Avast 7 und die Windows-Firewall

Hallo,

ich nutze derzeit Avast 7 in der aktuellen Version und die Windows-Firewall im Whitelist-Modus, d.h. dass alles grundsätzlich geblockt wird, bis ein Programm eine Regel für ausgehende Verbindung bekommt.

So kurz zum Hintergrund:
Ich nutze eigentlich Eset Nod32, wollte aber mal Avast ausprobieren und dann gegebenenfalls umsteigen.
Nod32 runter, Avast installiert, soweit alles in Ordnung.
Eine Regel mit der Erlaubnis Port 80 und 443 zu nutzen gingen an Datei “AvastSvc.exe” (Avast Service), “ashUpd.exe” (Avast Updates), “avast.setup” (temporäre Updates) und “AvastUI.exe” (für die Registrierung und Werbung im UI).

Tja nur das Problem:
Der Webtraffic läuft komplett über die Datei “AvastSvc.exe” (Avast Service) und dieser Dienst braucht quasi ALLE nötigen Ports (an dieser Stelle zähle ich meine benötigten nicht auf) und somit sind
ALLE Regeln in der Windows-Firewall absolut nutzlos, da AvastSvc.exe alles durchlässt.

Nun zur Frage:
Wie lässt sich das Problem lösen ohne die Firewall zu wechseln und der Datei AvastSvc.exe weiterhin alle Ports freizugeben?

Randbemerkung:
Avast gefällt mir ansonsten sehr gut. Alles sauber strukturiert, schnell erreichbare Elemente und das ganze in einem schönen UI verpackt.

Grüße und danke im voraus

Ich denke, du suchst nach dieser Einstellung…!? :wink:

  1. avast! GUI → ECHTZEIT-SCHUTZ → Web-Schutz → Erweiterte Einstellungen
  2. Aktiviere: “Nur Verkehr von bekannten Browser-Prozessen prüfen”
  3. OK klicken.
  4. System neu starten.

Willkommen im Forum,
Asyn

Vielen Dank fürs Willkommen und die schnelle Hilfe!

Funktioniert soweit bei den anderen Programmen, allerdings hätte ich gerne selbst Kontrolle über die Firewall-Regeln und den erlaubten Ports bei den Browsern und Mail-Clienten (Thunderbird z.B.).

Ich finde es ehrlich gesagt nicht gut, dass ein Programm ungefragt den Datenverkehr freigibt bzw. die Windows-Firewall im Whitelist-Modus aushebelt.
Kann man das mit den “alle Browser/Mail-Clienten haben freien Zugang” unterbinden?

Eine Option um dieses Verhalten abzuschalten wäre wirklich super. :slight_smile:

  1. Gerne.
  2. Dann bitte eine andere (3rd party) FW installieren oder gleich AIS verwenden. :wink:

Schönen Abend,
Asyn

Was Firewalls mit zusätzliche third party kernel drivers betrifft, mache ich keine Kompromisse.

Ich weiß hier bei Avast auch nicht, was genau unter “Nur Verkehr von bekannten Browser-Prozessen prüfen” zu verstehen ist.
Erkennt Avast z.B. Firefox.exe, Chrome.exe usw. bei den laufenden Prozessen, so werden diese dann einfach zugelassen oder wie läuft das?

Angenommen ein Rechner ist infiziert und Avast kann den Schädling nicht sofort entdecken:
Was passiert wenn sich der Schädling als Browser tarnt, also mit einer fake-exe mit gleichen Namen, lässt Avast dann den Datenverkehr einfach zu?!

Es soll einfach nur den Verkehr von zugelassen Programmen prüfen und nicht selbst Hand anlegen und selbst entscheiden welches Programm die Firewall umgehen darf.
Ich gebe bei der Firewall ja auch nicht an, dass alle Programme mit der selben exe freien Zugang bekommen, sondern lege präzise Pfade zu den exes mit speziellen Regeln fest (erlaubte Remoteadressen, Ports usw.).

Es sollte eine Option geben, dass genau so ein Verhalten unterbinden sollte.
Soweit ich weiß, gibt es dieses Verhalten auch erst seit irgendeiner 6er Version von Avast. Für mich ist das ein Rückschritt was Sicherheit betrifft, leider.
Das wäre aber auch meine einzigste schwere Kritik an den Virenscanner.

Zur Windows-Firewall in Windows Vista/7 noch paar letzte Worte:
In der Standardkonfiguration lässt die FW auch jeden Mist egal wohin raus, da fällt meine oben genannte Beobachtung überhaupt nicht auf.
Sobald man die Firewall aber in den Whitelist-Modus umschaltet (nur etwas für Fortgeschrittene/Profis), ist sie sehr mächtig und effektiver als so manch andere Software-Firewall mit eigenen third party kernel drivers.

Nun gut, wahrscheinlich wird sich trotz meiner Kritik nichts ändern, aber das wollte ich hier nur mal zu Avast und seinem Verhalten ablassen.

Danke fürs lesen, Ceitrex

  1. avast! agiert als lokaler Proxy. Die Einstellung bewirkt, daß nur der Browserverkehr durch diesen Proxy gelenkt wird.
  2. Es geht hier nicht ums “Zulassen” sondern um die Überprüfung durch den Web-Schutz.
  3. Nein, natürlich nicht.
  4. Welches Verhalten willst du unterbinden…??
  5. Nun, das sehe ich nicht so. :wink:

Schönen Abend,
Asyn

Ok, nochmal:

1. Problem: Avast hebelt festgelegte Windows-Firewall-Regeln aus und gewährt so allen Programmen freien Internetzugang (sowas darf einfach nicht sein!).
Lösung: ECHTZEIT-SCHUTZ → Web-Schutz → Erweiterte Einstellungen → Nur Verkehr von bekannten Browser-Prozessen prüfen.

2. Problem: Trotz Umstellung ignoriert Avast weiterhin die Windows-Firewall-Regeln für Browser und Mail-Clienten, der Rest funktioniert wieder.
Lösung: Bisher keine gefunden (und das ist der springende Punkt).

Avast nimmt sich die Freiheit und lässt einfach mal so alle Browser und Mail-Clienten zu, obwohl nicht alles komplett raus darf.
Die raus dürfen haben spezielle Regeln was Ports etc. angeht und das wird weiterhin von Avast völlig ignoriert.
Ich z.B. nutze mehrere Browser und einige haben per Firewall-Regel festgelegte Ports und Remoteadressen, d.h. die können nur bestimmte Seiten/Server abrufen sonst nichts.
Der Standardbrowser fürs normale surfen hat auch nur Port 80 und 443 und das soll auch weiterhin so bleiben.

Es wäre toll wenn man noch mit einer zusätzlichen Option dieses "Avast gibt allen Browsern/Mail-Clienten vollen Internetzugang) abstellen könnte.
In meinem Fall bzw. bei Leuten die mit dem Whitelist-Modus-arbeiten sollte Avast einfach nur das scannen, wo auch tatsächlich Netzwerk/Webtraffic anfällt, quasi wie bei den älteren Versionen ohne “Hintertürchen”.

Ich hoffe, dass das jetzt etwas verständlicher war.

Grüße, Ceitrex

Lösung: Siehe meine Antwort zu Punkt 2 in Reply #3:wink:
Alternativ kannst du auch den Web-Schutz ganz deaktivieren, würde ich aber grundsätzlich nicht empfehlen.

Schönes Wochenende,
Asyn

Wie schon in Post#5 erster Satz erwähnt, kommt diese “Lösung” nicht in Frage.
Und ohne Web-Schutz … hust

Kann man wohl nichts machen, dennoch vielen Dank für deine schnellen Antworten!

Danke, das wünsche ich dir auch

Sehr gerne. :slight_smile:
Du kannst aber eventuell “unerwünschte” Ports in den Umleitungsregeln löschen bzw. durch eigene ersetzen.
Findest du hier: avast! GUI → EINSTELLUNGEN → Fehlerbehandlung → Umleitungsregeln

Schönen Abend,
Asyn