[master452]

Hallo,

es sollen mehrere WinXP Rechner vor Angriffen geschützt werden. Die Computer sind selbstlaufend (Präsentationen usw. im Loop) und wie schon gesagt halt mehrere - und für jeden monatlich Geld für eine Firewall oder ähnlichem zu zahlen lohnt sich wirtschaftlich einfach nicht mehr.

Deswegen meine Frage: Wie schütze ich die Computer am besten?

Ich hab mir überlegt, ich installiere eine Firewall und sperre jeglichen Traffic, mit Ausnahme des einen und einzigen Programms das sich mit dem Internet verbinden muss (Update der Präsentationen).

Ist das soweit denn sinnvoll, ausreichend und sicher?

Wenn ja, welche Firewall lässt sich auch kommerziell kostenlos nutzen?
- Ashampoo® FireWall FREE - kommerziell ok - taugts? (alles bis auf das eine Prog sperren)
- Outpost Firewall Free 2009 - keine Angabe zur kommerziellen Nutzung gefunden!? - taugts?
- Comodo Firewall Pro - keine Angabe zur kommerziellen Nutzung gefunden!? - taugts?

Ich hoffe Ihr könnt mir hierbei etwas weiterhelfen.

[deepthought]

Ich finde das ist schonmal ein guter Ansatz. Aber es ist halt nur ne Softwarefirewall.
Die kann man auch austricksen und umgehen wenn man weiss wie.
Zusätzlich würde ich aber auch noch dringend automatische Updates von Microsoft aktivieren.
Das kannst du so einstellen, dass es dein Windows automatisch patcht wenn Updates erscheinen und dann automatisch nen Reboot macht falls nötig. Also die Windowsupdates sind auf jeden Fall essentiell wenn der Rechner mit dem Internet verbunden ist.

Was mir gerade noch einfällt,
den Benutzer mit dem sich der Rechner anmeldet natürlich einschränken soweit es irgendwie geht.
Das sollte natürlich kein Admin Benutzer sein. Das rate ich dir dringend.

Gruß

Dieser Beitrag wurde von deepthought bearbeitet: 28. Juni 2010 - 10:33

[Bullayer]

Wenn die Rechner an einem Router mit Hardware-Firewall hängen reicht der Einsatz der Windows-Firewall aus. Als Virenschutz würde ich dann MSE nehmen.

http://www.microsoft...ity_essentials/


.

[Ponte]

Soweit ich das jetzt verstanden habe sind die Rechner teil eines Firmennetzwerkes oder und die holen sich die Updates vom Firmenserver!?!?!
Warum gibst den Rechner dann keine eigenen IP Bereich und lässt das ganze übern ISA Server abschotten? Wär jetzt mein Vorschlag...

Ponte

[Django2]

Einfach am Switch ein VLAN einrichten für nur diese PCs und gegen alles abschotten bis auf den benötigten Port deines Programms. Die Rechner könnten zwar noch untereinander kommunizieren aber nicht mehr mit PCs aus dem LAN oder dem Internet. Dafür brauchst du aber keine zusätzliche Software zu installieren sondern musst nur den Switch umkonfigurieren (sofern dein Switch das überhaupt kann).

Dieser Beitrag wurde von Django2 bearbeitet: 28. Juni 2010 - 10:55

[master452]

Also die PCs sind weit verstreut und aktualisieren die Präsentationen über das Internet.

Ob ein Router, und welcher davor hängt werde ich wohl nicht beeinflussen können und jeweils unterschiedlich sein, deswegen wollte ich das eher per Software regeln.

Soll ich die Windows Updates wirklich aktiv lassen? - Ich wollte die eigentlich ausschalten, da ich keine aufpoppenden Fenster gebrauchen kann und nicht das sich durch ein Update ein Problem einschleicht und den autonomen Betrieb gefährdet.

Der Computer muss zuverlässig autonom arbeiten ohne irgendwelche störenden Meldungen oder Problemen und dabei halt möglichst abgesichert sein.

EDIT: Virenschutz brauch ich ja nicht wenn ich nicht aktiv damit arbeite und das System anderweitig wie z.B. per Firewall abschotte, oder?

Dieser Beitrag wurde von master452 bearbeitet: 28. Juni 2010 - 11:24

[Django2]

Zitat

Soll ich die Windows Updates wirklich aktiv lassen?

Ja, wenn die User davon nicht genervt werden sollen dann stell es so ein das er die Updates zieht, sie aber später manuel von dir gestartet werden.

Zitat

EDIT: Virenschutz brauch ich ja nicht wenn ich nicht aktiv damit arbeite und das System anderweitig wie z.B. per Firewall abschotte, oder?

PC ohne Virenschutz dürfte hier nicht mal ans Netz angeschlossen werden.

Zitat

Ob ein Router, und welcher davor hängt werde ich wohl nicht beeinflussen können und jeweils unterschiedlich sein, deswegen wollte ich das eher per Software regeln.

Schade, ein VLAN auf nem Switch einrichten wäre in 5 Minuten gemacht gewesen.
Wenns dann doch ne Software Firewall werden soll dann schau dir mal den Thread von Spider über die Freeware online-armor-free an:
Online Armor Personal Firewall

Dieser Beitrag wurde von Django2 bearbeitet: 28. Juni 2010 - 11:40

[Kirill]

Wenns kein Privatrechner zum Privatgebrauch ist, kann man auf Virenschutz eigentlich verzichten und einfach nur Einfallstore schliessen. Also nur unter eingeschränkten Benutzerkonten was damit machen und per Gruppenrichtlinien eine Whitelist für Anwendungen einrichten.
Updatemeldungen kann man per Gruppenrichtlinien komplett deaktivieren.

Bzw. nochmal ein ganz anderer Plan. Es gab mal (und gibt es wohl immer noch) ein ActiveX-Applet für RDP. Hatte ich mal probiert, läuft wunderbar. Muss man auf dem zu steuernden PC IIS installieren (is umsonst), das Applet installieren und gut is. Kann man dann mit dem IE übers Internet fernsteuern, ohne dass ein "echter" RDP-Client vorhanden sein muss und läuft natürlich auch in jedem Netzwerk, über das Webseiten ausgeliefert werden können

http://www.microsoft.com/windowsxp/downloa.../rdwebconn.mspx

Dieser Beitrag wurde von Kirill bearbeitet: 28. Juni 2010 - 16:10

[Ludacris]

du könntest sie via VPN mit dem firmen netz verbinden und dann in eine VLAN stecken

[master452]

Könnte mir das mit den Gruppenrichtlinien Jemand genauer erklären? - ich höre das gerade zum ersten mal.

Welcher dieser drei genannten Firewalls würdet ihr jetzt empfehlen und darf man die zwei letzten jetzt eigentlich gewerblich nutzen oder nicht?

[Django2]

Zitat

Könnte mir das mit den Gruppenrichtlinien Jemand genauer erklären? - ich höre das gerade zum ersten mal.

Gib mal gpedit.msc ein. Da kannst du einiges einstellen und damit du es nicht an jedem Rechner einzeln machen musst kannst du Gruppenrichtlinien über die AD (falls ihr sowas habt) verteilen.

[Kirill]

Richtlinien zur Softwareeinschränkung, oder sowas in der Art. Da kannst du einstellen, dass nichts, ausser dem erlaubten Zeug ausgeführt werden darf und entsprechend die gewünschten Programme erlauben. Die CT hatte mal einen Artikel drüber, also eine Schritt-Für-Schritt-Anleitung. Weiss nicht mehr, wie der hieß, aber schau einfach mal in den Archiven.

[Spiderman]

Zitat (master452: 01.07.2010, 11:14)

Könnte mir das mit den Gruppenrichtlinien Jemand genauer erklären? - ich höre das gerade zum ersten mal.

Welcher dieser drei genannten Firewalls würdet ihr jetzt empfehlen und darf man die zwei letzten jetzt eigentlich gewerblich nutzen oder nicht?

Du brauchst keine persönliche Firewall, weil du ja nur sehr wenig erlauben willst, und das statisch.

Das macht man mit TCP/IP Filterung : http://www.microsoft.com/germany/technet/i...pfund_ch13.mspx

Dann noch Softwarebeschränkungsrichtlinien : http://support.micro...om/kb/310791/de

Und dann natürlich alle nicht benötigen Dienste deaktivieren, auch das automatische Update.


Gruß
Spiderman

Dieser Beitrag wurde von Spiderman bearbeitet: 01. Juli 2010 - 16:57

[dethmaro]

wäre nicht IPCop was?

[master452]

@Spiderman:

Du meinst also wie ich auch die Windows Update ausschalten? Sonst heisst es ja immer an lassen, aber ich hab halt Angst, das dadurch mal der 100% autonome Ablauf nicht mehr klappt.

Ansonsten:
Das man das alles direkt in Windows per TCP/IP Filterung und Gruppenrichtlinien machen kann ist ja schon fein, aber ich bin da doch ziemlicher Noob und das ist schon verdammt schwer - vor allem weil es im Endeffekt dann auch richtig gemacht sein sollte und nicht falsch und unsicher konfiguriert.