Moin Moin !

Und offene Ports kann man AFAIK unter Windows (und Linux) auch nicht anzeigen, nur durch einen Scan, mit netstat.exe bekommt man ja soweit ich weiß nur bestehende Verbindungen, oder?

Daür gibt es Scan-Dienste, siehe anderswo in diesem Thread.

Nein, darfst du leider nicht. Das ist das Problem bei allen Personal Firewalls: Jedes Programm, das der Anwender auf dem Rechner beabsichtigt oder unbeabsichtigt startet, kann die Firewall im Prinzip abschalten.
Meinst Du indem es aus dem Autostart(wie auch immer der realisiert wird) genommen wird? Denn anders wüßte ich nicht wie man GUI-Software beeinflussen könnte.

BOOL EnumWindows(

WNDENUMPROC  lpEnumFunc, // address of callback function
    LPARAM  lParam  // application-defined value
   );

... damit findet man das Window der PFW ...

BOOL PostMessage(
    HWND  hwnd, // handle of destination window
    UINT  uMsg, // message to post
    WPARAM  wParam, // first message parameter
    LPARAM  lParam  // second message parameter
);

... und damit schickt man dem Window der PFW ein WM_QUIT oder ähnliches.

Gegen so primitive Angriffe sollte eine PFW geschützt sein, aber das Prinzip ändert sich nicht. Man muß den Angriff nur verbessern.

Man selbst sieht ja was passiert, und die Firewall "meldet" ja immer wenn sich so ein Programm unerwünscht mit dem Internet verbinden will. In diesem Fall kann man den Zugriff für diese Software ja durchaus unterbinden, so dass z.B. ein Trojaner keine Möglichkeit hat nach aussen zu komunizieren.

Aber nur, wenn der Trojaner nicht vorher die PFW ausgehebelt hat. Oder sich schlicht IEXPLORER.EXE nennt. Darauf sollen schon PFWs hereingefallen sein.

Auch direkt abschalten? Wie soll den ein externes Programm auf eine GUI-Software zugreifen können? Man könnte höchstens den entsprechenden prozess killen, aber wie sowas unter Windows ohne manuell den Task-Manager zu benutzen funktioniert habe ich bisher nihct herausbekommen, denn der Task-Manager kann manche Prozesse zum verrecken nicht killen, z.B. den Apachen.

http://www.sysinternals.com bietet u.a. pslist.exe und pskill.exe (in pstools.zip?). Mit ersterem sieht man so ziemlich jeden Prozess, mit letzterem kann man auch Programme abschießen, die als "Local System" laufen. pskill.exe kann einem echt ans Herz wachsen, wenn mal wieder ein CGI in eine Endlosschleife rennt.

Kann denn ein ActiveX-Applets als "service" laufen? Das ist doch eher so eine Art Script, das ja nicht an einem Port lauschen kann, oder?

ActiveX-Controls sind DLLs und dürfen so ziemlich alles, was jede andere EXE oder DLL auch darf. Was hintert ein ActiveX-Control, aus sich heraus eine EXE-Datei auf die Platte zu schreiben, diese dann aufzurufen (wodurch sich die EXE als Service installiert), und in Zukunft quasi als Proxy zwischen dieser EXE und dem Web zu fungieren?

Danke für das interessante Posting, nicht falsch verstehen ich habe auch keine Firewall und will auch keine, aber ich finde eine Firewall für Leute die sich wenigstens ein bisschen mit PCs auskennen aber nicht gut genug(keien Ahnung von TCP/IP) durchaus für sinnvoll, da die einfach nicht in der Lage sind selbst ein vergleichbares Sicherheits-Niveau herzustellen.

Ein paar Screenshots tuns auch: Dialup-Network -> TCP-IP -> Kein Windows Sharing auf Dialup-Adapter. Siehe c't (mehrfach).

Naja, ein trügerisches Sicherheits-Gefühl, ist die Frage was besser ist.

Ungeschützt oder mit einer "Türklingel"? Hmmm, dann doch lieber einen dedizierten Portfilter auf einer eigenen Kiste. Oder zumindest das Wissen, daß ungeschützter Internet-Zugang und ungeschützter GV ähnlich riskant sind. ;-)

Sinnvoll wären sinnvolle Default-Werte im OS. Windows Sharing hat auf Dial-Up-Networking ins Internet nichts zu suchen, um nur einen "falschen" Default-Wert zu nennen.

Alexander