Jump to content
JanRei

Ideologie der Firewall in Version 8.0

Recommended Posts

Soweit ich es im Kopf habe, ist der Automatikmodus als "empfohlen" gekennzeichnet.

 

Hi redbull21,

ich nehme alles zurück, langsam kommt wohl Alzheimer durch.

post-77769-1206792075_thumb.jpg

Gruß Schulte

Share this post


Link to post
"Nur diese Adresse" erlauben ist im Vergleich zu bisher ein ziemlich umständlicher Vorgang...

 

Danke für die ausführliche Erläuterung!!!

Dann hab ich leider bis jetzt alles richtig verstanden und nix übersehen - schade.

Share this post


Link to post

Naja, momentan halte ich den Automatik-Modus eigentlich für ziemlich unbrauchbar. Denn er setzt noch stärker als der interaktive Modus voraus, dass KIS die Anwendung in die richtige Gruppe einsortiert hat, was derzeit aufgrund der noch nicht so ausgereiften HIPS-Datenbank häufig nicht der Fall ist.

Beim automatischen Modus wird vieles einfach blockiert, weil es in dem Fall die empfohlene Aktion ist. Ich denke nicht, dass das wirklich eine Hilfe für unerfahrene Benutzer ist - beim interaktiven Modus hätte man unter Umständen wenigstens noch die Möglichkeit zum Erlauben gehabt.

 

Share this post


Link to post

Das hatte ich bei der Installation ausgewählt

 

 

Wie gesagt nach dem Malör mit Screeny habe ich versucht die Screeny EXE als vertrauensvolles Programm zustufen, was auch gelang aber dennoch funzte das Programm nicht. Komisch bei Version 304 klappte alles.

Derzeit wenn ich ein Programme installiere möchte , beende ich im Vorfeld Kaspersky und aktiviere es erst nach Installation des Programms und wenn wirklich was sein sollte müsste der Proaktive Schutz sich melden und wenn nicht sogar die Firewall.

 

Share this post


Link to post
Das ist ja genau das was ich meine! Sicher ist es ein schwieriger Spagat einerseits viele zu überfordern mit Popups, andererseits stört es andere nicht gefragt zu werden.

 

Nur eine Lösung hat KIS ja im Prinzip schon: den optionalen interaktiven Schutz. Und wünsche ich diesen, dann will ich selbst entschieden - mit Empfehlungen - und keine Automatik (wie jetzt zum Teil auch hier).

Wünsche ich diesen nicht macht KIS was es kennt und versucht die Popups zu unterbinden.

 

Und das mit dem automatischen einstufen als nicht vertrauenswürdig ist riskant - viele finden vielleicht die Ursache nicht.

Anderes Beispiel: Habe Net Speed Monitor installiert, da hat KIS den Installer gleich mal (trotz interaktivem Modus) als nicht vertrauenswürdig eingestuft - folglich konnte das Programm nicht richtig installiert werden und funktionierte nicht. Gut ich bekam einen Hinweis, wusste aha, ging in die Anwendungsregeln, änderte die Berechtigung und es ging. Nur eine einfache Frage anstelle der automatischen Einstufung hätte mir diese Umwege erspart - schließlich bin ich im interaktiven Modus und möchte selbst entscheiden...

Dieser Spagat ist im Prinzip nicht vollständig lösbar. Man wird einer Software schwerlich die Intelligenz beibringen können, in jedem Fall das Richtige zu entscheiden. Natürlich kann man Entscheidungen zu bekannten Programmen mittels Datenbanken vordefinieren, aber solche Datenbanken werden niemals völlig aktuell sein und jede mögliche Software enthalten können. Es wird also immer Fälle geben, in denen KIS aus Sicht des Users das Falsche tut. Vor allem in Verbindung mit Verbotsregeln kann eine Automatik immer dazu führen, dass etwas, für den User nicht nachvollziehbar, nicht funktioniert.

 

Grundsätzlich zu fragen, in Verbindung mit einer Empfehlung dessen, was KIS normalerweise tun würde, wäre wohl die am wenigsten fehleranfällige Methode. Wenn sich der User gegen die Empfehlung entscheidet und sich daraufhin Probleme einstellen, hätte er zumindest einen Bezug zur Fehlerursache. Aber das widerspricht der angestrebten und von sehr vielen (wenn nicht den meisten) Usern gewünschten Philosophie eines möglichst "lautlosen" Schutzes. Selbst wenn dem User generell Handlungsempfehlungen gegeben würden, wäre er dennoch ständig mit irgendwelchen Popups konfrontiert, die seine Arbeit stören. Ich glaube, das wäre auch nicht der richtige Weg und würde auf viel Unverständnis stoßen. Viele würden dann wieder sagen: "Wenn KIS doch ohnehin weiß, was richtig ist (Empfehlung), dann soll es mich doch nicht ständig noch fragen." Somit beißt sich die Katze wieder in den Schwanz. Wie man es auch macht, es wäre nie für jeden richtig und passend.

 

Insofern scheint mir die aktuelle Lösung ein sehr guter Kompromiss zu sein, weil sie individuell gestaltbar ist (automatisch oder interaktiv). Die Frage bleibt, ob sich der Interaktivmodus nicht auch auf die Firewall erstrecken sollte, die ja generell auf Zwangsautomatik eingestellt ist. Ich denke, eher nein, denn dann hätten wir wieder ein "Entweder oder"-Prinzip und es wären keine unterschiedlichen Modi für FW und Aktivitätskontrolle möglich, die ich für absolut sinnvoll halte. Außerdem ist es auch unter der nicht unberechtigten Prämisse, wonach die Haupt-Schutzfunktion heutzutage dem Proaktiven Schutz zufällt, vertretbar, die Firewall in einem Automatikmodus zu betreiben, dessen Regelschärfe sich an der Vertrauenswürdigkeit der Anwendungen orientiert, hingegen aber die Kontrolle verdächtiger Ereignisse in der eigenen Hand zu behalten.

 

Eine normale Standardinstallation entsprechend der Empfehlungen im Assistenten liefert als Ergebnis

- Automatik bei der Firewall und

- Automatik bei der Aktivitätskontrolle (Rechte) und

- Automatik bei der Behandlung verdächtiger Aktionen

und dürfte so für die überwiegende Mehrheit der Normaluser die Idealkonfiguration sein. Dass KIS damit ein Programm auch mal ohne Userinformation abschießen kann, ist eine unvermeidliche Begleiterscheinung, die sich nur vermeiden ließe, indem man auf jegliche Blockregel zugunsten einer Frageregel verzichten würde. Das "Lautlos-Prinzip" wäre aber damit wieder ziemlich ausgehöhlt.

 

Der Individualist wählt "Interaktiv" und hat dadurch sofort die Kontrolle über verdächtige Aktionen. Wäre "Interaktiv" allumfassend, müsste er sämtliche Bereiche manuell kontrollieren, was er vielleicht gar nicht will. Durch Verändern nur weniger "Erlauben"-Häkchen in "Fragen" kann er diese Kontrolle jedoch einzeln für jede Anwendung, oder auch für ganze Programmgruppen erreichen (das Vererbungsprinzip machts möglich). Und er kann bestimmen, ob er die erweiterte Kontrolle nur für Aktivitäten oder auch für Netzwerkverbindungen haben möchte.

 

Ich persönlich finde diese Kombination aus Einfachheit und Feinjustierbarkeit innerhalb einer Software schon ziemlich optimal gelöst (nachdem ich das Prinzip verstanden habe ;) ). Aber wie gesagt, der Laie muss eigentlich nicht viel verstehen und sich nicht groß einarbeiten, um zurecht zu kommen, weil KIS ihm fast alles abnimmt. Der interessierte, fortgeschrittene User wird das Prinzip schnell durchschauen und die quasi stufenlose Variierbarkeit von Automatik bis hin zu totaler Kontrolle schätzen.

 

Ich denke nicht, dass sich im derzeitigen Entwicklungsstadium noch grundlegende Veränderungen am Funktionsprinzip werden durch- und umsetzen lassen. Allerdings wäre meine Anregung, bereits im Konfigurationsassistenten eine genauere Information über den Wirkungsbereich des Interaktivmodus anzubieten. Wer diesen Modus wählt, geht eigentlich davon aus, mit ihm die vollständige Kontrolle über alle Entscheidungen zu haben, was aber definitiv nicht der Fall ist. Darüber sollte er bereits während der Installation informiert werden.

Share this post


Link to post
Außerdem ist es auch unter der nicht unberechtigten Prämisse, wonach die Haupt-Schutzfunktion heutzutage dem Proaktiven Schutz zufällt, vertretbar, die Firewall in einem Automatikmodus zu betreiben, dessen Regelschärfe sich an der Vertrauenswürdigkeit der Anwendungen orientiert, hingegen aber die Kontrolle verdächtiger Ereignisse in der eigenen Hand zu behalten.

Die Verknüpfung von lokalen Anwendungsrechten mit Netzwerkrechten ist meiner Ansicht nach ein grandioser Irrtum.

Viele Benutzer können und werden das System so manipulieren, dass ihre Anwendungen Zugriff auf das Internet erhalten, das ist sicher und darüber braucht man eigentlich erst diskutieren, wenn es jemand nicht schafft (beim Support / im Forum).

 

Aber wie will Kaspersky das bei der automatischen Einstufung von Programmen lösen?

Jeder p2p-Client, Browser, Mail-Client, Messenger usw. bekommt automatisch maximale Anwendungsrechte nur um seine benötigten Netzwerkrechte zu erlangen?

Anders formuliert: allen Einfallstoren für Schädlinge aus dem Internet wird der Zugriff auf jeden kritischen Bereich des Betriebssystems gewährt?

 

Ist man sich so sicher, dass es dann eine andere Komponente schon richten wird.

Oder hat man sich nur noch nie mit Konzepten von erprobten policy restriction Programmen wie DefenseWall oder GeSWall beschäftigt?

 

MfG

Share this post


Link to post

Man hat sich durchaus während der Entwicklung auch mit Konkurrenz-Produkten beschäftigt (siehe dazu auch das Thema "Ausblick auf Version 8.0").

 

Nein, meiner Meinung nach sind damit nicht alle Einfallstore für Schädlinge geöffnet.

Viele Anwendungen bekommen zwar automatisch viele Rechte eingeräumt, allerdings wird deren Missbrauch durch HIPS selbst und den Proaktiven Schutz verhindert (siehe dazu auch die Erläuterung im ersten Beitrag dieses Themas). Wenn ein Schädling mit Hilfe einer Anwendung aus der vetrauenswürdigen Gruppe Aktionen durchführen möchte, werden die für den Schädling geltenden Beschränkungen an die vertrauenswürdige Anwendung vererbt.

 

Deine Anmerkungen bezüglich der Verknüpfung von lokalen Andwendungsrechten und Netzwerkrechten (sehe ich eigentlich nicht), sowie der Manipulation des Systems (warum sollten Benutzer ihr System manipulieren...?) kann ich nicht so recht nachvollziehen.

Edited by JanRei

Share this post


Link to post

Danke Redbull für die Erläuterungen.

Im Prinzip hast du recht, man muss dich daran gewöhnen, dass jetzt "zentrale Anlaufstelle" die Anwendungsregeln sind. (Was sehr gut ist!) Und wenn ich da die vertrauenswürdige Gruppe anpasse kann man sehr schön einstellen, wo man gefragt werden will. Soweit also durchaus vernünftig.

 

Was jetzt noch stört ist, dass auch Anwendungen unter den Netzwerkanmeldungen auftauchen, weil das wiederspricht wieder der Idee einer Anlaufstelle mit allen Optionen für alle Anwendungen. Außerdem sind sie dort eher unübersichtlich nicht zu sortieren etc.

 

Was auch irgendwie bis jetzt noch fehlt (RC1) aber hoffentlich noch kommt, ist die Möglichkeit mehr/eigene Gruppen anlegen zu können. So könnte man eine Gruppe "absoluter Zugriff" oder so erstellen, wo man die Anwendungen hinschiebt, die alles dürfen sollen. Dann könnte man weitere Gruppen abstufen (alles erlauben außer Netzwerk etc.). Das wäre m.E. eine sinnvolle Ergänzung.

 

Was noch stört sind die mangelnde Sortierbarkeit (unübersichtlich) und die fehlende Möglichkeit Ordner umzubenennen. So ist es grundsätzlich sinnvoll, den Hersteller als Ordner zu verwenden, jedoch haben einige Hersteller so kryptische Namen (bzw. es tauchen bei vielen kleinen Freewareprogrammen die Namen der Autoren da auf) dass man nicht gleich weiss, was sich im jeweiligen Ordner für ein Programm befindet.

Share this post


Link to post
Was jetzt noch stört ist, dass auch Anwendungen unter den Netzwerkanmeldungen auftauchen, weil das wiederspricht wieder der Idee einer Anlaufstelle mit allen Optionen für alle Anwendungen. Außerdem sind sie dort eher unübersichtlich nicht zu sortieren etc.

Was genau meinst du damit? Ich kann dir da nicht ganz folgen. Beispiel wäre gut.

 

Was auch irgendwie bis jetzt noch fehlt (RC1) aber hoffentlich noch kommt, ist die Möglichkeit mehr/eigene Gruppen anlegen zu können. So könnte man eine Gruppe "absoluter Zugriff" oder so erstellen, wo man die Anwendungen hinschiebt, die alles dürfen sollen. Dann könnte man weitere Gruppen abstufen (alles erlauben außer Netzwerk etc.). Das wäre m.E. eine sinnvolle Ergänzung.

Eigene Gruppen definieren zu können, fände ich auch sinnvoll. Der Vorschlag ist auch nicht neu, aber ich weiß nicht, ob man ihn umsetzen wird. Vielleicht auch erst im MP1.

 

 

Share this post


Link to post
Was genau meinst du damit? Ich kann dir da nicht ganz folgen. Beispiel wäre gut.

 

Huch da hab ich Netzwerkanmeldungen geschrieben :dash1: - war natürlich Quatsch. Meine eigentlich nur das altbekannte mit den Netzwerkpaketen:

 

 

 

Es soll hier ja um Netzwerkpakete gehen und die Anwendungsberechtigungen bzgl. Netzzugriff kann ich ja unter Anwendungsregeln auch einstellen. Hier also relativ unübersichtlich und überflüssig (?), außerdem werden sie hier nicht mit geordnet wenn ich die Liste sortiere - was die Unübersichtlichkeit noch erhöht...

 

EDIT: Im Screenshot (3.Zeile von unten) sieht man aber sehr gut einen weiteren Fehler den KIS relativ häufig macht : Da steht Firefox, obwohl es ein völlig anderes Programm ist (XNeat Windows Manager)

Edited by SebastianLE

Share this post


Link to post
Es soll hier ja um Netzwerkpakete gehen und die Anwendungsberechtigungen bzgl. Netzzugriff kann ich ja unter Anwendungsregeln auch einstellen. Hier also relativ unübersichtlich und überflüssig ...

Das hatte ich schon bei Version 307 angemeldet, aber ob's einer gehört hat, weiß ich nicht. ;)

http://forum.kaspersky.com/index.php?s=&am...st&p=590058

Vielleicht haben sich die Entwickler irgendetwas dabei gedacht, das wir beide nicht sehen. :pardon:

Vielleicht fällt aber sonst noch jemandem ein vernünftiges Pro-Argument ein.

Share this post


Link to post

Naja, ich kann das insofern nachvollziehen, dass an dieser Stelle alle Regeln für Netzwerkpakete aufgelistet werden. Und die Anwendungsregeln sind ja eigentlich ebenfalls Netzwerkpaketregeln - lediglich mit dem Unterschied, dass sie anwendungsspezifisch sind.

 

Außerdem fand ich es recht praktisch, dass in Version 7.0 möglich war, sich per Auflistung und auch Sortierung aller Anwendungsregeln einen schnellen Überblick zu verschaffen. (Beispielsweise habe ich es ein paar Mal verwendet, als ich Nachfragen der Firewall aus Versehen falsch beantwortet habe.)

 

Allerdings finde ich die derzeitige Lösung auch etwas unübersichtlich, vor allem da sich die Regeln nicht richtig sortieren lassen. Vielleicht könnte man das Anzeigen der Anwendungsregeln optional als Möglichkeit anbieten.

Share this post


Link to post
Vielleicht könnte man das Anzeigen der Anwendungsregeln optional als Möglichkeit anbieten.

:ay:

Könntest du das einbringen? Hast ja doch den besseren Draht nach oben. :rolleyes:

Share this post


Link to post

Ja, sicher das kein Problem. :) Auch wenn es kein echter Bug ist, habe ich die Vorschläge im Bugthread vorgebracht.

Share this post


Link to post
Deine Anmerkungen bezüglich der Verknüpfung von lokalen Andwendungsrechten und Netzwerkrechten (sehe ich eigentlich nicht), sowie der Manipulation des Systems (warum sollten Benutzer ihr System manipulieren...?) kann ich nicht so recht nachvollziehen.

Es ist doch derzeit so, dass nur die Anwendungen in der Gruppe Trusted automatisch auf das Netzwerk zugreifen können.

Das meine ich mit Verknüpfung von lokalen Anwendungsrechten und Netzwerkrechten.

Landet eine Anwendung bei der Einstufung ganz unten, bei Untrusted, dann wird der Zugriff auf jedes Netzwerk automatisch geblockt.

Der Benutzer hat jetzt zwei Möglichkeiten, entweder er setzt einen Haken bei der Firewall, oder die schlechtere Variante, er verschiebt die Anwendung einfach in die Trusted Gruppe.

Das meine ich mit manipulieren.

 

Meiner Ansicht nach wäre die eleganteste Lösung einfach für alle Gruppen ein Rufzeichen bei der Firewall zu setzen und es wie gewohnt dem Benutzer zu überlassen, welche Anwendung er dann ins Netzwerk lässt oder eben nicht.

 

MfG

 

Share this post


Link to post
Der Benutzer hat jetzt zwei Möglichkeiten, entweder er setzt einen Haken bei der Firewall, oder die schlechtere Variante, er verschiebt die Anwendung einfach in die Trusted Gruppe.

Das meine ich mit manipulieren.

Warum sollte er das tun? Die Möglichkeit, die Anwendung komplett in die Trusted Gruppe zu verschieben, wird ihm ja gar nicht angeboten. Im Popup kann er nur das erlauben, was gerade ansteht. Wer Gruppenzugehörigkeiten ändern will, muss schon tiefer in die Settings einsteigen und da sollte man voraussetzen dürfen, dass er dann auch weiß, was er tut. Wenn nicht, lässt sich dafür zumindest nicht KIS verantwortlich machen. Auf "erster Ebene" lässt sich durch Unwissenheit jedenfalls weniger Unheil anrichten, als es bei V7 möglich war.

 

Meiner Ansicht nach wäre die eleganteste Lösung einfach für alle Gruppen ein Rufzeichen bei der Firewall zu setzen und es wie gewohnt dem Benutzer zu überlassen, welche Anwendung er dann ins Netzwerk lässt oder eben nicht.

Womit wir aber de facto wieder beim alten Trainingsmodus wären, mit dem sehr viele User überfordert waren. Und genau das zu vermeiden, war ja die Zielvorgabe für V8. Jetzt wird der User zumindest bei den vertrauenswürdigen Anwendungen in Ruhe gelassen (und das sind ja die meisten). Und der Proaktive Schutz sollte dafür sorgen, dass eine vertrauenswürdige Anwendung auch vertrauenswürdig bleibt.

 

Natürlich besitzen auch "gute" Programme oft die Eigenschaft, Kontakte ins Netz aufzunehmen. Aber das sind dann normale, oft auch sinnvolle Programmeigenschaften, die jedenfalls nicht zu einer Kompromittierung des Systems führen können. KIS ist nicht dafür zuständig, den User vor solcherlei Kontaktaufnahmen zu schützen, auch wenn sich dadurch vielleicht mancher in seiner Privatsphäre gestört fühlen mag. Die Empfindlichkeiten sind hier sehr unterschiedlich.

 

Wer trotzdem generell gefragt werden will und den Trainingsmodus für alle Anwendungen möchte, kann diesen mit tatsächlich nur einem einzigen Klick herstellen, indem er den Netzwerk-Haken für die Trusted-Gruppe per Rechtsklick auf Fragen stellt. Diese Änderung wird sofort auf alle Anwendungen in dieser Gruppe vererbt.

Wer möchte, kann auch die Blockierung bei der nicht vertrauenswürdigen Gruppe in ein "Fragen" umwandeln.

 

post-25843-1206968461_thumb.jpg

 

 

Share this post


Link to post

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.