Unter bestimmten Umst?nden rei?t die mit XP Service Pack 2 installierte Firewall gr??ere L?cher auf, als sie schlie?t. Der Grund liegt in der neu hinzugekommenen Ausnahmeliste, mit der sich definieren l?sst, welche Dienste und Ports von au?en erreichbar sind. Bei der Installation aktiviert Windows die XP-Firewall f?r alle erkannten Netzwerkschnittstellen automatisch. Damit gilt auch die Ausnahmeliste f?r alle Interfaces. Da Windows aber nur eine einzige Ausnahmeliste verwaltet, wirkt sich beispielsweise die aktivierte Datei- und Druckerfreigabe ebenfalls auf alle Interfaces aus.
Verf?gt der Windows-Rechner nun ?ber mehrere Schnittstellen, etwa LAN und DSL, so sind die Freigaben, die eigentlich nur im LAN erreichbar sein sollten, prinzipiell auch aus dem Internet erreichbar. ?ber diesen Umstand und wie man ihn korrigiert, berichtete c't bereits in Ausgabe 16/2004 im Schwerpunkt ?ber das Service Pack 2 (siehe den Artikel "Firewall-Kur" ab Seite 98).
Allerdings ?berrumpelt Service Pack 2 bei der Installation XP-Systeme mit Service Pack 1, in dem es die alte Firewall-Konfiguration schlichtweg ignoriert beziehungsweise nicht richtig ?bersetzt. Die Freigabe-Dienste sind unter XP SP1 prinzipiell an jedes Interface gebunden, vor dem Zugriff aus dem Internet sch?tzt aber in der Regel automatisch die Internet Connection Firewall (ICF). F?r LAN-Schnittstellen ist die ICF unter SP1 noch standardm??ig deaktiviert, sodass ein freigegebenes Laufwerk ohne weitere Konfiguration im lokalen Netzwerk erreichbar ist. Installiert man auf solch einem System Service Pack 2, so erkennt Windows die Laufwerksfreigaben und merkt sie sich in der Ausnahmeliste -- damit gelten sie leider auch f?r das DF?-Interface.
Allerdings sollte normalerweise die Datei- und Druckerfreigabe nur f?r das lokale Subnetz g?ltig sein -- egal ob nun LAN- oder DF?-Interface. Die Redaktion der Zeitschrift PC-Welt hat aber laut ihren Tests herausgefunden, dass diese Beschr?nkung unwirksam ist, wenn die Internetverbindungsfreigabe (Internet Connection Sharing) deaktiviert ist. So sei trotzdem der Zugriff auf den Rechner m?glich. Abhilfe schaffe ein manueller Eintrag der IP-Adressen in die "Benutzerdefinierte Liste" unter Ausnahmeliste/Bearbeiten/Bereich f?r alle vier vordefinierten Ports.
Alternativ k?nnen Anwender die Datei-und Druckfreigabe in der Ausnahmeliste auch deaktivieren und dediziert f?r das entsprechende LAN-Interface eigene Ports ?ffnen. Unter den erweiterten Netzwerkverbindungseinstellungen m?ssen dazu die TCP-Ports 139 und 445 sowie die UDP-Ports 137 und 138 hinzugef?gt werden.
Quelle
http://www.heise.de/security/news/meldung/51157