Ausgehende Windows-Firewall-Regeln (nur) für Windows und Defender-Updates (Einzelplatzrechner)

Hallo zusammen,

wie der Titel bereits andeutet, habe ich eine Frage zur internen Windows-Firewall im Zusammenhang mit Windows-Sicherheitsupdates sowie Defender-Updates auf einem Einzelplatzrechner. Vielen Dank vorab für eure Zeit und Unterstützung.

Problem

Aktuell scheitere ich daran, die interne Windows-Firewall (wf.msc) über die lokalen Gruppenrichtlinien (gpedit.msc) bei grundsätzlich blockierten Ein- und Ausgehenden Verbindungen so zu konfigurieren, dass ausschließlich Windows- und Defender-Sicherheitsupdates zugelassen werden. Die Ausgehenden Regeln müssen dabei nicht einmal besonders restriktiv sein, es geht mir nicht um ein vollständiges IP- oder CDN-Whitelisting.

Bereits die reine Freigabe der dafür zwingend erforderlichen Dienste stellt sich als problematisch heraus, da mir unklar ist, welche Dienste tatsächlich alle notwendig sind, um die Update-Funktionalität, unter obiger Voraussetzung, zuverlässig zu gewährleisten.

Frage

Mich würde interessieren, welche Windows-Dienste (services.msc) / Anwendungen tatsächlich eine ausgehende Internetverbindung benötigen, damit die Update-Funktion auf einem Einzelplatzrechner zuverlässig funktioniert. Ist es (wirklich) erforderlich, den gesamten Datenverkehr über „svchost.exe“ zuzulassen, obwohl darüber auch viele nicht update-relevante Prozesse laufen und das aus Sicherheitsgründen problematisch sein kann?

Falls das relevant ist: WIN 11 ist bei mir folgend konfiguriert (Angaben aufs nötigste reduziert):

Ich habe mich auch damit herumgeschlagen.Eventuell hilf dir das weiter?

https://www.wilderssecurity.com/threads/windows-firewall-control-wfc-by-binisoft-org.347370/page-309

Für bestehende Dienste könnte ich svchost.exe zulassen und diese Dienste blockieren. Microsoft erstellt jedoch von Zeit zu Zeit neue Dienste. Um zu verhindern, dass neue datenschutzrelevante Dienste ohne Vorankündigung eine Verbindung zu Microsoft herstellen, habe ich keine allgemeine Zulassungsregel für svchost.exe, sondern nur für die Dienste, die Internetzugang angefordert haben und die ich nicht blockieren wollte.
Das hat jahrelang perfekt funktioniert. Vor einiger Zeit habe ich im Firewall-Protokoll viele Blockierungen für Dienste mit allgemeinen Zulassungsregeln (keine Einschränkungen für diese Dienste) bemerkt. Schließlich habe ich festgestellt, dass Verbindungen von zugelassenen Diensten nur dann nicht blockiert werden, wenn in der Regel kein Dienst ausgewählt ist – selbst wenn alle Dienste nicht funktionieren. Das bedeutet, dass die Zulassung ausgewählter Dienste nicht mehr funktioniert.
Hat sich etwas daran geändert, wie die Firewall Regeln für Windows-Dienste behandelt?

–
Dienstbasierte Regeln für den Dienst „wuauserv“ funktionieren unter Windows 10/11 nicht mehr so wie unter Windows 7/8/8.1. Sie müssen svchost.exe uneingeschränkten Zugriff gewähren, damit Windows Update ausgeführt werden kann.
Auch der Windows Store erfordert uneingeschränkten Zugriff für svchost.exe. Das Problem ist, dass in den neuesten Windows-Versionen mehrere Dienste oder gar keine Dienste (svchost.exe-Instanzen, die nicht an einen bestimmten Windows-Dienst gebunden sind) an Windows Update beteiligt sind. Der erste Aufruf verwendet möglicherweise den Dienst „wuauserv“, BITS oder CryptSvc, aber dann werden mehrere svchost.exe-Instanzen erzeugt, die weiterhin blockiert sind. Das Ergebnis ist, dass Windows Update fehlschlägt.

Windows Update erfordert eine ausgehende Zulassungsregel für C:\Windows\system32\svchost.exe auf den Remote-Ports 80,443 und dem TCP-Protokoll. Die empfohlenen Regeln der Windows-Firewall-Steuerung enthalten zu diesem Zweck eine Regel namens WFC – Windows Update. Wenn Ihnen diese Regel zu weit gefasst ist, lassen Sie sie deaktiviert und aktivieren Sie sie einmal pro Woche manuell, wenn Sie nach Windows-Updates suchen, und deaktivieren Sie sie wieder, sobald diese installiert sind. Aber das ist die Mühe nicht wert. Erlauben Sie einfach svchost.exe und vergessen Sie es. Wenn Sie Telemetrie blockieren möchten, vergessen Sie es. Windows kann diese verschlüsselten Daten unter so vielen anderen Umständen senden, dass diese Aufgabe fast unmöglich ist.

Da Blockierungsregeln in der Windows-Firewall Vorrang vor Zulassungsregeln haben, können Sie für die genannten Dienste, die Sie bewusst blockieren möchten, Blockierungsregeln für svchost.exe und diese Dienstnamen erstellen. Es gibt keine andere Möglichkeit, und dies liegt außerhalb der Kontrolle von WFC.

Vielen Dank für deine Antwort.

Ich hatte mir das fast gedacht, dass das nicht so einfach umsetzbar ist. Dann werde ich wohl weiterhin die automatische Update-Funktion deaktiviert lassen und Sicherheitsupdates manuell sowie offline installieren, auch wenn das aufwändiger, jedoch datenschutz/sicherheits-freundlicher ist, als die (svchost.exe) komplett zu erlauben bzw. alle möglichen Dienste darüber zu verbieten.

Wozu dann das ganze? Windows Update ist aus Sicht der Firewall doch nur ausgehender Datenverkehr.

Aus Sicht der Win-Firewall ist Windows Update zwar nur ausgehender Traffic, aber aus meiner Sicht ist es relevant, welche Anwendungen bzw. Dienste dafür ins Netz gehen und welche zusätzlichen Daten dabei noch übertragen werden können.

Ich habe Windows 11 Enterprise bereits mit erheblichem Zeitaufwand möglichst datenschutzfreundlich auf einem Einzelplatzrechner konfiguriert (siehe Anfangspost), aber es ist mir nicht gelungen, genau die Dienste zu identifizieren, die ausschließlich für Windows Update notwendig sind, geschweige denn, die Vielzahl dynamischer Server und CDNs mit ständig wechselnden Adressen gezielt nur zuzulassen.

Daher habe ich mich von dem Gedanken entfernt einzelne IPs oder CDNs zu whitelisten, sondern die Zahl der Programme und Dienste mit Internetzugang so weit wie möglich zu reduzieren, um Telemetrie und Angriffsfläche zu minimieren. Dafür ist es meines Erachtens eben relevant, ob ich gezielt nur die für Updates notwendigen Komponenten (bzw. svchost‑Instanzen) erreiche oder pauschal allen über svchost laufenden Diensten den Weg ins Internet öffne.

Über svchost.exe laufen etliche weitere, teils telemetrie‑lastige Komponenten mit, die ich nicht pauschal ins Netz lassen möchte. Da ich Win-Update aber ohne die Dienste nicht zum laufen bekomme, habe ich die Update-Funktion deaktiviert und mache Updates in Zukunft lieber manuell/offline, bietet zwar keinen Komfort, mir dafür aber mehr Kontrolle.

Mein Ansatz ist wohl mehr eine Annäherung an das Ideal des Minimalprinzips, aber in Kombination mit meinen weiteren Maßnahmen sollte es die Telemetrie doch weiter reduzieren.

Okay, verstehe. Das Kernproblem deiner Idee ist, dass sich der Windows-Update-Traffic und der Telemetrie-Traffic bei Windows 10/11 technisch nicht sauber trennen lassen. Microsoft nutzt dafür bewusst dieselben Dienste, Transportpfade und teils identische Endpunkte. Die Windows-Firewall kann dabei nicht erkennen, welche Art von Daten übertragen wird, sondern lediglich, dass svchost.exe eine verschlüsselte Verbindung zu Microsoft aufbaut. Eine gezielte Freigabe ausschließlich für Updates ist daher konzeptionell nicht möglich und bleibt selbst dann instabil, wenn sie heute scheinbar funktioniert.

Der Versuch, dieses Ideal über immer feinere Netzrestriktionen zu erzwingen, führt letztlich dazu, dass sicherheitsrelevante Basisfunktionen beschädigt oder komplett deaktiviert werden. Die Kontrolle über die Telemetrie gewinnt man bei Windows daher nicht primär über Netzwerkfilter, sondern über Richtlinien, Funktionskonfiguration und Applikationskontrolle. Die Firewall ist dafür nur ein grobes Instrument und ungeeignet, um Betriebssystemfunktionen zuverlässig gegeneinander abzugrenzen.

Vielen Dank für deine Info. Du hast mir mein Kernproblem damit sehr deutlich gemacht. Für mich bleibt damit realistisch nur, Updates manuell/offline einzuspielen. Über die Datenschutzmaßnahmen hinaus, die ich unter Win 11 Enterprise bereits umgesetzt habe, lässt sich aus meiner Sicht nichts Sinnvolles mehr ergänzen, ohne das System auf Dauer zu crashen. Welche Daten aktuell noch an Microsoft fließen, ließe sich wohl nur mit großem Aufwand im Detail überprüfen, und auch wenn es meines Erachtens nur das Nötigste sein dürfte, bleiben trotzdem Restzweifel, die schlicht nerven.

Ließe sich anhand meiner gesamten Konfiguration, wenn ich sie hier im Detail einstelle, grob abschätzen, welche Daten noch an Microsoft übertragen werden und wie relevant diese langfristig sind, oder ist so etwas grundsätzlich nicht seriös machbar?

Wenn der Leidensdruck zu groß wird, solltest du über einen Wechsel zu einem anderen Betriebssystem nachdenken. Damit wärst du hier nicht der Erste.

Wie willst du das anstellen? In den Tiefen von Windows gibt es Dutzende Einstellungen, die jeweils an ganz unterschiedlichen Stellen vorgenommen werden. Ich glaube nicht, dass sich das sinnvoll abbilden lässt. Am besten suchst du einen aktuellen Best-Practice-Guide und setzt die Maßnahmen daraus um. Eine weitere Möglichkeit ist die Verwendung eines gut gepflegten Decrapifier-Scripts, welches eine Vielzahl von Einstellungen automatisch umsetzt. Letzteres wäre meine Empfehlung. Das kannst du dann auch bis ins kleinste Detail analysieren – je nachdem, wie viel Motivation du mitbringst. Ich habe früher im Unternehmensumfeld eines aus der Spiceworks-Community verwendet, ich weiß aber nicht ob das noch gepflegt wird[1]. Bei meinem neuen Arbeitgeber ist das ohnehin nicht mehr gewünscht, hier kuschelt man gerne mit Microsoft. Auf die Schnelle habe ich auf GitHub noch das hier gefunden[2]. Das wurde vor fünf Monaten das letzte Mal aktualisiert:

[1] https://community.spiceworks.com/t/windows-10-11-decrapifier/975250
[2] https://github.com/W4RH4WK/Debloat-Windows-10

Danke für deine ausführliche Antwort. Ich hatte meine Frage ziemlich blöd formuliert. Sorry, dafür war deine Antwort umso besser. Meine Frage hatte eigentlich einen anderen Hintergrund.

Win 11 (Enterprise) habe ich schon konfiguriert und bereits vor Installation mit Skripten und autounattend.xml umfangreich entschlackt. Was nach der Installation, auf Basis der BSI-Leitpfaden, noch alles obendrauf angepasst wurde, dass ließe sich hier tatsächlich nicht ohne weiteres alles aufzeigen und das ich mir überhaupt die Mühe gemacht habe, ist beruflich bedingt, privat verwende ich auch Linux. Alleine aus zeitlicher Sicht, sich nicht mit so einem Bullshit rumschlagen zu müssen, ist schon ein großes Argument für Linux.

Ich meinte mit meiner Frage eher sinngemäß – weshalb man überall ließt, dass sich Windows 11, trotz allem nicht datenschutzfreundlich nutzen lässt, da ich davon überzeugt bin, es „nahezu“ still bekommen zu haben. Ich kann mit einfachen Mitteln (z. B. über TCPView/Firewall-Log) schon seit längerem keine Verbindungen mehr identifizieren, die etwas mit Telemetrie zu tun haben und so sollte es ja eigentlich sein.

Diese Aussagen verunsichern mich deshalb, um ehrlich zu sein, sehr. Das Windows eine proprietäre Black-Box ist, ist mir bewusst, dass war es aber schon immer, daher bevorzuge ich selbst auch privat Linux, aber kann man Windows tatsächlich nicht datenschutzfreundlich nutzen oder sind mit solchen Aussagen eher gemeint, dass Windows im allgemeinen eine Black-Box ist und schon alleine aus diesem Kontext heraus, ist es sinnfrei von Datenschutz zu sprechen?

Ich habe alles händisch konfiguriert und dokumentiert, da meines Erachtens nur so nachempfunden werden kann, wo und was eigentlich umgesetzt oder im Nachgang bei einem Update evtl. wieder geändert wird. Mit keinem der gängigen Drittanbieter-Tools ist es mir gelungen, Windows wirklich zum Schweigen zu bringen, allen voran das vielumworbene „O&O ShutUp“ hatte bei mir eher den Charakter eines Placebos, ähnlich wie viele klassische Virenscanner.

@markfelt Weil du die Telemetrie deaktiviert hast: Das Aktualisieren der SecureBoot-Zertifikate wird per Telemetrie angestoßen. Schau mal, ob bei dir SecureBoot aktiviert ist und du die neuen Zertifikate hast. https://support.microsoft.com/de-de/topic/ablauf-des-windows-secure-boot-zertifikats-und-updates-der-zertifizierungsstelle-7ff40d33-95dc-4c3c-8725-a9b95457578e

Telemetrie kann im Hintergrund eine Rolle spielen, um Rollouts zu überwachen oder Geräteklassen auszuschließen, aber sie ist nicht der eigentliche Mechanismus zur Zertifikatsaktualisierung. Bei der Secure-Boot-CA-Migration verteilt Microsoft über Windows Update ein signiertes UEFI-Update, das neue KEK- und db-Einträge sowie die 2023-CAs enthält.

Unabhängig davon können auch Hardwarehersteller neue oder aktualisierte Secure-Boot-Zertifikate im Rahmen eines BIOS-/UEFI-Updates ausliefern, indem sie entsprechende signierte db-, KEK- oder dbx-Updates mit einem Firmwareupdate bereitstellen. Oder Linux stellt sie über LVFS/fwupd als signierte Firmware-Capsules bereit.

Aber hat der OP überhaupt nach den SecureBoot-Zertifikaten gefragt?

Das Ganze wird über die Telemetrie (unter anderem von Windows Update) angestoßen, die hier beim OP aber ausgedreht ist. Und dieses Update ist ja für das Funktionieren des PCs wichtig.

Secure Boot habe ich tatsächlich deaktiviert, da ich VeraCrypt zur Verschlüsselung der Systempartition nutze. Windows-Updates laufen über WSUS-Offline. Bzgl. der Zertifikats-Aktualisierung kann ich ja auch manuell das jeweilige Update offline einspielen, z. B. KB5077181 (Stand Februar), und danach nochmals prüfen, ob sich bezogen auf Telemetrie etwas verändert hat.