ACHTUNG User mit TPM-Chip: Eset Smart Security zerstört das System!

[ZDragon]

Hallo liebe Thinkpad-User,
da heute mein neues Thinkpad angekommen ist habe ich natürlich auch direkt mal vernünftige Antivirus- und Firewall-Software aufspielen wollen. Meine Wahl fiel auf Eset Smart Security, denn NOD32-Antivirus ist sehr renommiert und mit Firewall direkt in einem Paket klang recht bequem.

Nach dem ersten Reboot nach der Installation des Programems dann aber der Schock: mein Thinkpad wollte nicht mehr hochfahren! Und zwar hing es an der Stelle beim Systemstart, wo der Sicherheitschip (TPM) angesprochen wird. Es ging nix mehr. Na gut, flugs also eine System Recovery von Windows gemacht... ging dann zum Glück wieder.

Im Eset-Forum wird das Problem bereits vor ziemlich genau einem Jahr erwähnt (hinterher ist man immer schlauer); die Firma hat allerdings bisher keinerlei Bedarf verspürt, ihre Produkte anzupassen oder die Nutzer von TPM auch nur ansatzweise darauf hinzuweisen, dass die Installation ihres Programmes das System kaputt macht.

Daraufhin kam nämlich dann auch der Versuch, das Teil neu zu installieren. Es soll einen kleinen Workaround geben, den ich mal ausprobieren wollte. Aber jetzt ließ sich das Programm nicht mal mehr installieren, es brach automatisch bei der Installation irgendwelcher Treiber die Installation ab. Regedit auf, gesucht, gefunden: es gibt gleich zwei Pfade, die nicht gelöscht werden können und bei denen ich mir sicher bin, dass sie die korrekte Installation des System verhindern. Es sind Treiber für die Firewall und sie befinden sich in HKLM\System\ControlSet001\Enum\Root\ESET_EPFWNDISMP und HKLM\System\ControlSet001\Enum\Root\LEGACY_EKRN. Beide Einträge sowie deren Unterschlüssel lassen sich einfach nicht löschen, auch nicht im abgesicherten Modus. Meine Registrierung ist entsprechend durch diese Software jetzt auf erstmal zugemüllt. Suuuuper.

Da TPM bei einigen Thinkpads mit dabei ist, wollte ich hier andere User vor der Software ausdrücklich warnen! NOD32 dürfte wohl ohne Probleme laufen, die Firewall soll diese Probleme machen. Aber die Firewall, die tut euch mal besser nicht an...


PS: Wäre sehr über alternative Firewall-Empfehlungen erfreut.

 

[DenizOezmen]

Hallo allerseits,

ohne genauere Ahnung von den angesprochenen ESET-Produkten, Firewalls oder der TPM-Materie zu haben, nur soviel:

Original von ZDragon
Es sind Treiber für die Firewall und sie befinden sich in HKLM\System\ControlSet001\Enum\Root\ESET_EPFWNDISMP und HKLM\System\ControlSet001\Enum\Root\LEGACY_EKRN. Beide Einträge sowie deren Unterschlüssel lassen sich einfach nicht löschen, auch nicht im abgesicherten Modus.

Auf die Treiberschlüssel hat üblicherweise nur das Konto SYSTEM Schreibzugriff. Wenn diese manuell gelöscht werden sollen, muß man sich erst (bspw. in Regedit via "Bearbeiten | Berechtigungen ...") als Administrator entsprechende Berechtigungen verschaffen. Wurde das schon geprüft?

Generell sollte aber zunächst versucht werden, die Treiber "sauber" zu entfernen: Im Gerätemanager gibt es nach Aktivierung der Option "Ansicht | Ausgeblendete Geräte anzeigen ..." eine Kategorie "Nicht-PNP-Treiber". Die Treiber sollten dort aufgelistet sein. Falls nicht, so sind sie nicht geladen worden, und der Gerätemanager muß durch das Setzen der Umgebungsvariablen "DEVMGR_SHOW_NONPRESENT_DEVICES=1" dazu gebracht werden, auch diese anzuzeigen.

Aber Vorsicht: Munteres Löschen deaktivierter Geräte kann unschöne Effekte nach sich ziehen. ;-)

Tut mir leid, falls das alles schon ausprobiert wurde, das fiel mir nur spontan zu dieser Stelle ein. Ob das grundlegende Problem dadurch gelöst werden kann, kann ich nicht beurteilen.


Viel Erfolg weiterhin ...

 

[dunni]

Das:

vernünftige

und das:

Firewall-Software

schließen sich gegenseitig aus. Begründungen gibts zuhauf im Netz, muss ich hier nicht zitieren.
Installier SP2, dann hast du ne Firewall. Zwar mit ner beschissenen GUI, aber man hat eine.

 

[meshua]

Hallo ZDragon,

vielleicht hast Du noch nicht die einschlaegige Artikel und Berichte gefunden, aber

Original von ZDragon
[...]vernünftige Antivirus- und Firewall-Software aufspielen wollen[...]

...will man eigentlich nicht, weil es soetwas nicht gibt. Stattdessen will man sein System vernuenftig konfigurieren. Das ist ein Unterschied!

[...]und mit Firewall direkt in einem Paket klang recht bequem.

Wie du bemerkt hast, war es dass nicht: "Sicherheit" und "Bequem" gibt es nicht - man muss immer Restriktionen beachten.

[...]die Firma hat allerdings bisher keinerlei Bedarf verspürt, ihre Produkte anzupassen oder die Nutzer von TPM auch nur ansatzweise darauf hinzuweisen, dass die Installation ihres Programmes das System kaputt macht.

Soetwas moechte man nicht wirklich. Und diese Unfaehigkeit zeigt die Firma schon seit einem Jahr!?

Meine Registrierung ist entsprechend durch diese Software jetzt auf erstmal zugemüllt. Suuuuper.

Ohne Kommentar.

Aber die Firewall, die tut euch mal besser nicht an...

Ich frage mich immer, warum Leute die bereits in Windows integrierte Firewall nicht nutzen, sondern ihre Systeme mit irgendwelchen "Security Suiten" zerschiessen. Gut, dann ist das System auch Offline und der User bekommt seine Schmerzerfahrung. Hat irgendwas von SM

PS: Wäre sehr über alternative Firewall-Empfehlungen erfreut.

Die Windows Firewall aktivieren und sein System sicher konfigurieren. That's it!

Gruesse, Torsten.

 

[phil83]

Interessant und gut zu wissen. Und ich würde auch prinipiell nicht immer gleich mit Argumenten wie "eine Firewall ist ein Konzept und kein Programm" usw. ankommen. Es muss jeder für sich selber wissen, wozu er eine FW einsetzen will und was sie bringen soll. Und wir reden hier ja außerdem von Software-FW, nicht von irgendwelchen autarken HW-Lösungen, die wirklich nix durchlassen und superaufwendig gepflegt/konfiguriert werden muss.

Ich habe bei mir auch eine Software-FW drauf, aber nur aus dem Grund, dass ich genau sehen und vor allem auch in gewissem Maße steuern kann, welches Programm wann "raustelefoniert" oder eine Verbindung ins Internet haben will. Außerdem will ich den Rechner ganz normal für alle Dienste nutzen. Also nicht jetzt mit Portsperren & Co. im Router ankommen, das ist mir zu sehr einschränkend. Es bringt einem ja nichts, wenn man zwar sicher³ ist, aber Abstriche in den - ich nenn es jetzt mal - Möglichkeiten hat.

Und dies schafft die Windows-FW meiner Meinung nach nur unbefriedigend. Für's gröbste ist mein Router schon da, das ist klar und auch gut so. Es muss jeder für sich selber entscheiden, was für ihn das beste ist und womit er am besten fährt. Ich hatte jetzt noch nie irgendwie Probleme, weil ich meine Software-FW nicht im Griff oder falsch konfiguriert hatte. Also werde ich das so auch weiter nutzen, bis ich irgendwann vielleicht was besseres finde.
Abstand halte ich jedoch von diesem Komplett-Suiten. Mag ja sein, dass das besser funktioniert, weil Virenscanner und FW eng verbunden sind. Aber das kann auch zu Problemen führen und wie sehr es Ressourcen fressen kann, sieht man an den Norton-Produkten.

Und so manche Tipps von hier wie den IE "unbrauchbar" zu machen, halte ich gänzlich für Blödsinn. Es gibt so viele Seiten, die nur richtig mit dem IE funktionieren und jedesmal an der Konfig herumschrauben, wenn ich ihn verwenden will?! Nein, also das ist mir doch zu umständlich.... Da hab ich besseres zu tun.

 

[ZDragon]

Original von DenizOezmen
Auf die Treiberschlüssel hat üblicherweise nur das Konto SYSTEM Schreibzugriff. Wenn diese manuell gelöscht werden sollen, muß man sich erst (bspw. in Regedit via "Bearbeiten | Berechtigungen ...") als Administrator entsprechende Berechtigungen verschaffen. Wurde das schon geprüft?

Ahh, daran lags. Okay, jetzt sind die beiden Bastarde löschbereit. Hab sicherheitshalber nochmal nen System Restore angelegt, falls das irgendwas an meinem System zerschießen sollte - gibt ja sicherlich Gründe, warum die sonst geschützt sind.

Generell sollte aber zunächst versucht werden, die Treiber "sauber" zu entfernen: Im Gerätemanager gibt es nach Aktivierung der Option "Ansicht | Ausgeblendete Geräte anzeigen ..." eine Kategorie "Nicht-PNP-Treiber". Die Treiber sollten dort aufgelistet sein. Falls nicht, so sind sie nicht geladen worden, und der Gerätemanager muß durch das Setzen der Umgebungsvariablen "DEVMGR_SHOW_NONPRESENT_DEVICES=1" dazu gebracht werden, auch diese anzuzeigen.

Das habe ich schon versucht, da wird allerdings nix angezeigt. "Nicht-PNP-Treiber" gibt es da gar nicht als Sektion, laut Registryeintrag wären die Dinger eher unter den Netzwerk-Einträgen vorhanden (dieses NDIS-Zeug ist da an die LAN-Adapter gekoppelt). Da gibt's das leider auch nicht. Und ja, als Poweruser ist das erste was ich bei nem frischen Windows mache eben diese Umgebungsvariable zu setzen

Was SW-Firewalls angeht, sehe ich das ähnlich wie phil. Ich möchte gerne den absoluten Überblick behalten ohne großen Aufwand, und manche bedenkliche Dienste wie UPnP nutze ich durchaus ab und zu. Da kommt einem eine SW-Firewall schon entgegen. Recht habt ihr natürlich, dass ein System zusätzlich noch gut konfiguriert werden sollte. Ich schmeisse durchaus alles raus was unnötig ist bzw. ein zu großes Risiko darstellt. Bisher habe ich damit auch glücklicherweise noch keine Probleme gehabt.

Phil: darf man fragen, welche FW du den benutzt?

 

[phil83]

Ich nutze die kostenlose Version von ZoneAlarm. Das reicht für meine Zwecke vollkommen. Ist klein, schnell und vor allem kostenlos. Anfangs noch ZoneAlarmPro, aber irgendwann hab ich gemerkt, dass es die kleine version für meine zwecke auch tut. Router-FW läuft auch und unnötige Windows-Dienste habe ich auch deaktiviert. Aber eher aus Performance-Gründen als aus Gründen der Sicherheit.

Aber ich muss auch noch zu oben hinzufügen: Es macht natürlich auch einen Unterschied, ob der Rechner 24/7 online ist, auch unbeobachtet/ungenutzt, oder ob er ein paar Stunden täglich läuft und dabei intensiv genutzt wird. Bei ersterem würde ich auch anders vorgehen...

 

[ZDragon]

Ein Laptop mache ich natürlich aus, wenn es nicht genutzt wird.

Das entfernen der Treiber aus der Registry scheint geklappt zu haben; zumindest scheint alles zu funktionieren.

@meshua: Das auf der von dir verlinkten Seite empfohlene Script schaltet nicht nur die Windows-Firewall aus, es steht auch klar dort, dass das Script nicht für Computer in Netzwerken geeignet ist. Das würde ich doch schon als sehr starke Einschränkung empfinden - einfacher wäre es doch, anstatt diees Scriptes einfach die Verbindung zu trennen. Keine Verbindung ist die beste Firewall!

 

[Axel]

Danke für den Hinweis.
Ich kann zumindest feststellen, dass NOD32 2.7 ohne Problem läuft.

 

[DenizOezmen]

Hab sicherheitshalber nochmal nen System Restore angelegt, falls das irgendwas an meinem System zerschießen sollte - gibt ja sicherlich Gründe, warum die sonst geschützt sind.

Weise Entscheidung.

Das habe ich schon versucht, da wird allerdings nix angezeigt. "Nicht-PNP-Treiber" gibt es da gar nicht als Sektion

Das ist merkwürdig. Bei mir taucht diese auf, sobald ich die ausgeblendeten Geräte über die Einstellung im Menü "Ansicht" anzeigen lasse.

@meshua: Das auf der von dir verlinkten Seite empfohlene Script schaltet nicht nur die Windows-Firewall aus, es steht auch klar dort, dass das Script nicht für Computer in Netzwerken geeignet ist.

Nicht nur das. Prinzipiell werden durch das Skript zwar viele gute Sicherheitsideen umgesetzt, aber leider geht es dabei zu restriktiv vor, so daß z.T. Software gar nicht mehr funktioniert, da sie bspw. auf RPC über das LAN-Interface angewiesen ist -- ob das immer sinnvoll ist, ist eine ganz andere Frage. Hier steht das Sicherheitsprinzip gegen die Anwendungsrealität.

(In einigen Fällen läßt sich das Dilemma mindern, indem man die fraglichen Dienste nur auf localhost lauschen läßt.)

 

[ZDragon]

NOD32 läuft bei mir auch ohne Probleme, auch in der neuen 3er-Version. Der Fehler kommt offenbar durch die Firewall zustande.

Leider auch mit ZoneAlarm, wie ich soeben feststellen musste :/ Kann mir irgendwer sagen, welche verdammte Software-Firewall denn mit TPM zusammen einwandfrei arbeitet? Oder ist das jetzt die Nachwirkung von der Eset-Software, die nach wie vor nicht einwandfrei deinstalliert wurde und darum die fehlerfreie Installation neuer Firewalls verhindert?

Wahrscheinlich muss ich mein System dank dieser Sache jetzt komplett neu aufsetzen. Trotz Entfernung dieser Treiberreste kann absolut kein Programm mehr irgendwelche Änderungen an dem NDIS-Kram vornehmen - Hamachi verweigert beispielsweise ebenfalls die Installation. So ein Mist.

EDIT: ZoneAlarm ist wohl auch so ein Kandidat. *facepalm* Z61p Bootprobleme

 

[ZDragon]

So, nach dem neu Aufsetzen des Systems habe ich jetzt diese mistige Client Security Solution deinstalliert. Die war es auch, die Probleme gemacht hat. Jetzt nicht mehr, harr. Und ich dachte bisher, dass dann Fingerprint nicht mehr funktionieren würde - weit gefehlt. Zum Glück, das finde ich nämlich ein cooles Feature.

Eigentlich bin ich am Ende froh drüber, jetzt habe ich ein komplett sauberes Windows und dieser Mist ist endlich weg. Gibt ja nicht wenige, die mit CSS Probleme haben und einen wirklichen Nutzen hat das Teil für mich ja auch nicht. Ein verschlüsseltes Laufwerk geht mit TrueCrypt auch erheblich besser als dieser undokumentierte TPM-Müll. So, ich bin erst einmal glücklich, denn mein Eset Smart Security läuft.

 

[phil83]

Ja, darauf bin ich auch erst später gekommen, dass der Fingerabdruckleser zum Anmelden & Co. auch ohne CSS funktioniert.

Was ist denn eigentlich nun der Vorteil von CSS? Kann mir das mal jemand sagen? ?(

 

[Mornsgrans]

SuFu ist ein guter Freund - dass die CSS eine sehr starke Bremse ist, wurde bereits mehrfach im Forum erwähnt

Sinn und Zweck der CSS:
Für aktuelle Thinkpad-Modelle habe ich keine Dokumentation auf der Lenovoseite gefunden, während ich auf der Downloadseite für einen A31p fündig (Stand 2005) geworden bin. In diesem Manual findet sich nach dem Inhaltsverzeichnis eine Erläuterung zu CSS: klick.

 

[meshua]

Original von ZDragon
[...]
@meshua: Das auf der von dir verlinkten Seite empfohlene Script schaltet nicht nur die Windows-Firewall aus, es steht auch klar dort, dass das Script nicht für Computer in Netzwerken geeignet ist. Das würde ich doch schon als sehr starke Einschränkung empfinden[...]

Das hat auch seinen Sinn. Rechner in einem LAN Netzwerk sollten i.d.R. keinen direkten Zugriff auf das WAN/Internet haben. Dazwischen wird eine DMZ eingerichtet oder im LowBudget Fall zu Hause ein vernuenftig konfigurierter Router. Hier brauchst Du keine Einschraenkungen befuerchten, wenn es einmal ordentlich eingerichtet wird - ich habe hier auch Netshares und Net Printer im LAN, welches durch einen Buffalo-Router nach aussen hin abgeschirmt ist. Wer schon meint, ein Netzwerk einrichten zu koennen, sollte es auch konfigurieren koennen

Gruesse, Torsten.

 

[meshua]

Original von phil83
[...]
Ich habe bei mir auch eine Software-FW drauf, aber nur aus dem Grund, dass ich genau sehen und vor allem auch in gewissem Maße steuern kann, welches Programm wann "raustelefoniert" oder eine Verbindung ins Internet haben will.

Du sagst es bereits selbst: nur die "freundlichen" Programme fragen nach. Der ganze "boese" Code fragt nicht deine Firewall, sondern tut es einfach. Schade um die verschwendete Zeit, die du mit Zulassung und Ablehnung vertust. Zumal diese Nutzerinteraktion bereits die Schwachstelle schlechthin ist, und dabei meine ich noch nicht einmal den falschen Klick auf "Yes"...!

Außerdem will ich den Rechner ganz normal für alle Dienste nutzen.
Also nicht jetzt mit Portsperren & Co. im Router ankommen, das ist mir zu sehr einschränkend. Es bringt einem ja nichts, wenn man zwar sicher³ ist, aber Abstriche in den - ich nenn es jetzt mal - Möglichkeiten hat.

Du kannst doch alle Dienste weiterhin nutzen. Trotz beendeter Dienste und Portfilter kann ich telefonieren, FTP/SFTP/SSH benutzen, SMTP/POP(SSL) Mails abrufen...geht alles.

Und dies schafft die Windows-FW meiner Meinung nach nur unbefriedigend.

Die Windows-Firewall macht im Normalfall alles dicht - und das zuverlaessig. Ueber die Ausnahmen laesst sich das ganz einfach anpassen.

Und so manche Tipps von hier wie den IE "unbrauchbar" zu machen, halte ich gänzlich für Blödsinn. Es gibt so viele Seiten, die nur richtig mit dem IE funktionieren und jedesmal an der Konfig herumschrauben, wenn ich ihn verwenden will?! Nein, also das ist mir doch zu umständlich.... Da hab ich besseres zu tun.

Besseres wie Firewall PopUps wegzuklicken? Ich kenne keine "vielen Seiten", die einen zur Nutzung des IE zwingen. Beispiele? Bisher laeuft alles auch im aktuellen Firefox. Bis auf wenige Ausnahmen (Windows Update Portal) sind es solche Seiten auch nicht Wert, dem IE Freilauf zu geben ("Und bitte bestaetigen sie noch die Installation des ActiveX Plugin mit YES" - Jaja, schon klar) Mir genuegt das IE-Uebel auf Arbeit voellig - dass muss man nicht auch noch privat ertragen... =)

Gruesse, Torsten