Softpicks.Net Deutsch

Rudolf Polzer wrote on 17. April 2005:
>
> =BBAndreas Kohlbach=AB <ankman [at] email.com> wrote:
>> Rainer May wrote on 16. April 2005:
>> > Irgendwie will mir der Gedanke an eine staatlich verordnete,
>> > gleichwohl halbwegs sichere ausschlie=DFliche Windows-Monokultur nicht
>> > gefallen.
>>=20
>> Mir schon. Die, die mit dem Computer nicht umgehen k=F6nnen, also zumind=
est
>> alle Windows User, die als Administrator unterwegs sind, und Desktop
>> Firewall als Allheilmittel sehen, sollten von MS in den K=E4fig gesperrt
>> und voll kontrolliert werden.
>
> Und die anderen d=FCrfen nichts anderes nutzen (wenn du dich auch auf die
> "ausschlie=DFliche Windows-Monokultur" beziehst).

Zumindest nicht die Ahnungslosen. Die, die wirklich Ahnung haben, so dass
sie keinen Schaden anrichten, sollen das abschalten k=F6nnen. W=FCrden aber
vielleicht von sich aus auf das kommende Windows verzichten, wenn das mit
NGSCB kommen sollte (AFAIK hat das aktuelle XP schon Teile des Codes
implementiert, aber nicht aktiv).

>> Wenn das wirklich funktioniert (ich habe da meine Zweifel), w=FCrde es
>> wirklich helfen. Die, die sich dagegen auskennen, k=F6nnen NGSCB wohl
>> ausschalten (wobei ich leider vermute, dass auch Computerb**d und Co.
>> da wieder mit "Wir zeigen, wie sie sich von der Kontrolle von
>> Microsoft l=F6sen" Artikeln aufwarten werden, und alles zunichte
>> machen), oder das OS wechseln.
>
> Dann doch lieber eine neue Windowsversion mit einer klitzekleinen
> =C4nderung: Userprozesse mit administrativen Rechten kriegen keinen
> IP-Zugriff au=DFer in den IP-Range von Microsoft und zum Provider-DNS.
> Schon w=E4r das Problem "Surfen als Admin" beseitigt, bzw. jeder w=E4re
> gezwungen, eingeschr=E4nkte User einzurichten.

Aber auf Kernelebene, und auch nicht per Registry Hack o.=E4. =E4nderbar.

> Dazu noch ein funktionierendes automatisches "Ausf=FChren als..." in der
> Systemsteuerung (=D6ffnen von Admin-only-Einstellungen f=FChrt zu
> Passwortabfrage, =E4hnlich YaST2 - eines der wenigen Dinge, die SuSE
> hingekriegt hat, war das Nutzen von YaST2 von einem normalen Userlogin
> aus) und ein "global installieren..."-Button in
> Systemsteuerung/Software, dem man - konsequenterweise - sowohl Treiber
> als auch MSIs vorwerfen kann, w=E4re der n=E4chste Schritt.

Ist das was Besonderes? Bei meinem Mandrake^WMandriva tut das
auch. Insgesamt kann jedes Linux "su", und warum sollte das so schwer in
eine GUI zu implementieren sein?

> Fehlt nur noch, dass Installer, wenn man sie als normaler User ausf=FChrt,
> von selbst ein Zielverzeichnis w=E4hlen sollten, in das der User schreiben
> kann (%USERPROFILE%/Programs oder sowas).

Wenn User und NTFS, gelingt dem User bei der Installation eh kein
Schreibzugriff woanders. Oder meinst du, dass auch ein "Run as" dann
nicht funktioniert, dass es ausserhalb des %USERPROFILE% schreiben kann?
Dann w=E4re das Run as aber nicht vollwertig. Und da der user eh das Admin
Passwort braucht, kann er auch komplett Admin werden, um dann schreiben
zu k=F6nnen.

> W=FCrde MS das wirklich so hinkriegen, h=E4tte man ein Windows, wo man ke=
ine
> "gro=DFen" Administrator-Logins mehr braucht. Malware =FCber social
> engineering-Methoden unterjubeln kann man dann nat=FCrlich immer noch,
> aber ein einen OE-Exploit ausnutzender Wurm hat es recht schwer, auf den
> Rest des Systems =FCberzugreifen.

Immerhin bek=E4men die Windows Programmierer schnell graue Haare, wenn sie
sich diesen Einschr=E4nkungen gegen=FCber sehen. :-D

Aber es sollte gehen. Tut es bei Unix schon =FCber 30 Jahre, und Linux ist
auch schon 14 Jahre da.

Wundert mich ein wenig. MS schreibt (vermutlich viel, vor allem in Sachen
Netzwerk (hat W2k/XP nicht weitestgehend einen von Unix entliehenen TCP/IP=
=20
Stack?)) von Unix/Linux ab. Zumindest NT von 1994 (?) war eine komplette
Neuentwicklung. Warum machte man es da nicht, und warum schleppt man das
immer noch mit sich herum, dass Sachen wie Run as nicht so gut
funktionieren, wie unter Linux? Oder "einfache" Dinge, dass auch ein
restriktiver User (fast) jedes Programm ausf=FChren kann, ohne Admin Rechte
haben zu m=FCssen?

[...]

> Wie w=E4re es mit einem farbigen Bildschirmrahmen, wenn ein lokal
> laufendes Programm, das zum Zeitpunkt des X-Connects EUID 0 hatte,
> exklusiven Tastaturzugriff (d.h. Keyboard gegrabbt, wie bei Xterm
> "secure keyboard") hat? Abfangen kann ein X-Server das, und au=DFerhalb
> des regul=E4ren Bildschirmbereiches kann keine Anwendung direkt schreiben.
> Um den Effekt zu f=E4lschen, m=FCsste die Malware root sein, das hilft
> schonmal um einiges weiter.

IMO sollte man, wie Suse (?) das im KDE wohl macht, dem User das Arbeiten
als Root bereits schon unbehaglich machen. Mit roter, nicht =E4nderbaren
Bildschirmfarbe (konnte man aber wohl =E4ndern), m=F6glichst ohne Font
Server, dass ein ekliger System Font genommen wird. Und ein nicht zu
=FCbersehender Warnhinweis; der User muss sich unwohl f=FChlen, solange er
Admin ist!
=2D-=20
Andreas
Die FAQ dieser Gruppe unter http://www.stud.tu-ilmenau.de/~traenk/dcsm.=
htm
Linkliste zum Thema Computersicherheit http://www.linkblock.=
de/
.

Andreas Kohlbach <ankman [at] email.com> wrote:
> Ich gehe davon aus, dass MS selbst das NGSCB *per default* aktiviert
> hat.

MS hat ja die Entwicklung von NGSCB eingestellt nachdem ihnen die Entwickler
gesagt haben dass die keine speziellen agents programmieren wollen. Was da
jetzt draus werden wird weiss man nicht so genau, auch wenn da in Longhorn
noch was drin is.

Fie Frage ist, welche Auswirkung haette ein eingeschaltetes NGSCB? Es ist zu
erwarten dass der Media Player und die Office DRM Module es benutzen,
eventuell auch teile der SAM und Certstores damit gesichert werden, aber das
is ja per se nichts negatives.

Gruss
Bernd
.

Ralph Lehmann wrote on 18. April 2005:
>
> Andreas Kohlbach schrieb:
>
>>> MS hat ja die Entwicklung von NGSCB eingestellt nachdem ihnen die
>>> Entwickler gesagt haben dass die keine speziellen agents programmieren
>>> wollen. Was da jetzt draus werden wird weiss man nicht so genau, auch
>>> wenn da in Longhorn noch was drin is.
>>=20
>> Ist mir entgangen. :-(

Laut <http://www.microsoft.com/resources/ngscb/archive.mspx> sieht es
nicht nach Einstellung aus. Wird zumindest nicht erw=E4hnt, sondern weiter
dort angepriesen.

>>> Fie Frage ist, welche Auswirkung haette ein eingeschaltetes NGSCB? Es
>>> ist zu erwarten dass der Media Player und die Office DRM Module es
>>> benutzen, eventuell auch teile der SAM und Certstores damit gesichert
>>> werden, aber das is ja per se nichts negatives.
>>=20
>> Was sind SAM und Certstores?
> ~~~~~~~~~~~~~~~~~~~~~~~~~~~~
>
> Vielleicht solltest Du im Zweifel einfach mal die Finger stillhalten,
> wenn Du keine Ahnung hast.

| Your search - SAM Certstores - did not match any documents.

Nat=FCrlich hatte ich vorher gegoogelt.

Unter "certstore" k=F6nnte ich mir "certificate store" rausraten. Eine
Stelle, die Zertifikate verkauft?

"certstore" alleine wird bei Google oft im Zusammenhang mit LDAP
genannt. Vielleicht ist es auch etwas wie ein "Passwort Tresor". =C4hnlich =
dem
was MS schon versuchte mit Passport zu etablieren?

"SAM" alleine bringt zu viele Treffer.

> Ralph (fuppend)

Ignoriert. K=F6nnte vielleicht doch mal jemand aufkl=E4ren?
=2D-=20
Andreas
Die FAQ dieser Gruppe unter http://www.stud.tu-ilmenau.de/~traenk/dcsm.=
htm
Linkliste zum Thema Computersicherheit http://www.linkblock.=
de/
.

»Stefan Kanthak« <dont.delete-this.dont.remove-this.nospam [at] usenet.arcornews.de> wrote:
> "Rudolf Polzer" <divzero [at] gmail.com> schrieb:
> > »Andreas Kohlbach« <ankman [at] email.com> wrote:
> > > Wenn das wirklich funktioniert (ich habe da meine Zweifel), würde es
> > > wirklich helfen. Die, die sich dagegen auskennen, können NGSCB wohl
> > > ausschalten (wobei ich leider vermute, dass auch Computerb**d und Co.
> > > da wieder mit "Wir zeigen, wie sie sich von der Kontrolle von
> > > Microsoft lösen" Artikeln aufwarten werden, und alles zunichte
> > > machen), oder das OS wechseln.
> >
> > Dann doch lieber eine neue Windowsversion mit einer klitzekleinen
> > Änderung: Userprozesse mit administrativen Rechten kriegen keinen
> > IP-Zugriff außer in den IP-Range von Microsoft und zum Provider-DNS.
> > Schon wär das Problem "Surfen als Admin" beseitigt, bzw. jeder wäre
> > gezwungen, eingeschränkte User einzurichten.
>
> Wen willst Du damit vergewaltigen?
> Abgesehen davon laesst sich diese Beschraenkung fuer alle Programme, die
> die Proxy-Konfiguration des Systems nutzen, bereits heute realisieren.

Klar, ist nur nicht by default so.

> Damit zwingst Du die DAUs, einen der "anderen" Browser zu verwenden.

Wäre schonmal nicht schlecht, aber der falsche Ansatz. Daher auf
Socket-Ebene das Ganze.

> > Dazu noch ein funktionierendes automatisches "Ausführen als..." in der
> > Systemsteuerung
>
> Nimm' ein XP mit SP2 und starte als Nicht-Administrator z.B. die
> Benutzerverwaltung. Merkst Du 'was?

*stellenweise* geht das vielleicht. Nicht überall.

> > (Öffnen von Admin-only-Einstellungen führt zu
> > Passwortabfrage, ähnlich YaST2 - eines der wenigen Dinge, die SuSE
> > hingekriegt hat, war das Nutzen von YaST2 von einem normalen Userlogin
> > aus) und ein "global installieren..."-Button in
> > Systemsteuerung/Software, dem man - konsequenterweise - sowohl Treiber
> > als auch MSIs vorwerfen kann, wäre der nächste Schritt.
>
> Mindestens der erste Punkt ist bereits in W2K realisiert (und kann auch
> per Registry erzwungen werden).

Wie geht das genau?

Beispiel: ich will in die Eigenschaften der Anzeige rein, dann auf
Bildschirm, Energiesparmodus und dort was ändern. Normal kriege ich da
nur eine Fehlermeldung, dass ich kein Admin bin. Was ich will, ist eine
User-/Passwortabfrage.

> Auch bei SETUP.EXE und INSTALL.EXE hat Windows dies bereits eingebaut:
> die Entwickler muessen die vorgesehenen und in MSDN dokumentierten
> Moeglichkeiten nur nutzen!
>
> > Fehlt nur noch, dass Installer, wenn man sie als normaler User ausführt,
> > von selbst ein Zielverzeichnis wählen sollten, in das der User schreiben
> > kann (%USERPROFILE%/Programs oder sowas).
>
> Auch das muss der Ersteller des Installers nur richtig "programmieren".
> Es ist bereits vorgesehen!

Office hält sich nicht dran. Dass es vorgesehen ist, glaube ich jedoch
sofort. Ich meine nämlich, mal ein MSI nutzendes Programm gesehen zu
haben, das es richtig gemacht hat. Weiß bloß nicht mehr, welches.

> > Würde MS das wirklich so hinkriegen, hätte man ein Windows, wo man keine
> > "großen" Administrator-Logins mehr braucht. Malware über social
> > engineering-Methoden unterjubeln kann man dann natürlich immer noch,
> > aber ein einen OE-Exploit ausnutzender Wurm hat es recht schwer, auf den
> > Rest des Systems überzugreifen.
>
> Ab XP gibt's "software restriction policies"!

Und?

> Das Problem liegt viel weniger bei MS als bei den leseschwachen Entwicklern
> vieler Software, vor allem auch der Installer.

Zu denen zählt jedoch auch MS.


--
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"><html><title
>CSS</title><style type="text/css">.f:before{content:"CSS _ist_ wirksam. "}
</style><div class=f>Der vorhergehende Satz ist kopiergeschützt.</div>
<hr>Best viewed with Mozilla Firefox 0.8 at 320x240 on FreeBSD 4.10.</html>
.

»Andreas Kohlbach« <ankman [at] email.com> wrote:
> Rudolf Polzer wrote on 18. April 2005:
> > »Andreas Kohlbach« <ankman [at] email.com> wrote:
> >> Rudolf Polzer wrote on 17. April 2005:
> >> > Fehlt nur noch, dass Installer, wenn man sie als normaler User ausführt,
> >> > von selbst ein Zielverzeichnis wählen sollten, in das der User schreiben
> >> > kann (%USERPROFILE%/Programs oder sowas).
> >>
> >> Wenn User und NTFS, gelingt dem User bei der Installation eh kein
> >> Schreibzugriff woanders.
> >
> > Sicher?
> >
> > - Shared Documents
>
> Ist ein "nichtsystem Bereich".

Trotzdem ein guter Platz für Makroviren. Irgendwann klickt schon einer
das dort liegende Dokument an.

> > - Verzeichnis von $Anwendung, die es zum Schreiben für jeden freigegeben
> > hat
>
> Weil die der Besitzer freigegeben hat.

Oder die Anwendung eigenständig. Da lässt sich sicher gut was drin
verstecken.

> > - (Win2k zumindest) C:\
>
> *Urgs*
>
> Macht das irgendeinen Sinn? Da sind Dinge wie autoexec.nt drin...

An der kann man aber nix ändern.

Man kann da lediglich neue Dateien oder Ordner anlegen. Keine allzu
große Lücke also, das Dumme ist bloß, dass man dann nach allen Dateien
des Users lange suchen darf.

> > - Temporäre Dateien
>
> Wer wollte da etwas installieren wollen. ;-)

Vielleicht ein "unattended install"-Skript für einen Installer? Wenn man
von Winzip was direkt installiert, wird es erst dorthin installiert. Im
aktuellen Verzeichnis findet der Installer dann die ganzen anderen
Tempfiles vor.

Ich kann mir gut vorstellen, dass sich da was machen lässt.

> Und natürlich muss jeder Prozess jedes Users da schreiben dürfen. Kann
> man AFAIK einstellen, dass bei jedem Shutdown/Reboot dort abgeräumt wird.

Besser: jedem User ein eigenes Tempverzeichnis geben, das by default
benutzt wird. Also notfalls %TMPDIR%/username, was dieser User aufgrund
der Rechte auf %TMPDIR% sogar selbst anlegen könnte.


--
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"><html><title
>CSS</title><style type="text/css">.f:before{content:"CSS _ist_ wirksam. "}
</style><div class=f>Der vorhergehende Satz ist kopiergeschützt.</div>
<hr>Best viewed with Mozilla Firefox 0.8 at 320x240 on FreeBSD 4.10.</html>
.

»Andreas Kohlbach« <ankman [at] email.com> wrote:
> Stefan Kanthak wrote on 18. April 2005:
> > "Rudolf Polzer" <divzero [at] gmail.com> schrieb:
> >> Dann doch lieber eine neue Windowsversion mit einer klitzekleinen
> >> Änderung: Userprozesse mit administrativen Rechten kriegen keinen
> >> IP-Zugriff außer in den IP-Range von Microsoft und zum Provider-DNS.
> >> Schon wär das Problem "Surfen als Admin" beseitigt, bzw. jeder wäre
> >> gezwungen, eingeschränkte User einzurichten.
> >
> > Wen willst Du damit vergewaltigen?
> > Abgesehen davon laesst sich diese Beschraenkung fuer alle Programme, die
> > die Proxy-Konfiguration des Systems nutzen, bereits heute realisieren.
> > Damit zwingst Du die DAUs, einen der "anderen" Browser zu verwenden.
>
> Man muss sich vor Augen halten, dass es vor allem die Newbies sind, die
> mal eben einen PC "vom ALDI" geholt haben. Diese sollten in eine fix und
> fertige Umgebung direkt nach dem Booten kommen, ohne irgendetwas selbst
> einzustellen. Ausserdem würde Rudolfs Vorschlag auch gegen "Computer
> Magazine" helfen, die meinen, mit einem Aufmacher wie "So befreien Sie
> sich von den Microsoft Fesseln" kommen, dass der DAU eben doch die
> Sicherheitsbeschränkungen (z.B. per Registry Hack) aushebeln kann.

Soweit darf es gar nicht erst kommen. Das System hat als Normaluser ohne
diese Hacks zu funktionieren nahezu wie ein Single-User-System, nur dass
gewisse Verzeichnisse nicht schreibbar sind und direkter Hardwarezugriff
nicht möglich ist.

Für Legacy-Anwendungen (die gerne nach HKLM schreiben würden z.B.)
könnte man sich notfalls was überlegen. Mein Vorschlag wäre ein
Schlüssel wie
"HKCU/HKLM_Overrides/Software/Microsoft/Windows/Explorer/Shell Folders",
so dass bei HKLM-Zugriffen auf diesen Bereich zugegriffen wird, sobald
ein entsprechender Schlüssel und im Falle des Lesens auch der Wert
existiert. Sozusagen eine Art unionfs in der Registry. Dazu eine online
updatebare Liste von "defekten" Anwendungen und ihren Schlüsseln in
HKLM, für die diese Schlüssel bei Bedarf angelegt werden (ich würde nur
ungern diese Schlüssel bei *jedem* Schreibversuch automatisch anlegen
lassen, bei Schreibzugriffen einer setup.exe vielleicht noch, aber nicht
bei beliebigen Anwendungen).

Damit kann man auch, wie angedeutet, gleich das "Programme"-Verzeichnis
in das Profil des Users verlegen.

Damit könnte man dann Anwendungen und Spiele problemlos als normaler
Benutzer für sich selbst installieren, und man bräuchte in vielen Fällen
keine Adminrechte mehr.

Nett wäre auch eine Sonderbehandlungen von Dateien, die setup.exe oder
so heißen - bei diesen könnte Windows vorm Start automatisch fragen, ob
es "Ausführen als..." machen soll oder als der aktuelle User
installieren soll.

> >> Dazu noch ein funktionierendes automatisches "Ausführen als..." in der
> >> Systemsteuerung
> >
> > Nimm' ein XP mit SP2 und starte als Nicht-Administrator z.B. die
> > Benutzerverwaltung. Merkst Du 'was?
>
> Der DAU ist Daueradminitrator. Dem muss entgegengewirkt werden, indem man
> das erstmal nicht als Default Zustand vorgibt. Ausserdem kritische Dinge,
> wie Internet Verbindungen als Admin auf Kernelebene unterbindet. So kann
> sich als Admin eingeschleppte Malware schonmal nicht im System Bereich
> verewigen.

Das könnte sie schon, nur würde man sie nicht mehr als Admin
einschleppen.

> Was allerdings nicht verhindert, dass er nach dem Download als
> User Malware dann doch als Admin ausführt. Aber immerhin eine Hürde mehr.

Problem wären dann die Autoupdates von Virenscannern. Da müssen die
Scanner sicher stellen, dass sie als nicht regulärer loginbarer
Admin-User laufen (notfalls SYSTEM).


--
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"><html><title
>CSS</title><style type="text/css">.f:before{content:"CSS _ist_ wirksam. "}
</style><div class=f>Der vorhergehende Satz ist kopiergeschützt.</div>
<hr>Best viewed with Mozilla Firefox 0.8 at 320x240 on FreeBSD 4.10.</html>
.

[Joachim Meyer]

"Andreas Kohlbach" <ankman [at] email.com> wrote:
> Ralph Lehmann wrote on 18. April 2005:
>> Andreas Kohlbach schrieb:
>>
>>> Was sind SAM und Certstores?
>> ~~~~~~~~~~~~~~~~~~~~~~~~~~~~
>>
>> Vielleicht solltest Du im Zweifel einfach mal die Finger
>> stillhalten, wenn Du keine Ahnung hast.
>
> "SAM" alleine bringt zu viele Treffer.

SAM steht für Security Accounts Manager und bezeichnet die lokale
Benutzerdatenbank auf einem NT-basierten Windows. BTW, ist in etwa so,
als ob man fragt, was denn /etc/passwd eigentlich ist. Kann mir
vorstellen, dass diese Frage hier einige äußerst unfreundliche
Kommentare nach sich ziehen würde.

Joachim

.

Hallo,

Rolf <news-1000 [at] centermail.net> wrote:
> Habe Norton Firewall
> eingestellt auf Standard
> will von der Site
> http://support.magix.net/boards/magix/index.php?showtopic=19387&st=0&#entry91251
> eine zum Download angebotene Datei herunzerladen. Der Download startet zwar,
> wird aber von der FW blockiert
> Datei hat ursprünglich ca 3,5 MB Datei im Explorer aber nur 0 Byte
> Wenn ich die FW abschalte, wird die Datei richtig downgeladen

Wenn du es dir erlauben kannst die Personal Firewall temporaer abzu-
schalten, brauchst du sie nicht. Wenn du deinen Rechner restriktiv
konfigurierst und darauf achtest, was du tust statt wild auf allem
herumzuklicken, was nicht schnell genug vom Bildschirm verschwindet
und dann noch darauf achtest, "Admin-Rechte" wirklich nur zur Adminis-
tration deines Rechners zu verwenden, wirst du vermutlich ohnehin
keine Personal Firewall benoetigen. Falls du glaubst trotzdem eine
Personal Firewall zu benoetigen, wende dich an den Support des
Herstellers (der sollte schliesslich seine Software kennen).
Noch ein Literaturtip (oder gleich mehrere):

http://www.dingens.org/
http://ntsvcfg.de/
http://linkblock.de/

> Kann einer sagen, wa sich bei der FW einstellen muß ?

IMHO lautet die Antwort: Sieh zu, dass du das Ding deinstalliert bekommst
(das ist aber, nach allem, was ich darueber gelesen habe, nicht ganz
trivial, es gibt aber IIRC auf der Webseite des Herstellers ein Tool,
dass dich dabei unterstuetzen kann ...). Wenn du die Deinstallation
nicht hinbekommst, solltest du ein neu installieren des Rechners (dann
aber ohne diese Software) in Betracht ziehen ...

Tschuess,
Juergen Ilse (juergen [at] usenet-verwaltung.de)
.

»Stefan Kanthak« <dont.delete-this.dont.remove-this.nospam [at] usenet.arcornews.de> wrote:
> Stelle ein, dass "Programme" (eigentlich: Dateien) nur unterhalb von
> %SystemRoot% und %ProgramFiles% ausgefuehrt werden duerfen, und fuer alle
> poehsen "Benutzerprogramme" unterhalb %ProgramFiles% die Ausfuehrung als
> "beschraenkter Benutzer".

Hilft nur gegen Malware, die in Dateien kommt. Nicht gegen solche, die
z.B. Pufferüberläufe ausnutzt. Würde sich das verbreiten, käme
irgendwann jemand auf die Idee, aus einer IE-Lücke einen Wrapper zu
bauen, der Binaries lädt und ausführt - und damit dieses "noexec"
umgeht.

Aber trotzdem kann diese Funktion recht nützlich sein. In Umgebungen, in
denen ein Nutzer eine kleine Liste von Programmen nutzen darf nämlich.

Bei einem Entwickler wird man das dagegen kaum machen können - und sag
nicht, wer programmiert, wisse, was er tut. Ich kenne eine Menge
Gegenbeispiele.


--
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"><html><title
>CSS</title><style type="text/css">.f:before{content:"CSS _ist_ wirksam. "}
</style><div class=f>Der vorhergehende Satz ist kopiergeschützt.</div>
<hr>Best viewed with Mozilla Firefox 0.8 at 320x240 on FreeBSD 4.10.</html>
.

Hallo,

Carsten Ihlo <Carsten.Ihlo [at] gmx.de> wrote:
> Philipp Neuhaus schrieb:
>> Warum besitzt du eine FW, wenn du diese sowieso abstellst.
>> Eine Blasterinfektion geschieht in etwa in 20 Sekunden, wenn du deinem
>> Rechner keine WindowsUpdates gönnst.
> Er hat doch nicht geschrieben, das er sie generell abstellt. Er wollte
> nur den
> Hinweis geben, das der Download nur funktioniert wenn er die FW abschaltet.

Es gibt dann eigentlich nur 2 Moeglichkeiten:

Er kann sich *nicht* erlauben, das Ding abzuschalten, hat das aber
trotzdem getan --> Dann ist seine System-Installation nun hoechst-
wahrscheinlich kompromittiert und der Rechner sollte ohnehin komplett
neu aufgesetzt werden.

Er kann sich das abschalten, dieser Software problemlos erlauben ohne
den Rechner zu gefahrden, dann ist diese Software voellig ueberfluessig
und sollte entsorgt werden.

Welche dieser beiden Moeglichkeiten zutrifft, kann man ohne genaue
Untersuchung seines Rechners nicht beantworten.

Tschuess,
Juergen Ilse (juergen [at] usenet-verwaltung.de)
.

Hallo,

Carsten Ihlo <Carsten.Ihlo [at] gmx.de> wrote:
> Philipp Neuhaus schrieb:
>> Ist ja so, als wenn du beim Gefängnis "nur für 10 Minuten" die Tür
>> auflässt.
> Wir wohnen in ländlicher Gegend. Wie groß schätzt du die Gefahr ein,
> das mir ein Mäusebussard ins Gesicht fliegt, wenn ich für 10 sek. das
> Fenster öffne?
> Wenn irgendeine Komponente nicht funktioniert kann ich doch mal testen
> ob mir die FW diese blockt, wenn ich sie kurzzeitig ausschalte.

Damit dieser Vergleich bei der heutigen Situation im Internet passt,
muesstest du 20 Sekunden "abgeschaltete Firewall" mit mehrmonatigem
"nicht abschliessen deiner Wohnung" vergleichen und nicht nur den
"Maeussebussard der dir ins Gesicht fliegen koennte" sondern auch
Einbrecher und andere Ganoven in deine Betrachtung mit einbeziehen.

Tschuess,
Juergen Ilse (juergen [at] usenet-verwaltung.de)
.

Hallo,

Carsten Ihlo <Carsten.Ihlo [at] gmx.de> wrote:
> Juergen P. Meier schrieb:
>> Wie wahrscheinlich ist es, dass du bei Regen nass wirst, wenn du fuer
>> 10 Sekunden deinen Regenschirm zuklappst?
> Kommt auf die Stärke des Regens an.

Es war von "Regen" und nicht von "alle halbe Minute mal ein Tropfen
pro Quadratmeter" die Rede ...

>> Diese Analogie hinkt *DEUTLICH* weniger als deine.
> Glaub ich nicht.

Dann glaubst du falsch. Als ich das letzte mal einen nicht mit
allen Sicherheitspatches versehenen Laptop direkt ans Netz ge-
haengt hatte (laut zustaendigem Admin war das Ding aktuell)
hat es keine 30 Sekunden gedauert, bis das Ding rebooten wollte
(d.h. bis die "falsche" Version von Blaster, Sasser oder aehn-
lichem Geschmeiss versuchte, den Rechner zu infizieren und dabei
einen lebenswichtigen Dienst gekillt hatte). Die Infektion mit
einer "passenden" Version war zu diesem Zeitpunkt bereits passiert.

>>>Wenn irgendeine Komponente nicht funktioniert kann ich doch mal testen
>>>ob mir die FW diese blockt, wenn ich sie kurzzeitig ausschalte.
>> Das machen nur Idioten so. Die Sorte, die wenn eine Haeckselmaschine
>> klemmt auch mit ihren Haenden ins Haeckselwerk greifen, um nach dem
>> Fehler zu suchen...
> Nein.Dann ziehe ich den Stecker. Genauso, wie ich es mit dem Internet auch
> machen würde. Wo ist das Problem?

Wie willst du einen Download versucht haben, wenn du dazu die Internet-
Verbindung getrennt hast (das waere die Entsprechung zu dem "Stecker
ziehen beim Haecksler")?

>> Sorry wenn das jetzt hart klingt ... Aber den letzten Idiot mit PFW,
>> der lieber Rosakuschelweiche Werbeaussagen geglaubt hat, durfte sich
>> schliesslich um einen neuen Internet-Anschlussvertrag kuemmern, weil
>> sein ISP ihn schliesslich abgeklemmt hat. Nachdem er mich Wochenlang
>> mit Viren/Wurmverbreitungspaketen belaestigt hatte.
> Weiß nicht, was das mit der Sache zu tun. Wenn jemand keine Ahnung hat
> und sich so einen Mist ins Haus holt und er Dinge feststellt, die er
> nicht versteht fragt man halt nach.

Nach allem, was ich bisher von meinem Namensvetter weiss, hat er
vermutlich (wenn er die Moeglichkeit dazu hatte) auch versucht,
den Verursacher dieses Muells zu informieren. Ein Provider wird
den Vertrag ueblicherweise nicht beim allerersten Anzeichen einer
Infektion kuendigen, das hebt er sich fuer Faelle auf, wo der
entsprechende Kunde an dem Missstand nichts aendert und auf
entsprechende Mahnungen nicht reagiert.

Tschuess,
Juergen Ilse (juergen [at] usenet-verwaltung.de)
.

[Stefan Kanthak]

"Rudolf Polzer" <divzero [at] gmail.com> schrieb:

> »Stefan Kanthak« <dont.delete-this.dont.remove-this.nospam [at] usenet.arcornews.de> wrote:
> > "Rudolf Polzer" <divzero [at] gmail.com> schrieb:

[...]

> > Abgesehen davon laesst sich diese Beschraenkung fuer alle Programme, die
> > die Proxy-Konfiguration des Systems nutzen, bereits heute realisieren.
>
> Klar, ist nur nicht by default so.

Es ist auch nicht zu erwart^Wbefuerchten, dass das in Zukunft zum Standard
wird, obwohl M$ langsam aufwacht und die Einrichtung/Verwendung
"beschraenkter Benutzer" forciert und auch Applikationen darunter testet.

> > Damit zwingst Du die DAUs, einen der "anderen" Browser zu verwenden.
>
> Wäre schonmal nicht schlecht, aber der falsche Ansatz. Daher auf
> Socket-Ebene das Ganze.

Der "falsche" Ansatz ist aber heute schon realisierbar!

> > > Dazu noch ein funktionierendes automatisches "Ausführen als..." in der
> > > Systemsteuerung
> >
> > Nimm' ein XP mit SP2 und starte als Nicht-Administrator z.B. die
> > Benutzerverwaltung. Merkst Du 'was?
>
> *stellenweise* geht das vielleicht. Nicht überall.

Ja, ueberall dort, wo die Programmierer die Dokumentation gelesen und
umgesetzt haben.

> > > (Öffnen von Admin-only-Einstellungen führt zu
> > > Passwortabfrage, ähnlich YaST2 - eines der wenigen Dinge, die SuSE
> > > hingekriegt hat, war das Nutzen von YaST2 von einem normalen Userlogin
> > > aus) und ein "global installieren..."-Button in
> > > Systemsteuerung/Software, dem man - konsequenterweise - sowohl Treiber
> > > als auch MSIs vorwerfen kann, wäre der nächste Schritt.
> >
> > Mindestens der erste Punkt ist bereits in W2K realisiert (und kann auch
> > per Registry erzwungen werden).
>
> Wie geht das genau?
>
> Beispiel: ich will in die Eigenschaften der Anzeige rein, dann auf
> Bildschirm, Energiesparmodus und dort was ändern. Normal kriege ich da
> nur eine Fehlermeldung, dass ich kein Admin bin. Was ich will, ist eine
> User-/Passwortabfrage.

Waere schoen, muesste jedoch programmiert sein.
Die "Energieoptionen" kannst Du aber auch direkt aufrufen...
Ich kenne zwei Loesungen:
1. eine Verknuepfung "control.exe powercfg.cpl" anlegen und dort permanent
"Ausfuehren als..." setzen.
2. Berechtigungen in der Registry aendern (siehe die SAFER-Beitraege unter
http://weblogs.asp.net/michael_howard).

> > Auch bei SETUP.EXE und INSTALL.EXE hat Windows dies bereits eingebaut:
> > die Entwickler muessen die vorgesehenen und in MSDN dokumentierten
> > Moeglichkeiten nur nutzen!
> >
> > > Fehlt nur noch, dass Installer, wenn man sie als normaler User ausführt,
> > > von selbst ein Zielverzeichnis wählen sollten, in das der User schreiben
> > > kann (%USERPROFILE%/Programs oder sowas).
> >
> > Auch das muss der Ersteller des Installers nur richtig "programmieren".
> > Es ist bereits vorgesehen!
>
> Office hält sich nicht dran.

Ja, dummerweise ist Office ein gutes schlechtes Beispiel dafuer, die vom
System bereitgestellten Schnittstellen haeufig zu ignorieren.

> Dass es vorgesehen ist, glaube ich jedoch
> sofort. Ich meine nämlich, mal ein MSI nutzendes Programm gesehen zu
> haben, das es richtig gemacht hat. Weiß bloß nicht mehr, welches.
>
> > > Würde MS das wirklich so hinkriegen, hätte man ein Windows, wo man keine
> > > "großen" Administrator-Logins mehr braucht. Malware über social
> > > engineering-Methoden unterjubeln kann man dann natürlich immer noch,
> > > aber ein einen OE-Exploit ausnutzender Wurm hat es recht schwer, auf den
> > > Rest des Systems überzugreifen.
> >
> > Ab XP gibt's "software restriction policies"!
>
> Und?

Stelle ein, dass "Programme" (eigentlich: Dateien) nur unterhalb von
%SystemRoot% und %ProgramFiles% ausgefuehrt werden duerfen, und fuer alle
poehsen "Benutzerprogramme" unterhalb %ProgramFiles% die Ausfuehrung als
"beschraenkter Benutzer".

Wenn diese Einstellung wegen der "Nebenwirkungen" (z.B. keine Installation
der ueblichen selbstextrahierenden Installer) nicht erwuenscht ist:
verbiete die Programmausfuehrung aus %UserProfile%\, %HomeDrive%%HomePath%\,
%TEMP%\, ?:\RECYCLE?\ und "?:\System Volume Information\" und darunter.

> > Das Problem liegt viel weniger bei MS als bei den leseschwachen Entwicklern
> > vieler Software, vor allem auch der Installer.
>
> Zu denen zählt jedoch auch MS.

Ich weiss (und habe nichts Gegenteiliges behauptet).

Stefan
[
--
Die unaufgeforderte Zusendung einer Werbemail an Privatleute verstoesst gegen
§1 UWG und §823 I BGB. Beschluss des LG Berlin vom 2.4.1998 (AZ: 16 O 201/9
Das unverlangte Versenden von Werbemail ist nach §1 UWG wettbewerbswidrig.
Beschluss des LG Traunstein vom 18.12.1997 (AZ: 2 HKO 3755/97)


.

[Stefan Kanthak]

"Andreas M. Kirchwitz" <amk [at] spamfence.net> schrieb:

> Juergen Ilse <ilse [at] asysha.asys-h.de> wrote:
>
> >>>> Auf http://www.dingens.org und http://ntsvcfg.de findest Du nützliche
> >>>> Werkzeuge, um das schnell zu erreichen. Dann brauchst Du gar keine
> >>>> "Personal Firewall" mehr.
> >>> Das stimmt nicht. Die Tools auf diesen Webseiten schalten
> >>> *ausgewählte* Dienste ab, aber keineswegs alle.
> >
> > Als ich das script von http://ntsvcfg.de/ angewendet hatte, hat es
> > alle zum internet hin geoeffneten Ports (also alle, an denen ein
> > Dienst zum Internet hin lauscht) geschlossen, spricht "netstat -an"
> > zeigte *keine* Ports mehr im Status "abhoeren" an.
>
> Nur weil Du mal ueber eine rote Ampel gelaufen bist und Dir nichts
> passiert ist, ist es wenig ratsam, dies Deinen Mitmenschen zur
> Nachahmung zu empfehlen.
>
> Tatsache ist, die Tools schalten nicht alle laufenden Dienste ab
> (oder konfigurieren sie geeignet um), sondern nur ausgewaehlte
> Systemdienste, die ihnen bereits bekannt sind. Und "netstat" ist
> nicht geeignet, um zu ermitteln, welche auf dem System installierte
> Software jemals eine Verbindung von draussen annehmen koennte.

Wie oft willst Du Dich denn weiter zum Affen machen?
Die "Tools" schalten die Ihnen bekannten ueberfluessigen Netzwerk-Dienste
ab.
Interessanterweise sind die Dienste, die auf einer normalen Windows 2000
oder XP Installation ueberhaupt installiert sein koennen, und ihre Funktion
"wohlbekannt".
Das Ergebnis wird hier oefter beschrieben: "netstat" oder "tcpview" zeigen
keine offenen Ports am externen Interface! Ziel erreicht!

Die nicht mit Windows gelieferten Dienste und die mit Windows gelieferten,
nach ihrem Start ggf. Verbindungen annehmenden Applikationen (NetMeeting,
Windows Messenger) koennen und WOLLEN die "Tools" nicht konfigurieren, und
beschreiben das auf ihren Webseiten auch.
Einen Teil dieses unnuetzen Ballasts kann %ONU% ueber Systemsteuerung->
Software problemlos deinstallieren.

Ebenso wird DEUTLICH beschrieben, dass nach jeder Konfigurationsaenderung
der Zustand ueberprueft werden muss!

> >>> Sie verhindern auch nicht, daß Dienste doch wieder gestartet werden.
> >
> > Nach Konfigurationsaenderungen am Rechner ist zu kontrollieren,
> > ob dadurch Dienste zum Internet hin angeboten werden und diese
> > zum Internet hin angebotenen dienste ggfs. wieder abzuschalten
> > oder auf "lokale Kommunikation" zu beschraenken (an 127.0.0.1
> > gebunden).
>
> Dein Ratschlag ist schlecht. Dann kann es bereits zu spaet sein.

ARGH! Das ist Dummschwatz!
Wann soll denn sonst kontrolliert werden? Vor oder waehrend der Aenderung?
Wenn Du meinen solltest, das der Rechner vor der Konfigurationsaenderung
vom Netz zu trennen ist und erst nach erfolgreicher Pruefung wieder
verbunden werden darf, aber das nicht ausdruecken kannst oder willst: lass'
es einfach!

> > Reinkommende Verbindungen brauchen nicht gefiltert zu werden, wenn
> > kein Dienst die so "reinkommenden Pakete" entgegennimmt
>
> Dies ist leider in der Praxis nur schwer zu garantieren.

Was an "wenn dann" willst Du nicht verstehen?
Und nochmals: nach ntsvcfg.cmd sind keine Ports nach aussen offen!

> > Die beiden Tools (dingens.org und ntsvcfg.de) sind hilfreich,
> > um die zu startenden Netzwerkdienste aus Sicherheitsgruenden
> > auf ein Minimum zu reduzieren. Dabei leisten sie IMHO hervor-
> > ragende Arbeit.
>
> Auf einem gut benutzten System wird vermutlich nicht mal das
~~~~~~~~~~
> Minimum erreicht. Weitere Vorkehrungen (Firewall) sind daher
> notwendig.

Du hast Dich selbst anscheinend NICHT davon ueberzeugt? Mach' 'mal, und
berichte DANACH!

> Warum sich fuer das eine oder andere entscheiden?
> Besser: Dienste abschalten *und* Firewall verwenden.

NEIN, keine "Firewall". Und auch nicht verwenden!

Fuer XP: den dummerweise als "Windows Firewall" bezeichneten Paketfilter
einSCHALTEN.
Dann darfst Du allerdings allen %ONU% mit handelsueblichem WLAN-Router,
die sowohl LAN als auch WLAN nutzen (und damit zwei IP-Subnetze),
erklaeren, wieso sie keine "Verbindungen" zwischen LAN und WLAN aufbauen
koennen.

Fuer 2K, wenn aus irgendwelchen dummen Gruenden nur "NTSVCFG /LAN" benutzt
werden kann und die Internetanbindung per DFUe-Netzwerk erfolgt: z.B.
http://home.arcor.de/skanthak/dialup.html

> Deine Ideologie steht Dir im Weg ... Andreas

Ich lese hier nur einen Idi^Heologen: Dich!
Du versuchst noch nicht 'mal, die "ideale" Konfiguration durchzusetzen.

Stefan
[
--
Die unaufgeforderte Zusendung einer Werbemail an Privatleute verstoesst gegen
§1 UWG und §823 I BGB. Beschluss des LG Berlin vom 2.4.1998 (AZ: 16 O 201/9
Das unverlangte Versenden von Werbemail ist nach §1 UWG wettbewerbswidrig.
Beschluss des LG Traunstein vom 18.12.1997 (AZ: 2 HKO 3755/97)


.

Andreas M. Kirchwitz wrote:
> Deine Ideologie steht Dir im Weg ... Andreas

Du hast ja *so* Recht.

cu
59cobalt
--
"All vulnerabilities deserve a public fear period prior to patches
becoming available."
--Jason Coombs on Bugtraq
.