t.hoelzl 10 Geschrieben 11. Januar 2012 Melden Teilen Geschrieben 11. Januar 2012 Hallo, die svchost.exe versucht regelmäßig über Port 80 Verbindungen zu diversen IPs im Internet aufzubauen. Die externe IP-Bereiche gehören meist level3.net, akamai oder Microsoft selbst. Allerdings haben die Clients einen Proxyserver in den Internetoptionen eingetragen und kommen nur über diesen ins www. Alle Windowsupdates laufen über einen internen WSUS. Die Verbindungen über Port 80 werden dann natürlich an der Firewall geblockt. Mit tasklist /svc /fi "Imagename eq svchost.exe" habe ich mir mal angesehen, welche Dienste sich hinter der svchost.exe verstecken, die die Aufrufe versuchen. Diese sind CryptSvc, Dnscache, LanmanWorkstation, NlaSvc, WinRM. Kann mir jemand einen Tipp geben, welcher dieser Dienste wirklich den Traffic verursacht und warum er sich nicht an die Interneteinstellungen hält? Zitieren Link zu diesem Kommentar
djmaker 95 Geschrieben 11. Januar 2012 Melden Teilen Geschrieben 11. Januar 2012 Welches OS haben die Clients? Zitieren Link zu diesem Kommentar
t.hoelzl 10 Geschrieben 12. Januar 2012 Autor Melden Teilen Geschrieben 12. Januar 2012 In diesem Fall handelt es sich um einen Server 2008 R2. Allerdings kann man das auch auf XP SP3 beobachten. Zitieren Link zu diesem Kommentar
Rumak18 11 Geschrieben 11. September 2012 Melden Teilen Geschrieben 11. September 2012 Ich hole diesen Thread mal zurück, da ich das gleiche Problem mit unseren virtuellen Rechner (Über 1000!!) haben. Das haut natürlich ganz schön rein bei der Firewall. Gibt es hierfür evtl. einen Tipp? Zitieren Link zu diesem Kommentar
mapi4780 10 Geschrieben 6. November 2012 Melden Teilen Geschrieben 6. November 2012 dreh mal die ganzen dienste welche - du nicht brauchst und - die den svchost nutzen ab. Beispiele sind Windows Audio Computerbrowser Kryptografiedienste DHCP-Client COM+-Ereignissystem Kompatibilität für schnelle Benutzerumschaltung HID Input Service Server Arbeitsstationsdienst Netzwerkverbindungen NLA (Network Location Awareness} RAS-Verbindungsverwaltung Taskplaner Systemereignisbenachrichtigung Shellhardwareerkennung Systemwiederherstellungsdienst Telefonie Designs Überwachung verteilter Verknüpfungen (Client) Windows-Verwalltungsinstrumentation Automatische Updates etc. etc.... auto-update (bei wsus) einstellungen und registry einträge kontrollieren und evt anpassen. hauptursache für traffic ist meist der updatedienst. ich nehme an dass deine svchost im system32 ordner liegt. ansonsten mal anti-schädlings-aktion starten. Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 6. November 2012 Melden Teilen Geschrieben 6. November 2012 Hi, wenn ich den Sub-Prozess "CryptSvc" in Deinen Angaben sehe, wird es sich bei den Zugriffsversuchen vermutlich um folgende Funktion handeln: An automatic updater of revoked certificates is available for Windows Vista, Windows Server 2008, Windows 7, and Windows Server 2008 R2 Kannst Du prüfen, ob auch die folgenden URLs geprüft werden? http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/disallowedcertstl.cab http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab Viele Grüße olc Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.