Weingeist 159 Geschrieben 5. August 2016 Melden Teilen Geschrieben 5. August 2016 Hallo Leute, Dem Netzwerkadapter sind ja teilweise mehr Protokolle zugewiesen als in der GUI ersichtlich sind. Unter anderem ms_wfplw (WSP Lightweight Filter in Windows 7) ms_wfplwf_upper (Lightweight Filter für WFP 802.3-MAC Schicht - Sicher ab W10 evtl. ab 8) ms_wfplwf_lower (Lightweight Filter für systemeigene MCA-Schicht - Sicher ab W10 evtl. ab 8) Kann mir jemand sagen was diese Protokolle genau bewirken bzw. wenn sie enabled oder disabled sind? Standardmässig sind sie aktiviert. Im Netz fand ich eigentlich nur heraus, dass sie zur Windows Filtering Plattform gehören. Also der Windows Firewall. Heisst Disabled evtl. es gibt kein Paketfiltering mehr und Pakete werden direkt weitergeleitet? Warum wird in W10 in upper und lower unterschieden? Wofür gelten selber erstellte Regeln? Dann gibts noch folgende Protokolle die ich ned genau zuordnen kann: ms_pppoe - Point to Point Protokoll über Ethernet ms_ndisuio - NDIS Benutzermodus-E/A Protokoll ms_ndiscap - Microsoft NDIS Aufzeichnung (Sicher ab W10, evtl. auch ab 8) Zweck sowie ob man sie abschalten kann. Wäre cool wenn hier jemand Lektüre dazu hätte. Gruss und Danke Zitieren Link zu diesem Kommentar
tesso 375 Geschrieben 5. August 2016 Melden Teilen Geschrieben 5. August 2016 Schau mal hier https://msdn.microsoft.com/de-de/library/windows/desktop/aa366510(v=vs.85).aspx https://msdn.microsoft.com/de-de/library/windows/desktop/aa363967(v=vs.85).aspx Zitieren Link zu diesem Kommentar
Weingeist 159 Geschrieben 6. August 2016 Autor Melden Teilen Geschrieben 6. August 2016 Danke für die Links. Habe mich mal quergelesen. Obwohl es sehr interessant war, wurden meine Fragen leider noch nicht so richtig beantwortet oder ich habe es ned verstanden =) Tendiere im moment dazu, dass die Filtereinheit wohl übergangen wird, wenn die Protokolle in den entsprechenden Netzadapter fehlen. So ganz klar ersichtlich war es aber nicht. Falls dem so wäre, wäre es schon recht erstaunlich, wenn dann die meisten Build-In Miniports, Tunneladapter, Isatap etc. das bzw. die Protokolle nicht aktiviert haben. In W8/2012 sind dann die IP-Tunnels mit dem Lower-Protokoll ausgerüstet nicht jedoch mit dem Upper. Was wiederum die Frage aufwirft, ob beim Lower-Protokoll eigene Regeln links liegen gelassen werden oder nicht. In W10 fehlen die IPv6 Tunnels als eigenständiges Protokoll wie in 2012. Ebenso die ganzen Adapter zu Miniports etc. Zumindest in den LTSB Version. Ne andere habe ich noch nicht geprüft. Ndiscap ist ab W10 standarmässig aktiviert, in allen OS davor deaktiviert. Was dies macht? Zitieren Link zu diesem Kommentar
Jim di Griz 13 Geschrieben 6. August 2016 Melden Teilen Geschrieben 6. August 2016 Hallo, ppoe ist für die DSL Einwahl. Ohne jetzt eine profunde Gesamterläuterung dazu abgeben zu können bleibt nur meine Meinung, das es wenig Sinn macht zumindest ppoe an isatap zu binden da ppoe ja sozusagen "drunter" läuft. PPOE Einwahl über ISATAP hoert sich schon ein bisschen unanständig an. Soll heissen, ich kann mir nicht vorstellen das das geht, aber vermutlich hat schon irgendjemand genau das dringend gebraucht und irgendwo ein Tool/Treiber dafür veröffentlicht ... cap ist capture und soll wohl das mitschneiden/protokollieren erlauben. Zu meiner Schande muss ich gestehen das ich hierzu noch die Win 3.11 Netzwerkkonfig im Kopf habe, in der wurden "Dienstprotokolle" an Netzprotokolle gebunden und nicht Netzprotokolle an Dienstprotokolle. Wenn ein Protokoll deaktiviert ist gibt es nichts zu filtern. zu NDIS https://de.wikipedia.org/wiki/Network_Driver_Interface_Specification Uralt der Kram. Zu allem seit Win 7 fällt mir nur noch ein, das den Herstellern so langsam die verständlichen Namen ausgehen zu den Dingen die sie so produzieren. Also werden nur noch alte Namen in beliebiger Anordnung zusammengepappt, deren Abkürzung wird mit anderen neuen Abkürzungen gepaart, dann gibts nen White Paper und alle sind happy. Forsch doch mal ein bisschen nach dem Kram, deine Fragen lesen sich ein bisschen als haettest du ungeheuerliches entdeckt, das kann ich nicht glauben. Zitieren Link zu diesem Kommentar
Weingeist 159 Geschrieben 8. August 2016 Autor Melden Teilen Geschrieben 8. August 2016 (bearbeitet) Der erste werde ich wohl kaum sein dem das auffällt. So wahnsinnig viele dürfte es aber noch nicht interessiert haben, man findet fast gar keine Infos über die einzelnen unsichtbaren Protokolle. Google spuckt nur jeweils ne handvoll Ergebnisse raus. Auf russisch gibts nen paar Seiten, aber A verstehe ich das nicht und B habe ich da ein paar Fragezeichen. Wird also nicht angesurft =) Die Sensation und ungeheuerlich wird es kaum sein. Da ich aber gerne zumindest im Ansatz verstehe wie Basistechnologien - insbesondere die Firewall und die Filtereinheit- implementiert sind, würde mich das eben interessieren. PPOE ist nicht aktiviert auf den ISATAP-Adaptern. Aber auf den normalen. Mit den neuen Powershell-Modulen in W10 mit dem sich das Protokoll-Binding auf sehr einfache Weise anpassen lässt, sind die versteckten Protokolle jedenfalls weder sichtbar noch mutierbar. Der sagt, sie existieren nicht. Also auch nicht als versteckte Flags. In der Registry sind die Bindings aber via der Device-ID klar erkennbar. Nach einiger weitergehenden Recherche bin ich dann auf das Tool Nvspbind gestossen, welches einem das mühsame manuelle rauskramen erspart und (noch) sämtliche Protokolle gelistet werden. Wass PPOE grundsätzlich macht verstehe ich schon, was ich nicht verstehe, wozu ich das im normalen Firmenumfeld tatsächlich brauchen sollte und warum der Kram versteckt und standardmässig aktiv ist. Das NDIS-Capture irgendwas einfängt/aufzeichnet/weiterleitet zur Aufzeichnung ist mir auch klar. Unklar ist mir, warum es vorher standardmässig aus war und ab W10 ein. Und wenn es aufgezeichnet wird, wo der Krempel abgelegt wird usw. Sowie ob es Unterschiede zu AD und Workgroup Umgebungen gibt. Werde noch ein paar weitere Tests machen. Insbesondere ob die Firewall-Filterung tatsächlich an den Protokollen hängt oder diese allenfalls nur Logging-Zwecke haben sowie was es mit dem Capturing auf sich hat. Falls der Traffic dann trotz Blockregel funktioniert wäre das schon ziemlich krank. Insbesondere weil die Tunnel-, WAN und ISATAP-Adapter dann wirklich an der Firewall vorbeigehen würden. Dann wiederum müsste man sich fragen, wie das wohl unter W10 implementiert wurde weil die zusätzlichen Adapter ja fehlen (zumindest in LTSB). Aber das ist im Moment alles nur reinste Spekulation. Falls also jemand doch noch etwas mehr Infos hat, wäre es cool nicht alles ber Try and Error herausfinden zu müssen. Eigentlich wollte ich ja nur mein allgemeines Konfig-Script so erweitern, dass es mir die Bindings für IPv6, Topologieerkennung etc. auf Wunsch aktiviert/deaktiviert und ich mir die GUI-Klickerei zukünftig ersparen kann. bearbeitet 8. August 2016 von Weingeist Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 8. August 2016 Melden Teilen Geschrieben 8. August 2016 (bearbeitet) Moin, vor langer Zeit hab ich im Gerätemanager unter Netzwerkinterfaces die nicht angezeigten Protokolle oder Geräte entdeckt. Ich hatte damals die Hoffnung, durch Deaktivieren/Deinstallieren von überflüssigen Dingen an den etwas schwachbrüstigen Rechnern die Leistung zu verbessern. Ich hab da viel Mühe und Zeit investiert, am Ende erkennen, sinnlos gewesen. Ich hab dann im Gerätemanager die wirklich überflüssigen Dienst deaktiviert, dass war effektiv. Die Protokolle werden wohl bei Bedarf aktiv, sonst wohl nicht, vermute ich jedenfalls. bearbeitet 8. August 2016 von lefg Zitieren Link zu diesem Kommentar
Weingeist 159 Geschrieben 9. August 2016 Autor Melden Teilen Geschrieben 9. August 2016 Also bezüglich der WFPLWF Protokolle der Ethernet-Adapter bin ich etwas weiter. 1. Die Blockierregeln der Windows Firewall scheinen trotzdem zu funktionieren. Ping läuft auf alle Fälle nimmer. 2. via Auditpol gesetztes Loggings im Security funktioniert trotzdem 3. via dem Windows-Firewall gesetztes Log funktioniert trotzdem Was der Kram nun macht, weiss ich aber trotzdem noch nicht. Jemand ne Idee? Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.