Benutzer und Dienste bei Jetico

[savi]

Hi Arcanoa,

Erstmal Vielen Dank für die äußerst nützliche Anleitung zur Firewall.

Mein Problem ist das ich zur Sicherheit mit einem eingeschränkten Benutzerkonto rumsurfe. Nun würde ich gerne die Firewall-Regeln entweder unänderbar für das eingeschränkte Benutzerkonto machen, oder aber die Regeln per Passwort schützen. (wie bei der alten Kerio 2.1.5)

Außerdem wüsste ich gerne wie ich Windows-Diensten wie "Svchost" und co andere Ports zuweisen kann durch die Sie laufen sollen.

Und zu guter letzt die Frage ob man per Registry-Wert die einstellung vornehmen kann, dass die Internetverbindung erst hergestellt wird, wenn die Firewall startet und z.B. getrennt wenn abgeschossen wird.
Bei der alten Kerio- und Tiny Personal war das über einen Registry Eintrag möglich.
Die Anleitung


Sorry das ich dich mit sovielen Fragen überschwemme, aber Google und co. brachten keine Lösungen.

Mit freundlichen Grüßen
Savi

[Franz]

Hallo und herzlich Willkommen ,

in der Anleitung ist am Schluß noch der Hinweis,
wie Einstellungen auf Benutzerkonten übertragen werden können.

In der neuen Version von Jetico kann dies auch über die Gruppen realisiert werden.

Die Firewall - Konfiguration kann nur mit Adminrechten verändert werden?

Zur Festlegung der Startreihenfolge von Diensten (dazu zählen auch Internverbindung und FW),
gab's hier schon mal ein Thread.

Doch Dir geht es eher darum, die Internetverbindung generell von der Firewall abhängig zu machen.

Dafür habe ich für Jetico (1.0) bisher noch keine brauchbare Lösung gefunden, doch jetzt kommt das große ABER:

Ist das überhaupt notwendig?
Jetico benutzt das Three - Layer - Modell:

I. Low-level. (Network packet filter)
II. Application-level. (Network events filter)
III. User-level. (Process activity filter).

Wenn ein Trojaner o.ä. die FW beenden will,
muß er Zugriff auf zumindest die Ausführungsdatei der Firewall und/oder
auf die Registry oder die Diensteverwaltung von Windows gewährleistet sein.
Auch hierfür sind administratorische Rechte notwendig.

Dazu muß die Malware in einem der obg. Level aktiv werden,
was wiederum Jetico meldet, wenn sie im optimalen Modus läuft.
Und von daher habe ich mich auch nie darum gekümmert, die Verbindung kappen zu lassen,
wenn die FW ausgeschaltet wurde.
Sie ersetzt aber keinen AV - Scanner.

Evtl. gibt's bei der neuen Version eine Möglichkeit.
Derzeit sitze ich am Tutorial und habe mich leider noch nicht soweit vorgearbeitet.

Zu den Portsänderungen:

Die Ports, die von Systemdiensten benutzt werden, sind festgelegt.
Diese zu ändern, hieße, daß alle Ports geändert werden müssen, denn
ein Port kann nur von einem Dienst belegt werden.

Die Liste der zugewiesenen Ports der Dienste findest du
hier und dort.

Auch Protokolle, über die Systemdienste und Programme kommunizieren, benutzen bestimmte Ports, d.h.,
auch diese Ports müssen geändert werden, das widerum heißt, daß bei jeder Installation eines Programmes,
das mit dem Internet in Verbindung steht, entsprechend angepaßt werden muß.

Das Thema habe ich vom Tutorialkomplex abgetrennt.

[savi]

Würde es reichen wenn ich der Firewall in der Registry den "Tag"-Wert 1 geben würde, oder müsste ich nun anfangen jedem Windows-Dienst einen "Tag"-Wert zu verteilen.
Ist dir zufällig sonst eine Methode bekannt mit der ich die Firewall vor der Inet-Verbindung Autostarten kann? Oft reichen ja wenige sekunden schon aus für eine Infektion. *an blaster erinner*

Die Frage mit den Ports bezog sich auf dein Posting im Tutorialthread:

Also, ich behandle die Systemdienste wie normale Programme:
Erst alle, außer Svchost.exe und Lsass.exe, denen man besser einen anderen Port gibt, blockieren und den/die Browser zulassen.

Wie hast du diesen beiden Diensten einen anderen Port zugewiesen?

[Franz]

In meiner grenzenlos großen Naivität bin damals leider nicht näher auf
svchost und lsass eingegangen, was ich besser hätte machen sollen.

Hier einmal die MS - Artikel, nach denen ich einen Server - PC konfiguriert habe:

Beschreibung des in Windows XP enthaltenen Programms "Svchost.exe"
How to configure RPC dynamic port allocation to work with firewalls
How to disable DCOM support in Windows
Konfigurieren einer Firewall für Domänen und Vertrauensstellungen

Was meinst du mit ""Tag"-Wert"?

Startsequenzen ändern kann man z.B., bequem mit dem StartUp Manager.

Mit welcher Version von Jetico arbeitest du?

[savi]

Danke, werd die Artikel gleich mal durcharbeiten, um so wenige Dienste wie nötig durchzulassen.

Mit "Tag"-Wert meine ich die Schlüsselwerte in der Registry um die Startreihenfolge zu bestimmen. Ob es reichen würde wenn ich den "Tag"-Wert nur für Jetico auf 1 stelle damit es als erstes startet, oder ob ich dann jedem anderen Service ebenfalls eine Nummer in der Startreihenfolge zuweisen müsste.

Ich arbeite mit der 1.0.1.61 Freeware Version

BTW.: Ich habe mal einige der StartUp Manager getestet und konnte keine Funktion finden die die Startreihenfolge der Programme beim Hochfahren ändern kann.

[Franz]

Also nur Tag, ohne Wert.

Was du bei der Änderung der Reihenfolge hier unbedingt beachten mußt,
ist die Abhängigkeit der verschiedenen Dienste und Treiber zu den bereits gestarteten oder anschließend zu startenden.

Zwar kenne ich mich einigermaßen in der Registry aus,
aber die Idee und die anschließende Arbeit, die Boot Reihenfolge der Dienste zu ändern,
weil eine eventuelle Gefahr aus dem Internet drohen kann, ist mir gerade etwas zu viel, sorry.

Denk aber daran, daß du, nach jeder Änderung bei den Services,
den PC neu starten solltest, um zumindest die Quellen zu minimieren,
die dann einen Systemfehler hervorrufen können.

Für Novizen ist dein Vorhaben sicher nichts.