Beiträge von Funkenzupfer

Hallo StS.metamensch

Ja, da hast Du recht! Danke für die Mühe mit dem Experiment! Habe grade mit großem Staunen auf der Win2000 CD die IIS-Dateien gesichtet... Die sind da wirklich drauf, ist nicht die advanced server ed, sondern ganz normal.... ich fass es nicht. Da fand ich nichts drüber auf den Winzichweich-Seiten, man wird auf der Suche nach Infos zu IIS sofort auf die Serverversionen der Betriebssysteme verwiesen (wie auch im Beitrag von Helloween zu lesen ist: "Serverplattformen")

Dem XP home wird das aber das alles nichts helfen: Dieses BS leidet irgendwie dauerhaft unter Kümmerwuchs: http://support.microsoft.com/default.aspx?scid=kb;en-us;304197
Da bleibt mir wohl doch nur VPN oder ein Drittanbieter-FTP

Danke und Grüße
Funkenzupfer.

Nachtrag:

Der erwähnte "Schnappschuss" von den ganzen Verboten ließ sich irgendwie nicht hochladen, deshalb hier die Liste "zu Fuß". Ich hoffe mal, die Tabelle wird vom Forumsserver nicht allzusehr zerwurschtelt...

Zitat

Programm Dateiname Einstellung Kommentar
Anwendung für Dienste und Controller services.exe blockiert
Application Layer Gateway Service alg.exe blockiert
certsrv.exe blockiert
dfssvc.exe blockiert
dns.exe blockiert
inetinfo.exe blockiert
ismserv.exe blockiert
llssrv.exe blockiert
mqsvc.exe blockiert
mstask.exe blockiert
ntfrs.exe blockiert
snmp.exe blockiert
termsrv.exe blockiert
Windows Media nscm.exe blockiert
Windows Media nspmon.exe blockiert
Windows Media nsum.exe blockiert
wins.exe blockiert
Client Server Runtime Process csrss.exe blockiert
Generic Host Process für Win32 Services svchost.exe blockiert
LSA Shell (Export Version) lsass.exe blockiert
MS DTC console program msdtc.exe blockiert
NDIS User mode I/O Driver ndisuio.sys blockiert
NT Kernel und System ntoskrnl.exe blockiert
TCP/IP Services Application tcpsvcs.exe blockiert
TCP/IP-Befehl ping ping.exe erlaubt blockieren, wenn man "ping" in der Dos-Box nicht verwenden will.
TCP/IP-Befehl tracert.exe erlaubt blockieren, wenn man "tracert" in der Dos-Box nicht verwenden will.

Alle Anwendungsprogramme, denen man nicht ausdrücklich Netzwerkspaziergänge erlauben möchte [Programmdateiname].exe blockiert

Alles anzeigen

Interessant übrigens, daß ein Dienst scheinbar erst dann konfiguriert werden kann, nachdem er das erste mal einen Zugriff versucht hat... Daraus folgt, daß man noch geraume Zeit die Firewall daraufhin kontrollieren muß, ob wieder ein Dienst eine Regel benötigt. Wäre schön, wenn man diese Dienste /Programme auch hier auf einen Rutsch suchen lassen könnte, wie Norton das macht. Habe ich diese Funktion einfach nur übersehen, oder fehlt die wirklich?

Grüße
Funkenzupfer.

Hab grade mal nachgeschaut:

Windows meint damit

Zitat

Der Indexdienst beschleunigt die Dateisuche mithilfe eines Dateiindexes auf dem Datenträger. Diese Dateien stammen von einem früheren Indizierungsvorgang und können gelöscht werden.

Das erscheint als Erläuterungstext in dem Menüfenster, wenn man die Zeile mit den "Katalogdateien..." markiert.

dieses "Diese Dateien stammen von einem früheren Indizierungsvorgang und können gelöscht werden.", steht das immer da oder wechselt diese Nachricht je nach Systemzustand? (Ich habe den Indexdienst bei mir deaktiveriet, deshalb gibts da hier keine Dateien...

Grüße
Funkenzupfer.

Falls nicht...

hier->> http://pascal.sources.ru/hardware/usb4pas.htm gibts auch noch Deine gesuchte Unit. Es ist eine russische Seite, aber wenn Du runterscrollst gibt's die englsiche Übersetzung. Das hab ich natürlich erst gemerkt nachdem ich mich durch den kyrillischen Text gequält hatte *lach*
Hinter der Diskette rechts oben versteckt sich der Downloadlink.

Achsoachso, ich sah grade: das war Dein erstes Posting hier im Forum. Dann also erstmal herzlich willkommen, nachträglich!

Grüße
Funkenzupfer.

P.S.: Ich fürchte aber, die Unit wird Dir nicht allzuviel bringen; Am USB-Drucken unter Pascal haben sich andere schon die Zähne ausgebissen. Dieser französischen Seite zufolge mußt Du den ganzen USB-Kram einschließlich dem vom Drucker verlangten Kommunikationsprotokoll selber verwalten, und der Aufwand dafür ist vermutlich zu groß. Bleibt Dir also nur die Lösung über net use...

Eben drum.

StS.metamensch schrieb

Zitat

Installier Dir IIS, die Sites (WWW/FTP) lassen sich Netzwerkadapterbezogen konfigurieren (bzw. IP-Adressenbezogen).

Und jenau dit isset, waddet nich jibbt für xp und 2000.

Grüße
Funkenzupfer.

Hallo Metamensch,

kann es sein, daß es dieses IIS nur für NT4.0 und die Server-Editionen von Windows2000 /2003 gibt?

Grüße
Funkenzupfer.

Normalerweise ist es klug, nicht benötigte Windows-Dienste abzuschalten. Dies dient sowohl der Sicherheit im Netzwerk, als auch der effizienteren Prozessornutzung: Weniger Aufgaben = schnelleres Arbeiten.
Nun gibt es aber zunehmend Rechner (vor allem mobile), die über zwei und mehr Netzwerkadapter verfügen, z.B. 1x 100MBit und 1xDrahtloses Netzwerk. Es bietet sich an, diese zwei Adapter für unterschiedliche Aufgaben zu nutzen. Der Drahtlosadapter für unterwegs soll mit möglichst geringem Risiko die Verbindung zu wechselnden Netzen und auch zum Interenet herstellen. Der drahtgebundene Anschluß bietet sich an für den schnellen Datentransfer von und zum Desktop PC. Diese Aufgabenteilung bringt es mit sich, daß nicht mehr alle Windowsdienste einfach abgeschaltet werden können, da sonst letzteres nicht mehr korrekt funktioniert. Hier kommt man mit Windows-Boardmitteln nicht mehr weiter, Windows ist - abgesehen von wenigen Ausnahmen (wie Datei- und Druckerfreigabe) -von Hause aus leider nicht fähig, einen Dienst für nur einen Netzwerkanschluß bereitzustellen. Hier wird - sofern man nicht ganz auf Linux ausweichen möchte - zusätzliche Software bernötigt, und hier bekommt die Verwendung einer Firewall ihren Sinn.

Grade bin ich dabei, die Sygate Firewall zu konfigurieren, und ich stelle meine Versuchsergebnisse hier zur Diskussion, einerseits um euch die dabei gewonnenen Erfahrungen verfügbar zu machen (hab ich nicht kürzlich hier irgendwo im Forum gelesen "Die Sygate würde ich ja gern verwenden, aber damit komm' ich nicht mehr ins Internet?") , andereseits natürlich auch im Hinblick auf eure Verbesserungsvorschläge und Korrekturen.

Bei der Ausgangseinstellung bin ich erstmal der Logik und natürlich auch der Empfehlung von der Sygate-Seite gefolgt: Erstmal alles verbieten, und dann nur das zulassen, was wirklich benötigt wird. OK, also erstmal *alles* verbieten. Dann gucken, was passiert. Und entscheiden, was wieder aufgemacht wird und für wen und für welche Adressen/Ports. Angehängt ein Schnappschuß der anfänglichen Verbotsliste.

Aber wie bekomme ich heraus, was das ist, was wirklich gebraucht wird? Ein nicht ganz einfaches Unterfangen, zumal die Traffic-Protokolle der Firewall nicht immer anzeigen, was blockiert wurde und für welche Anwendung. Warum diese Einträge fehlen, ist mir erstmal nicht klar. Hilfreich in diesem Zusammenhang ist ein Programm, mit dem man den gesamten Netzwerkverkehr mitprotokollieren kann, ich verwende dazu Ethereal (XP-Tipps-Tricks-Downloadbereich!). Um nun die zugehörige Applikation zu einer Übertragung ausfindig zu machen erstellt man eine Sygate-Regel, die die fragliche Übertragung explizit erlaubt, und voila! jetzt findet sich der gesuchte Eintrag auch in den Sygate-Protokollen, und man kann daraus seine Regeln zurechtzimmern.

Nachfolgend eine Übersicht, welche Programme/Dienste für bestimmte Aufgaben freigeschaltet werden müssen (Ergänzungen/Korrekturen stets willkommen!)

1.) Internet surfen (Browser)
- Programm: firefox.exe (Mozzilla Firefox) Vertraute IP's: alle (keine angeben) bzw. bei Verwendung eines http-Proxys nur dessen IP-Adresse nötig Als Client freigeben: Ja, TCP 80 Als Server freigeben nein ICMP: nein (?) Optionen Netzwerk: Durchsuchen für verwendete Netzwerkschnittstelle aktivieren Optionen Sicherheit: alle Funktionen dürfen aktiviert sein.
- Programm: ndisuio.sys (NDIS user mode i/o driver) Nicht konfigurierbar Zugriff erlauben.

2.) Faxdrucker (Netzwerk-Klient)
- Programm: actfax,exe (Active Fax) Vertraute IP's: Adresse des PC's mit dem Fax-Serverdienst Als Client freigeben: Ja, TCP und UDP Ports je nach Serverkonfiguration Als Server freigeben nein ICMP: ja (?) Optionen Netzwerk: Durchsuchen (evtl. auch Freigabe?) für verwendete Netzwerkschnittstelle aktivieren Optionen Sicherheit: Anti-IP Manipulation und OS-Masquerading ausschalten!!

2.) FTP-Klient (passive Verb.)
- Programm: smartftp.exe SmartFTP Vertraute IP's: alle (keine angeben) bzw. bei Verwendung eines FTP-Proxys nur dessen IP-Adresse nötig Als Client freigeben: Ja, TCP alle (keine angeben) Als Server freigeben nein ICMP: ja (?) Optionen Netzwerk: Durchsuchen für verwendete Netzwerkschnittstelle aktivieren (?)Optionen Sicherheit: alle Funktionen dürfen aktiviert sein.
- Programm: alg.exe (Application Layer Gateway Service) Vertraute IP's: alle (keine angeben) bzw. bei Verwendung eines FTP-Proxys nur dessen IP-Adresse nötig Als Client freigeben: Ja, TCP 21 Als Server freigeben nein ICMP: ja (?) Optionen Netzwerk: Durchsuchen für verwendete Netzwerkschnittstelle aktivieren (?)Optionen Sicherheit: alle Funktionen dürfen aktiviert sein.
- Programm: ndisuio.sys (NDIS user mode i/o driver) Nicht konfigurierbar Zugriff erlauben

3.) auf Netzlaufwerke /Freigaben anderer PC's zugreifen
Optionen Netzwerk: Durchsuchen für verwendete Netzwerkschnittstelle aktivieren. Weiter nichts erforderlich. Optionen Sicherheit: alle Funktionen dürfen aktiviert sein.

4.) Drucken über Netzwerk auf an anderem Rechner angeschlossenem Drucker
Optionen Netzwerk: Durchsuchen für verwendete Netzwerkschnittstelle aktivieren. Weiter nichts erforderlich. Optionen Sicherheit: alle Funktionen dürfen aktiviert sein.

5.) Virenscanner Updates AV-Downloadkonfiguration auf passives FTP einstellen
- Programm: inodist.exe (eTrust Antivirus)Vertraute IP's: alle (keine angeben) Als Client freigeben: Ja, TCP alle (keine angeben) Als Server freigeben nein ICMP: ja (?) Optionen Netzwerk: Durchsuchen für verwendete Netzwerkschnittstelle aktivieren (?)Optionen Sicherheit: alle Funktionen dürfen aktiviert sein.
- Programm: alg.exe (Application Layer Gateway Service) Vertraute IP's: alle (keine angeben) bzw. bei Verwendung eines FTP-Proxys nur dessen IP-Adresse nötig Als Client freigeben: Ja, TCP 21 Als Server freigeben nein ICMP: ja (?) Optionen Netzwerk: Durchsuchen für verwendete Netzwerkschnittstelle aktivieren (?)Optionen Sicherheit: alle Funktionen dürfen aktiviert sein.

Wie man unschwer erkennen kann, müssen meistens außer der gewünschten Anwendung noch weitere Dienste/Programme eine Zulassung bekommen, damit das eigentliche Programm funktioniert.

Wer hierzu noch weitere Infos/Wissen hat, könnte bitte die Sammlung noch erweitern, ich suche z.B. noch die korrekten Sygate-Einstellungen für
6.) Windows-Update (da ist wohl svchost beteiligt...)
7.) Zugriff von anderen PC's auf freigegebene Ordner
8.) Drucken von anderen PC's aus auf diesem Rechner
+ was ihr sonst noch so alles habt.

...aber kommt mir bitte jetzt nicht mit "einfach alles erlauben" *grins*

Übrigens: es empfiehlt sich natürlich, hinterher wieder alle Windows-Dienste, die nicht generell oder aber für eine der Aufgaben über einen der Netzwerkadapter benötigt werden, völlig zu deaktivieren nach dem Motto: Was nicht gebraucht wird, muß auch nicht laufen.

Grüße & Danke für jede Mitwirkung
Funkenzupfer

Hi Dartgott
...Nur so eine Idee: Unter XP kannst Du doch die Die Druckerausgabe mit
NET USE LPT1 \<computername><USBDruckerName>
von LPT auf usb umleiten, dann kann Dein Programm weiterhin ganz normal zum LPT-Anschluß drucken, Windows macht für Dich den Rest.

Grüße nach Koblenz
Funkenzupfer

PS: Schreib doch mal, ob das so funktioniert hat...

Hi Trucky,

Zitat

Was mir aber schon aufgefallen ist: nachdem ich mir einen Router zugelegt habe sind Angriffsmeldungen der PFW sehr selten geworden - anscheinend bringt ein Router wirklich schon mehr an Internetsicherheit.

Hierzu nein klares "Jein".
Die NAT auf dem Router allein bringt erstmal keinen wirklichen Sicherheitsgewinn, sofern nicht zusätzlich wenigstens ein Paketfilter, besser eine Stateful Inspection Firewall *auf dem Router* läuft. Sonst wird doch alles 1:1 durchgereicht...
Daß die Angriffe scheinbar weniger werden liegt in erster Linie daran, daß von einer PFW erstmal kategorisch alles was aus dem Internet kommt als "Angriff" registriert wired, wenn es auch nur die banalsten Netzwerkfunktionen sind... Diese handelt nun der Router ab statt Deines Rechners und damit erscheinen Sie nicht mehr im Protokoll der FW. Ob das nun wirklich ein Zuwachs an Sicherheit ist? Wohl eher ein Gefühl dessen

Grüße
Funkenzupfer.

Hallo Edith,

nun, ich denke das ist ganz einfach:

Ob die Daten wirklich "alt" sind und Du als Nutzer die dann komprimiert haben möchtest, kann Windows nicht für Dich entscheiden. Meistens ist es weniger sinnvoll Windows das automatisch (anhand des letzten Zugriffsdatums/Häufigkeit) machen zu lassen; Wenn Du Verzeichnise hast, die Du komprimieren möchtest dann weißt Du das selber, und richtest das in deren erweiterten Eigenschaften auch so ein. Kompression ist auf langsamen Rechnern absolut nicht empfehlenswert, auch nicht für wichtige Daten.

Und ob Du den Indexkatalog löschen willst, liegt auch ganz bei Dir. Er dient nur dem schnelleren Auffinden von Dateien auf Deinem Rechner, alles ist darin verzeichnet und wenn Du eine Suche startest, müssen nicht erst alle Festplatten durchgekramt werden. Schont also die Hardware, und spart Zeit. Wenn Du das löschst, hast Du zwar wieder mehr Platz, aber Du fängst beim Index wieder bei Null an. Wenn Du den Indexdienst nicht brauchst, kannst Du ihn auch ganz abschalten, dann entsteht diese Datenflut gar nicht erst.

Grüße
Funkenzupfer

Hallo Mr. Kaiser,

Zitat

Sorry, was besseres fällt mir gerade nicht ein...wenig, ich weiß...aber ich gebe niemals auf...

Ich danke Dir trotzdem für den wohlgemeinten Versuch

Zitat

Also ich finde nichts gescheites im Netz.

...fand ich auch nicht, deshalb hab ich ja so ausführlich hier gefragt

Es ist übrigens die deutsche Version, nur das ausführlichere Online-Handbuch dazu ist halt in Englisch...

Zitat

da scheint man ja einen Lehrgang zu benötigen.

Genau den Eindruck hatte ich auch nachdem alle Versuche dem Teil mit Logik beizukommen gescheitert waren Naja, war wohl eher ein Programmfehler.
Jetzt, wo hoffentlich alles so arbeitet wie es soll, finde ich es ganz überschaubar.

Hier noch zwei Links zum Thema:
http://smb.sygate.com/support/docume…lp/SPFPro55.htm
http://f3.webmart.de/f.cfm?id=2104181&d=90&sr=1

Grüße
Funkenzupfer.

So, da ich grade mein Kreuzchen gemacht habe, werde ich jetzt auch der Kommentarpflicht nachkommen:

Sygate FW Pro.
Grund: Ich mache grade den 30-Tage Test damit.

Warum diese? Eigentlich war ich bisher auch ganz ohne FW glücklich, da ich alle nicht notwendigen Dienste in Windows deaktiviert habe. Grundsätzlich stimme ich darin mit Hurican überein: Da kann eine FW auch nichts weiter für mich tun. Trotzdem ist es ganz schön zu wissen, was so alles noch 'raus' geht, ein Blick in die Protokolle einer FW kann nichts schaden.
Nachdem ich vor längerer Zeit mal Norton auf einem Rechner hatte, eine FW die sich m.E. nicht wirklich konfigurieren läßt da sie nicht nach Netzwerkadaptern unterscheidet (Was zwischen zwei lokal miteinander verbundenen PC's gut und nutzvoll ist, mag ich z.B. beim Adapter, über den ich mit dem Internet verbunden bin noch lange nicht genauso haben...) Außerdem hat mir Norton schon mehrfach den Winsock2-Schlüssel zerschossen, das muß ich nicht wirklich dauernd haben.

Ich wede also einfach mal 30 Tage Sygate testen, wenn's mich überzeugt kommt hinterher vielleicht die freie Version drauf, oder ich schau mir noch eine andere an...

Grüße
Funkenzupfer.

OK, läuft jetzt. Netzlaufwerke und Faxdienst.

meine Regeln waren alle korrekt. Die erweiterten Regeln werden gar nicht benötigt, ich konnte sie nachher wieder entfernen. Die lokalen Ports brauchten auch nicht geöffnet zu werden.

Der Verursacher war die Option "Anti-IP Manipulation" unter den Sicherheitsoptionen. Diese Funktion war zwar nicht angehakt, aber sie war wohl trotzdem aktiv. Erst einmaliges aktivieren/deaktivieren des Kontrollkästchens hat diese Einstellung wohl richtig ausgeschaltet, welche sämtliche Netzwerkfunktionalität kaputt zu machen scheint. Einschalten von OS-Masquerading führt übrigens zu den gleichen Fehlern.

Grüße
Funkenzupfer.

Nachtrag:

Nach einigen weiteren Versuchen damit wird jetzt im Trafic-Protokoll von Sygate ein Verbindungsversuch eingehend von Quell-Host 192.168.179.221 ICMP 3 an Ziel-Host 192.168.179.105 *ohne* Applikationsname als Blockiert protokolliert. Das ist offenbar die Antwort vom anderen Rechner, aber wie gebe ich das jetzt ohne Applikationsname frei? Die Blockierende Regel wird von Sygate einfach mit "block all" angegeben, Strenge 15" obwohl Sygate nur auf "Normal" eingestellt ist

Grüße
Funkenzupfer

Hallo,

grade habe ich mir mal den 30-Tage Test der Sygate Firewall Pro heruntergeladen und installiert.
Gut gefällt mir daran:
- die detaillierten Informationen über Prozesse, die aufs Netz zugreifen wollen
- Die Fähigkeit adapterspezifisch zu konfigurieren

Die Firewall ist augenscheinlich sehr wirkungsvoll. Etwas zu wirkungsvoll, wenn ich ehrlich sein soll... Obwohl ich die Bedienungsanleitung sowie die englische FAQ und Onlinehilfe rauf und runter durchforstet habe, werde ich nicht klug daraus, wie ich überhaupt wieder Datenaustausch über das Netzwerk hinbekomme, außer mit der Einstellung "Allow All", womit die gesamte Firewall dann so ziemlich Sinnfrei wird. HILFEEEEE!

Soviel habe ich begriffen: für jeden Internetzugriff muß eine Regel erstellt werden, die ihn explizit erlaubt.
Das habe ich gemacht, z.B. für einen Faxklienten, der Port 16209 bis 16214 TCP und UDP zur Verbindung mit dem Faxserver geöffnet haben will. Meine Regeleinstellungen lauten also:
Aktion: "erlauben"
Regel auf Netzwerkschnittstelle anwenden: "Marvell Yukon PCI Fast Ethernet Controller (192.168.179.105)" (Da ist der PC mit dem Faxdienst angeschlossen)
Diese Regel anwenden auf IP-Adressen: "192.168.179.221"
Protokoll:"TCP"
Remote Ports: "16209-16214"
Lokal Ports: "1-65535" (da ich erstmal nicht weiß über welchen Port die Antwort vom Server zurückkommen wird)
Applikationen: Haken bei "Fax-Client"
Außerdem habe ich unter Applikationen dem Fax-Klienten als "vertraute IP für diese Applikation" "192.168.179.221" freigegeben, die Adresse wo der Faxdienst läuft.
Remote Server Ports TCP und UDP "16209-16214"
Lokale Ports auch hier: 1-65535 für TCP und UDP
ICMP Traffic erlauben: Ja.
Trotz aller dieser Freigaben bekomme ich Im Faxklienten beim Verbindungsversich nur die Meldung "Netzwerkfehler: Winsock Error 10038 -- Die Verbindung zum Server 192.168.179.221 konnte nicht hergestellt werden --Überprüfen Sie ob die Netzwerkadresse stimmt und der Server gestartet ist" und zwar genau solange bis ich Sygate auf "Allow All" umstelle.
Woran muß ich da nun schrauben? Auf dem PC mit dem FaxServer habe ich Ethereal mal den Verkehr bei der Klient-Anmeldung mitschneiden lassen, da passiert auch bei deaktivierter FW absolut nichts außerhalb des TCP-Verkehrs über die angegebenen Ports....
In den FW Protokollen erscheint kein Eintrag daß irgendwas geblockt wird, obwohl das Symbol in der Taskleiste beim Verbindungsversuch kurz rot aufblitzt. Es *wird* also doch irgendwas geblockt, aber wie bekomme ich heraus, *WAS* das ist? Müßte bei unbekannten Zugriffen nicht wenigstens eine Nachricht darüber erscheinen verbunden mit der Frage was damit künftig geschehen soll?

All help appreciated!
Thanks,

Funkenzupfer

P.S.: Das gleiche Problem habe ich bei Netzlaufwerken, auf die ich auf einem anderen Rechner zugreifen möchte: Kein Zugriff möglich, aber Sygate zeigt mir nichts darüber, daß es irgendetwas abgefangen hat. Nur mit "Allow All" geht es wieder wie gewünscht.

Hallo StS.metamensch,

Danke für Deine klare Info!

Zitat

Für die direkte Zuordnung von Freigaben auf Schnittstellenebene brauchtst Du schon einen Win-Server.

Nun, da nutze ich die verfügbare Rechenleistung doch lieber anders, als für die Netzwerkverwaltung... Gleich einen ganzen Server aufsetzen, das brauche ich wahrlich nicht. Dann entwickele ich halt wider mal einen Workaround. (Täusche ich mich, oder hab ich bei Linux genau dieses Leistungsmerkmal Netzwerkadaptergebundene Verzeichnisfreigaben ohne weitere Verrenkungen zur Verfügung?) Nun, wie dem auch sei: Ich sehe da jetzt zwei Möglichkeiten.

Vorneweg wie Du schon vorschlägst, die Datei- und Druckerfreigabe für Microsoft-Netzwerke für den einen Adapter komplett entfernen, ebenso die übrigen Protokolle bis auf das Internetprotokoll (TCP/IP).
Zudem in der Firewall das dem Adapter zugeordnete Netz für eingehende Verbindungen blockieren. Damit ist über diesen Weg erstmal nur noch Internetzugang möglich. Das erlaubt es, alle benötigten Laufwerke für den normalen Benutzer, nennen wir ihn mal Fritzchen, im Netzwerk für Lese- und Schreibzugriffe freizugeben (so ganz wohl ist mir nicht dabei... ist die so eine FW wirklich so dicht, daß man das machen kann?).
Soweit habe ich das ganze jedenfalls jetzt auch schon umgesetzt, es funktioniert wie erwartet.

Jetzt zu den zwei Wegen, die ich sehe:

A.) Einen kleinen schnuckeligen SSL/TLS-fähigen ftp-Server aufsetzen, der es erlaubt, einzelne Verzeichnisse für Lese- oder Schreibzugriff zugänglich zu machen, völlig unabhängig von den Netzwerkfreigaben in Windows. Auf dem jeweils anderen PC würde ich diese Ordner dann unter den Netzwerkressourcen hinzufügen, sodaß über WLAN auch ohne die Direktverbindung noch ein (bewußt) eingeschränkter Datenaustausch möglich ist, und auch andere WLAN-Teilnehmer könnten eigene Zugriffsrechte erhalten. Grundsätzlich muß in der Firewall dafür ein Port im entsprechenden Netz geöffnet werden. Ist das im Zusammenhang mit den weit aufgebohrten Windows-Dateifreigaben (die ja eigentlich nur für den anderen Übertragungsweg gebraucht werden) etwa ein Sicherheitsrisiko?

B.) Ein verschlüsseltes VPN installieren, das durch die FW und über das WLAN einen Tunnel zum anderen Rechner aufbaut. Dabei erhalten soweit ich das überblicke beide Rechner wieder eine zusätzliche IP-Adresse, die ich in der Firewall freigeben kann, und schon besteht gesicherter Zugriff mit den gleichen Rechten wie über den anderen direkten Verbindungsweg, (nur wegen Verschlüsselung und WLAN halt deutlich langsamer).

An dieser Stelle mal kurz Halt. Fällt jemandem noch eine Alternative dazu ein?

Ich habe nun die Variante B einmal ausprobiert, da sie mit Windows-Boardmitteln einzurichten ist. Sowohl Win2000 als auch WinXP bringen die VPN-Funktionalität mit, wobei der Zugriff bei XP home doch sehr stark unter der beschnittenen Netzwerkfunktionalität insgesamt leidet: Eine Anmeldung über Netzwerk mit Benutzername/Anmeldekennwort wird trotz entsprechender Einrichtung abgelehnt, der einzige Beutzer der sich anmelden kann ist "Gast", und das auch noch ohne jedes Paßwort. So geht das nicht. Können andere VPN's das besser, oder sind die auch auf die Windows-Benutzer-Anmeldung angewiesen?

Zu allem Überfluß ist die Konfiguration des windowseigenen VPN scheinbar ein Unterfangen mit einigen Risiken: Hernach war beim Win2000 Rechner der Registrierschlüssel HKLM/CurrentControlSet/Services/Winsock2 geschrottet. Um übehaupt wieder netzwerken zu dürfen, habe ich den aus dem letzten Systembackup extrahiert und in die Registrierung eingespielt. Unschön: Wer da nicht genau weiß wo er suchen muß, bekommt auch mit kompletter und mühseliger Neuinstallation des TCP/IP-Protokolls, ja nichtmal mit Neueinrichten aller Netzwerkkomponenten seine Konnektivität zurück: Der Winsock2-Schlüssel wird dabei *nicht* erneuert, und erst in Windows Server 2003 gibts ein passendes Werkzeug: netdiag /test:winsock sowie netsh winsock reset . Nachzulesen hier: http://support.microsoft.com/default.aspx?s…amp;SD=HSCH#top (Bei SP2 von XP wurde ebenfalls inzwischen nachgelegt.)
Aus eigener Erfahrung kann ich berichten, daß bei den anderen Betriebssystemen die umständliche Prozedur des Wiederherstellens a la Microsoft nur sehr selten von Erfolg gekrönt ist, man muß meist den ganzen Rechener neu aufsetzen falls man keine Kopie des Originaleintrages hat: Auch Drittanbieter pinseln da munter ihren Kram hinein, und was da dann weg ist kann Windows auch nicht wieder herstellen...

So, nu laß ich euch mal wieder ran. Welche der Varianten haltet ihr für die bessere, und warum? Oder gibt es noch eine viel sinnvollere, sicherere oder elegantere Lösung (außer auf Linux umzusteigen, natürlich -- das hätte an anderer Stelle zu viele Unbequemlichkeiten)

Grüße und Vielen Dank für die Hinweise!
Funkenzupfer

Danke, Top-se, genau das ist es was ich schon so gemacht hatte. Die zwei Verbindungen über die beiden Karten sind in den Netzwerkverbndungen eingetragen und werden angezeigt. Das Icon "Internetverbindung" fügt sich immer von selbst hinzu, sobald eine Verbindung zum Internet besteht.

Zumindest die daran anknüpfende Teilfrage konnte ich klären, und da außer Top-se niemand hier dazu etwas geschrieben hat, gehe ich mal davon aus, daß euch das genauso unbekannt war wie mir, und poste die wesentlichen Ergebnisse:

Windows verwendet bei mehreren aktiven Netzwerkkarten immer diejenige *für sämtlichen* ausgehenden Verkehr, welche unter den "Eigenschaften der LAN-Verbindung"-->TCP/IP-->Einstellungen, Registrierkarte "Allgemein"--> "Erweitert" die niedrigste Ziffer als "Schnittstellenmetrik" eingetragen hat. (Quelle:[url=http://www.netigator.de/netigator/live/fachartikelarchiv/ha_artikel/powerslave,id,10062183,obj,WM,np,archiv,ng,,thes,.html]Netigator[/url]) Bei mir war dort "Automatische Metrik" eingetragen, weswegen Windows in dieser Hinsicht macht was es will. Nicht ganz, denn im Microsoft Technet ist wiederum nachzulesen, daß bei Automatischer Schnittstellenmetrik diese entsprechend der vom System ermittelten Verbindungsgeschwindigkeit der Karte eingestellt wird. Je höher diese ist, desto niedriger die Ziffer. Und eine 100Mbit-Verbindung ist nun mal schneller als die 54Mbit WLAN-Verbindung, woraus sich erklärt, warum Windows plötzlich versucht über die falsche Netzwerkverbindung ins Internet zu kommen, wenn beide im selben Subnetz liegen, für das bei der einen Karte ein Gateway eingetragen ist.

Soweit so gut. Wie aber kann ich für die jeweilige Verbindung nun bestimmte Freigaben zuordnen?

Grüße
Funkenzupfer.

Dafür hast Du ja wohl grade einen neuen Thread aufgemacht Guck halt mal da hinein...

Bestimmt meinst Du sowas hier:
http://www-w2k.gsi.de/webdocs/Dokume…tparameter.html

Auslesen kann man die soweit mir bekannt nicht, man findet diese Infos meistens in der jeweiligen Programmdokumentation (wenn mann Glück hat) oder ich empfehle eine Internetrecherche mit den Stichworten Startparameter {Programmname}...
oder auch Befehlszeilenoption sowie Befehlszeilenparameter, da diese Parameter sowie deren Syntax noch aus der MS-DOS-Aera stammen.

Grüße
Funkenzupfer

Hab mir das ganze grade mal unter XP mit TweakUI angesehen, da gibt es einige zusätzliche features, die bei Win2000 noch fehlen. Daher kam mein etwas Systemnäherer Ansatz mit Boardmitteln...

Mach es also, wie Hurican Dir ganz oben schon geraten hat, mit TweakUI, das ist einfacher und sicherer.

Die Einstellungen kannst Du vornehmen, wenn Du in der Baumspalte von TweakUI auf "My Computer"-->"Autoplay"-->"Handlers" gehst. Mit "Create" fügst Du neue Optionen hinzu, mit "Edit" kannst Du bestehende korrigieren.

TweakUI macht nun nichts anderes, als die gewünschten Einstellungen für Dich an der richtigen Stelle in die Registrierung einzufügen.

natürlich mußt Du dazu auch hier wissen, welche Übergabeparameter das jeweilige Programm kennt.

Grüße
Funkenzupfer.

EDIT: Interessannte Erkenntnis: "You can edit descriptions only for handlers created by TweakUI"
Das bedeutet im Klartext nichts anderes, als daß Du das Standardverhalten nur wie oben beschrieben direkt in der Registrierung beeinfussen kannst... Da es Dir aber um *zusätzliche* Einträge geht, ist das für Dich kein Hindernis.