Interessanter erster Test der XP SP2 Firewall
 

How Secure is Windows Firewall?

In meinen Augen ein guter erster Test, obwohl ich mit den Testern nicht immer uebereinstimme. So schreiben sie etwa:
Also ich hab noch keine FW auf meinem PC gebraucht, die ausgehende Verbindungen ueberwacht. Weder bin ich so paranoid dass ich glaube, dass MS und Co. meinen PC ueberwachen, noch installiere ich unkontrolliert SW, die dann einen Trojaner beinhaltet. Fuer mich ist die MS-Firewall also ausreichend.

Das ist natuerlich schon arg. Ich bin bisher eigentlich davon ausgegangen, dass MS aus der Vergangenheit gelernt hat und zumindest nur signierte Applikationen die FW deaktivieren laesst. So sind den Angreifern natuerlich keine Grenzen gesetzt. Wuermer, die Anti-Virus Software und aehnliches deaktivieren kennen wir ja schon laenger.

Die Tester mokieren sich auch darueber, dass MS den Anschein erweckt, die FW blockiere ausgehende Verbindungen, wie es dieses Bild zeigt.

{Fragt mich bitte nicht, warum ich im Security Bereich keinen Link auf ein Bild einbetten kann. Stellt Euch hier bitte den Screenshot von der zweiten Seite des Artikels vor}

Tatsaechlich blockiert die FW aber eine eingehende Verbindung, wie das Kleingedruckte am unteren Rand des PopUps ja auch klar sagt.
Schlechte Arbeit fuer ein Unternehmen, das sich viel auf seine UI-Forschung einbildet.

also bei mir überwacht sygate personal firewall alle verbindungen u ich lass auch nicht jedes programm hinaus (zb einige windows .exe files).

also ich kann mir nicht vorstellen das die windows integrierte firewall wirklich sinn macht!!!

Kannst Du das auch begruenden?

Eine Begründung würde mich auch interessieren ... so einfach Behauptungen in den Raum stellen ist es wohl nicht!

Ciao Oliver

Ich halte die Windows Firewall für eine wichtige Ergänzung.

Sie hat zwar nicht den Funktionsumfang einer kommerziellen Lösung, aber wenn vor einer teuren Norton Personal Firewall ein durchschnittlicher Klicki-Bunti-User sitzt sagt der wahrscheinlich eh zu jeder Abfrage ob dieses oder jenes rein oder raus darf Ja und Amen. Somit ist das kein gravierender Mangel.

Besser als gar nichts ist sie auf alle Fälle.

Der Punkt mit der Deaktivierung der Firewall durch Würmer stimmt leider, lässt sich aber umgehen indem man nicht mit Admin-Account arbeitet.

Aber wer tut das unter Windows NICHT?

Selbst Microsoft bringt es ja nicht zusammen, diese von Haus aus mitgelieferten Sicherheitsstrukturen richtig zu nutzen.
Und das SP2 schafft hier auch keine Abhilfe.

Mann rennt lieber alt-bekannten Lücken hinterher als vorausschauend zu entwickeln.
Insecure by Design eben ;)

begründung:
das leidige thema microsoft und sicherheit (lücken, ...) kennt doch jeder.

und nun so aus heiterem himmel steigt microsoft in die security branche ein und entwickelt so NEBENBEI ne firewall die alles sicher machen soll :lol: :lol: :lol:

deshalb glaube ich man ist immer noch mit einer freeware fw (zonealarm, ...) besser dran als mit der in windows integrierten.

denn viel mehr als die nerven beruhigen (ach ich hab doch ne firewall laufen) wird sie nicht machen.

Das ist keine Begründung, das ist das typische Microsoft-ist-Böse-Gelaber ;)

wenn du meinst

ich werde sie sicher solange nicht aktivieren bis sie ordentlich getestet wurde!!!

Was verstehst du unter testen?

Das kannst am besten selber machen mit Online-Tests wie Shields Up oder ähnliches.

Ich hab sie zwar auch deaktiviert, weil ich eine kommerzielle Lösung eines anderen Herstellers einsetzt. Hätte ich diese nicht würde ich sie aber selbstvertständlich aktivieren. Man darf sich dann nur nicht einreden, dass man danach perfekt geschützt ist.

was willst du damit sagen? Dass die entwickler von Windows, Exchange server, office keine mickrige firewall zusammenbringen? Eine firewall ist keine zauberei, alles was die tut ist anfragen ignorieren statt zu sagen der port yxz ist zu :rolleyes:

@fakeX: MS bietet mit dem ISA Server bereits seit 1996 (damals noch unter dem Namen "Proxy Server") Sicherheitsprodukte an. Die sind nicht aus heiterem Himmel eingestiegen.

Ja, nachdem sie nicht einmal ihre eigenen Produkte sauber entwickeln koennen ;)

Zu lernen er hat noch viel, der junge Padawan.
Du moechtest Dir den ISA Server 2003 ansehen. DAS ist eine Firewall und nicht der "mikrige" Paketfilter von XP. Und der ISA Server ist auch kein triviales Produkt, genausowenig wie die "FW" von XP. Oder codest Du sowas in 4 Stunden?

eine Sonderentwicklung nur für dich? :D ;)

kein mitleid ,die auf ihren windows pc´s dauernd mit adminrechten arbeiten - da is jede sicherheit trügerisch. - gilt auch für die *xer
aber denen is es eher bekannt.

sp_23

dann installier mal den isa2004 auf einem xp system - dir wird gleich am anfang freundlich mittgeteilt werden ,dass diese software nur unter ms server software läuft. mit ntswitch sollte die installation zumindest klappen. aber da man das system nicht ewig in diesem win2003 server snapshot zustand laufen lassen kann - weils dauernd problem mit irgendwelchen services gibt die nicht gestartet werden können und dir die ereignissanzeige zudonnert musst zwangsläufig wieder auf die xp workstation umswitchen . wenn ich im moment zeit hätte zum herumspielen - würd ich es versuchen - eine xp workstation mit einem isa server 2004 :cool: :lol:

sp_23

Na klar. Der Bill hat zum Steve gesagt, dass ich das bekomme. :D

Laeuft gut ;)

Nur unter Linux kann man ohne root Rechte Sinnvoll arbeiten (Und zur Not eine Anwendung als Root starten).
Unter Windows ist das nur mit hohem Aufwand zu erreichen (siehe Artikelserie im C't) inklusive Einsatz von regmon udgl. um herauszufindenwarum's nicht geht.

Ein Admin-User
Jak

ah noch ein c´t leser.;) is noch immer eines der besseren pc blätter aus deutschen landen.

sp_23

und warum sollte Microsoft-nicht-böse sein?

man sieht doch was dessen software alles anstellt.
massenhaft virenprogrammierer,die alle schwachstellen des systems ausnützen.

was stellt die software denn an?

Microsoft ist nicht Böse - Microsoft ist einfach nur Scheisse :ms:

Nein, im Ernst, man kann doch keinen wegen dieser "Microsoft-Böse"-Mentalität anprangern.
Man kann ja über die Software halten was man will, aber das schlechte Image hat sich Microsoft doch selbst mit ignorantem Gehabe und Kundenunfreundlichkeit aufgebaut. Kein Mitleid.

Sag ich doch ;)

trotzdem ist xp sp2 noch immer die beste allround lösung dies gibt, es gibt kein 2. os auf dem so viel software läuft, welches mit so viel hardware kompatibel ist, benutzerfreundlich und sicher ist.

@LouCypher Ja/Wär ich nicht so sicher/Ja/Da kann man geteilter Meinung sein/aber sicher!

;)

I beg to differ.
Freshmeat-Projects (Linux): 34.367 <http://freshmeat.net/stats/>
Debian-Pakete (mehr als ein Prog/Paket): 9.168 <http://www.debian.org/distrib/packages>

Google:
runs on linux (2 430 000 results)
runs on XP (1 370 000 results)

linux application (7 280 000 results)
XP application (4 770 000 results)

linux programm (1 370 000 results)
XP programm (1 270 000 results)

linux program (6 410 000 results)
XP program (5 010 000 results)

linux applikation ( 109 000 results)
Xp applikation ( 74 500 results)

Davon muss man noch 47 Programme abrechnen, die nach Installation des SP2 nicht mehr richtig funktionieren und 38, die gar nicht mehr funktionieren (zumindest laut den deutschsprachigen KB Artikeln von MS). ;)

Also NetBSD läuft zur Zeit auf 54 Plattformen und XP auf - hmmmm, mal Nachdenken - einer?

http://www.apple.com/de/macosx/
http://www.kde.de/infos/ankuendigungen/kde3.3.php
http://www.gnome.de/

:lol: Das die Aussage umstritten ist, ist dir wohl klar, oder?

Und bevor sich wer aufregt, ja ich verwende (auch) XP.

@m3: tolles Posting, ich kann dir nur voll und ganz zustimmen! :tux:

So betrachtet, klar - aber wenn man die unterstützte Hardware auf dieser einen Plattform hernimmt, ist Windows schon (noch) im Vorteil.

Was aber primaer an den Herstellern der HW liegt:
http://www.pro-linux.de/news/2004/7180.html
http://www.pro-linux.de/news/2003/5838.html
http://www.pro-linux.de/news/2003/5488.html

ich meinte nicht dass xp in jeder dieser disziplinen top ist sondern selbige am besten vereint. Linux hat sicher seine vorteile aber benutzerfreundlichkeit (wird zwar besser aber im vergleich zu windows) und hardwarekompatibilität gehören nicht dazu. MAC OS ist wiederum sehr benutzerfreundlich aber auch dort ist man wieder an bestimmte hardware und software gebunden. Windows ist da einfach die vielseitigste kompromisslösung. Dass NetBSD auf 54 hardwareplattformen läuft wird dem home/office user relativ wurscht sein, der will das die neueste geforce xy oder der € 1,- scanner vom hofer läuft, und da ist nun mal windows vorn.

@_m3
 

Ja.
Ist aber der Statistik egal ;)

@LouCypher
 

Wenn man mal ausser Acht lässt warum dies und das so ist stimmts sogar.

Da fällt mir nur

"... Got thirteen channels of shit on the TV to choose from ..."

ein.


Tut mir leid, aber die Masse macht's nicht aus ;)


btw - was hast du für ein google :confused:

EDIT - aha, suchmaschine manipuliert mit dem falschen suchbegriff :D

Abgesehen davon sind bei Linux sicher auch viele "Winz-Programme" dabei, die nach dem Motto "one job one tool" jeweils einen bestimmten Zweck erfüllen.

Die Frage ist außerdem wie viele Einträge durch Probleme wie "Why does this **** not run on Linux" zustandekommen...

Jak

oder why does this windows program always crash

oder why is this windows program such a crap

;)

das problem ist nur daß die hardware vom hofer in der regel *NICHT* problemlos läuft ;)

Um wieder auf die Firewall von XP zurückzukommen:

Weil die jetzt überall läuft, werden sich auch die schlauesten Köpfe bald was gegen sie einfallen lassen. Weil es ja dauer-in ist gegen MS zu arbeiten.

Wer wirklich ungestört produktiv im Internet unterwegs sein will, kann dafür nur Linux einsetzen. Natürlich braucht man defacto noch mehr Releases, wenn man häufig neue Hardware in Betrieb setzt, aber wenns einmal läuft, läuft's ewig.

Das wird nicht solange dauern, schliesslich stellt MS ja die entsprechenden Schnittstellen zur Verfuegung: http://technet.microsoft.at/news_sho...p?newsId=12000
Nachdem noch immer 90%+ der User mit Adminrechten arbeiten, sollte das ja kein Problem sein.
http://msdn.microsoft.com/library/de...interfaces.asp


Oder man probierts so: The Windows Firewall INF file allows you to customize the settings of the Windows Firewall either during or after installation.
http://www.microsoft.com/downloads/d...displaylang=en

Oder so:
http://support.microsoft.com/default...b;en-us;839980

Oder so:
So ein WMI ist sicher schnell geschrieben. Ich glaub ja nicht, dass die signiert werden. :ms:

es hilft nix, das problem ist schlicht und ergreifend die admin rechte für otto normal user. wäre toll, wenn windoof das bei der installation abgefragte admin password auch gleich dafür nutzen würde um ein entsprechendes konto einzurichten und dem user nur benutzer rechte einräumen würde. klar is es ein mehraufwand auszuloggen und wieder einzuloggen, aber allein der gewinn an sicherheit is nicht zu unterschätzen. zusätzlich kanns dann auch nicht so leicht passieren, dass man siche bene mal aus versehen das system zerschiesst, weil davor ganz bewusst eine aktion gesetzt werden muss (so ca:"this program must be installed with an administrativ account - hoppala, do passiert irgendwas gröberes...hmmm") auch wenns nicht dazu führt, dass der onu darüber nachdenkt was er installiert, so ist der aufwand auf jedenfall etwas größer um "bedenkliche" (ich weiss, nur weil etwas administrativ inbstalliert werden muss is es nicht automatisch bedenklich...) software zu installieren. und wenns doch mal darum geht nur schnell mal ein proggie als admin auszuführen gibts da eh genug tools dazu.
überhaupt biette die windoof xp benutzerverwaltung einige sicherheitsfeatures die per standard nicht auf "alles erlauben" stehen sollten. ein gutes beispiel dafür sind die group policies, die wunderbar eine userabhängige unterlassung bestimmter dinge ermöglichen. sollte dochmal ein bösartiges program etwas umbasteln, schwups, nach dem nächsten anmelden als user (der die gpos nicht verändern darf) is alles wieder auf default. klar führt das auch wieder zu einem mehraufwand für den user, aber so groß is der aufwand auch nicht. und von wegen: na dann kann man ja nicht mehr gscheit mit der kiste arbeiten: schaut euch im betrieblichen umfeld um, da is es gang und gäbe als user zu arbeiten und nicht jeden scheiss zu dürfen, und trotzdem kann man damit arbeiten (und meist werden die kisten auch nicht so schnell zugemüllt....obwohl da einige user seeeehr einfallsreich sind *g*).
ok, gpos sind vielleicht schon etwas übertrieben, aber zumindest zwei standardkonten bei der installation und angemeldet wird per default bzw. bei schnellanmeldung am eingeschränkten useraccount und viren/wurmschreiben wär nimmer ganz so einfach bzw hätt nichtmehr ganz so verheerende folgen

Mah, das klingt ja alles schoen. Du unterschaetzt aber die normative Kraft des Faktischen.

Und Fakt ist es, dass viele XP/Linux User von Systemen wie Windows 95/98/ME kommen, wo jeder User alles darf und sie nicht verstehen, warum sie das jetzt nicht mehr duerfen.

Schau nur mal ins Linux-Forum, da kommen immer wieder Anfragen in der Form "ich fahr X als root, warum .....". Oder nimm Knoppix, da gibts auch nur einen User mit allen Rechten.

Die Benutzerrechte einzuschraenken ist kein technisches, sondern ein soziales Problem. Innerhalb eines Unternehmens ist das kein Problem - akzeptier es oder kuendige. Aber fuer Microsoft ist das ein massives Problem.

Stell dir vor, MS fuehrt das ein. Binnen Minuten sind dann Schlagzeilen wie "MS entmuendigt User", etc. in allen Medien. Und das kann/will sich der Konzern offenbar nicht leisten. Von den unzaehligen Anrufen bei der Hoteline mal ganz abgesehen.

Die heutige Politik von MS könnte man "MS beschäftigt Administratoren und verwirrt user" nennen :)

Ergänzend:
1. Ich kenne einige admins, die NT-Usern in der Domäne lokal prinzipiell admin-Rechte geben. Alles andere wäre "zu aufwändig"
2. Seltsam finde ich auch die Politik bei XP, wie erwähnt ist user per default admin, das admin-account aber versteckt und für Einsteiger gar nicht so leicht zu finden.