Firewall: alle Ein- u. Ausgänge blocken, bis auf Ausnahmen, möglich?

M4x_814cX

Cadet 2nd Year
Dabei seit
Feb. 2017
Beiträge
16
Hallo zusammen :)

In Zeiten der Ransomware und PC-Überwachung frage ich mich, ob es mit der Win 10 Firewall oder einer Drittanbieterfirewall möglich ist, alle ein- und ausgehenden Netzwerkverbindungen (bzw. Programmanfragen etc.) zu blockieren.
Ziel ist es, den PC im Heimnetzwerk zu belassen, die Vorteile zu genießen, aber ohne nicht von mir getätigte Online-Ausführungen (also so, als wäre der PC nicht im Netzwerk).
Natürlich würde ich ein paar Ausnahmen generieren, die sowohl hinein aus auch heraus kommunizieren dürfen: Browser, Antivirus, Win-Update, Grafik Treiber, Onlinespiele. Doch sollte die Liste der Ausnahmen sehr kurz und sicher sein.

Hat jemand Erfahrungen hiermit, kann evt. sogar sagen, ob das System dann noch stabil läuft?

Ich bin eh kein Freund vieler Programme und automatischer Updates...

Für Deinen Tipp bin ich dankbar!

Grüße :)
 

rg88

Fleet Admiral
Dabei seit
Feb. 2015
Beiträge
24.810
Wenn der Browser raus darf, dann kann jedes Programm raus. Es kann den Browser nämlich einfach dafür benutzen.
Eingehend ist eh alles gesperrt durch den Router.
Gegen Ransomware nützt dir das alles überhaupt nichts, weil das Einfallstor hier Email oder der Browser sind

Bringt also alles nichts was du da vorhast.
 

HominiLupus

Banned
Dabei seit
Okt. 2013
Beiträge
33.550
Klar geht das, nennt sich whitelisting.
Wirst du aber nicht machen, das wird gegen Ransomware und Überwachung nicht helfen und deine Liste ist Quatsch bei der man merkt du hast keine Ahnung von der Materie. Grafiktreiber? *lach*. Rate mal wodurch 99% aller Infektionen geschehen: Browser. Ok, vielleicht nicht 99% sondern nich 80-90%, der Rest via nicht aufgeführter EMail.
 

M4x_814cX

Cadet 2nd Year
Ersteller dieses Themas
Dabei seit
Feb. 2017
Beiträge
16
vielen Dank, rg88.
Nutzen Trojaner, Ransomware etc. nicht eine eigene exe Datei, sobald sie anfangen zu arbeiten? Diese wäre dann ja geblockt.
Oder, symbolisch gesprochen, surfen sie auf dem Browser-Surfbrett als blinder Passagier mit?
 

rg88

Fleet Admiral
Dabei seit
Feb. 2015
Beiträge
24.810
man kann den Browser zur Kommunikation einbinden. Ist aber eh alles egal, weil wenn die Ransomware drauf ist, dann ist eh alles zu spät die verschlüsselt dir mit und ohne Internet deine Daten. Deine lokale Firewall zu umgehen dürfte wohl auch nicht die Schwierigkeit sein, wenn sich ein Trojaner schon durch deine UAC gezwängt hat.
Die Unsicherheit des Browsers und von Email bleibt dabei natürlich bestehen.

Was du vor hast: Alles dicht machen und dann wieder genauso weit auf, wie es vorher war. Mit dem Unterschied, dass du viel nachjustieren musst, wenn doch die eine oder andere Sache dann nicht geht.
Viel Arbeit für Nichts.

Das einzige was wirklich hilft: Datensicherung auf ein externes Medium (mindestens 2). Alles andere ist Humbug
 

M4x_814cX

Cadet 2nd Year
Ersteller dieses Themas
Dabei seit
Feb. 2017
Beiträge
16
Zum Thema Emails brauch ich hier wohl nicht all zu viel sagen, wer öffnet denn Mails, dessen Absender er nicht kennt. Wichtige Schreiben haben eh kein Bestand per Mail, müssen per Post oder Einschreiben kommen, daher geht bei mir erstmal alles in Spam. Da hab ich sozusagen schon eine Whitelist...
Befällt Ransomware einen PC durchs bloße surfen oder muss hier etwas gedownloadet werden undzwar manuell: oh da ist ja ein gratis Spiel - klick.
Der bloße Surfvorgang wäre ein Seitenbesuch, ohne Flash, Java.
Ergänzung ()

Das einzige was wirklich hilft: Datensicherung auf ein externes Medium (mindestens 2). Alles andere ist Humbug
Das sowieso. Danke.

Ich hatte halt gedacht, dass ich so selbstauslösenden exe's den Hahn zudrehe.
 

M@rsupil@mi

Rear Admiral
Dabei seit
Jan. 2013
Beiträge
5.375
Man kann sich durchaus einfach durch den Aufruf einer Webseite was einfangen. Das kann auch bei seriösen Seiten passieren, wo man es auf den ersten Blick gar nicht vermutet. Läuft da meist über bösartige Werbung. Deswegen ist ein Werbeblocker ein exzellenter Schutz für den Rechner.

Es gibt sicherlich hier und da ganz fiese Sachen, die einfach durch den Aufruf einer Webseite aufs System kommen können (Sicherheitslücken gibt es im System oder dem Browser immer wieder). Allerdings fängt man sich die ganze Schadsoftware zu 99% dadurch ein, dass man unbekannte Anhänge öffnet, Software XY (mit Schadsoftware im Anhang) installiert, etc. Es ist immer leicht zu sagen "darauf fällt doch keiner rein", aber es funktioniert halt auch 2017 noch wunderbar. Die Angreifer finden immer welcher die aktiv werden und unter Vorwand XY die notwendigen Schritte durchführen, damit die Malware aktiv werden kann.

Ansonsten kann man das System aber auch zusätzlich noch ganz gut absichern:
Windows Scripting deaktivieren
Office Makros komplett abschalten
Mail-Anhänge filtern / blocken
Acccount mit eingeschränkten Rechten verwenden (kein Admin Account)
Bei Backups im Netzwerk dafür sorgen, dass der normale Account auf die entsprechenden Verzeichnisse keine Schreibrechte hat
Möchte man den Browser noch weiter abkapseln / absichern dann könnte man den auch in einer Sandbox laufen lassen.
Und um die Ausführung unbekannter Software zu unterbinden könnte man auch noch auf Software Whitelisting setzen. Dann kann man z.B. Virus.exe aus dem Netz laden, aber könnte die Datei nicht starten (außer die Datei oder der Ordner worin sich die Datei befindet ist freigegeben).
 

purzelbär

Admiral
Dabei seit
Feb. 2012
Beiträge
7.247
Das einzige was wirklich hilft: Datensicherung auf ein externes Medium (mindestens 2). Alles andere ist Humbug
Mach einfach auf zum Beispiel eine USB Festplatte die immer offline sein wollte wenn sie nicht benutzt wird, Sicherungen dir wichtiger Daten die nicht verschlüsselt bzw verloren gehen sollen und mache ausserdem regelmässig sog. Systembackups auch auf die USB Festplatte. Dann brauchst du im Falle einer Ransomware Attacke oder wenn mal deine Festplatte im PC kaputt geht, nicht Windows mit Programmen usw neu installieren sondern kannst besagtes Systembackup einspielen was deutlich schneller geht.
 

M4x_814cX

Cadet 2nd Year
Ersteller dieses Themas
Dabei seit
Feb. 2017
Beiträge
16
Ansonsten kann man das System aber auch zusätzlich noch ganz gut absichern:
Windows Scripting deaktivieren
Das mit WSH find ich gut. sollte so komplett deaktiviert sein:Windows Scripting deaktivieren.png

Edit:
trägt es zur Sicherheit bei über gpedit die ntfs verschlüsselung zu deaktivieren?
ich beabsichtige nicht mein ganzes Laufwerk zu verschlüsseln, höchstens mal einzelne Datein.
 
Zuletzt bearbeitet:

rg88

Fleet Admiral
Dabei seit
Feb. 2015
Beiträge
24.810
Bringt überhaupt nichts. Stanadrdmäßig ist bei dir nichts verschlüßelt. Die Verschlüßelung wird aber nach dem anmelden sowieso aufgehoben und alles kann gelesen und geändert werden. Würde maximal bei einem Diebstahl was bringen
 

M4x_814cX

Cadet 2nd Year
Ersteller dieses Themas
Dabei seit
Feb. 2017
Beiträge
16
Alles klar.
Eine letzte Sache bleibt noch offen, die ich mit der Firewall Einstellung beheben wollte.
Einige Programme, Win und Nicht-Win; haben z.B. heute Updates gemacht, ohne dass sie einen Autostart haben, einen geplanten Vorgang oder sonst irgendwie geöffnet wurden.
update ohne run.png
Avast und Opera habe ich verwendet, die anderen vom 4.6. nicht...
Wodurch werden die Programme aktualisiert?
Auf Win 7 kenne ich es, dass dies nur über Autostart oder einen geplanten Vorgang geht. Hier Win 10...
 

Dr. McCoy

Lt. Commander
Dabei seit
Aug. 2015
Beiträge
1.559
Nutzen Trojaner, Ransomware etc. nicht eine eigene exe Datei, sobald sie anfangen zu arbeiten? Diese wäre dann ja geblockt.
Nein, das ist dann nicht sicher "geblockt", zumal die Malware in diesem Szenario bereits aktiv ist und die installierte "Firewall" manipulieren kann. Außerdem ist Malware heutzutage nicht mehr nur simpel "in einer exe" aktiv, sondern sie bedient sich verschiedener Rootkittechniken, um möglichst nicht aufzufallen und nicht entdeckt zu werden.

Somit geht der Ansatz bereits ins Leere: Es darf nicht Ziel sein, Malware auf einem System aktiv werden zu lassen, um sie danach zuverlässig blockieren zu wollen. Sondern es muss effektiv eine etwaige Systemkompromittierung im Vorfeld verhindert werden. Natürlich darf man nichts desto trotz Backups und Sicherungsimages vernachlässigen.

Oder, symbolisch gesprochen, surfen sie auf dem Browser-Surfbrett als blinder Passagier mit?
Simplifiziert kann man das für ein mögliches Szenario durchaus so umschreiben.

Zum Thema Emails brauch ich hier wohl nicht all zu viel sagen, wer öffnet denn Mails, dessen Absender er nicht kennt.
Das Problem ist ja, dass...
- Malware-Mails oft unter bekannten Absendern verschickt werden,
- viele User Webmail mit standardmäßig aktivierter HTML-Darstellung verwenden,
- bekannte Dateinamenerweiterungen unter Windows vom User standardmäßig ausgeblendet belassen werden,
- Amazon, ebay, Paypal & Co für Nutzer zunächst durchaus "bekannte" Absender darstellen,
- viele User nicht wissen, wie leicht Absenderadressen zu fälschen sind,
- etc.

Wichtige Schreiben haben eh kein Bestand per Mail, müssen per Post oder Einschreiben kommen, daher geht bei mir erstmal alles in Spam.
Für denn gemeinen Nutzer stellen jedoch auch Rechnungen in Bezug auf Onlineshopping durchaus "wichtige" Dokumente dar, die per E-Mail hereinkommen und - bei Echtheit - geöffnet werden müssen.

Da hab ich sozusagen schon eine Whitelist...
Eine "Whitelist" alleine bringt jedoch nichts, da potentiell jede auf der Whitelist befindliche Mailadresse auch als Absenderadresse einer Mail mit Malware im Anhang erscheinen kann.

Befällt Ransomware einen PC durchs bloße surfen oder muss hier etwas gedownloadet werden undzwar manuell: oh da ist ja ein gratis Spiel - klick.
Beides. Sowohl Drive-by-Infektionen als auch Selbstinstallationen von Hand nach Social Engineering kommen dafür in Frage.

Der bloße Surfvorgang wäre ein Seitenbesuch, ohne Flash, Java.
Der Seitenbesuch ohne Java und Flash verringert zwar die Angriffsfläche. Allerdings bleiben ja immer noch Sicherheitslücken im Browser selbst und im System, sowie weitere aktive Addons wie beispielsweise ein PDF-Viewer.

Viele aktualisieren ihre Software zu selten. Wird eine ausnutzbare Sicherheitslücke entdeckt, gibt es in der Regel einen Exploit, der in der Regel nach wenigen Tagen in Exploit-Kits integriert wird. Nun fehlt nur noch ein "Angriff" beispielsweise auf einen zentralen Werbeserver, sodass in der Folge an unzählige Webseiten verseuchte Werbung ausgeliefert wird, die verwundbare Systeme ihrer Besucher kompromittiert.

Wird also beispielsweise erst nach einer Woche nach Erscheinen eines Sicherheitsupdates der Browser, das Betriebssystem oder eine relevante andere Drittanbietersoftare durch den Benutzer aktualisiert, kann dies bereits eine Infektion nach sich ziehen -- alleine durch den Aufruf einer Website, und sei es einer bekannten, großen.

Auch die Wahl des Betriebssystems ist mitentscheidend. Wichtige systeminterne Schutztechniken, die ursprünglich mittels EMET unter Windows nachrüstbar waren, sind beispielsweise in einem aktuellen Betriebssystem bereits integriert.

Und so kommt ein Mosaiksteinchen zum anderen.

Ich hatte halt gedacht, dass ich so selbstauslösenden exe's den Hahn zudrehe.
Nein.

Man kann sich durchaus einfach durch den Aufruf einer Webseite was einfangen. Das kann auch bei seriösen Seiten passieren, wo man es auf den ersten Blick gar nicht vermutet. Läuft da meist über bösartige Werbung. Deswegen ist ein Werbeblocker ein exzellenter Schutz für den Rechner.
Genau. Eine weitere wichtige Maßnahme heutzutage.

Allerdings fängt man sich die ganze Schadsoftware zu 99% dadurch ein, dass man unbekannte Anhänge öffnet, Software XY (mit Schadsoftware im Anhang) installiert, etc.
Nein, der Anteil von Drive-by-Infektionen liegt weitaus höher als nur mickrige 1%. Hinzu kommen auch noch andere Faktoren wie verseuchte Wechseldatenträger, Kompromittierungen von Routern aufgrund veralteter Firmware und falscher Konfiguration, mit der Folge z.B. der Umleitung auf unseriöse Seiten auf diesem Wege.

Das Infektionsszenario ist also weitaus vielschichtiger.

Es ist immer leicht zu sagen "darauf fällt doch keiner rein", aber es funktioniert halt auch 2017 noch wunderbar.
Das ist allerdings richtig, die "Hereinfallrate" der Nutzer liegt ziemlich weit oben.

Besonders wichtig ist dann so ein Vorgehen, wie ich es oben bereits kurz andeutete, und zuvor schon präzisiert war:
Mach einfach auf zum Beispiel eine USB Festplatte die immer offline sein wollte wenn sie nicht benutzt wird, Sicherungen dir wichtiger Daten die nicht verschlüsselt bzw verloren gehen sollen und mache ausserdem regelmässig sog. Systembackups auch auf die USB Festplatte.
Leider fehlen in vielen Fällen solche extrem wichtigen Backups -- übrigens nicht nur infolge Malwarebefalls, sondern auch nach Hardwaredefekten, etc.

Edit:
trägt es zur Sicherheit bei über gpedit die ntfs verschlüsselung zu deaktivieren?
ich beabsichtige nicht mein ganzes Laufwerk zu verschlüsseln, höchstens mal einzelne Datein.
Die Verschlüsselung hat bezüglich Deines Datenerhaltes bei Malwareinfektion keine Auswirkungen. Wichtig sind externe Mehrfachsicherungen (Kopien) auf unterschiedlichen Datenträgern, die nur jeweils kurz und auch nur einzeln mit dem Produktivsystem verbunden werden.

Eine letzte Sache bleibt noch offen, die ich mit der Firewall Einstellung beheben wollte.
Einige Programme, Win und Nicht-Win; haben z.B. heute Updates gemacht, ohne dass sie einen Autostart haben, einen geplanten Vorgang oder sonst irgendwie geöffnet wurden.
Gerade diese Updates waren ja sicherheitsrelevant und wichtig, Opera wurde sogar 5 Tage zu spät aktualisiert (das ist übrigens genau das, was ich oben zum Schutz gegenüber Drive-by-Infektionen beschrieben hatte, die zu späte Softwareaktualisierung nach behobenen Sicherheitslücken).

Avast und Opera habe ich verwendet, die anderen vom 4.6. nicht...
Die Treiber werden über das Windowsupdate aktualisiert worden sein.

Wodurch werden die Programme aktualisiert?
Der VLC-Player durch das integrierte Auto-Update. Dazu reicht es schon, dass er in den Browser eingebunden ist und über diesen, z.B. auf einer Website, als Plugin aufgerufen wurde. Dann ist er sozusagen "wach" und macht auch das Update. Nur auch hier viel zu spät, das ist heute schon 11 Tage her gewesen. Sowas musst Du künftig zeitnaher auf den aktuellsten Stand bringen, das ist wichtiger als irgendwelche Personal-Firewall-Regeln.

Auf Win 7 kenne ich es, dass dies nur über Autostart oder einen geplanten Vorgang geht. Hier Win 10...
Win 10 Pro 64 Bit ist übrigens eine solide Grundlage.
 
Zuletzt bearbeitet:

M4x_814cX

Cadet 2nd Year
Ersteller dieses Themas
Dabei seit
Feb. 2017
Beiträge
16
Da hast du dir mal richtig Mühe gegeben. Vielen Dank!
Eine kleine Anmerkung zu meiner Email Sache: Ich weiß ja, wann ich etwas gekauft habe und eine Rechnung erwarte.
Diese Domain und Absender Faker kenne ich.

Vielen Dank!
 

-=Azrael=-

Lt. Commander
Dabei seit
Jan. 2009
Beiträge
1.989
Ja es ist bedingt möglich.
Das wirst du aber nicht mit der Windows Firewall hinkriegen oder mit einer Drittanbieter Software die du unter Windows installierst.


Allgemein auch als Hardware Firewall bekannt, gibt es die Möglichkeit fertige Systeme zu kaufen oder selbst eins zu bauen.

Einfach mal Ipfire, Pfsense oder Sophos UTM/XG angucken.

Du blockierst erstmal alles und die Ports/Protokolle die offen sein müssen werden dementsprechend mit diversen Techniken überwacht/kontrolliert.

Solche Firewalls verwenden Techniken wie packetfilter/stateful/stateless inspection/application monitoring/rules/IDS/IPS/Proxies/SSL filtering/scan and decrypt usw..


Ich persönlich bin damals mit IpCop in die Hardwarefirewalls eingestiegen und verwende seit Jahren die Sophos UTM Home Lizenz.
 
Top