[Stulle]

Wie kann man Win XP sicherer machen, zb. welche Dienste könnten deaktiviert werden, (Nachrichtendienst, Automatische Updates is klar). Welche Maßnahmen kann man noch ergreifen? Vielleicht könnte ja Rika mal eine kleine Anleitung geben? Der kennt sich damit gut aus.

Natürlich ist auch jeder andere gefragt.

Vielen Dank im voraus

Dieser Beitrag wurde von Stulle bearbeitet: 16. Januar 2004 - 14:48

[piffel]

Indem man auf Linux geht.

[noisemaker]

http://www.windows-tweaks.info/
ich empfehle diese seite
auf dieser seite findest du ausführliche anleitung für sicherheit, performance,...
für win2k, winxp, win2k3, winME, win98

[Rika]

Also:

1. Patches, Patches, Patches - für sämtliche verwendete Software.
2. Dienste deaktivieren. http://www.ntsvcfg.de
3. NetBIOS entfernen. Alle Bindungen entfernen und im Gerätemanager sämtliche für NetBIOS zuständige Device-Treiber entfernen. Dateifreigaben mit FTP sind sowieso viel schneller und bequemer. Ich nutze derzeit FileZilla Server.
4. In der lokalen Sicherheitsrichtline rumpfuschen. Recherchieren, was die einzelnen Optionen bedeuten.
5. Ein Benutzerkonto mit eingeschränkten Rechten anlegen.
6. Sämtliche sinnvollen Berechtigungen für das Konto setzen.
7. Browser: Mozilla oder Firebird, Mailer: Mozilla Mail, Thunderbird oder The Bat. Ordentlich konfigurieren, Zertifikate verwenden. Java VM nur von Sun.
8. ordentlicher Virenscanner (McAfee VirusScan, Antivirenkit, BitDefender)
9. Filter-Proxy-Programm wie z.B. Privoxy - mit ordentlichen Filtern füttern. Gegen Script-Bomben, spy-Scripts, schlechten und missbrauchten HTML-Syntax, Werbung etc.
10. Proxy-Programm zur Verteilung von HTTP-Anfragen auf anonyme Proxies, z.b. mit Anon4Proxy oder MultiProxy. Ordentliche Proxy-Liste anlegen.
11. Schutz gegen DLL-Injection = Service Guard Manager
12. Dialerschutz = YAW 3.5, oder genügend Vernuft und Umsicht :-)
13. ein ordentlichen Intrusion Detection System, z.B. Snare.
14. Dateisystemverschlüsselung
15. mit LADS noch Alternative Data Streams scannen und zur Not entfernen
16. AdAware und Spybot S&D mal drüberlaufen lassen - wenn er irgendwas anderes als das standardmäßige Alexa, DSO Exploit und eventuell noch GAIN bei DivX 5 Pro Free findet, dann habt ihr irgendwelche falsche Software installiert.
17. sämtliche Software ordentlich konfigurieren
18. sämtliche Software bei den eingeschränkten Benutzerrechten zum Laufen bekommen. Ein Höllenjob. Filemon und Regmon werden gute Helfer sein.
19. Informiert bleiben. Bugtraq, SecurityFoces, eYe Digital, MS Technet, selber Nachforschungen anstellen.
20. Hardening in extremo: TCP/IP Stack, Entfernen von nutzlosens Subsystemen (Posix, DRM, WBEM, OOBE)

Dieser Beitrag wurde von Rika bearbeitet: 08. Juli 2004 - 16:49

[LeonMc]

danke das wareb gute Tipps RikA B)

[Rika]

Frag mich nur, wie du das realisieren willst. Ich arbeite seit Jahren daran und habe die letzten Details immer noch nicht ganz ausgelotet.

[d2kx]

jo Rika rulez !!!

McAfee soll spitze sein, fande es aber zum kotzen, vorallem die update funktion

[Stulle]

vielen Dank Rika

[Meltdown]

Zitat (Rika: 17.01.2004, 10:22)

Frag mich nur, wie du das realisieren willst. Ich arbeite seit Jahren daran und habe die letzten Details immer noch nicht ganz ausgelotet.

@Rika:

Hmm... Dem stimme ich ja im Kern zu, ABER:

Wir sind uns glaube ich einig, das man mit relativ wenigen gezielten und auch leicht realisierbaren Eingriffen die Sicherheit von Betriebssystemen ERHEBLICH erhöhen kann. Den Besuchern hier müßte man nur was Richtiges an die Hand geben.

Und das halte ich in Anbetracht diverser Software-Bugs, Malware und zwielichtigen Personen im Netz immer noch für besser als ausschliesslich nur Perfektion anzustreben.
Das wird nämlich eh nichts werden.

Aber vielleicht wäre das ja für Dich mal eine Herausforderung ein eben solches nützliches Sicherheits-Tutorial für die NT5-Systeme zu entwerfen. Das eben war ja nur ein Grobumriss und mit Punkten wie

"17. mit LADS noch Alternative Data Streams scannen und zur Not entfernen"

sorgst Du bei vielen nur für ein verzweifeltes Schulterzucken.

Naja. Schauen wir mal.

Das könnten wir gut gebrauchen.
Und überhaupt: Schxxx was auf den Weltfrieden. Realistische Ziele bitte...

Dieser Beitrag wurde von Meltdown84 bearbeitet: 21. Januar 2004 - 19:11

[Rika]

Meine Punkte sind ja auch so geordnet, dass die wichtigsten Dinge ganz oben stehen.
Aus Win2K/XP/2K3 ein bombensicheres System zu bauen (dessen Sicherheit wirklich nur noch durch Hardware-Manipulation untertunnelt werden kann), ist ein realisitisches und realisierbares Ziel. Und vor allem: Auch praktisch realisierbar.

[stegi]

ja wobei wieder das unwissen vieler user ins spiel kommt. klar kann man auch ohne grossartige kenntnisse ein system stabiler machen, aber viele sachen die fuer ein stabiles betriebssystem wichtig sind, sind eben nicht so einfach zu realisieren. deswegen bitte auch ich dich, so fern du zeit hast, ein tutorial zu schreiben. damit waere sicher vielen personen (inkl. mir) geholfen. ich hoffe du ueberlegst dir das!

mfg stegi

[Meltdown]

Zitat (Rika: 24.01.2004, 09:17)

Aus Win2K/XP/2K3 ein bombensicheres System zu bauen (dessen Sicherheit wirklich nur noch durch Hardware-Manipulation untertunnelt werden kann), ist ein realisitisches und realisierbares Ziel. Und vor allem: Auch praktisch realisierbar.

Du hast Nerven. Für Dich vielleicht...

Und das auch ich noch eine Menge mir (er)lesen muß, steht auch fest.
Da will ich mich gar nicht heraushalten. Nur: Die Auswahl der Quellen
ist ja das Entscheidene. Es gibt eine Unmenge Lektüre und unzählige
(Pseudo-) Sicherheitsexperten.

Nur: Die Richtigen da rauszupicken ist für Normalsterbliche, die neben
dem PC noch ein Leben haben, eigentlich aussichtslos. FAKT

FAKT ist auch das die Gefahren deswegen nicht weniger werden.

Und genau das ist das eigentliche Problem.

Wer da vorankommen will, ist zwangsläufig auf DIY angewiesen.
Und das ist bei weitem anstrengenger und stressbehafteter als viele
"Freaks" es wahrhaben wollen. Das ist doch auch Deine Ansichtsrichtung...
Anders lernt man das halt nicht. Ich hasse diese kalten Duschtherapien zwar,
aber geht halt nicht anders.

So, ich will noch weiterwühlen im Forum...

Gruß an alle...

[Rika]

Jaja, sind nur einige Probleme:

1. Das wird extrem umfangreich.
2. Das erfordert noch viel Detailarbeit und Forschung.
3. Das ganze möchte auch 95+%ig legal sein.

Hab mit dem Familiencomputer mal wieder mehr als genug zu schaffen gehabt. Weil ich dort den Leuten mindestens normale Benutzerrechte einräumen musste, damit die sich allen möglichen Mist (Computerbild-Spiele, IMesh, Trojaner) installieren können. Hatte es vorher mal 'ne recht schöne Zeit lang mit eingeschränkten Benutzerrechten getrieben - da lief alles absolut problemlos, aber weil alle dämlich waren und gegängelt haben, musste ich das wieder ändern. Wenn das 'ne Firma wäre und ich der Admin, würde ich bei solche einer mangelnden Absolutbefugnis in Sachen IT-Sicherheit und der Lernunwilligkeit der User sofort kündigen!

Gerade mal zwei Wochen Abwesenheit, da musste ich nun einen unschönen Fund machen. Unter Windows\System32 war ein Unterordner namens "sys32" mit Inhalten wie "Ms Office Keygenerator.exe", allesamt identisch, ohne Icon und 199 KB groß. Löschen, Virensignaturen aktualisieren, scannen. Vor zwei Wochen ein Dialer, davor IMesh+Virus, und dazu massig Spam. Dabei habe ich sie schon allesamt auf Mozilla 1.6 gezwungen! Naja, da hält man einen zweistündigen Vortrag über Spam, Massenmails und Kettenbriefe, und dann schicken die den Mist trotzdem weiter, in dem Gefühl, etwas Gutes getan zu haben.

Ich unternehme aber eh nur noch minimalste Anstrengungen, in den nächsten Semesterferien wird das Ding plattgemacht .Ich überlege ernsthaft, ob dann nicht einfach gleich FreeBSD+Firebird+Thunderbird+OpenOffice+Sharezaa/iMule+Wine/VMWare draufkloppe...

Dieser Beitrag wurde von Rika bearbeitet: 24. Januar 2004 - 23:47