(1/1)

please be aware, I DO NOT own any copy right on any of the following product

Computer:

.NET 2.0 (1)
.NET Allgemein (16)
.NET Fu (5)
ADO.NET (11)
Aprilscherz (3)
ASP Grundlagen (44)
ASP Tricks (83)
ASP.NET (44)
ASPIntranet.de (5)
C# (28)
Datenbank (44)
Dokumentation (4)
IIS 6.0 (1)
Komponenten (29)
Optimierung (10)
Server (21)
Sicherheit (34)
Tee Off (6)
VB.NET (6)
WAP (8)
Web Services (11)
XML (9)

Electronic

Atmel (Microcontroller)

	Butterfly
	Assembler

http://rcswww.urz.tu-dresden.de/

" (COTS, Commercial off the Shelf) " <<

Language: german version (current) / english version «

Übersicht:

Windows-Dienste sicherer konfigurieren

	Aktuelle Version 2.2
	Download
	Die Checkliste
	Bekannte Probleme
	Alles OK?

Weitere Konfigurationsmaßnahmen

	Benutzerrechte verwenden
	Betriebssystem ständig aktuell halten
	Dienste sicherer konfigurieren
	Internet Explorer/Outlook Express nicht nutzen!
	Aktivieren der WindowsXP-Firewall

Andere Beiträge zur Computersicherheit

	Desktop/Personal Firewalls (PFW) - und warum man sie nicht braucht
	Das RUS-CERT
	Presse & Medien
	Danksagung

http://www.chip.de/c1_forum/thread.html?bwthreadid=561773

http://grc.com/UnPnP/UnPnP.htm

http://www.xp-antispy.org/

http://www.dingens.org/

Desktop/Personal Firewalls (PFW)

http://www.ntsvcfg.de/#_pfw

http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html#Verarsche

Warum will man mich in de.comp.security.firewall verarschen? Newsgruppen dienen doch dazu, einander zu helfen!

Die Leute, die in dieser Newsgruppe miteinander reden, haben zum Teil äußerst unterschiedliche Vorkenntnisse. Absolute Neulinge treffen hier auf erfahrene Sicherheitsexperten. Letztere werden von einem nicht enden wollenden Strom von Anfängern immer wieder mit den gleichen Fragen konfrontiert.

Mit der Zeit sind dann die schon länger mitdiskutierenden Fachleute genervt, insbesondere wenn deutlich wird, daß ein Frager zu wenig eigene Anstrengungen unternimmt, um die von ihm gewünschte Information zu recherchieren. Dies führt gelegentlich bei den Experten bzw. Expertinnen zu einer sarkastisch wirkenden Schreibweise. ........................................#

Was bedeuten die ganzen Abkürzungen?

Die meisten Abkürzungen sind Netzbegriffe, die in den RFCs (Internetstandards) definiert werden. Die Antwort zur vorhergehenden Frage enthält einen Link dazu. Die FU-Berlin hat ein schönes Online-Recherchetool für solche Kurzworte: http://www.chemie.de/tools/acronym.php3

1. Windows-Update

Bevor man mit dem PC das erste Mal online geht, sollten alle aktuellen Updates bereits eingespielt sein. Man kann das mit einer Update CD machen, die man von Microsoft bekommt, oder sich hier: http://download.winboard.org/downloads.php?ordner_id=67 ein Update Pack besorgen, dass alle nötigen Updates auf einmal installiert.

• Link zum Windows-Update: http://v4.windowsupdate.microsoft.com/en/default.asp
http://v5.windowsupdate.microsoft.com/v5consumer/d [...] aspx?ln=de
(Link für WinXP SP2, neue Version des Win-Updates)

• Alle Updates installieren, die unter „Critical Updates and Service Packs“ stehen, der Rest ist nicht ganz so wichtig, sollte aber auch installiert werden.

• Microsoft veröffentlicht monatlich sowie bei akuten Bedrohungen neue Updates, also muss das Windows-Update regelmäßig durchgeführt werden.

2. Sichere Internetsoftware verwenden

• Keinen Internet Explorer und kein Outlook oder Outlook Express benutzen, diese Programme sind die größten Sicherheitslücken (ganz, ganz, ganz wichtig!!!).

• Falls ihr bestimmte Internetseiten besucht, die nur mit dem IE klappen (gibt es leider), dann ActiveX, Scripting und Java deaktivieren:

IE -> Extras -> Internetoptionen -> Sicherheit -> Stufe "Internet" anpassen

Folgendes auf „Deaktivieren“ stellen:
- Alle Punkte, in denen „ActiveX“ vorkommt
- Alle Punkte, in denen „Scripting“ oder „Script“ vorkommt
- Java-Einstellungen auf "Hohe Sicherheit"

Falls die darzustellende Seite dann nicht funktioniert, sollte man darüber nachdenken, ob sie es wert ist, angesehen zu werden!

Wichtig: Leider benötigt das Windows-Update (siehe Punkt 1) zwingend den Internet-Explorer mit aktiviertem ActiveX (Es sei denn, man möchte jedes Update einzeln manuell von Microsoft runterladen).

Wenn die oben genannten Änderungen vorgenommen wurden, ist die einfachste Lösung, das Windows-Update den „Vertrauenswürdigen Sites“ hinzuzufügen:

IE -> Extras -> Internetoptionen -> Sicherheit -> Vertrauenswürdige Sites -> Sites -> Link von Punkt 1 (http://v4.windowsupdate . . .) eintragen -> hinzufügen

• Alternativen:

- Mozilla http://www.mozilla.org/
- Opera http://www.opera.com/

Diese Browser sind dem Internet Explorer nicht nur in Sicherheitsfragen überlegen, sondern bietet auch besseren Komfort und erweiterte Funktionalität. Beide bringen auch direkt einen Mail-Client als Ersatz für Outlook mit.

• Mit Messengern (z.B. ICQ) kann auch viel Mist passieren, also wenn möglich darauf verzichten.

• Kein FileSharing betreiben (z.B. Kazaa, eDonkey). Über diese Programme herunter geladene Dateien sind oft verseucht und nicht das, was sie vorgeben zu sein. Filesharing ist eine riesige Schädlingsschleuder.
Außerdem werden durch die Freigabe von Tausch-Verzeichnissen Lücken aufgerissen. Viele User geben alle Laufwerke des PCs komplett frei. Macht euch mal den Spaß und sucht nach „Bewerbung“ oder „Lebenslauf“.

3. Nicht benötigte Dienste beenden (und damit Ports dichtmachen)
(Nur für Windows 2000 und XP)

• Unter http://www.ntsvcfg.de/ gibt es eine Datei mit dem Namen svc2kxp.cmd zum Download, die macht fast alles automatisch. Bitte schaut euch vorher die Anleitung an.
Sollte der Rechner in einem Netzwerk laufen, dürfen nicht so viele Dienste beendet werden wie bei einem Einzelplatzrecher.
Das Script bietet dafür beim Start verschiedene Auswahlmöglichkeiten.

Unter http://www.dingens.org/ gibt es das ganze mit grafischer Benutzeroberfläche.

• Danach kann der Dienst "Designs" (wenn nötig) auf "Automatisch" gestellt werden, wenn WinXP wieder bunt sein soll:
(Systemsteuerung -> Verwaltung -> Dienste -> Rechtsklick auf „Designs“ -> Eigenschaften)

• UnPnP.exe macht ein anderes Loch zu (wenn nötig wird es angezeigt).
http://grc.com/UnPnP/UnPnP.htm

• Mit xpAntiSpy kann man den Nachrichtendienst und weitere überflüssige Funktionen unter WinXP deaktivieren.
http://www.xp-antispy.org/

• Hier gibt es eine Anleitung, wie man den Rest manuell vornimmt:

Windows XP:
http://www.computer-security.ch/ids/default.asp?TopicID=164
http://sunny.comlab.sigillium.de/HardeningWXP.pdf
Windows 2000:
http://www.computer-security.ch/ids/default.asp?TopicID=165
http://sunny.comlab.sigillium.de/HardeningW2k.pdf

Bei der Deaktivierung von Diensten kann es immer dazu kommen, dass durch die Abschaltung eines benötigten Dienstes bestimmte Dinge nicht mehr funktionieren. Eine allgemeingültige Beschreibung ist aufgrund der zu verschiedenen Rechner-Konfigurationen kaum möglich.
Die mit dieser Anleitung gemachten Änderungen sollten keine Probleme verursachen. Außerdem gibt es mit Sicherheit auf jedem Rechner noch weitere, nicht benötigte Dienste. In Zweifelsfällen immer nur eine Änderung vornehmen, neu starten und testen, ob alles noch läuft.

Hier: http://www.different-thinking.de/windows_2000_dienste.php gibt es eine Auflistung der Dienste sowie eine Erklärung deren Funktion.

Noch was: Mit einer Software-Firewall (ZoneAlarm, Norton IS usw.) werden keine offenen Ports geschlossen. Dies kann man nur erreichen, indem die Anwendung, die den Port öffnet, beendet wird.

4. Gute Schutzsoftware verwenden

• Mein Arsenal:

o AntiVirenKit 2004 als Virenscanner http://www.gdata.de
o Kaspersy-Antivirus http://www.kaspersky.com

o Ad-Aware: http://www.lavasoftusa.com/ und Spybot: http://www.safer-networking.org/ gegen Werbeprogramme (Spyware), außerdem Spyware Blaster http://www.javacoolsoftware.com/

Die eingesetzte Software muss regelmäßig, am besten täglich, aktualisiert werden.

Schutzsoftware sollte immer die letzte Verteidigungslinie darstellen, also niemals darauf verlassen und sich so in Sicherheit fühlen.
Wenn die Schutzsoftware Alarm schlägt, ist der Fehler bereits passiert!

Und: Kein Programm erkennt alle Schädlinge!

5. Prüfen, ob alles geklappt hat

• HijackThis zeigt an, ob der PC noch mit verschiedenen Schädlingen infiziert ist und ermöglicht u.a. das Entfernen von so genannten Browser-Hijackern (Symptome: Ungewollte und nicht änderbare Startseite und Favoriten, Pop-Ups, Blocken von bestimmtem Seiten). http://www.spywareinfo.com/~merijn/index.html

Ein gutes Tutorial gibt es hier: http://www.spywareinfo.com/~merijn/htlogtutorial.html

Auch eine automatische Prüfung des Logs gibt es:
http://www.hijackthis.de/index.php
Trotz guter Ansätze ersetzt diese automatische Auswertung aber bisher nicht die manuelle Auswertung.

• TCPView zeigt offene Ports an.
http://www.sysinternals.com/

Das Auswerten der von diesen Programmen gelieferten Daten erfordert allerdings etwas Sachkenntnis.

6. Spamfilter

• Sinnvoll ist die Installation eines Spamfilters, der verhindert, dass mit Schädlingen befallen Mails überhaupt auf den Rechner gelangen, da sie schon auf dem Mail-Server des Providers gelöscht werden können.

Meine Empfehlung: Mailwasher Pro http://www.firetrust.com/products/pro/

7. Weitere Infos

• Hier steht noch ganz viel drin (vor allem über die Sinnlosigkeit von Personal-Firewalls, wie z.B. ZoneAlarm oder Norton Internet Security):
http://www.chip.de/forum/thread.html?bwthreadid=659560

8. Das Wichtigste

• BRAIN 2.0 benutzen, d.h. Gehirn einschalten:
- Nicht auf alles klicken, was blinkt und sagt „Klick mich“
- Keine Dateien öffnen, deren Quelle ihr nicht 100%ig kennt
- Keine vertrauensunwürdigen Internetseiten besuchen (z.B. WareZ-, Cracks-, oder Porno-Seiten)

Der beste Schutz gegen Schädlinge jeder Art ist es, sie gar nicht erst zu installieren. Beachtet man alle o.g. Regeln, ist selbst ein im Hintergrund laufender Virenscanner sinnlos, da er nie aktiv werden muss.

read clear on:
http://www.ntsvcfg.de/

Windows-Dienste sicher(er) konfigurieren

Einführung

Windows 2000 und XP gehören, ebenso wie Windows NT4 und Windows 2003 Server, zur Windows NT Familie. NT ist die Abkürzung für "New Technology" und wurde von Microsoft 1993 zusammen mit dem neuentwickelten 32bit-(Server)-Betriebssystem Windows NT 3.1 eingeführt.
Jedoch beging Microsoft hierbei einen folgenschweren Fehler: (nichtbenötigte) Netzwerk-Dienste waren standardmäßig aktiviert, von außen erreichbar und somit auch angreifbar. Somit wurde eine wichtige Grundregel der Netzwerksicherheit mißachtet: "Biete keine Dienste an, die Du nicht brauchst". Dienste (engl.: services) sind Programme, die beim Laden des Betriebssystems mitgestartet werden, ohne dass ein Benutzer sich anmelden muss. Sie stellen Funktionen bereit, die von anderen Programmen genutzt werden können.
Ein Einzelplatzrechner benötigt beispielsweise keine Netzwerk-Dienste. Daher ist es wichtig, Rechnersysteme sicherer zu konfigurieren, um Angreifern nur geringe Möglichkeiten zu geben, Schäden an der IT-Infrastruktur im Unternehmen oder am Privat-PC anzurichten.

Um diese Sicherheit auch in der Praxis anwenden zu können, wurden unter kssysteme.de zwei Anleitungen veröffentlicht, die eine sicherere Konfiguration der Dienste (Services) unter Windows 2000 und Windows XP ermöglichen. Es wurde unter anderem die Umkonfiguration der NT-Dienste hinsichtlich Starttyp beschrieben, um nicht benötigte Dienste über das Netzwerkinterface nach außen erst gar nicht anzubieten und somit das Sicherheitsrisiko zu minimieren.

Da in den o.g. Artikeln fast alle Dienste aufgelistet sind, ist es bei mehreren NT-Systemen sehr mühsam, die immer wiederkehrenden Abläufe manuell durchzuführen. Oft fügen sich Flüchtigkeitsfehler bei der Umsetzung hinzu. Um dies komfortabler zu gestalten, und Konfigurationsfehler weitestgehend zu vermeiden, wird im nachfolgenden Abschnitt ein Script vorgestellt, welches

	den Starttyp (automatisch, manuell, deaktiviert) jedes Dienstes anpaßt,
	kritische Dienste nach Möglichkeit sofort beendet,
	DCOM deaktiviert und Standardprotokollbindungen entfernt,
	SMB ("Server Message Block") abschaltet und somit Port 445 schließt (nur zutreffend, wenn "/std" oder "/all" verwendet wird),
	"Distributed Transaction Coordinator" und "Nachrichtendienst" beendet und auf "deaktiviert" setzt,
	DHCP bei Nichtverwendung deaktiviert,
	NetBios an allen Netzwerk-Interfaces deaktiviert (außer bei "/lan").

Wichtiger Hinweis: Es werden ausschließlich windowseigene Dienste konfiguriert, sodaß diese, in Abhängigkeit der gewählten Option 1 - 3, von außerhalb nicht mehr erreichbar sind. Jedoch entbindet die Ausführung des Scripts einen NICHT von der zeitnahen Einspielung sicherheitsrelevanter Updates und Patches.

Was die Aufgaben eines Dienstes sind, wird unter http://www.different-thinking.de/windows_2000_dienste.php erklärt. Desweiteren wird unter http://www.microsoft.com/germany/technet/datenbank/articles/900048.mspx ("Bedrohungen und Gegenmaßnahmen: Sicherheitseinstellungen unter Windows Server 2003 und Windows XP") ein PDF-Dokument zum Download angeboten, in dessen Kapitel 7 genauere Informationen zu den jeweiligen Diensten nachzulesen sind.

Im nachfolgenden Abschnitt werden Parameter/Voreinstellungen näher erläutert, welche durch das Script angeboten werden.

svc2kxp.cmd - Version 2.2

Ansicht der Programmoberfläche der Datei svc2kxp.cmd (v2.2) Seit Januar 2004 stand die bisherige Version 2.0 zum Download bereit, welche gegenüber der Vorgängerversion vor allem in den Punkten Übersichtlichkeit, Anpassung, Sicherheit sowie Umfang deutlich verbessert wurde.
Nach Version v2.1 liegt nun die aktuelle Fassung v2.2 vor und soll diese Maßstäbe weiter fortsetzen. Diese ist auf die Änderungen durch Service Pack 2 für Windows XP abgestimmt. So deckt die aktuelle Fassung des Scripts ein noch breiteres Einsatzspektrum ab. Nachfolgende Tabelle soll einen Überblick über die Möglichkeiten der neuen Version geben:

(1) LAN oder "/lan"	Mit dieser Einstellung wird versucht, alle offenen Ports zu schließen. Einige Dienste wie "Automatische Updates" oder "Taskplaner" sowie SMB-Funktionen bleiben unberührt. Verwenden Sie diese Einstellung, wenn Sie auf Netzwerkfreigaben oder -drucker zugreifen müssen.
(2) Standard oder "/std"	Im Gegensatz zu (1) LAN wird zusätzlich SMB deaktiviert. Alle Ports sind nun geschlossen. Einige Dienste wie "Automatische Updates" oder "Taskplaner" bleiben aber unberührt. Daher ist diese Option geeignet, falls keine (Standard-)Dienste nach außen angeboten werden sollen, man auf "Automatische Updates" sowie den "Taskplaner" nicht verzichten möchte.
(3) ALL oder "/all"	Setzt die Vorschläge von www.ntsvcfg.de vollständig um, dh. alle Dienste + SMB werden beendet bzw. deaktiviert. (dieser Punkt empfiehlt sich zum "hardening" für Einzelplatzrechner, welche sich NICHT in einem Netzwerk befinden.).
(4) Restore oder "/restore"	Nimmt die letzten Änderungen zurück. Es erscheint möglicherweise eine Fehlermeldung, das es während des Rücksicherns Probleme beim Schreiben der Registry gegeben hat. Dies läßt sich aufgrund gestarteter Dienste nicht vermeiden. Ignorieren Sie bitte diese Fehlermeldung mittels "OK".
"/reLAN"	Setzt für LAN-Betrieb benötigte Dienste auf "automatisch" und startet diese anschließend neu (Re-Aktivierung). Diese Option ist nur über Kommandozeile aufrufbar.
"/fix"	Behebt ein Problem mit dem Taskplaner ("falscher Parameter"), welches nach Ausführung früherer Script-Versionen auftrat. Diese Option ist nur über Kommandozeile aufrufbar.
/?	Zeigt eine Hilfsübersicht über die Aufrufparameter an.
	Alle vorgenommenen Einstellungen werden erst nach einem Neustart wirksam!

Beispiel:
svc2kxp.cmd /lan (für Rechner im LAN / Netzwerk. Achtung: Funktionen der Netzwerkumgebung (z.B. browsing) gehen hierbei verloren!)
svc2kxp.cmd /std (für Einzelplatzrechner ohne LAN / Netzwerkanbindung, z.B. ein PC, welcher nur über ADSL-/Kabelmodem mit dem Internet verbunden ist.)

Es ist ausreichend, das Script nach größeren Änderungen der Systemkonfiguration (z.B. nach Einspielen von Service Packs, Updates,...) auszuführen und nur eines der drei Profile (/lan, /std oder /all) auszuwählen und anzuwenden. Für die Ausführung des Scripts ist die Datei "SC.EXE" notwendig, welche in Windows XP, im W2k/XP-ResourceKit als auch in VisualStudio.NET bereits enthalten ist oder bei bestehender Internetverbindung auf Wunsch durch das Script selbst heruntergeladen und installiert wird. Desweiteren kann sie unter ftp://ftp.microsoft.com/reskit/win2000/sc.zip oder http://www.dynawell.com/reskit/microsoft/win2000/sc.zip bezogen werden. Entpacken Sie danach die Datei SC.EXE nach Winnt/System32/ bzw. Windows/System32/. Für Computer in Netzwerken (LANs) ist dieses Script NICHT geeignet!

Download: (für Windows 2000/XP)

http://www.ntsvcfg.de/svc2kxp.cmd oder als ZIP-Datei (v2.2_build6a vom 12.08.2005; 50,4 kB/17,8 kB)
(CMD-MD5: b6e03743896129e07fb1c5b01e95d69a; ZIP-MD5: 4b05c92f4065e1f849bafeab61ea473d)

( history // Erfahren Sie mehr über "fingerprinting" sowie Änderungen bzgl. XP SP2 // Lizenzbedingungen: www.gnu.de )

Die Checkliste

Hiermit sei nochmals erwähnt, das das angebotene Script nur einen Teil der Maßnahmen von ntsvcfg.de und kssysteme umsetzen kann. Der andere Teil bleibt weiterhin Handarbeit. Was genau im Einzelnen noch vom Benutzer selbst zu ändern ist, und was bereits "automatisch" durch das Script erledigt wurde, ist in folgender Übersicht aufgeführt:

Legende:
noch selbst abzuarbeiten bzw. zu überprüfen
wurde durch das Script bereits geändert

Windows 2000

Windows XP

1. Entbinden der Netbiosdienste (netbios-ssn, netbios-ns, netbios-dgm) vom DFÜ-Netzwerk (Internetverbindung) (weitere Informationen)

1. Entbinden der Netbiosdienste (netbios-ssn, netbios-ns, netbios-dgm, Port 135,137,139) von der DFÜ/LAN-Verbindung (Teil A+B+C)
(weitere Informationen)

2. Beenden von epmap, isakmp und microsoft-ds*

	Konfiguration von DCOM
	Konfiguration der Systemdienste

2. Beenden von epmap (Port 135)

	Teil A: Konfiguration von DCOM
	Teil B: Konfiguration der Systemdienste

* Es wird nicht, wie in Frank Kaunes' Anleitung beschrieben, der Dienst NetBT deaktiviert, sondern alternativ der Eintrag "SMBDeviceEnabled=0" gesetzt, was ebenso Port 445 schließt, und dennoch NetBIOS-Funktionalität sichert (weitere Informationen)

3. Beenden von mtaskp (Port 1026)

4. Beenden von ssdp (Port 1900, 5000)

5. Beenden von alg (Port >3000)

6. Beenden von microsoft-ds* (Port 445)

Bekannte Probleme:

	Taskplaner: Anwender von Windows XP sollten das SP2 installieren! Beim Start des Taskplaners kann es in bestimmten Fällen zu einer Fehlermeldung ("Falscher Parameter") kommen. Um das Problem zu beheben, laden Sie sich die Datei ntsvcfg_fix.zip herunter, entpacken die darin enthaltene ntsvcfg_fix.reg und importieren diese mittels Doppelklick. Allerdings werden hierdurch Port 135 (RPC) sowie Port 1025 wieder geöffnet (mehr >>)
	"Prefetching": Das in Windows XP verwendete "Prefetching" zur Optimierung des Bootvorganges kann Probleme bereiten, falls der Dienst "Taskplaner" beendet wurde. Wenn Sie diesbezüglich Fehlermeldungen erhalten, diese Funktion aber weiterhin nutzen möchten, so setzen Sie den genannten Dienst auf "automatisch" und starten diesen neu. (mehr >>)
	DNS: Unter Windows 2000 SP2 kann es in seltenen Fällen zu Problemen mit der DNS-Namensauflösung kommen (mehrmalige Versuche sind notwendig bzw. keine Auflösung möglich). Windows 2000 SP4 kann dieses Problem beheben.
	DHCP: Die DHCP-Erkennung arbeitet unter Umständen nicht zuverlässig, sodaß der Dienst "DHCP-Client" fälschlicherweise beendet wird. Falls Ihr Rechner DHCP benötigt (z.B. bei Verwendung von DVB-Karten / Internetdiensten via Satellit, DSL-Router oder Kabelmodem), überprüfen Sie, ob der Dienst "DHCP-Client" gestartet ist.
	ICS / XP-Firewall: In Verbindung mit der Internetverbindungsfreigabe (Internet Connection Sharing, ICS) in Windows 2000 und XP sind vereinzelt Probleme berichtet worden. Demnach können die Clienten nicht mehr über den ICS-Rechner das Internet nutzen. Ursache sind meist die Dienste "Gemeinsame Nutzung der Internetverbindung", "SSDP-Suchdienst", "Universeller Plug & Play Gerätehost" sowie in seltenen Fällen der Dienst "DHCP-Client". Diese werden durch das Script deaktiviert bzw auf manuell gesetzt und müssen erneut aktiviert werden, falls auf ICS nicht verzichtet werden kann.
	Netzwerkdrucker/-freigaben: Trotz der Option "(4) Restore" kann es zu Problemen mit Netzwerkdruckern kommen. Überprüfen Sie hierzu, ob in den erweiterten TCP/IP-Eigenschaften der Netzwerkkarte, über welche der Drucker angesprochen wird, NetBIOS aktiviert ist.
	Netzwerkumgebung: Nach Verwendung von (1) LAN werden in der Netzwerkumgebung keine anderen Computer mehr angezeigt. Zur Behebung starten Sie bitte den Dienst "Computerbrowser" sowie eventuell zusätzlich die "Windows-Firewall" neu. Falls keine statische Namensauflösung erfolgt, muß ebenfalls "NetBIOS" aktiviert werden.
	IIS kann nicht gestartet werden: Zur Behebung des Fehlers gehen Sie nach der Anleitung für den Taskplaner vor.
	Outlook kann nicht mehr auf MS Exchange Server zugreifen: Grundsätzlich ist das Script zur Anwendung auf Rechnern in einer Domäne/Netzwerkumgebung nicht geeignet. Sollten Sie trotzdem die Option "(1) /LAN" angewandt haben, kann Outlook seitdem nicht mehr auf Exchange-Server zugreifen. Es erscheint die Fehlermeldung "... could not open the information store". Zur Problemlösung importieren Sie die Datei dcomp.reg, welche sich im Verzeichnis %USERPROFILE% befindet.
	Sondertasten bei Tastaturen (WinXP): In einzelnen Fällen kann es vorkommen, daß Sondertasten (z.B. lauter/leiser, Mute, Play/Pause) von Tastaturen (u.a. Logitech Cordless Desktop Optical) nicht mehr reagieren. Die Ursache liegt im Dienst "Eingabegerätezugang" (HidServ). Dieser wird standardmäßig durch Windows XP sowie dem Script deaktiviert. Aktivieren Sie diesen Dienst von Hand, falls Sie die Sondertasten Ihrer Tastatur verwenden möchten.
	WindowsUpdate v5 (WinXP): Mit dem ServicePack 2 für Windows XP wurde auch WindowsUpdate erneuert und liegt mittlerweile in der Version 5 vor. Um die neue Version nutzen zu können werden ab sofort die Dienste Automatische Updates sowie Intelligenter Hintergrundübertragungsdienst benötigt. Beide Dienste werden bei Verwendung von "(3) /ALL (hardening)" deaktiviert. Möchten Sie WindowsUpdate v5 nutzen, müssen die o.g. Dienste wieder aktiviert werden.
	"ATI - Grafikkartentreiber": Die Installation und Deinstallation von "Catalyst"-Treibern kann zu Problemen führen, da der ATI-Installer aus nicht näher bekannten Gründen zwingend RPC (mit Bindung an LAN-Interface) und DCOM (einschließlich Distributed Transaction Coordinator) benötigt. "Omega"-Treiber sind davon nicht betroffen.
	"Ausführen als..." nicht möglich: Verantwortlich für das Starten von Prozessen unter alternativen Anmeldeinformationen ist der "Dienst 'Ausführen als'". Dieser muß zur Verwendung gestartet sein.
	CAPI-Probleme: Sollten nach Anwendung des Scripts, insbesondere unter Verwendung von Windows 2000 und der Option "(3) ALL", Probleme mit der (ISDN-)CAPI auftreten ("ISDN Treiber nicht geladen"), so hilft es meist, die Datei "dcomp.reg" (im Verzeichnis %USERPROFILE%\ntsvcfg) zu importieren und anschließend den Rechner neuzustarten. Desweiteren sollte überprüft werden, ob der Dienst Remoteprozeduraufruf auf "automatisch" eingestellt und gestartet ist.

Überprüfen Sie nach einem Neustart, ob durch die o.g. Maßnahmen keine von außen erreichbaren Ports geöffnet wurden! Windows-Dienste können auch nachträglich über Systemsteuerung ->Verwaltung -> Dienste konfiguriert werden. Windows NT4 sowie Server-Versionen werden durch das Script nicht unterstützt! Für W2k3 sei als Leitfaden Windows Server 2003 Sicherheitshandbuch erwähnt.

Hinweise bei Verwendung von ServicePack 2 für Windows XP:

Das seit 9. August 2004 offiziell verfügbare Service Pack 2 für Windows XP beinhaltet einige wichtige Neuerungen, welche in Zusammenhang mit Verwendung des Scripts näher erläutert werden sollen:

Ein Kern dieser neuen Sicherheitspolitik im Servicepack 2 ist das Sicherheitscenter. Dieses beinhaltet u.a. eine verbesserte Internetverbindungsfirewall, welche nunmehr standardmäßig für alle Netzwerk- und DFÜ-Interfaces aktiv ist. Bei Anwendung des Scripts svc2kxp.cmd bis v2.1_build4 wird die Windows-Firewall u.U. deaktiviert. (mehr >>)

"Alles OK?"

Zur Überprüfung, ob der Rechner noch unnötige Dienste zum Internet anbietet (Status: 'offen'): http://webscan.security-check.ch/ sowie http://www.linux-sec.net/Audit/nmap.test.gwif.html. (Hinweis: Diese Tests sind nicht über jeden Internet Provider möglich, da einige den Zugang über Proxies bereitstellen, und somit der eigene Rechner nicht überprüft werden kann.)

Sind noch offene Ports vorhanden? Hier eine Übersicht, was möglicherweise die Ursache sein könnte:

	Port 135 - Nachrichtendienst, Taskplaner, Distributed Transaction Coordinator, DCOM (inkl. Protokollbindungen)
	Port 137..139 - NetBios (kann in "TCP/IP-Eigenschaften -> [x] NetBIOS deaktiviert" abgeschaltet werden)
	Port 445 - SMB, wird für Netzwerkfreigaben über TCP/IP benötigt (kann mit Hilfe des Parameters "/all" geschlossen werden)
	Port 1025 - Taskplaner (scheduler) u.a.

Weitere Konfigurationsmaßnahmen für Microsoft Windows

(1) Benutzerrechte verwenden (2K/XP/2K3)

Arbeiten Sie unter Windows 2000/XP immer mit Benutzerrechten und nie mit Administratorrechten. Voraussetzung dafür ist, daß NTFS als Dateisystem verwendet wird. Nur so können Sie weitesgehend verhindern, daß z.B. unerwünschte Software wie Dialer o.ä. auf ihr System gelangen kann und/oder Schäden am Systemverzeichnis entstehen.

Windows XP Home: Sie sollten unbedingt überprüfen, ob für den Administrator-Account ein Passwort vergeben wurde. Standardmäßig ist dies nicht der Fall, sodaß jeder, der lokalen Zugriff auf den Rechner hat, sich als Administrator anmelden und so möglicherweise dem System Schaden zufügen kann (Anm.: Netzwerk-Anmeldung ist bei Konten mit leerem Passwort nicht möglich).

(2) Betriebssystem ständig aktuell halten (95/98/ME/2K/XP/2K3)

Da fast täglich neue Sicherheitslücken in aktuellen Betriebssystemen entdeckt werden, ist es erforderlich, Windows 2000/XP immer auf dem aktuellen Stand zu halten. Dies geschieht am einfachsten mit Hilfe von Windows-Update . Neben der Behebung von Schwachstellen im Betriebssystem erhält man oft auch verbesserte Geräteunterstützung für aktuelle Hardware und/oder bessere Stabilität des Betriebssystems. Die alleinige Anwendung des Scripts reicht hierfür nicht aus, da dieses keine Dienste aktualisiert/patcht, sondern nur sicherer konfiguriert. Fehler in NT-Diensten und Programmen werden durch das Script NICHT behoben!

	Alle "Wichtigen Updates & Service Packs" installieren: => http://windowsupdate.microsoft.com, insbesondere das seit 9. August 2004 verfügbare SP2 für Windows XP Zur Überprüfung, welche sonstigen Patches noch fehlen: => http://hfnetchk.shavlik.com/ oder Microsoft Baseline Security Analyzer
	W32Blaster/RPC-Patch: Wichtig ist, das bei Verwendung von Windows 2000/XP der Rechner nicht eher mit Netzwerken oder dem Internet verbunden wird, bevor nicht sichergestellt ist, das die Lücke im RPC (Remote Procedure Call, Port 135) geschlossen wurde. Hierzu ist der entsprechende Patch OFFLINE* zu installieren: => http://www.microsoft.com/germany/technet/servicedesk/bulletin/bulletinms04-012.mspx Welcher RPC-Patch (noch) fehlt oder ob er korrekt installiert ist, kann man folgendermaßen überprüfen: => http://support.microsoft.com/?kbid=827363 (* von einem nicht kompromittierten / nicht befallenen Windows-System oder von einer Linux-Distribution (z.B. einer Knoppix-CD) aus den Patch downloaden.)
	LSASS-Sicherheitsanfälligkeit Der Mitte April 2004 erschienene Patch KB835732 schließt Sicherheitslücken im Local Security Authority Subsystem (LSASS) auf Windows NT4/2K/XP/2K3 Systemen, welche sonst durch BufferOverflows das Ausführen von Code über ein Netzwerk ermöglichten. Der Wurm "Sasser" nutzt diese Schwachstelle, um seinen Code auf befallenen Rechnern auszuführen. Daher ist es dringend erforderlich, den angebotenen Patch sofort zu installieren.

(3) Dienste sicherer konfigurieren (2K/XP), Datei- und Druckerfreigabe aufheben

Wie NT-Dienste so konfiguriert werden, daß sie keine potentiellen Angriffsflächen bieten, wurde im ersten Kapitel dieser Webseite beschrieben. Desweiteren wird ein Script angeboten, welches die Konfiguration der Dienste erleichtert.

Datei- und Druckerfreigabe (95/98/ME/2K/XP/2K3)
Für direkte Internetverbindungen (DSL, ISDN, Modem) sollten der Client für Microsoft-Netzwerke sowie die Datei- und Druckerfreigabe in den Eigenschaften der entsprechenden Verbindung deaktiviert werden.

(4) Internet Explorer/Outlook Express nicht nutzen! (95/98/ME/2K/XP/2K3)

Von der Benutzung der bei Windows 2000/XP mitgelieferten Programme "Internet Explorer" sowie "Outlook Express" muß abgeraten werden, da die konzeptionellen Schwächen (u.a. ActiveX, Nichteinhalten von Standards oder sog. "Browser-Hijacking") sowie sicherheitskritischen Fehler dieser Programme ein zu großes Risiko darstellen. Auch das Zonenmodell bietet keinen ausreichenden Schutz (siehe auch: -> heise.online).

Als Alternativen sind die Suite Mozilla (Browser/Email/News) oder einzeln Firebird/Firefox (Browser) und Thunderbird (eMail/Newsgroup) sowie Opera zu empfehlen: Mozilla (dt.) + Sun JRE 1.5.x (Java).

Gleichzeitig ist es sinnvoll, den Internet Explorer (IE) für die weitere Verwendung als Browser 'stillzulegen'. Dies wird durch die systemweite, benutzerunabhängige Zuweisung von 127.0.0.1:9 (oder localhost:9) als Proxy-Server erreicht. Um weiterhin Windows Update (bzw. Office Update) nutzen zu können, müssen noch die entsprechenden URLs (*.windowsupdate.com;windowsupdate.microsoft.com;*.windowsupdate.microsoft.com;wustat.microsoft.com;officeupdate.microsoft.com; office.microsoft.com) in die Ausnahmeliste eingetragen werden. Am einfachsten erreicht man diese Konfiguration mittels der auf dieser Seite angebotenen .Reg-Datei oder über Angabe der URL http://jors.net/jor/ie.pac zur automatischen Proxykonfiguration. Bitte die jeweiligen Ausnahmelisten der beiden Dateien beachten, da diese u.U. sehr restriktiv sind, und ggfls. den eigenen Erfordernissen anpassen!
Über folgende Gruppenrichtlinien sollten diese Einstellungen dauerhaft vor unautorisierten Veränderungen geschützt werden:
Gruppenrichtlinien > Benutzerkonfiguration > Adminsitrative Vorlagen > Windows-Komponenten > Internet Explorer: Richtlinie 'Änderung der Verbindungseinstellungen deaktivieren' aktivieren.

(5) Aktivieren der WindowsXP-Firewall

WindowsXP bringt eine im TCP/IP stack integrierte Internet-Verbindungs-Firewall (ICF) mit. Da sie bis SP1 nicht global aktiviert werden kann, muß dies für jede Verbindung einzeln erfolgen. Empfohlen wird, die XP-Firewall vor der Verbindung zum Internet zu aktivieren. So verhindert sie, wie auch das Script, das Netzwerkdienste von außen erreichbar sind. Im Gegensatz zu Desktop-Firewalls zeichnet sie sich durch einfachere Konfiguration sowie ein geringeres Risiko bezüglich der Manipulierbarkeit (Regeln ändern, deaktivieren,...) aus. Sollte Service Pack 2 installiert sein, beachten Sie bitte auch folgenden wichtigen Hinweis!

(6) Backups anlegen (95/98/ME/2K/XP/2K3)

Kompromittierung, Datenverlust durch defekte Dateisysteme oder Festplattenausfälle können jederzeit eintreten. Eine regelmäßige Sicherung (Backup) aller wichtigen Daten (Dokumente, Bilder,...) mit der richtigen Strategie hilft, finanzielle Schäden sowie Ausfallzeiten zu minimieren. Im Privatbereich bieten sich beispielsweise DVD+/-RW oder DVD-RAM als preiswerte und relativ zuverlässige Speichermedien für Backups an (mehr >>).

(7) Weitere Informationen:

	de.comp.security.misc,
	microsoft.public.de.security.heimanwender,
	MS TechNet: The Ten Immutable Laws of Security
	Der Linkblock

Andere Beiträge zum Thema Computersicherheit

Desktop/Personal Firewalls (PFW) - und warum man sie nicht braucht

	eine Firewall ist ein Sicherheitskonzept, und keine Software, die man installieren kann. Will man einen Rechner oder ein Netzwerk schützen, benötigt man zuallererst ein Konzept. Daher geht die Sprachregelung meist auch eher dahin, daß, wird von "der Firewall" gesprochen, zunächst dieses Konzept gemeint ist. Dieses beinhaltet u.a., das man sich fragt, was vor welcher Art von Angriff geschützt werden soll.
	eine Firewall, die auf dem System läuft, welches geschützt werden soll, ist oftmals sinnfrei, da sie es gerade verhindern muß, daß schädigende Datenpakete zum zu schützenden System vordringen können. So sind evtl. bereits anfällige Komponenten, welche hätten geschützt werden sollen, durchlaufen, bevor die Firewall überhaupt eingreifen konnte. Gleichzeitig wird die Komplexität des zu schützenden Systems erhöht.
	jedes zusätzliche Programm auf einem System erhöht die Anfälligkeit, da Programme und somit auch PFW's Fehler und Sicherheitslücken enthalten, die sich in ihrer Anzahl summieren können. Die Komplexität des zu schützenden Systems wird erhöht. Mehr Komplexität heißt aber auch zwangsläufig mehr Fehlermöglichkeiten und damit weniger Sicherheit.
	sie täuscht dem Benutzer eine falsche Sicherheit vor, da dieser denkt, er wäre jetzt rundum geschützt. In Wahrheit wird er allzuoft nur nachlässiger - dies wird häufig auch als "Risikokompensation" bezeichnet. Viele werden schon einmal Benutzer gesehen haben, die ohne eine Sekunde des Nachdenkens ein EMail-Attachment geöffnet hatten - und wenn man nachfragt, ob sie keine Bedenken haben, da könnte ein Virus drin sein, kommt fast immer "Wieso, ich hab doch ein Antivirus-Tool!".
	Personal/Desktop-Firewalls können problemlos umgangen und ausgeschaltet werden, ohne das der Benutzer davon etwas bemerkt. Vor allem die Regelanpassung zur Laufzeit ist als kritisch anzusehen, da Dialogboxen von Würmern o.ä. schneller 'weggeklickt' werden können, als das sie der Benutzer je zu Gesicht bekommt. Und Regeln, die der Anwender selbst definieren kann, sofern er diese auch versteht, kann auch ein Wurm verändern, da PFW's meist mit den Rechten des angemeldeten Benutzers ausgeführt werden.

Und hier noch einige Beispiele, auf die man besser verzichten sollte: Norton Internet Security und Norton Personal Firewall, BlackIce (Defender), ZoneAlarm, Sygate Personal Firewall, Lockdown2000, Outpost u.a....
(siehe auch -> http://www.udel.de/faq/, http://copton.net/vortraege/pfw/index.html)

Mehr zum Thema IT-Sicherheit: Das RUS-CERT

Um mehr zum Thema DV-Sicherheit zu erfahren, und/oder in diesen Angelegenheiten immer auf dem aktuellen Stand zu sein, sei folgende Seite der Universität Stuttgart empfohlen: http://cert.uni-stuttgart.de/

In eigener Sache: Presse & Medien

	"Sicherheit auf Tastendruck" "Wer sich mit der Dienstkonfiguration nicht selbst herumschlagen will, kann auch ein vorgefertigtes Script verwenden. Es stammt von der Website www.ntsvcfg.de, die sich dem Thema sichere Windows-Konfiguration widmet (...)." (Auszug; Artikel & Interview: PC Professional 12/2004).
	"Website der Woche" "Die Seite bietet ausführliche Informationen zur sicheren Konfiguration von NT-Diensten unter Windows 2000/XP. Hier ist zudem ein Script verfügbar, mit dem nicht benötigte Dienste komfortabler bearbeitet werden können.(...) Darüber hinaus findet sich im Link-Block eine Sammlung von guten Links zum Thema Sicherheit am PC." (Wintotal.de, 16.12.2004)
	"Superbatch Svc2kxp.cmd" "Die Batchdatei Svc2kxp nutzt letztlich nur die Windows-Bordmittel, dies aber auf über 1000 Zeilen Code, die alle unerwünschten Ports schließen und überflüssige Dienste abschalten. Svc2kxp bietet nach dem Start drei Sicherheitsstufen an, die Sie durch Eintippen der entsprechenden Nummer aktivieren" (PC-Welt, Ausgabe 10/2005, >>> )

Danksagung

An dieser Stelle gehört der Dank all denjenigen, welche mit Initiative, konstruktiver Kritik, Anregungen und Verbesserungsvorschlägen nachhaltig sowohl an der Gestaltung des Scripts, als auch an dieser Seite, mitwirkten:

Bernd Eckenfels, Wolfgang Ewert, Stephan Grossklass, Chris Haaser, Sybille Kahl, Stefan Kanthak, Besim Karadeniz, Frank Kaune, Rüdiger Lahl, Daniel Leidert, Johannes Lichtenberger, Joachim Meyer, Harald Mühlböck, Michael Paul, Jürgen Port, Manuel Reimer, Rüdiger Rösler, Björn Schliessmann, Alexander Skwar, Ralf Storm, Jörg Ulbrich, Karin Weber, Ansgar Wiechers, Thomas Winter.

An dieser Stelle sei darauf hingewiesen, das dieses Webangebot keinerlei kommerzielle oder gewerbliche Interessen verfolgt, sondern ausschließlich als privates, freiwilliges Angebot zur privaten Nutzung, insbesondere für die Nutzer der NewsGroup de.comp.security.misc, dient. Alle in diesem Webangebot genannten Bezeichnungen von Produkten sind Marken und Produktnamen der jeweiligen Anbieter. Kommerzielle Nutzung ist ohne vorherige Einverständniserklärung des Autors dieser Seite nicht erlaubt. Alle Angaben nach bestem Wissen und Gewissen aber unter Ausschluß jeglicher Gewähr.

Letzte Aktualisierung: 12. Oktober 2005 12:43 Uhr MEZ