[ShadowHunter]

Habe heute diesen link erhalten:

http://home.arcor.de...den/dienste.htm

ich überlege in Zukunft (3) statt (1) zu wählen:

Mich befassen folgende Dinge:
- Intelligenter Hintergrundübertragungsdienst -> bei (3) deaktivert -> brauch ich ihn? stellt er eine Sicherheitslücke dar?

- RAS-Verbindungsverwaltung -> bei (1) deaktiviert bei (2) und (3) gestartet -> warum?

- Remoteprozeduraufruf (RPC) -> stellt dies nicht eine Lücke dar?

- Remote-Registrierungsdienst -> solang ich keinen zugriff von außen brauche sollte er doch auch aus Sicherheitsgründen deaktivert sein wie in (3)?

- Server und Sicherheitskontenverwaltung -> Meinungen hier zu?!

- Taskplaner -> braucht man doch nicht also macht (3) wiederum mehr sinn?!

- Telefonie -> wieso bei (2) und (3) aktiv und bei (1) nicht? -> nutzen?

- Windows-Verwaltungsinstrumentation -> wieder bei (1) andere Einstellung als wie bei (3) -> warum?

Ich dachte mit (3) all wird wirklich alles erledigt aber manche Anpassungen aus (1) werden in (3) nicht einmal gemacht!

edit:
evtl. macht auch weiterhin (1) mehr sinn und man ändert nur einzelne noch um 8) bin mal auf eure meinung gespannt!

Dieser Beitrag wurde von ShadowHunter bearbeitet: 17. April 2006 - 03:28

[Rika]

BITS -> benötigt für WindowsUpdate, manueller Start reicht allerdings
RASManager -> benötigst du für DFÜ-(auch PPPoE-)Verbindungen
RPC -> schalte es ab und darfst Windows neuinstallieren. Eine Sicherheitslücke ist es nur dann, wenn du es remote nutzt
RemoteRegistry->deaktivieren
Lsass -> schalte es ab und...
Taskplaner -> kommt drauf an
Telefonie -> RASManager
WMI -> lass es an

[ShadowHunter]

Zitat (Rika: 17.04.2006, 12:04)

BITS -> benötigt für WindowsUpdate, manueller Start reicht allerdings
RASManager -> benötigst du für DFÜ-(auch PPPoE-)Verbindungen
RPC -> schalte es ab und darfst Windows neuinstallieren. Eine Sicherheitslücke ist es nur dann, wenn du es remote nutzt
RemoteRegistry->deaktivieren
Lsass -> schalte es ab und...
Taskplaner -> kommt drauf an
Telefonie -> RASManager
WMI -> lass es an

Wunderbar genau so eine Antwort wollte ich 8)
Warum wird unter (1) lan aber dann RASManager deaktiviert? hab die Funktion ja ausgewählt und meine PPPoE Verbindungen ging/geht trotzdem noch.
RPC remote nutzung reicht doch, wenn ich den Punkt "RemoteRegistry" deaktivere oder?

Zusammenfassend:
BITS -> manuell
RemoteRegistry -> deaktiveren
Taskplaner -> deaktiveren, fürwas brauch ich ihn denn wirklich noch?

rest alles an lassen -> (1) auswählen und die 3 da oben noch anpassen!

edit:
achja was ich zu (1) noch zusätzlich ausführe is folgende Regdatei:
Wollte wissen ob damit wirklich SMB (Port 445) und Port 135 sinnvoll geschlossen sind und der rest auch sinn macht:

Port 135

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc]
"DCOM Protocols"=hex(7):00,00,00,00,00,00,00,00
"UuidSequenceNumber"=dword:00f6db8e

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc\Internet]
"PortsInternetAvailable"="N"
"UseInternetPorts"="N"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc\NameService]
"DefaultSyntax"="3"
"Endpoint"="\\pipe\\locator"
"NetworkAddress"="\\\\."
"Protocol"="ncacn_np"
"ServerNetworkAddress"="\\\\."

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc\NetBios]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc\SecurityService]
"9"="secur32.dll"
"10"="secur32.dll"
"14"="schannel.dll"
"16"="secur32.dll"
"1"="secur32.dll"
"18"="secur32.dll"
"68"="netlogon.dll"

SMB:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters]
"SMBDeviceEnabled"=dword:00000000

Weiteres:

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters]
"DisableIPSourceRouting"=dword:00000002
"IPEnableRouter"=dword:00000000
"SynAttackProtect"=dword:00000002
"EnableSecurityFilters"=dword:00000001

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\IPFilterDriver\Parameters]
"EnableFragmentChecking"=dword:00000001

;Administrative Shares deaktivieren
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters]
"AutoShareServer"=dword:00000000
"AutoShareWks"=dword:00000000

Dieser Beitrag wurde von ShadowHunter bearbeitet: 17. April 2006 - 11:27

[flo]

@ShadowHunter

Hast du das hier schon mal gelesen?

http://www.ntsvcfg.d...ss_xp.html#xp2b

[ShadowHunter]

Zitat (Flo: 17.04.2006, 14:01)

@ShadowHunter

Hast du das hier schon mal gelesen?

http://www.ntsvcfg.d...ss_xp.html#xp2b

jop klar hab ich nur z.b meinen die remoteregistry auf manuell setzen, wobei deaktiviert fast sinnvoller ist.
Ist ja nur eine allgemein Vorgabe 8) ich versuche ebend für meine Ansprüche alles passend einzustellen.
Ich arbeite grade an einer Windows-CD die eben alles enthält, wf update pack, sp2, ntsvcfg und weiter regeinstellungen und eine readme in der restliche dinge erklärt werden.

[Rika]

Zitat

und meine PPPoE Verbindungen ging/geht trotzdem noch.

Schon mal versucht deren Konfiguration zu ändern?

Zitat

RPC remote nutzung reicht doch, wenn ich den Punkt "RemoteRegistry" deaktivere oder?

RemoteRgeistry ist nur eine Nutzung von RPC.

Ansonsten ist SMBDeviceEnabled=0 halt für SMB und DCOMProtocols=7*0x00h,PortsInternetAvailable=N und UseInternetPorts=N für DCOM/RPC ausreichend.

[ShadowHunter]

Zitat

Schon mal versucht deren Konfiguration zu ändern? wink.gif

Nein das nicht 8) Einmal eingerichtet hatte sie so gepasst werde ich aber mal machen

Also kann ich bei (1) bleiben, die 3 Einstellungen (Bits, RemoteReg, Taskplaner) anpassen danach und meine 4reg files ausführe und es sollte soweit so passen oder?

offtopic@rika:
remove SysVolInf.cmd << was geht mir dadurch verloren wenn ich dein skript ausführe? und ja ich weiss probieren dann sieht mans nur bin da vorsichtig 8)

[valeron]

ich hab dingens.org als setting die mittlere option (computer im netzwerk) gewählt.
wo seh ich denn jetzt welche dienste bei mir noch laufen?

http://www.ntsvcfg.d...ss_xp.html#xp2b
^^das was hier auf deaktiviert steht; habe ich schon deaktiviert;
aber manche dienste wie z.b.:

RemoteRegistry oder BITS

finde ich nicht unter services.msc und mich würde interessieren wo ich sehe ob diese
noch laufen, und wo ich sie gegebenenfalls deaktivieren kann?

Dieser Beitrag wurde von valeron bearbeitet: 18. April 2006 - 17:41

[valeron]

Zitat (moep: 18.04.2006, 18:30)

RemoteRegistry ist wohl RemoteRegistrierung
und BITS = Interligenter Hintergrundübertragungsdienst

warum kommt man bei deinem Link eigentlich zum Spiegel? ^^

thx;
wo finde ich die remote registrierung?
ich hab nur:
-RPC
-routing und ras
und -rpc locator

wo ist da remote registry?

wegen link: lol sry, ich fixe das mal!

Dieser Beitrag wurde von valeron bearbeitet: 18. April 2006 - 17:40

[Lofote]

Zitat

Taskplaner -> deaktiveren, fürwas brauch ich ihn denn wirklich noch?

Na, wenn du Tasks planen willst ... Also wenn du irgendetwas (defragmentieren, backupen, ...) in nem bestimmten Rhythmus willst. Auch IE7 generiert für RSS-Feedupdate Tasks.

Schon ne sinnvolle Sache, wenn man's braucht, falls nicht - abschalten ...

[valeron]

[ja hab (leider) home]
gut dann hab ich alle dienste soweit konfiguriert!

gibt es eigentlich auch ein tool womit ich testen kann ob alle relevanten dienste
ordentlich konfiguriert sind also z.b. deaktiviert; um nicht immer selber nachschauen zu müssen ob alles
richtig gesetzt ist?

[NightKrawler]

Ich hab auch eine Frage:
Reicht es wenn man den Taskplaner deaktiviert und

Zitat

rundll32.exe advapi32.dll,ProcessIdleTasks

regelmässig manuell startet?

Oder hat der Dienst noch andere Aufgaben als dieses Auszuführen und geplante Tasks zu starten?
Danke

Dieser Beitrag wurde von NightKrawler bearbeitet: 18. April 2006 - 18:20

[ShadowHunter]

eines kann ich dir sagen, da ich diese Dinge nicht nutze hab ich ihn deaktivert und keine Probleme mit sonstigen Dingen bisher gehabt 8)