How-To: Wie mache ich meinen Windows PC sicherer? Update 26.05.09

[NetworkerZ]

@Schwinni
Ist das nicht eher als Router gedacht? Muss ich die FW-Funktionalität nachinstallieren? Ich werde es mal nicht auf der ersten Seite mit einfügen, ich kenne das Produkt einfach zu wenig. Evtl. habe ich mel ne Stunde Zeit mich damit zu befassen. Danke aber trotzdem für den Hinweis. Wenn ich mich nicht irre gibt es schon nen Sammelthread zu fli4l --> Softwarerouter.

@VSTBac
Hmm, ziemlich komplex das Ganze. Ich kenne mich leider absolut nicht mit UMTS Software / Hardware aus. Ich kann also nicht sagen, ob man diese unter Linux zum Laufen bekommt.

Ich würde zuerst mal das neuste Kubuntu von CD starten und schauen, ob irgendeine USB-Hardware erkannt wird. Ich glaube jedoch, dass du hier auf die proprietäre und somit an Windows gebundene Software angewiesen bist.

Eine Alternative wäre ein UMTS Router. Schau einfach mal unter geizhals, was son Teil kostet. Damit wärst du dann allerdings nicht so mobil, wie mit Handy und Notebook.

Letzendlich glaube ich, dass es für dich keine besserer als die jetzige Lösung gibt. Vielleicht ändert sich das ja in absehbarer Zeit (z.B. Software des Handys für Linux...)

Greetz

NetworkerZ

[VSTBac]

Hallo!

Erstmal Danke für die Info. Habe mir eben mal die Router genauer angesehen. Es gibt ja z.B. das Teil von o2 - sieht interessant aus, leider etwas teurer als die Angebote fürs Surfen via Handy, dafür integrierte Firewall und übliche Routerkonfig. Problem: Mobil ist man damit nicht mehr.

Gibts denn schon Möglichkeiten, eine Firewall auf einem Handy (Symbian OS) zu integrieren? Das wäre doch theoretisch eine praktische Lösung oder?

Eine Unterstützung von Linux gibt es für PC-Steckkarten PCMCIA. Allerdings würde ich gerne beim Handy bleiben. Die Kartensysteme sind im Vergleich zu teuer. Die billigste Variante (sollte derzeit so sein) ist das BASE Angebot von E-Plus, das mittlerweile als Datentarif einzeln verfügbar ist und 25 Euro je Monat kostet (5Gig Flat UMTS). In dieser Preisklasse würde ich gerne bleiben. Allein das macht den Wechsel auf ein Router-System, das 21,99 Monatlich für 2GB Daten kostet und 9,99 Grundgebühr für den Router frisst schon unrentabel.

Eine Symbian Firewall wäre (wohl?) angesagt oder sehe ich das falsch?

Grüße

[NetworkerZ]

Nunja, es gibt tatsächlich FW Software für Symbian Handys. Z.B. von F-Secure oder Norton. Aber 1. kann ich nicht sagen, ob diese auch wirkt, wenn das Handy als Modem genutzt wird und 2. glaube ich nicht, das eine Symbian-Handy-FW besser ist, als ZoneAlarm und Co. und Windows.

In nächster Zeit erscheint ein Handy von FIC, auf dem das OpenSource OS OpenMoko läuft. Es hat 266Mhz, 128MB Ram, Blurtooth, USB, GPS usw. Leider hat es KEIN UMTS. Aber, und deshalb erwähne ich es, der kurz darauf erscheinende Nachfolger wird UMTS und HSDPA unterstützen. Wenn jetzt noch IPTables auf dem Handy funzt, ist das wohl die beste Alternative

Greetz

NetworkerZ

[Schwinni]

@NetworkerZ
fli4l ist eigentlich so wie IPCop - nur in manchen Dingen ein bisschen besser!
Du kannst dir natürlich den Paketfilter einstellen wie du willst, Pakete abhängig von Port, Protokoll oder Adresse droppen, rejecten, weiterleiten usw.
Weiterhin bietet fli4l QOS, was gerade bei DSL mit nur begrenztem Upload echt gut ist, da alleine schon die Regel, die ACK-Pakete des PPPOE-Protokolls in Upload-Richtung zu bevorzugen, sehr sinnvoll ist.

Was es natürlich nicht bietet ist eine Anwendungskontrolle auf der Seite des Clients, aber das tut IPCop ja auch nicht, da die beiden ja keine PFW sind.

Gruß,
Schwinni

[VSTBac]

Hallo!

Danke für die Info mit dem Handy von FIC - lese gerade auf heise-technology darüber. Könnte interessant werden. Mal sehen, wieviel davon letztlich umgesetzt wird.

Die Handy-Firewalls gibt es, doch ich vermute sie sind inaktiv wenn UMTS läuft. Gehe davon aus, dass sie nur den integrierten Browser bzw. Mailsysteme schützen und UMTS-Paketdaten daran vorbei gehen.

Nun bin ich schon am grübeln, ob es nicht besser wäre, die Sunbelt PFW wieder zu kicken (merkliche Performanceverluste beim Hochfahren trotz guter Defrag) und die interne FW von WinXP SP2 zu nutzen. Sollte doch auch reichen oder lieber doch nicht?

HSDPA ist schick - 3,6MBit Downstream hören sich wirklich gut an, zumal der Netzausbau in D ja bei vielen Anbietern recht hoch ist bzw. noch stark ausgebaut wird. Allerdings: HSDPA soll bei vollständiger Verfügbarkeit langfristig zu einer neuen Einnahmequelle werden. Wer das haben will bzw. nutzen will soll extra dafür berappen - das wird nichts werden. Soviel Zeit hab ich. Das wird dann vermutlich enden wie das Digitalradio - seit Jahren beworben gerade mal 2-3% Marktanteil. Warum etablierte Techniken abschaffen oder für teuer Geld anbieten? Sorry Mobilfunker, lasst Euch was anderes einfallen. MMS war ja auch schon nicht DER Sms-Ersatz oder Revoluzzer.

Viele Grüße
VSTBac

[Syrus<Jan>]

so dann diskutiere ich hier auch mal mit:

Wie sieht es mit einem Virtual PC eigentlich aus? Ist man da geschützt oder sehe ich das hier völlig falsch?

[NetworkerZ]

so dann diskutiere ich hier auch mal mit:

Wie sieht es mit einem Virtual PC eigentlich aus? Ist man da geschützt oder sehe ich das hier völlig falsch?

Kommt ganz auf den Verwendungszweck an:

Wenn du eine WinXP unter VirtualPC oder VMWare laufen lässt, ist es dort an sich genau so anfällig, wie nativ installiert. Du könntest es also genau so absichern, wie beschrieben.

Was man natürlich machen kann, ist, unter VMWare eine Firewall-Distribution wie bspw. IPCop einzurichten und über diese dann den kompletten Netzwerkverkehr des Host-Systems abzuwickeln.
Generell bin ich aber eher jemand, der physikalisch getrennte Systeme bevorzugt (wenn die Hardware gegeben ist), da man im Normalfall ein System nicht schützt, indem man es selbst durch Firewallmaßnahmen "abdichtet". Der Angreifer kommt bei solchen Maßnahmen physikalisch gesehen immer direkt zu dem System, dass er auch angreifen will. Wenn du ein extra Firewallsystem hast, schützt dies wesentlich besser, da der Angreifer nicht das eigentliche Zielsystem dahinter sieht.

Mein Fazit:
VMWare + Firewalldistri ist gut - ein extra System mit IPCop / m0n0wall ist besser

Greetz

NetworkerZ

[Syrus<Jan>]

Wenn du eine WinXP unter VirtualPC oder VMWare laufen lässt, ist es dort an sich genau so anfällig

meinst du hier mein "reelles" XP oder das virtuelle? Oder andersrum, falls das virtuelle dann trotzdem ungeschützt ist, ist dann wenigstens mein reelles geschützt?

[NetworkerZ]

meinst du hier mein "reelles" XP oder das virtuelle? Oder andersrum, falls das virtuelle dann trotzdem ungeschützt ist, ist dann wenigstens mein reelles geschützt?

Genau, ich meinte das virtuelle WinXP. Dies solltest du genau so schützen, wie das Host-System.

Momentan ist das Hostsystem vor Schädlingen aus einer VMWare sehr sicher. Mir ist zur Zeit kein (benutzerfreundlicher) Exploit für VMWare bekannt, der sicherheitstechnisch relevant wäre. Die Möglichkeit für solch einen Exploit will ich aber dennoch nicht ausschließen Zum Testen von Viren und deren Verhalten eignet sich eine VMWare z.B. sehr!

Greetz

NetworkerZ

[srynoname]

mit dem "windows worm doors cleaner" (freeware) bzw. teils mit nlite kann dafür sorgen, das windows auf keinem port mehr nach außen lauscht. dann braucht man meistens auch keine firewall.

[NetworkerZ]

Hiho Community!

Ich habe den Thread mal aktualisiert. Fast jeder Bereich wurde mit neuen Infos ergänzt, so habe ich endlich die Virenscannerempfehlung eingepfelgt. Der Punkt 10. Anti-Rootkit Software kam ganz neu hinzu.

Hoffe der Thread hat noch Leser! Ich bin auch auf eure Hilfe angewiesen -> bin wirklich für jeden Tipp dankbar.

Greetz

NetworkerZ

[daxerox]

Finde das Update super, gut gemacht

[srynoname]

Falls ihr keinen Router habt, kauft euch für 50 Euro einen Pentium 2 Rechner mit 2 Netzwerkkarten, wenn ihr nicht sogar noch einen alten PC herumstehen habt, installiert euch eine kostenlose Linux-Firewall wie bspw. IPCop oder Smoothwall und konfiguriert diese. Die Installation und Konfiguration sollte für einen normalen PC-User absolut kein Problem darstellen. Ihr könnt praktisch nichts falsch machen. Eine professionelle Anleitung für IPCop findet ihr HIER. Achtet etwas auf den Stromverbrauch des PCs, da der Rechner wahrscheinlich bei den Meisten von euch 24 Stunden laufen wird.

warum nen alten pc mit wohl höherem stromverbrauch als nen router? mehr arbeit, mehr lärm, höhere stromkosten. dann doch lieber n billigen router mit nat (ist ja schon standard), das reicht für die meisten dicke, muss auch nichts großartig konfiguriert werden (standard passwort ändern, remote administraion deaktivieren...). klar, man ist in der konfiguration im vergleich zu nem pc mit router distri eingeschränkt, aber in der praxis dürfte das für die meisten nutzer uninteressant sein.

und wer einfach alle windows ports schließt, braucht keins von beidem! warum wird darauf nicht hingewiesen?
schließen der windwos ports schützt sogar im lan, wo ja z.b. router nat praktisch nichts schützt. wies bei ner router distri ausschaut, weiß ich nicht.

10. Anti-Rootkit Software

wo sind da praktisch schon legenden wie icesword und dessen konsorten geblieben?

zu den browsern:

Mein Vorschlag: Entscheidet euch zwischen Firefox und Opera. Beide sind sehr gut und sicher, wobei Opera keine bekannten Sicherheitslücken hat.

auch bei opera gab es in der vergangenheit lücken!

und hast du dir schonmal gedanken gemacht, wie browser exploits ihre befehle ausführen? anscheinend nicht!

zu den antiviren programmen:
haben genauso wie firewalls ihre fehler! jede zusätzliche software ist ein risiko. firewalls evtl. etwas mehr, da sie mehr oder weniger direkt am netz hängen.

sorry, aber der thread spiegelt im großen und ganzen die zeitschriften standard tipps wieder, die zwar was auch in irgendwo was bringen, aber eben nicht grade der hit sind. und dir scheint mir irgendwie etwas hintergrundwissen zu fehlen.


ich will nicht deine arbeit hier niedermachen, aber sich viel arbeit machen liefert halt leider nicht automatisch das eprfekte ergebnis \:

was mir grade noch aufgefallen ist, ist so ne kleinigkeit hier:

4) Kaspersky Antivirus 6.0
- SEHR GUT bei der Erkennungsleistung von Viren / schnellste Reaktionszeit auf neue Viren!
- schlechte Erkennungsrate von Spy- und Adware

es ist nunmal ein antiviren programm oder wirbt kaspersky damit, spyware zu erkennen? genauso die rootkit sache, bei den anderen viren. n rootkit ist halt kein virus.

[NetworkerZ]

@daxerox
Danke für die Blumen

@srynoname

Danke für deine konstruktiven Beitrag.

Zeitschriftenniveau, hmm vielleicht schon, aber genau das ist mein Ziel. Die Leute sollen verstehen, was ich ihnen schreibe, und das möglichst kurz, kompakt und vollständig. Man könnte auch in 10 Heften und auf 5 Homepages nachschlagen, aber sicherlich mit höherem Aufwand verknüpft. In diesem Forum befinden sich größtenteils Freaks, die Wissen welche CAS Einstellung im BIOS des Mainbaords die Beste für ihren HighEnd-Ram ist ... Aber Security-Freaks sind hier mit Sicherheit die wenigsten! Zudem habe ich nicht die Zeit, 20 Virenscanner selbst zu testen und beziehe mich dann eben (im Thread ersichtlich) auf Zeitschriften wie c't oder ix. Oder hast du hier irgndwo etwas von CHIP und Co. gelesen

Einen PC empfehle ich gegenüber einem Router primär, da ein Router wie bspw. eine FritzBox den ausgehenden Verkehr nicht überwacht, ein PC mit IPCop und Co. aber schon. Zudem solltest du wissen, dass der Vergleich zwischen einer konfigurierbaren Netfilter FW und einem Router mit FW nicht wirklich standhaft wäre. Für den "Normalbürger" sicher ausreichend, da gebe ich dir Recht. Ich gehe in diesem Forum jedoch davon aus, das a) genug Hardware zu Hause rumliegt und b) es Spaß macht, mal ein Linux OS zu installieren. Auf den Stromverbrauch weise ich im Thread bereits hin.

Das mit den Ports werde ich noch ergänzen. Aber zeige mir bitte ein Windows, bei dem alle Ports und alle Dienste stillgelegt wurden und danach noch anständig funktioniert ...

Opera hatte Sicherheitslücken, aber meines Wissen keine hochkritischen. Ich lasse mich aber gerne eines besseren belehren. Zu deiner Beruhigung, ich weiß, wie Exploits funktionieren

Jede Software hat Fehler, klar, aber deshalb auf einen Virenscanner verzichten? Viel Spaß. Das werde ich meiner Community mit Sicherheit nicht empfehlen.

Virenscanner müssen heute viel mehr tun, als "nur" nach Viren suchen. Ginge es nur um diese Disziplin, würden alle mehr oder weniger gut abschneiden, mit wenigen Ausnahmen. Dementsprechend zählen eben die zusätzlichen Merkmale. Du wirst sehen, dass in absehbarer Zeit jeder Virenscannerhersteller damit wirbt, auch Spy- und Adware sowie Rootkits zu entfernen.

Und nein, Hintergrundwissen fehlt mir ganz sicher nicht Aber du kannst dich ja daran machen und eine bessere, überarbeitete Version dieses Thread rauszubringen. Ich und die Community würden es sicher danken entgegennehmen.

Greetz

NetworkerZ

EDIT:
Achso, zur "Legende" Icesword:
Bei altbekannten Rootkits gut, Vanqhish un Co. bekommt man in den Griff, ebenso FU usw. Probier das Tool aber mal mit Feebs aus und du wirst sehn das du nix siehst. Und Feebs ist ITW! Die neue "Legende" heißt meiner Meinung nach GMER!

[srynoname]

Einen PC empfehle ich gegenüber einem Router primär, da ein Router wie bspw. eine FritzBox den ausgehenden Verkehr nicht überwacht, ein PC mit IPCop und Co. aber schon.

da hast du recht, das habe ich nicht bedacht. aber selbst wenn man es bedenkt: die router distri wird das wohl port, evtl. auch protokollbasiert, machen. "intelligente" software leitet ihre daten einfach über port 80 bzw. eben http protokoll raus. woher soll die hardwarelösung wissen, ob das gewollt ist oder nicht? aber ok, es blockt schon mehr als n nat, zumindest ausgehend. wobei ich mir auch denke, wenn man was ausgehendes blocken muss, dann hat man eh schon n problem
aber da hier eben die meisten keien sicherheitsfreaks sind, ist die andere frage, wer sich die mühe macht, großartig regeln zu erstellen? wobei es da auf der anderen seite wahrscheinlich schon was gute, vorgefertigte geben wird. nen router halte ich persönlich trotzdem im großen und ganzen für passender und preislich bekommt mans ja auch nachgeschmissen.
nach dem du auch nochmals auf die vorteile hingewiesen hast, wäre ich dafür, eine kurze, simple gegenüberstellung in den thread einzuarbeiten - konfigurations und administrationsaufwand, stromverbrauch / lärmbelästigung, effektivität usw.
edit:
feebs z.b. kommuniziert über port 80.

Das mit den Ports werde ich noch ergänzen. Aber zeige mir bitte ein Windows, bei dem alle Ports und alle Dienste stillgelegt wurden, dass danach noch anständig funktioniert ...

die genauen dienste bzw. einschränkunge weiß ich jetzt nicht auswendig, aber es waren recht unrelevante sachen, rcp, dcom...
kurzum, wirkliche einschränkungen gibt es dadurch nicht. evtl. die windows freigaben im netzwerk, wobei man bei wwdc auch angeben kann, diese nutzen zu wollen, genauer getestet habe ich das nicht, weil ich die eh nie brauche. probiers doch mal selbst in ner vm. da läuft eigentlich noch alles ohne probleme danach.


was die virenscanner angeht, wenn die hersteller damit werben, dann sollte das produkt damit gut abschneiden. ansonsten gibts dafür ja darauf spezialisierte produkte und virenscanner ist halt n virenscanner. da kann mans etl. positiv anrechnen, das der eine mehr funktionsumfang hat, aber nicht dem anderen als negativ, das er sich auf die eigentliche aufgabe spezialisiert.

edit:

EDIT:
Achso, zur "Legende" Icesword:
Bei altbekannten Rootkits gut, Vanqhish un Co. bekommt man in den Griff, ebenso FU usw. Probier das Tool aber mal mit Feebs aus und du wirst sehn das du nix siehst. Und Feebs ist ITW! Die neue "Legende" heißt meiner Meinung nach GMER!

ja, mir ist bekannt, dass icesword auch nicht alles erkennt. darum hab ich extra auf die konsorten verwiesen. mir fehlt da atm der überblick, habs in letzter zeit nicht verfolgt. mein fehler

[NetworkerZ]

Danke dir fürs statement, ich werde den Thread überabreiten.

Greetz

NetworkerZ

EDIT:
Achso, und den Test mit den Ports und Diensten unter Windows habe ich hinter mir ... danach ging gar nichts mehr! Und ein WIndows ohne Internet braucht auch keinen "Wie mache ich meinen PC sicherer"-Thread mehr

[srynoname]

was hast du denn alles deaktiviert? wwdc deaktiviert glaub nur 2,3 dienste (bei den meisten sachen werden glaub nicht einmal dienste deaktiviert). meinst du evtl. diese längeren was sollte ich alles auf manuell oder deaktiivert listen die man mal wieder in zeitschriften als findet?^^ viel zu viel rumgefummel und testen was dann noch läuft

[NetworkerZ]

Geh doch mal in deinem System auf Dienste (Systemsterung -> Verwaltung -> Dienste) und deaktiviere alle Nein im ernst, es gibt kein funktionierendes Windows ohne laufendem Dienst.
Dies gilt auch für die offenen Ports von WIndows, du bekommst sie eifnach nicht alle zu, ohne dass die Funktionalität darunter leidet. Netbios und Co. lassen grüßen! Das beste Spagat zwischen Security und Usability bietet meiner Meinung nach immer noch das Projekt www.ntsvcfg.de

Greetz

NetworkerZ

[srynoname]

Nein im ernst, es gibt kein funktionierendes Windows ohne laufendem Dienst.

hab ich auch nie behauptet. dir müsste doch bekannt sein, das viele dienste garnicht "lauschen", d.h. völlig unrelevant für die ports sind. netbios & co braucht man ja nicht wirklich.
ich finde man bekommt schnelle alle ports zu und das in den meisten fällen, ohne das man irgendwelche einschränkungen hat bzw. welche die man bemerkt.

[Barego]

Hallo

Da ich mir jetzt einen neuen Laptop bestellt habe (Inspiron 1720), möchte ich damit auch gut geschützt sein... Mit meinem Desktop Rechner hatte ich ziemlich viele Probleme, deshalb mal ein paar Fragen:

1) Mit was müsste man Antivir noch kombinieren für einen guten Schutz?
2) Wie wichtig ist das surfen ohne Administrationsrechte? Müsste man dann 2 Konten haben und ständig wechseln oder verstehe ich da was falsch? (Sorry für unwissen)
3) @networkerZ: Du bist ja der Thread-Ersteller und erscheinst mir ziemlich kompetent auf diesem Thema... Mit welcher Software schützt du deinen PC (dass der "Faktor Mensch" bei dir vorhanden ist, nehm ich mal an...)
4) Was ich mich schon lange frage: Kann man eigentlich mit dem neu-aufsetzen eines Computers alle Viren entfernen oder gibt es auch solche, die sich in Speicher etc. festsetzen?


Danke für Antworten

Gruss Barego

[NetworkerZ]

Hiho!

Zu 1): Spybot, Firefox + NoScript PlugIn, CMIA, ntsvcfg
Zu 2) Es ist das WICHTIGSTE überhaupt, OHNE Adminrechten zu arbeiten. EInfach ein 2tes Konto einrichten. Wechseln musst du nur, wenn du entweder mit den genannten Tools sudowin usw. nicht arbeiten möchtest oder mit einem Programm ohne Adminrechte Probleme hast.
Zu 3): Ich schütze meinen PC mit Linux Nein im Ernst, ich habe noch einen Windows PC, aber nur zum Zocken und DVD schauen. Letzendlich ist dort das umgesetzt, was ich in Post 1 vorschlage. Natürlich nutze ich diesen PC auch, um neue Tools usw. zu testen. Surfen, Banking usw. mach ich aber nur noch mit meinem Linux-Rechner.
Zu 4): Nach einer Formatierungung der Festplatte ist dein PC virenfrei. Es gibt Viren die im RAM sitzen, dieser ist jedoch ein flüchtiger Speicher, d.h. nach jedem Start des PCs verliert der Speicher seine Informationen. Windows nur über ein vorhandenes System "drüber installieren" bringt dagegen nichts. Lösche ALLE Partitionen deines PCs. Denke auch an externe Laufwerke, USB Sticks, MP3 Player, DVD RAMs, usw. !!! Ich möchte jedoch nicht unerwähnt lassen, dass schon Anfang 2006 von BIOS Rootkits geredet wurde, die selbst ein format c: überleben, bis jetzt wurde jedoch noch keines "in the wild" entdeckt. Die neusten Rootkits nutzen immerhin schon Schwachstellen im BIOS aus, bspw. im Bereich der Virtualisierungstechniken von Prozessoren. Dies alles ist aber zum Glück noch sehr abstrakt.

Greetz

NetworkerZ

[ati-lover]

vllt. noch was nützliches für leute die auf lan-partys gehen:
installiert euch z.b. zone alarm und sperrt alle verbindungen..
wenn ihr jetzt auf einen gameserver geht, erstellt ihr bei der firewall für nur diese ip (bsp: 192.168.0.10:27015) eine ausnahme.. so könnt ihr ruhigen gewissens daddeln und braucht euch keine gedanken machen, was da an abschaum so alles auf euren pc kommt

lg

[Madnex]

Im Grunde reicht das Abschalten nicht zwingend benötigter Dienste, wie es mit dem ntsvcfg-Tool komfortabel möglich ist, sowie das Deaktivieren der Administrativen Freigaben vollkommen aus. Die Installation einer PFW ist da nicht notwendig. Natürlich sollte Windows auf dem neusten Stand sein, also es sollten das aktuelle Service Pack und alle danach erschienenen Security Patches installiert sein.

[Barego]

CMIA und ntsvcfg kenn ich nicht... wofür sind sie gut und wie muss ich sie verwenden? Was genau ist ein NoScript-PlugIn?

Sorry für die dummen Fragen und danke für deine Antworten...

[Lord_Bender]

CMIA und ntsvcfg kenn ich nicht... wofür sind sie gut und wie muss ich sie verwenden? Was genau ist ein NoScript-PlugIn?

Sorry für die dummen Fragen und danke für deine Antworten...

das steht doch alles im Thread erklärt und wenn auf die Seite gehen und selber lesen.