IP Adressen für Windows Update

#1 Hallo zusammen,

welche IP-Adressen verwendet eigentlich Windows Update? Ich benutze die Kerio Firewall und will der SVCHost nur die Adressen erlauben, die ich für Windows Update auch brauche. Problem ist, er scheint jedesmal andere Adressen ansprechen zu wollen, weshalb eine vollständige Liste schön wäre (wenns sowas gibt). Es ist nämlich auch schwer nachvollziehbar, ob die Adressen, die nachgefragt werden, auch alle zum Windows Update gehören oder ob sich da ein paar andere mit einschleichen (SVCHost ist ja schließlich ein Sammeldienst). Wie habt Ihr das eigentlich gelöst?

#2 Schätzungsweise sind das nur DNS-Anfragen ? (UDP, Port 53)
Falls es sich so verhält, kannst Du auch der svchhost Port 53 (in/out) freigeben.
Soweit ich weiß, kann man auch den DNS-Client-Dienst abschalten. Das heißt aber, dass Du für jede Anwendung DNS-Anfragen einzeln genehmigen musst.
__________
Durchsuchen --> Aussuchen --> Untersuchen

#3

Zitat

Soweit ich weiß, kann man auch den DNS-Client-Dienst abschalten. Das heißt aber, dass Du für jede Anwendung DNS-Anfragen einzeln genehmigen musst.

Hab ich gemacht - ich geb für jede Anwendung, die raus darf, den DNS meines Providers frei. Ich dachte immer, dass sollte eigentlich reichen.

Zitat

Schätzungsweise sind das nur DNS-Anfragen ? (UDP, Port 53)

Nee, im Log stehen http (80) und https (443). Daraus schließe ich, dass er den richtigen Server schon gefunden hat und grad die erforderlichen Updates sucht (zum download komm ich nämlich nicht). Ich kann mich natürlich von kerio fragen lassen, aber dabei stören mich 3 Dinge:

1. es sind jedesmal andere Adressen
2. ich weiss nicht, ob die wirklich zu Windows Update gehören (IP - Übersetzung ergibt doch sehr seltsame und nichtssagende Namen)
3. die Adressen gehen von 62.xxx.xxx.xxx bis 208.xxx.xxx.xxx quer Beet, so dass mich nicht mal Adress-Ranges weiterbringen ohne eigentlich fast alle IP - Adressen freizugeben. Mit Subnetzmasken kenn ich mich nicht so aus, bin mir aber sicher, dass die mich aus demselben Grund auch nicht weiterbringen. Und tausende Einzeladressen anzugeben (und die durch Probieren rausfinden) wiederstrebt mir ein bisschen.

Ich hatte gehofft, dass vielleicht jemand eine geniale Lösung dafür hat. Schliesslich benutzen doch sicher die überwiegende Mehrzahl der Leute hier im Forum Firewalls UND Windows-Update.

@Joschi
Übrigens Danke für Deine schnelle Antwort. So schnell und hilfsbereit gings in anderen Foren leider nicht. Ich glaub hier bleib ich...

#4 Gibt keine "geniale" Lösung für dein "Problem", weil es nicht mal ein Problem ist. Wenn du deinem Betriebssystem nicht vertraust, benutze ein anderes.
Das, was du da vor hast, geht auf jeden fall überhaupt nicht, weil:
1. Windows-Update sich auf einem willkürlichen Lokal-Port verbindet
2. http das Protokoll ist (ausgehend), und das willst du nicht sperren
3. es dumm ist svchost per Firewall zu sperren, anstatt mal vernünftig die Dienste seines Betriebssystems zu konfigurieren.
__________
Es ist nicht wenig Zeit, die wir haben, sondern viel Zeit, die wir nicht nutzen...

#5

Zitat

Wenn du deinem Betriebssystem nicht vertraust, benutze ein anderes.

Hallo heptamer666. Bleib bitte sachlich. Aber prinzipiell hast Du Recht, Windows und Vertrauen schließen sich bei mir ein bissel aus (Ich hab mit DOS auf einem 286er angefangen - da wusste ich noch was im Einzelnen vor sich geht). Leider hab ich mit blick auf Kompatibilität der Software nicht viel Auswahlmöglichkeiten.

Zitat

1. Windows-Update sich auf einem willkürlichen Lokal-Port verbindet

Lokale Ports beschränke ich nicht (alle erlaubt - aber eben nur für Anwendungen, die überhaupt raus dürfen).

Zitat

2. http das Protokoll ist (ausgehend), und das willst du nicht sperren

Http (80) und Https (443) hab ich freigegeben (remote). Da hierüber also keine Einschränkung für die SVCHost möglich ist (wie Du schon sagst) wollte ich wenigstens die anwählbaren Remote-Adressen einschränken. Das müsste doch gehen, was denkst Du?

Zitat

3. es dumm ist svchost per Firewall zu sperren, anstatt mal vernünftig die Dienste seines Betriebssystems zu konfigurieren.

Siehe Vertauen ins Betriebssystem... Davon abgesehen ist die Konfiguration des Betribssystems ein Baustein zur Sicherheit. Die vernünftige Konfiguration der Firewall ein anderer. In diesem Thread hab ich nach der Konfiguration der Firewall gefragt.

Ich weiss nicht wie ich es ausdrücken soll - aber joschis Antwort schien mir ein wenig mehr auf die Lösung des für mich als Problem gefühlten Sachverhalts abzuzielen. Aber eventuell verrätst Du mir ja Deine Lösung. Ich bin wirklich dankbar für Ratschläge und empfehle Dich auch gerne weiter.

#6 Icheben fragte:

Zitat

welche IP-Adressen verwendet eigentlich Windows Update?

Keine Ahnung, bin jetzt zu faul um whois für folgende Domänen zu bemühen:

update.microsoft.com
download.microsoftupdates.com
windowsupdate.microsoft.com

Wenn du also die 3 obigen URLs für das Windows-Update in deiner FW als vertrauenswürdig einstufst, müsste
es eigentlich klappen. Sofern du Wildcards benutzen kannst brauchst du gar nur *.microsoft.com und download.microsoftupdates.com
einzugeben.

Zitat

[..]Windows und Vertrauen schließen sich bei mir ein bissel aus

Warum bzw. welche negativen Erfahrungen hast du gemacht? Hast du irgendwelche fundierten Beweise
welche dein Misstrauen stützen? Im übrigen dürftest du dann Windows-Update keinesfalls erlauben, Kontakt
mit Microsoft aufzunehmen, denn das widerspräche der Logik.

Gruß,

Sepia



Nein, dann darfst

#7

Zitat

Warum bzw. welche negativen Erfahrungen hast du gemacht? Hast du irgendwelche fundierten Beweise
welche dein Misstrauen stützen?

Ha! Jetzt hast Du mich erwischt. Ich bin ein kleiner Kontrollfreak. Ich fürchte das, was ich nicht weiss. Und um ehrlich zu sein - hinter den schönen bunten Fenstern geht 'ne Menge vor sich was ich nicht weiss. Sicher könnt ich da viel Zeit reinstecken und lernen, aber mein Ansatz war, dass es eigentlich reichen müsste, nur die Türen zu überwachen um die Party abzusichern. Meine Daten sind sicher nicht so wichtig als dass sich jemand die Mühe machen würde, sich bei mir draufzuhacken. Das wäre für denjenigen wohl noch mehr verschwendete Zeit als für mich die anschließende Systemwiederherstellung. Mir missfällt an der SCVHost eigentlich nur, dass da verschiedenste Dienste drunter laufen und man deshalb eigentlich nur alle oder gar keinen sperren kann. Mir ist jedenfalls nicht bekannt, ob und wie man Subdienste, so will ich sie mal nennen, für Netzwerkverbindungen sichtbar und einzeln behandelbar machen kann. Und, um den Bogen zurück zu schlagen, was sich vor mir versteckt (z.B. in der SVCHost, auch wenn deren Erfindung sicher praktische Gründe hatte) dem misstraue ich einfach. Ich wollte also wirklich niemanden aufschrecken, von wegen der Weltuntergang versteckt sich in der SVCHost, und sicher wollte und will ich darüber auch keine Grundsatzdiskussion führen. In Sachen Firewall gehe ich eben nur gern nach dem Prinzip vor, dass alles, was ich nicht unbedingt brauche, gesperrt wird. Ich weiss auch, dass man da jeweils 1000 Argumante dafür und dagegen findet, aber darum gehts ja gar nich...

Zitat

Keine Ahnung, bin jetzt zu faul um whois für folgende Domänen zu bemühen:

update.microsoft.com
download.microsoftupdates.com
windowsupdate.microsoft.com

DAS is doch mal 'ne feine Sache! Danke Sepia! Die IP's krieg ich schon raus - alles vorkauen musst Du mir gar nicht. Nur hin und wieder in die richtige Richtung drehen.

#8 Nun ja, mein Reply wird nun etwas off topic. Aber lasse mich noch kurz etwas anmerken.

Zitat

Mir missfällt an der SCVHost eigentlich nur, dass da verschiedenste Dienste drunter laufen und man deshalb eigentlich nur alle oder gar keinen sperren kann.

Warum willst du svchost.exe überhaupt sperren? Das impliziert wiederum, dass du davon ausgehst, sensible Daten
werden durch diesen Dienst ungefragt zu Microsoft übertragen. Wenn du diesen Standpunkt vertrittst, mußt du
zwangsläufig konsequent sein und diesem Programm generell den Internetzugriff verbieten. Gesetzt den Fall,
Microsoft würde durch die Nutzung dieses Dienstes private/sonstige Daten erhalten, dann wäre es äußerst unsinnig, via
svchost im Rahmen eines Windows-Updates Kontakt zu den Redmontern zuzulassen. Und nun sind wir wieder bei
"heptamer666" und seiner treffenden These bzgl. vertrauenswürdiger Software.


Gruß,

Sepia

#9

Zitat

Das impliziert wiederum, dass du davon ausgehst, sensible Daten
werden durch diesen Dienst ungefragt zu Microsoft übertragen.

Ich will nicht hoffen, dass das der Fall ist. Glaub ich ehrlich gesagt auch nicht, das wäre bestimmt schon ans Licht gekommen. Ich bin mir nur nicht sicher #Frage an die Experten#, ob sich nicht ein Programm, dass NICHT zum Betriebssystem gehört, auch in der SVCHost verstecken könnte. Darüber hinaus startet die SVCHost sehr häufig Anfragen, ohne dass dem eine Aktion meinerseits vorausgegangen wäre. Ich weiss, dass z.B. das Windows Update automatisch regelmässig die Verfügbarkeit neuer Updates prüft. Damit hab ich kein Problem. Wenn da aber eine Adresse auftaucht, die ich nicht kenne und ich auch den Grund für den Verbindungsaufbau nicht kenne, dann werde ich misstrauisch. Auf jeden Fall scheint das eine Verbindung zu sein, die ich nicht brauche, die mir keinen Vorteil bringt und deshalb unerwünscht ist. Wahrscheinlich schüttelt Ihr jetzt den Kopf, aber sagen wir einfach, ich fühle mich wohler, wenn ausser den Programmen, die ich bewusst einsetze, alles geblockt wird.

#10

Zitat

Icheben postete
Mir missfällt an der SCVHost eigentlich nur, dass da verschiedenste Dienste drunter laufen und man deshalb eigentlich nur alle oder gar keinen sperren kann. ...

Und das ist der Kernpunkt von deinem falschen Ansatz - über die Dienstekonfiguration in Windows lässt sich nämlich sehr wohl beeinflussen was über SVCHost läuft oder nicht. Aber, hättest du mein erstes Posting mal aufmerksam gelesen anstatt mich belehren zu wollen sachlich zu bleiben, wäre dir das eventuell aufgefallen.

Zitat

Icheben postete
] Siehe Vertauen ins Betriebssystem... Davon abgesehen ist die Konfiguration des Betribssystems ein Baustein zur Sicherheit. Die vernünftige Konfiguration der Firewall ein anderer. In diesem Thread hab ich nach der Konfiguration der Firewall gefragt.

Eben nicht, das gehört alles zusammen und nennt sich dementsprechend Firewall (der Begriff bezeichnet nämlich ein Konzept, und keine Software!). Ergo - Ohne vernünftig konfiguriertes System ist ein Paketfilter (das was du gerne als Firewall bezeichnet) sinnlos.

Um mal unsachlich zu werden: Was soll es bringen Kontrolle über ein"Übel" auszuführen anstatt das "Übel" direkt zu beseitigen. Denk mal drüber nach...
__________
Es ist nicht wenig Zeit, die wir haben, sondern viel Zeit, die wir nicht nutzen...

#11

Zitat

Und das ist der Kernpunkt von deinem falschen Ansatz - über die Dienstekonfiguration in Windows lässt sich nämlich sehr wohl beeinflussen was über SVCHost läuft oder nicht. Aber, hättest du mein erstes Posting mal aufmerksam gelesen anstatt mich belehren zu wollen sachlich zu bleiben, wäre dir das eventuell aufgefallen.

Hallo Heptamer. Ich hab Dein Post aufmerksam gelesen und werde nach Anleitung in diesen Foren meine Dienste konfigurieren. Kontrollieren kann man das wohl, indem man schaut, welche Ports (lokal) offen sind (=ein Dienst dran hängt)? Natürlich kann ich so beeinflussen, welche Dienste unter der SVCHost laufen, das ist mir schon klar. Ich denke, wir haben uns einfach missverstanden. Ich meinte nicht, dass ich keinen Einfluss darauf hätte, welche Dienste unter dem Sammeldienst laufen. Ich meinte vielmehr, dass es keine mir bekannte Möglichkeit gibt, diese Dienste dem Paketfilter gegenüber einzeln sichtbar zu machen. Und ich bin mir nicht sicher, ob ein Programm, das nicht zum Betriebssystem gehört, dort nicht auch unterschlüpfen könnte.

Zitat

Eben nicht, das gehört alles zusammen und nennt sich dementsprechend Firewall (der Begriff bezeichnet nämlich ein Konzept, und keine Software!). Ergo - Ohne vernünftig konfiguriertes System ist ein Paketfilter (das was du gerne als Firewall bezeichnet) sinnlos.

Siehe Missverständnis - ich hab wohl Begriffe anders verwendet als Du/üblich. Sorry. Ich formuliere also neu: es ging mir um die Konfiguration des Paketfilters.

Zitat

Um mal unsachlich zu werden: Was soll es bringen Kontrolle über ein"Übel" auszuführen anstatt das "Übel" direkt zu beseitigen. Denk mal drüber nach...

Nun, das fand ich überhaupt nicht unsachlich. Es ist ja schließlich ein Denkansatz! Unsachlich fand ich den "Vorschlag", ein anderes Betriebssystem zu benutzen. Andererseits wenn ich Deine Posts so lese scheinst Du nicht auf Hilfe beim Paketfilter abzuzielen, sondern eher auf die Grundlagen des Sicherheitskonzepts. Ein kleiner Hinweis auf Deine Absichten und ergänzend Hilfe zum Paketfilter und ich hätte das niemals als unsachlich aufgefasst. Siehe einmal mehr Missverständnis.

#12

Zitat

Ha! Jetzt hast Du mich erwischt. Ich bin ein kleiner Kontrollfreak. Ich fürchte das, was ich nicht weiss. Und um ehrlich zu sein - hinter den schönen bunten Fenstern geht 'ne Menge vor sich was ich nicht weiss. Sicher könnt ich da viel Zeit reinstecken und lernen, aber mein Ansatz war, dass es eigentlich reichen müsste, nur die Türen zu überwachen um die Party abzusichern.

Dein Ansatz ist gänzlich fehlerhaft - wenn das OS nicht stimmt, kannst du da gar nichts mehr machen du bist quasi schon ausgeliefert - die sogenannten Desktop-Firewalls lassen sich leicht aushäbeln und unterwandern das gabs schon oft.
Wenn du ein Kontrollfreak bist und Durchblick willst ist proparitäre Software nicht für dich geeignet

Ansonsten hat heptamer666 recht, der Paketfilter ist nur ein kleiner Teil der eigentlich niemals für Sicherheit angewendet wird sondern viel mehr für Datenkontrolle und Datenverkehr umleitungen etc.
Viel mehr eine Rolle spielen die sog. Dienste im System.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#13

Zitat

Icheben postete
[Ich formuliere also neu: es ging mir um die Konfiguration des Paketfilters.

Sorry das ich da noch mal in die gleiche kerbe reinhauen muss: Ein Paketfilter sollte sich NUR um eingehenden Datenverkehr kümmern - ausgehender Datenverkehr ist unsinnig zu filtern wenn die Computer hinter dem Filter anständig konfiguriert sind - dann kann ja nichts ohne das eigene Wissen "rausgeschickt" werden.
Das was du möchtest ist evtl. ein Sniffer wie Etheral (nun Wireshark) oder TCPView wenn es nur um einen PC geht.
Und um deine bedenken zu zerstreuen: Es gibt keine möglichkeit das sich eine Fremdsoftware in den SVCHOST "reinimpft", ausser du installierst wissentlich oder unwissenstlich einen Dienst auf deiner Windowsmaschine der sich auf SVCHOST aufsetzt, was aber nicht passieren kann da du nur mit eingeschränkten Benutzerrechten arbeitest (falls nicht, solltest du dir darüber mal Gedanken machen als irgendeiner windigen Software zu vertrauen die die Versprechungen die sie gibt eh nicht halten kann).
__________
Es ist nicht wenig Zeit, die wir haben, sondern viel Zeit, die wir nicht nutzen...

#14

Zitat

Sorry das ich da noch mal in die gleiche kerbe reinhauen muss

Kein Problem - ich hatte eben angenommen, dass ich mein System über die Kerio Firewall komplett vom Netz entkoppeln könnte (bis auf das, was ich explizit freigegeben habe). Nun, scheinbar isses doch nich so einfach...

Zitat

was aber nicht passieren kann da du nur mit eingeschränkten Benutzerrechten arbeitest

Ich hab ein zweites Konto mit Hauptbenutzerrechten zur täglichen Arbeit eingerichtet. Ich werd mich in dieser Hinsicht mal im Forum umsehen, ob das reicht. Die Windows-Rechte-Verwaltung find ich auch so ein Ding, von dem ich bisher lieber die Finger gelassen hab. Danke für den Hinweis.

Ums mal zusammenzufassen - wenn ich ein sauberes, ordentlich konfiguriertes System habe geht da nix raus, über das ich mir Sorgen machen und es deshalb blocken müsste. Über die Dienstekonfiguration, den Paketfilter und meine Benutzerrechte sorge ich dafür, dass das System sauber bleibt. Kommt das so ungefähr hin?

#15

Zitat

Icheben postete
Ums mal zusammenzufassen - wenn ich ein sauberes, ordentlich konfiguriertes System habe geht da nix raus, über das ich mir Sorgen machen und es deshalb blocken müsste. Über die Dienstekonfiguration, den Paketfilter und meine Benutzerrechte sorge ich dafür, dass das System sauber bleibt. Kommt das so ungefähr hin?

Ja, gut auf den Punkt gebracht. Eine Sache noch vergessen: Regelmässig Updates fahren und auch die eingesetzte Software regelmässig auf neue Versionen/Sicherheitspatches überprüfen, bzw. Software einsetzen welche nicht so fehleranfällig ist, zum Beispiel anstatt Internet Explorer dann eben Opera etc. pp.

PS: Mit Hauptbenutzerrechten zu arbeiten erlaubt Viren und anderes Ungetier sich ungehemmt auf deinem Rechner (und anderen) zu verbreiten - daher immer mit eingeschränkten Benutzerrechten arbeiten und nur für Installation/Wartung auf einen Administrator-Account wechseln.
__________
Es ist nicht wenig Zeit, die wir haben, sondern viel Zeit, die wir nicht nutzen...