kaspersky braucht z.B. noch andere Ports, um vollständig zu funktionieren (frag mich nicht, warum es trotzdem mit meinen Windows-Firewalleinstellungen funktioniert ).

Die Updates klappen damit, ja. Ob ich allerdings dadurch auch alles erhalte was verügbar ist, weiß ich nicht.
Ich weiß nicht welche Ports für Malewarebyte nocht benötigt wird. Hab danach gegoogelt aber nichts gefunden. Auch hier http://portforward.com/cports.htm habe ich nichts gefunden. Norton-AV benötigt die eine von akamai ich glaube das war 217.89.105.128/25.
Aber scheint nicht immer zu klappen mit dieser Akamai Zieladresse. Manchmal wird keine Verbindung aufgebaut.

Wobei:

^^ gut geraten . Wenn du auch so eine Regel erstellst, kann Malwarebytes sowieso, auch ohne eigene Regel, auf seine Update-Server zugreifen.

So hab ichs mir auch gedacht , denn so kann ich die Regel Windows Updates, update ohne ips und die Regel für malwarebytes updates einsparen und schlage mit der Regelvertrauenwürdige IPs drei überflüssige Regeln mit einer einzigen.

Allerdings würde ich bei den "vertrauenswürdigen IPs" wirklich nur die Adressen von MS, Limelight und Verisign eintragen; bzw. allgemein IPs, auf die viele Programme zugreifen. Wenn nur ein, zwei Programme bestimmte IPs brauchen (z.B. Google würde ich nicht allgemein, sondern nur für den Firefox zulassen; die Adressen meiner E-Mail-Accounts kann nur Thunderbird erreichen usw.), dann würde ich die auch wirklich nur denjenigen Programmen zuordnen.

Gut, dann habe ich das bisher richtig gemacht.
Wichtige/Vertrauenswürdige für alle Programme.
Bei eher unwichtigen , spezielle Programmen speziell eine Zieladresse einrichten.

?? Port 80 und 443 solltest du niemals (außer bei einem Browser) ohne Zieladresse öffnen; ganz besonders, wenn die Regel für alle Programme gilt. Auch der svchost ist ein sehr kritischer Dienst (der wichigste Dienst überhaupt in Windows).

Und bei Kaspersky und Norton gillt doch das gleiche

EDIT: (obwohl, für die Updates für Norton benötige ich 217.89.105.128/25 und das ist die von akamai. Keine Ahnung ob das alles so in Ordnung mit Akamai ist.Aber dann tippe ich die lieber bei der Norton Regel selbst ein anstatt sie generell für alle Programme als vertrauenwürtig zu stellen)

Also ich habe jetzt folgendes probiert.

svchost.exe nur mit Port 80, 443 ohne Zieladresse und die vertrauenwürdige IPs(MS,Limelight Networks, Versign) ausgeschaltet. = und konnte komischerweise Updates finden, obwohl nur die beiden ports offen sind.

Aber es klappt auch mit der von dir genannten Regel mit der ich es versuchen soll.
svchost.exe mit Port 80, 443 + Zieladressen.


klappen tut es aber auch, wenn ich die Regeln für svchost.exe ausschalte und nur die vertrauenwürdigen IPs aktiviere. Dann greift svchost.exe vermutlich automatisch auf diese Regeln ohne für svchost.exe extra eine Regel erstellt zu haben.

Würde das gerne so lassen und svchost.exe ganz in Ruhe lassen und nicht extra eine Regel erstellen müssen, da es anscheinend mit den vertrauenwürdigen IPs auch geht.

Bei dir auf dem screen hast du ja auch keine svchost.exe Regel.
Bestimmt läuft das bei dir auch über die vertrauenwürdigen IP auf die dann svchost.exe von selbst zugreift um Updates zu ziehen.




EDIT:
Mir ist grad noch was eingefallen bezüglich der ausgehenden Regel Vertrauenswürdige IPs (alle Programme).

Das ist ja eine benutzerdefinierte Regel und gillt für alle Programme.
Dort sind halt Zieladressen zu Microsoft, Limelight Netzwerke und Verisign eingetragen.
Aber es ist ja auch Port 80 und 443 freigeschaltet und da die Regel doch für alle Programme gillt, bedeutet das doch, dass für alle Programme auch Port 80 und 443 freigeschaltet sind und das soll doch nicht sein oder sehe ich das falsch ?
Ich komme darauf, weil du in deinem letzen Beitrag geschrieben hast:

?? Port 80 und 443 solltest du niemals (außer bei einem Browser) ohne Zieladresse öffnen; ganz besonders, wenn die Regel für alle Programme gilt.

Zieladressen sind zwar eingegeben, aber Port 80 und 443 auch und das für alle Programme....

 

[Scheinweltname]

Zur Router-Adresse: Die ist zwar für fast alle Router-Benutzer ziemlich gleich; den eigenen Router kann man aber immer nur erreichen, wenn man lokal(!) im eigenen Netzwerk angemeldet ist. Wenn ich deine Adresse eingebe, komme ich höchstens an meinen Router.
Die Adressen mit 192.168. und 169.254. am Anfang sind immer lokale Adressen, die mit dem Internet nichts zu tun haben und die nur auf deinem eigenen Rechner, in deinem eigenen Netzwerk zwischen dir und deinem Router erreichbar sind.

Zu Akamai: Die haben fürchterlich viele CIDR; vermutlich werden die Updates von unterschiedlichen Servern bedient.

Zu Regeln allgemein: Die Bestandtele der Regeln sind mit "und" verknüpft. Das heißt: Die Firewall lässt NUR Daten durch, die a) port 80 oder 443 nutzen UND b) das Protokoll TCP nutzen UND c) zu den eingegeben Adressen führen. Alles drei MUSS erfüllt sein, ansonsten blockiert die Firewall den Traffic.

Wenn also ein Programm zwar den port 80 nutzt, aber weder zu MS, Limelight oder Verisign (bzw.eben einer eingetragenen Adresse) verbinden will, blockiert die Firewall die Verbindung.

 

[Falkner]

Die Adressen mit 192.168. und 169.254. am Anfang sind immer lokale Adressen, die mit dem Internet nichts zu tun haben und die nur auf deinem eigenen Rechner, in deinem eigenen Netzwerk zwischen dir und deinem Router erreichbar sind.

Hab meine Routeradresse als Remoteadresse in meine DNS UDP-53 Regel gepackt.
Macht es einen großen Unterschied, diese Zieladresse angegeben zu haben oder keine eingegeben zu haben ? Ob mit oder ohne, Surfen funktioniert mit und ohne.

Ich muss auch mal schauen, wie ich meinen Router konfigurieren kann.
DNS-Server sind zwar zwei stück drin eingetragen aber wenn ich diese als Zieladresse nutze, dann funktioniert Google nicht und alle anderen Seiten benötihgen lange um zu laden. Ich glaube ich muss da den/die "echten" - DNS Server finden und schauen wie ich die forhandenen löschen und die"echten" eintragen kann. Du hast ja mehrmals "WAN" erwähnt. Da steht bei mir MAC-Adresse WAN: und dahinter eine Zahl, bestehend aus Zahlen, Bindestrichen und Buchstaben.
Eventuell kann mir da der T-Onlinesupport weiterhelfen.

Möchte das gerne so eingestellt haben wie bei dir, da ich das hier gelesen habe
DNS-einträge wurden im router verändert und auf andere ip´s weitergeleitet. (Der letzte Beitag)

Zu Regeln allgemein: Die Bestandtele der Regeln sind mit "und" verknüpft. Das heißt: Die Firewall lässt NUR Daten durch, die a) port 80 oder 443 nutzen UND b) das Protokoll TCP nutzen UND c) zu den eingegeben Adressen führen. Alles drei MUSS erfüllt sein, ansonsten blockiert die Firewall den Traffic.

Wenn also ein Programm zwar den port 80 nutzt, aber weder zu MS, Limelight oder Verisign (bzw.eben einer eingetragenen Adresse) verbinden will, blockiert die Firewall die Verbindung

Heißt also, auf diese Regel: Vertrauenswürdige IPs (alle Programme) (Port 80,443 (TCP) mit Microsoft, Verisign und Limelight Network Zieladressen), können auch nur Programme zugreifen, denen sie auch etwas nutzen obwohl diese Regel für alle Programme nutzbar ist.

Bedeutet:
Ein Schadprogramm, dass zwar Port 80 und 443 nutzt, könnte Schaden anrichten, kann es aber nicht mit dieser Regel, da ihm nur die Zieladressen für diese Ports zur verfügung stehen und sonst nirgendwo anders hinsenden kann. Habe ich das das einigermaßen richtig verstanden ?

Ich weiß, habe im Grunde genau das Selbe gesagt wie du, aber ich musste das für mich auchnochmal hinschreiben zum nachgucken falls ich wieder mal vergesse ^^

Naja gut, wenn das so ist, dann kann ich mir eine Extraregel für:

svchost.exe( Windows Updates) und Malwarebytes sparen.

Komisch finde ich es aber schon, dass die Updates für Windows auch funktionieren wenn man/ich für svchost.exe eine Regel, bestehend nur aus Port 80 und 443 TCP erstelle, ohne Zieladresse und ohne vertrauenwürde IPs.



Bild1

Schau dir mal bitte den ersten Screenshot an.


Heim-oder Arbeitsplatznetzerwerke (privat) = nicht verbunden und darunter Öffentliche Netzwerke = Verbunden. Bei mir steht das Gleiche wie bei dir, aber du hast dort jeweils einen durchgestrichenen roten Kreis. Ich ein grünes Schild mit Haken. Habe ich da noch irgend etwas offen was nicht offen sein soll?


Domänenprofil, Private Profil und das Öffentliche Profill habe ich ja alles blockiert.


Bild2

Und so schauts jetzt bei meinen ausgehenden Regeln auf dem zweiten Screenshot aus.
Falls dir etwas auffält, was nicht richig ist etc. sag mir das bitte

 

[Scheinweltname]

Ein Schadprogramm, dass zwar Port 80 und 443 nutzt, könnte Schaden anrichten, kann es aber nicht mit dieser Regel, da ihm nur die Zieladressen für diese Ports zur verfügung stehen und sonst nirgendwo anders hinsenden kann. Habe ich das das einigermaßen richtig verstanden ?

jupp, das hast du richtig verstanden; allerdings scheint dir die Logik von Regeln nicht ganz klar zu sein:

Komisch finde ich es aber schon, dass die Updates für Windows auch funktionieren wenn man/ich für svchost.exe eine Regel, bestehend nur aus Port 80 und 443 TCP erstelle, ohne Zieladresse und ohne vertrauenwürde IPs

das MUSS funktionieren, weil diese Regel ja weniger eingeschränkt ist. Die Zieladressen sind nicht etwa eine Anweisung "sende dorthin". Die Regeln sind keine Anleitungen, sondern Checklisten!

Auch wenn du eine Whitelist-Firewall hast, werden viele viele Programme versuchen, eine Internetverbindung zu bekommen. Da aber ihre Anfragen normalerweise nicht alle Punkte der Regeln erfüllen (z.B. falscher Port, falsche Zieladresse usf), wird die Anfrage automatisch blockiert.

Mit Regeln definierst du nicht, wohin und wie etwas senden SOLL, sondern was es erfüllen muss, um es zu DÜRFEN! Daher sind die Anforderungen einer Regel OHNE Zieladressen viel leichter zu erfüllen; wenn der Port und das Protokoll (TCP) richtig sind, kann der Prozess überall hinsenden: Die Firewall lässt es durch. Wenn du aber Zieladressen angibst, müssen auch die stimmen; und nur, wenn auch sie stimmen (zusätzlich zu Port und Protokoll), wird der Datenverkehr durchgelassen.

Genau das ist das Prinzip einer Whitelist-Firewall: Man definiert per Regeln quasi Ansprüche an Verbindungsanfragen von Programmen. Und nur wenn alle Ansprüche (Prozessname, Port, Protokoll, Zieladressen usf) gleichzeitig erfüllt sind, lässt die Firewall den Traffic zu. Da die wenigsten Programme die Ansprüche erfüllen (meistens, weil sie zu nicht explizit erlaubten Zielen Kontakt aufnehmen möchten), werden ihre Verbindungsversuche blockiert.

Möchte das gerne so eingestellt haben wie bei dir, da ich das hier gelesen habe
"DNS-einträge wurden im router verändert und auf andere ip´s weitergeleitet."

Diesbezüglich brauchst du dir keine Panik zu machen, glaub ich. Sowas passiert nur Leuten, deren Router-Konfiguration mit "Login: Admin, Passwort: Admin" zu erreichen sind. Wenn du ein vernünftiges Router-Config-Passwort (neben einem guten für dein WLAN-Netz) hast, ist die Gefahr vermutlich gegen 0.
EDIT: Außerdem könnte das in dem von dir verlinkten Fall auch daran gelegen haben, dass vielleicht die Werkseinstellungen des Routers wiederhergestellt wurden (haben die Geschwister den Reset-Knopf am Router gedrückt?). Wenn ich das bei meinem mache, ist, wie schon einmal geschrieben, ein DNS-Server eines chinesischen Providers im Router voreingestellt . Außerdem muss ein anderer DNS-Server nicht zwingend auf Malware hindeuten. Google z.B. bietet auch eigene DNS-Server an; auch Norton hat seit neuestem zwei DNS-Server, die sogar automatisch den Zugriff auf Malware-Seiten unterdrücken. Theoretisch könntest du auch die in deinen Router eintragen ... der Aufbau von Verbindungen dürfte dann aber länger dauern als über die DNS-Server deines Providers.

Und ich weiß auch nicht, ob mein Router nicht vielleicht eine Ausnahme ist ... konnte mir keine Fritzbox nicht leisten . Mein Router ist von A-quip/ Pataco und kostet ganze 20€ (neu!, bei Saturn!) . Kann zwar den WLAN-N-Standard nicht (kann mein Laptop auch nicht), hat aber WPA2, gute Sendeleistung, Firewall, MAC-Filter; wenn man ihn richtig einrichtet, ist das Ding super und super sicher (mit den Werkseinstellungen ist das Netzwerk allerdings unverschlüsselt und die Login-Daten zur Router-Konfiguration sind genau die wie oben beschrieben ... gut, dass man das ändern kann ).

Jedenfalls: Im Anhang zwei Bilder zum WAN-Status meines Routers und den DNS-Einstellungen. Weiß aber nicht, inwieweit man die DNS-Einstellungen auch bei "guten" Routern vornehmen kann. Vielleicht liegt es auch daran, dass ich Router + Modem laufen habe, anstatt einen Router mit integriertem Modem (weiß nicht, ob das einen Unterschied macht).

Zu deinem Bild eins: Du hast die Einstellungen für eingehenden Verkehr auf "blockieren (Standard)" gelassen, statt "Alle Blockieren". Guckstu den linken Screenshot des Screenshot-Trios in post #1

Zu deinem Bild 2: Das müsste so eigentlich funktionieren ^^

EDIT: im rechten Screenshot in meinem Erklärungstext steht eine unsinnige IP-Adresse ... findest du sie ... 268 ist eigentlich 168 ...

 

[Falkner]

jupp, das hast du richtig verstanden; allerdings scheint dir die Logik von Regeln nicht ganz klar zu sein:

Doch, die Logik auch, zumindest jetzt ^^. Ich war nur etwas Unsicher bei der Regel für vertrauenwürdige IPs (für alle Programme). Alle Programme können auf diese Regel zugreifen.

Aber wie ich ja aus dem letzen Post von dir gelernt habe, nur wenn das Programm (und damit sind dann wohl auch Programme/ *exe-Dateien gemeint, die in einer Regel gar nicht eingetragen sind) die angegebenen Ports + die Zieladressen nutzen kann. Entweder-oder funktioniert ja nicht. Was anderes wäre es, wenn ich eine Regel für alle Programme erstelle, (also auch für die, die ich nicht in die Regel aufgenommen habe) in der nur Ports freigeschaltet und keine zusätzlichen Zieladressen eingetragen sind.
Sprich, es ist für jedes programm einfacher diese Rele zu erfüllen.

Diesbezüglich brauchst du dir keine Panik zu machen, glaub ich. Sowas passiert nur Leuten, deren Router-Konfiguration mit "Login: Admin, Passwort: Admin" zu erreichen sind.

Der Computerfachmann der bei mir war und das damals eingerichtet hat, meinte die Standarteinstellung wäre so in Ordnung. Ich benötige nur ein Passwort um in die Routerkonfiguration zu gelangen.... und das ist bis jetzt das standart PW bei Auslieferung ^^

Theoretisch könntest du auch die in deinen Router eintragen ... der Aufbau von Verbindungen dürfte dann aber länger dauern als über die DNS-Server deines Providers.

Ich bin mir ja bis jetzt noch nicht sicher, ob die DNS-Server IP aus meinem Router nicht doch dir richtigen sind ... ich poste mal ein Screenshot davon, damit du dir mal selber ein Bild machen kannst.

EDIT: Wie bekomme ich die DNS-Server meines Providers raus ? gibt es da einen Weg außer beim Support nachzufragen ?

Zu deinem Bild eins: Du hast die Einstellungen für eingehenden Verkehr auf "blockieren (Standard)" gelassen, statt "Alle Blockieren". Guckstu den linken Screenshot des Screenshot-Trios in post #1

Danke, hatte mich da verlesen/verklickt.

Zu deinem Bild 2: Das müsste so eigentlich funktionieren ^^

Ich glaube es lebt und mein Router hat gebellt ^^

 

[Scheinweltname]

Bezüglich des Screenshots: Die "Adresse" mit Buchstaben und Bindestrichen drin ist die MAC-Adresse. Das ist quasi die Hardware-Adresse deiner Netzwerkkarte (oder deines Routers). Die haben für normale Firewall-Regeln selten eine Relevanz (sind aber für sichere Routereinstellungen nützlich, indem man nur ausgewählten MAC-Adressen Zugriff gewährt. Mein Router lässt zum Beispiel nur die MAC-Adressen der WLAN-Karte meines Notebooks und der Netzwerkkarte meines Spielerechners zu. Selbst wenn jemand das Passwort für mein Netzwerk hätte, könnte er sich nicht anmelden, weil seine MAC-Adresse nicht in der Whitelist steht . Finde ich gerade bei WLAN-Netzwerken sehr beruhigend).

die "echten" DNS-Server von dir fangen, wie bei mir (bzw. der Telekom allgemein) mit 217.0. an (die beiden Einträge unter "Gateway-Adresse", die auch mit 217.0. anfängt). Die Telekom dürfte vermutlich zig DNS-Server haben.
Versuchweise könntest du also diese "echten" DNS-Server (primär und sekundär; die in deinem Screenshot, die mit 217.0. anfangen) in deinen Router eintragen und ebenfalls in deine UDP-53-Regel. So habe ich es gemacht und bei mir funktionierts; so erscheinen dann auch diese Adressen als DNS-Server, wenn ich ipconfig /all eingebe.

Der Computerfachmann der bei mir war und das damals eingerichtet hat, meinte die Standarteinstellung wäre so in Ordnung. Ich benötige nur ein Passwort um in die Routerkonfiguration zu gelangen.... und das ist bis jetzt das standart PW bei Auslieferung ^^

es kommt drauf an, wie der Standard lautet. Heutzutage sind die Passwörter schon in den Werkeinstellungen kryptisch und ellenlang (und von Router zu Router unterschiedlich; also nicht bei allen Admin, Admin); solche Einstellungen bieten schon genug Sicherheit.

Ich glaube es lebt und mein Router hat gebellt ^^

? ^^ ja, es ist schon spät

 

[Falkner]

Bezüglich des Screenshots: Die "Adresse" mit Buchstaben und Bindestrichen drin ist die MAC-Adresse. Das ist quasi die Hardware-Adresse deiner Netzwerkkarte (oder deines Routers). Die haben für normale Firewall-Regeln selten eine Relevanz (sind aber für sichere Routereinstellungen nützlich, indem man nur ausgewählten MAC-Adressen Zugriff gewährt. Mein Router lässt zum Beispiel nur die MAC-Adressen der WLAN-Karte meines Notebooks und der Netzwerkkarte meines Spielerechners zu. Selbst wenn jemand das Passwort für mein Netzwerk hätte, könnte er sich nicht anmelden, weil seine MAC-Adresse nicht in der Whitelist steht . Finde ich gerade bei WLAN-Netzwerken sehr beruhigend).

die "echten" DNS-Server von dir fangen, wie bei mir (bzw. der Telekom allgemein) mit 217.0. an (die beiden Einträge unter "Gateway", die auch mit 217.0. anfängt). Die Telekom dürfte vermutlich zig DNS-Server haben.
Versuchweise könntest du also diese "echten" DNS-Server (primär und sekundär; die in deinem Screenshot, die mit 217.0. anfangen) in deinen Router eintragen und ebenfalls in deine UDP-53-Regel. So habe ich es gemacht und bei mir funktionierts; so erscheinen dann auch diese Adressen als DNS-Server, wenn ich ipconfig /all eingebe.

Aber die Mac adresse kann man doch nicht in die ausgehende Regel als remoteadresse einfügen... Die darf doch nur aus Zahlen bestehe dachte ich oder verstehe ich das mal wieder falsch ?^

Oder wie meinst du das mit ""Selbst wenn jemand das Passwort für mein Netzwerk hätte, könnte er sich nicht anmelden, weil seine MAC-Adresse nicht in der Whitelist steht""

Und ist das für mich überhaupt relevant ? ^^

Ja, die beiden Adressen die mit 217.0.....(primär und sekundär) beginnen, hatte ich ja schon mal in der DNS-UDP-53 Regel drin. Aber wie gesagt, dann läd google nicht mehr und alle anderen Seiten benötigen sehr lange um geladen zu werden. Daraufhin meinstest du, ich könnte auch meine Routeradresse in diese Regel eintragen.

es kommt drauf an, wie der Standard lautet. Heutzutage sind die Passwörter schon in den Werkeinstellungen kryptisch und ellenlang (und von Router zu Router unterschiedlich; also nicht bei allen Admin, Admin); solche Einstellungen bieten schon genug Sicherheit.

Also wenn wir von dem selben Passwort sprechen dass man benötigt um Einstellungen vorzunehmen, dann ganz eindeutig nein. das was standartmäßig angegeben ist, kann jeder Blödmann herrausfinden, zumal es auchnoch daneben steht wie es lautet wenn man kein eigenes eingetragen hat ^^

Ergänzung (10. Juni 2010)

Versuchweise könntest du also diese "echten" DNS-Server (primär und sekundär; die in deinem Screenshot, die mit 217.0. anfangen) in deinen Router eintragen

Ich habe schon aus Interesse geschaut, ob ich im Router die DNS selber ändern kann.
aber es geht nicht. Es lässt sich nichts anklicken. Sind die (primäre und sekundäre) DNS Adressen nicht die "echten" , wenn ja, dann wäre sie ja bereits eingetragen ^^




Bis auf das mit der richtigen DNS vom Provider und das einfügen der richtigen Adresse in meine DNS-UDP-53 Regel bzw. in meinen Router , sind soweit fürs Erste alle Fragen beantwortet. Wenn du mir dabei noch sagen kannst was ich tun kann, lass ich dich in ruhe

Aber danke dir nochmal für den 3-4tägien Crashkurs in Sachen FW-Konfiguration. Allein hätte ichs nie so schell geschafft oder gar nicht. ^^

Übrigens, ich glaube dieses HOW TO ist das einzige im Netz, zumindest im deutschsprachigen Raum, dass die Windows FW so ausfühlich für Noobs beschreibt. Kannst es ja mal Microsoft schicken, die haben bisher verpasst eine verstänliche Anleitung dafür zu schreiben ^^

 

[Scheinweltname]

Übrigens, ich glaube dieses HOW TO ist das einzige im Netzt, zumindest im deutschsprachigen Raum, dass die Windows FW so ausfühlich für Noobs beschreibt. Kannst es ja mal Microsoft schicken, die haben bisher verpasst eine verstänliche Anleitung dafür zu schreiben ^^

ich glaube mal eher, dass jetzt endgültig ALLE abgeschreckt sind ^^

Aber die Mac adresse kann man doch nicht in die ausgehende Regel als remoteadresse einfügen... Die darf doch nur aus Zahlen bestehe dachte ich oder verstehe ich das mal wieder falsch ?^

Ich kann in meinem Router eine Liste von Mac-Adressen eintragen. Und diese Liste kann ich entweder auf "blockieren" stellen (Blacklist; alle werden zugelassen, bis auf die Rechner mit diesen MAC-Adressen) oder "erlauben", dann werden nur Rechner mit den eingetragenen MAC-Adressen zugelassen. Und da die MAC-Adresse fest ist, zu je einer ganz bestimmten Netzwerkkarte gehört und sich nicht ändert, ist das ein sehr nützlicher Zugangsfilter. Mit einer Firewall hat das aber nix zu tun (da es nichts mit der Filterung von Datenpaketen zu tun hat).

Ja, die beiden Adressen die mit 217.0.....(primär und sekundär) beginnen, hatte ich ja schon mal in der DNS-UDP-53 Regel drin. Aber wie gesagt, dann läd google nicht mehr und alle anderen Seiten benötigen sehr lange um geladen zu werden. Daraufhin meinstest du, ich könnte auch meine Routeradresse in diese Regel eintragen.

In der Übersicht aus deinem Screenshot kannst du die DNS-Server auch nicht ändern (diese DNS-Server sind nicht fest in deinem Router, sondern beim Verbindungsaufbau mit dem Provider eingerichtet worden). Wenn es überhaupt möglich ist, dann wird es irgendwo in der Router-Konfiguration einen Unterpunkt zu DNS, DNS-Server, DNS-Einstellungen oder was auch immer geben. Ich vermute, dass bei dir bei dieser Einstellung "automatisch" oder so steht oder die Option deaktiviert ist. Guck doch einfach mal in die Bedienungsanleitung

EDIT: Laut der Bedienungsanleitung zum Speedport W700 V müsstest du bei bei den Zugangsdaten einen anderen Provider wählen, um die Möglichkeit zu haben, selbst DNS-Server einzutragen (in der pdf-Version wirds auf Seite 74/75 beschrieben) ... da lobe ich mir doch meinen Nicht-von-der-Telekom-gesponsorten-Billig-Router

Aber lassen wir das Thema DNS-Server; es reicht, deinen Router in der UDP-53-Regel einzutragen (bzw. eben die Adresse, die du per ipconfig /all als DNS-Adresse angezeigt kriegst).

Gedacht war aber eigentlich: Im Router die Einstellungsmöglichkeit suchen, wo du permanent DNS-Server eintragen kannst; dort die DNS-Server vom Provider (die mit 217.0. am Anfang) dort eintragen und diese Adressen dann auch in die UDP-53-Regel zu übernehmen.
Wenn im Router aber nichts geändert wird, wirst du bei Eingabe von ipconfig /all immer nur die Adresse deine Routers sehen (statt der 217.0er-Adressen), und dann führt es zu Problemen, wenn die 217.0.er-Adressen in der UDP-53-Regel eingetragen sind (du hast es selbst erlebt).

Übrigens vermute ich: Du ruftst testweise immer die selben Seiten auf, oder? Beim Aufruf von Google werden jedesmal Infos von einem DNS-Server benötigt, weil es unzählige Adressen gibt, über die man google.de erreichen kann. Seiten wie Computerbase hingegen haben nur wenige IP-Adressen. Und diese werden bei dir vermutlich zwischengespeichert. In anderen Worten: Du erreichst nur deshalb manche Seiten (und google nicht), weil deren IP-Adressen zwischengespeichert wurden (DNS-Cache). Eigentlich dürftest du nämlich gar keine Seiten aufrufen können, wenn deine UDP-53-Regel NUR zu den 217.0.er-Adressen geht, diese aber nicht fest im Router eingetragen sind (denn dein Rechner versucht über UDP-53 deinen Router zu kontaktieren; wenn dieser aber nicht unter den Zieladressen ist, wird die Verbindungsanfrage von der Firewall abgelehnt (weil die Anforderungen der Regel nicht komplett erfüllt wurden)).

Himmel, ist das kompliziert

Also wenn wir von dem selben Passwort sprechen dass man benötigt um Einstellungen vorzunehmen, dann ganz eindeutig nein. das was standartmäßig angegeben ist, kann jeder Blödmann herrausfinden, zumal es auchnoch daneben steht wie es lautet wenn man kein eigenes eingetragen hat ^^

dann aber ganz hurtig in die Bedienungsanleitung gucken, wie du das Passwort ändern kannst!
(und nur am Rande: Hast du einen WLAN-Router? Wenn ja, dann will ich hoffen, dass er eine vernünftige Verschlüsselung benutzt (am besten WPA2) und du ein vernünftiges Anmelde-Passwort für das Netzwerk eingerichtet hast ... man kann ja nicht wissen, wie die Standardeinstellungen des Routers aussehen. Bei meinem Vater beispielsweise sendet der Router nur mit WEP-Verschlüsselung ... Online-Banking würde ich damit nicht machen). Und seit neuestem haftet ja der Besitzer des Anschlusses für alle Schäden und Verbrechen, die mit einem ungesicherten WLAN-Netzwerk verursacht und begangen werden.

Aber danke dir nochmal für den viertätgigen Crashkurs in Sachen FW-Konfiguration. Allein hätte ichs nie so schell geschafft oder gar nicht. ^^

solange bei dir trotz der ganzen Einstellungen noch alle Netzwerksachen funktionieren, dann wär ich ja froh.

 

[Falkner]

In der Übersicht aus deinem Screenshot kannst du die DNS-Server auch nicht ändern (diese DNS-Server sind nicht fest in deinem Router, sondern beim Verbindungsaufbau mit dem Provider eingerichtet worden). Wenn es überhaupt möglich ist, dann wird es irgendwo in der Router-Konfiguration einen Unterpunkt zu DNS, DNS-Server, DNS-Einstellungen oder was auch immer geben. Guck doch einfach mal in die Bedienungsanleitung

Ja, ich muss mir das mal genauer anschauen. So über die Ferne, lässt sich das auch nicht so gut erklären. Oder ich entführe einen T-Onlinefritzen, der mir dass dann so machen soll wie es hier steht ! ^^

Aber lassen wir das Thema DNS-Server; es reicht, deinen Router in der UDP-53-Regel einzutragen (bzw. eben die Adresse, die du per ipconfig /all als DNS-Adresse angezeigt kriegst).

Ok, wenn ich damit auf der sicheren Seite bin , besser als keine Adresse in die Regel einzutragen. Wobei, ganz wichtige Frage für mich.

Was passier, wenn ich statt der Routeradresse (192.168. . .) überhaupt keine Adresse eintrage ? Was passiert dann ?

Gedacht war aber eigentlich: Im Router die Einstellungsmöglichkeit suchen, wo du permanent DNS-Server eintragen kannst; dort die DNS-Server vom Provider (die mit 217.0. am Anfang) dort eintragen und diese Adressen dann auch in die UDP-53-Regel zu übernehmen. Wenn im Router nichts geändert wird, wirst du bei Eingabe von ipconfig /all immer nur die Adresse deine Routers sehen, und dann führt es zu Problemen, wenn die 217.0.er-Adressen in der UDP-53-Regel eingetragen sind (du hast es selbst erlebt).

ok, jetzt hab ich das verstanden. jetzt verstehe ich auch die Verbindungsschwierigkeiten.
Denn mit 192.168. . . klappt alles wie auch sonst immer,

Übrigens vermute ich: Du ruftst testweise immer die selben Seiten auf, oder? Beim Aufruf von Google werden jedesmal Infos von einem DNS-Server benötigt, weil es unzählige Adressen gibt, über die man google.de erreichen kann. Seiten wie Computerbase hingegen haben nur wenige IP-Adressen. Und diese werden bei dir vermutlich zwischengespeichert. In anderen Worten: Du erreichst nur deshalb manche Seiten (und google nicht), weil deren IP-Adressen zwischengespeichert wurden (DNS-Cache). Eigentlich dürftest du nämlich gar keine Seiten aufrufen können, wenn deine UDP-53-Regel NUR zu den 217.0.er-Adressen geht, diese aber nicht fest im Router eingetragen sind (denn dein Rechner versucht über UDP-53 deinen Router zu kontaktieren; wenn dieser aber nicht unter den Zieladressen ist, wird die Verbindungsanfrage von der Firewall abgelehnt (weil die Anforderungen der Regel nicht komplett erfüllt wurden)).

Ja, google, Heise und CB waren die Seiten die ich getestet habe. Die einzigen Seiten auf denen ich mich drauf traue (schiebe wieder Paranoia^^)
Gut, jetzt habe ich das endlich verstanden. Bevor im Router nichts fest eingetragen wurde, bringt es nichts die provider IP in meine Regel zu übernehmen.

dann aber ganz hurtig in die Bedienungsanleitung gucken, wie du das Passwort ändern kannst!

solange bei dir trotz der ganzen Einstellungen noch alle Netzwerksachen funktionieren, dann wär ich ja froh.

Ich weiß wie man das ändert, habs vorhin gesehen undändere das auch gleich. Hätte ich vor Jahren schon machen müssen ^^
Also die einzigen Einstellungen die ich bisher vorgenommen habe, sind die Ausgehenden Regeln erstellt und die eingehenden gelöscht zu haben.
In den Routereinstellungen habe ich noch nie etwas eingestellt. Aber alles was funktionieren soll, funktioniert auch
Irgend etwas muss ich ja richtig gemacht haben.






Edit:

(und nur am Rande: Hast du einen WLAN-Router?

Nein, in den Konfigurationen ist das auf aus, da würde ich überhaupt nicht mehr ruhig schlafen können und immer schauen ob einer unten an der Straße mit seinem Notebook oder Handy länger als 10 steht.^^
Außerdem sind die Strahlen phöse ^^

EDIT: Laut der Bedienungsanleitung zum Speedport W700 V müsstest du bei bei den Zugangsdaten einen anderen Provider wählen, um die Möglichkeit zu haben, selbst DNS-Server einzutragen (in der pdf-Version wirds auf Seite 74/75 beschrieben) ... da lobe ich mir doch meinen Nicht-von-der-Telekom-gesponsorten-Billig-Router

pdf... zu gefährlich ^^
Keine Ahnung wie man das alles einstellt, da würde ich mir ehrlichgesgt jemanden holen der das macht wenn es denn nötig ist. Sonst habe ich hier eine Woche kein internet bis der techniker kommt ^^
PS: In deinem Router waren doch die Chinesen, da hab ich lieber die von der Telekom ^^

 

[Scheinweltname]

Was passier, wenn ich statt der Routeradresse (192.168. . .) überhaupt keine Adresse eintrage ? Was passiert dann ?

In deinem Fall gar nix Eben weil dein Rechner sowieso immer den Weg über den Router gehen muss. Selbst wenn also Malware die DNS-Einstellungen deines Rechner ändern würde, dann würdest du halt keine Verbindungen mehr kriegen, weil dein Rechner ja versucht, über den Port 53 die manipulierten Adressen zu erreichen, er aber nur dann Verbindungen kriegt, wenn er über diesen Port den Router kontaktiert.

Bei Usern allerdings, die "direkt" im Netz sind (z.B. per Modem oder in einem Netzwerk, das selbst WAN-IP-Adressen vergeben kann (z.B. das Netzwerk einer Uni), würde der Fall anders liegen: Die würden dann auf die manipulierten Adressen umgeleitet.

Es ist also besonders für solche User wichtig, feste Zieladressen einzugeben. Wird dann nämlich von Malware an den DNS-Einstellungen rummanipuliert, würde die Firewall die Verbindungen ablehnen, weil die Anfragen nicht mehr den Ansprüchen der Regel genügen (falsche Zieladresse).

Und auf den ersten Blick in die Bedienungsanleitung deines Routers wirkt es so, als könntest du allerlei Lustiges mit deinem Router anstellen, um ganz viele Risiken aus dem Internet zu minimieren. Viel Spaß

 

[Falkner]

In deinem Fall gar nix Eben weil dein Rechner sowieso immer den Weg über den Router gehen muss. Selbst wenn also Malware die DNS-Einstellungen deines Rechner ändern würde, dann würdest du halt keine Verbindungen mehr kriegen, weil dein Rechner ja versucht, über den Port 53 die manipulierten Adressen zu erreichen, er aber nur dann Verbindungen kriegt, wenn er über diesen Port den Router kontaktiert.

Also ich würde es auf jeden fall merken, sollte es mal passieren

Bei Usern allerdings, die "direkt" im Netz sind (z.B. per Modem oder in einem Netzwerk, das selbst WAN-IP-Adressen vergeben kann (z.B. das Netzwerk einer Uni), würde der Fall anders liegen: Die würden dann auf die manipulierten Adressen umgeleitet.

Es ist also besonders für solche User wichtig, feste Zieladressen einzugeben. Wird dann nämlich von Malware an den DNS-Einstellungen rummanipuliert, würde die Firewall die Verbindungen ablehnen, weil die Anfragen nicht mehr den Ansprüchen der Regel genügen (falsche Zieladresse).

Bin zwar über einen Router im Netzt, aber es hört sich halt gut an das so einzustellen.
Wie gesagt, ich werde mich damit auseinandersetzen. Ansosnten musst du vorbei kommen ^^

Und auf den ersten Blick in die Bedienungsanleitung deines Routers wirkt es so, als könntest du allerlei Lustiges mit deinem Router anstellen, um ganz viele Risiken aus dem Internet zu minimieren. Viel Spaß

Ich werde berichten


Danke dir soweit

 

[Falkner]

Gut überarbeitet, jetzt ist das Ganze noch übersichtlicher



Eine Frage zu:

Es ist außerdem sinnvoll, in den Adaptereinstellungen der (WLan-)Netzwerkkarte alle Einträge bis auf "IPv4" zu deinstallieren ((bei IPv6 das Häkchen entfernen; etwaige Filter von installierten Antiviren-Programmen (wie der NDIS-Filter von Kaspersky, siehe Screenshot) müssen aktiv bleiben). Besonders der "Datei-und Druckerfreigabe"-Client sollte deinstalliert werden, wenn kein Heimnetzwerk vorhanden ist.

Betrifft das nur W-Lan-Nutzer oder gillt das für alle ?

Bei mir schaut es so aus: Siehe Screen.

 

[Scheinweltname]

Betrifft das nur W-Lan-Nutzer oder gillt das für alle ?

Ich drücke es mal so: Man braucht für normales Surfen (ob nun per Lan oder WLan) nur IPv4 (und ggf. den Filter des Anti-Virenprogramms, falls ein solcher installiert ist). Alles andere kann deinstalliert/ deaktiviert werden. Deine Einstellungen entsprechen den Windows-7-Standards.

Alles Unnötige zu deaktivieren "härtet" das Netzwerk: http://www.grc.com/su-bondage.htm

 

[Falkner]

Systemsteuerung --> Netzwerk- und Freigabecenter --> Adaptereinstellungen --> Rechtsklick [Eigenschaften] --> Eintrag "IPv4" auswählen [Eigenschaften] --> Erweitert --> WINS [Netbios über TCP/IP deaktivieren]

Bei LMHOSTS Abfrage aktivieren = Haken entfernen oder setzen ?
Und das Ganze ist auch nur bei Drahtlsnetzwerkverbindung einzustellen ?.

Edit: Hab die Drahtlosnetzverbindung einfach deaktiviert. Habe schließlich kein W-Lan.

Bei LAN-Verbindung scheint es diese Einstellung nicht zu geben zumindest kann ich dort nicht auf die Eigenschaften klicken

 

[Scheinweltname]

Bei LMHOSTS Abfrage aktivieren = Haken entfernen oder setzen ?

Haken nicht setzen.

Bei LAN-Verbindung scheint es diese Einstellung nicht zu geben zumindest kann ich dort nicht auf die Eigenschaften klicken

das sollte man für alle Adapter einstellen. Bei mir sind die Einstellungen für WLan und Lan identisch (Hast du vorher "IPv4" angeklickt? Erst dann ist "Einstellungen" nicht mehr ausgegraut).

 

[Falkner]

das sollte man für alle Adapter einstellen. Bei mir sind die Einstellungen für WLan und Lan identisch (Hast du vorher "IPv4" angeklickt? Erst dann ist "Einstellungen" nicht mehr ausgegraut).

Ich habe mich falsch ausgedrückt.
Ich meinte die Eigenschaften, die ich icht klicken kann.



EDIT:
hat sich erledigt.

Ich musste den kahen bei "IPv4" entfernen und dann sofort wieder setzen. Dann erst lässt sich Eigenschaften anklicken. Das muss ich jetzt jedes mal machen wenn Eigenschaften klickbar werden soll ^^


Habe jetzt bis auf
Internetprotokoll Version 4(TCP/IPv4) und
Symatec Network Security Intermediate Filter Driver
alles deaktiviert

Systemsteuerung --> System --> Erweiterte Systemeinstellungen --> [Reiter: Remote] Häkchen bei "Remoteunterstützungsverbindungen mit diesem Computer zulassen" entfernen;

erledigt.
Zusätzlich auf "Erweitert" geklickt und den Haken bei Remotesteurm dieses Computers zulassen entfernt

"Keine Verbindung mit diesem Computer zulassen" aktivieren.

Diese option gibt es bei mir nicht.

 

[Scheinweltname]

Habe jetzt bis auf Internetprotokoll Version 4(TCP/IPv4) und Symatec Network Security Intermediate Filter Driver alles deaktiviert

ich vemute mal, es funktioniert noch alles, sonst hättest du dich beschwert ^^ (jedenfalls hast du die Einstellungen umgesetzt, die ich meinte. Ob Deinstallieren oder Deaktivieren dürfte keinen Unterschied machen).

 

[Falkner]

ich vemute mal, es funktioniert noch alles, sonst hättest du dich beschwert ^^ (jedenfalls hast du die Einstellungen umgesetzt, die ich meinte. Ob Deinstallieren oder Deaktivieren dürfte keinen Unterschied machen).

Soweit alles in Ordnung. komisch finde ich nur, das dort wo das fragezeichen ist (siehe Bild Post 36) doe Option Keine Verbindung mit diesem Computer zulassen nicht vorhnaden ist. Eventuell ist das aber nicht weiter schlimm.

Das Abschalten der Remotedienste, des UPnP-Dienstes und des NetBios-Dienstes sind aber ein großer Sicherheitsgewinn.

Haben auch den UPnP-Gerätehost deaktiviert.

Benutzt du den etwa ? (ich frage, weil du den nicht aufgezähl hast in deiner Aufzählung der deaktivierten Dienste)

habe bei Wikipedia nach weiteren Infos zu UPnP gesucht.
Unwissende haben doch richtig pech wenn sie aufgrund dieses Dienstest zum Opfer werden.



Zitat aus Wikipedia:
Der Bequemlichkeit der automatischen Portkonfiguration gegenüber steht ein Verlust an Sicherheit, denn die Firewall eines UPnP-fähigen Routers kann dadurch von einem eventuell auf den Computer gelangten Schadprogramm unwirksam gemacht werden. Dieser Verlust entsteht aber erst, nachdem ein PC im lokalen Netz mit einer Schadsoftware infiziert ist. Ohne Zugriff auf das LAN ist IGD kein Verlust an Sicherheit. Zu bedenken ist allerdings, dass seit Januar 2008 Schadsoftware bekannt ist, die sich z. B. in Adobe Flash oder in JavaScript versteckt und ohne Nutzerinteraktion auch beim bloßen Besuchen von Webseiten mit einem aktuellen Internet-Browser auf dem Rechner ausgeführt werden kann und somit ungebetenen Gästen das Eindringen ins lokale Netzwerk ermöglicht

Ein weiteres verbreitetes Einsatzfeld ist die Verteilung von Multimediainhalten im lokalen Netzwerk. Dabei werden auf einem PC oder NAS Dateien mittels eines UPnP-MediaServers bereitgestellt. Entsprechende Endgeräte (UPnP-MediaRenderer) können die Inhalte des Servers durchsuchen, filtern, sortieren und natürlich wiedergeben. Welche Formate wiedergegeben werden, hängt dabei vom Endgerät ab. UPnP-MediaRenderer werden bereits seit einigen Jahren von diversen Herstellern angeboten.

Quelle: http://de.wikipedia.org/wiki/Universal_Plug_and_Play

 

[Scheinweltname]

Benutzt du den etwa ? (ich frage, weil du den nicht aufgezähl hast in deiner Aufzählung der deaktivierten Dienste)

kann ich dir nen guten Optiker empfehlen? Der UPnP-Gerätehost war von Anfang in der Liste der Empfehlungen von zu deaktivierenden Diensten . Die Aufzählung am Ende des Beitrags enthält die Dienste, die ich zusätzlich noch deaktiviert habe.

Übrigens: Im Wiki-Text steht auch drin, dass UPnP vor allem dann ein Risiko darstellt, wenn auch der Router mitmacht. Du solltest also auch mal gucken, ob dein Router das kann und auch in dessen Konfiguration UPnP abschalten. --> http://www.networkcomputing.de/netzwerk/sicherheit/artikel-4315.html In meinem vorbildlichen Billigrouter ist UPnP standardmäßig deaktiviert gewesen!

Soweit alles in Ordnung. komisch finde ich nur, das dort wo das fragezeichen ist (siehe Bild Post 36) doe Option Keine Verbindung mit diesem Computer zulassen nicht vorhnaden ist. Eventuell ist das aber nicht weiter schlimm.

das kann ich dir auch nicht erklären ... Waren die Optionen noch nie verfügbar, oder hast du erst geguckt, nachdem du schon einige Dienste abgeschaltet hattest? Könnte durchaus sein, dass irgendein bestimmter Dienst laufen muss, damit die Option verfügbar ist. Wenn aber die Remote-Dienste eh nicht laufen, kann die auch niemand nutzen. Insofern braucht man da in diesem Fall eigentlich auch nix einzustellen.

Übrigens sieht dein Fenster zum Einstellen der Remote-Verbindungen anders aus als bei mir (z.B. dieses Icon mit dem Bildschirm neben dem Text). Welche Windows7-Version benutzt du? Vielleicht gibt es die Option nur bei Professional und den teureren Versionen.