Avast 7 und die Windows-Firewall

[Ceitrex]

Hallo,

ich nutze derzeit Avast 7 in der aktuellen Version und die Windows-Firewall im Whitelist-Modus, d.h. dass alles grundsätzlich geblockt wird, bis ein Programm eine Regel für ausgehende Verbindung bekommt.

So kurz zum Hintergrund:
Ich nutze eigentlich Eset Nod32, wollte aber mal Avast ausprobieren und dann gegebenenfalls umsteigen.
Nod32 runter, Avast installiert, soweit alles in Ordnung.
Eine Regel mit der Erlaubnis Port 80 und 443 zu nutzen gingen an Datei "AvastSvc.exe" (Avast Service), "ashUpd.exe" (Avast Updates), "avast.setup" (temporäre Updates) und "AvastUI.exe" (für die Registrierung und Werbung im UI).

Tja nur das Problem:
Der Webtraffic läuft komplett über die Datei "AvastSvc.exe" (Avast Service) und dieser Dienst braucht quasi ALLE nötigen Ports (an dieser Stelle zähle ich meine benötigten nicht auf) und somit sind
ALLE Regeln in der Windows-Firewall absolut nutzlos, da AvastSvc.exe alles durchlässt.

Nun zur Frage:
Wie lässt sich das Problem lösen ohne die Firewall zu wechseln und der Datei AvastSvc.exe weiterhin alle Ports freizugeben?

Randbemerkung:
Avast gefällt mir ansonsten sehr gut. Alles sauber strukturiert, schnell erreichbare Elemente und das ganze in einem schönen UI verpackt.


Grüße und danke im voraus

[Asyn]

Tja nur das Problem:
Der Webtraffic läuft komplett über die Datei "AvastSvc.exe" (Avast Service) und dieser Dienst braucht quasi ALLE nötigen Ports (an dieser Stelle zähle ich meine benötigten nicht auf) und somit sind
ALLE Regeln in der Windows-Firewall absolut nutzlos, da AvastSvc.exe alles durchlässt.

Ich denke, du suchst nach dieser Einstellung...!?

1. avast! GUI -> ECHTZEIT-SCHUTZ -> Web-Schutz -> Erweiterte Einstellungen
2. Aktiviere: "Nur Verkehr von bekannten Browser-Prozessen prüfen"
3. OK klicken.
4. System neu starten.

Willkommen im Forum,
Asyn

[Ceitrex]

Vielen Dank fürs Willkommen und die schnelle Hilfe!

Funktioniert soweit bei den anderen Programmen, allerdings hätte ich gerne selbst Kontrolle über die Firewall-Regeln und den erlaubten Ports bei den Browsern und Mail-Clienten (Thunderbird z.B.).

Ich finde es ehrlich gesagt nicht gut, dass ein Programm ungefragt den Datenverkehr freigibt bzw. die Windows-Firewall im Whitelist-Modus aushebelt.
Kann man das mit den "alle Browser/Mail-Clienten haben freien Zugang" unterbinden?

Eine Option um dieses Verhalten abzuschalten wäre wirklich super.

[Asyn]

1. Vielen Dank fürs Willkommen und die schnelle Hilfe!

2. Funktioniert soweit bei den anderen Programmen, allerdings hätte ich gerne selbst Kontrolle über die Firewall-Regeln und den erlaubten Ports bei den Browsern und Mail-Clienten (Thunderbird z.B.).

1. Gerne.
2. Dann bitte eine andere (3rd party) FW installieren oder gleich AIS verwenden.

Schönen Abend,
Asyn

[Ceitrex]

Was Firewalls mit zusätzliche third party kernel drivers betrifft, mache ich keine Kompromisse.

Ich weiß hier bei Avast auch nicht, was genau unter "Nur Verkehr von bekannten Browser-Prozessen prüfen" zu verstehen ist.
Erkennt Avast z.B. Firefox.exe, Chrome.exe usw. bei den laufenden Prozessen, so werden diese dann einfach zugelassen oder wie läuft das?

Angenommen ein Rechner ist infiziert und Avast kann den Schädling nicht sofort entdecken:
Was passiert wenn sich der Schädling als Browser tarnt, also mit einer fake-exe mit gleichen Namen, lässt Avast dann den Datenverkehr einfach zu?!

Es soll einfach nur den Verkehr von zugelassen Programmen prüfen und nicht selbst Hand anlegen und selbst entscheiden welches Programm die Firewall umgehen darf.
Ich gebe bei der Firewall ja auch nicht an, dass alle Programme mit der selben exe freien Zugang bekommen, sondern lege präzise Pfade zu den exes mit speziellen Regeln fest (erlaubte Remoteadressen, Ports usw.).

Es sollte eine Option geben, dass genau so ein Verhalten unterbinden sollte.
Soweit ich weiß, gibt es dieses Verhalten auch erst seit irgendeiner 6er Version von Avast. Für mich ist das ein Rückschritt was Sicherheit betrifft, leider.
Das wäre aber auch meine einzigste schwere Kritik an den Virenscanner.

Zur Windows-Firewall in Windows Vista/7 noch paar letzte Worte:
In der Standardkonfiguration lässt die FW auch jeden Mist egal wohin raus, da fällt meine oben genannte Beobachtung überhaupt nicht auf.
Sobald man die Firewall aber in den Whitelist-Modus umschaltet (nur etwas für Fortgeschrittene/Profis), ist sie sehr mächtig und effektiver als so manch andere Software-Firewall mit eigenen third party kernel drivers.

Nun gut, wahrscheinlich wird sich trotz meiner Kritik nichts ändern, aber das wollte ich hier nur mal zu Avast und seinem Verhalten ablassen.


Danke fürs lesen, Ceitrex

[Asyn]

1. Ich weiß hier bei Avast auch nicht, was genau unter "Nur Verkehr von bekannten Browser-Prozessen prüfen" zu verstehen ist.
2. Erkennt Avast z.B. Firefox.exe, Chrome.exe usw. bei den laufenden Prozessen, so werden diese dann einfach zugelassen oder wie läuft das?
3. Angenommen ein Rechner ist infiziert und Avast kann den Schädling nicht sofort entdecken:
Was passiert wenn sich der Schädling als Browser tarnt, also mit einer fake-exe mit gleichen Namen, lässt Avast dann den Datenverkehr einfach zu?!
4. Es sollte eine Option geben, dass genau so ein Verhalten unterbinden sollte.
5. Für mich ist das ein Rückschritt was Sicherheit betrifft, leider.

1. avast! agiert als lokaler Proxy. Die Einstellung bewirkt, daß nur der Browserverkehr durch diesen Proxy gelenkt wird.
2. Es geht hier nicht ums "Zulassen" sondern um die Überprüfung durch den Web-Schutz.
3. Nein, natürlich nicht.
4. Welches Verhalten willst du unterbinden..??
5. Nun, das sehe ich nicht so.

Schönen Abend,
Asyn

[Ceitrex]

Ok, nochmal:

1. Problem: Avast hebelt festgelegte Windows-Firewall-Regeln aus und gewährt so allen Programmen freien Internetzugang (sowas darf einfach nicht sein!).
Lösung: ECHTZEIT-SCHUTZ -> Web-Schutz -> Erweiterte Einstellungen -> Nur Verkehr von bekannten Browser-Prozessen prüfen.

2. Problem: Trotz Umstellung ignoriert Avast weiterhin die Windows-Firewall-Regeln für Browser und Mail-Clienten, der Rest funktioniert wieder.
Lösung: Bisher keine gefunden (und das ist der springende Punkt).

Avast nimmt sich die Freiheit und lässt einfach mal so alle Browser und Mail-Clienten zu, obwohl nicht alles komplett raus darf.
Die raus dürfen haben spezielle Regeln was Ports etc. angeht und das wird weiterhin von Avast völlig ignoriert.
Ich z.B. nutze mehrere Browser und einige haben per Firewall-Regel festgelegte Ports und Remoteadressen, d.h. die können nur bestimmte Seiten/Server abrufen sonst nichts.
Der Standardbrowser fürs normale surfen hat auch nur Port 80 und 443 und das soll auch weiterhin so bleiben.

Es wäre toll wenn man noch mit einer zusätzlichen Option dieses "Avast gibt allen Browsern/Mail-Clienten vollen Internetzugang) abstellen könnte.
In meinem Fall bzw. bei Leuten die mit dem Whitelist-Modus-arbeiten sollte Avast einfach nur das scannen, wo auch tatsächlich Netzwerk/Webtraffic anfällt, quasi wie bei den älteren Versionen ohne "Hintertürchen".

Ich hoffe, dass das jetzt etwas verständlicher war.

Grüße, Ceitrex

[Asyn]

Problem: Trotz Umstellung ignoriert Avast weiterhin die Windows-Firewall-Regeln für Browser und Mail-Clienten, der Rest funktioniert wieder.
Lösung: Bisher keine gefunden (und das ist der springende Punkt).

Lösung: Siehe meine Antwort zu Punkt 2 in Reply #3...
Alternativ kannst du auch den Web-Schutz ganz deaktivieren, würde ich aber grundsätzlich nicht empfehlen.

Schönes Wochenende,
Asyn

[Ceitrex]

Wie schon in Post#5 erster Satz erwähnt, kommt diese "Lösung" nicht in Frage.
Und ohne Web-Schutz ... *hust*

Kann man wohl nichts machen, dennoch vielen Dank für deine schnellen Antworten!

Schönes Wochenende,
Asyn

Danke, das wünsche ich dir auch

[Asyn]

Kann man wohl nichts machen, dennoch vielen Dank für deine schnellen Antworten!

Sehr gerne.
Du kannst aber eventuell "unerwünschte" Ports in den Umleitungsregeln löschen bzw. durch eigene ersetzen.
Findest du hier: avast! GUI -> EINSTELLUNGEN -> Fehlerbehandlung -> Umleitungsregeln

Schönen Abend,
Asyn