Windows-XP-Firewall lässt sich umgehen

Sicherer wäre es ohne Tür. :-)
Wo keine Tür ist, kann man auch nicht rein. ;-)

Wer als Admin angemeldet ist, kann seinen PC administrieren.
Und das ist gut so.
Wer als Admin ein Programm oder Anhang startet,
erlaubt diesem Programm zu administrieren.
Auch das ist gut so.
Wer nicht möchte, dass andere Programme (z.B. E-Mail Anhänge) administrieren,
der sollte auch nicht als Admin oder mit Adminrechten angemeldet sein.
Wer nicht weiss, was Administration ist,
sollte auch keine Administratorrechte haben.

Ja, so sollte es sein.
Die Realität sieht natürlich ganz anders aus.
Ursachen dafür gibt es viele.

 

Das Problem bei den herkömmlichen Software-Firewalls liegt darin, daß sie durch einfaches Beenden des GUI bzw. Löschen des Diensts/Tasks deaktivierbar sind.

Allerdings ist seit kurzem die erste treiber-basierte Desktop Firewall des dänischen Herstellers Danware Data A/S lieferbar.

Diese Firewall kann nicht einfach durch externe Prozesse abgeschaltet werden, im Gegenteil: Mit jedem externen Eingriff werden die Sicherheitsrichtlinien verschärft so daß im schlimmsten Falle der Rechner neu gebootet werden muß - ohne daß die Firewall deaktiviert werden konnte!

Übrigens ist dies auch die einzige Software-Firewall, bei der die Konfiguration der einzelnen mit Firewall-ausgestatteten Workstations über einen zentralen Policy Server in Echtzeit möglich ist. So kann der Administrator Änderungen in den Firewall-Rechten sofort an alle Workstations senden und sogar im Notfall alle Systeme deaktivieren.

Erste Informationen gibt´s auf der deutschen Website http://www.netop-firewall.de.

Grüsse
Tom

 

Man sollte schon wissen, was AV-Scanner leisten oder vielmehr nicht leisten. So sagen sie Dir nur, das keine Viren gefunden wurden. Das heist natürlich nicht, das tasächlich keine Viren vorhanden sind. Das sollte einleuchten.

Besser? Warum besser? Achso, steht ja "Platinum" drauf und Platin ist schon was Edles - verstehe *Hand_an_die_Stirn_patsch* ;-)

Hilft, aber auch nur bedingt.

Doch, das wird an anderer Stelle durch einen Vortrag des CCC Ulm gezeigt, das eben gerade durch Vorhandensein einer D/PFW (in diesem Falle IMHO Norton) Angriffe durchgeführt werden konnten.

Richtig & Zustimmung meinerseits!


Nocheinmal: Die Windows Firewall verrichtet das, was sie verspricht ohne Beanstandung: das Filtern von inbound traffic. Outbound traffic kann man nicht sicher filtern, auch nicht über noch so dolle PFWs oder vorgeschaltete Router - man kommt immer raus, und wenn man es über DNS tunneling anstellt.
Daher ist es auch kein Fehler seitens MS oder ein Software-/Patchproblem, wie hier hineingeworfen wird. Vielmehr ist dieser Sachverhalt schon von Anfang her bekannt: Wenn Schadcode erst einmal auf dm Rechner ist, dann steht entweder das zurückspielen des Backups oder die Neuinstallation an. Ein herumhacken auf der XP-Firewall ist völlig unnötig und sinnfrei.

T.

 

>Die Zeiten sollten eigentlich vorbei sein. Wenn man den Aussagen von Billy traut, ist das XP mit SP2 sicher.< ... aber wer kann Billy nach den vielen Werbeseifenblasen der letzten 15 Jahre noch trauen ???

 

Ich denke, dass das im Artikel angesprochene Problem relativ leicht zu lösen ist. Die Einträge für die freigegebene Anwendungen liegen in :

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List

Dieser Schlüssel erbt die Berechtigungen vom übergeordneten Schlüssel. Wenn man sichergehen will, dass nicht ein nichtauthorisiertes Programm sich in diesen Schlüssel schreibt - auch wenn man als Admin aktiv ist - würde es reichen, die Berechtigungen so zu setzen, dass der Admin sich prophylaktisch die Schreibberechtigung für diesen Schlüssel nimmt.

 

Anfür sich ist das Thema Softwarefirewall sinnfrei, und meines Erachtens unnötig ausgegebenes Geld. Ich finde es fast schon Betrug, das Hersteller die User in Sicherheit wiegen, und dabei kann man jede Firewall überwinden, außer Firewalls, die Treibergebunden agieren, und somit zur jetztigen Zeit erstmal unüberwindbar sind.

MfG

Lord

 

das "treibergebunden" kannst du ruhig weglassen. man kann sie vielleicht nicht so einfach "abschießen", aber tunneln kann man sie trotzdem.