Wie verhindern, daß Microsoft Office kontakt zum Internet hat?

[Pixell]

Welche Dateien / Ordner (auf Win 10) müssen blockiert werden mit der Firewall, damit Microsoft Office keinen Kontakt zum Internet kriegt? Müssen auch die eingehenden Kontaktaufnahmen blockiert werden, also eingehende und ausgehende Verbindungsaufnahmen?

Ich finde z.B. für Word zwei mal WINWORD.EXE. Müssen die beide geblockt werden oder nur eine oder noch weitere?
C:\Windows\Installer\$PatchCache$\Managed\00006109110000000100000000F01FEC\16.0.4266\WINWORD.EXE
C:\Program Files\Microsoft Office\Office16\WINWORD.EXE

Wie lassen sich die selbst erstellten Regeln der Firewall exportieren?

 

[Morpheus2200]

erste Frage: warum?

Lösungsansatz:

mit wireshark loggen, wohin die verbindung geht, dann mit einer Firewall blocken oder mittels hosts auf loopback routen

 

[Pixell]

Vielen Dank.

Sagen wir mal, um bisweilen einem diffusen Sicherheitsempfinden nachzukommen.

mit wireshark loggen, wohin die verbindung geht, dann mit einer Firewall blocken oder mittels hosts auf loopback routen

Einfach besagte Dateien blockiern genügt nicht? Was sind "hosts" und "loopback"? Und wie "routet" man?

Vielen Dank nochmals.

 

[Morpheus2200]

haha cloudflare ist ja mal mega sch***** . Ich hängs dir als txt an :P

Nee.. weil der Upload auch antik und sch**** ist. hier ist nen pastie XD

du loggst mit wireshark, dass z.B. word mit www.somewhere.com kommunizie - Pastebin.com

 

[passat3233]

Office den Internetzugang zu blockieren ist aber keine gute Idee.
Anders als bei Office 2003/2007/2010 holen sich Office 2013 und 2016 die Sicherheitsupdates nicht über Microsoft Update (und kommen so i.d.R. mit dem Patchday), sondern haben eine eigene Updateroutine, die eigentlich täglich nach Sicherheitsupdates sucht und vollautomatisch auch installiert.

 

[Pixell]

haha cloudflare ist ja mal mega sch***** . Ich hängs dir als txt an :P

Nee.. weil der Upload auch antik und sch**** ist. hier ist nen pastie XD

Verzeihung, ich bin mir noch nicht ganz sicher, das völlig zu verstehen.

Also würde das wohl so aussehen:

# Copyright (c) 1993-2009 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host

# localhost name resolution is handled within DNS itself.
# 127.0.0.1 localhost
# ::1 localhost
127.0.0.1 C:\Program Files\Microsoft Office\Office16\WINWORD.EXE
127.0.0.1 C:\Program Files\Microsoft Office\Office16\OUTLOOK.EXE
127.0.0.1 C:\Program Files\Microsoft Office\Office16\EXCEL.EXE
usw.

Der Abstand zwischen 127.0.0.1 und der zu blockenden Datei ist egal? Könnte auch ein Leerzeichen sein?

Office den Internetzugang zu blockieren ist aber keine gute Idee.
Anders als bei Office 2003/2007/2010 holen sich Office 2013 und 2016 die Sicherheitsupdates nicht über Microsoft Update (und kommen so i.d.R. mit dem Patchday), sondern haben eine eigene Updateroutine, die eigentlich täglich nach Sicherheitsupdates sucht und vollautomatisch auch installiert.

Sind diese Updates wichtig? Wenn ich die ein- und ausgehenden Verbindungen, also keine Kommunikation mit dem Netz zulasse, könnten sich dann aus dem Fehlen dieser Updates vielleicht weniger mögliche Nachteile ergeben?

 

[magicteddy]

Moin,

sach mal was soll der Hüttenschnitz?

127.0.0.1 huetten.schnitz in der hosts bedeutet das der Rechner mit dem Namen huetten.schnitz Deinem System unter der IP 127.0.0.1 bekannt ist.
Du kannst keinem Programm so einfach den Internetzugang sperren weil es dafür überwiegend Systemaufrufe tätigt.

Du willst das Office nicht in Netz kommt? Zieh den Stecker oder Deinstalliere Office.
"diffuses Sicherheitsempfinden" Der Fehler liegt woanders Du installierst Software der Du nicht vertraust das kannst Du nicht mit ein paar Regeln auf dem System fixen.

-teddy

 

[DragonTear]

Wie wärs eigentlich mit ner normalen Firewall wie ZoneAlarm?
Das müsste theoretisch nachfragen sobald sich Office ins Netz einwählen will und das kannst du ablehnen...
Des weiteren könntest du auch in der Windows eigenen Firewall eine neue Regel erstellen und dort Office als Programm wählen und somit sperren. Allerdings kann es sein dass Office dies auch über andere EXE Dateien bewerkstelligt, sollte da wirklich überhaupt irgendwas außer der Verknüpfung zum Account gesendet werden.

Ich empfinde dieses Vorgehen aber auch als reichlich unnötig. MS will sicher nicht die Rezepte deiner OMA...

 

[Pixell]

Moin -teddy.

sach mal was soll der Hüttenschnitz?

127.0.0.1 huetten.schnitz in der hosts bedeutet das der Rechner mit dem Namen huetten.schnitz Deinem System unter der IP 127.0.0.1 bekannt ist.

Verzeihung, ich glaube, das verstehe ich überhaupt nicht.

Du kannst keinem Programm so einfach den Internetzugang sperren weil es dafür überwiegend Systemaufrufe tätigt.

Systemaufrufe? Was ist das, was bedeutet das? Wozu, wie verwendet man ansonsten eine Firewall?

Du willst das Office nicht in Netz kommt? Zieh den Stecker oder Deinstalliere Office.
"diffuses Sicherheitsempfinden" Der Fehler liegt woanders Du installierst Software der Du nicht vertraust das kannst Du nicht mit ein paar Regeln auf dem System fixen.

In Ordnung, werde dann einfach mal bei Gelegenheit drauf zurückkommen, dankesehr.

 

[Gubb3L]

Vielen Dank.

Sagen wir mal, um bisweilen einem diffusen Sicherheitsempfinden nachzukommen.


Einfach besagte Dateien blockiern genügt nicht? Was sind "hosts" und "loopback"? Und wie "routet" man?

Vielen Dank nochmals.

Du hast so ein hohes Sicherheitsbedürfnis und weißt nicht was hosts oder loopback bedeutet und bist auch nicht in der Lage das mit wenigen Sekunden suchen herauszufinden ?
Ich muss dir da leider direkt sagen das ich dir kein Wort glaube. Wenn du dir über sowas schon mal Gedanken gemacht hättest wärst du unweigerlich schon mal auf die Begriffe gestoßen. Meine Vermutung geht da eher in die Richtung, dass du die Software illegal nutzen willst und daher wie bei Adobe Produkten auch üblich die Aktivierungsabfragen blocken willst.

 

[awehring]

Hmmm.
Wenn du Office nicht traust, traust du eigentlich Microsoft nicht. Dann musst du auch von Windows weg.

Oder Gubb3ls Verdacht stimmt.

 

[Pixell]

Du hast so ein hohes Sicherheitsbedürfnis und weißt nicht was hosts oder loopback bedeutet und bist auch nicht in der Lage das mit wenigen Sekunden suchen herauszufinden ?
Ich muss dir da leider direkt sagen das ich dir kein Wort glaube. Wenn du dir über sowas schon mal Gedanken gemacht hättest wärst du unweigerlich schon mal auf die Begriffe gestoßen. Meine Vermutung geht da eher in die Richtung, dass du die Software illegal nutzen willst und daher wie bei Adobe Produkten auch üblich die Aktivierungsabfragen blocken willst.

Ist ja erstaunlich, hätte ich gar nicht gedacht.

Hmmm.
Wenn du Office nicht traust, traust du eigentlich Microsoft nicht. Dann musst du auch von Windows weg.

Ja, stimmt, eigentlich ja.

 

[DragonTear]

Meine Vermutung geht da eher in die Richtung, dass du die Software illegal nutzen willst und daher wie bei Adobe Produkten auch üblich die Aktivierungsabfragen blocken willst.

Sowas geht heute noch?
Dachte das wär ne Methode aus dem letzten Jahrzehnt...

@Pixell
Hattest du gesehen dass ich vorhin auch was geschrieben hatte?

 

[black-avenger]

Du hast so ein hohes Sicherheitsbedürfnis und weißt nicht was hosts oder loopback bedeutet und bist auch nicht in der Lage das mit wenigen Sekunden suchen herauszufinden ?
Ich muss dir da leider direkt sagen das ich dir kein Wort glaube. Wenn du dir über sowas schon mal Gedanken gemacht hättest wärst du unweigerlich schon mal auf die Begriffe gestoßen. Meine Vermutung geht da eher in die Richtung, dass du die Software illegal nutzen willst und daher wie bei Adobe Produkten auch üblich die Aktivierungsabfragen blocken willst.

War schon beim Lesen der Überschrift mein Gedanke. Bei legal bezogener Office Software gibts überhaupt keinen vernünftigen Grund das zu blockieren. Anders siehts natürlich aus, wenn man man das irgendwoher von ichsaugoffice4freeLOL.to hat, und jetzt entweder Aktivierung verhindern will, oder potentielles Nachladen oder nach Hause melden von Schadsoftware verhindern möchte.

Grüße
Thomas

 

[sl3vin]

Selbst das wäre kein Problem...

 

[passat3233]

Sind diese Updates wichtig? Wenn ich die ein- und ausgehenden Verbindungen, also keine Kommunikation mit dem Netz zulasse, könnten sich dann aus dem Fehlen dieser Updates vielleicht weniger mögliche Nachteile ergeben?

Ja, die sind wichtig.
Du könntest dir z.B. von irgendwoher ein infiziertes Office-Dokument einfangen (z.B. als Mailanhang, von Bekannten/Freunden etc.), das dann auf deinem System mehr oder minder größeren Schaden anrichtet.
So verbreiten sich die meinsten Ransomware-Typen per Office-Dokumenten in Email-Anhängen.
Ransomware verschlüsselt alle deine Dateien auf dem Rechner und nur gegen Zahlung eines nicht unerheblichen "Lösegeldes" bekommst du den Entschlüsselungscode (oder auch nicht. Da das Bezahlen über Bitcoins stattfindet, deren Spur sich nicht nachverfolgen lässt, lassen sich die Täter auch kaum aufspüren).
Oder durch ein manipuliertes Office-Dokument bekommt jemand auf deinen Rechner vorbei an der Firewall (Da sich das Office-Dokument auf deinem Rechner befindet und deine Benutzerrechte hat, kann der darin enthaltene Schädling auch die Firewall (und U.U. auch den Virenscanner, wenn er die Schädlingssignatur noch nicht kennt, etc.) abschalten) Vollzugriff.
Auf Sicherheitsupdates, egal ob Windows oder Office kann man nur in einem Fall verzichten: Wenn der entsprechende PC niemals, wirklich absolut niemals (nicht einmal für ein paar Minuten) Zugriff aufs Internet (Es gab mal einen Test mit einem ungepatchten Windows, ganze 45 Sekunden nach dem Verbinden mit dem Internet war der erste Schädling auf dem Rechner!) oder ein Netzwerk bekommt, d.h. niemals ein Netzwerkkabel eingesteckt wird und/oder niemals das WLAN aktiviert wird und idealerweise auch niemals ein externer Datenträger wie ein USB-Stick o.Ä. angesteckt wird.

 

[Pixell]

Also sollte man Office wohl eigentlich unter gar keinen Umständen den Internetzugriff verwehren (außer unter den genannten Gegebenheiten), was ja vermutlich in gleichem Maße die "normalen" Win-Updates auch betrifft. Ein Problem ist, daß nach gewissen Microsoft-Updates (ich weiß nicht, welchen) entweder Einstellungen verändert sind oder etwas nicht mehr (richtig) funktioniert (was bei Win wohl im allgemeinen zwar in Übermaßen normal ist, nur wäre es gut, wenn man das wenigstens etwas einschränken könnte). Auch das (nach dem Verstreichen gewisser zeitlicher Vorgaben von Win) - auf mich unglaublich sinnlos wirkende - zwangsweise 'Runterfahren zur Installation der Updates bei Win 10 läßt sich offenbar nicht anders verhindern als Updates zu vermeiden.

 

[passat3233]

Systemdateien, die Windows gerade in Benutzung hat, können nicht geändert oder ersetzt werden.
Deshalb muß zum Patchen dieser Dateien Windows zwingend heruntergefahren werden.
Beim Neustart werden die Dateien dann gepatcht, und zwar, bevor Windows richtig startet.

Und was das "Einstellungen verändert etc." angeht: Das gibts so nur bei Windows 10.
Bei älteren Windows-Versionen war das nie der Fall.
Das hängt bei Windows 10 aber wohl damit zusammen, das es lt. Microsoft das letzte Windows sein soll, das es je geben wird.
D.H., ein Windows 11, 12, 13 etc. wird es nicht geben, sondern das werden statt dessen größere Updates für Windows 10.
Ein Windows 11 ist dann offiziell ein Windows 10 mit Patchstand xy, ein Windows 12 ein Windows 10 mit Patchstand yz, etc.

 

[Pixell]

In Ordnung, verstehe, vielen Dank

 

[Gubb3L]

Sowas geht heute noch?
Dachte das wär ne Methode aus dem letzten Jahrzehnt...

@Pixell
Hattest du gesehen dass ich vorhin auch was geschrieben hatte?

Ist auch heute noch einer der Schritte zumindest bei Adobe Programmen. Dort wird eine Offlineaktivierung vorgenommen und dann einfach die Kommunikation nach außen geblockt via Hosts Datei. Ob das bei Office auch so möglich ist kann ich dir nicht sagen da ich bei den Preisen die man da als angehöriger der Uni zahlt sich mit so nem Quatsch erst recht nicht mehr beschäftigt.

 

[ctcn]

Office 2016 aktiviert sich, wie Windows 10 auch, über das KMS System. Die meisten illegalen Tools gehen dann den Weg einen falschen KMS-Dienst zu starten. Dann denken Office und Windows, es wäre schön alles in Ordnung. Dagegen kann Microsoft auch nicht wirklich etwas machen..

 

[magicteddy]

Wie wärs eigentlich mit ner normalen Firewall wie ZoneAlarm?

Sorry, da kannst Du dich auch gleich mit Schlangenöl einreiben
Vor Jahren wurde schon in der c't beschrieben wie Programme solche Bugware umgehen. Zumal das Geschäftskonzept von ZoneAlarm imho immer nur Angst machen war damit der User den kostenflichtigen Krempel von denen kauft.

Gerade fast vom Stuhl gefallen
https://www.zonealarm.com/de/software/firewall/

...Stoppt Internet-Attacken schon beim ersten Anzeichen und schnappt sogar den Übeltäter bei einem Fluchtversuch!...

-teddy

 

[DragonTear]

@magicteddy
Hier ging es jetzt allerdings weniger um Viren oder Ähnliches. Ob Office wirklich irgendwelche Tricks anwendet um in solch einem Fall den User umgehen zu können?
Office ist auch eine Software für Pro-User bzw. Unternehmen. Da wäre sowas eher unschön.

Grundsätzlich stimme ich aber zu.
Vor Jahren hatte mein vater mal drauf bestanden das zeug auf jedem System zu haben

 

[magicteddy]

@magicteddy
Hier ging es jetzt allerdings weniger um Viren oder Ähnliches...

Klar da hast Du recht, aber es ging mir eher darum aufzuzeigen das das Konzept von ZoneAlarm und Konsorten recht grenzwertig bis schwachsinnig ist. Wer verhindert denn das sich irgendeine Software noch vor ZoneAlarm in die Verarbeitungskette hängt? Ob das nun ein Virus ist oder ganz reguläre Software ist hier erst mal egal. Wenn ich persönlich ein System als kompromittiert betrachte dann glaube ich der Kiste nicht mal mehr die Uhrzeit und der Kiste soll ich dann noch Daten anvertrauen?? Deshalb lasse ich meine Firewall auf einer separaten Kiste laufen, dort bekommt sie zwar nicht mit welcher Prozess ein Datenpaket abgeschickt hat, aber was nützt mir diese Info wenn sie nicht zuverlässig ist? Dann kann ich es auch gleich lassen.

Und ich muss zugeben, auch ich hatte eine, wenn auch kurze, ZoneAlarm Phase und fühlte mich unheimlich sicher

-teddy

 

[DragonTear]

Deshalb lasse ich meine Firewall auf einer separaten Kiste laufen, dort bekommt sie zwar nicht mit welcher Prozess ein Datenpaket abgeschickt hat, aber was nützt mir diese Info wenn sie nicht zuverlässig ist? Dann kann ich es auch gleich lassen.

Was genau nützt dir die Firewall denn dann gegen Viren o.ä, also gegen "interne Probleme"? Meine ohne das Ursprungsprogramm zu wissen, hast du ja nur ne Zieladresse und eventuell den Inhalt. Du gehst ja jetzt nicht hin und prüfst manuell ob jede angesprochene Zieladresse sinnvoll ist, oder?

Die Idee von ZoneAlarm o.ä. wäre halt auffälliges Verhalten zu bemerken - also wenn plötzlich ein Programm funkt das dies garnicht tun sollte. Es ist doof dass dies nicht zuverlässig funktioniert.. Eigentlich ein Designfehler, denn technisch wäre das möglich, wenn das Betriebssystem es nicht erlauben würde dass die Netzwerkhardware unmittelbar angesprochen wird. Wahrscheinlich ist die Geschwindigkeit, der Grund.

Ob das nun ein Virus ist oder ganz reguläre Software ist hier erst mal egal. Wenn ich persönlich ein System als kompromittiert betrachte dann glaube ich der Kiste nicht mal mehr die Uhrzeit und der Kiste soll ich dann noch Daten anvertrauen??

Ja toll, aber woher willst du denn wissen ob das System kompromitiert ist, oder nicht?
Würde sagen besser spät ein problem feststellen, also hinterher, als nie...

 

[magicteddy]

Moin,

och, da geht schon so einiges. Snort bzw. Surricada können sowohl Angriffe als auch Datenausleitungen an Signaturen erkennen und sperren.
Was nützt mir eine interne Firewall die vom zu schützenden System abhängig ist? Einmal gepatzt war es das ....

-teddy

 

[magicteddy]

Was aktuelles zum Thema Schlangenöl: Antivirensoftware: Die Schlangenöl-Branche - Golem.de

-teddy

 

[passat3233]

Eine Firewall ist keine Software, sondern ein Sicherheitskonzept.
Die Aufgabe einer Firewall ist es, Schädlinge gar nicht erst zum angegriffenen System vordringen zu lassen.
Diese Aufgabe kann eine PFW gar nicht leisten, denn die läuft ja auf dem angegriffenen System selbst und kann daher erst aktiv werden, wenn der Schädling schon bis zum angegriffenen System vorgedrungen ist.
Und dann kann der Schädling u.U. auch die PFW aushebeln.

Stell es dir wie ein Haus (= PC) mit einer Mauer (= Firewall) drum herum vor.
Auf der Mauer sind Sensoren angebracht, die Alarm schlagen, wenn jemand die Mauer überwinden will.

Die Mauer soll Einbrecher davon abhalten, überhaupt bis zum Haus vorzudringen.
Sobald die Sensoren auf der Mauer Alarm schlagen, kann man Abwehrmaßnahmen ergreifen, die Täter daran hindern, zum Haus vorzudringen.

Nicht ohne Grund sind im Geschäftsumfeld nirgendwo PFWs installiert, sondern Hardwarefirewalls.
Die können übrigens auch Traffic nach Außen filtern.

 

[DragonTear]

@passat3233
Allerdings hat ein Einbrecher widerum auch nichts davon wenn er zwar im Haus ist, aber keine Möglichkeit hat, wieder raus zu gelangen
So rein theoretisch...

 

[awehring]

So rein praktisch könnte der Einbrecher aus Frust oder Langeweile im Haus randalieren und die Einrichtung zerlegen.

Anders gesagt: Besser keinen Schädling am System haben und ihn nur am nach Hause Telefonieren hindern. Zumal er versuchen könnte die Telefonsperre auszuhebeln, wenn sie am gleichen System ist.