Jetzt brauche ich Hilfe

Hallo Leute

Ich bin momentan dabei ein kleines Tutorial über optimale Sicherheit für den Otto Normaluser mit einer Einzelplatz-Workstation vom Lebensmitteldiscounter und 1% Ahnung zu schreiben. Gegenargumente hab ich nen ganzen Sack voll, wir können aber nicht verlangen, seine neuste Errungenschaft nach NUL wirft. Dieses Tut hat folgende Inhaltspunkte:

1.Alltäglich nur als Benutzer des eigenen PC arbeiten. Allein bei Setup- und Wartungarbeiten, die alle Mitbenutzer betreffen, dürfen wir Admin sein.
2.Alle nicht benötigten Dienste beenden und alle nicht benötigten Ports schliesen.
3.Den ganzen Softwarebestand inkl. Windows regelmäßig aktualisieren
4.Regelmäßige Backup erstellen.
5.Den Hintergrundwächter eines täglich aktualiserten Viren-Scanner laufen lassen
6.Unsichere oder übermäßig häufig angegriffene Software (z.B. Internet Explorer, Outlook Express) durch Alternativen ersetzen
7.Beim Surfen und Mailen die Augen aufmachen.
8.Keine Dateien aus nicht vertrauenswürdiger Quelle oder mit nicht vertrauenswürdigem Inhalt öffnen

Ich bin jetzt beim Punkt 3 und komme da etwas ins Grübeln. Dabei geht es mir besonders um die regelmäßigen Updates von MS. Ich habe folgende Unterpunkte in Betracht gezogen:

1. Zeitweiliges aktivieren der Dienste mit svc2kxp.cmd und Online updaten
2. Offline updaten mit http://www.heise.de/ct/ftp/projekte/offlineupdate/ (wobei ich mir noch nicht ganz sicher bin, ob diese Toolsammlung zukünftig auch gepflegt
wird)
3. Offline mit den Patches von winfuture, obwohl noch nicht offensichtlich ist, ob diese weiterhin verfügbar sein werden.

Hat jemand von euch eine Idee oder gar eine andere, noch bessere Lösung? Vergesst nicht, der Anwender dieser Zielgruppe hat fast null Ahnung und muß es trotzdem sicher anwenden können!

Ich freue mich auf eure Vorschläge
der Hinterwäldler

Moin

8.Keine Dateien aus nicht vertrauenswürdiger Quelle oder mit
nicht vertrauenswürdigem Inhalt öffnen

Bemerkung dazu: fast alle Viren-Mails kommen aus „vertrauenwürdigen“ Quellen.

Ich bin jetzt beim Punkt 3 und komme da etwas ins Grübeln.

Ich stimm für die Autoupdate-Funktion von windows.

cu

Hallo Leute

Hi,

[Sicherheits-Howto]
[das Uebliche]
3.Den ganzen Softwarebestand inkl. Windows regelmäßig
aktualisieren
[mehr Uebliches]

Ich bin jetzt beim Punkt 3 und komme da etwas ins Grübeln.

  1. Zeitweiliges aktivieren der Dienste mit svc2kxp.cmd und
    Online updaten

Warum zeitweilig? IMHO braucht der Otto-Normal-Nutzer den Grossteil der Dienste, die mit Windows mitkommen nicht.

  1. Offline updaten mit
    http://www.heise.de/ct/ftp/projekte/offlineupdate/ (wobei ich
    mir noch nicht ganz sicher bin, ob diese Toolsammlung
    zukünftig auch gepflegt
    wird)
  2. Offline mit den Patches von winfuture, obwohl noch nicht
    offensichtlich ist, ob diese weiterhin verfügbar sein werden.

Warum denn immer offline? Der patchlevel eines Systems, das nie am oeffentlichen Netz ist kann ruhig etwas hinterherhinken. Da tut es alle paar Monate die CD mit allen patches, die MS kostenlos verschickt. Dann hat man die auch noch da, fuer den unwahrscheinlichen Fall, dass man Windows mal neu installieren muss. Fuer Systeme am Internet ist doch der automatische Update-Dingsbums vom SP2 ganz okay. Oder ist der auch irgendwie kaputt? Fuer software abseits des Betriebssystems muss der Nutzer sich kuemmern, falls diese keine Automatismen mitbringen.

Ich freue mich auf eure Vorschläge

HTH,
Gruss vom Frank.

Hallo ihr Zwei

Danke für eure Reaktion

8.Keine Dateien aus nicht vertrauenswürdiger Quelle oder mit
nicht vertrauenswürdigem Inhalt öffnen

Damit sind in erster Linie Mails gemeint, die von Unbekannten mit seltsamer oder gar ohne Betreffzeile und großem Anhang zu uns kommt, aber auch Software, die sich unbedingt Online während des Setup registrieren will. Für Dateien aus Taschbörsen trifft das ebenso zu. Vieleicht ist der Titel nicht gut gewählt!

Ich stimm für die Autoupdate-Funktion von windows.
cu

und Zitat von Frank:
Warum denn immer offline? Der patchlevel eines Systems, das nie am oeffentlichen Netz ist kann ruhig etwas hinterherhinken. Da tut es alle paar Monate die CD mit allen patches, die MS kostenlos verschickt. Dann hat man die auch noch da, fuer den unwahrscheinlichen Fall, dass man Windows mal neu installieren muss. Fuer Systeme am Internet ist doch der automatische Update-Dingsbums vom SP2 ganz okay. Oder ist der auch irgendwie kaputt? Fuer software abseits des Betriebssystems muss der Nutzer sich kuemmern, falls diese keine Automatismen mitbringen.

@Der Frank: Ich geb dir ja recht, PC’s die nicht am Netz hängen sind eh keine Virenschleudern und für Anwendersoftware bin ich gleicher Meinung.

Anders sieht es aber in den Fällen aus, wo dann die Ansicht vertreten wird, wir würden eines Teils fürchterlich übertreiben und anderseits ist die ganze Installation der Updates noch gefährlicher und umständlicher als das was schon auf dem PC ist. Ihr kennt das. Die letzten Dauerbrenner auf dem IT-Board sind ein beredetes Beispiel dafür.

Genau für diese am meisten gefährdete Zielgruppe muß das Ganze handhabbar sein. Da helfen auch keine Gebetsmühlen. Beste Beispiele sind „Verwirrt XP Patches“ von Jadzia oder die ganze Diskussion von Stefan Schmidtke.

svc2kxp.cmd schaltet bekanntlich auch die ActiveX ab. Ist ja erst mal richtig und wird von mir voll unterstützt. Aber beim Update von MS klemmts jetzt und wenn dazu noch der IE nicht sofort verfügbar ist, kommt es zu panischen Handlungen. Genau das sind meine Überlegungen. Also alles akivieren und MS mal ne 1/4 Stunde mehren lassen. Mann muss eben blos sagen warum!

Also, ich bin auch erstmal für Online nach dem monatlichem Patchday. Ich bin nun aber kein Scripter. Vielleicht bekommt einer einen Script hin, der

  1. Notwendige Dienste aktiviert
  2. Neustart
  3. automatisches Update macht
  4. Neustart
  5. Dienste deaktiviert
  6. Neustart
    Das wäre perfekt auch für die Leute, die am meisten gefährdet sind.

Das solls für heute abend sein, ihr hört von mir

der Hinterwäldler

2.Alle nicht benötigten Dienste beenden und alle nicht
benötigten Ports schliesen.
3.Den ganzen Softwarebestand inkl. Windows regelmäßig
aktualisieren

Windows-Update und Internet Explorer aktivieren. Den IE sicher konfigurieren (Ja!). Den Anwender auf die Risiken der IE-Nutzung hinweisen.

Vergiss deine Scripts und sonstigen Krampflösungen, die funktionieren nicht. Zeige ihm, wieviel einfacher Opera oder meinetwegen sogar Firefox zu bedienen sind.

Und häng ihn hinter einen Router, den du ihm sicher konfigurierst. Auf dem von dir angestrebten Level ist es nicht möglich, einen Windows-Rechner in einem Netzwerk sicher zu betreiben, ohne eine Instanz vorzuschalten.

Gruss
Schorsch

Guten Morgen Schorch

2.Alle nicht benötigten Dienste beenden und alle nicht
benötigten Ports schliesen.
3.Den ganzen Softwarebestand inkl. Windows regelmäßig
aktualisieren

Windows-Update und Internet Explorer aktivieren. Den IE sicher
konfigurieren (Ja!). Den Anwender auf die Risiken der
IE-Nutzung hinweisen.

Vergiss deine Scripts und sonstigen Krampflösungen, die
funktionieren nicht. Zeige ihm, wieviel einfacher Opera oder
meinetwegen sogar Firefox zu bedienen sind.

Ich weiss nicht ganz was du meinst, http://www.ntsvcfg.de/svc2kxp.cmd ist die Grundlage für http://www.dingens.org/win32sec.exe . Nur das der Script zusätzlich die Möglichkeit des rückgängig machens und eines „Fingerprinting“ bietet. Damit ist die Feststellung der Änderungen der Einstellungen über einen wählbaren Zeitraum gemeint. Bei Fehlerkorrektur wird der Script als erstes geändert. Wusstest du das nicht?

Den IE sicher konfigurieren (Ja!).

Überspringen wir mal ganz einfach - geht das überhaupt? Du kennst die Links!

Gehe bitte immer davon aus, das die meisten HomeUser, die sich jetzt einen PC kaufen, ihn auch benutzen wollen und 0,1 Ahnung haben, manchmal noch weniger. Die kaufen ihn mit der Illusion, das die jetzigen PC alle so konstruiert sein müssten, das nichts passieren kann. Natürlich bis zu dem Moment, an welchem sie meist sehr drastisch mit der Realität konfrontiert werden und dann auf diesem und anderen Boards Hilfe suchen. Du kennst das!

Darum auch die Idee mit dem zusätzlichen Script. Ich könnte es ja auch mit Delphi machen, aber dann wird es wieder für die meisten undurchsichtig und warum mit einem Schlachtschiff auf Spatzen schiesen. Eine EXE wäre mindestens 100x so groß.

Und häng ihn hinter einen Router, den du ihm sicher
konfigurierst. Auf dem von dir angestrebten Level ist es nicht
möglich, einen Windows-Rechner in einem Netzwerk sicher zu
betreiben, ohne eine Instanz vorzuschalten.

Soll ich ernstlich den Newcomern sagen, sie möchten sich bitteschön noch Router anschaffen? Vielleicht noch in Form eines 486’ers, wie manchmal vorgeschlagen wird. Ich will denen doch nichts verkaufen!

Diese Problematik übersteigt mein Anliegen und wäre vermutlich ein spezielles Tut wert. Ich nehme jedoch wohlwollend zur Kenntnis, das du derzeit dabei bist, eines zu schreiben und werde in dem Meinem darauf verweisen… hihihi

Übrigens habe ich derzeit ohne Router auch keine Probleme. Zugegeben, das kann sich ändern - wir werden sehen.

der Hinterwäldler

Vergiss deine Scripts und sonstigen Krampflösungen, die
funktionieren nicht. Zeige ihm, wieviel einfacher Opera oder
meinetwegen sogar Firefox zu bedienen sind.

Ich weiss nicht ganz was du meinst,

Ich meine, dass du einen User, der wirklich unbedarft ist, mit derartigen Lösungen überforderst. Dass die Scripts selbst funktionieren, glaube ich gern. Eine Lösung auf Basis derartiger Scripts funktioniert aber nur so lange, wie die Anwender sie nicht konterkarieren. Und das geschieht, ob gewollt oder versehentlich, erfahrungsgemäss ziemlich schnell.

Soll ich ernstlich den Newcomern sagen, sie möchten sich
bitteschön noch Router anschaffen? Vielleicht noch in Form
eines 486’ers, wie manchmal vorgeschlagen wird. Ich will denen
doch nichts verkaufen!

Keinen fli4l o. ä., sondern eines von diesen kleinen Hardwaredingelchern, die du heutzutage ziemlich nachgeschmissen kriegst, und die bei vielen DSL-Verträgen schon im Preis inbegriffen sind.

Gruss
Schorsch