[Graumagier]

CBY sagte:

Deshalb sage ich ja: Nicht ganz so sicher.

Es ist nicht annähernd so sicher, vor allem schützt es quasi gar nicht vor Fehlbedienung.

CBY sagte:

Außerdem: Um sich derart perfide, ausgetüftelte Spyware einzufangen, muss man sich in meinen Augen schon sehr dämlich anstellen...

Nein, wenn der Angreifer schlau ist...

[CBY]

Der Hinweis war auch nicht für Euch Hardcore-Paranoiker gedacht Das war nur ein kleiner Tipp für alle, die nicht auf Admin-Rechte verzichten wollen/können und trotzdem ein gewisses Mindestmaß an Sicherheit in Bezug auf Nutzerrechte wollen.

Zum Thema Fehlbenutzung: Deshalb habe ich explizit auf die Anleitung verwiesen.

[Graumagier]

CBY sagte:

Der Hinweis war auch nicht für Euch Hardcore-Paranoiker gedacht

Naja, für Durchschnittsbenutzer bringt's das aber auch nicht sonderlich viel...

Dieser Beitrag wurde von Graumagier bearbeitet: 29. Juni 2006 - 20:56

[Stefan_der_held]

Zitat (Graumagier: 29.06.2006, 21:56)

Naja, für Durchschnittsbenutzer bringt's das aber auch nicht sonderlich viel...

Und genau aus diesem Grund existiert diese Diskusion jetzt

Zitat

Der Hinweis war auch nicht für Euch Hardcore-Paranoiker gedacht

Ja... wenn du meinst Hast du schonmal 3 mal in einem Monat dein Rechner koplett neu aufgesetz weil du mit Adminrechten Surfst oder ähnlichen?

Seid kurzem nutze ich die Vorschläge die shadow's HowTo nahezu entsprechen (Router Firewall, Eingeschränktes Konto ect) und muss sagen Toi,Toi,Toi nach ein wenig umgewöhnung läuft alles bestens. Meine sogar teilweise noch eine Spur besser als vorher.

Und bis auf meine schon genannten mängel konnte ich noch nix finden was nicht verständlich und ausführlich geschrieben wurde.

MFG


Stefan

[Rika]

Zitat

hier fehlt mir was diese Änderung bewirkt

http://web.inf.tu-dr...014/lmhash1.png
http://web.inf.tu-dr...014/lmhash2.png

Zwar "nur" Buchstaben, aber dafür echter Bruteforce. Der LmHash bewirkt, daß jemand mit Zugriff auf die Account-Datenbank (SAM) das Passwort mit einem maximalen Aufwand von läppischen 2^57 Versuchen knacken kann, egal wie sicher es sonst wäre. Angriffe gegen den reinen NtlmHash sind hingegen aussichtslos. Ein LmHash wird nicht mehr erstellt, wenn man entweder benannte Option setzt oder ein Passwort mit mehr als 14 Zeichen wählt. Bereits vorhandene LmHashes entfernt man, indem man benannte Option setzt und dann (von mir aus genau das gleiche) Passwort neu vergibt.

[ShadowHunter]

Zitat

Hier noch ein kleiner Tipp, den ShadowHunter aus ideologischen Gründen vermutlich nicht in den Ratgeber aufnehmen wird:

Wieso ideologisch? Das ist unter Unix normal und funktioniert da einwandfrei.
Wenn ich Adminrechte brauche wechsel ich einfach in mein Adminkonto!

Dennoch halte ich Sysinternal Programm eim Allgemeinen für gut!

Zitat

Deshalb sage ich ja: Nicht ganz so sicher. Aber immernoch wesentlich besser als ein "normales" Admin-Konto

Schon richtig, nur wieso dieser Kompromiss, wenn der sicherere auch nicht viel mehr Arbeit bedeutet.

Zitat

Der Hinweis war auch nicht für Euch Hardcore-Paranoiker gedacht

Was hat Sicherheit mit Paranoia zutun?

Zitat

Das war nur ein kleiner Tipp für alle, die nicht auf Admin-Rechte verzichten wollen/können und trotzdem ein gewisses Mindestmaß an Sicherheit in Bezug auf Nutzerrechte wollen.

Ist ja auch nett gemeint, werde mir das auch mal genauer anschaun, aber wieso kann man nicht auf Adminrechte verzichten? Im Zweifelsfall hat man die ja, da man in das Adminkonto kann, oder man passt die vereinzelten Bereiche an.

Ansonsten wird der Beitrag von Rika zum Teil übernommen, damit für euch das Thema lmhash ausführlicher beschrieben wird.

[CBY]

Zitat (ShadowHunter: 30.06.2006, 01:05)

Schon richtig, nur wieso dieser Kompromiss, wenn der sicherere auch nicht viel mehr Arbeit bedeutet.
Was hat Sicherheit mit Paranoia zutun?

Ich sage es mal etwas polemisch:

Der Aufwand, eine integrierte Setup-CD zu erstellen, nur damit man sich irgendwann viele Stunden später (vielleicht) daran erfreuen kann, sich erfolgreich selbst von großen Teilen des Systems ausgesperrt zu haben, ist für mich schlicht untragbar.

Die Kritik geht freilich an die Adresse von Microsoft.

Nebenbei bemerkt: Die anderen Tipps und Ratschläge sind klasse und ich habe fast alles umgesetzt - außer eben oben genannte Konfigurationsorgie.

Dieser Beitrag wurde von CBY bearbeitet: 30. Juni 2006 - 01:06

[ShadowHunter]

Zitat

Der Aufwand, eine integrierte Setup-CD zu erstellen, nur damit man sich irgendwann viele Stunden später (vielleicht) daran erfreuen kann, sich erfolgreich selbst von großen Teilen des Systems ausgesperrt zu haben, ist für mich schlicht untragbar.

Nur SP2 und Updates integrieren dauert ehrlcih nicht lang und erspart eingies an Arbeit auch wenn man des öfteren einen PC neu einrichtet oder den von bekannten insofern die, die gleiche Version nutzen. Ansonsten hat diese Arbeit auch ihre Vorteile, inwiefern die tiefgreifenden Änderungen sinnvoll sind ist jedem selbst überlassen, aber ich finde Nlite und co sehr praktisch.

Zitat

Nebenbei bemerkt: Die anderen Tipps und Ratschläge sind klasse und ich habe fast alles umgesetzt - außer eben oben genannte Konfigurationsorgie.

Freut mich ja auch, nur ist eben das eingeschränkte Benutzerkonto eines der grundlegendsten Dinge.
Es ist in Windows einfach unglücklich umgesetzt, in Linux ist das besser und problemloser.
Würden Softwareentwickler sich da mehr Mühe geben wäre das garkein Problem, dann könnte man vom Benutzerkonto bequem alles installieren was dieses braucht und auch dort nutzen, oder zumindest nutzen ohne weitere Probleme, auch wenn es das schon gibt, was ich momentan bei Icewind Dale schön bemerkt hab, keinerlei Stress. Vom Adminkonto installiert (spricht ja nix dagegen) und lief im Benutzerkonto einwandfrei. Also spricht in so einem Fall wirklich nix mehr gegen die Arbeit im Benutzerkonto.

Und gerade für weniger erfahrene User ist ein eingeschränktes Benutzerkonto sehr zu empfehlen!

[contaque]

 Zitat (CBY: 29.06.2006, 21:08)

Außerdem: Um sich derart perfide, ausgetüftelte Spyware einzufangen, muss man sich in meinen Augen schon sehr dämlich anstellen...

perfide ja, ausgetüftelt nein. Der Author braucht nur die Adressen im WindowManager für verschied. Funktionen des Explorers rausfinden und damit hats sichs. Die Adressen sind auch bei jedem Windows gleich und auch nicht sonderlich schwer zu finden sein. zumal die sowieso in Malware-Kreisen bekannt sein dürften und zum Einmal-Eins gehören wie Dienste abschalten auf der anderen Seite.

Mit Dämlichkeit hat das ebenfalls nix zu tun. Fängt man sich nämlich Malware ein ist es egal ob es ein Scherzprogramm, ein Virus, ein Rootkit oder sonstwas ist. Ist ja nicht so dass die Infektion schwieriger wird, im Gegenteil je ausgereifter und höher entwickelter die Malware ist desto einfacher ist meist die Infektion.

will der Author nicht den Explorer verwenden sondern eine x-beliebige Anwendung braucht er nur diese zu untersuchen.

sprich, die Vorarbeit ist gleich null, der einzige Aufwand ist das Schreiben des Codes. Der Code wird dadurch aber nicht großartig anspruchsvoller, gängige Malware dürfte das Beeinflussen von Programmen darüber bereits draufhaben.

ebenfalls ein guter Grund für eingeschränkte Rechte ist die Gefahr eines Rootkits. während man normale Malware vlt noch erkennt wird das bei einem echten Rootkit schwieriger. Ohne Adminrechte dürfte das Rootkit es schwieriger haben.

Dieser Beitrag wurde von contaque bearbeitet: 30. Juni 2006 - 01:33

[CBY]

Für mich lautet das Stichwort: "Never touch a running system". Für mein persönliches Surf-Verhalten und Sicherheitsanspruch ist mein System perfekt abgesichert. Vom Sicherheitsniveau her sind Eure Ratgeber eher an Administratoren und ambitionierte Halb-Profis gerichtet, der "Normalo" sollte sich die für ihn wirklich relevanten Tipps herauspicken und umsetzen.

Von "friss oder stirb" halte ich nicht viel

Das war mein letzter Beitrag hier, das führt uns sonst noch völlig Offtopic

Dieser Beitrag wurde von CBY bearbeitet: 30. Juni 2006 - 01:40

[contaque]

 Zitat (CBY: 30.06.2006, 02:33)

der "Normalo" sollte sich die für ihn wirklich relevanten Tipps herauspicken und umsetzen.

wenn der Normalo wüßte welche Sachen wichtig sind wäre er kein Normale mehr sondern Experte. Um etwas beurteilen zu können muss man sich damit auskennen was ein Normalo nicht kann.

Zitat

Vom Sicherheitsniveau her sind Eure Ratgeber eher an Administratoren und ambitionierte Halb-Profis gerichtet,

Das ganze ist an die Leute gerichtet die ihr System so sicher machen wollen wie es geht. Egal ob sie Profis sind oder nicht oder oder.... Lediglich ambitioniert müssen sie sein denn Wissen kommt nicht von alleine. auch nicht durch diesen Ratgeber der nur der Anfang ist wie ja im letzten Post steht.

Zitat

Von "friss oder stirb" halte ich nicht viel

In der Malware-Welt ist es aber ein Kampf. Hat man Glück und trifft auf einfache Gegner - gut. Hat man Pech und trifft auf ein ausgewachsenes Biest kann man nur hoffen dass die von dir als übertrieben bezeichnete Vorsicht einen rettet.

Leider hat die Malware aber kein Schild mit ihrer Einstufung um den Hals. Also geht der kluge & ambitionierte Mensch vom schlimmsten aus.

Dieser Beitrag wurde von contaque bearbeitet: 30. Juni 2006 - 01:44

[ShadowHunter]

Der Teil bezüglich Lmhash wurde hinzugefügt, mit den Adminrechten muss noch genauer untersucht werden. MOmentan ist eindeutig die Wahl des eingeschränkten Benutzerkontos udn die nachträgliche Anpassung besser.

[Witi]

Erstmal Lob an ShadowHunter (und natürlich an alle anderen die daran mitbeteiligt waren) für die wirklich sehr schöne Anleitung.
Aber ohne Kritik wäre das ja alles für die Katz, ne?
Also...

Viele Sachen werden für mich einfach nur hingeschrieben, nach dem Motto "mach das, dann das und auch das". Mit fehlt aber das WARUM dahinter.

Hier einige Punkte bei denen es mir aufgefallen ist:
II. Weitere Vorgehensweise und Hinweise:

Zitat

Dazu deaktiviert ihr noch das Gastkonto und das Administratorkonto um anschließen erst einmal neu zu starten.

Dazu das darunter sehende Bild. Warum muss ich die beiden Konten deaktivieren und dafür bspw das neue Konto "LokalerAdmin" anlegen?

III. Einstellungen im System:

Zitat

Danach machen wir uns an den NetBIOS-Dienst.
Hierzu geht ihr in die Eigenschaften der Netzwerkumgebung und wählt dort eure Lan-Verbindungen aus.
Ihr ruft deren Eigenschaften auf und entfernt bei "Datei- und Druckerfreigabe für Microsoft-Netzwerke", "QoS" und "Client für Microsoft-Netzwerke" die Haken, außer ihr seid darauf angewiesen z.B falls ihr einen Netzwerkdrucker habt oder Programme die "QoS" benötigen.

Warum?

Warum eine statische IP-Vergabe und keinen DHCP benutzen?

IV. Weitere Tipps:

Zitat

Ansonsten alles mögliche wie ActiveX und javascript deaktivieren und ihn nicht nutzen. Auch nicht in die Adressleiste des Windows Explorers Webseiten eingeben und aufrufen. Das WindowsUpdate funktioniert dann unter Umständen nicht mehr...

Hier sollte man auf jeden Fall den Punkt "Vertrauenswürdige Seiten" erwähnen.

Es dürfte bestimmt noch weitere Punkte geben, wo sich die meisten denken werden, "Warum?".

Ansonsten ist es für mich an einigen Stellen ein bisschen zu durcheinander. Wozu extra den Inhalt von Regfiles angeben, wenn sie sowieso im Anhang vorhanden sind? IMO ist hier besser ein Verweis auf die entsprechende Datei.
Genauso wie "Dazu gibt es entsprechende Skripte...". Bevor man sich in den Scripten totsucht - da es ja doch nicht wenige sind - sollte man hier auch einen entsprechenden Verweis machen.

So...das war es dann erstmal von meiner Seite aus

Dieser Beitrag wurde von Witi bearbeitet: 04. Juli 2006 - 08:01

[ShadowHunter]

Wunderbar danke dir so stell ich mir die Kritik vor

Werde mir Gedanken machen und passendes dazu schreiben.

Zitat

Hier sollte man auf jeden Fall den Punkt "Vertrauenswürdige Seiten" erwähnen.

Den Punkt im IE? den nutzt man doch einfach nicht

Zitat

Ansonsten ist es für mich an einigen Stellen ein bisschen zu durcheinander. Wozu extra den Inhalt von Regfiles angeben, wenn sie sowieso im Anhang vorhanden sind? IMO ist hier besser ein Verweis auf die entsprechende Datei.

Inwiefern durcheinander, sollte schritt-für-schritt sein.
Die angegebenen Registryeinträge sind sehr relevant deswegen, ansonsten ist die Registry Zusammenstellung sehr geschmackssache und einies noch undokumentiert.

Zitat

Genauso wie "Dazu gibt es entsprechende Skripte...". Bevor man sich in den Scripten totsucht - da es ja doch nicht wenige sind - sollte man hier auch einen entsprechenden Verweis machen.

s.o