Hab nach meinem letzten Desaster gemerkt, dass mein Rechner doch nicht so gut gesichert ist, wie gedacht. (thx @Creativelabs)
Ich würde mich über eine Tipsammlung zum Surfen für DAUs freuen!
Vielleicht so a la: wie zieh ich ein Kondom über und wozu brauch ich das überhaupt?!?:D
Popeljoe
P.s.: falls es sowas schon gibt, sorry!

So richtige DAU's surfen ja nicht hierher... oder muss man hier irgendwem sagen dass der gecrackte super titten-dialer doch geld kostet? oder dass man emailanhänge von fremden personen kritisch beäugen sollte? ich glaube nicht, und allein das genannte bringt schon sehr viel an sicherheit...

und richtig sicher ist man ja nie. (doch: kabel durchschneiden... das hilft erstmal,... bis es irgendwann nur noch wlan gibt... das werden verrückte zeiten werden...)

edit: zehn recht... nein sagen wir zehn prozent aller rechtschreibfehler gekillt.

Ein Sicherheitsmutz hat mal an einer Messe auf die Frage eines Besuchers, wie man denn absolut sicher surfen könne, damit geantwortet:

*Kaugummi auspack*

*Kaugummi kau*

*Netzwerkkabel auszieh*

*Kaugummi auf Anschluss papp*

;)

Fürs erste reicht's jedoch schon, wenn man sein Hirn beim Surfen und E-mail-angucken einschaltet. Nicht jeden Scheiss runterladen und öffnen, z.B.. Runtergeladene Dateien immer mit einem (aktuellen) Virenscanner prüfen, bevor man sie öffnet. Eventuell "bye, bye" zu den Standardapplikationen Internet Explorer und Outlook Express sagen, und lieber was "Alternatives" nehmen.

93,
-Sascha.rb

Original geschrieben von nggalai

Fürs erste reicht's jedoch schon, wenn man sein Hirn beim Surfen und E-mail-angucken einschaltet. Nicht jeden Scheiss runterladen und öffnen, z.B.. Runtergeladene Dateien immer mit einem (aktuellen) Virenscanner prüfen, bevor man sie öffnet. Eventuell "bye, bye" zu den Standardapplikationen Internet Explorer und Outlook Express sagen, und lieber was "Alternatives" nehmen.
Dem stimme ich zwar vollständig zu (dem nicht zitierten Teil übrigens auch ;) ), aber der Fairness halber sollte man trotzdem erwähnen, dass man sich so gegen den LoveSan/W32.blast-Wurm (der hier ja wohl ein Auslöser der Diskussion war) nicht hätte schützen können.

Das eigentliche Problem ist (meiner völlig unmaßgeblichen Meinung nach), dass der gesate Themenkomplex einfach extrem kompliziert ist. Z.B. bei den Einstellungen der hier von einigen Mitgliedern - fröhlich über PFs lachend - empfohlenen IPSEC-Einstellungen steigt mein bescheidener Sachverstand leider komplett aus. Da kann ich nichts mit anfangen. Ich persönlch finde das Blocken einzelner Ports (bzw. eben gerade den gegenteiligen Vorgang, das Zulassen bestimmter Ports) schon aufwändig genug.

Original geschrieben von nggalai
Ein Sicherheitsmutz hat mal an einer Messe auf die Frage eines Besuchers, wie man denn absolut sicher surfen könne, damit geantwortet:

*Kaugummi auspack*

*Kaugummi kau*

*Netzwerkkabel auszieh*

*Kaugummi auf Anschluss papp*

;)

Fürs erste reicht's jedoch schon, wenn man sein Hirn beim Surfen und E-mail-angucken einschaltet. Nicht jeden Scheiss runterladen und öffnen, z.B.. Runtergeladene Dateien immer mit einem (aktuellen) Virenscanner prüfen, bevor man sie öffnet. Eventuell "bye, bye" zu den Standardapplikationen Internet Explorer und Outlook Express sagen, und lieber was "Alternatives" nehmen.

93,
-Sascha.rb
LOL!
Naja ganz so DAU ist wirklich keiner mher hier!
Aber, wie sieht mit active scripting aus?
Tracking cookies kannte ich vor Ad aware auch nicht!
Tatsache ist doch, dass es auch in dem Wurm Thread nur einige wenige "Helden" gab, die komplett verschont geblieben sind!
Hatte im übrigen nicht den Wurm, sondern irgendeine fiese Spyware!
Kann man den MS Iexplorer eigentlich so ohne weiteres entfernen?
Mir gehts nur so, dass ich seitdem letzten Vorfall noch paranoide geworden bin, als sonst.
Popeljoe

Dem stimme ich zwar vollständig zu (dem nicht zitierten Teil übrigens auch ), aber der Fairness halber sollte man trotzdem erwähnen, dass man sich so gegen den LoveSan/W32.blast-Wurm (der hier ja wohl ein Auslöser der Diskussion war) nicht hätte schützen können.

Stimmt. Keine Ahnung, aber vielleicht kann man NetBIOS unter Windows auch deinstallieren. Wäre ja ne Möglichkeit. Dann sieht man zwar im Win-LAN die Rechner nur noch unter ihrer IP und nicht mehr mit ihrem Namen, aber ansonsten sollte es ja theoretisch keine weiteren Einschränkungen geben. Könnte ja mal jemand testen.

So long Ajax

Original geschrieben von Ajax
Stimmt. Keine Ahnung, aber vielleicht kann man NetBIOS unter Windows auch deinstallieren. Wäre ja ne Möglichkeit. Dann sieht man zwar im Win-LAN die Rechner nur noch unter ihrer IP und nicht mehr mit ihrem Namen, aber ansonsten sollte es ja theoretisch keine weiteren Einschränkungen geben. Könnte ja mal jemand testen.

So long Ajax
Siehste: nach so nem Kommentar fühl ich mich mal wieder als Total DAU!:D
Nix geblickt, warum Netbios deinstallieren???
Wozu brauch ich das? Kann man das auch essen?
Popeljoe

Hola Popeljoe,

NetBIOS ist ein Netzwerkprotokoll à la TCP/IP. Das brauchst Du dann, wenn Du eine NetBIOS-Anwendung übers Netzwerk betreiben möchtest. Wenn Du nix sowas verwendest (alte Novel-Software wäre sowas), einfach den Service deaktivieren, und schon sind wieder 3 Ports dicht. ;)

Noch ein "DAU"-Tipp: Regelmässig Windowsupdate fahren. Manche Sachen wie z.B. Port 135 lassen sich nicht ohne grösseren Aufwand schliessen ("welche Services darf ich jetzt ausmachen?"), ohne Firewall (und auch da nicht immer mit Personal Firewalls), also sollte man dafür sorgen, dass das OS wenigstens die Angriffsfläche verkleinert. Wie eben gerade mitm Wurm--Port 135 wird vom RPC geöffnet, was soweit noch in Ordnung geht, aber durch einen Bug kann der Wurm das Ding missbrauchen und sich über den Port verbreiten. Sicherheitspatch druff, gegessen.

93,
-Sascha.rb

das: http://kssysteme.de/ + aktuellen Virenscanner + aktuelle Sicherheitspatches und fertig

Gute Website, Ulukay! Danke!

An alle: Da werden die wichtigsten Sicherheitslöcher gut erklärt und auch gleich beschrieben, wie man die los wird. Sollte man sich als DAU ;) mal durchlesen.

93,
-Sascha.rb

Siehste: nach so nem Kommentar fühl ich mich mal wieder als Total DAU!

Ach komm schon. Ich wahrscheinlich kennst Du Dich mit Windows viel besser aus als ich. :)

Zu NetBIOS : Da hat Nggalai eigentlich schon alles gesagt.

Apropos, gab es unter Win2000 nicht sogar eine Möglichkeit die Ports manuell zu öffnen/schliessen??

So long Ajax

Original geschrieben von ..,-
Dem stimme ich zwar vollständig zu (dem nicht zitierten Teil übrigens auch ;) ), aber der Fairness halber sollte man trotzdem erwähnen, dass man sich so gegen den LoveSan/W32.blast-Wurm (der hier ja wohl ein Auslöser der Diskussion war) nicht hätte schützen können.


Das stimmt so nicht. Auf windowsupdate.microsoft.com stand bereits seit 16.Juli ein entsprechender Patch bereit. Also ab zu mal Windows updaten und viele Probs können vermieden werden.

Original geschrieben von ..,-
Dem stimme ich zwar vollständig zu (dem nicht zitierten Teil übrigens auch ;) ), aber der Fairness halber sollte man trotzdem erwähnen, dass man sich so gegen den LoveSan/W32.blast-Wurm (der hier ja wohl ein Auslöser der Diskussion war) nicht hätte schützen können.

Das eigentliche Problem ist (meiner völlig unmaßgeblichen Meinung nach), dass der gesate Themenkomplex einfach extrem kompliziert ist. Z.B. bei den Einstellungen der hier von einigen Mitgliedern - fröhlich über PFs lachend - empfohlenen IPSEC-Einstellungen steigt mein bescheidener Sachverstand leider komplett aus. Da kann ich nichts mit anfangen. Ich persönlch finde das Blocken einzelner Ports (bzw. eben gerade den gegenteiligen Vorgang, das Zulassen bestimmter Ports) schon aufwändig genug.

Da gibs nen ganz einfaches Prog ... A-Ports .. ist keine Firewall ... mann kann aber einfach mal nachschauen welche Ports auf seinem Rechner offen sind und diese geg. schließen ...

einfach mal danach googlen ...

Original geschrieben von Ajax
Ach komm schon. Ich wahrscheinlich kennst Du Dich mit Windows viel besser aus als ich. :)

Zu NetBIOS : Da hat Nggalai eigentlich schon alles gesagt.

Apropos, gab es unter Win2000 nicht sogar eine Möglichkeit die Ports manuell zu öffnen/schliessen??

So long Ajax

Ja mit dem Prog : A-ports ...

Original geschrieben von Gast
Das stimmt so nicht. Auf windowsupdate.microsoft.com stand bereits seit 16.Juli ein entsprechender Patch bereit. Also ab zu mal Windows updaten und viele Probs können vermieden werden.
Doch, das stimmt so alles haargenau. Mein Kommentar bezog sich, wie oben eindeutig zu sehen, auf diese Aussage:
Original geschrieben von nggalai

Fürs erste reicht's jedoch schon, wenn man sein Hirn beim Surfen und E-mail-angucken einschaltet. Nicht jeden Scheiss runterladen und öffnen, z.B.. Runtergeladene Dateien immer mit einem (aktuellen) Virenscanner prüfen, bevor man sie öffnet. Eventuell "bye, bye" zu den Standardapplikationen Internet Explorer und Outlook Express sagen, und lieber was "Alternatives" nehmen.
Nach wie vor richtig, aber eben im speziellen gegen W32.blast kein Schutz.

Von dem Einspielen von Patches war nicht die Rede. Aber mal als Gegenfrage: Wie oft sollte man denn als normaler kleiner Hirni, der einmal in der Woche sein Homebanking macht, nach neuen, segensbringenden MS-Patchen für das seit 7 Jahren verwundbare Betriebssystem Ausschau halten? Zweimal pro Woche? Oder öfter?


RaumKraehe,
solche Angebote gibt es auch auf diversen Webseiten online. Wenn man sich nicht davor fürchtet ... :D Das Hauptproblem ist doch, wenn ich das richtig verstanden habe, dass es eben gar nicht so einfach ist, gezielt z.B. die Ports 135 - 139 zu schließen. Und Ports blockieren geht auch ohne A-Ports:



Ajax,
ja, gibt's. In den erweiterten TCP/IP-Eigenschaften der Netzwerkkarte unter Optionen (gilt aber für alle Adapter). Allerdings erfordert auch das durchaus einige Sachkenntnis, da man nicht einzelne Ports sperren, sondern nur explizit bestimmte Ports für TCP, UDP und IP freigeben kann. Die Ports 80 und 21 kennen vielleicht auch noch fortgeschrittene Normalbenutzer, aber was ist mit den Ports für POP und SMTP? Mit und ohne SSL-Verschlüsselung? Oder wer weiß schon, dass FTP auch noch Port 20 für Daten benötigt? SSL-Websites, LDAP-Zugriff und so weiter, und so weiter.

Auch da komme ich mit meinem gesunden Halbwissen leider nicht weit.

also, ich würde empfehlen erstmal das aktuelle sp für win2k oder winxp zu installieren. danach kommt ein windows update dran und erstmal alle patches/updates drauf. ob ihr z.b. windows media player oder das .net framework installiert bleibt eure sache. - wichtig sind die sicherheitspatches und die empfohlenen patches mehr oder weniger auch.

ich würde raten, dass mindestens ein mal die woche zu machen. öfters muss nicht unbedingt sein, aber gerade wer eine langsame internetverbindung hat, sollte nicht zu lange warten. mit der zeit werden es auch paar mb.

http://v4.windowsupdate.microsoft.com/de/default.asp

empfehlenswert würde ich auch automatische updates finden (in der systemsteuerung; bei win2k erst mit sp3). dort stellt man dann ein, dass die updates gedownloadet werden sollen oder nicht - wichtig, man sollte zumindest einstellen, dass man über neue updates benachrichtigt wird. es erscheint dann ein kleines icon (blinkt) in der traybar - so war man eben am 17.06 schon über das patch für den rpc/dcom-bug informiert.

ansonsten noch nen aktueller virenscanner, auch regelmässig aktualisieren.

http://kssysteme.de

die anleitungen lesen sich nicht schlecht. allerdings, dass deaktivieren von dcom kann auch folgen mit sich ziehen. laut heise.de würde z.b. der mediaplayer demnach nicht mehr richtig funktionieren, ggf. auch andere anwendungen - die halt darauf aufsetzen. zudem sei ein richtiges deaktivieren von dcom erst mit sp3 unter win2k möglich.

gut, wenn sich die netbios-sachen so relativ einfach entfernen lassen, dann sollte das wohl kein problem sein. ansonsten, wie schon paar mal geschrieben, würde ich die verwendung von ipsec empfehlen.

zum einen ist ipsec im win2k bzw. winxp integriert und man kann damit einfach die ports einfach sperren. man benötigt lediglich eine neue richtlinie, der man dann eine neue sicherheitsregel zuweisen tut.

als nächstes eine neue filterliste und eine neue filteraktion anlegen. die filterliste enthält meintwegen tcp und udp-ports, die eben erstmal gefiltert werden sollen. entsprechend wird dazu die filteraktion konfiguriert und die macht dann nur noch eins perfekt - sperren. unter win2k kann man die neue richtlinie schön in der dfü-verbindung zuweisen; unter winxp schauts so aus, dass man sie wohl nur allgemein an ras-verbindungen zuweisen kann.

von microsoft gibts auch noch dokumente, die sich mit grundlegenden sicherheitseinstellungen beschäftigen. problem vieler leute ist auch, dass sie selbst nen webserver sich installieren und dann z.b. für den mysql-server kein rootpasswort einstellen, php/apache hoffnungslos veraltet sind, etc. - häufig sind das linux-systeme... muss man nix zu sagen *g*.

dafür gibts genug windows-systeme, wo eben freigaben an die dfü-verbindung gebunden sind. auch eine sehr schöne sache und nicht zu empfehlen.

wer gern sieht, was sich auf den einzelnen ports tut bzw. ob da nun gerade jemand versucht auf port 27374 (sub7) zu kommen, der muss sich eben eine personal firewall installieren. - empfehlen möchte ich es allerdings nicht, da man ohne genauso gut auskommt. nicht zuletzt lassen sich firewalls, wie die von norton leicht austricksen und sperren einem, nur, weil jemand anderes verschiedene ports ;) scannt, auch schon mal den ganzen zugang zum internet. ich glaube das nennen die "ids" - intrusion detection system. wer's brauch...

für lokale sicherheit benenne ich meinen administrator und guest-account um, letzteren sperre ich einfach. zudem kann man die lokalen-sicherheitsrichtlinien unter windows noch etwas anpassen, aber ich denke das ist nicht sooo wichtig, für einen onlineschutz. empfehlenswert wäre ein mal den mbsa auszuführen. den gibts bei microsoft und sagt einem auch, was nicht so ganz tolle am os konfiguriert ist und unbedingt nachgeholt werden sollte.

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/tools/Tools/mbsahome.asp

unter anderem nimmt man da auch gleich die standardfreigaben wie c$, d$, ... (sofern die laufwerke existieren) und $admin mit raus (wenn man die nicht benötigt). gut, sind dann, wenn man ports sperrt zwar nur noch *optionale* einstellungen, wenn man aber sicher gehen will... der mbsa hilft hier weiter!

http://home.arcor.de/web250/ipseck.gif (http://home.arcor.de/web250/ipsec.gif)

für grosses bild drauf klicken ;) (ipsec).

in dem link, in meiner signatur (jaja ;)) findet man auch noch weitere links zu microsoft. die bieten auch eine eigene sicherheitsseite bzw. eine mailingliste an!

http://www.microsoft.com/security

http://register.microsoft.com/subscription/subscribeme.asp?ID=135

wie in dem link oben (kssysteme) schon beschrieben wird, sollte man auch nur dienste laufen lassen, die man benötigt. viele installieren sich lieber ein win2k(3) server - da laufen oft dienste, für die es laufend mal bugs und auch exploits gibt. wenn man nicht braucht, dann raus z.b. mit dem nachrichtendienst (ist er wohl eh bei vielen leuten), telnet und terminal brauch wohl ebenso niemand.

btw. kann man den zeitgeberdienst aktivieren, kleiner eintrag inner registry und windows aktualisiert die uhrzeit mit einem timeserver laufend - kann man sich es ersparen, dafür noch ein tool zu suchen, oder gar zu kaufen...

wollt ihr anderen zugriff auf bestimmte ordner eurer hdd geben, dann macht das z.b. über ftp oder richtet euch ein vpn ein. gleiches hab ich schon empfohlen, wenn man sich z.b. vnc auf einem entfernten server installiert. - es muss nicht immer für andere sofort erkennbar sein, dass auf dem rechner bestimmte die dienste laufen (die eh niemand, öffentlich, was angehen). die meisten nutzen eh nur irgendwelche scantools und wenn sie da nix finden, geben sie auch schnell(er) auf.

mit ipsec lässt sich auch ein gesichertes (zertifiziertes) vpn aufbauen, fragt mich aber nicht wie *g*.

tipp:

http://www.port-scan.de

udp & tcp-ports scannen lassen. der nessus-scan und bericht ist vorallem auch nicht verkehrt. letzteres informiert einen über evtl. sicherheitslücken auf dem eigenen system.

und nicht zu vergessen, statt outlook express und internet explorer könnte man z.b. firebird und thunderbird verweden.

http://www.mozilla.org

kann man sich zumindest mal anschauen, eh man sich diese (meiner meinung) verkorkste mozilla-suite oder das netscape dingens antut.

Na Mensch!
Da ist ja richtig was bei rausgekommen!=)
Thx für den Link zu Kssystem!
@Creativelabs: Hut ab und danke für die ausführliche Anleitung!
Muss dir nur leider gestehen, dass ich nicht sooo gerne in meiner Registry rumspiele (hab da so meine Erfahrungen:( ).
Werd mir mal intensiv die Anleitung von Ks durchlesen und bin dann vielleicht auch etwas weniger DAU!;D
Popeljoe
P.s: Den Link zu Kssyteme vielleicht in die Linkliste?

Von dem Einspielen von Patches war nicht die Rede. Aber mal als Gegenfrage: Wie oft sollte man denn als normaler kleiner Hirni, der einmal in der Woche sein Homebanking macht, nach neuen, segensbringenden MS-Patchen für das seit 7 Jahren verwundbare Betriebssystem Ausschau halten? Zweimal pro Woche? Oder öfter?

;D ;D ;D

Da enthalte ich mal jeglichen Kommentars :)

ja, gibt's. In den erweiterten TCP/IP-Eigenschaften der Netzwerkkarte unter Optionen (gilt aber für alle Adapter). Allerdings erfordert auch das durchaus einige Sachkenntnis, da man nicht einzelne Ports sperren, sondern nur explizit bestimmte Ports für TCP, UDP und IP freigeben kann. Die Ports 80 und 21 kennen vielleicht auch noch fortgeschrittene Normalbenutzer, aber was ist mit den Ports für POP und SMTP? Mit und ohne SSL-Verschlüsselung? Oder wer weiß schon, dass FTP auch noch Port 20 für Daten benötigt? SSL-Websites, LDAP-Zugriff und so weiter, und so weiter.

Interessant... Muss ich beim nächsten Win Rechner gleich mal nachschauen gehen...
Stimmt, daß mit Port 20 wissen wirklich wenig. Ich wundere mich eigentlich nur immer, was man selbst unter Win alles wiissen muss, um einigermassen sorgenfrei etwas surfen zu können. Ich meine eine komplizierte Bedienung und viel Nerd-Wissen, wird ja eigentlich immer Linux nachgesagt. Persönlich tendiere ich ja auch dazu, den Rechner (die Bedienung) so einfach wie möglich zu halten, ohne allerdings faule Kompromisse eingehen zu müssen. Das beinhaltet natürlich auch, das man zum Surfen eben nicht alle möglichen Portbelegungen wissen muss.

So long Ajax