Windows XP Dienste mit Internetfreigabe - Konfiguration der Firewall

[Klaus-Dieter1]

Hallo,

als Sicherheitssoftware habe ich Kaspersky Internet Security 2010 installiert. Mein Betriebssystem ist Windows XP Home SP3.
Im Kaspersky kann man die installierten Programme kontrollieren, u.a. auch ihre Netzwerkfreigaben. Kaspersky stuft die Windows Dienste automatisch als vertrauenwürdige Programme ein. Diese erhalten somit auch die Freigabe zum Internet.
Ich möchte aber nicht jedem Windows Dienst die Freigabe ins Internet gestatten. Nun könnte man natürlich erst einmal alle Dienste blockieren und dann schauen, welcher Dienst unbedingt ins Internet will. So möchte ich dies aber nicht regeln.
Vielleicht weiss jemand hier im Forum,
welche Windows-Dienste auf jeden Fall die Freigabe zum Internet benötigen,
welche Dienste Internetanbindung überhaupt nicht brauchen und
welche Dienste möglicherweise Kontakt zu Microsoft über's Internet aufnehmen, um Lizenzen oder anderes zu überprüfen. Meine Lizenz ist im übrigen aktiviert und es wäre nicht einzusehen, wenn Überprüfungen gleichwohl täglich statt finden würden.
Danke für konkrete Hinweise!

 

[Scheinweltname]

Welche Programme nötig sind, ist leicht zu testen!

Geh in die Einstellungen von KIS 2010, und dann auf Firewall, dann auf "Regeln konfigurieren". Stelle da alle grünen Häkchen per Rechtsklick auf "Aktion erfragen" (Setze danach am besten deine Internetverbindung zurück (Adapter deaktivieren oder Netzwerkkabel ziehen und wieder einstecken), damit du neu angemeldet werden musst. Dann wird der svchost nach den ports 67 und 53 fragen).

Jetzt erscheint jedesmal ein Pop-Up, wenn ein Programm/ Systemdienst ins Netz will. Das sind sowieso die Allerwenigsten. Manche sollte/kann man zulassen z.B. Problemreporting, Dr.Watson usf)., den svchost MUSS man zulassen (braucht aber nur die ports UDP 53, 67 und TCP 67, 80, 443. Alles andere kannst du blockieren, jedenfalls wenn du nicht Zugriffe auf anderen Rechner z.B. im Familiennetzwerk brauchst. Besonders der Port UDP 1900 sollte blockiert werden, wenn möglich).

Welche Verbindungen wirklich zwingend relevant sind, lässt sich auch leicht testen: Warte einfach mit dem erlauben ab bzw. verbiete den Zugriff einmalig (achte auf das "speichern "für immer" Häkchen am linken Rand des Pop-Ups! Darf nicht an sein!). Wenn trotzdem noch alles läuft (z.B. downloads weiterlaufen), dann kann man den Zugriff ruhig blockieren.

Und ich würde dir raten, alle bestehenden Einträge unter "Paketregeln" zu löschen und selber zu definieren, was erlaubt ist.

Sehr sinnvoll ist z.B. "Erlauben --> (erstellen: Protokoll UDP, ausgehend (thread), port 53) --> ("Adressen aus folgender Gruppe" -->hinzufügen: Die IP-Adresse deines DNS-Servers). Auf die Art und Weise muss das nicht dauernd erlaubt werden und ist sehr sicher, weil alle DNS-Anfragen dann immer über den korrekten Server laufen müssen.) --> Dient der der Zuordnung von Web-Adressen zu Ip-Adressen.

Die Adresse deines DNS-Server erfährst du, wenn du in die Eingabeaufforderung ipconfig /all eingibst.

Der svchost lässt sich auch Hacker-sicher definieren. Er braucht neben dem port UDP 53 und UDP 67(für DHCP-Adressverteilung, so kriegst du vermutlich deine IP) nur noch port (TCP) 80 und 443. Und diese ports musst du nur für a) Microsoft-Ips freigeben, b) Limelightnetwork-Ips (a+b für windows Update) und c) deinen Provider (wegen dhcp). (jeweils "ausgehend(thread)")

Der relevante Adressraum von BigM ist 65.54.0.0/16 und 65.55.0.0/16
LLNW (Limelight) 87.248.192.0/24 bis 87.248.223.0/24

Diese beiden Adressräume reichen, damit WindowsUpdate und die Updates von WinDefender bzw. Security Essentials funktionieren. Das ist zwingend notwenig (was aber auch bedeutet, dass "Prüfungen" täglich ablaufen. Wobei sowieso nicht dauernd die Lizenz geprüft wird. I.d.R. geht es nur ums Windows Update bzw. Update der WinDefender-Signaturen). Alles andere braucht man nicht unbedingt. Alle anderen Systemdienste kann man mit der KIS-Firewall blockieren, wenn man will. Falls du WinUpdate sowieso abgeschaltet hast, brauchst du eigentlich nur die ports udp 53 und 67 freizugeben, dann braucht er keinen Kontakt ins Web zu BigM.

(komischerweise muss man ohne KIS noch lsass.exe, wininit.exe und services.exe die obigen ports freigeben. Mit KIS-Firewall reicht der svchost.)

du solltest übrigens die Windows-Firewall wieder einschalten; erzeugt normalerweise keinerlei Probleme mit KIS.


Übrigens wäre die einzig nachvollziehbare Begründung dafür, Microsoft ausschließen zu wollen, Datenschutzbedenken. Auch wenn die unbegründet sind (Abgesehen von dem Fall, dass man eine illegale Kopie von Windows benutzt). Google ist in dieser Hinsicht viel schlimmer.