Wegen Wechsel auf Windows 7 habe ich die Comodo Internet Security Suite installiert, was ja selbst schon eine 2h Aktion mit dem nicht funktionieren Installer war…
Nun ist das Programm aber drauf und überzeugt vom Funktionsumfang auf jeden Fall!
Vorher hatte ich den uralten Sygate auf meinem XP System, der immer artig nachgefragt hat, wenn eine Anwendung ins Netz wollte. Einmal bestätigt, durfte dies Applikation dann auch immer raus.
Genau so hätte ich das auch wieder, bekomme ich aber nicht hin. Ich habe folgende Optionen bei Comodo aktiviert:
Antivirus: Stateful
Defence+: Clean PC Mode mit “Block if closed” und “Create rules” Haken
Firewall: Custom Policy Mode mit “Create rules” Haken
Trotzdem bekomme ich NIE eine Anfrage, ob eine Anwendung raus darf. Die Anwendungen dürfen nach wie vor einfach raus. Bekomme ich auch nur im “Block all Mode” blockiert.
Wo kann ich meine Trusted Applikationen resetten und einsehen?
Wie kann ich die Regeln bei Internetzugriff erlauben oder verbieten?
Zum einen sind das die Anwendungen, die von vertrauenswürdigen Anbietern signiert wurden (Defense+ → Allgemein → Meine vertrauenswürdigen Anbieter) - hier musst Du die Anbieter, die Du nicht haben willst rauslöschen.
Zum anderen die Dateien unter Defense+ → Allgemein → Meine sicheren Dateien
Ich geh davon aus, dass Du Dir die Standardkonfiguration nicht genauer angeschaut und deshalb diese Alles-Zulassen-Regel in Deiner Netzwerksicherheits-Richtlinie hast.
Habe jetzt beide Listen komplett geleert, bis auf Comodo.
Firewall steht auf mittlerer Einstellung und auf create Rules.
Er schlägt sich da aber komplett ein Ei drüber, es darf nach wie vor ALLES einfach raus ins Internet.
Nochmal Klartext:
Ich möchte selber festlegen, welcher Applikation vertraut wird, unabhängig von irgendwelchen Signaturen oder Ähnlichem. Der Firewall soll MICH bei jeder Applikation 1 mal fragen (und zwar wenn die Anwendung Zugriff auf das Internet verlangt), ob die Anwendung ins Internet darf. Wenn ich das verneine soll er sich das merken, wenn ich ja sage, soll die Anwendung unter trusted Applications eingereiht werden…
Also erst mal, die “mittlere Einstellung” ist aber der “Sichere Modus” und nicht der “Custom Policy Mode”, wie Du im oberen Post geschrieben hast.
Im sicheren Modus werden alle als “sicher” erkannten Anwendungen ohne weitere Nachfrage erlaubt, wenn noch keine Regel existiert.
Du brauchst den “Custom Policy Mode” (Eigene Richtlinie), damit nur die vorhandenen Regeln beachtet werden und er nachfrägt, falls es keine Regel gibt.
Die Anzahl der Alarm-Meldungen pro Anwendung kannst Du dann unter Firewall → Erweitert → Firewall-Einstellungen, Alarm-Einstellungen ändern. Eine Meldung pro Anwendung bekommst Du, wenn Du den Regler ganz runter auf “sehr niedrig” stellst.
Wenn Du im Alarm wählst, dass er sich die Antwort merken soll, wird eine entsprechende Blockieren/Erlauben-Regel erstellt.
Die vorhandenen Regeln siehst Du unter Firewall → Erweitert → Netzwerk-Sicherheitsrichtlinie
Das hat mit den “Trusted Applications” nur soweit etwas zu tun, dass CIS bei “vertrauenswürdigen Anwendungen” nicht nachfrägt, wenn keine Regel vorhanden ist, sondern den Zugriff erlaubt. Das Betrifft nicht nur die Firewall-Komonente, sondern auch die Defense+ und die Antivirus-Komponente.
du bist auf den absolut unverständlichen widerspruch in der comodo firewall gestoßen. wenn du alle “automatischen regel sachen” ausgestellt hast (+ eigene richtlinie), und dennoch nicht gefragt wirst, so liegt das an der sogenannten sandbox.
comodo hat sich gedacht, etwas “erfinden” zu müssen, was fragen dezimiert. allerdings sollte eine sandbox einen zusätzlichen schutz bieten, was sie aber hier NICHT tut.
alle programme, die in der sandbox laufen (per “userfriendly” default ALLE), dürfen ungefragt ins internet. “weil sie ja so sicher in der sandbox sind”. hat denn keiner daran gedacht, daß ein gesandboxter trojaner sachen schicken könnte oder laden könnte… egal ob er in der “sogenannten sandbox” ist?
LÖSCHE alle regeln in der firewall regel sektion. zum beispiel “allow out for everything”. UND STELL DIE SANDBOX AUS. (rechtsclick aufs icon, da ist es leicht zu finden).
internet programme laufen, wenn sie UDP OUT + TCP OUT dürfen. nur OUT, das reicht. da du ab jetzt für jede connection gefragt wirst (evtl sogar der rechner einfriert, weil du eine full screen application am laufen hast, bevor die frage kommt), mache eine regel für solch eine anwendung bevor du sie startest. “allow …EXE OUTGOING TCP+UDP”. manche brauchen sogar nur UDP OUT.
OUTGOING heißt: du bekommst antworten auf deine requests, alles andere wird geblockt.
den stealth port wizard solltest du auch einmal benutzen. “hide me from the internet”. der erzeugt eine globale regel “block ip (alle protokolle) INGOING”. also alle connections die “du” nicht angefragt hast, werden geblockt.
hoffe, das hilft.
Habe Internet Security Premium, die neue Version 4. Hatte bis eben den sicheren Modus, habe dann clockworks Antwort gelesen und den Modus “eigene Richtlinien” aktiviert. Nun fragt es wirklich alles. Auslöser war das Programm FreeDVD Video Converter, das einfach eine Aktualisierung gefunden hatte, ohne dass die Firewall muckte. Das machte mich stutzig, also hier im Beitrag geguckt und bei den vertrauenswürdigen Anbietern war FreeDVDSoftware nicht drin. Habe darum mal die eigenen Richtlinien eingesetzt. Wundert mich, dass das Proggy einfach durchgewunken wurde.
Nun fragt es alles und auch FreeDVD konnt ich blocken. Etwas wundert mich: svhost will ständig ins Netz, System auch. Beides blocke ich komplett ab. CIS meldet aber, beides sei sicher und dürfe rein, blocke trotzdem alles. Zugang scheine ich ja noch zu haben. Kann man das auch etwas einfacher einstellen, weil ich manchmal befürchte, dass böseartige oder einfach unerwünschte Programme quasi per svchost ins Netz gehen und sich somit tarnen… Sehe ich das richtig?
Hmmmm, per eigener Richtlinie kam ich nun gar nicht mehr rein :-(. Musste wieder auf “Sicher” umstellen, da ich nicht mehr erkennen konnte, was nun rein darf und was nicht. System dachte ich, muss man blocken… Nun gehts wieder aber kann es sein, dass nun mit “sicherer Modus” jedes Programm vai svchost rein kann?
Bei mir musste ich “System” TCP/UDP von Ports 137-139 Ein/Aus erlauben, damit ich per Wlan eine Verbindung zustande bekomme, alles andere habe ich verboten.
Bei svchost ist das leider deutlich schwieriger, da dieser auch für die Windows Updates zuständig ist und die Update Server unter zahlreichen IPs erreichbar sein müssen. Schau dir mein Bild an, damit hat mich svchost schon lange nicht mehr nach einem Zugang gefragt, IPs mit einem XXX sind IP Bereiche von .1 bis .254.
Bei den IMCP Nachrichten muss deine Routeradresse eingetragen sein.
So, nach etlichem hin und her: mache nun eigene Regeln und nehm die Mühen in kauf. Avast fragte permanent nach, der darf rein, Virenscanner halt. Und falls es einer weiß… System will nbname(137) zulassen, Zieladresse 192.168.0.255. Google sagt, das sei eine nicht “routable” IP, also muss das mein Netzwerk sein. Hab WLAN, gesichert, wird von 2 Rechnern genutzt, keine Drucker o.ä. Besser abblocken oder zulassen? Scheint eine Nameserver-Anfrage bezüglich meines Rechners zu sein, aber von wem? An wen will System was schicken? Blocken scheint dumm, dann geht nämlich gar nix mehr ^^
svchost will auch upnp-mcast(1900) zulassen, Remote 239.255.255.250, UDP… Dazu finde ich bei Google was wegen Universal PlugnPlay, aber konnte nicht herausfinden, ob das gut/böse ist. Einmalig zugelassen.
Habe Deine Regeln mal umgesetzt, siehe Bild. Ansonsten werde ich svchost mal blocken.
svchost hab ich aus “aktive verbindungen” wegbekommen, indem ich den webclient dienst ausgestellt habe. bei manchen funktioniert ohne svchost internet nicht, bzw keine windows updates. (also auf eigene gefahr!)
daß “system” ständig am lauschen ist, nervte mich. ich hab ein altes “wurmloch stopfen” programm benutzt, daß dies lauschen auf dem netbios port abstellt. (ich habe das programm nicht im netz finden können. aber es geht halt um den netbios port. kann man auch von hand “irgendwo” abstellen. (jedoch reicht es nicht, netbios unter tcp connection zu deaktivieren. system lauscht dann trotzdem erstmal weiter)).
jetzt ist mein “aktive verbindungen fenster” leer, solange ICH keine verbindung mit irgendeinem programm herstelle.
Ja das kommt daher, das svchost bei WLAN Verbindungen für eine DHCP Anfrage genutzt wird und weiterhin läuft darüber das Windows Update. Deshalb auch das Problem
