Windows XP Bugs und Fixes

Loch in SP2-Firewall

Mit dem Service Pack 2 hat Microsoft eine neue Firewall in Windows XP eingeführt. Diese soll leichter zu bedienen sein und mehr Schutz bieten. Allerdings weist die Firewall einen erheblichen Fehler auf, der dazu führt, dass lokale Freigaben auch im Internet verfügbar sind. Betroffen sind Systeme, die über mehrere Schnittstellen (etwa LAN und DSL oder ISDN/Modem) verfügen.

Der Grund liegt darin, dass Windows in der Firewall nur eine Ausnahmeliste für freigegebene Dienste verwaltet und diese auf alle Schnittstellen anwendet. Normalerweise sollten die lokalen Dienste nur für das lokale Subnetz erreichbar sein, doch diese Einschränkung greift nicht, wenn die Internet-Verbindungsfreigabe abgeschaltet ist - diese ist offensichtlich für die Subnetz-Zuordnung zuständig. In diesem Fall sind also Datei- und Druckerfreigaben, aber auch Dienste wie VNC, die für das LAN freigeschaltet werden, auch über die zweite Schnittstelle erreichbar.

Der noch unter Windows 9x ständig geltende Ratschlag, die Bindung der Datei- und Druckerfreigabe an den Adapter des DFÜ-Netzwerks aufzuheben, hat unter SP2 keine Wirkung. Die Dienste stehen trotzdem im Internet zur Verfügung.

Microsoft ist über die gravierende Lücke unterrichtet und bestätigt die Problematik. Man arbeite an einem Patch, heißt es aus Redmond. Bis dahin haben Sie zwei Möglichkeiten, die Lücke zu schließen:

a) Tragen Sie die lokalen IP-Adressen in die benutzerdefinierte Liste unter "Ausnahmen/Bearbeiten/Bereich" ein.

b) Deaktivieren Sie die Datei- und Druckerfreigabe in der Ausnahmeliste und schalten Sie die entsprechenden Ports dediziert für das LAN-Interface frei. Fügen Sie beispielsweise für die Datei- und Druckerfreigabe die TCP -Ports 139 und 445 sowie die UDP -Ports 137 und 138 unter den erweiterten Netzwerkverbindungseinstellungen hinzu.