[Tarnatos]

Hallo,

ich habe ein Windows XP x64 System im Netzwerk, welches ausschließlich als Dateiablage dient. Dieses möchte ich gänzlich vom Internet abschotten, ohne aber auf Windows Update verzichten zu müssen.

Letztendlich soll der Rechner bestmöglich gegen eingehende Datenpackete aus dem Internet abgereigelt werden.

Im Router ist es leider nicht möglich dies einzurichten, da er nur Globale Filterregeln für alle Systeme im Netzwerk erlaubt.

Wenn möglich soll das alles mit Windowsmitteln möglich gemacht werden, da ich auß verständlichen Gründen nicht auf PFWs setzen möchte.

Auch ist der Einsatz eines IPCop PAcketfilters keine Option, da so ein weiter PC ständig eingeschalltet sein müßte.

Hat jemand eine Idee wie man das möglich machen könnte?

[caracas]

Hab dir mal was rausgesucht:

http://www.the-netbr...orkstations.htm

Ich denke das kommt deinen Vorstellungen schon sehr nahe, und ich bin sehr zufrieden damit

[Tarnatos]

Hallo Caracas,

ersteinmal danke für den Link. Allerdings ist das ja eher eine Art Einführung für alle die, die sich noch nicht mit der Thematik befasst haben.

Ich bin mir mitlerweile über all' die netten Switches, Tweaks und Einstellungen im klaren und möchte nun mehr als die standard Infos "Wie sichere ich meinen PC ... ab".

Mir geht es hauptsächlich darum, dem Rechner den kompletten Zugriff auf das Internet mit Außnahme der Windows Updates zu entziehen. Und das alles möglichst mit Windowsmitteln, da mein Router diese Möglichkeit nicht bietet.

Dieser Beitrag wurde von Tarnatos bearbeitet: 08. Mai 2009 - 14:28

[caracas]

Sorry, hab dir versehentlich ne falsche Seite genannt. Nimm mal diese

http://www.the-netbr..._konfigtool.htm

Das ist ein Dienste-ConfigTool mit dem Ziel, den PC abzuschotten. Vielleicht kannst du damit was anfangen..

[Tarnatos]

Merci, aber wie ich im 1. Post geschrieben habe arbeite ich mit Windows XP x64, welches auf Windows Server 2003 x64 basiert.

Darüber hinaus habe ich bereits alle Dienste die nicht benötigt werden abgeschaltet und offene Ports besitzt das System ebenfalls nicht.

[XiLeeN2004]

Bei mir habe ich das folgendermaßen gelöst: Proxi mit 127.0.0.1 eingerichtet, dann Windows Update als Ausnahmen definiert. Bei manueller Verwendung von Windows Update funktioniert dieser Ansatz zuverlässig. Ob es bei automatischen Updates ebenfalls der Fall ist, habe ich nie getestet, mutmaßlich sollte es aber egal sein.

Dieser Beitrag wurde von XiLeeN2004 bearbeitet: 08. Mai 2009 - 15:22

[Lofote]

Zitat

Bei mir habe ich das folgendermaßen gelöst: Proxi mit 127.0.0.1 eingerichtet, dann Windows Update als Ausnahmen definiert. Bei manueller Verwendung von Windows Update funktioniert dieser Ansatz zuverlässig. Ob es bei automatischen Updates ebenfalls der Fall ist, habe ich nie getestet, mutmaßlich sollte es aber egal sein.

Genau so hätte ich es auch vorgeschlagen.

Eine Sache muss ich aber anfügen: Damit ist nur der IE (und andere Programme, die HTTP verwenden und die IE-Proxykonfiguration berücksichtigen - aber halt nicht Firefox, Opera, Mailprogramme, ...) gesperrt. Möchtest du den Rest auch noch sperren, könntest du zur Holzhammermethode greifen, keinen DNS-Server anzugeben, und über die HOSTS-Datei manuell die aktuellen IPs einpflegen, die für Windows Update gebraucht werden. Aber auch das hat Nachteile: Der direkte Zugriff via IP-Adresse ins Internet tut da trotzdem weiterhin und wenn sich die IPs der WU-Seite mal ändern sollten, musste die auch abändern.

Von daher ist eine externe Sperrung (durch Router, Firewall o.ä.) die bessere Wahl.

[Tarnatos]

Die hosts Sperrung ist sicherlich eine gute Lösung. Nur müßte man die exakten Webadressen der Update Server wissen.

Auf DNS muss man ja nicht unbedingt verzichten.

Zitat

Von daher ist eine externe Sperrung (durch Router, Firewall o.ä.) die bessere Wahl.

Wie gesagt das ist NICHT möglich.

[Lofote]

Zitat

Die hosts Sperrung ist sicherlich eine gute Lösung. Nur müßte man die exakten Webadressen der Update Server wissen.

Das ist mit nslookup herausfindbar. Start, Ausführen, "nslookup" und dann am Prompt update.microsoft.com eingeben. Der braucht glaub ich noch ein paar mehr ähnliche, die musst dann nach und nach herausfinden per Try+Error.

Zitat

Wie gesagt das ist NICHT möglich.

Jo, haste gesagt, du musst dir halt aber im Klaren sein, dass du keine 100%ige Sperrung ohne bekommen kannst.

[Tarnatos]

Das ist ja nicht schlimm. Man muss ja leider immer Kompromisse eingehen

[CmYk]

Wenn der Rechner eh nicht am Netz hängt wozu brauchst du dann die neuesten Updates?
Verstehe ich nicht so ganz.