Gesucht wird eine Betriebssystem-Firewall, sprich keine Firewall zur Abschottung von Angriffen von außen (Sache des Routers), sondern eine Firewall zur Eigenabschottung des Betriebssystems. Folgende Funktionen sollte die Firewall beherrschen können:

- Abfrage bei Internet-Verbindungsversuch aller Programme
- Verbindungsanzeige ist unterteilt in Normalzugriff und Serverzugriff
- Möglichkeit, dauerhafte Regeln für Programme zu erstellen
- eventuelle Eigenkonfigurationen des Programms (für Windows-Systemdienste etc.) müssen veränderbar sein - sprich, es darf keine (unumgehbaren) default-Lücken geben

optional aber sehr nützlich:

- Anzeige von indirekten Nutzungen, beispielsweise wenn ein Programm versucht über den IE ins Internet zu gelangen

- sehr stark optional:

- Anzeige und automatische Verhinderung der Veränderung aller Autostart-Möglichkeiten


Sieht für mich einfach aus. Trotzdem habe ich mir bisher den Wolf gesucht nach einem Programm, welches dies kostenlos erledigt. Die kostenpflichtigen Programme sind dagegen meist Suiten, die ich schon allein aus diesem Grunde ungern benutzen würde.

Wer hat hier die rettende Idee?

Sry, habe leider nicht mehr alle Optionen auf dem Schirm, aber schon mal Windows7FirewallControl getestet? Die regelt imho tief im System herum.

Sry, habe leider nicht mehr alle Optionen auf dem Schirm, aber schon mal Windows7FirewallControl getestet? Die regelt imho tief im System herum.


Die benutze ich zur Zeit auch. Allerdings darf man nicht die aktuelle nehmen, da man dann keine systemroutinen erlauben oder sperren darf. Welche version ich auf meinem hauptrechner habe, kann ich dir gerade gar nicht sagen.

Früher habe ich immer die sygate spf verwendet. Läuft aber nicht mehr mit win7.
Hoffe du findest was, bin nicht 100%zufreiden mit der wfc.

Sry, habe leider nicht mehr alle Optionen auf dem Schirm, aber schon mal Windows7FirewallControl getestet? Die regelt imho tief im System herum.



Die läuft momentan auf dem Notebook. Leider kann man in der kostenlosen Variante keine Systemprozesse regeln, was ungenügend ist. Prinzipiell geht sie aber in die richtige Richtung, vor allem auch wegen des geringen Ressourcenverbrauchs.

Kann man denn wirklich da eine ältere Version nehmen? Keine Nachteile oder Sicherheitslöcher?

http://www.binisoft.org/

IMO die beste GUI für die Windows Firewall. Ein paar wenige Komfort-Features gibt es wenn man 10 USD spendet.

Kenne mich mit dem Thema nicht so aus, aber so Programme wie zone-alarm können eventuell ein paar Dinge bereits abdecken, was Windows selbst nicht bereits mit Richtlinien und Berechtigungen abdeckt. Was du möglicherweise suchst ist eine Art Sandbox? Ob das dann wirklich bombensicher ist, ist eine andere Frage, vielleicht gibt es im Bereich der Virtualisierung oder Emulation auch bestimmte Ansätze?

ZA macht faktisch alles, was ich will. Nur ist ZA immer schlechter geworden, die GUI geht in Richtung ernsthafter Benutzerunfreundlichkeit und die Performance ist arg schlecht.

- Verbindungsanzeige ist unterteilt in Normalzugriff und Serverzugriff


Was meinst du damit genau?

Leider kann man in der kostenlosen Variante keine Systemprozesse regeln, was ungenügend ist.

Rein aus Interesse: Was für Systemprozesse will man da regeln?

http://www.binisoft.org/

IMO die beste GUI für die Windows Firewall. Ein paar wenige Komfort-Features gibt es wenn man 10 USD spendet.

Gerade mal ausprobiert. Finde ich sehr schlecht. Also Windwos Firewall Control finde ich am besten wenn man die Kontrolle haben will.
http://www.sphinx-soft.com/de/Vista/order.html

http://www.chip.de/downloads/Comodo-Firewall_41877156.html ?
Wollte die eigtl schonmal ausprobiert haben, bin dann aber doch bei ner älteren Zonealarm-Version geblieben...

GlassWire
hab ich gerade auf chip entdeckt. kostenloser aufsatz für die win firewall. win7 / 8.
allerdings kann ich nichts über die funktionsweise sagen, denn persönlich benutze ich auch Windwos Firewall Control.
aber vlt. lohnt sich ein blick.

GlassWire
hab ich gerade auf chip entdeckt. kostenloser aufsatz für die win firewall. win7 / 8.
allerdings kann ich nichts über die funktionsweise sagen, denn persönlich benutze ich auch Windwos Firewall Control.
aber vlt. lohnt sich ein blick.
*Link dazu pack*:
http://www.chip.de/downloads/GlassWire_72209619.html

Was meinst du damit genau?



Nur wenige Programme müssen wirklich Verbindungen aus dem Internet akzeptieren.




Rein aus Interesse: Was für Systemprozesse will man da regeln?


Eher aus Spaß an der Freude: Fehlerberichterstattung etc.

Durchaus aus Sicherheitsbedenken: Windows Explorer u.ä. Der hat nicht im Internet herumzuoperieren.

Ok, zugegeben, mehr aus Spaß an der Freude.

Aber WFC in seiner kostenlosen Version läßt ja nicht nur Windows-Systemdienste durch. Das läßt alles durch, was unter c:\windows liegt - ganz egal, ob es von MS kommt.




GlassWire ist leider ein Netzwerk-Monitor und keine Firewall. Sprich, man kann da auch was konfigurieren, aber per default wird erstmal alles durchgelassen. Das ist natürlich nix.

Ich benutze zur Zeit Commodo. Gefaellt mir aber nicht mehr so gut, kommt zu viel anderer Schrott mit. Zonealarm hab ich vor 10 Jahren benutzt. Irgendwann wurde das schlecht, und ich musste wechseln. Mittlerweile soll das aber wieder brauchbar sein.

Mein Favorit z.Z. ist Tinywall, hab das auf einem Rechner installiert. Sehr radikal im Konzept, aber schlank, leicht zu bedienen und macht einen sicheren Eindruck:
http://tinywall.pados.hu/

Ich benutze zur Zeit Commodo. Gefaellt mir aber nicht mehr so gut, kommt zu viel anderer Schrott mit. Zonealarm hab ich vor 10 Jahren benutzt. Irgendwann wurde das schlecht, und ich musste wechseln. Mittlerweile soll das aber wieder brauchbar sein.
http://tinywall.pados.hu/

Commodo habe ich früher auch benutzt aber wurde mit der Zeit immer schlechter.

Ich probiere gerade die TinyWall aus. Man muß sich etwas einfitzen, die haben das nicht gänzlich selbsterklärend gemacht. Und das Konfigfenster ist nicht größer machbar, was bei eine langen Konfigliste dann wieder ein Krampf wird. Aber ansonsten nicht schlecht.


Update: Leider bekommt es auch TinyWall nicht hin, mit auf verschlüsselter Partition liegendem FF zu arbeiten. Der Pfad bleibt immer gleich, trotzdem muß man es nach jedem Systemstart neu konfigurieren - der gleiche Fehler wie bei WFC.

Kann es am Ende sein, daß so ein Witzprogramm wie ZA es technisch doch noch am besten löst?

Das liegt nicht an der Firewall-GUI. Das liegt an Windows selbst!
Das Problem löst ZA auch nicht. Das Firewall Ruleset wird von Windows während des Starts geladen. Ist ein Pfad/Programm während des Ladevorgangs nicht verfügbar wird die entsprechende Regel ignoriert.

Du kannst das Ganze umgehen indem du die entsprechende Partition zu deinen Systemfavoriten von TC hinzufügst. Das setzt allerdings voraus, dass die Systempartition auch verschlüsselt ist.

Alternativ kannst Du dir auch ein Powershell Skript schreiben das dir die Handarbeit nach dem Einbinden der verschlüsselten Partition abnimmt und das entsprechende Ruleset in die Firewall schreibt. Geht aber dann nur bei der windows-eigenen Firewall.

Gerade mal ausprobiert. Finde ich sehr schlecht. Also Windwos Firewall Control finde ich am besten wenn man die Kontrolle haben will.
http://www.sphinx-soft.com/de/Vista/order.html

Was soll den daran so schlecht sein? Medium Profil > alles wird geblockt was nicht aufgelistet (whitelist) ist, mehr Kontrolle gibt dir die Sphinx Software auch nicht.

Das Problem löst ZA auch nicht.


Doch. Zumindest die alte ZA-Version auf meinem Desktop-Rechner kann es. Leider ist es die, die abgelöst werden soll.




Was soll den daran so schlecht sein? Medium Profil > alles wird geblockt was nicht aufgelistet (whitelist) ist, mehr Kontrolle gibt dir die Sphinx Software auch nicht.


In der kostenlosen Version wird alles, was unter c:\windows steht, nicht geblockt - auch virus.exe. Ist also eher eine Demo-Version statt denn etwas realistisches.

Die freie Version der WFC ist sicherlich stark eingeschränkt, deshalb benutze ich immer die Plus-Variante. Dort kommmt nach einiger Zeit die Registrierungsaufforderung wenn man neue Einstellungen vornehmen muß. Diese ist jedoch immer (mehrfach) wegklickbar. Irgendwann sind auch alle Einstellungen fertig und es kommen nur noch selten Neuerungen/Änderungen hinzu. Weitere Einschränkungen habe ich bisher nicht festgestellt, aber auch nicht gesucht.

Haste ne FritzBox als Router?

Dann kannste auch mal die alte FritzDSL Software incl. Firewall probiern. Ich nutz die >10 Jahren und bin ziemlich zufrieden damit. Da ist auch das Monitor Programm "Fritz Internet" dabei damit bekommt man den gesamten Traffic der Box am Internetanschluss in einem kleinen FensterGraphen am Desktop angezeigt(find ich besonders praktisch).

http://download.avm.de/fritz.box/tools/x_misc/fritzdsl/ 32 oder 64bit
(Achtung vor der Installation die FritzBox vom Internet Trennen, das hat sich bei mir bewährt)

Das Problem bei der Software ist allerdings das AVM die Entwicklung eingestellt hat. Vermutlich waren die Kosten zu hoch oder Nutzerzahlen zu gering?

Sitzt eine vergleichbare Firewall bei den neueren FirztBoxen im Router selbst und ist per HTML zu konfiguriern? Vermutlich eher nicht, bin da nicht so auf dem Laufenden...

Bei dem Vater eines Kumpels hat diese Software massive Probleme verursacht. Ob das durch Sicherheitslücken oder Fehlkonfiguration der Fall war, kann ich nicht sagen, aber eine ungepatchte Software, die vollen Zugriff auf den Router hat, finde ich eher bedenklich.

Vermutlich meist du die automatische Portfreigabe per UPnP?

Die muss zuerst mal auf der FritzBox extra aktiviert werden und dann auch noch in der Fritz Protect Firewall per Haken aktiviert werden. Da stehen extra Warnhinweise.
Wenn man dann auf schnell schnell & keine Ahnung hat und irgendwelchen Programmen einfach Portfreigaben gibt, naja.....kein Wunder.

Ich hab das UPnP hier immer deaktiviert. Port Freigaben mach ich nur manuell auf der Box.

Aber es stimmt schon die Software kann zickig sein und man kommt als um eine FritzDSL De/Neuinstallation + Reg reinigen nicht herum.

Wenn AVM die Entwicklung/Service nicht eingestellt hätte würd ich die in 50Jahren noch nutzen.

Vll. kommt ja in diesem Thread was gscheits raus...

Oder ein Wunder passiert und Win10 hat ne deluxe Firewall?:freak:

Vermutlich meist du die automatische Portfreigabe per UPnP?

Die muss zuerst mal auf der FritzBox extra aktiviert werden und dann auch noch in der Fritz Protect Firewall per Haken aktiviert werden. Da stehen extra Warnhinweise.
Wenn man dann auf schnell schnell & keine Ahnung hat und irgendwelchen Programmen einfach Portfreigaben gibt, naja.....kein Wunder.

Nein, das meine ich nicht. Davon abgesehen ist UPnP auch nicht per se schlecht und auch nichts AVM-spezifisches. Ich meine schon das Programm selbst.

Ich meine es schon so, wie ich es geschrieben habe. Es ist ein enormes Sicherheitsrisiko, einem Programm mit diversen Sicherheitslücken vollen Zugriff auf den Router zu geben.

Oder ein Wunder passiert und Win10 hat ne deluxe Firewall?:freak:

Windows hat schon eine vollkommen ausreichende Firewall. Benutz einfach einen Router mit SSH-Zugriff und iptables, wenn dir das nicht reicht, dann hast du alles und noch viel mehr. Ob du das wirklich willst, ist dann zwar eine andere Frage, aber es wäre auf jeden Fall bei weitem sicherer und auch funktionsreicher.

Eigentlich will man aber auch die Dienste unter Windows kontrollieren und das nicht unbedingt mit einer Firewall, sondern die Dienste selbst. Wenn man das nicht kann, hat man ganz andere Probleme als fehlende Einstellungen in einer Personal Firewall.

Die freie Version der WFC ist sicherlich stark eingeschränkt, deshalb benutze ich immer die Plus-Variante. Dort kommmt nach einiger Zeit die Registrierungsaufforderung wenn man neue Einstellungen vornehmen muß. Diese ist jedoch immer (mehrfach) wegklickbar. Irgendwann sind auch alle Einstellungen fertig und es kommen nur noch selten Neuerungen/Änderungen hinzu. Weitere Einschränkungen habe ich bisher nicht festgestellt, aber auch nicht gesucht.


Dies wusste ich nicht. Danke für den Hinweis.

Wer hat hier die rettende Idee?
Was spricht gegen die "Windows Firewall mit erweiterter Sicherheit"?

Nein, das meine ich nicht. Davon abgesehen ist UPnP auch nicht per se schlecht und auch nichts AVM-spezifisches. Ich meine schon das Programm selbst.

Ich meine es schon so, wie ich es geschrieben habe. Es ist ein enormes Sicherheitsrisiko, einem Programm mit diversen Sicherheitslücken vollen Zugriff auf den Router zu geben.

.....
Vermutlich nutzt Du keine Fritz!Box?

Wie oben bereits geschrieben hat die Fritz Firewall Software überhaupt keinen Zugriff auf die Box wenn man UPnP nicht aktiviert und ob sie darüber hinaus Sicherheitslücken hat und ob die ausgenutzt werden ist auch nur Spekulatius.


Was mir schleierhaft ist warum gibts nicht einfach eine Windows Firewall Erweiterung direkt von Microsoft so in der Art wie die Sysinternals Tools. Müssen wir wieder wie im Fall von Sysinternals Jahre warten bis MS das von externen Entwicklern einkauft?

Wie oben bereits geschrieben hat die Fritz Firewall Software überhaupt keinen Zugriff auf die Box wenn man UPnP nicht aktiviert und ob sie darüber hinaus Sicherheitslücken hat und ob die ausgenutzt werden ist auch nur Spekulatius.


Was hat das mit UPnP zu tun? UPnP macht die Sache einfacher, ist aber keine Voraussetzung, um sich im Netzwerk zu finden. Es basiert auch nur auf IP. Dass die Software den Router ohne UPnP nicht direkt findet, heißt ja nicht, dass sie keinen Zugriff mehr bekommen kann. Dafür muss ich keine FritzBox besitzen, um das zu wissen.

Ich spekuliere auch nicht, ob sie Sicherheitslücken hat. Sie hat definitiv Sicherheitslücken. Das ist eben das Problem mit Software. Du kannst nur sehr schwer beweisen, dass sie wirklich formal korrekt funktioniert und das schließt potentielle Sicherheitslücken mit ein. Da braucht man nach dem aktuellen Wissensstand gar nicht spekulieren.

Benutze seit jeher die ZA Firewall und bin noch immer zufrieden. Auch wenn die Benutzeroberfläche übersichtlicher sein könnte. Doch warum sollte mich das Aussehen meiner Firewall kratzen, wenn sie ihren Job macht? Zudem finde ich, dass sie Sicherheitstechnisch besonders in den letzten Jahren noch mal ein paar Fortschritte gemacht hat. Die Toolbar kann man ja wieder deinstallieren und das zusätzliche Antivirusprogramm kann man weglassen.

Was mir schleierhaft ist warum gibts nicht einfach eine Windows Firewall Erweiterung direkt von Microsoft so in der Art wie die Sysinternals Tools. Müssen wir wieder wie im Fall von Sysinternals Jahre warten bis MS das von externen Entwicklern einkauft?
Was fehlt Dir denn aktuelle in der Windows Firewall mit erweiterter Sicherheit?

Also Sicherheitstechnisch ist die Variante: Firefox auf verschluesselter Partition, Windows aber unverschluesselt totaler Kaese. Windows lagert so viel aus und erzeugt so viele Logs von denen Du noch nie gehoert hast, dass da in jedem Fall was leaken wird.

Der Koenigsweg ist die Verschluesselung der Systempartition, was ja auch schon vorgeschlagen wurde. Mit Truecrypt kann man dann auch System Favorites beim Start laden.

Die einzige sinnvolle Alternative (meiner Meinung nach) ist eine komplette virtuelle Maschine auf der verschluesselten Partition. Das sollte dann auch alle Deine Firewall Probleme loesen, denn Du kannst ja innerhalb der VM alles konfigurieren.

Update: Leider bekommt es auch TinyWall nicht hin, mit auf verschlüsselter Partition liegendem FF zu arbeiten. Der Pfad bleibt immer gleich, trotzdem muß man es nach jedem Systemstart neu konfigurieren - der gleiche Fehler wie bei WFC.

Kann es am Ende sein, daß so ein Witzprogramm wie ZA es technisch doch noch am besten löst?

Von der WFC FAQ

Any Windows allows connecting external device to the system and assigns a drive letter to the device automatically. Windows tries to identify the device properly and assigns the same drive letter to the same device accordingly. However, the product operates with so called physical, internal device paths, instead of the habitual drive letters (e.g. C:\,D:\ etc). The internal paths allow identifying the devices (and so the full applications paths) more precisely. The problem arises if an external device is connected; the internal device path is different (new) always in spite of the assigned drive letter is the same. So the firewall must recheck and reapply permissions of applications located on the external device to reflect the new applications paths on the device arrival. The re-applying is done for every portable (non-fixed, explicitly or implicitly) device connected to the system automatically. Any USB connected device is identified as portable and the product uses the "portability" mark of the device for the permissions reapplying. TrueCrypt automounted devices are not marked as portable by default unfortunately. The firewall blocks any attempt to connect to the internet of TrueCrypt device based applications as the result. TrueCrypt devices are non-fixed actually and so portable by nature though. The solution is setting "mount as portable" in the TrueCrypt settings explicitly. The firewall will be able to identify the portability correctly and to reapply the permissions of the device based applications automatically.

Also ich benutzte aktuell die Plus-Version von WFC und das funktioniert. Die Reg-Meldungen sind selten und ansonsten funktioniert das Teil bis auf den Fehler, das es Dateien in einer verschlüsselten Partition nicht erkennen will, ich also FF jeden Tag neu freigeben muß.

Und was spricht dagegen, doch mal ein Programm zu kaufen? Irgendwie habe ich den Eindruck, daß Du für gute Software nie was bezahlen willst. Ich sehe das heute ganz pragmatisch: wenn mir ein Programm Geld, Aufwand und Zeit spart, dann kaufe ich es, fertig. Und diese Programme kosten doch heute nicht mehr die Welt.

Ich habe meine schlechten Erfahrungen damit gemacht (früher) so etwas zu kaufen. Die Hersteller haben dafür nichts besseres als die kostenlosen Programme geboten und das Programm wurde mit der Zeit immer liebloser als besser.

Davon abgesehen: Wer meine Maximalforderung (erste Seite) erfüllt, würde dennoch schnell eine Bestellung von mir erleben. Aber vor der Bestellung steht die Leistung. Und augenscheinlich ist es schwierig, eine anständige Firewall zu machen. Entweder sind es DAU- oder Superprofi-Programme, nichts normales für den Hausgebrauch. Schade.

Als brauchbarste Firewall Aufsätze die ich bisher benutzen konnte, sind eindeutig TinyWall und Windows Firewall Control von BiniSoft. Nachdem TinyWall mich irgendwann aufgeregt hat, bin ich bei WFC hängen geblieben und die paar Euro bezahlt die es ernsthaft wert sind.

Was die Verschlüsselung angeht: Der Prozess zum Entschlüsseln sollte per SYSTEM-Nutzer über den Task Scheduler (Aufgabenplaner) eingehängt werden. Dann steht der Spaß vor dem Login zur Verfügung. Wahlweise könnte man auch probieren den internen Pfad zu verwenden den Windows zum Zugriff verwendet (sieht nach \\.\PHYDRIVE0\blafasel aus)

Nachtrag über WFC:

Das Programm erkennt leider keine veränderten Dateien. Damit könnte sich eine bösartige Datei unter falschem Pfad und Dateinamen an WFC vorbeischummeln. Ist natürlich nur ein theoretisches Szenario, da eine solch bösartige Datei auch ganz andere Möglichkeiten hätte, wenn sie einmal schon aktiv ist.

Nachtrag über WFC:

Das Programm erkennt leider keine veränderten Dateien. Damit könnte sich eine bösartige Datei unter falschem Pfad und Dateinamen an WFC vorbeischummeln. Ist natürlich nur ein theoretisches Szenario, da eine solch bösartige Datei auch ganz andere Möglichkeiten hätte, wenn sie einmal schon aktiv ist.

Das hat damit zu tun das es lediglich ein Aufsatz für die Windows eigene Firewall ist, wie ein Großteil der hier genannten Produkte. Persönlich halte ich das für einen Vorteil da die Absicherung eines System heutzutage sowieso eine sehr diffizile Thematik ist...