[Tarnatos]

Zitat

Die 2 Programme die du zuerst empfohlen hast was machen die genau?

Netstat ermöglich die Auflistung der Programme die via TCP/UDP aktiv werden bzw. sind. Anhand der PID kannst du dann zusammen mit dem Taskmanager den Prozess ausfindig machen.

Hiermit kannst du genau sehen, welches Programm auf welchem Port arbeitet. Das Ganze ist ein Kommandozeilen Tool, also nur aus der Kommandozeile (Start->Ausführen->cmd) erreichbar.

Mit "netstat -ano" kannst du unter Windows XP alle Prozesse und deren Ports sowie die PIDs sichtbar machen.

TCPIPView ist im Grunde nichts anderes nur dass es eine Windows Oberfläche besitzt.

Was nützt dir das?!
Hieran kannst du genau sehen, welche Programme versuchen über das Internet zu kommunizieren und diese kannst du dann, entweder mit einem Packetfiler hier reicht sogar die Windows SP2 "Firewall" aus, vom Netz nehmen, oder noch besser dich von den Programmen trennen.

Zitat

Netbios

NetBios wird unter Windows zur Namenauflösung genutz. Hierdurch wird es möglich einen PC mit dessen Namen z.B. \\Server und nicht mehr über die IP \\IP anzusprechen. NetBios kann noch mehr, aber ich denke, du solltest dich erstmal mit den anderen Punkten beschäftigen. Zum Schluss kannst du dich dann NetBios widmen, da hierzu auch eine etwas tieferes Verständnis der Materie von nöten ist.

[ShadowHunter]

Wo finde ich netstat dann? << danke hat sich ja damit erledigt und tcpview macht optisch mehr her 8)
Tcpview werd ich mir jetzt mal anschaun!
Ansonsten ist meine fw nun weg und habe auch mal das ntsvcfg.de ausgeführt, ics scheint auch noch zu gehen!
gibt es jetz sonst noch was zutun? achja netbios bin ich auch grad dabei zu deaktiveren das brauch ich ja für nix oder?

Dieser Beitrag wurde von ShadowHunter bearbeitet: 23. Oktober 2005 - 20:55

[Graumagier]

ShadowHunter sagte:

Wo finde ich netstat dann?

Schon gewusst? Windows bietet eine Suchfunktion.
Es liegt im Ordner C:\Windows\System32.

ShadowHunter sagte:

achja netbios bin ich auch grad dabei zu deaktiveren das brauch ich ja für nix oder?

Nunja, für Netzwerkdrucker eventuell, aber da kannst du auch auf die UNIX-Dienste zurückgreifen (siehe dazu die von Tartanos verlinkten Threads).

[ShadowHunter]

Ja ok daran hab ich grade nicht gedacht 8)

Hmm kann ich also bedenklos so wie auf der seite beschrieben deaktiveren oder?
QoS-paketplaner << kann ich den auch deaktiveren, bzw. was macht der genau?

Vielen Dank übrigens für eure HIlfe

[Tarnatos]

Zitat

Wo finde ich netstat dann?

Zitat

also nur aus der Kommandozeile (Start->Ausführen->cmd) erreichbar.

Mit "netstat -ano" kannst du unter Windows XP alle Prozesse und deren Ports sowie die PIDs sichtbar machen.

Zitat

gibt es jetz sonst noch was zutun?

Ich nutze zusätzlich zu dem ntsvcfg Script noch einige Reg Tweaks und das DCOMBulator Tool, da oftmals noch einige Ports offen bleiben. Allerdings ist ein intensives Auseinandersetzten mit der Materie und eine individuelle Dienstekonfiguration für ein halbwegs sicheres Gesamtkonzept unumgänglich.

Siehe: http://dvbpool.de/pu...e/Sicherheit.7z

Zitat

das brauch ich ja für nix oder?

NetBios wird unter Windows für die Datei und Druckerfreigaben eingesetzt. Deaktivierst du es, ist diese nur noch über Microsoft Directory Services nutzbar. Da man dies aber oftmals gleich mit deaktiviert ist somit alles was mit Windowsinterner Datei und Druckerfreigabe zu tun hat tod.

Hierfür bietet sich dann ein FTP Server auf den Systemen an, der dann zum Austausch der Daten zwischen den Systemen dient.

Deaktiviert man NetBios und MS-DS so zwingt man Windows nur noch reines TCP/IP zu "sprechen" und genau das wollen wir erreichen!

##Nachtrag

Der Qos Packetplaner ist ein nützliches Feature was in der Theorie zu einer Optimierung deines Netzwerktransfer führt. Es hat also durchaus seine Darseinsberechtigung. Wie es genau funktioniert, erfährst du hier: http://de.wikipedia.org/wiki/Qos

Zitat

Vielen Dank übrigens für eure HIlfe

Dafür gibt es diese Community

Dieser Beitrag wurde von Tarnatos bearbeitet: 23. Oktober 2005 - 21:08

[ShadowHunter]

Also tcpview zeigt mir einen systemprocess 0 irgenwdie sehr oft an, was hat das zu bedeuten, dort stehen oft seiten wie rackspace.de oder ips, hier mal ein bild



Ok also kann ich nicht mehr einfach daten hin und herschieben im netzwerk sehe ich das richtig? muss das dann über ftp machen, was ja kein problem is nur minimal aufwendiger!

Edit by Flo: Habe das bild mal als Anhang gemacht, das war ja nicht zum aushalten
Hätte ich auch gleich machen können ich honk, hast recht danke dir

Dieser Beitrag wurde von ShadowHunter bearbeitet: 23. Oktober 2005 - 21:13

[Tarnatos]

Zitat

Also tcpview zeigt mir einen systemprocess 0 irgenwdie sehr oft an, was hat das zu bedeuten, dort stehen oft seiten wie rackspace.de oder ips, hier mal ein bild

Du musst TCPIPView ausführen wenn du alle Programme geschlossen hast. Am sinnigsten ist es genau nach einen Neustart. Dann weißt du genau, wo du noch dran arbeiten mußt. So wedern die Anzeigen durch mirc FireFox und v.a. verfälscht.

Zitat

Ok also kann ich nicht mehr einfach daten hin und herschieben im netzwerk sehe ich das richtig? muss das dann über ftp machen, was ja kein problem is nur minimal aufwendiger!

Lediglich die Einrichtung ist aufwendiger. In der Nutzung ist es nachher genau wie sonst auch. Du kannst die FTP Accounts ganz einfach in den Explorer einbinden.

Mit Netdrive kannst du diese sogar als Laufwerk Mounten!

##Nachtrag
Jedoch solltest du dich ersteinmal auf die Dienste Konfig und das Updaten deines Systems konzentrieren. Lass NetBios erstmal unberührt. Wenn alles andere halbwegs gut konfiguriert ist, dann kannst du dich Netbios widmen.

Dieser Beitrag wurde von Tarnatos bearbeitet: 23. Oktober 2005 - 21:14

[ShadowHunter]

Jo aber wenn z.b ein Programm erst dann ins Internet zugreift wenn ich im Internet bin oder so, dann sehe ich es ja nicht nachm neustart sondern erst später?!
Aber ansonsten sieht es doch gut aus oder?

Jo ich mach das meist an den anderen pcs dann per firefox gibts ja auch nen einfachen befehl der pw und alles beinhaltet, netdrive könnte ich auch mal testen, geht nur darum, dass mein Dad und mein kleiner bruder ohne stress auf die daten zugreifen können!

Das system ist ja auf dem neuesten stadn (sp2 und alle nötigen patches) sowie die regtweaks und dienste deaktivert, das skript von der seite und jetzt auch noch die 4.reg tweaks aus der zip von dir, also könnte ich jetz doch noch netbios deaktiveren! (oder greifen auf netbios p2p programme, chat programme (icq, irc), spiele oder sonst was noch drauf zu?)

edit:
Weils mir grad einfällt, ich hab ja 2 Netzwerkkarten im PC, eine zum DSL Modem die andere zum switch an dem die anderen PCs sitzen, es sollte doch reichen netbios für die eine karte und die internetverbindung selbst nur zu deaktiveren oder?

Dieser Beitrag wurde von ShadowHunter bearbeitet: 23. Oktober 2005 - 21:32

[Tarnatos]

So sieht das ganze z.B. bei mir aus:

Zitat

Jo aber wenn z.b ein Programm erst dann ins Internet zugreift wenn ich im Internet bin oder so, dann sehe ich es ja nicht nachm neustart sondern erst später?!

Das ist ja auch erstmal unwichtig. Es gehet um die Grundkonfiguration. Erst wenn die OK ist kannst du dich dein einzelnen Programmen widmen.

Zitat

Aber ansonsten sieht es doch gut aus oder?

Nein. Die "system:4" Prozesse müßen noch weg!

Mach bitte mal ein Screenshot wenn alle Programme die auf das Internet zugreifen können aus sind!

Zitat

(oder greifen auf netbios p2p programme, chat programme (icq, irc), spiele oder sonst was noch drauf zu?)

Nein. Diese Programme nutzen nur TCP/UDP. Netbios ist nur in Windows Netzwerken "pseudo wichtig".

Zitat

netdrive könnte ich auch mal testen, geht nur darum, dass mein Dad und mein kleiner bruder ohne stress auf die daten zugreifen können!

Dann lass Netdrive weg und mach alles mit Windows internen Mitteln (Netzwerkumgebung->Netzwerkressource hinzufügen).

Das ganze sieht dann so aus:

Dieser Beitrag wurde von Tarnatos bearbeitet: 23. Oktober 2005 - 21:40

[ShadowHunter]

So direkt nach dem Neustart, und nachdem ich Von meiner Internetverbindung und meiner Lanverbindung an dem das DSL modem hängt netbios deaktiert habe, nur bei der 2.ins netzwerk is netbios noch an, deswegen wohl diese prozesse noch!:
Hier

Ok dann werd ich das ohne netdrive machen!
Die einzigen 2 Sachen die im tray sind, sind von nvidia die soundsteuerung und ati tray tools vom omega driver

[Tarnatos]

Das sieht doch schon mal bedeutend besser aus. Der Einzigste schädliche Prozess ist der erste, da er den Status "listening" zu deutsch "Abhören" trägt. Dies tut er zwar nur lokal, kann aber unter umständen eine Sicherheitslücke sein.

Wenn du ohne Netbios leben kannst und das kann man deaktiviere es komplett.

Gerätemanger->Ansicht->Ausgeblendete Geräte anzeigen->Nicht PNP Geräte->TCP über Netbios->deaktiviert.

##Nachtrag
Dann würde ich dir noch einen guten Viren Scanner empfehlen, ich selber nutze Avast aber das ist eine Glaubensfrage.

Dieser Beitrag wurde von Tarnatos bearbeitet: 23. Oktober 2005 - 21:46

[ShadowHunter]

Dankeschön 8) dann sollte ich doch jetzt "relativ" sicher sein oder?

Avast = freeware?
hab grad mal bitdefender 8 free drauf is der zu empfehlen? mag antivir nicht so unbedingt!

[Tarnatos]

Zitat

Avast = freeware?

Jap.

Zitat

bitdefender 8 free

Ich kenne ihn nicht, aber er soll ganz gut sein!

Zitat

Weils mir grad einfällt, ich hab ja 2 Netzwerkkarten im PC, eine zum DSL Modem die andere zum switch an dem die anderen PCs sitzen

Warum ist denn das Modem nicht direkt mit am Switch?

Zitat

es sollte doch reichen netbios für die eine karte und die internetverbindung selbst nur zu deaktiveren oder?

Naja, wenn du die Haustüre abschließt aber die Gartentüre auf läßt, ist das dann sicherer?

Ich würde es komplett abschallten (s.o.).

[ShadowHunter]

Dann werde ich den auch mal testen

Kein Uplink Port, habs nicht hinbekommen, hab eh die 2 onboard lan adapter also gehts auch so!

Naja nur geht jetz mein trillian nicht mehr 8) dafür alle systemprocess 4 teile weg!
ok nun doch aber hatte irgendwie länger gebraucht zu connecten!

Dieser Beitrag wurde von ShadowHunter bearbeitet: 23. Oktober 2005 - 21:58

[Rika]

Zitat

Also das mit den Ordnern war jetzt nicht bei mir sondern bei einem Kollegen, der eben das in seiner Firma beobachten konnte, mit welchem tool weiss ich jetz nicht!

Filemon? Process Explorer?
Ändetr aber nix daran, daß mir kein aktueller Client bekannt wäre, der so kaputt wäre und außerhalb der freigegebenen Ordner was freigibt. Zumal das PeerGuardian auch kein bisschen hilft, außer natürlich das System wieder anfälliger zu machen.

Zitat

diese kannst du dann, entweder mit einem Packetfiler hier reicht sogar die Windows SP2 "Firewall" aus, vom Netz nehmen,

Nur für den Fall, daß es via listen() passiv als Server agiert. Aktive connect()-Verbindungen filtert die nicht, aus gutem Grunde.

Zitat

Deaktiviert man NetBios und MS-DS so zwingt man Windows nur noch reines TCP/IP zu "sprechen" und genau das wollen wir erreichen!

NetBIOS geht über beliebige Link-Protokolle (TCP/IP, IPX, NetBEUI, AppleTalk) zu sprechen, und bei TCP/IP hat es sich eingebürgert - ist mithin also eher etwas auf dem Application Layer denn ein Transportprotokoll. MS-DS ist SMB, im Falle von Dateifreigaben sogar mit CIFS, also gar nicht mal so weltfremd. Und soweit ich das sehen kann ist nur die NetBIOS-Implementierung tödlich kaputt, CIFS via SMB und WebDAV ist nicht per se böse. Trotzdem ist ein FTP-Server, den man sehr einfach selektiv nur für eine bestimmte Zeit laufen kann, natürlich sicherheitsmäßig zu bevorzugen und idR auch etwas performanter

Zitat

Also tcpview zeigt mir einen systemprocess 0 irgenwdie sehr oft an, was hat das zu bedeuten,

Und wieder einmal verweise ich auf die wunderbar knubbelige ASCII-Grafik in RFC793 auf Seite 22, die die Zustandssemantik von TCP erklärt.
TIME_WAIT bedeutet, daß die TCP-Verbindung beendet ist und nur noch eine Zeit von 2xMSL gewartet wird, um nachträglich eintreffende TCP-Segmente, die noch zu dieser Verbindung gehören, dieser zuzuordnen und mit entsprechenden Statusmeldungen zu beantworten, bevor die Verbindung endgültig gestorben ist. Da sich für solche sterbenden Verbindungen kein Programm mehr zu interessieren hat, übernimmt der System-Prozess diese Arbeit.

Zitat

Nein. Die "system:4" Prozesse müßen noch weg!

Dementsprechend ist das Unsinn, zumindest für TIME_WAIT, da diese Verbindungen genau gar nix mehr machen können und keinerlei Gefahr darstellen. Man kann sie maximal schneller sterben lassen, indem man den Maximalwert von 2MSL auf 30 Sekunden heruntersetzt, was jedoch höchstens für Portscanner interessant ist.