Hallo zusammen
Ende November hat die Schweizer Internetseite der Microsoft GmbH ein neues Sicherheitsportal gestartet. Angesprochen sind Anwender und Firmen.
http://www.microsoft.com/switzerland/de/security/
Kritische Anmerkungen über diese Seite, vor allem Details betreffend, finde ich gut. Polemiken, vor allem im SMS - Slang, bitte bitte bitte unterlassen - ja? Danke! 
Grüsse Peter
Hallo zusammen
Hi,
Oh mein Gott: jetzt wird mir langsam klar, wo der ganze Bloedsinn herkommt.
Auf [1] steht der erste von drei Schritten, wie man Win{9{5,8{,SE}},ME,NT} absichert. IMHO reicht dafuer nur ein Schritt: nicht ans Netz gehen.
Von dort kommt man auf [2]:
„Potential intruders scan computers on the Internet probing for an opening they can use to gain access to a computer.“
Nur, um es festzuhalten: man scant.
„What’s my risk if I use DSL or a cable modem?: […]DSL or cable connections use a network address that doesn’t change.“
Bloedsinn. Und selbst wenn: man scannt doch sowieso.[3]
„A firewall helps obscure your network address, […]“
Sie schreiben’s sogar selbst: securtiy by obscurity.
„2. Hardware routers. Although not true firewalls, …“
Muah! Warum nicht, was macht die schlechter als z.B. die ICF?
„… hardware routers perform the function of masking your computer’s address to outsiders.“
… und verhindert damit zuverlaessig file sharing, game server, usw. Warum erklaeren die den Leuten nicht, wie man das dann zum Laufen kriegt…
Vielleicht soll das ja mit [4] erfolgen, zumindest fuer die Kombination ICF und ICS:
„Geben Sie unter Name oder IP-Adresse des Computers, auf dem dieser Dienst im Netzwerk ausgeführt wird den Wert 127.0.0.1 ein.“
Vielleicht kann mir das ja jemand erklaeren? Wird das so eine Art DNAT auf den ans lokale interface gebundenen Dienst?
Und dann doch noch ein Lichtblick auf [5]:
„Eine Firewall garantiert nicht die 100%ige Sicherheit des Computers.“
Halleluja! Jedoch:
„Sie sollten zuerst eine Firewall installieren und dann weitere Sicherheitsmaßnahmen hinzufügen, z. B. wichtige Softwarepatches von Windows Update sowie Antivirus-Software.“
Warum pfuschen, wenn man reparieren kann? Gut finde ich dann wieder
„Das Verwenden von zwei Firewalls für die gleiche Verbindung kann zu Problemen mit der Internetverbindung oder anderem unerwarteten Verhalten führen.“
Warum dann laut
„Sie sollten die Internetverbindungsfirewall von Windows XP für alle Computer in einem Heimnetzwerk aktivieren.“
trotzem mehrere ICF fuer eine Verbindung laufen sollen, ist in meinen Augen zumindest widerspruechlich.
Das reicht, mehr lese ich nicht. Ich dachte ja bislang, solche Sprueche entstehen nur durch $medien, aber dass selbst MS so etwas propagandiert und es nicht besser weiss, entaeuscht mich vollends. Warum erklaert man den Leuten nicht einfach, wie man solche unnuetzen Sachen wie die ‚Datei- und Druckerfreigabe‘ oder den ‚Nachrichtendienst‘ abstellt? Warum bieten sie mit dem naechsten patch keinen Dialog mit an, der den Nutzer auf die mit den Diensten verbundenen Gefahren hinweist und die Frage stellt, ob sie abgestellt werde sollen? Das waere IMHO deutlich wirkungsvoller als 100e Seiten Geschwafel ueber Schlangeoelsoftware, den sowieso keiner liest. Das update fuehrt (hoffentlich) jeder frueher oder spaeter aus.
Hoffentlich nicht zu polemisch,
Gruss vom Frank.
===footnotes===
[1] http://www.microsoft.com/switzerland/de/protect/wind…
[2] http://www.microsoft.com/security/articles/firewall.asp
[3] Ach ja, da gab’s ja noch dieses Kaestchen im StarTrek-Design, was im Sekundentakt die Verbindung trennt und sofort wieder aufbaut…
[4] http://www.microsoft.com/switzerland/de/protect/port…
[5] http://www.microsoft.com/switzerland/de/protect/fire…
vielen Dank!
Hallo zusammen
Euch beiden vielen Dank für die kritische und fairen Posting!
Am meisten ärgert mich, dass von little H. festgestellte Newsdatum von 17. November 
viele Grüsse
Peter
PS: Ich denke als Einstieg für einen DAU, erklärt es die grundsätzlichen Problematiken recht anschaulich…
Hallo
Ich erlaube mir mal Deinen Text zu kommentieren…
Auf [1] steht der erste von drei Schritten, wie man
Win{9{5,8{,SE}},ME,NT} absichert. IMHO reicht dafuer nur ein
Schritt: nicht ans Netz gehen.
Nein wirklich? Wie weit kommst Du heute mit eimem 0815-PC ohne Netzanschluss?
„Potential intruders scan computers on the Internet probing
for an opening they can use to gain access to a computer.“
Nur, um es festzuhalten: man scant.
Ja in der Tat, das wird gemacht. Zu 99% erfolgt zuerst ein Scan (–> ist die Sicherheitslücke noch offen) und erst dann der Angriff. Nur weil irgendwelche Kids mit irgendwelchen Tools „hacken“ heisst das noch lange nicht, dass diese Tools im Hintergrund nicht auch scannen.
„What’s my risk if I use DSL or a cable modem?:
[…]DSL or cable connections use a network address that
doesn’t change.“
Bloedsinn. Und selbst wenn: man scannt doch sowieso.[3]
So blödsinnig ist das nicht. In der Tat wechseln IP-Adressen gerade bei DSL oder Cable recht wenig (kommt auch die DHCP-Konfig des Providers an!). Bei den Modems war es i.d.R. bei jedem Login ne andere IP!
„… hardware routers perform the function of masking your
computer’s address to outsiders.“
… und verhindert damit zuverlaessig file sharing, game
server, usw. Warum erklaeren die den Leuten nicht, wie
man das dann zum Laufen kriegt…
Weil es nicht eine CISCO Homepage sondern eine WINDOWS Homepage ist. Hardware Firewalls sind i.d.R. recht teuer und/oder kompliziert für den 0815 User!
„Sie sollten zuerst eine Firewall installieren und dann
weitere Sicherheitsmaßnahmen hinzufügen, z. B. wichtige
Softwarepatches von Windows Update sowie
Antivirus-Software.“
Warum pfuschen, wenn man reparieren kann?
Firewall, Windows-Update (bzw. Patches) und AV-Progi sind IMHO der beste Schutz den man erreichen kann. Die Frage ist lediglich die Konfiguration der einzelnen Komponenten.
„Das Verwenden von zwei Firewalls für die gleiche
Verbindung kann zu Problemen mit der Internetverbindung oder
anderem unerwarteten Verhalten führen.“
Warum dann laut
„Sie sollten die Internetverbindungsfirewall von Windows XP
für alle Computer in einem Heimnetzwerk aktivieren.“
trotzem mehrere ICF fuer eine Verbindung laufen sollen, ist in
meinen Augen zumindest widerspruechlich.
Mehrere paralelle Firewalls sind kein Problem. Also z.B. mehrere Windows-PCs per Switch an gemeinsames Cablemodem. Problematisch können aber Firewalls NACH Firewalls sein. Weil die sich ggf. gegenseitig ausgrenzen etc…
Das reicht, mehr lese ich nicht. Ich dachte ja bislang,
solche Sprueche entstehen nur durch $medien, aber dass selbst
MS so etwas propagandiert und es nicht besser weiss,
entaeuscht mich vollends. Warum erklaert man den Leuten nicht
einfach, wie man solche unnuetzen Sachen wie die ‚Datei- und
Druckerfreigabe‘ oder den ‚Nachrichtendienst‘ abstellt? Warum
bieten sie mit dem naechsten patch keinen Dialog mit an, der
den Nutzer auf die mit den Diensten verbundenen Gefahren
hinweist und die Frage stellt, ob sie abgestellt werde sollen?
Das waere IMHO deutlich wirkungsvoller als 100e Seiten
Geschwafel ueber Schlangeoelsoftware, den sowieso keiner
liest. Das update fuehrt (hoffentlich) jeder frueher oder
spaeter aus.
Das zweite Service Pack für Windows XP geht genau in diese Richtung. Mehr standart-zu als offen. Aber Microsoft kann IMHO eh machen was die wollen, sie sind eh immer schlecht. Leute die genau diese Einstellung haben sollten zu Linux wechseln und auf die Welt kommen!
Gruss
Chris
Hallo
Hi,
Ich erlaube mir mal Deinen Text zu kommentieren…
Okay.
[Win{9{5,8{,SE}},ME,NT}] nicht ans Netz gehen.
Nein wirklich? Wie weit kommst Du heute mit eimem 0815-PC ohne
Netzanschluss?
Es geht um Sicherheit. Dass diese Windows-Versionen nicht wirklich tauglich fuer die Arbeit in einem Netzwerk sind (fehlende Datei-Rechte, keine Nutzerprivilegien, ganz zu schweigen von der grausslichen default Konfiguration) ist hoffentlich unumstritten.
„Potential intruders scan computers on the Internet […].“
Nur, um es festzuhalten: man scant.Ja in der Tat, das wird gemacht. [Rechtfertigung]
Ich bestreite es gar nicht. Ein Angriff kann von einem portscan eingeleitet werden (der Umkehrschluss ist uebrigens nicht zulaessig). Ich wollte nur feststellen: man scant. Da…
„[…]DSL or cable connections use a network address
that doesn’t change.“
Bloedsinn. Und selbst wenn: man scannt doch sowieso.[3]
… es somit egal ist, ob der Rechner dynamische oder feste IP# hat. Es wird einfach ein ganzes subnet abgegrast, irgendeiner wird schon einen kaputten RPC oder ein altes sendmail haben.
So blödsinnig ist das nicht. In der Tat wechseln IP-Adressen
gerade bei DSL oder Cable recht wenig (kommt auch die
DHCP-Konfig des Providers an!).
Mir persoenlich ist das aber noch nie begegnet. Die absolute Aussage, dass IP# von DSL-Anschluessen nie wechseln ist auf jeden Fall falsch.
„[hardware routers]“
[verhindert file sharing, game server] Warum erklaeren die
den Leuten nicht, wie man das dann zum Laufen kriegt…Weil es nicht eine CISCO Homepage sondern eine WINDOWS
Homepage ist.
Okay, your point.
Hardware Firewalls sind […] kompliziert für den 0815 User!
Kommt auf den user an.
„[1. Firewall, 2. wichtige Softwarepatches,
3. Antivirus-Software]“Firewall, Windows-Update (bzw. Patches) und AV-Progi sind IMHO
der beste Schutz den man erreichen kann.
Mir geht es um die Reihenfolge. Patches gehoert ganz nach oben, danach kann man erstmal anfangen, ueber weitere Masznahmen nachzudenken. Ob die so inkarnieren muessen, wie MS das vorschlaegt, lass ich offen.
Die Frage ist lediglich die Konfiguration der einzelnen
Komponenten.
Richtig.
Mehrere paralelle Firewalls sind kein Problem. […]
Problematisch können aber Firewalls NACH Firewalls sein. Weil
die sich ggf. gegenseitig ausgrenzen etc…
Volle Zustimmung, letzeres hatte ich in den Text interpretiert.
[Dienste mit update abstellen]
Das zweite Service Pack für Windows XP geht genau in diese
Richtung. Mehr standart-zu als offen.
Oh, gut. Wusste ich nicht. (Mein XP ist ueberwiegend nur durch die Zentrifugalkraft bei Rotation der Platte aktiv.)
Aber Microsoft kann IMHO eh machen was die wollen, sie sind
eh immer schlecht.
Polemik?
Leute die genau diese Einstellung haben sollten zu Linux
wechseln und auf die Welt kommen!
Na, wenn Du das so sagst…
Gruss vom Frank.