Unterschiede zwischen den Revisionen 6 und 7
Revision 6 vom 2007-01-23 14:10:04
Größe: 6409
Autor: Skyr
Kommentar:
Revision 7 vom 2008-08-17 07:57:06
Größe: 6427
Autor: anonym
Kommentar: converted to 1.6 markup
Gelöschter Text ist auf diese Art markiert. Hinzugefügter Text ist auf diese Art markiert.
Zeile 2: Zeile 2:
Wer ein XP hat, ist auf jeden Fall mit der Windows-Firewall ausreichend gut bedient. Man liest zwar immer wieder in diversen Foren, dass sie schlechter sein soll als die gängigen Personal Firewalls, allerdings konnte uns bisher noch niemand technische Argumente für diese Behauptung geben. Eine andere Möglichkeit ist die Verwendung eines filternden Routers. Es gibt seit geraumer Zeit preisgünstige Geräte, die für die Absicherung eines Heimrechners oder Heimnetzwerks völlig ausreichend sind. Schließlich besteht noch die Möglichkeit, die überflüssigen Dienste zu deaktivieren, und so dafür zu sorgen, dass ein Rechner erst gar keine Oberfläche für Angriffe bietet. Auf [http://www.ntsvcfg.de/ ntsvcfg.de] und [http://www.dingens.org/ dingens.org] gibt es Tools, die einen Rechner automatisch so konfigurieren, dass er keine unnötigen Dienste nach außen anbietet. Wer ein XP hat, ist auf jeden Fall mit der Windows-Firewall ausreichend gut bedient. Man liest zwar immer wieder in diversen Foren, dass sie schlechter sein soll als die gängigen Personal Firewalls, allerdings konnte uns bisher noch niemand technische Argumente für diese Behauptung geben. Eine andere Möglichkeit ist die Verwendung eines filternden Routers. Es gibt seit geraumer Zeit preisgünstige Geräte, die für die Absicherung eines Heimrechners oder Heimnetzwerks völlig ausreichend sind. Schließlich besteht noch die Möglichkeit, die überflüssigen Dienste zu deaktivieren, und so dafür zu sorgen, dass ein Rechner erst gar keine Oberfläche für Angriffe bietet. Auf [[http://www.ntsvcfg.de/|ntsvcfg.de]] und [[http://www.dingens.org/|dingens.org]] gibt es Tools, die einen Rechner automatisch so konfigurieren, dass er keine unnötigen Dienste nach außen anbietet.
Zeile 5: Zeile 5:
Wie [wiki:PersonalFirewalls/Versagen hier] bereits gesagt lässt sich das grundsätzlich nicht verhindern, wenn Software erst mal ausgeführt wird und irgendein Programm nach außen kommunizieren darf. Die einzige Möglichkeit, das zu verhindern, besteht darin, telefonierende Software gar nicht erst auszuführen. Dabei können Virenscanner helfen, sofern sie regelmäßig (möglichst täglich) aktualisiert werden. Außerdem tut man gut daran, den automatischen Start von CD-Laufwerken (zumindest für Daten-CDs) zu deaktivieren. Für einzelne Benutzer hilft dabei das Tool [http://www.microsoft.com/ntworkstation/downloads/PowerToys/Networking/NTTweakUI.asp TweakUI], das es kostenlos bei Microsoft gibt, oder man deaktiviert es systemweit über eine Gruppenrichtlinie. Diese editiert man mit dem !SnapIn ''gpedit.msc'' für die Microsoft Management-Konsole (MMC), das sich im system32-Verzeichnis befindet. Eine weitere Möglichkeit für fortgeschrittenere Nutzer besteht in der Verwendung von [http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/rstrplcy.mspx Software Restriction Policies], mittels derer man exakt festlegen kann, welche Programme gestartet werden dürfen, und welche nicht. Wie [[PersonalFirewalls/Versagen|hier]] bereits gesagt lässt sich das grundsätzlich nicht verhindern, wenn Software erst mal ausgeführt wird und irgendein Programm nach außen kommunizieren darf. Die einzige Möglichkeit, das zu verhindern, besteht darin, telefonierende Software gar nicht erst auszuführen. Dabei können Virenscanner helfen, sofern sie regelmäßig (möglichst täglich) aktualisiert werden. Außerdem tut man gut daran, den automatischen Start von CD-Laufwerken (zumindest für Daten-CDs) zu deaktivieren. Für einzelne Benutzer hilft dabei das Tool [[http://www.microsoft.com/ntworkstation/downloads/PowerToys/Networking/NTTweakUI.asp|TweakUI]], das es kostenlos bei Microsoft gibt, oder man deaktiviert es systemweit über eine Gruppenrichtlinie. Diese editiert man mit dem !SnapIn ''gpedit.msc'' für die Microsoft Management-Konsole (MMC), das sich im system32-Verzeichnis befindet. Eine weitere Möglichkeit für fortgeschrittenere Nutzer besteht in der Verwendung von [[http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/rstrplcy.mspx|Software Restriction Policies]], mittels derer man exakt festlegen kann, welche Programme gestartet werden dürfen, und welche nicht.
Zeile 7: Zeile 7:
Darüber hinaus ist es sinnvoll, Internet Explorer und Outlook bzw. Outlook Express so weit wie irgendwie möglich zu meiden, da sie wiederholt durch massive (teilweise immer noch nicht behobene) Sicherheitslücken aufgefallen (wer ein plakatives Beispiel sehen will, sollte sich [http://www.gnucitizen.org/blog/what-happens-to-your-computer-if-you-mispell-googlecom dieses Video] ansehen) und durch die Integration in Windows besonders angreifbar sind. Stattdessen sollten besser andere Browser bzw. Mail-Clients verwendet werden, beispielsweise [http://www.mozilla.org/products/mozilla1.x/ Mozilla], [http://www.mozilla-europe.org/de/ Firefox]/[http://www.mozilla-europe.org/de/products/thunderbird/ Thunderbird] oder [http://www.opera.com/ Opera]. Darüber hinaus ist es sinnvoll, Internet Explorer und Outlook bzw. Outlook Express so weit wie irgendwie möglich zu meiden, da sie wiederholt durch massive (teilweise immer noch nicht behobene) Sicherheitslücken aufgefallen (wer ein plakatives Beispiel sehen will, sollte sich [[http://www.gnucitizen.org/blog/what-happens-to-your-computer-if-you-mispell-googlecom|dieses Video]] ansehen) und durch die Integration in Windows besonders angreifbar sind. Stattdessen sollten besser andere Browser bzw. Mail-Clients verwendet werden, beispielsweise [[http://www.mozilla.org/products/mozilla1.x/|Mozilla]], [[http://www.mozilla-europe.org/de/|Firefox]]/[[http://www.mozilla-europe.org/de/products/thunderbird/|Thunderbird]] oder [[http://www.opera.com/|Opera]].
Zeile 20: Zeile 20:
Es gibt verschiedenste Wege, sowas festzustellen. Man kann mit [http://www.sysinternals.com/Utilities/TcpView.html TCPView] die offenen Verbindungen beobachten. Man kann mit [http://support.microsoft.com/default.aspx?scid=kb;en-us;837243 Port Reporter] Verbindungen mitprotokollieren lassen. Man kann mit [http://www.ethereal.com/ Ethereal] oder einem anderen Protocol-Analyzer den Datenverkehr untersuchen. Selbstverständlich kann man auch eine Personal Firewall für derartige Beobachtungen verwenden. Man muss sich lediglich darüber im Klaren sein, dass diese Beobachtungen aufgrund der vielfältigen Umgehungsmöglichkeiten nicht zuverlässig sind, und auch nicht zuverlässig sein können. Es gibt verschiedenste Wege, sowas festzustellen. Man kann mit [[http://www.sysinternals.com/Utilities/TcpView.html|TCPView]] die offenen Verbindungen beobachten. Man kann mit [[http://support.microsoft.com/default.aspx?scid=kb;en-us;837243|Port Reporter]] Verbindungen mitprotokollieren lassen. Man kann mit [[http://www.ethereal.com/|Ethereal]] oder einem anderen Protocol-Analyzer den Datenverkehr untersuchen. Selbstverständlich kann man auch eine Personal Firewall für derartige Beobachtungen verwenden. Man muss sich lediglich darüber im Klaren sein, dass diese Beobachtungen aufgrund der vielfältigen Umgehungsmöglichkeiten nicht zuverlässig sind, und auch nicht zuverlässig sein können.
Zeile 22: Zeile 22:
fdik hat im ChaosSeminar einen Vortrag über [wiki:ChaosSeminar/2005/01_(Un)Sicheres_Windows_am_Heim-PC (Un)Sicheres Windows am Heim PC] gehalten. Der Vortrag richtet sich an Otto-Normaluser und lohnt sich! fdik hat im ChaosSeminar einen Vortrag über [[ChaosSeminar/2005/01_(Un)Sicheres_Windows_am_Heim-PC|(Un)Sicheres Windows am Heim PC]] gehalten. Der Vortrag richtet sich an Otto-Normaluser und lohnt sich!

Was soll ich denn anstelle einer Personal Firewall verwenden?

Wer ein XP hat, ist auf jeden Fall mit der Windows-Firewall ausreichend gut bedient. Man liest zwar immer wieder in diversen Foren, dass sie schlechter sein soll als die gängigen Personal Firewalls, allerdings konnte uns bisher noch niemand technische Argumente für diese Behauptung geben. Eine andere Möglichkeit ist die Verwendung eines filternden Routers. Es gibt seit geraumer Zeit preisgünstige Geräte, die für die Absicherung eines Heimrechners oder Heimnetzwerks völlig ausreichend sind. Schließlich besteht noch die Möglichkeit, die überflüssigen Dienste zu deaktivieren, und so dafür zu sorgen, dass ein Rechner erst gar keine Oberfläche für Angriffe bietet. Auf ntsvcfg.de und dingens.org gibt es Tools, die einen Rechner automatisch so konfigurieren, dass er keine unnötigen Dienste nach außen anbietet.

Aber so kann ich doch gar nicht verhindern, dass Software nach Hause telefoniert!

Wie hier bereits gesagt lässt sich das grundsätzlich nicht verhindern, wenn Software erst mal ausgeführt wird und irgendein Programm nach außen kommunizieren darf. Die einzige Möglichkeit, das zu verhindern, besteht darin, telefonierende Software gar nicht erst auszuführen. Dabei können Virenscanner helfen, sofern sie regelmäßig (möglichst täglich) aktualisiert werden. Außerdem tut man gut daran, den automatischen Start von CD-Laufwerken (zumindest für Daten-CDs) zu deaktivieren. Für einzelne Benutzer hilft dabei das Tool TweakUI, das es kostenlos bei Microsoft gibt, oder man deaktiviert es systemweit über eine Gruppenrichtlinie. Diese editiert man mit dem SnapIn gpedit.msc für die Microsoft Management-Konsole (MMC), das sich im system32-Verzeichnis befindet. Eine weitere Möglichkeit für fortgeschrittenere Nutzer besteht in der Verwendung von Software Restriction Policies, mittels derer man exakt festlegen kann, welche Programme gestartet werden dürfen, und welche nicht.

Darüber hinaus ist es sinnvoll, Internet Explorer und Outlook bzw. Outlook Express so weit wie irgendwie möglich zu meiden, da sie wiederholt durch massive (teilweise immer noch nicht behobene) Sicherheitslücken aufgefallen (wer ein plakatives Beispiel sehen will, sollte sich dieses Video ansehen) und durch die Integration in Windows besonders angreifbar sind. Stattdessen sollten besser andere Browser bzw. Mail-Clients verwendet werden, beispielsweise Mozilla, Firefox/Thunderbird oder Opera.

Und mit einem Virenscanner wird alles gut?

An Virenscannern scheiden sich die Geister. Progamme dieser Kategorie bieten meist zwei Scan-Methoden (signaturbasiert und heuristisch), und lassen sich auf zwei Arten ausführen (on-demand und on-access):

  • Signaturbasierter Scan: Der Virenscanner überprüft, ob ein bestimmtes Muster in einer Datei auftaucht, und entscheidet danach, ob die Datei geöffnet/ausgeführt werden darf oder nicht. Vorteil dieser Methode ist, dass sie sehr zuverlässig arbeitet. Bei polymorphen oder verschlüsselten Viren stößt sie jedoch an ihre Grenzen.

  • Heuristischer Scan: Der Virenscanner bewertet anhand generischer Merkmale, ob eine Datei Malware sein könnte. Der Vorteil dieser Methode ist, dass unter Umständen auch bisher unbekannte Malware erkannt werden kann. Andererseits steigt dadurch auch das Risiko, dass eine Datei fälschlich als Malware identifiziert wird. Ein ähnliches Problem wie bei Personal Firewalls.

  • On-Demand-Scan: Ein Scan wird manuell oder zeitgesteuert gestartet, um eine Datei bzw. eine Menge von Dateien zu scannen. Das kann beispielsweise ein User sein, der eine bestimmte Datei untersuchen will, oder auch ein nächtlicher Scan der gesamten Festplatte. Der Scanner läuft hierbei mit den Rechten des Benutzers, der ihn startet.

  • On Access-Scan: Der Scanner läuft permanent im Hintergrund und scannt eine Datei, sobald auf sie zugegriffen wird. Dazu muss er unter einem Konto gestartet werden, das über entsprechende Zugriffsrechte verfügt. In der Regel wird dazu das Konto SYSTEM verwendet, was allerdings keine wirklich gute Idee ist, da ein Angreifer im Fall einer Sicherheitslücke im Virenscanner ggf. über präparierte Dateien seine Zugriffsrechte ausweiten kann (sog. Privilege Elevation). Besser wäre es, den Scanner unter einem eigenen Konto zu starten, das nur mit genau den Rechten ausgestattet ist, die benötigt werden. Macht aber leider unseres Wissens nach kein Hersteller. Schade.

Ob man nun einen Virenscanner verwenden will, und ob man On-Access-Scans oder zyklische On-Demand-Scans bevorzugt, muss man letztlich selbst entscheiden. Gerade für unerfahrende Anwender raten wir aber trotz des Risikos, das ein Dienst mit SYSTEM-Rechten darstellt, eher zur Verwendung eines Virenscanners mit On-Access-Scan und regelmäßiger (möglichst automatischer) Aktualisierung.

Aber wie soll ich denn feststellen, dass ein Programm nach Hause telefoniert?

Es gibt verschiedenste Wege, sowas festzustellen. Man kann mit TCPView die offenen Verbindungen beobachten. Man kann mit Port Reporter Verbindungen mitprotokollieren lassen. Man kann mit Ethereal oder einem anderen Protocol-Analyzer den Datenverkehr untersuchen. Selbstverständlich kann man auch eine Personal Firewall für derartige Beobachtungen verwenden. Man muss sich lediglich darüber im Klaren sein, dass diese Beobachtungen aufgrund der vielfältigen Umgehungsmöglichkeiten nicht zuverlässig sind, und auch nicht zuverlässig sein können.

fdik hat im ChaosSeminar einen Vortrag über (Un)Sicheres Windows am Heim PC gehalten. Der Vortrag richtet sich an Otto-Normaluser und lohnt sich!


zurück zur Startseite