mehr Sicherheit für Kerio Personal Firewall

#1 Moin

hier ein Tipp, um die Kerio / Tiny Personal Firewall maximal sicher zu machen:

Dieser Zusatz in der Registry bewirkt, das wenn die Tiny Personal Firewall nicht läuft, die Internetverbindung deaktiviert wird, also, falls ein Trojaner die Firewall (Perswf.exe) stoppt, wird der Computer aus dem Netzwerk entfernt!

Diese Einstellung findet man sonst nicht bei den in den Optionen der Firewall!

Gehe zu Start > Ausführen > Regedit und erstelle einen DWORD Entry "AlwaysSecure" mit dem Wert 1 in

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\fwdrv] für Win9x/Me User
oder
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\fwdrv] (für NT User)


Grüße Ando

#2 Jo Ando, woher bekommt man solche Infos, der Trick funktioniert!
Danke

Greetz Lp

#3 Hi Ando

Coool, das funktioniert ja sogar mit der etwas älteren Tiny Firewall, jedoch was bringt dieser Schutz, wenn dieser Trick hier bekannt wird, werden sich doch garantiert sofort Trojaner Bauer hieranwagen, oder?

trotzdem Merci

#4 funtzt für xp irgendwie nicht! -hat jemand ne idee?

#5

Zitat

´Lundegaard postete
funtzt für xp irgendwie nicht! -hat jemand ne idee?

-okay nachdem das system neu hochgebootet war hats gefuntzt

#6 Ganz toller Tipp. Ich machte aber beim Ausprobieren den Fehler, Kerio während der Internetverbindung auszuschalten. Und kam danach nicht mehr an Kerio ran, weil er ein Passwort sehen wollte, dass ich bis dahin nicht eingetragen hatte.

Und dann musste ich mit dem RegEdit erstmal die Einstellung auf 0 setzten, den Rechner runterfahren, Kerio einschalten, Registereintrag wieder auf 1, Rechner runterfahren und konnte erst dann wieder Kerio wieder bedienen. Aber Übung ist alles.

Die Frage nach einer Manipulation der Registerdatei durch Trojaner wird durch den eingeschalteten Trojanercheck geregelt. Dieses Pgm meldet eigentlich immer Änderungen in der Registerdatei (hoffe ich).

Gruß Horst

#7 Hallo,

ich habe eben diesen Tipp in einem anderen Board gelesen, das hierauf verwiesen hat.

Nur wie Entry schon sagt, was ist dieser Tipp wert, wenn dieser öffentlich wird und Trojaner Coder einfach diesen Registry Key wieder deaktivieren?

Gruß vom CCB
Ton

#8 Hi Ton!

immer wieder lustig wieviele CCB User hier herein stolpern

Andy selbst hat soweit ich weiss auch überlegt, den Tipp zu entfernen...
nur hätte dann wirklich keiner was davon.

Ausserdem gibt es interessante Programme (okay, die wenigsten sind ausgereift) die die Registry auf Veränderungen überwachen; wenn ein solches Programm aktiv ist kann eigentlich nur wenig mit dem Registry Key passieren!

Ja der "neue trojaner" könnte natürlich auch dieses Schutzprogramm deaktivieren und das könnte man sicherlich noch endlos weitertreiben, da dies ein Kampf zwischen halt Trojaner Coder und Programmautoren ist.

Andreas (in diesem Board bekannt unter Dr.Seltsam) hat mit dem neuen YAW 3 Dialerschutzprogramm (welches regelmäßig von Dialern deaktiviert wurde) einen interessanten Schutzansatz eingebaut:

1.) das Programm hat jedesmal einen anderen (zufällig generierten) Tasknamen
2.) YAW prüft jedesmal beim herunterfahren die Autostart Dateien, damit es beim nächsten Windows start wieder vor allen Programmen lädt
3.) YAW entfernt Programme die Versuchen es zu deaktivieren, löschen oder den YAW Task zu beenden.
4.) die Uninstall Routine ist ebenfalls durch mehrere Codes gesichert...

tja in die Richtung geht das heute schon, und die Dialercoder arbeiten natürlich schon wieder dagegen

Gruß Lukas
__________
Gruß Lukas

#9 ...Steve-Urkel hat im CCB den Vorschlag gemacht, den Kerio-Driver (fwdrv.sys), der den String "AlwaysSecure" enthaelt, mit einem Hex-Editor so zu modifizieren, dass nach einem anderen RegEintrag geschaut wird. Wenn sich der Registry Eintrag derart individualisieren liesse, waere das Sicherheitsproblem vermutlich ziemlich gut geloest.

Das Problem ist, dass die Kerio bereits dann nicht mehr startet, wenn man im Driver das Wort "AlwaysSecure" in "AldaysSecure" veraendert. Vermutlich wird da eine Checksumme geprueft.

Vielleicht hat aber hier jemand noch ne Idee?

Gruss,

Devlin

#10 mit einem Decompiler sollte sich da jedoch was finden lassen... wenn jemand die Stelle findet, könnte ich ein Programm schreiben, mit dem man dann individuell den Schlüssel festlegen kann; jedoch wenn man hier weitergeht könnte ein Trojaner das vieleicht ebenfalls auslesen :\

Isnogod

#11 hallo habe heut zum ersten mal einen blauen bildschirm gehabt mit XP PRO !?!?

habe garnet gewusst das es das bei XP auch gibt *schäm*

ich habe mir schnell mnotiert was er für sachne schreibt und da war unter anderem diese fwdrv.sys datei dabei habe dann meinen rechner neu getartet und sucht via google nach fwdrv.sys und habe das board hier als EINZIGSTEN beitrag gefunden (nur auf deutsch suche).

Ich habe aber meine Firewall aus gehabt kann das sein das dann trozdem die datei von Tiny fehler bringt das mein XP abstürzt ???

habe nach diesem regestryschlüßel gesucht aber nix gefunden. ich habe ../vxd/.... und .../fwdrv/.... in der regestry aber bei beiden steht nix von AlwaysSecure gefunden kann mir evtl. einer sagen was das war und was ich machne kann das dieser fehler nicht wieder vor kommt !?!?

THX auf jedenfall schonmal.

#12 Du könntest Tiny deinstallieren und "Kerio" von www.Kerio.com installieren.
Vermutlich verträgt sich diese Version (baugleich zur alten Tiny) besser mit XP.
Den Eintrag den Du gesucht hats, müsstest Du erst erzeugen, (aus obigen) Gründen. Die Firewall sollte natürlich ohne diesen Eintrag völlig stabil laufen.
Gruss, Josch
__________
Durchsuchen --> Aussuchen --> Untersuchen

#13 das gleich kann ich auch bestätigen mit Tiny und Xp mit Kerio läuft es wunderbar
__________
°<- Vorsicht Trollköder und Trollfalle -> {_}

#14 Hallo,

kann man irgendwo eine deutsche Beschreibung für die KPF Firewll 2.1.4 bekommmen. Sage schon mal Danke!

#15

Zitat

´Hmm... postete

Vielleicht hat aber hier jemand noch ne Idee?

Warum so umständlich?
Auf den Schlüssel hat doch eh nur der Admin Schreibzugriff.
Und wer Surft schon als Admin?

Oliver