|
|
|
Sammelaktion!
|
Hi, das Thema Sicherheit in Windows ist ja immer ein riesen Thema und ich dachte man könnte ja mal einen Sammelthread für Sicherheitslösungen machen. Erstmal lernt man selber vielleicht noch was und andere können von den Tips profitieren.
Alle Änderungen greifen ins System selber ein und geschehen auf eigene Gefahr
- In aller erster Linie steht: GEHIRN EINSCHALTEN!
Wer auf alles klickt und Dateien öffnet die Ihm völlig unbekannt sind, muss sich nicht wundern wenn er sich irgendwann etwas *einfängt*.
---
- Immer alle verfügbaren Patches von Microsoft installieren.
Regelmäßig Windows-Update ausführen; am besten wäre noch die Autoupdate Funktion von Windows.
---
- Virenscanner nutzen und die Definitionen/Signaturen immer aktuell halten
(z.B. AntiVir Personal - Freeware - www.free-av.de)
---
- Normale Nutzung des Windowssystems unter Benutzer mit eingeschränkten Benutzerrechten
Wer Windows immer mit einem Benutzer mit Administratorrechten nutzt, geht ein Sicherheitsrisiko ein.
Ein großer Teil der Trojaner, Viren usw. können sich nur mit Administratorrechten ausführen und installieren.
---
- Für den Administrator ein Passwort einrichten!
---
- NTFS Dateisystem verwenden
---
- Alternativ Browser verwenden!
(z.B. Mozilla, Opera, Firefox) - Auch alternativ Browser mögen Sicherheitslücken haben, !aber: Der Internet Explorer ist nunmal das Hauptziel von schädlichen Programmen und über diesen kommen Sie auch leichter ins System, weil der IE die eigene Core tief im Windowssystem hat.
---
- Hardening dürchführen
Fürs das sogenannte Hardening (Schließen von Diensten die mögliche Sicherheitsrisiken in sich wirken.) gibt es inzwischen viele Tools und Hilfen.
Ein Homepage die sich sehr gut mit dem Thema beschäftigt und auch eine Batch-Datei anbieten um das Hardening zu vereinfachen findet man hier:
http://www.ntsvcfg.de/
Man sollte sich die Seite wenigstens mal durchgelesen haben.
---
- Verhindern das Dateien versteckt ausgeführt werden:
. Windows Explorer öffnen
. Extras -> Ordner Optionen -> Ansicht
. Erweiterungen bei bekannten Dateitypen ausblenden -> Haken entfernen
---
- Protokollbindungen vom Internet-Anschluss entfernen
. Start -> Systemsteuerung -> Netzwerkverbindungen -> Netzwerkadapter/DFÜ -> Rechtsklick -> Eigenschaften
. Client für Microsoft-Netzwerke -> Haken entfernen (oder gleich gänzlich deinstallieren wer sich in keinen Netzwerk befindet oder wer keinen Router benutzt)
. Datei- und Druckerfreigabe für Microsoft-Netzwerke -> Haken entfernen (oder gleich gänzlich deinstallieren wer sich in keinen Netzwerk befindet oder wer keinen Router benutzt)
. Start -> Systemsteuerung -> System -> Hardware -> Gerätemanager -> Ansicht -> Ausgeblendete Geräte -> Nicht-PnP-Treiber : Netbios über TCP/IP -> Rechtsklick: deaktivieren (Ok, Neustart)
---
- Verhindern das der RPC-Dienst anonyme Anfragen entgegennimmt (XP-Prof. Edition only)
Links
. Start -> Ausführen -> GPedit.msc eingeben und ausführen.
. Computerkonfiguration -> Windowseinstellungen -> Sicherheitseinstellungen -> Lokale Richtlinien -> Sicherheitsoptionen
Rechts
Netzwerksicherheit: Minimale Sitzungssicherheit für....Clients -> Alle Haken setzen
Netzwerksicherheit: Minimale Sitzungssicherheit für....Server -> Alle Haken setzen
Netzwerkzugriff:Freigaben,auf die anonym zugegriffen werden kann -> Alles entfernen
---
Hoffe auf Weiterführung durch Eure Hand!
|
|
|
|
|
|
|
Oh, Sticky... *geehrt fühl*
|
|
|
|
|
|
|
|
|
|
|
| Zitat von burntpunch
>> Verhindern das der RPC-Dienst anonyme Anfragen entgegennimmt (XP-Prof. Edition only)
Ist das nicht mit dem SP2 autom. behoben? | |
Nein, leider nicht... jedenfalls meine Erfahrung!
|
|
|
|
|
|
|
Fragen und Antworten bezüglich den neuen Sicherheitsmechanismen im SP2:
Wieso bekomme ich jedesmal eine Warnmeldung, wenn ich aus dem Internet heruntergeladene Dateien öffnen will ?
Microsoft hat eine Funktion ins SP2 integriert, womit alle aus dem Internet heruntergeladenen Dateien ohne digitale Signatur (-> fast alle Dateien) als potentiell gefährlich gekennzeichnet werden und beim starten eine Warnmeldung von sich geben. Diese Kennzeichnung erfolgt aber nur, wenn die Dateien mit IE heruntergeladen worden sind : Die Benutzung eines alternativen Browsers schafft Abhilfe (möglicherweiße auch ein Downloadmanager ? )
Wie funktioniert das neue Sicherheitscenter?
Das Sicherheitscenter ist ein "normaler" System-Dienst und kann demzufolge auch mit Administratorrechten deaktiviert werden, was die Schutzfunktion des Centers natürlich gleichmal relativiert !
Das Sicherheitscenter checkt ob ein Virenscanner bzw eine Firewall installiert ist und gibt diese Information dann an den User weiter. Bei den Antivirus-Programmen und bei allen Firewalls außer der Windows-Firewall sind aber die Programme selber dafür verantwortlich ihren Status an das Sicherheitscenter zu übermitteln.Das Sicherheitscenter muss diesen Informationen dann glauben - egal ob sie stimmen oder ein anderes Programm einen falschen Status "eingeschleußt" hat..
Wie gut ist die integrierte Windows-Firewall?
Die Windows-Firewall macht gut dicht gegen Bedrohungen von Außen und verhält sich hier genauso wie jede andere Firewall auch : eingehende Verbindungen werden abgefangen und der User darf entscheiden ob er die Verbindung zulässt oder nicht...
Problematisch ist es aber, wenn Programme von Innen nach Hause telefonieren wollen : die Windows-Firewall lässt diese ungehindert passieren - in dieser Hinsicht ist die Windows-Firewall jeder Einsteiger-Firewall unterlegen.
|
|
|
|
|
|
|
| Zitat von [SI]Shaft
Problematisch ist es aber, wenn Programme von Innen nach Hause telefonieren wollen : die Windows-Firewall lässt diese ungehindert passieren - in dieser Hinsicht ist die Windows-Firewall jeder Einsteiger-Firewall unterlegen. | |
Also das Problem hab ich nicht. Sobald ich ein Programm starte, dass die Firewall nicht kennt, werde ich ersteinmal gefragt, ob das Programm kommunizieren darf, wenn ich dies bestätige, kommt das dann in die Ausnahmeliste die man über die Systemsteuerung erreichen kann rein.
Ich hab übrigens nur RC2 (zu Faul bis jetzt die Final zu installieren), aber kann mir kaum vorstellen, dass das rausgenommen wurde.
|
|
|
|
|
|
|
| Zitat von burntpunch
| Zitat von [SI]Shaft
Problematisch ist es aber, wenn Programme von Innen nach Hause telefonieren wollen : die Windows-Firewall lässt diese ungehindert passieren - in dieser Hinsicht ist die Windows-Firewall jeder Einsteiger-Firewall unterlegen. | |
Also das Problem hab ich nicht. Sobald ich ein Programm starte, dass die Firewall nicht kennt, werde ich ersteinmal gefragt, ob das Programm kommunizieren darf, wenn ich dies bestätige, kommt das dann in die Ausnahmeliste die man über die Systemsteuerung erreichen kann rein.
Ich hab übrigens nur RC2 (zu Faul bis jetzt die Final zu installieren), aber kann mir kaum vorstellen, dass das rausgenommen wurde. | |
Ich hab die Firewall nicht selbst ausprobiert, allerdings basieren meine aussagen auf diesem Artikel und auf dem Service-Pack 2 Artikel der vorletzten c't - ich lasse mich aber gerne eines Besseren belehren...
Dort wurde im übrigen auch noch von einer weiteren Schwäche gesprochen, die ich oben garnicht erwähnt habe - anscheinend soll ein Port wenn er einmal durch ein beliebieges authorisiertes Programm geöffnet wurde nicht wieder korrekt geschlossen werden - so dass es anderen Programm dann auch möglich sein soll ist diesen Port zu benutzen...
|
[Dieser Beitrag wurde 1 mal editiert; zum letzten Mal von [SI]Shaft am 15.08.2004 16:57]
|
|
|
|
|
|
- Firewall's benutzen
Eine Firewall soll einen einzelnen PC oder Netzwerke vor unerwünschten Zugriffen von außen schützen und unerlaubte Verbindungen von innen nach außen unterbinden.
Beispiel:
Die Rechner eines Netzwerkes verbinden sich zentral über einen Server des Netzwerkes mit dem Internet. Auf diesem Server wird u.a. auch eine Firewall installiert. Der gesamte Datenverkehr ins Netzwerk und aus dem dem Netzwerk heraus wird nun von ihr gefiltert und die einzelnen Datenpakete auf ihre Sicherheitskriterien hin überprüft. Stimmt der Inhalt der Datenpakete nicht mit den Sicherheitskriterien überein, so werden diese Paket nicht durch die Firewall gelassen.
- Festplatte regelmäßig auf Spyware und Viren Scannen
Dazu lässt man eine Anti-Viren Software (Zum Beisoiel "AVG Free") im Hintergrund laufen und scannt damit 1-2 Mal pro Woche die gesamte Festplatte auf Viren. Außerdem sollte man 1-2 Mal pro Woche mit einer Anti Spyware Software die Festplatte scnannen lassen (zB. "Spybot - Search & Destroy).
Alle genannten Programme wurde von mir (teils Jahrelang) getestet und sind zu empfehlen.
/edit: besser?
/edit2: argh schreibfehler
|
[Dieser Beitrag wurde 2 mal editiert; zum letzten Mal von Redhat am 16.08.2004 15:47]
|
|
|
|
|
|
|
|
|
|
| Zitat von teK
| |
wie darf man das verstehen?
|
|
|
|
|
|
|
a) Such' mal nach Definitionen von Firewall
b) Wenn du dir ein Haus baust, dann machst du lauter Löcher rein, nur um die dann hinterher wieder mit irgendwelchen mehr oder weniger dünneren Brettern wieder zuzunageln?
|
|
|
|
|
|
|
wenn wir beim haus sind, sind das die wachen/bodyguards des hauses
|
|
|
|
|
|
Danke!
|
Danke für eure hilfe! Ich denke dass mein System nun sehr sicher gegen Angriffe von Hackern und Trojanern ist!
Die Tipps da oben kann ich jedem nur empfehlen zu befolgen!
|
|
|
|
|
|
|
Mal angenommen, ich hab nen neuen PC (wird XP Home.ed haben) und nen alten PC mit Internetzugang.
Welche Progs muss/sollte ich installieren, bevor ich mit dem neuen zum ersten Mal online geh.
Free-AV - 1a
Kerio - Firewall - noch nicht selbst getestet
Spybot S&D - zickt gerne
Ad-Aware - zickt auch gerne
...
Sonst noch wer paar nützliche Progs auf Lager, die man haben sollte. Also ich leg Wert auf Komfort - sprich Cookies sollten beispielsweise schon noch gehen.
Crutschie ... always a CT
|
|
|
|
|
|
|
wenn du die tipps aussem startpost beherzigst (vor allem die patches gegen sasser, mydoom und konsorten und des hardening), dann sollte ein durschnittlicher virenscanner, ne normale firewall (sygate oder kerio), sowie paar malware softwares wie spybot/adaware, pestpatrol, hijackthis reichen, alles was man sonst noch braucht, würd ich mir dann bei bedarf/malwarebefall ziehen.
|
|
|
|
|
|
|
Also jedesmal wenn ich Windoze XP neu installiert hab mach ich SOFORT XP-Antispy an und dann ist schonmal ein großer schritt ans sichere Festland getan
Naja und danach direkt Pccillin an! is eigentlich eins der besten Antivirprogramme die ich kenne!
So sollte man seinen PC auf jeden von Viren freihalten
|
|
|
|
|
|
|
Zu allen Programmen wie Virenscanner, Spywaresucher, Firewalls etc. sei noch gesagt: Die Programme bringen nur was wenn die aktuell gehalten werden. Ein Virenscanner mit einer Wochenalten Virensignatur bringt nicht viel. Auch sollte man ein Programm konfigurieren. Gerade Firewalls.
|
|
|
|
|
|
|
mein packet zur sicherheit meines pcs:
- avg anti virus free
- sygate personal firewall (konfigueriert)
- Hijackthis
- ad-aware
- spybot search & destroy
regelmäßige updates und min. 1 mal pro 2 tage wird mein system gescannt!
|
|
|
|
|
|
|
mein Paket:
-Antivir
-Updates
-Brain
|
|
|
|
|
|
|
Mein Paket:
AntiVir
Windows Updates und SP's
TuneUP und ANTISPY
|
|
|
|
|
|
|
tuneup und antispy ham leider nix mit sicherheit vor viren, searchbars usw. zu tun, oder?
|
|
|
|
|
|
|
also bei antispy nich direkt..aber es is schon nützlich gegen die aktivierung von winxp usw.
|
|
|
|
|
|
|
Wieso sollte man die unterbinden wollen?
|
|
|
|
|
|
|
Weil locker 90% aller Windowsinstallationen raubkopiert sind
|
|
|
|
|
|
|
Verzeih, ich versäumte den Smilie mit zu posten, um zum Ausdruck zu bringen, wie die Frage gemeint war
|
|
|
|
|
|
|
da lob ich mir unsere hardwear firewall... Nur kann ich wegen der keine datem mehr per irc verschicken...
|
|
|
|
|
|
|
|
|
|
|
| Zitat von 1-2-3
mein Paket:
-Antivir
-Updates
-Brain | |
dito !
|
|
|
|
|
|
|
| Zitat von RAPE @ Mhz
| Zitat von 1-2-3
mein Paket:
-Antivir
-Updates
-Brain | |
dito ! | |
wenn ihr mit "brain" noch ein paar der hinweise aus dem startpost meint, dann stimme ich fast zu, ansonsten reicht eure "Kombo" auf die Dauer nicht.
|
|
|
|
|
|
|
| Zitat von cyprus
- Hardening dürchführen
Fürs das sogenannte Hardening (Schließen von Diensten die mögliche Sicherheitsrisiken in sich wirken.) gibt es inzwischen viele Tools und Hilfen.
Ein Homepage die sich sehr gut mit dem Thema beschäftigt und auch eine Batch-Datei anbieten um das Hardening zu vereinfachen findet man hier:
http://www.ntsvcfg.de/
bzw
http://www.dingens.org/ <- klicki-bunti ntsvcfg
Man sollte sich die Seite wenigstens mal durchgelesen haben.
---
| |
|
|
|
|
|
|
Thema: [HowTo] Windows sicher konfigurieren ( Sammelaktion! ) |