Interessierten Computer- und/oder Firewall-Benutzern mit den Betriebssystemen Windows 2000 oder XP ist die Datei "svchost.exe" seit längerer Zeit bereits ein Dorn im Auge, da sie scheinbar nirgendwo richtig zugeordnet werden kann und auch die primären Funktionen werden ausgiebig diskutiert.Laut Aussage des Herstellers Microsoft wird die Datei wie folgt beschrieben:"Svchost.exe" ist ein allgemeiner Hostprozessname für Dienste, die mit Hilfe von Dynamic-Link Libraries (DLLs) ausgeführt werden. Die ausführbare Datei "Svchost.exe" befindet sich im Ordner "%SystemRoot%System32". Beim Start überprüft "Svchost.exe" den auf Dienste bezogenen Abschnitt der Registrierung, um eine Liste von Diensten zusammenzustellen, die geladen werden müssen. Es können mehrere Instanzen von "Svchost.exe" gleichzeitig ausgeführt werden. Jede "Svchost.exe"-Sitzung kann eine eigene Gruppe von Diensten enthalten, sodass in Abhängigkeit davon, wie und wo "Svchost.exe" gestartet wird, verschiedene Dienste ausgeführt werden können. Dies sorgt für eine bessere Kontrolle und ein einfacheres Debuggen."Werden Verbindungen der Datei durch ein Firewallsystem rigoros blockiert, stellt der eine oder andere Computerbenutzer je nach Rechner- und Netz-Konfiguration schnell fest, dass keine Internet-Verbindung mehr ausgeführt werden kann."Svchost.exe" führt keine geheimen oder spionierenden Funktionen aus aber sie regelt unter anderem Dienste, die für die Netz-Funktionalität notwendig sind und benutzt hierbei teils auch Dienste, die unter Umständen von potentiellen Angreifern missbraucht werden können. Agnitum, der Hersteller des Firewallsystems Outpost hat aus dem Grund ein Basis-Regelset zur Konfiguration der "svchost.exe" zur Verfügung gestellt, die für die meisten Rechner-Konfigurationen sinnvoll ist und an und für sich auch auf andere Firewallsysteme übertragbar ist.Im Einzelnen werden folgende Regeln für "svchost.exe" empfohlen:Erlaube DHCPProtokoll: UDPLokaler Port: 68Remote Port: 67Verbindungsrichtung: AnkommendAktion: AllowItErlaube DNSProtokoll: UDPLokaler Port: 53Aktion: ErlaubtErlaube Time Synchronizer VerbindungProtokoll: UDPRemote Port: 123Aktion: ErlaubtErlaube HTTP VerbindungProtokoll: TCPRemote Port: 80Verbindungsrichtung: AusgehendAktion: ErlaubtErlaube HTTPS VerbindungProtokoll: TCPRemote Port: 443Verbindungsrichtung: AusgehendAktion: ErlaubtErlaube TCP für Router (falls vorhanden)Protokoll: TCPRemote Host: IP des RoutersVerbindungsrichtung: ausgehendAktion: AllowItErlaube UDP für Router (falls vorhanden)Protokoll: UDPRemote Host: IP des RoutersVerbindungsrichtung: ausgehendAktion: AllowItBlockiere "SSDP Discovery Service" und "UPnP device Host" ServicesProtokoll: UDPRemote Port: 1900Remote Host: 239.255.255.250Verbindungsrichtung: AnkommendAktion: BlockiertBlockiere "SSDP Discovery Service" und "UPnP device Host" ServicesProtokoll: TCPRemote Port: 5000Remote Host: 239.255.255.250Verbindungsrichtung: AnkommendAktion: BlockiertBlockiere "SSDP Discovery Service" und "UPnP Device Host" ServicesProtokoll: UDPRemote Port: 5000Remote Host: 239.255.255.250Verbindungsrichtung: AnkommendAktion: BlockiertAls letzte Regel sollte eine "Block All" Regel alle weiteren Verbindungen blockieren:Blockiere TCP ausgehendProtokoll: TCPLokaler Port: 135Verbindungsrichtung: AusgehendAktion: BlockiertBlockiere TCP ankommendProtokoll: TCPLokaler Port: 135Verbindungsrichtung: ankommendAktion: BlockiertBlockiere UDP ausgehendProtokoll: UDPLokaler Port: 135Verbindungsrichtung: AusgehendAktion: BlockiertBlockiere UDP ankommendProtokoll: UDPLokaler Port: 135Verbindungsrichtung: ankommendAktion: Blockiert