WinFuture-Forum.de: Windows - Sicher Konfiguriert! - WinFuture-Forum.de

Zum Inhalt wechseln

Nachrichten zum Thema: Sicherheit
Seite 1 von 1

Windows - Sicher Konfiguriert! Neues How To

#1 Mitglied ist offline   ShadowHunter 

  • Gruppe: aktive Mitglieder
  • Beiträge: 4.199
  • Beigetreten: 31. August 04
  • Reputation: 1

geschrieben 25. Juni 2006 - 21:37


Windows - Sicher konfiguriert:


Hier soll euch eine Anleitung gegeben werden, wie ihr euer Windows Betriebssystem möglichst sicher konfigurieren könnt um die Gefahr eines Schädlingsbefalls oder Angriffs von Außen zu minimieren.
Sie erhebt kein Anspruch auf Vollständigkeit und wird erweitert, wenn sich weitere Möglichkeiten finden.
Daher seid ihr auch aufgefordert mit eurem Feedback mit zu helfen und uns zu unterstützen. Somit können Fehler ausgebessert werden und neue Inhalte hinzukommen.
Nutzt dazu bitte diesen Thread: Feedback zu "Windows -Sicher konfiguriert"
Diese Anleitung ist in die folgenden acht Bereiche unterteilt, die ihr separat auswählen könnt:

I. Vorgehensweise während und direkt nach der Installation
II. Weitere Vorgehensweise und Hinweise
III. Einstellungen im System
IV. Weitere Tipps
V. Abschließendes
VI. Weitere Artikel zum Thema hier im Forum
VII. Weitere Links zum Thema
VIII. Anhang
0

Anzeige

#2 Mitglied ist offline   ShadowHunter 

  • Gruppe: aktive Mitglieder
  • Beiträge: 4.199
  • Beigetreten: 31. August 04
  • Reputation: 1

geschrieben 25. Juni 2006 - 22:01

I. Vorgehensweise während und direkt nach der Installation:

Um eine saubere Grundinstallation zu gewährleisten, sollte der PC vom Zeitpunkt der Installation bis einschließlich der Installation der letzten Updates nicht mit dem Internet verbunden sein. Daher solltet ihr euch bereits vor der Installation von einem sauberen System aus eine CD mit allen Treibern und den aktuellsten Updates (z.B. dem Winfuture Update Pack) zusammenstellen, damit die Gefahr einer Kompromittierung möglichst vermindert werden kann.

Als Dateisystem solltet ihr euch aufgrund der besseren Rechtevergabe für NTFS entscheiden. Des weiteren solltet ihr ein Administratorpasswort einrichten, welches sinnvoll gewählt sein sollte. Bei der Home-Edition ist zu beachten, dass neben dem Standard-Admin ein zweiter Admin angelegt werden muss.
Die restliche Installation könnt ihr nach euren Wünschen gestalten.
Nach der Installation solltet ihr ein Administratorkonto vorfinden von dem aus ihr zunächst aus alles weitere einstellt. Beginnt am besten mit der Installation des Service Pack 2 (falls ihr es nicht schon in die Installations-CD integriert habt) und danach installiert ihr alle weiteren Updates, idealerweise mit dem Winfuture Update Pack. Danach könnt ihr Dinge wie das .Net-Framework ebenfalls gleich installieren. Grundsätzlich gilt: Zuerst die wichtigsten Treiber (in der Reihenfolge Mainboard – Grafikkarte), dann die wichtigsten Updates, dann der Rest wie z.B Tastatur und Maustreiber.

Sinnvoll ist es bereits eine CD zu erstellen die vor allem das Service Pack 2 und evtl. auch die Patches enthält. Ihr könnt eure CD dann auch weiter euren Wünschen entsprechend anpassen. Dazu eignen sich sowohl der Winfuture XP ISO Builder als auch Nlite! Manuell ist das ganze auch möglich unter http://www.windows-unattended.de/. Achtet bitte darauf eure Änderungen an der CD schriftlich festzuhalten, um bei späteren Problemen leichter den evtl. daraus resultierenden Fehler finden zu können!

Eine sehr schöne Anleitung wie ihr Windows richtig installiert hat Flo geschrieben, ihr findet sie hier!
0

#3 Mitglied ist offline   ShadowHunter 

  • Gruppe: aktive Mitglieder
  • Beiträge: 4.199
  • Beigetreten: 31. August 04
  • Reputation: 1

geschrieben 25. Juni 2006 - 22:02

II. Weitere Vorgehensweise und Hinweise:

Bevor wir uns jetzt an die Einstellungen am System direkt machen sollen noch ein paar grundlegende Dinge erwähnt werden.

Für ein vernünftiges Sicherheitskonzept ist es wichtig, sich Gedanken zu machen. Ihr solltet also mit Verstand im Netz unterwegs sein und euch nicht einfach auf Software- oder Hardware verlassen.
Bei unseriösen Dingen lieber Finger weglassen, dies gilt sowohl für das Surfen als auch für E-Mails und Ähnliches. Darunter fallen z.B E-mails von Banken in denen ihr aufgefordert werdet auf einer Seite eure Daten und euer Passwort anzugeben, oder E-mails mit merkwürdigem Absender. Auch sind Seiten mit dubiosem Inhalt mit Vorsicht zu genießen. Dazu zählen Seiten, die merkwürdige Versprechungen tätigen, illegale Dinge anbieten oder kostenlose Zugänge zu pornographischen Inhalten bieten.
Heruntergeladene Dateien könnt ihr über Prüfsummen oder Virenscanner überprüfen lassen.Setzt möglichst Open-Source Software ein, um so die Gefahr euch Malware einzufangen zu minimieren. Hier bietet es sich an, vor der Installation von Programmen über einschlägige Suchmaschinen nachzuforschen, ob die Software mit entsprechenden „Beigaben“ ausgeliefert wird(Suchworte wären z.b. Programmname Malware?).
Besonders fürs Internet sind Alternativen zu den standardmäßig mit Windows mitgelieferten Produkten zu empfehlen.
Dazu zählen z.B. Mozilla Firefox oder Opera (Webbrowser) oder Mozilla Thunderbird (Mailclient).
Eine schöne Liste findet ihr hier im Forum und weiterführende Informationen auch hier .

Ein gesonderter Punkt betrifft die Arbeit als Administrator bzw. als eingeschränkter Benutzer.
Es wird empfohlen nur als eingeschränkter Benutzer im Internet tätig zu sein, daher solltet ihr euch für die tägliche Arbeit ein Konto mit eingeschränkten Rechten anlegen. Damit haben es Schädlinge schwerer sich im System zu verankern oder überhaupt tätig zu werden. Man sollte grundsätzlich ein eingeschränktes Benutzerkonto verwenden, Benutzerkonten mit Administratorrechten sind ausschließlich für administrative Tätigkeiten gedacht, schon alleine weil man damit das System und die Daten anderer Benutzer vor unbeabsichtigter Manipulation schützt (Tipp: das erzwungene Schließen von geöffneten Dateien erfordert das Debuggen von Fremdprozessen, womit man auch noch viele andere böse Sachen anstellen kann. Das ist daher eine administrative Tätigkeit und fordert zu recht Administratorrechte. Diest ist nur ein Beispiel für eine teilweise nützliche Funktion zu viele Rechte benötigt). Programme sollten zunächst einmal grundsätzlich mit dem Benutzer installiert werden, mit dem sie auch verwendet werden. Programme, bei denen das nicht möglich ist (und das ist leider die Mehrzahl) werden über das Administratorkonto installiert, danach können benutzerspezifische Daten wie Startmenü- und Autostarteinträge und Schreibrechte für Konfigurationsdateien gesondert angepasst werden.

Bevor ihr euch an die Arbeit macht solltet ihr noch folgende Einstellungen tätigen:
Zunächst ändert ihr in der Registry (zu erreichen unter Start --> Ausführen... --> regedit) den Wert des Eintrags „HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\ nolmhash" auf „1“.

Eingefügtes Bild

Lmhash1
Lmhash2

Hintergrund des Ganzen:
Zwar "nur" Buchstaben, aber dafür echter Bruteforce. Der LmHash bewirkt, daß jemand mit Zugriff auf die Account-Datenbank (SAM) das Passwort mit einem maximalen Aufwand von läppischen 2^57 Versuchen knacken kann, egal wie sicher es sonst wäre. Angriffe gegen den reinen NtlmHash sind hingegen aussichtslos. Ein LmHash wird nicht mehr erstellt, wenn man entweder benannte Option setzt oder ein Passwort mit mehr als 14 Zeichen wählt. Bereits vorhandene LmHashes entfernt man, indem man benannte Option setzt und dann (von mir aus genau das gleiche) Passwort neu vergibt. (Vielen Dank an Rika für die Erklärung)

Des weiteren solltet ihr in den lokalen Sicherheitsrichtlinien (in der Systemsteuerung unter „Verwaltung“) den Eintrag „LAN Manager“ unter „Sicherheitsoptionen“ auf „Nur NTLMv2-Antworten senden/LM & NTLM verweigern“ stellen.
Unter XP Home ist diese Einstellung leider nicht möglich.

Eingefügtes Bild

Dazu deaktiviert ihr noch das Gastkonto und das Administratorkonto um anschließen erst einmal neu zu starten. Der vordefinierte Admin hat eine eindeutige SID und wird anders behandelt wie selbst erstellte Adminkonten. Durch das deaktiveren ist die Möglichkeit nicht mehr so einfach gegeben, dass sich jemand Zugriff auf diese Konten verschafft.
Erst jetzt macht ihr euch an die Benutzerkonten. Beginnt am besten mit der Vergabe eines sinnvollen Passworts für euer Administratorkonto und erstellt dann ein "eingeschränktes Benutzerkonto", ebenfalls mit einem sinnvollen Passwort.Auch das deaktivierte Administratorkonto solltet ihr sicherheitshalber mit einem Passwort versehen. Dazu geht ihr in die Computerverwaltung und dort System -> Lokale Benutzer und Gruppen -> Benutzer (unter XP Home Edition ebenfalls nicht vorhanden).

Eingefügtes Bild

Der Hintergrund dieser Aktion ist, dass die Passwörter leicht zu knacken wären, wenn die Passwörter erstellt worden wären bevor wir LMHash deaktiviert haben.

Den Benutzer könnt ihr einfach über die "Systemsteuerung" und dort unter "Benutzerkonten" einrichten.

Eingefügtes Bild

Verwendet bitte auch für die eingeschränkten Benutzerkonten ein sinnvolles Passwort. Der Benutzer sollte möglichst wenige zusätzliche Rechte erhalten. Gibt es dennoch Programme die mit eingeschränkten Rechten nicht vernünftig laufen und ihr dennoch nicht auf diese verzichten könnt, müsst ihr die Rechte des Benutzerkontos erweitern. Dies geschieht entweder über den Reiter "Sicherheit" im Windows Explorer oder über die Registry. Unter XP Home ist der Reiter "Sicherheit" nur im abgesicherten Modus sichtbar, allerdings gibt es eine inoffizielle Erweiterung es auch im normalen Adminkonto sichtbar zu machen, diese nennt sich Fajo XP. Um zu erfahren welche Rechte ein Programm braucht sind die Programme „Filemon“ und „Regmon“ von Sysinternals zu empfehlen. Alternativ könnt ihr die Programme auch im Benutzerkonto als Administrator starten. Dazu macht einen Rechtsklick auf die Verknüpfung und wählt "Ausführen als...". Anschließend wählt ihr im unteren Feld euer Administratorkonto aus und gebt euer Passwort ein. Dennoch empfiehlt es sich Software zu verwenden, die hier keine Probleme verursacht.

Eingefügtes Bild
0

#4 Mitglied ist offline   ShadowHunter 

  • Gruppe: aktive Mitglieder
  • Beiträge: 4.199
  • Beigetreten: 31. August 04
  • Reputation: 1

geschrieben 25. Juni 2006 - 22:03

III. Einstellungen im System:

Einen Großteil der Arbeit ersparen uns Skripte oder fertige Registrydateien.
Beginnen solltet ihr mit dem Skript von der Seite http://ntsvcfg.de/, welches auch in der im Anhang befindlichen Sammlung enthalten ist.
Dieses führt ihr aus und wählt die Option "1". Somit schaltet ihr viele unnötige Dienste ab und vermindert damit die Angriffsfläche, die euer System bietet. Weitere Details findet ihr auf der Seite selbst.

Eingefügtes Bild

Danach machen wir uns an den NetBIOS-Dienst.
Hierzu geht ihr in die Eigenschaften der Netzwerkumgebung und wählt dort eure Lan-Verbindungen aus.
Ihr ruft deren Eigenschaften auf und entfernt bei "Datei- und Druckerfreigabe für Microsoft-Netzwerke", "QoS" und "Client für Microsoft-Netzwerke" die Haken, außer ihr seid darauf angewiesen z.B falls ihr einen Netzwerkdrucker habt oder Programme die "QoS" benötigen. Man will einfach nicht unnötig NetBIOS lauschen lassen, wenn man es ja garnicht benötigt.

Eingefügtes Bild

Dann könnt ihr jedoch nicht mehr wie gewohnt eure Daten im Netzwerk verwalten. Ihr solltet dazu besser das (S)FTP-Protokoll verwenden, hierzu eignen sich die beiden FileZilla-Programme die hier zu finden sind.
Ansonsten müsst ihr in den Eigenschaften die Haken beibehalten.
Nun wählt ihr die Eigenschaften des "Internetprotokoll (TCP/IP)" aus und wählt dort "WINS". Hier aktiviert ihr die Option "NetBIOS über TCP/IP deaktivieren". Wenn ihr es dennoch wollt, solltet ihr es nicht deaktiveren, da das Aktivieren besser ist als "DHCP". Dies gilt auch für IPX, falls ihr es nutzt (== Häkchen bei Nwlink-NetBIOS weg).
ICS wird weiterhin funktionieren. Wenn ihr NetBIOS beispielsweise bei euren PPPoE-Einwahlzugang deaktiviert, aber an der Netzwerkkarte für's interne LAN aktiviert lasst, dann könnt ihr natürlich noch im internen LAN drucken - nur halt nicht mehr über's Internet :) Es soll ja verhindert werden, dass jemand Fremdes Freigaben liest sowie sinnlos druckt.

Eingefügtes Bild

Dies wiederholt ihr für alle Verbindungen.
Abschließend wählt ihr in den Netzwerkverbindungen noch die "Erweiterten Einstellungen" aus und entfernt dort alle Bindungen zu "LAN-Verbindung" und "RAS-Verbindungen". Jetzt könnt ihr zwar nicht mehr die PCs in der Netzwerkumgebung finden, aber gerade das dient der Sicherheit, weswegen ihr möglichst auf FTP oder andere Alternativen setzen solltet.

Jetzt solltet ihr noch die Dienste DHCP und DNS-(Server) deaktivieren, falls ihr sie nicht unbedingt benötigt, so vermeidet man auch oft Probleme und die Konfiguration von Paketfiltern ist einfacher. Dazu wählt ihr "Start -> Ausführen... -> services.msc" wo ihr die gleichnamigen Dienste findet. Den Dienst braucht ihr nur, wenn euer Router oder Server dem PC die IP-Adresse zuweisen soll. Es empfiehlt sich jedoch die IP-Adressen einmalig manuell festzulegen, so dass der Router z.b die IP-Adresse 192.168.1.1 erhält und die PCs im Netzwerk Adressen von 192.168.1.2 aufwärts. Damit das Ganze funktioniert müsst ihr die IP-Adresse des Routers als Standardgateway in den Eigenschaften der Netzwerkverbindung eintragen (unter Internetprotokoll (TCP/IP)"). Als DNS-Server könnt ihr ebenfalls den Router eintragen, stattdessen empfiehlt es sich jedoch direkt die IP-Adressen der DNS-Server einzutragen, die ihr von eurem ISP zur Verfügung gestellt bekommen habt.

Eingefügtes Bild

Als Nächstes wechseln wir in die Computerkonfiguration. Geht nun erneut auf "Start -> Ausführen..." und wählt diesmal "gpedit.msc" (nur unter XP Pro, MCE, ProX64 verfügbar). Nun wählt ihr "Computerkonfiguration -> Windowseinstellungen -> Sicherheitseinstellungen ->
Lokale Richtlinien -> Sicherheitsoptionen" und entfernt dort bei "Netzwerkzugriff: Freigaben, auf die anonym zugegriffen werden kann" alle Einträge. Sollte dort "$IPC" erscheinen, dann auf keinen Fall löschen.

Eingefügtes Bild

Wir bleiben hier und benennen noch das Admistrator- und Gastkonto um. Unter "Computerkonfiguration -> Windows-Einstellungen -> Sicherheitseinstellungen -> Lokale Richtlinien -> Überwachungsrichtlinien" stellen wir noch folgendes ein:
- "Anmeldeereignisse überwachen – erfolgreich und fehlgeschlagen"
- "Anmeldeversuche überwachen – erfolgreich und fehlgeschlagen"

Nun kommen wir zu den Autostarts. Im folgenden liste ich auf, wo überall sich Autostart-Einträge befinden könnten. Ihr solltet die Rechte dieser Schlüssel so anpassen, dass der Benutzer dort keine Einträge erstellen kann. Ausnahmen sind der Autostart-Ordner im Startmenü des jeweiligen Benutzers und der Registry-Schlüssel „HKEY_USERS\$USER_ID\Software\Microsoft\Windows\CurrentVersion\ Run“.

Einige Einträge:

- "C:\Dokumente und Einstellungen\<Benutzername>\Startmenü\Programme\Autostart"

- "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Run"
- "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
RunOnce"
- "HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows"
- "HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\
Winlogon\"
- "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SessionManager"

- "%windir%\System32\GroupPolicy\Machine\Scripts\Startup"


Dazu Policies:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Policies\Explorer]
"DisableLocalUserRun"=dword:1
"DisableLocalUserRunOnce"=dword:1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Policies\Explorer]
"DisableLocalUserRun"=dword:1
"DisableLocalUserRunOnce"=dword:1


Um in HKEY_CURRENT_USER die Rechte zu entziehen müsst ihr im Administratorkonto unter HKEY_USERS den passenden Eintrag suchen und dem Benutzer dort mit Rechtsklick im Feld die Rechte entziehen. Um alle Einträge zu erhalten ist das Tool "Autoruns" von Sysinternal zu empfehlen, da es eine große Menge an möglichen „Lagerstätten“ für Autostarts gibt. Die Verknüpfungen zu den Programmen die ihr benötigt solltet ihr im Autostart-Ordner im Startmenü platzieren.

Eingefügtes Bild

Schließlich solltet ihr auch die "Administrativen Freigaben" deaktivieren, um so unerwünschte Zugriffe auf eure Partitionen zu vermeiden. Dazu erstellt ihre eine "*.reg" Datei und führt diese im Administratorkonto aus:

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\
LanmanServer\Parameters]
"AutoShareServer"=dword:0
"AutoShareWks"=dword:0

0

#5 Mitglied ist offline   ShadowHunter 

  • Gruppe: aktive Mitglieder
  • Beiträge: 4.199
  • Beigetreten: 31. August 04
  • Reputation: 1

geschrieben 25. Juni 2006 - 22:03

IV. Weitere Tipps:

Ihr solltet die erweiterte Dateifreigabe nutzen, um den Register "Sicherheit" zu erhalten, dies geht wie folgt: "Ordneroptionen -> Einfache Dateifreigabe verwenden -> Haken entfernen".

Eingefügtes Bild

Den Internet Explorer solltet ihr möglichst meiden oder mit der "internetexplorer.reg" (Dann funktioniert auch leider das WMP- und das WGA-Plugin für Firefox nicht mehr) aus dem Anhang "stilllegen".
Er bietet immer noch sehr viele Lücken und ist das Hauptangriffsziel für Schädlinge, da er auch weiterhin sehr verbreitet ist. Daher sind die Alternativen sinnvoller. Wenn ihr ihn deaktiviert können einige Probleme auftreten, mit Programmen die auf ihn und seine Core-Engine zugreifen. Ein Beispiel wäre Steam, dass die "modt" mit Hilfe des IEs im Spiel startet. Daher solltet ihr ihn nur deaktiveren wenn ihr wisst, was ihr tut. Ansonsten alles mögliche wie ActiveX und javascript deaktivieren und ihn nicht nutzen. Auch nicht in die Adressleiste des Windows Explorers Webseiten eingeben und aufrufen. Das WindowsUpdate funktioniert dann unter Umständen nicht mehr. Ihr könnt dann aber über den Firefox und das WGA Plugin (falls nötig) direkt von der Microsoft Seite laden oder das Winfuture Update Pack nutzen. Im Zweifelsfall könnt ihr ihn hierfür aber Nutzen, aber möglichst nur hierfür.

Falls ihr den MSN-Messenger nicht benötigt, schaltet ihn ab. Wechselt zur Eingabeaufforderung ("Start-> Ausführen-> cmd")
und gebt folgendes ein:
"rundll32 advpack.dll,launchinfSection %windir%\inf\msmsgs.inf,blc.remove"

Eingefügtes Bild

Den Windows Media Player könnt ihr auch anpassen, um die Sicherheit zu erhöhen. Dazu gibt es entweder entsprechende Skripte am Ende dieses Artikels, oder ihr macht euch selbst an die Optionen ran, indem ihr z.B. "Identifikation des Players durch Internetsites" und "Lizenzen automatisch erwerben" deaktiviert.

Ihr könnt auch weitere Dienste wie z.B. den "Brenndienst" deaktivieren, wenn ihr sowieso ein separates Programm für diese Aufgabe habt. Seid aber vorsichtig und deaktiviert nur das, was ihr auch wirklich nicht benötigt. Hierbei solltet ihr auch auf die Abhängigkeiten der Dienste achten, damit ihr nicht unabsichtlich andere, noch erwünschte Dienste beeinflusst.

Eingefügtes Bild

Unter Windows XP gibt es standardmäßig einen Benutzer namens „Support User“.
Mit diesem können sich Microsoft-Mitarbeiter bei Problemen über die Remote-Funktion auf dem Rechner einloggen. Diesen Benutzer solltet ihr aus der Benutzerverwaltung entfernen:
"Systemsteuerung-> Verwaltung-> Computerverwaltung-> Lokale Benutzer und Gruppen-> Benutzer" und dort den Benutzer MS-Supportuser löschen.
Das ist unter XP-Home nicht möglich.

Um die gemeinsame Dateien nicht im Netzwerk freizugeben, geht wie folgt vor:

- "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\ CurrentVersion\ Explorer\ MyComputer\ NameSpace\ DelegateFolders"
und löschen von "{59031a47-3f72-44a7-89c5-5595fe6b30ee}"

- Damit ein Rechner nicht in der Netzwerkumgebung auftaucht, kann er mit dem Befehl "cmd /k net config server /hidden:yes" (wird in Start > Ausführen eingegeben) versteckt werden.

Weitere Dinge wie den Zip-Manager oder Outlook Express könnt ihr mit Hilfe der im Anhang befindlichen Skripte loswerden, falls ihr sie nicht benötigt.
0

#6 Mitglied ist offline   ShadowHunter 

  • Gruppe: aktive Mitglieder
  • Beiträge: 4.199
  • Beigetreten: 31. August 04
  • Reputation: 1

geschrieben 25. Juni 2006 - 22:04

V. Abschließendes:

Um euer System noch weiter zu schützen wäre es sinnvoll, wenn ihr vor eurem Host einen Router mit Paketfilter laufen habt. Ihr könnt euch auch selbst einen aus einem alten Rechner basteln und darauf IPCop oder IPFW installieren, es gibt viele Möglichkeiten. Dies ist jedoch nicht zwingend notwendig, wenn sowieso keine Dienste zum Internet angeboten werden (Mit -netstat unter Start -> Ausführen oder TCPView überprüfbar). Auf Software Firewalls solltet ihr wie aus allgemein bekannten Gründen verzichten. Dazu könnt ihr euch die folgenden 2 Threads anschaun:
Warum eine PFW schlecht ist
Videos des CCC zum Thema PFW

Dateiendungen mit ausführbaren Inhalt.

Es ist darauf zu achten, dass der Windows-Explorer unter Umständen die Anzeige der Dateiendungen unterdrückt und so z.B. aus dem Dateinamen "Virus.jpg.exe" der Dateiname "Virus.jpg" wird. Dieses Verhalten kann in den Ordneroptionen vom Windows-Explorer konfiguriert werden. Ein Fehler im Windows-Explorer, Windows ZIP-Programm und Winzip lässt außerdem eine Datei der Art "Virus.folder" als Ordnersymbol erscheinen, in einer solchen Datei könnte ein Schadprogramm enthalten sein. Auch hier erkennt man die Dateiendung erst durch entsprechende Konfiguration des Windows-Explorers.

.asf .com .exe .html .js .mde .nws .reg .url .ws
.bas .cpl .folder .inf .jse .msc .pdf .scf .vb .wsc
.bat .crt .hlp .ins .jsp .msi .pif .scr .vbe .wsf
.chm .doc .hta .isp .lnk .msp .pl .sct .vbs .wsh
.cmd .eml .htm .jar .mdb .mst .ppt .shs .vcd .xls .xlt

(Quelle)

Im Anhang befindet sich eine Sammlung von REG- und CMD-Dateien, die euch die Arbeit erleichtern soll.
Sie wurden in 3 Ordner und einige Unterordner aufgeteilt. Im Ersten befinden sich ein Patch um die TCPIP.sys zu patchen und zu sehen ob der DCOM-Dienst beendet wurde.
In einem Ordner befindet sich das svc2kxp-Skript und in einem weiteren eine Administrative Vorlage für ein Energieschema mit Erklärung, da ihr mit eingeschränkten Benutzerrechten die Energieoptionen nicht ändern könnt.
Im umfangreichsten Ordner "Regs + Cmds" befindet sich die Sammlung der erwähnten Dateien. Diese wurden von mir zum Teil selbst erstellt oder angepasst. Ich habe dazu einen Großteil von Rikas Skripten verwendet. Lest euch zunächst durch was sie tun bevor ihr sie ausführt, sie erleichtern euch jedoch die Arbeit. Sie sind teilweise dokumentiert, ein Teil ist jedoch noch nicht fertig bearbeitet. Das Ganze unterliegt der GNU GPL Lizenz.

Abschließend möchte ich euch bitten diese Anleitung mit eurem Feedback zu unterstützen. Ob Erfahrungsberichte, Designänderungen, Fehler, Kritik, Lob, Zusätze, alles ist willkommen. Wer sich mit den Skripten sehr gut auskennt kann gerne eine Dokumentation dazu schreiben.

Bedanken möchte ich mich bei allen die geholfen haben, dass ich diese Informationen sammeln konnte, unter anderem dem Winfuture Forum und Google :). Desweiteren Dank an Graumagier und Rika für die Skripte und Hilfestellungen.
0

#7 Mitglied ist offline   ShadowHunter 

  • Gruppe: aktive Mitglieder
  • Beiträge: 4.199
  • Beigetreten: 31. August 04
  • Reputation: 1

geschrieben 25. Juni 2006 - 22:05

VI. Weitere Artikel zum Thema hier im Forum:

Windows F.A.Q und How To's
Freeware und Opensource Software
Security Link-Liste
Kompromittierung - Was nun?
Anleitung zu HiJackThis
0

#8 Mitglied ist offline   ShadowHunter 

  • Gruppe: aktive Mitglieder
  • Beiträge: 4.199
  • Beigetreten: 31. August 04
  • Reputation: 1

geschrieben 25. Juni 2006 - 22:05

VII. Weitere Links zum Thema:

Microsoft zum Thema Kompromittierung
Online Virenscanner für Dateien
Gruppenrichtlinien
Heise Security Seite
Linkblock
Artikel zu AccessEnum
IPCOP - Forum (deutsch)
IM Sicherheit und Jabber
TCP-IP Patch
0

#9 Mitglied ist offline   ShadowHunter 

  • Gruppe: aktive Mitglieder
  • Beiträge: 4.199
  • Beigetreten: 31. August 04
  • Reputation: 1

geschrieben 25. Juni 2006 - 22:06

VIII. Anhang:

Zusammenstellung der Registrydateien und Cmds:
Als Anhang(selbstentpackendes 7-Zip Archiv)

Hinweis: Bitte betrachtet die Dateien zuerst und überlegt, bevor ihr sie einsetzt. Falls euer System danach nicht mehr so läuft wie gewohnt, übernehme ich keine Haftung. Im Zweifelsfall nicht nutzen oder nachfragen.

Winfuture übernimmt keine Haftung für Probleme oder Schäden die entstehen.

Update: provisorisches PDF der Anleitung!

http://web10.syscp.n...e/stuff/sec.pdf

Danke :) !!

Angehängte Datei(en)


Dieser Beitrag wurde von ShadowHunter bearbeitet: 07. September 2006 - 21:45

0

Thema verteilen:


Seite 1 von 1

1 Besucher lesen dieses Thema
Mitglieder: 0, Gäste: 1, unsichtbare Mitglieder: 0