Ausgehende Windows 7-Firewall-Zulassungsregel für nicht übereinstimmende CryptSvc

484
theultramage

Ich verwende die Windows 7-Firewall mit aktivierter Outbound-Filterung. Die Windows-Firewall stellt keine Benutzeroberfläche für neue Ansagen für ausgehende Verbindungen bereit, sie blockiert sie lediglich. Die Windows-Firewallsteuerung löst dieses Problem mithilfe einer Problemumgehung. Sie ermöglicht die Protokollierung von Fehlern bei Paketen / Verbindungsabbrüchen, überwacht das Sicherheitsprotokoll auf neue Einträge und zeigt bei Bedarf Eingabeaufforderungen an.

Ich habe viel Zeit damit verbracht, eine Liste ausgehender Zulassungsregeln für alle Systemdienste und Anwendungen zu erstellen, die ausgehende Verbindungen herstellen müssen. Die Windows-Firewall ist in der Lage, bestimmte Dienste innerhalb von svchost.exe anzuvisieren, wodurch eine feinstufige Steuerung ermöglicht wird. Ich bin nur auf zwei Dinge gestoßen, bei denen dies nicht funktioniert - Network Discovery und Cryptographic Services.

Ich habe die folgende Regel aktiviert:

netsh advfirewall firewall add rule name="Windows Cryptographic Services" program="%SystemRoot%\System32\svchost.exe" service=CryptSvc  protocol=tcp remoteport=80,443 dir=out action=allow

Trotzdem bekomme ich immer noch Blöcke, die aus der svchost.exe stammen, die CryptSvc hostet und versucht, ausgehende http-Verbindungen herzustellen, um Zertifikate und dergleichen zu überprüfen. Ich habe sogar benutzt sc config CryptSvc type=own, um den Dienst in seinem eigenen Container zu isolieren, um zu bestätigen, dass CryptSvc diese Anforderungen tatsächlich stellt. Und selbst dann würde die Regel immer noch nicht übereinstimmen. Es gibt viele andere Regeln mit derselben Struktur, nur einen anderen Zielservice, bei dem alles einwandfrei funktioniert.

Bisher konnte ich keinen befriedigenden Workaround finden. Wenn Sie "alles" für CryptSvc zulassen, wird es trotzdem nicht passen. Der Anwendungsbereich muss mindestens "alle Dienste" umfassen, damit dies möglich ist. Dies ist zu umfassend. Ich kann eine Ignorierregel für svchost.exe in WFC hinzufügen, aber das ist wiederum zu breit für meinen Geschmack. Ich würde eine systematische Lösung bevorzugen.

BEARBEITEN: Beim Versuch, meine Firewall-Regel zu bearbeiten, wird ein Warnfeld angezeigt:

Windows-Dienste wurden durch Regeln eingeschränkt, die nur das erwartete Verhalten zulassen. Regeln, die Hostprozesse wie svchost.exe angeben, funktionieren möglicherweise nicht wie erwartet, da sie mit den Windows-Regeln zur Sicherung des Dienstes in Konflikt stehen können.

Sind Sie sicher, dass Sie eine Regel erstellen möchten, die auf diesen Prozess verweist?

Möglicherweise stört diese "Verhärtung" den Mechanismus der Firewall zur Identifizierung des Ursprungsdienstes.

3
Hm, ich werde versuchen, nicht sicher, was dies erreichen wird, da die Protokolle eindeutig sagen, dass es bei Verbindungsversuchen zu MS-Servern an Port 80 ausgelöst wird. theultramage vor 6 Jahren 1
Ich verstehe nicht, was dein Hauptziel ist. Und warum verwenden Sie die Windows-Firewall-Steuerung? Wenn Sie mit der Eingabeaufforderung vertraut sind, ist die normale Windows-Firewall GENUG! Biswapriyo vor 6 Jahren 0
Ziel ist eine ordnungsgemäße Filterung ausgehender Nachrichten, wobei alle Kerndienste, für die ein Netzwerkzugriff erforderlich ist, durch entsprechend eingeschränkte Firewall-Regeln abgedeckt werden. Das integrierte Windows-Firewall-Produkt bietet keine Benutzeroberfläche für neue Eingabeaufforderungen für ausgehende Verbindungen. Wenn Sie default-to-deny aktivieren, wissen Sie nicht einmal, was versucht wird, eine Verbindung herzustellen (und wann), es sei denn, Sie verwenden auditpol.exe, um die Protokollierung zu aktivieren. Und selbst dann müssen Sie den gesamten Müll im Sicherheitsprotokoll durchsuchen. Hier kommt WFC ins Spiel, das tut es für Sie. Ich halte mich von treiberbasierten Firewall-Produkten von Drittanbietern fern, die in der Vergangenheit verbrannt wurden. theultramage vor 6 Jahren 0
Was ich bei der Verwendung von WFC mache, ist, den Benachrichtigungsmodus zu aktivieren. Wenn also etwas herauskommen möchte, erscheint ein Popup-Fenster, in dem ich es zulassen oder ablehnen kann. Dies ermöglicht eine einfachere Möglichkeit, Regeln zu erstellen, anstatt benutzerdefinierte Anleitungen zu erstellen Einsen. Moab vor 6 Jahren 0
Das Problem ist, dass die CryptSvc-Zulassungsregel nicht abgeglichen wird, egal wie ich sie definiere. Jedes Mal, wenn etwas versucht, CRL / OCSP auszuführen, wird es dennoch blockiert und ich werde mit Eingabeaufforderungen gespammt. Meine derzeitige Problemumgehung besteht darin, sie ständig zu blockieren (schlecht für die Sicherheit!) Und die svchost.exe in WFC zum Schweigen zu bringen. theultramage vor 6 Jahren 1

0 Antworten auf die Frage

Verwandte Probleme