Windows-Sicherheitsupdate sicher?

Hallo,

ich komme gerade noch mehr vom thema ab, liebe es aber viel zu sehr ein angefangenes thema weiterzudiskutieren (besonders eins bezüglich microsoft) um jetzt eiinfach aufzuhören.
daher folgend noch mal mein senf dazu

oh! das update schaut auch in die hosts-datei?

Probiert habe ich das nicht, aber es würde
mich sehr wundern, wenn eine Extrawurst für die
Namensauflösung dort gemacht wird und für klug halte ich das
auch nicht gerade.

ebens versucht, wireshark schweigt sich diesbezüglich aus. bin aber nicht sicher, ob ich das filter richtig eingestellt habe. hatte den verdacht, einige firefox-abfragen zum gegentest haben auch keine dns-abfrage erzeugt…
dafür kommen wirklich VIELE dns-abfragen nach dem aufruf von microsoft.com - aber zu total sinnlos zusammengestückelten seiten ungefähr so : mstre.112.2o7.net
oh, mann. telefonieren ist schön. besonders wenn keiner mekrt, dass es nach hause geht.

Aber wenn die Sperrungen als DNS-Sperre realisiert
werden (und das ist bereits so umgesetzt worden), dann ist ein
eigener DNS-Server ein einfach zu gehendes Gegenmittel

werden sie nicht. leider sind die vom bka (oder welche der neuen polizei-geheimdienst-militär-spionage-allesandere-sonderrechte-dürfen-alles organisationen hat es diemsal verbrochen) auch nicht ganz doof. wobei die sperrung bei den providers mich wieder an den vergleich mit dem fahrradschlauch denken lässt

ich meinte einen
(a) schnellen
(b) gut ans netz angebundenen und
© in der große ausgewogenen (damit meine aktionen allzu
leicht nicht auffält)
Server, der hinter meinem provider pakete einpackt und sie mir
leicht verschlüsselt weitergibt.

Nun, ein „Root-Server“ in einem Land Deines geringsten
Mißtrauens und OpenVPN sollten das Problem lösen. Auch über
TOR ist es eher mühsam, Sperrungen zu realisieren, „Surfen“
über TOR ist allerdings auch mitunter mühsam …

Die vom bka haben doch bestimmt auch tor-server
und einen server in *** (verrat ich nicht, sonst fährt opa schäuble hin und schaut nach kinderpronografie) kann ich mir zurzeit nicht leisten.

seit ich meldungen wie diese hier:
http://www.heise.de/newsticker/Familienministerin-Pr…

Ich brech ins Essen.

wenn du dich darin üben willst (oder einfach nur so informiert sein möchtest), empfehle ich dir
http://blog.fefe.de/ (falls du es nicht schon kennst)
dort heisst ist die formulierung allerdings „da kann ich gar nicht so viel essen wie ich kotzen möchte“

und gegen Hooligans?

Klar, das sind ja kriminelle, die sich organisiert haben.

Verdammt. Ich habe mich gerade mit dir organisiert.

Hmm. Was habt ihr denn so für Passwörter?

bis vor kurzem den namen der schule und ne nummer dran
Naja, jetzt haben wir n ordentlich linux-server bekommen, hängen zwar auch bloss windoofse dran aber immerhin

Wenn ein Adminstrator-Account nicht so „wertvoll“ wäre, weil
man mehr Unsinn damit machen kann, bräuchte es wohl kaum
solche Tools.

Njein. Besagtes Tool kann das Admin-Passwort einfach SETZEN.

Aus dem laufenden System heraus? Das mag ich nicht so recht
glauben bis ich es gesehen habe.

Ich habe die neuste version bisher nicht getestet (weil ich vor der mehr angst habe als vor den windows-updates, wer weiss was da inzwischen alles drin steckt), aber die alte geht noch.

Oder muß man da etwas von
einem USB-Stick oder einer CD booten und dann das
„brachliegende“ Windows bearbeiten?

nein,nein. Einfach so. benutzername und 2x passwort eingeben und schwupp-di-wupp ist es drin

Mag sein, dass mir das schon in wenigen Jahren kein Spass mehr
bereiten wird, weil es einfach irgendwann langweilig wird.

Ach, bei dem Werbebugdet vom Microsoft bin ich hinsichtlich
des Humornachschubes sehr, sehr optimistisch.

hmmm. vielleicht haben sie ja noch einen einfallsreichen namen für eine kommende version. ich wette, das wird ein lacher.

Und irgendwie könnte man ja mal versuchen, die Dienste, die
man so anbietet, ordentlich zu konfigurieren, dann braucht man
zumindest bei einem einzelnen Rechner eher keine Firewall.

Hmmm… die meisten sind mit „deaktivieren“ am besten konfiguriert. z.b. die remotedesktopunterstützung.

Aber auch das ist bei Windows wohl nahezu unmöglich …

Und es wär auch nichts, womit ich meine Zeit vergeuden würde.

hmmm… Eigentlich die logischer Taktik. Aber egal durch
welche Lücke der Virus in das (evtl. veraltete) System gelangt
ist, benimmt er sich auch nur ansatzweise wie ein normales
Programm dürfte er u.a. mit ZoneAlarm aufzuspüren zu sein.

Ich weiß nicht, warum ZoneAlarm immer infizierte Systeme
retten soll. Eine geschickte Schadsoftware schaltet ZA ab oder
konfiguriert es um. Oder tunnelt die mitgeloggten Passwörter
per DNS-Abfrage raus - ich glaube[tm] kaum,
dass ZA sowas mitbekommt.

Eine gute Firewall hat midestens zwei Prozesse und alle Konfigurationsdateien verschlüsselt im ram. naja, wüsste jetzt keine die das hat.
Gibt da son Programm, nennt sich cheat-Engine. ein praktischer Memory-Editor mit ausgezeichneter suhfunktion. damit kann man jedes anti-viren-programm ausschlaten. würde mich wundern, wenn das nicht auch automatisiert geht.

Maaan. Hast ja Recht, die schmeissen niemandem Geld hinterher.
Vielleicht dann doch die lieber Klage. Weil microsoft dir
Schadsoftware installiert haben. Über deren Updatfunktion.
Wenn ihre Sicherheit so toll ist wie sie überall sagen, kann
es ja gar nicht sein, dass die updates nicht von microsoft
kommen.

Naja, es gab auch schon tolles Updates, die den Rechner
unbootbar hinterlassen haben. Kennst Du jemanden, der dafür
Geld von Microsoft bekommen hat?

Nein. Ehrlich gesagt, ich kenne auch wenige, die je Geld an Microsoft bezahlt retten

Ach verdammt, was mache ich hier eigentlich? Wenn ich jetzt
was erwidere, VERTEIDIGE ich microsoft.

Ach, das willst Du garnicht?

oh! kam das so rüber? nie im leben!

Die effizienteste Art,

microsoft und effizienz in einem satz

Microsoft zu verteidigen ist IMHO übrigens die, es (weiter) zu
benutzen. Es wird ja niemand mit physischer Gewalt gezwungen,

hmmm… naja mit physischer vllt. nicht aber schau auf deutschlands tolles bildungssystem: wenn eine schule rechner hat, dann welche mit windows.

Microsoft zu nutzen, also scheint es ja doch nicht so schlimm
sein wie mancher Leute Jammern glauben machen will

Hmmm… Naja… Also wenn man Nichts sinnvolles damit tun möchte: ein interessantes Speilzeug, aber sonst?

gruß lomex

Hallo,

Wo soll bitte der sicherheitsrelevante Unterschied zwischen
der Windows-Update-Seite sein und dem entsprechenden Dienst
für die automatischen Updates?

Der ist soweit ich das jetzt überschauen kann nach riesig. Die Windows-Update-Seite läuft im Browser und kann, falls sie gefälscht ist, mit einer JavaScript oder Flash-Lücke in das System eindringen.
Bei dem Dienst scheint dies weniger populär und auch schwieriger zu sein.

Sollte jemand die Frage, ob das Update eine DNS-Abfrage macht, endgültig mit nein beantworten können, wäre der Dienst wesentlich fälschungssicherer als die Seite, die ja mit einer URL und nicht mit fest-IP aufgerufen würde.

Gruß Lomex

Habe auch noch eine Frage dazu (Version 6?)
Hallo,

Ich habe mich etwas mit der Thematik beschäftigt, konnte aber keine Antwort auf die Frage finden, was in der URL
http://update.microsoft.com/windowsupdate/v6/default…
das v6 bedeutet.
Handelt es sich hierbei um eine Internet-Explorer Version?

Gruß Lomex

Hallo,

oh! das update schaut auch in die hosts-datei?

ebens versucht, wireshark schweigt sich diesbezüglich aus.

Hm.

Aber wenn die Sperrungen als DNS-Sperre realisiert
werden (und das ist bereits so umgesetzt worden), dann ist ein
eigener DNS-Server ein einfach zu gehendes Gegenmittel

werden sie nicht. leider sind die vom bka (oder welche der
neuen
polizei-geheimdienst-militär-spionage-allesandere-sonderrechte-dürfen-alles
organisationen hat es diemsal verbrochen) auch nicht ganz
doof.

Naja, ohne (sportliche) Herausforderung ist das Leben ja auch öde. Wenn das alles zu nervig wird, laufen die kritischen Seiten dann eben als hidden service unter TOR. Das BKA scheint sich ja gerade daran zu versuchen, sowas zu pushen.

Nun, ein „Root-Server“ in einem Land Deines geringsten
Mißtrauens und OpenVPN sollten das Problem lösen. Auch über
TOR ist es eher mühsam, Sperrungen zu realisieren, „Surfen“
über TOR ist allerdings auch mitunter mühsam …

Die vom bka haben doch bestimmt auch tor-server
und einen server in *** (verrat ich nicht, sonst fährt opa
schäuble hin und schaut nach kinderpronografie) kann ich mir
zurzeit nicht leisten.

Solange nich alle benutzten Server einer Behörde oder mehreren kooperierenden gehören …

http://blog.fefe.de/ (falls du es nicht schon kennst)

Den kenne ich.

Hmm. Was habt ihr denn so für Passwörter?

bis vor kurzem den namen der schule und ne nummer dran

Aua!

Naja, jetzt haben wir n ordentlich linux-server bekommen,

… mit einem schwachen Passwort ist auch der nicht sicher.

Und irgendwie könnte man ja mal versuchen, die Dienste, die
man so anbietet, ordentlich zu konfigurieren, dann braucht man
zumindest bei einem einzelnen Rechner eher keine Firewall.

Hmmm… die meisten sind mit „deaktivieren“ am besten
konfiguriert. z.b. die remotedesktopunterstützung.

Ja. Da läuft so einiges, was dann wieder per Firewall gezähmt werden will. Naja, mich überzeugt das Konzept ja nicht, aber es muß ja unglaublich benutzerfreundlich und intuitiv sein sonst hätten wir es ja nicht am Hals …

Ich weiß nicht, warum ZoneAlarm immer infizierte Systeme
retten soll. Eine geschickte Schadsoftware schaltet ZA ab oder
konfiguriert es um. Oder tunnelt die mitgeloggten Passwörter
per DNS-Abfrage raus - ich glaube[tm] kaum,
dass ZA sowas mitbekommt.

Eine gute Firewall hat midestens zwei Prozesse und alle
Konfigurationsdateien verschlüsselt im ram.

Ich wüsste nicht, warum ich bei einem Paketfilter Konfigurationsdateien verschlüsseln sollte …

Naja, es gab auch schon tolles Updates, die den Rechner
unbootbar hinterlassen haben. Kennst Du jemanden, der dafür
Geld von Microsoft bekommen hat?

Nein. Ehrlich gesagt, ich kenne auch wenige, die je Geld an
Microsoft bezahlt retten

Au wei.

Die effizienteste Art,
Microsoft zu verteidigen ist IMHO übrigens die, es (weiter) zu
benutzen. Es wird ja niemand mit physischer Gewalt gezwungen,

hmmm… naja mit physischer vllt. nicht aber schau auf
deutschlands tolles bildungssystem: wenn eine schule rechner
hat, dann welche mit windows.

Naja, das ist die Kombination aus allgemeiner Trägheit der Leute und der Tatsache, das Microsoft „lukrative“ Angebote im Bildungssektor macht. Wer früh genug mit Microsoft aufwächst, ist das halt „gewöhnt“ und alles andere ist dann „schwer“. Diese ganze „Förderung“ des Bildungswesens durch Microsoft ist mir sowas von zuwieder. Unsern Physikunterricht lassen wir doch auch nicht von RWE gestalten.

Die andere Seite sind natürlich auch die Lehrer, die auch sehr … naja … unterschiedliche Vorstellungen von IT-Kompetenz haben.

Aber die Soße wird ja offenbar von höchster Stelle auf das Bildungssystem geschüttet: http://www.heise.de/newsticker/Bundesregierung-spric…

Und wenn ich dann höre, dass mit so einem Müll http://www.it-fitness.de/ittest.aspx# die „IT-Fitness“ getestet werden kann, kotze ich einfach nur im armdicken Strahl.

Fehlt nur noch, dass man zum „IT-Fitness“ die Zahl auf seinem Lizenzaufkleber hersagen kann.

So. Ich habe fertich.

Sebastian

Hallo Sebastian,

Okay. Ich finde das Konzept „mutig“.

Irgendwie hätte ich an Stelle Microsofts Sorgen, dass mir die
IPs irgendwann nicht mehr gefallen - aus welchen Gründen auch
immer.

Gab es nicht sogar mal den Fall, wo jemand (Wurm?) einen DoS
gegen einen Update-Server gefahren hat und Microsoft dann
irgendwann die DNS-Einträge geändert hat? Auch diese
Möglichkeit ist weg.

Wieso?
Auch Daten, die hart im OS hinterlegt sind, kann man ändern - mit einem normalen Patch.

Auch wenn man nirgendwo Informationen darüber findet, gehe ich eigentlich davon aus, das dort nicht nur ein, sondern mehrere Update-Server hinterlegt sind, die reihum oder so abgefragt werden. Wegen der Sicherheit, aber auch wegen Lastverteilung. Keine Tatsache, nur eine Vermutung meinerseits.

Ja, aber was soll das? Ich denke, durch diese feste
Verdrahtung gewinnt man wenig, verliert aber viel Flexibilität.

Man gewinnt Sicherheit gegen die einfachste Form einer Umleitung.
Man verliert . . . ja, was eigentlich? Flexibilität? Braucht man die für einen simplen Update-Server? Und wenn man mal umziehen will - einfach einen Monat vorher schon mal die neuen Updateserver einpatchen.
Ich halte das für eine wegen Ihrer Schlichtheit ausgesprochen elegante Sicherheitsmaßnahme.

Irgendwie halte ich es nachwievor für ein schlechtes Konzept,
den Daten, die man aus dem Netz „angeblich“ von
windowsupdate.com bekommt blind zu vertrauen, nur weil ein
Schwachpunkt, nämlich die Unzuverlässigkeit des DNS eliminiert wurde.

Spricht etwas gegen Signierung ausser der Tatsache, dass es
bei Betriebssystemen schon lange so gemacht wird?

Ich würde dir recht geben, wenn wir hier von den normalen Updates reden, also denen, die man persönlich sucht. Ausdrücklich: die laufen über einen anderen Server, der nicht hart im System drin ist! Dabei kann man prima mit Zertifikaten etc. arbeiten.

Aber wir reden hier von der Vollautomatik. Wo man eher selten Einfluss drauf hat, es teilweise noch nicht mal mitbekommt (bei meinem „Webserver“ seh ich das nur im Ereignisprotokoll - und da schau ich eher selten rein). Da halte ich diese zusätzliche Sicherheitsmaßnahme durchaus für gerechtfertigt.

Ich steh da auf dem Standpunkt: lieber zehnmal zuviel sicher als einmal dumm aus der Wäsche geschaut. M$ wird sich dabei schon was gedacht haben - angesichts des katastrophalen Schadenpotentials, den eine Übernahme eines Update-Servers global betrachtet nun mal hat.

lg, mabuse

Morgen,

Stimmt, das erschwert die Manipulation. Aber wenn man sich in
den Datenstrom einklinken kann, kann man den Verkehr umleiten.

Das ist richtig, setzt jedoch physischen Zugriff auf die entsprechende Internetleitung vorraus - und dürfte damit weit jenseits der Möglichkeiten eines „normalen“ Trojanerprogrammierers liegen.

Irgendwie scheint es mir eine gute Idee, auf Signaturen zu
setzen und nicht darauf, dass das Internet zuverlässig nichts
als die reine Wahrheit liefert, sobald man nur auf die
DNS-Auflösung vezichtet.

Da hast du vollkommen recht - aber ich geh eigentlich schon davon aus, das M$ seine automatischen Updates auch mit Signaturen oder ähnlichen Mechanismen gesichert hat.

Im Übrigen würde ich auch Signaturen nicht vollständig vertrauen. Sie stellen sicher, das die Kommunikation meines Rechners mit dem Updateserver nicht manipuliert wurde - aber wenn ich (unwissentlich) gar nicht auf dem Updateserver bin, sonder auf einem, der mich direkt mit „pösen“ Updates versorgt?

lg, mabuse

Hallo Felix,

Es gab doch vor ein paar Jahren den sasser-Virus (hieß der
so?), der ein neu aufgesetztes Windows so (und so schnell)
infizieren konnte, dass Windows Update nicht mehr zugänglich
war.

Soweit ich mich erinnerne, betraf das nur die manuellen Updates, nicht das automatische. Da reicht wieder ein simpler Eintrag in die hosts-Datei. Aber wirklich sicher bin ich mir da jetzt auch nicht . . .

Wäre das nicht ein Ansatz? Also nicht windowsupdate.com
deaktivieren, sondern umleiten? Ich weiß, dass dazu ein
Eingriff direkt am PC nötig wäre und „Angriffe über das
DNS-System“, wie du schreibst, nicht funktionieren würden.

Ja, natürlich.
Auch die hart hinterlegte IP-Adresse könnte man natürlich umpatchen. Das könnte man durch einen kleinen Wurm/Virus etc. erledigen lassen, um anschließend die richtige Schadsoft per Update einzupflegen und den Rechner komplett zu übernehmen.

Allerdings setzt das Schreibzugriffe auf geschützte Systemdateien vorraus - womit mal wieder nur die Doofen, die wider allgemeinen Rat und besseres Wissen immer noch als Administrator arbeiten, erwischt werden. Und mit denen hab ich kein Mitleid mehr.

Ich persönlich würde mir ja wünschen, das endlich mal jemand einen Wurm/Virus/Trojaner schreibt, der zu einem bestimmten Zeitpunkt alles löscht. Platte formatiert. Partitionen killt. Irgendwas endgültiges, wofür man Admin-Rechte braucht. Damit die Doofen es endlich mal auf die harte Tour lernen.
(das hab ich jetzt nicht gesagt - nur laut gedacht

Cheers, Felix (meinGott verwende ich eigentlich nie)

sondern? Linuxperte ?

lg, mabuse

Hei!

Sollte jemand die Frage, ob das Update eine DNS-Abfrage macht,
endgültig mit nein beantworten können, wäre der Dienst
wesentlich fälschungssicherer als die Seite, die ja mit einer
URL und nicht mit fest-IP aufgerufen würde.

Das wird wohl nur M$ wirklich endgültig beantworten können - und ob die sich dazu herablassen werden?

Aber hier ein indirekter Beweis:
http://www.computerzeitung.de/articles/kaminsky_luef…
Zumindest müsste ich nicht, wie ich den Satz: „Außer Windows-Update ist mir kein automatischer Update-Service bekannt, der nicht vom DNS-Problem betroffen ist.“ sonst interpretieren sollte.

lg, mabuse

Morgen,

Stimmt, das erschwert die Manipulation. Aber wenn man sich in
den Datenstrom einklinken kann, kann man den Verkehr umleiten.

Das ist richtig, setzt jedoch physischen Zugriff auf die
entsprechende Internetleitung vorraus - und dürfte damit weit
jenseits der Möglichkeiten eines „normalen“
Trojanerprogrammierers liegen.

Den Vorschlag mit dem DHCP-„Trojaner“ habe ich ja mal spaßeshalber gepostet. Das hat Potenzial.

Im Übrigen würde ich auch Signaturen nicht vollständig
vertrauen. Sie stellen sicher, das die Kommunikation meines
Rechners mit dem Updateserver nicht manipuliert wurde - aber
wenn ich (unwissentlich) gar nicht auf dem Updateserver bin,
sonder auf einem, der mich direkt mit „pösen“ Updates
versorgt?

Vernünftige Zertifikate stellen eben sicher, dass man mit dem Server kommuniziert, mit dem man glaubt zu kommunizieren. Das ist ja auch beim Onlinebanking so, ich möchte meine Daten ja nicht unbedingt auf einer Seite eingeben, die nur so aussieht wie die meiner Hausbank. Auch dafür dienen Zertifikate.

Egal. Meine Aktualisierungen kommen ganz banal per ungesichertem HTTP von security.debian.org, da ist also reichlich Raum, die Verbindung zu manipulieren, den DNS-Cache zu vergiften und die Pakete umzurouten, ja man kann sogar einen „Mirror“-Server überehmen: spätestens, wenn die Software installiert werden soll, beginnt das Update-Werkzeug sehr explizit zu meckern.

Funktioniert hier sehr gut.

Gruß,

Sebastian

Hallo,

Gab es nicht sogar mal den Fall, wo jemand (Wurm?) einen DoS
gegen einen Update-Server gefahren hat und Microsoft dann
irgendwann die DNS-Einträge geändert hat? Auch diese
Möglichkeit ist weg.

Wieso?
Auch Daten, die hart im OS hinterlegt sind, kann man ändern -
mit einem normalen Patch.

Also ich muss einen Patch von einem Updateserver einspielen, damit ich den Updateserver erreiche.

Das wird schief gehen.

Ja, aber was soll das? Ich denke, durch diese feste
Verdrahtung gewinnt man wenig, verliert aber viel Flexibilität.

Man gewinnt Sicherheit gegen die einfachste Form einer
Umleitung.
Man verliert . . . ja, was eigentlich? Flexibilität? Braucht
man die für einen simplen Update-Server? Und wenn man mal
umziehen will - einfach einen Monat vorher schon mal die neuen
Updateserver einpatchen.

Ich behaupta mal so, dass es viele Rechner gibt, die - aus welchen Gründen auch immer - eine ganze Zeit mit Patches unterversorgt sind. Wenn man die nach 6 Monaten ans Netz bringt, dann ist der Zug wohl abgefahren?

Ich halte das für eine wegen Ihrer Schlichtheit ausgesprochen
elegante Sicherheitsmaßnahme.

Ich nicht

Spricht etwas gegen Signierung ausser der Tatsache, dass es
bei Betriebssystemen schon lange so gemacht wird?

Ich würde dir recht geben, wenn wir hier von den normalen
Updates reden, also denen, die man persönlich sucht.
Ausdrücklich: die laufen über einen anderen Server, der nicht
hart im System drin ist! Dabei kann man prima mit Zertifikaten
etc. arbeiten.

Aber wir reden hier von der Vollautomatik.

Ja und?

Wo man eher selten
Einfluss drauf hat, es teilweise noch nicht mal mitbekommt
(bei meinem „Webserver“ seh ich das nur im Ereignisprotokoll -
und da schau ich eher selten rein). Da halte ich diese
zusätzliche Sicherheitsmaßnahme durchaus für gerechtfertigt.

Mir würde eine gültige Signatur ja durchaus als alleinige Sicherheitsmassnahme genügen. Und wenn bei einem automatischen Update etwas nicht passt, dann erwarte ich, dass das dann nicht eingespielt wird und ich selber eine Warnung bekommen. Ob das per Ereignisprotokoll passiert, per Mail, per SNMP per Brieftaube ist ja nicht mehr so entscheidend.

Ich steh da auf dem Standpunkt: lieber zehnmal zuviel sicher
als einmal dumm aus der Wäsche geschaut. M$ wird sich dabei
schon was gedacht haben - angesichts des katastrophalen
Schadenpotentials, den eine Übernahme eines Update-Servers
global betrachtet nun mal hat.

Das würde ich auch unterstellen wollen.

Gruß,

Sebastian

Cheers, Felix (meinGott verwende ich eigentlich nie)

sondern? Linuxperte ?

Jesus würde Linux nutzen

http://www.jesus.ch/index.php/D/article/321-Wissensc…

SCNR

Hallo,

Cheers, Felix (meinGott verwende ich eigentlich nie)

sondern? Linuxperte ?

Nee - Linux benutzt von meinen Bekannten niemand, da ist das unnötig.

Cheers, Felix

Hallo,

Ich behaupta mal so, dass es viele Rechner gibt, die - aus
welchen Gründen auch immer - eine ganze Zeit mit Patches
unterversorgt sind. Wenn man die nach 6 Monaten ans Netz
bringt, dann ist der Zug wohl abgefahren?

Das ist tatsächlich so. Wenn du mit einer älteren XP-SP2-CD installierst, funktioniert update nicht, und du musst irgendwelche Klimmzüge machen, um es zum Laufen zu bringen. Liegt aber m.W. nicht an IP-Adressen.

Cheers, Felix

Hei!

Also ich muss einen Patch von einem Updateserver einspielen,
damit ich den Updateserver erreiche.

Das wird schief gehen.

Ich behaupta mal so, dass es viele Rechner gibt, die - aus
welchen Gründen auch immer - eine ganze Zeit mit Patches
unterversorgt sind. Wenn man die nach 6 Monaten ans Netz
bringt, dann ist der Zug wohl abgefahren?

Okay, ich hab mich wohl mal wieder furchtbar ungeschickt ausgedrückt.

Es gibt grundsätzlich zwei verschiedene Update-Server (-Farmen):
1.) windowsupdate.com/windowsupdate.microsoft.com.
Das sind die Server, die man per InternetExplorer erreicht um Updates von Hand anzuschubsen. Diese Server laufen über das normale DNS-System, deren DNS-Adressen könnten gefälscht werden (im einfachsten Fall durch Eintrag in die hosts-Datei). Außerdem waren das die Server, die durch den Blaster-Angriff außer Gefecht gesetzt wurden.
2.) Server ohne Namen (?) mit fest hinterlegter IP-Adresse im System.
Die werden nur für die automatischen Updates benutzt.
Mal ganz davon abgesehn, das ich keinen Grund sehen kann, warum man diese IP unbedingt ändern müsste - diese Server laufen unabhängig von windowsupdate.com.
Selbst wenn man diese IPs aus einem unerfindlichen Grund ändern müsste, wäre windowsupdate.com immer noch erreichbar. Es würde also eine simple Bekanntgabe ausreichen, auf das alle Windows-User einmal ein Update via windowsupdate.com sozusagen manuell einspielen müssen, damit die automatsichen Updates wieder funktionieren.

Zugegeben, ist konstruiert und etwas umständlich - aber wie gesagt, ich kann keinen Grund sehen, warum der/die Server für die automatischen Updates jemals andere IPs brauchen sollten . . .

Mir würde eine gültige Signatur ja durchaus als alleinige Sicherheitsmassnahme genügen.

Mir im Prinzip auch. Aber wenn es ohne großen Aufwand auch zwei Sicherheitsmaßnahmen geben kann, dann nehm ich die gerne mit.

Und wenn bei einem automatischen Update etwas nicht passt, dann erwarte ich, dass das dann nicht eingespielt wird
und ich selber eine Warnung bekommen.
Ob das per Ereignisprotokoll passiert, per Mail, per SNMP per
Brieftaube ist ja nicht mehr so entscheidend.

Aber sicher das! - bei einem Server, der in der Ecke steht und manchmal monatelang nicht beachtet wird . . . d.h. der Rechner hängt bei einem simplen Mißverständnis/Übertragungsfehler/Rückfrage dann monatelang nackt im Wind?

(Ähm. Kann man einen Windows(2000)-Rechner so konfigurieren, das er entsprechende Nachrichten per email versendet? Wäre für meinen Server ganz nützlich, denn um die Wahrheit zusagen . . . ich wüsst jetzt nicht, wann ich mich dort zuletzt eingeloggt, geschweige denn zuletzt einen Blick ins Ereignisprotokoll geworfen hätte. Kann durchaus sein, das sich dort Dutzende Fehlermeldungen angesammelt haben . . . )

Aber ich denke, wir entfernen uns hier etwas von der eigentlichen Frage.

lg, mabuse

Jesus würde Linux nutzen
http://www.jesus.ch/index.php/D/article/321-Wissensc…

Ich brech zusammen . . .

Nun haben christliche Programmierer Linux-Systeme speziell für Christen entwickelt.
Seit kurzem gibt es nun zwei Linux-Varianten speziell für Christen: „Ichthux“ und „Christian Ubuntu“.

Das hebt die Betriebssystem-Diskussion ja auf eine ganz neue Ebene . . .

Definitiv der Link des Tages!

ROFL mabuse

Mahlzeit!

Den Vorschlag mit dem DHCP-„Trojaner“ habe ich ja mal
spaßeshalber gepostet. Das hat Potenzial.

Den betrachte ich ehrlich gesagt mehr als theoretische Studie.
Die Möglichkeit ist zweifellos vorhanden, setzt aber wieder einen Deppen voraus, der als Admin arbeitet. Weiterhin gibt es dann zwei DHCP-Server im lokalen Netz, mit den entsprechenden Konsequenzen/Fehlermeldungen.

Aber vieleicht sollten wir uns erst mal über die betrachtete Infrastruktur einigen. Ich geh (natürlich) von meinem privaten bzw. unserem Firmennetz aus, mit einem eher übersichtlichen Aufbau, einem tiefen Misstrauen gegen alles, was nicht über ein Kabel läuft, und verschiedenen eher paranoiden Sicherheitsvorkehrungen (u.a. OpenDNS). Auf anderen Strukturen mag das anders aussehen.

Vernünftige Zertifikate stellen eben sicher, dass man mit dem
Server kommuniziert, mit dem man glaubt zu kommunizieren. Das
ist ja auch beim Onlinebanking so, ich möchte meine Daten ja
nicht unbedingt auf einer Seite eingeben, die nur so aussieht
wie die meiner Hausbank. Auch dafür dienen Zertifikate.

Naja, in Anbetracht der Häufigkeit, mit der ich Fehlermeldungen bekomme, das ein Zertifikat nicht passen würde oder abgelaufen sei, möchte ich die Wirksamkeit stark anzweifeln. Die werden einfach nur weggeklickt. Sieh weiter unten Thema Benutzer.

von security.debian.org,

Ah!
Das sind aber andere Vorraussetzungen.

:
Wir reden hier von Windows. Was natürlich/leider auch gewisse Konsequenzen betreffend der Computererfahrungen/-kenntnisse mit sich bringt. Der typische Windows-User weiss wahrscheinlich noch nicht mal, wofür die Zertifikate stehen, die er da einfach wegklickt.
Den wollen wir nicht ernsthaft mit Zertifikatsnachfragen bei kritischen Windows-Updates belästigen, oder? Installieren und gut ist. Zumindest im Durchschnitt besser, als dem die Entscheidung zu überlassen . . .

bei Linux-Usern dürfte das im Mittel drastisch anders aussehen, da geb ich dir recht.

lg, mabuse

Hallo,

Kennst Du jemanden, der dafür Geld von Microsoft bekommen hat?

Nein. Ehrlich gesagt, ich kenne auch wenige, die je Geld an
Microsoft bezahlt hätten

Au wei.

Bitte keine falschen Schlüsse ziehen. Windoofs-Cracks gelten ja bald auch als „Widerstand gegen die Staatsgewalt“. Naja, egal, meine hält den Genuine Check aus…

http://www.it-fitness.de/ittest.aspx

ACH DU SCHAIßE !!! (musste sein!)

So. Ich habe fertich.

Ich auch. Aber mit kotzen noch nicht. Wegen Fefes neusten Links.

Gruß Lomex

Nachgehakt - nicht Admin & Windows Update
Moin, mabuse,

Du arbeitest immer noch in dem Kontext, in dem du dich beim
System angemeldet hast. Lediglich der Dienst automatische
Updates läuft im Administrations-Kontext.

was bedeutet diese Aussage? Ich bin immoment mit eingeschränkten Rechten unterwegs - wenn ich per IE den Windows Update starte, kriege ich die Meldung

Sie müssen auf dem Computer als Administrator oder Mitglied der Administratorgruppe angemeldet sein, um Updates von dieser Website zu installieren.
Der Dienst ist gestartet, angemeldet als .\Administrator.

Gruß Ralf

Hallo Trampeltier . . Drambeldier . . Trummelbier . . . ein wahrer Zungenbrecher

Hallo Ralph

was bedeutet diese Aussage? Ich bin immoment mit
eingeschränkten Rechten unterwegs - wenn ich per IE den
Windows Update starte, kriege ich die Meldung

Warum startest du Windows-Update überhaupt?
Schalte in der Systemsteuerung die automatischen Updates ein, stell ihn auf tägliche Überprüfung und vergiss die Update-Geschichte ganz einfach. Da kümmert sich Windows selbst drum, und dieser Dienst läuft auch automatisch im Admin-Modus.

Für den Aufruf von windowsupdate.com per Hand, das muss man als Administrator angemeldet sein. Aber das muss man eigentlich nur auf einem neu aufgesetzten System machen, um schnell auf den aktuellen Patchlevel zu kommen. Sobald man einmal auf Stand ist, kann man das getrost dem Hintergrunddienst überlassen.

lg, mabuse

Hi mabuse,

Hallo Ralph

f genügt

Schalte in der Systemsteuerung die automatischen Updates ein,
stell ihn auf tägliche Überprüfung und vergiss die
Update-Geschichte ganz einfach. Da kümmert sich Windows selbst
drum, und dieser Dienst läuft auch automatisch im Admin-Modus.

besternten Dank für die Erinnerung - den Automatismus habe ich in schlechten Zeiten mal kaltgestellt, weil er mich beim Arbeiten gestört hat.

Gruß Ralf