Optimale Einstellungen

Liebe Comodo Gemeinde,

ich bin sehr glücklich, auf dieses Programm gestossen zu sein, es fühlt sich viel besser an als Zone Alarm. Nun möchte ich das auf meinem neuen System auch mal ordentlich einrichten und bin etwas überfordert. Ich habe Win7 64-bit Prof.

1. Eine bekannte Geschichte ist ja der scvhost, da sich hinter diesem alles mögliche verbergen kann, möchte ich diesen natürlich grundsätzlich blockieren. Nur funktinoiert dann der Firefox auch nicht mehr zwecks DNS Dienst. Selbst der ganz LAN Zugang wird dann sogar scheinbar blockiert, zumindest das Icon im Tray unten erhält ein Ausrufezeichen. Einige schreiben, dass sie den Dienst deaktivieren, und dann geht es wieder, aber das verlangsamt halt den Browser und das würde ich gerne vermeiden. Wie geht man also hiermit am besten um?

2. Dann will noch ein Dienst namens System immer wieder ins Netz, das kann man problemlos komplett blockieren nehme ich an, aber interessieren würde es mich schon, was dahinter alles steckt und warum das auf so vielen Ports lauscht (in der aktive Verbindungen Übersicht). Auch Firefox lauscht auf zwei Ports, warum macht er das? Was ist dieses Lauschen?

3. Und dann verstehe ich nicht, warum er mir zwei Netzwerke gefunden hat. Eines ist das gängige 192.168… also mein Router. Und dann aber noch eines mit 169.254… war das vielleicht das WLan, funkt das auf einer anderen IP? Und das Loopbacknetzwerk 127.0… ist das intern, wozu braucht man das, was macht das genau?

4. Na und dann wären da die Ports. Hier im Forum wird immer wieder geschrieben, man soll die alle zumachen, also den dritten Punkt. Wenn ich nun Skype benutze, nehme ich wohl am besten den zweiten und lasse das zu, was er nach dem Öffnen von Skype dann anmerkt, oder? Und der Rest bleibt vollkommen geschützt, sehe ich das richtig? Im Prinzip kann ich wirklich alles von aussen blockieren, nur Skype und evtl. mal mein eigenes Netzwerk muss auf meinen Rechner zugreifen können.

Ach es wäre toll wenn hier im deutschen Forum ein Beitrag “Die Firewall lückenlos einrichten” oben angeheftet wäre.

Danke euch für ein bisschen Erklärung, ich wüsste einfach gerne was all diese Dinge da so tun damit auch ich dann weiss was ich da tue

Sonnige Grüße
Sofian

Hi, da ich CIS seit der Version 3.0 nutze, kann ich dir da recht gut weiterhelfen. Außerdem habe ich mich ziemlich tiefrgündig damit beschäftigt, weil mich das Thema auch sehr stark interessiert hatte. Du hast dir hier ein sehr gutes Werkzeug installiert, mit dem man quasi alles auf dem Rechner überwachen kann. Weiterhin kann man Dateien vor Zugriffen schützen. So sind auch Passwortdateien sicher. Brauchst nur das Passwort für CIS. Man muss sich aber im klaren sein, dass hier nicht alles komfort ist. Dafür lernt man aber auch eine Menge. CIS hat aber in Hinsicht komfort seit 3.0 schon einen gewaltigen Sprung gemacht. Wenn man viel mit den Standardregeln arbeitet, hält sich der Aufwand auch in Grenzen, und wird nach hinten raus natürlich immer kleiner.

1. Svchost ist die zentrale Datei bei Windows. Darüber laufen unter anderem die Einwahl ins WLAN, LAN Verbindungen, die Zeitsynchronisation, zentrale DNS-Verwaltung und Updates. Wenn du diese Datei also blockierst, wird das alles nicht mehr so gut funktionieren.

2. Was sich alles hinter System verbirgt, weiß ich auch nicht. Wenn du im LAN unterwegs bist, solltest du aber zumindest ein und ausgehen LAN Verbindungen hier zu lassen. Gleiches empfehle ich für “Windows Operation System”.

3. Die 169.254.x.x wird von Windows vergeben, wenn weder vom WLAN noch vom LAN eine IP Zuweisung erfolgt. Ich würde diese Zone einfach löschen.
   127.0.0.1 ist die Loopback-Adresse, also für Anwendungen, die über den Rechner per IP kommunizieren. Kann man problemlos erlauben, geht ja nichts weg vom Rechner. Loopback machen allerdings sehr wenige Anwendungen.

4. Zu den Ports: Allgemein gilt, dass man Anwendungen nur den ausgehenden Verkehr erlauben sollte. Es gibt da natürlich Ausnahmen, Skype gehört, soweit ich weiß, allerdings nicht dazu. Zu den Ausnahmen zählen in der Regel Online Spiele, die p2p Verbindungen nutzen, bspw. Call of Duty MW2 und BlackOps.
   Weiterhin sollte man so wenig Ports wie möglich einer Anwendung öffnen. Diese Ports werden am häufigsten benötigt: 80, für HTTP, und 443, für sicheres HTTP, bspw. für Passwortanmeldungen.

So, das richtige Einrichten. Fangen wir beim AV Teil an:

Da auf Einstellungen für die PRüfung gehen:

Echtzeit-Prüfung auf “Bei Zugriff” stellen. Überall einen Haken rein, außer AV-Alarm-Meldung nicht anzeigen.

Heuristik: HOch
Dateigröße habe ich auf 1024 gestellt
Alarmanzeigen einfach standard stehen lassen

Manuelle Prüfung: Hab ich nur bei “übermitteln” keinen Haken drin. Das ist aber deine Entscheidung.
Heuristik hoch, Dateigröße habe ich auf 8192 gestellt. DAs entspricht einer 8GB großen Datei.

geplante Prüfung:
überall nen Haken, außer bei “Bedrohung … automatisch säubern”.
Heuristik Mittel
Dateigröße 8192

Firewall: Meine Empfehlung:
Allgemeine Einstellungen:
Eigene Richtlinien
keine Haken setzen.

Alarm-Einstellungen:
Slider mindestens auf Ports, wenn nicht sogar auch auf IP. Wobei ich dir die Ports empfehle.
Alle Haken, außer vllt bei Internetverbindungsfreigabe (ICS)

Erweitert:
Alles mit Haken versehen.

So, weiterhin empfehle ich, mit etwas erweiterten vordefinierten Regeln bei der Firewall zu arbeiten. Ich hab aus Erfahrung heraus diese Regeln erstellt:

HTTP: eine Regel: Protokoll TCP, ausgehende, Zielport : 80. dazu eine 2. Regel mit alles blockieren, IP, ein/aus loggen, fertig Wichtig, die blockierregel muss unten stehen, sonst funktioniert es nicht, wie gewollt…

HTTPS: wie HTTP nur zusätzlich zu Regel mit Port 80 noch eine mit Port 443 erlauben.

Blockieren: Eine Regel erstellen, die alles blockiert.

Nur ausgehend kannst du behalten.

WebBrowser würde ich auch behalten. Den Rest braucht man meist eh nicht.

Defense plus mach ich nen anderes mal. Ich kann dir eventuell dann auch noch Bilder von meinen Einstellungen schicken bezüglich System, svchost, Windows Operation System.

SO, die Fortsetzung:

Was mir noch eingefallen ist: Stell mal, bevor du alles einstellst, unter Mehr->Konfig verwalten-> auf Proactive. Da wird mehr überwacht.

Bei Defense+ solltest du es so einstellen:

Allgemeine Einstellungen:

Sauberer Modus (alle Dateien, die beim Einstellen dieses Modusses auf dem Rechner waren, gelten als sicher), vllt sogar sicherer Modus (nur bekannte Dateien werden gelernt). für die erste Zeit würd ich auf saubere Modus stellen, sofern du sicher bist, dass du keine Viren aufdem Rechner hast, später dann auf sichereen Modus.
Die Haken habe ich nur bei “alle unbekannten Anfragen blockieren” und nur bei “Regeln für sichere Anwendungen erstellen”.
Inwieweit der erweiterte Schutz-Modus gut ist, weiß ich nicht, da ich ihn wegen eines D+ Problems eh nicht nutzen kann.

Einstellungen zur Ausführungs-Kontrolle:

den Schieber auf Ein stellen, und am besten überall Haken machen. Wie du die unbekannten Dateien behandeln willst, ist deine Sache. Würde aber teilweise eingeschränkt erstmal lassen.
Da ich mit der Sandbox anfangs ziemliche Probleme hatte und sie nicht funktionierte, kann ich dir da auch wenig weiterhelfen. Grundsätzliche solltest du sie aber anstellen und alle Haken reinmachen.

Einstellungen für Überwachung:

Einfach an alles nen Haken dran, und dann läuft das schon.

So, dann wären wir auch schon durch. Arbeite bei Defens+ möglichst viel mit den vordefnierten Regeln. Bei Windowsanwendungen nimm Windows system anwendungen. Bei allen anderen, denen du vertraust nimm vertrauenswürdige Anwendung und Haken bei Antwort merken reinmachen.
Wenn du was installierst, stell auf Installer/Updater und lass den Haken weg. So oft wirst du den installer nicht benutzen, und deshalb braucht er auch nicht dauerhaft in der Regelliste stehen.

wow, vielen dank, das ist eine der ausführlichsten bereitwilligsten hilfestellungen, die ich je erhalten habe. diese woche werde ich noch recht beschäftigt sein und mir das alles dann mal genauer ansehen und austesten. inzwischen hab ich mal das wichtigste rausgefunden und eingestelllt, so hab ich zB die svchost blockiert und nur den weg zur dns auflösung im router freigegeben (die info hab ich dann wo anders noch gefunden). naja, und durch die anderen programme die hier und da dann ins netz wollen wusel ich mich gerade durch, wobei das “antwort merken” irgendwie nicht so recht funktioniert (wenn ich das programm einem preset zuordne, erscheint es nicht in den richtilnien. wenn ich es dann über “blockierte anwendungen definieren” mache und über aktive prozesse gehe, dann geht das, aber dabei ist mir die comodo nun schon zwei mal einfach ausgestiegen, einfach ausgegangen ) naja, so findet sich schon alles, danke für die vielen hinweise, ich melde mich wenn ich mich mit ihnen befasst habe. vielleicht schafft dieser thread es ja als sticky obenhin, wenn wir durch sind :))

dank und gruß
sofian

In der neuen PC-Zeitschrift “com!” S. 32 wird sehr schön erklärt was es mit svchost.exe auf sich hat.
Ich wurde da nichts löschen,deaktivieren oder blockieren.

Du redest von scvhost, das wäre, falls du dich nicht vertippt hast zu überdenken, es gibt nämlich Schädlinge welche sich vom Namen svchost.exe etwas abändern.

Lade dir evtl. mal Cleaning Essentials hier im Forum herunter, das beinhaltet auch Autoruns, welches sämtliche Prozesse und .dlls usw. online untersucht.

https://forums.comodo.com/comodo-cleaning-essentials-cce-killswitch-cce/comodo-cleaning-essentials-20212902151-beta-released-t77601.0.html

danke an alle für eure hilfe. inzwischen läuft mein system gut. der host (der kein virus ist auch wenn ich ihn manchmal falsch eintippe darf nicht mehr ins netz ausser für DNS zwecke. und alles läuft einwandfrei. wenn ich kein internet hätte, könnte er auch nicht ins netz, wichtig ist dass browser, email und skype laufen, und das tun sie einwandfrei mit meinen einstellungen.

ich habe system vollständig blockiert und der host darf nur zu 192.168.1.1 port 53 zum router (das sind die DNS anfragen) und da ich inzwischen eine fixe IP vergeben habe hab ich den DNS server auch freigeschaltet. alles andere wird blockiert. firefox, thunderbird und skype dürfen alles rausschicken.

danke und eine schöne zeit
sofian