1. Der TCP/IP-Filter ist nix weiter als die IPSEC-Richtlinien, und die sollte man doch a bissl ausführlicher festlegen.
2. ICMP-Redirect deaktivieren schützt kein bisschen, kann aber für Probleme sorgen.
3. IP-Source-Routing abschalten -> ist per Default abgeschaltet. Man müsste extra erst eine Default-Route einstellen.
4. Fragmentierte IP-Pakete verbieten schützt nicht, aber stört die Verbindung.
5. IP-Weiterleitung ist ebenfalls standardmäßig deaktiviert.
6. SYN-Protect kann man auch mit einer einzigen Option bei XSetup aktivieren, die all diese Registry-Einträge umfasst.
7. DynamicUpdate (für DNS) sollte auch eher eingeschaltet bleiben.
8. Logon-Cache ist per Default deaktiviert.
9. Der Rest geht alles bequem mit XSetup oder den Windows-Standarddialogen.
10. Speziell NetBIOS sollte man ohnehin komplett entfernen.
11. DCOM deaktivieren ist ziemlich unvollständig.
12. Wechseldatenträger auf lokale Benutzer beschränken - funzt nicht zusammen mit Fast User Switching und sorgt außerdem für Probleme mit Brennprogrammen. Lässt sich außerdem ebenfalls in der Lokalen Sicherheitsrichtline ganz bequem konfigurieren.
13. Auslagerungsdatei beim Herunterfahren loeschen = Zeitverschwendung
14. Autorun fuer CD-Rom deaktivieren -> XSetup
15. POSIX Subsystem deaktivieren -> ja genau... niemand braucht POSIX-konformes Threading...
16. IIS * - sollte man ohnehin deinstalliert haben.
Ansonsten aber ein recht nette Zusammenstellung.
Die zweitgenannte Page ist übrigens Standardrepoirtoire und war schon längst in meinen Bookmarks.
Was die Antworten von ZoneLabs angeht:
1. Stealth ist kein bisschen sicherer als Closed, sorgt aber für unnötig Trafficwiederholung und Timeouts und kann zudem mit Null Scans problemlos umgangen werden. Blocked = Stealth
2. Der Typ hat von Prozessor- und Betriebssystemarchitektur offenbar keine Ahnung. Mit Admin-Rechten kann man alles killen, man kann das ganze System umkrempeln etc. Nichts hindert einen daran, einfach mal eine modfizierte Kerneldatei im DLL-Cache abzulegen und beim nächsten Reboot zu installieren. Dann verweigert der Kernel einfach den Start von ZA. Sauberer geht's nimmer.
BTW, ich hab die aktuelle Version von ZA Pro mit allen Updates ohne Probleme gekillt! Toll, dieses unkillbare Teil...
3. Du hast das mit den Ports nicht ganz verstanden: Ein offener Port ist wie eine offene Tür, ein geschlossener Port ist wie eine geschlossene Tür. Ein stealth-Port ist eine Tür mit Mauer davor. Wer direkt gegenrennt, wird nix mehr spüren und nur merken, dass da kein Durchkommen ist. Wer klug ist, geht einfach dran vorbei und findet dann entweder eine offene oder eine geschlossene Tür. Mit geschlossenen Türen kann man nachwievor nix anfangen, mit offenen hingegen schon. Eine DTF sorgt als dafür, dass geöffnete Türen nicht geschlossen werden, sondern nur eine Mauer davor gebaut wird. Selbst der relativ primitive Online-Scan von http://webscan.security-check.ch/ schafft es in den meisten Fällen, offene UDP-Ports zu finden.
4. Parental Control ist nix neues, schützt aber nicht gegen heilwegs ausgereifte Manipulationen. Was meinst du denn, woher er die Infos zu den Prozessen bekommt? Und da hängt schon längst die Malware drin. Und wer hindert mich daran, ZA einfach selbst zu modifizieren? Admin = Gott
5. Nächster Spass: Einfach eigenen TCP/IP-Stack mitbringen, und einfach keine der überprüften API-Funktionen nutzen.
6. Wem willst du glauben? Anerkannten Sicherheitsexperten wie Bruce Schneider, Dan Benrstein, Felix v. Leitner etc. oder einem Pseudoexperten, der behauptet, sein Produkt sei unumgehbar, während andere es problemlos umgehen oder einfach den Prozess killen?
Dieser Beitrag wurde von Rika bearbeitet: 06. Februar 2004 - 18:11