Win7 Firewall - alles dicht machen.

[Falkner]

Moinsen,


1.
es geht um die Frage, wie stelle ich die Firewall so ein, dass nichts unnötiges mehr rein und raus geht?


Was ich bisher gemacht habe:
In den Windows-Firewalleigenschaften habe ich für das Domänenprofil, Private Profil und das Öffentliche Profill die ausgehende Verbindung auf Blockieren gestellt. Die eingehende Verbindung ist bei allen Dreien standartgemäß auf blockiren voreingestellt.


Aber Windows Update funktioniert nicht mehr nach der Blockierung.
Außer ich erstelle eine ausgehende Regel für Port 80 (TCP) und 443 (TCP).

Vorher schien Port 80 und 443 ja nicht eingestellt gewesen zu sein.

Was ist standartgemäß eingestellt, damit Windows-Updates möglich sind ohne eine ausgehende regel für Port 80 und 443 einzustellen ?
Oder bleibt mir keine andere Möglichkeit außer Port80 und 443 freizuschalten damit die Updates funktionieren ?




2.
Und was benötige ich von den bereits voreingestellten eingehenden und ausgehenden Regeln eigentlich wirklich wenn doch nur der Internetzugang aktiv sein soll ?
Bzw. bieten einige regeln gewisse Schlupflöcher die mal deaktivieren kann wenn man sie nicht benötigt <ß

Von jedem aufgezählten Eintrager gibt es mehrere Regeln in den jeweils eingehenden/ausgehenden Regeln.



Ausgehend:

Die vielen eingehenden/ausgehenden Regeln für "Netzwerkerkennung" und "Kernnetzwerk" braucht man vermutlich für den Internetzugriff.

Aber brauche ich das alles hier für meine Ansprüche von denen es mehrere Regeln gibt ?:

-Heimnetzgruppe
-Datei- und Druckerfreigaben,
-Windows Media Player-Netzwerkfreigabedienst
-Distributed Transaction Coordinato
-iSCSI-Dienst
-Leistungsprotokolle und -warnungen
-Media Center Extender

-Remoteunterstützung
-Remotedienstverwaltung
-Remote-Ereignisprotokollverwaltung
-Remoteverwaltung geplanter Aufgaben
-Remotevolumeverwaltung - Dienst für virtuelle Datenträger
-Remotevolumeverwaltung
-Routing und Remotezugriff

-Windows-Firewallremoteverwaltung
-Secure Socket Tunneling-Protokoll
-Tragbare Drahtlosgeräte
-Verbindung mit einem Netzwerkprojektor herstellen
-Windows-Peer-zu-Peer-Zusammenarbeits-Foundation
-Windows-Verwaltungsinstrumentation


Eingehend

Bei den eingehenden Regeln gibt es noch zusätzlich mehrere Regeln für:

-Secure Socket Tunneling-Protokol
-SNMP-Ablaufverfolgungsdienst
-Anmeldedienst
-Computernamen-Registrierungsdienst von Windows-Teamarbeit



PS:
3.

Gibt es bei Firefox die Möglichkeit, alle Internetseiten zu verbieten/blockieren außer die, die man in einer Art "Ausnahmeliste" einträgt. So dass man nur noch Computerbase.de etc. aufrufen kann und alle anderen Seiten nicht aufgerufen werden ?

 

[Olunixus]

zu 3. da gibts im router einstellungen mit black und whitelists...

 

[Falkner]

zu 3. da gibts im router einstellungen mit black und whitelists...

Danke schonmal dafür, schaue ich mir gleich mal genauer an.

 

[OSJF]

Darf ich fragen warum du Port 80 und 443 ausgehend verbieten willst?
Bzw. warum du die default settings deiner Windows Firewall ändern willst?

 

[JP-M]

Die Router Einstellungen helfen da nichts, du musst dem entsprechenden Service eine neue eingehende und ausgehende Regel einrichten.

Und die Default Regeln will er mit Sicherheit ändern (so wie ich auch), weil in den Default Einstellungen ALLES raus senden darf ;-).

 

[Falkner]

Darf ich fragen warum du Port 80 und 443 ausgehend verbieten willst?

Port 80 und 443 ausgehend will ich nicht umbedungt verbieten.
Ich musste diese ja extra erstellen, damit Windows weiterhin Updates finden kann.

Wie ich oben schrieb, funktioniert das Updaten nicht mehr, seit dem ich für das Domänenprofil, Private Profil und das Öffentliche Profill die ausgehende Verbindung auf Blockieren gestellt.

Mich würde interessieren, was standartmäßig aktiviert ist, damit Updates gefunden werden können. Wenn ausschließlich Port80 und 443 dafür nötig sind, dann gut. Falls es aber noch eine andere Einstellung oder Option gibt, die nur speziell für die Windows Updates zuständig ist, die ich nur zu aktivieren habe, dann sagt es mir


Für den Spiele PC möchte ich , dass alles was unnötig aus und einsendet unterbunden wird.
Darum auch die Frage bei Punkt 2., ob ich das ganze zeug aktiv halten muss.

 

[Cbusr]

Ist es eigentlich Sinnvoll einen Router zusätzlich zu der Win7 Firewall zu installieren?

 

[Scheinweltname]

was soll denn noch alles an Internetkontakt möglich sein?

Wenn nur ein Browser, E-Mail-Client und Windows ins Netz können sollen, dann ist ein whitelisting einer Firewall relativ leicht.

Windows Update (svchost.exe) benötigt:
UDP remoteport 53 ausgehend: DNS (alle Programme mit Verbindungen brauchen diesen Port; ohne diese Einstellung kriegst du gar keine Verbindungen).
TCP remoteports 80 (http) und 443 (https), ausgehend
Die Ports brauchst du nur für das eine Programm zuzulassen. Da Malware i.d.R. die Ports 80 (zum Down- und Uploaden von Schadcode) und 25 (zum Versenden von Mails) nutzt, sollten diese (und andere "Versand"-Ports) nicht für alle Prozesse oder wenigstens nur zu festen Adressen offen sein. Bei TCP 443 macht das wenig aus, weil es vermutlich keine Malware gibt, die sich per gültiger, digitaler Signatur authentifiziert ^^ (wenn sie das nicht kann, wird die Verbindung abgelehnt).

Für Windows Update und die Signatur-Updates von Windows Defender und Microsoft Security Essentials sind folgende IPs wichtig
Microsoft: 65.52.0.0/14 und 207.46.0.0/16, ggf. noch 94.245.64.0/18 und 213.199.144.0/20
Limelight Network: 95.140.224.0/20, 87.248.192.0/19

... neuerdings laufen die Updates des MSE über Akamai; weiß aber nicht, ob MS das irgendwann komplett umstellt (Thema: Öffnung des Windows Update für andere Anbieter?!)

Ich hab meine Firewall so eingerichtet, dass alle Programme über diese(!) Ports und nur mit MS kommunizieren können. So muss man nicht jeden Systemdienst einzeln zulassen.

zu 3:. Ja, das geht, ist aber elendig aufwändig. Wenn du eh nur 2 oder 3 Seiten aufrufst, ist das kein Problem. Wenn du aber wirklich "surfen" willst, wirds umdständlich.

Wenn du z.B. im Firefox nur Computerbase zulassen willst (dann können aber eingebettete Bilder von anderen Anbietern nicht mehr angezeigt werden): Wenn du alle ausgehenden Verbindungen blockierst und für den Firefox die remote tcpports 80 und 443 für die IP-range 87.230.75.0/24 öffnest, dann funktioniert alles auf CB (wobei damit der gesamte IP-Bereich von Hosteurope zugelassen ist).

Wenn du z.B. nur Youtube zulassen willst, musst du TCP 80 und 443 (443 nur, falls du dich mit einem Account anmelden willst) für Google zulassen: 209.85.128.0/17, 74.125.0.0/16, 173.194.0.0/16

Wenn du aber z.B. Amazon.de zulassen willst, wirds nervig. Weil da Level3 seine Hände im Spiel hat, müsste man quasi das halbe Internet zulassen, was den Sinn einer whitelist-Firewall absurd macht.

 

[Crystal-X]

Schonmal an eine Kinderschutzsoftware gedacht...?

 

[Scheinweltname]

Ok, hatte ich doch endlich nen Anlass, mein Whitelist-HowTo für die Win7-Firewall zu posten

guckstu hier: https://www.computerbase.de/forum/t...ollten-traffic-automatisch-blockieren.744697/