"Meine geschützten Dateien" funktioniert nicht oder verstehe ich was falsch?

Hallo,

nachdem ich irgendwie mehr Möglichkeiten von einer Firewall haben wollte, bin ich nach ewig langer Nutzung von Zonealarm auf die Comodo Firewall gewechselt und mir gefällts zur Zeit noch sehr gut.

Was ich aber nicht verstehe: unter “Meine geschützten Dateien” sind ja u.a. verschiedene Ordner aufgelistet wie z.B. der Autostart Ordner. Also sollen jetzt alle Dateien in diesem Ordner geschützt sein, nur was ist das genau für ein Schutz (vor was)? Denn wenn ich jetzt in diesem Ordner die Verknüpfungen lösche, verändere oder neue einfüge, passiert nichts, Comodo meldet nichts und alle Bearbeitungsoptionen werden auch ausgeführt!?

Was läuft da schief? Über Aufklärung wäre ich sehr dankbar!

Und noch ne kurze Frage am Rande: kann man die Dauer von den Defence+ Popups (nicht die normalen Warnfenster) verlängern?

Gruss, Cimba

Lass mich raten, du hast die Verknüpfung durch den Explorer gelöscht.

Die Explorer.exe hat auf deinem PC fast uneingeschränkte Freiheit(Er darf nur nicht Programme starten). Der Explorer ist wie SvcHost.exe eine zentrale Datei von Windows.

Da der Explorer alles verändern darf, kann er auch geschützte Dateien verändern.
Da die Einstellung bei “geschützte Dateien und Ordner” auf Erlaubt gestellt ist.
Ich empfehle dir jedoch nicht, diese Option zu ändern, da du sonst mit anfragen überschüttet wirst, was dich nur nerven wird (Ich hab das mal gemacht, nicht zu empfehlen).
Andere Programme(mal abgesehen von System-Anwendungen) können diese geschützten Dateien nicht ohne dein zutuen ändern, da CIS dich befragen wird.
Da CIS auch nachfragt, ob ein Programme auf den Speicher von Explorer.exe zu greifen darf, sind deine geschützten Dateien also trotzdem geschützt, solange du diese Anfrage verneinst.

Hoffe es hat geholfen.

Ich fange an, zu verstehen

Ich verstehe allerdings noch nicht ganz, warum z.B. ein Grafikprogramm, wo im Defence+ Profil bei den geschützten Ordnern “Frage” steht, im Autostart Ordner trotzdem löschen kann, wenn die Sicherheitsstufe auf “Sauberer PC Modus” und nicht “Sicherer PC” steht.

Weil bei beiden Defence+ Einstellungen steht “Jede Aktion von sicheren Programmen wird gelernt”, was beim “Sicherer PC” Modus" zumindest verwirrend ist, wenn diese Lernfunktion sich über das “Frage” im jeweiligem Programmprofil hinweg setzt.

Aber ich verstehe zumindest schon mal deutlich meh von der Funktionsweiser, danke dafür!

Ich muss doch nochmal nachfragen, weil ich da noch was nicht so recht verstehen:

der DOS Prompt (cmd) und das Grafikprogramm stehen beide unter “Alle Anwendungen” und haben beide die gleichen Profile, trotzdem werd ich im Gegensatz zum Grafikprogramm beim löschen per cmd nicht gefragt, ob ich das zulassen will, trotz “Sicherer Modus”.

Irgendwie scheint also cmd irgendwie “sicherer” als das Grafikprogramm zu sein … das find ich irgendwie jetzt doch verwirrend! ???

Hallo dies ist mein erster reply im Deutschen board. Ich komme aus der Niederlande und habe mein Deutsch seit langer zeit nicht mehr aktiv geübt. Ich verstehe Deutsch genug um Tatort auf den fernsehen zu verstehen. Also Entschuldigung für Grammatik Fehler mit schreiben.

Sauberer PC Modus sagt

• Alle Programme auf den Festplatten gelten als sicher
• Es wird angenommen dass neue ausführbare Dateien auf den PC nicht sicher sind
  Dass bedeutetet dass wenn das Graphik Programm schon bei dem Start von Comodo auf dem Computer war es als sicher gesehen wird.

Weil bei beiden Defence+ Einstellungen steht "Jede Aktion von sicheren Programmen wird gelernt", was beim "Sicherer PC" Modus" zumindest verwirrend ist, wenn diese Lernfunktion sich über das "Frage" im jeweiligem Programmprofil hinweg setzt.

Aber ich verstehe zumindest schon mal deutlich meh von der Funktionsweiser, danke dafür!

In Sicherer PC Modus werden nur Programme von dem Comodo “white list” als sicher gesehen. Dass wird nicht gesagt und wirkt verwirrend.

Du sagst " wo im Defence+ Profil bei den geschützten Ordnern “Frage” steht,". Meinst du dass in den Regeln für den Grafik Programm unter Sicherheitsrichtlinien steht das Programm soll fragen?

Kannst du mich die zwei Szenarios geben mit welchen du welchen Dateien(?) löscht?

Kann man denn irgendwo sehen, welches Programm in der “white list” steht?

Du sagst " wo im Defence+ Profil bei den geschützten Ordnern "Frage" steht,". Meinst du dass in den Regeln für den Grafik Programm unter Sicherheitsrichtlinien steht das Programm soll fragen?

Genau das meine ich, bei "Geschützte Dateien/Ordner" ist auf "Frage" gestellt, wie auch beim cmd Programm

Kannst du mich die zwei Szenarios geben mit welchen du welchen Dateien(?) löscht?

Kommt dir das jetzt doch merkwürdig vor? ;)

Das Grafikprogramm ist der Picture Publisher 8, da du den nicht haben wirst, nimm den Freewarepacker 7-Zip und gehe mit ihm in den Ordner "C:\Dokumente und Einstellungen\DEIN USERNAME\Startmenü\Programme\Autostart" und lösche dort irgendeine .lnk Datei, dann wird Defence+ nachfragen, ob man das zulassen will.

Mit cmd in den gleichen Ordner gewechselt und mit “DEL beispieli.lnk” kommt nur ein einmaliger Popuphinweis: C:\windows\system32\cmd.exe ändert die Datei/den Ordner C:\Dokumente und Einstellungen\DEIN USERNAME\Startmenü\Programme\Autostart\beispiel.lnk. Gleichzeitig wird in den Sicherheitseinstellungen unter “Geschützte Dateien/Ordner” dieser Autostartordner eingetragen.

Wolltest du das wissen?

Im übrigen finde ich dein Deutsch beachtlich gut! :-TU

Der white list ist nicht offenbar.

Genau das meine ich, bei "Geschützte Dateien/Ordner" ist auf "Frage" gestellt, wie auch beim cmd Programm Kommt dir das jetzt doch merkwürdig vor? ;)

Hier habe ich kein klares Antwort aber lies folgendes.

Das Grafikprogramm ist der Picture Publisher 8, da du den nicht haben wirst, nimm den Freewarepacker 7-Zip und gehe mit ihm in den Ordner "C:\Dokumente und Einstellungen\DEIN USERNAME\Startmenü\Programme\Autostart\" und lösche dort irgendeine .lnk Datei, dann wird Defence+ nachfragen, ob man das zulassen will.

Mit cmd in den gleichen Ordner gewechselt und mit “DEL beispieli.lnk” kommt nur ein einmaliger Popuphinweis: C:\windows\system32\cmd.exe ändert die Datei/den Ordner C:\Dokumente und Einstellungen\DEIN USERNAME\Startmenü\Programme\Autostart\beispiel.lnk. Gleichzeitig wird in den Sicherheitseinstellungen unter “Geschützte Dateien/Ordner” dieser Autostartordner eingetragen.

Wolltest du das wissen?

Genau. Die Szenario sind sehr klar. In dieser stelle mit cmd machst du, der Benutzer, das Kommando. Und gleich wie du mit Explorer etwas löscht vertraut CIS den Benutzer. Die Lage ändert sich wenn ein Programm so etwas macht. Das ist der Logik hier. Dann wird die Benutzer gefragt.

Ich frage mich ab was passiert wenn du die Linie DEL beispieli.lnk in einem .bat Datei hinein fügt und dieser .bat Datei ausführt. Ich denke du wirst gefragt werden.

Im übrigen finde ich dein Deutsch beachtlich gut! :-TU

Danke die Schule die es mich gelernt hat ;D....

Man kann davon ausgehen, dass die Cmd.exe durch die Liste der vertrauten Anwender - Microsoft steht auch drin - als sichere Datei angesehen wird.

Jetzt wollt ich es wissen:

eine Batchdatei mit del C:\DOKUME~1\USERNAME\STARTM~1\PROGRA~1\AUTOST~1\DSL-Ma~1.lnk löst KEINE Frage von Comodo aus! Sogar noch schlimmer: es erscheint noch nicht einmal ein Popup, selbst wenn cmd aus aus der “Computer-Sicherheitsrichtlinie” entfernt wurde, irgendwie wird eine Batchdatei noch anders behandelt.

Ich finde aber auch, cmd als White List Programm zu behandeln, als ein Sicherheitsleck, weil das Programm recht leicht aufzurufen ist und damit viel gemacht werden kann.

Z.B. kann man mit “Ausführen” (beim Startbutton) mit: cmd.exe /c 'del C:\DOKUME~1\USERNAME\STARTM~1\PROGRA~1\AUTOST~1\DSL-Ma~1.lnk ebenfalls die Datei OHNE Rückfrage löschen.

Ein Script mit folgendem Inhalt:

Set fso = CreateObject(“Scripting.FileSystemObject”)
fso.DeleteFile “C:\Dokumente und Einstellungen\USERNAME\Startmenü\Programme\Autostart\DSL-Manager.lnk”

löst dagegen ein Warnhnweis aus.

Die Sicherheit durch Defence+ finde ich aber auf Grund der anderen Möglichkeiten doch arg eingeschränkt.

In der erste Post fragst du ob die Dauer von den Defence+ Popups (nicht die normalen Warnfenster) verlängern kannst. Das ist möglich unter Defense + Einstellungen (Defense + → Erweitert -->).

CIS ist nicht der Nanny der Benutzer wie User Account Control in Vista. Es ist nur der Nanny der Programme. Und das genügt. Folgendes versucht dass zu beweisen.

Ich habe was rund gespielt mit einem .bat Datei und habe dieser mit cmd ausgeführt und mit der Datei Browser von XnView. Dieser .bat Datei wird den Kommando net.exe ausführen.

Ich habe folgendes präpariert.

• Ich habe die Berechtigungen von Explorer um cmd und XnView aus zu führen gelöscht
• Ich habe die Regeln von cmd und XnView gelöscht unter Computer-Sicherheitsrichtlinie
• Letztens habe ich D+ in Paranoid Modus eingestellt
  Jetzt sind wir sicher dass alle Aktionen die CIS registriert von uns gesehen werden.

Wenn ich XnView ausführe passiert folgendes:

• CIS fragt ob Explorer XnView ausführen darf
• Wenn ich die .bat Datei ausführe wird gefragt ob XnView cmd ausführen darf
• Dann wird gefragt ob cmd net.exe ausführen darf

Zweiter Szenario wenn ich cmd ausführe:

• CIS fragt ob Explorer cmd ausführen darf
• Wenn ich die .bat Datei ausführe wird gefragt ob cmd net.exe ausführen darf

Man kann sehen dass die Sequenzen für XnView nahezu identisch sind. Mit XnView gibt es eine extra Schritt der fragt ob XnView cmd ausführen darf. Beide Sequenzen fangen an mit der Frage ob Explorer ein Programm ausführen darf auf Initiative des Benutzers. Im fall der XnView kommt eine Frage dazu ob XnView cmd ausführen darf.

Wie mein Experiment anzeigt darf kein Programm ein anderes Programm ausführen ohne Berechtigung. Das ist die Schutz des CIS.

Bei CIS bleibt der Benutzer seine eigene Chef und kann auch dumme Dingen tun. Da entgegen brauchen Programme immer Berechtigung um andere Programme aus zu fuhren. CIS ist nicht der Nanny der Benutzer sondern der Programme.

Windows Vista hat eine richtige Nanny mit User Account Control (UAC) dass versucht auch die Benutzer gegen sich selbst zu schützen. Dann gibt es viele Alarme die die Benutzer nerven. Adioz stellt etwas ähnliches mit CIS fest in seiner Antwort auf deiner frage.

Mit Windows 7 ist UAC viel leiser gemacht und wird in Standard Modus verzichten auf Alarmen wenn der Benutzer Systemeinstellungen änderst. Also, in Windows 7 kann der Benutzer dumme Dingen machen wie mit CIS…

Welche Dateien stehn denn bei dir in der Liste der Kontrolle von Speicherabbildern?

Defense±>Erweitert->Einstellung zur Kontrolle von Speicherabbildern->2. Tab.

Genau DAS meinte ich nicht! Ich meinte das kleinere Popup, wenn Defence+ etwas lernt.

Wie mein Experiment anzeigt darf kein Programm ein anderes Programm ausführen ohne Berechtigung. Das ist die Schutz des CIS.

Ich fange an, zu verstehen! ;)

Aber trotzdem: wenn ich z.B. ein Programm aufrufe, was auch eine Schadfunktion beinhaltet (wie z.B im Autostartordner was löschen oder hinzufügen, dann warnt CIS nicht, obwohl es sinnvoll wäre.
In eine Batchdatei kann man ja reinschauen, aber in eine EXE Datei nicht und eine von mir erstellte EXE mit so einer Löschfunktion konnte ich ohne Warnungen mit dem Explorer aufrufen.

[at]adioz86: die Gruppe “ausführbare Dateien”, wieso?

_{Edit von EricJH: Ich habe ein Quote repariert}

Es ist die frage, was ausführbare Dateien sind. Bei mir steht dort drin: .exe, .com, .bat

Wenn die bat da nicht drin steht, ist es eher unwahrscheinlich dass Comodo diese blockt.

Ansonsten, hab ich immer eine Nachricht bekommen, wenn Cmd versucht hat eine exe auszuführen

Das steht bei mir auch drin und noch ein paar mehr Endungen.

Das witzige ist, dass wenn ich Programme starte, die Windows Anwendungen sind oder zu Windows XP gehören (wie z.B. fc.exe), bekomme ich auch eine Warnmeldung, rufe ich aber eine echte, alte DOS Anwendung auf, wie z.B. den guten, alten Norton Editor oder QB45.EXE (Quick Basic) oder meine damit selbst geschriebene EXE Datei, so nimmt CID das noch nicht mal wahr, weil nicht nachgefragt und auch nicht in die Sicherheitsrichtlinien unter CMD eingetragen werden.

In diesem Szenario hat der Benutzer das Programm erlaubt zu starten. Entweder weil der Benutzer der White List erlauben lasst oder selbst entscheidet das Programm zu vertrauen. CIS is nicht der Nanny der Benutzer sondern der Programme. CIS beschützt nicht gegen Fehler der Benutzer.

Höhere Berechtigungen für einem Programm , für welchen CIS fragen wird, bedeutet nicht automatisch das es sich um Malware handelt. Im Praxis fragen viele reguläre Programme um höhere Berechtigungen. Es ist der Benutzer der entscheidet.

Bei einer Firewall mit Hostbased Intrusion Protection System (HIPS) wie Defense + sind die Entscheidungen der Benutzer benötigt für und von Einfluss sind auf de Sicherheit des Systems.

Weil ein HIPS der Benutzer richtig nerven kann sind die White List und die List van Vertrauenswürdiger Anbieter da. Fur weitere Entscheidungen soll der Benutzer sich fragen ob er den Programm kennt und vertraut und die Quelle wovon das Programm kommt vertraut bevor er das Programm erlaubt.

In eine Batchdatei kann man ja reinschauen, aber in eine EXE Datei nicht und eine von mir erstellte EXE mit so einer Löschfunktion konnte ich ohne Warnungen mit dem Explorer aufrufen.

Du hast das Programm Berechtigt zu starten als der Explorer frage dar wa. Als Benutzer am Tastatur und Maus kannst du alles tun was du willst. CIS ist nicht der Nanny der Benutzer wie gesagt. ;)

Das witzige ist, dass wenn ich Programme starte, die Windows Anwendungen sind oder zu Windows XP gehören (wie z.B. fc.exe), bekomme ich auch eine Warnmeldung,

Bitte sei präziser. Nicht alle Windows Systemdateien sind gleich berechtigt.

rufe ich aber eine echte, alte DOS Anwendung auf, wie z.B. den guten, alten Norton Editor oder QB45.EXE (Quick Basic)

Symantec ist auf der Liste von Meine Vertrauenswurdiger Softwareanbieter und QB45.exe kann auf der White List stehen.

oder meine damit selbst geschriebene EXE Datei, so nimmt CID das noch nicht mal wahr, weil nicht nachgefragt und auch nicht in die Sicherheitsrichtlinien unter CMD eingetragen werden.

Kein Programm soll ein anderes Programm, Explorer in dieser Fall, ohne Berechtigung ausführen dürfen; nur Programme mit dem Windows System Application Berechtigung dürfen andere Programme ohnehin ausführen.

Kannst du dies alles reproduzieren in Fall wobei du alle Berechtigungen für diese Programme löscht, die Berechtigungen für Explorer löscht um diese Programm aus zu führen, und danach Defense + in Paranoider Modus stellt?

Ich frage weil in Paranoider Modus der White List und die Liste von Vertrauenswürdiger Anbieter nicht gebraucht werden und alles an der Benutzer gemeldet wird. Dann kriegen wir ein klares Bild ob es sich hier um “Whitelisting” handelt das Berechtigungen unsichtbar macht oder mit ein Fehler von CIS.

Im Paranoidem Mode wird tatsächlich alles gemeldet, so wie ich es erwartet habe. Es ist halt etwas schwer nachvollziehbar, wann Comodo wie warnt. Z.B. wird vor Avira öfters gewarnt (auch im sicheren Mode), obwohl es ja unter die vertrauenswürdigen Anbieter fällt, aber damit muss ich mich halt abfinden

Ich hatte gehofft, dass Comodo z.B. den Teatimer von Spybot ersetzen kann, aber das kann es dann halt nicht… zumindest nicht so, wie ich es mir vorstelle.

Danke in jedem Fall für die Geduld und die guten Erklärungen.

Servus. Du kannst doch CIS für Programme die du wünscht fragen lassen; auch wenn nicht in Paranoiden Modus.

Erster schritt ist um ein Programm dass unter All Applications gelistet ist nach oben ziehen bis est oben die Gruppe von Windows System Application ist. Wenn ein Programm unter All Applications ist hat ändern der regeln kein Zweck. Nun wenn es oben All Applications ist kann der Benutzer die regeln genau einstellen wie er will. CIS lest die regeln von oben nach unten.

Der Benutzer kann auch eine Gruppe definieren und mehrere Programme unter ein Art Regel stellen.

Dass ist nicht Gleich an Tea Timer aber es erlaubt der Benutzer strengere Regeln zu machen für ein Programm oder eine Gruppe von Programme.

Wenn du noch fragen hast dann höre ich sie gerne. Dieser Topic war ein große Herausforderung aber auch sehr toll weil ich sehr präzise nach denken müsste und auch so gut wie möglich ins Deutsch zu
übersetzen. Übersetzen geht viel langsamer wie in Niederländisch oder Englisch. Aber, Übung wird den
Meister machen… 88)

Das scheint nicht richtig zu sein.

Ich habe den Explorer unterhalb “Alle Anwendungen” (All Aplication) geschoben und bei den Zugriffsrechten von “geschützte Dateien und Ordner” auf “Zulassen” gestellt (bei “Alle Anwendungen” steht das auf “Frage”) und trotzdem werde ich bei Änderungen im Autostartordner nicht gefragt.

Und auch hier ist es nicht einfach, CIS zu durchschauen!
Der Explorer ist ja in der Whitelist und wenn ich eine Verknüpfung aus dem Autostartordner herausziehe (in einen anderen Ordner), oder lösche, so lernt Defence+ selbstständig, was ich ja nicht haben will, ich will ja gefragt werden.

Wenn ich aber eine Datei in den Autostartordner ziehe oder eine neue Datei darin erstelle, so kommt eine Warnmeldung, in der ich erlauben oder verweigern kann, allerdings nur 1x! Erstelle ich die gleiche Datei nochmal (nachdem ich sie gelöscht habe), so werde ich nicht erneut gefragt, erstelle ich eine neue Datei mit einem anderen Namen, so werde ich allerdings wieder gefragt, aber wieder nur beim 1.Mal. Erst wenn ich den Rechner neu starte, werde ich auch wieder bei den alten Dateinamen wieder gefragt, aber eben wieder nur beim 1.Mal.

Dabei ist es aber egal, ob der Explorer unterhalb von “All Aplications” steht, oder ganz oben.

Ich hab auch noch nicht den Sinn dieser “All Aplication” Group verstanden. Vertrauenswürdige Programme werden immer unterhalb von “All Aplications” eingetragen, nicht vertrauenswürdige Programme ganz oben in die Liste.

In den Zugriffsrechten von “All Aplications” steht überall “Frage”, also eine sehr vorsichtige Einstellung (wenn sich die Programme auch wirklich danach richten würden), also müssten doch gerade die nicht vertrauenswürdigen Programme dort eingetragen werden und die vertrauenswürdigen Programme ganz oben mit den passenden Zugriffsrechten aus der Whitelist.

Wenn du noch fragen hast dann höre ich sie gerne. Dieser Topic war ein große Herausforderung aber auch sehr toll weil ich sehr präzise nach denken müsste und auch so gut wie möglich ins Deutsch zu übersetzen. Übersetzen geht viel langsamer wie in Niederländisch oder Englisch. Aber, Übung wird den Meister machen..... 88)

Wie du siehst, mach ich das glatt, das hast du jetzt davon :a0 Aber du kannst dies CIS Logik einfach zu gut erklären ;D

Die Position der Apps im D+ hat nur was damit zu tun, dass diese Programme inder Regel nach ihrem 1. bemerken durch CIS eingeschreiben wurden, also von oben nach unten.

Die Reihenfolge ist nur in sofern richtig, dass wenn du für Datei-Gruppen richtlinien erstellst, und eine Datei in dieser Gruppe merh Rechte braucht, dann muss diese Datei über den Gruppen richtlinien stehen.

D+ und Firewall arbeiten nach dem System des ersten Treffers von oben nach unten, und die Regeln die da drin stehen, werden genommen. Wenn diese Regeln zu allgemein sind, dann erstellt sich CIS eine neue Regel für das Programm - meist hinter der Gruppen-Regel, damit diese zu erst gelten.

Hoffe es war halbwegs verständlich.