» Language: german version (current) / english version «

Windows-Dienste sicher(er) konfigurieren

Einführung

Windows 2000 und XP gehören, ebenso wie Windows NT4 und Windows 2003 Server, zur Windows NT Familie. NT ist die Abkürzung für "New Technology" und wurde von Microsoft 1993 zusammen mit dem neuentwickelten 32bit-(Server)-Betriebssystem Windows NT 3.1 eingeführt.
Jedoch beging Microsoft hierbei einen folgenschweren Fehler: (nichtbenötigte) Netzwerk-Dienste waren standardmäßig aktiviert, von außen erreichbar und somit auch angreifbar. Somit wurde eine wichtige Grundregel der Netzwerksicherheit mißachtet: "Biete keine Dienste an, die Du nicht brauchst". Dienste (engl.: services) sind Programme, die beim Laden des Betriebssystems mitgestartet werden, ohne dass ein Benutzer sich anmelden muss. Sie stellen Funktionen bereit, die von anderen Programmen genutzt werden können.

Ein Einzelplatzrechner benötigt beispielsweise keine Netzwerk-Dienste. Daher ist es wichtig, Rechnersysteme sicherer zu konfigurieren, um Angreifern nur geringe Möglichkeiten zu geben, Schäden an der IT-Infrastruktur im Unternehmen oder am Privat-PC anzurichten.

Achtung: Für Computer in Netzwerken (LANs) ist dieses Script NICHT geeignet!

Um diese Sicherheit auch in der Praxis anwenden zu können, wurden unter kssysteme.de zwei Anleitungen veröffentlicht, die eine sicherere Konfiguration der Dienste (Services) unter Windows 2000 und Windows XP ermöglichen. Es wurde unter anderem die Umkonfiguration der NT-Dienste hinsichtlich Starttyp beschrieben, um nicht benötigte Dienste über das Netzwerkinterface nach außen erst gar nicht anzubieten und somit das Sicherheitsrisiko zu minimieren.

Da in den o.g. Artikeln fast alle Dienste aufgelistet sind, ist es bei mehreren NT-Systemen sehr mühsam, die immer wiederkehrenden Abläufe manuell durchzuführen. Oft fügen sich Flüchtigkeitsfehler bei der Umsetzung hinzu. Um dies komfortabler zu gestalten, und Konfigurationsfehler weitestgehend zu vermeiden, wird im nachfolgenden Abschnitt ein Script vorgestellt, welches

• den Starttyp (automatisch, manuell, deaktiviert) jedes Dienstes anpaßt,
• kritische Dienste nach Möglichkeit sofort beendet,
• DCOM deaktiviert und Standardprotokollbindungen entfernt,
• SMB ("Server Message Block") abschaltet und somit Port 445 schliesst (nur zutreffend, wenn Option 2 entsprechend dem Schalter "/std" oder Option 3 entsprechend Schalter "/all" verwendet wird),
• "Distributed Transaction Coordinator" und "Nachrichtendienst" beendet und auf "deaktiviert" setzt,
• DHCP bei Nichtverwendung deaktiviert,
• NetBios an allen Netzwerk-Interfaces deaktiviert (ausser bei Option 1 entsprechend dem Schalter "/lan").

Wichtiger Hinweis: Es werden ausschliesslich windowseigene Dienste konfiguriert, sodaß diese, in Abhängigkeit der gewählten Option 1, 2 oder 3 entsprechend den Schaltern "/lan", "/std" oder "/all", von außerhalb nicht mehr erreichbar sind. Jedoch entbindet die Ausführung des Scripts einen NICHT von der zeitnahen Einspielung sicherheitsrelevanter Updates und Patches.

Was die Aufgaben eines Dienstes sind, wird unter http://www.different-thinking.de/windows_2000_dienste.php erklärt. Desweiteren wird unter http://www.microsoft.com/germany/technet/datenbank/articles/900048.mspx ("Bedrohungen und Gegenmaßnahmen: Sicherheitseinstellungen unter Windows Server 2003 und Windows XP") ein PDF-Dokument zum Download angeboten, in dessen Kapitel 7 genauere Informationen zu den jeweiligen Diensten nachzulesen sind.

Im nachfolgenden Abschnitt werden Parameter/Voreinstellungen näher erläutert, welche durch das Script angeboten werden.

svc2kxp.cmd - Version 2.2

Seit Januar 2004 stand die bisherige Version 2.0 zum Download bereit, welche gegenüber der Vorgängerversion vor allem in den Punkten Übersichtlichkeit, Anpassung, Sicherheit sowie Umfang deutlich verbessert wurde.
Nach Version v2.1 liegt nun die aktuelle Fassung v2.2 vor und soll diese Maßstäbe weiter fortsetzen. Diese ist auf die Änderungen durch Service Pack 2 für Windows XP abgestimmt. So deckt die aktuelle Fassung des Scripts ein noch breiteres Einsatzspektrum ab. Nachfolgende Tabelle soll einen Überblick über die Möglichkeiten der neuen Version geben:

Beispiel:
svc2kxp.cmd /lan (für Rechner im LAN / Netzwerk. Achtung: Funktionen der Netzwerkumgebung (z.B. browsing) gehen hierbei verloren!)
svc2kxp.cmd /std (für Einzelplatzrechner ohne LAN / Netzwerkanbindung, z.B. ein PC, welcher nur über ADSL-/Kabelmodem mit dem Internet verbunden ist.)

Es ist ausreichend, das Script nach größeren Änderungen der Systemkonfiguration (z.B. nach Einspielen von Service Packs, Updates,...) auszuführen und nur eines der drei Profile (/lan, /std oder /all) auszuwählen und anzuwenden. Für die Ausführung des Scripts ist die Datei "SC.EXE" notwendig, welche in Windows XP, im W2k/XP-ResourceKit als auch in VisualStudio.NET bereits enthalten ist oder bei bestehender Internetverbindung auf Wunsch durch das Script selbst heruntergeladen und installiert wird. Desweiteren kann sie unter ftp://ftp.microsoft.com/reskit/win2000/sc.zip oder http://www.dynawell.com/reskit/microsoft/win2000/sc.zip bezogen werden. Entpacken Sie danach die Datei SC.EXE nach Winnt/System32/ bzw. Windows/System32/.

Die Checkliste

Hiermit sei nochmals erwähnt, das das angebotene Script nur einen Teil der Maßnahmen von ntsvcfg.de und kssysteme umsetzen kann. Der andere Teil bleibt weiterhin Handarbeit. Was genau im Einzelnen noch vom Benutzer selbst zu ändern ist, und was bereits "automatisch" durch das Script erledigt wurde, ist in folgender Übersicht aufgeführt:

Legende:
   noch selbst abzuarbeiten bzw. zu überprüfen
   wurde durch das Script bereits geändert

Bekannte Probleme:

• Netzwerkprobleme nach Option "(4) RESTORE": Falls die Änderungen des Scripts svc2kxp.cmd mit der Option (4) Restore zurückgenommen wurde, kann es dennoch zu Netzwerkproblemen kommen. So ist es u.U. nicht möglich, bei deaktiviertem NetBIOS dennoch mittels der Funktionen "Netzlaufwerke verbinden" oder "net use LW \\IP-Nummer\Freigabename" auf Netzwerkressourcen zuzugreifen. Ursache hierfür ist der Registry-Eintrag SMBDeviceEnabled, welcher nicht korrekt entfernt werden konnte. Entfernen Sie daher bei Problemen diesen Eintrag von Hand oder mit Hilfe dieses SMB-Patches (ZIP, 1kb, MD5: 155350F1DAA196A4325E7C8BB0F481C6).
• Taskplaner: Anwender von Windows XP sollten das SP2 installieren! Beim Start des Taskplaners kann es in bestimmten Fällen zu einer Fehlermeldung ("Falscher Parameter") kommen. Um das Problem zu beheben, laden Sie sich die Datei ntsvcfg_fix.zip herunter, entpacken die darin enthaltene ntsvcfg_fix.reg und importieren diese mittels Doppelklick. Allerdings werden hierdurch Port 135 (RPC) sowie Port 1025 wieder geöffnet (mehr >>)
• "Prefetching": Das in Windows XP verwendete "Prefetching" zur Optimierung des Bootvorganges kann Probleme bereiten, falls der Dienst "Taskplaner" beendet wurde. Wenn Sie diesbezüglich Fehlermeldungen erhalten, diese Funktion aber weiterhin nutzen möchten, so setzen Sie den genannten Dienst auf "automatisch" und starten diesen neu. (mehr >>)
• DNS: Unter Windows 2000 SP2 kann es in seltenen Fällen zu Problemen mit der DNS-Namensauflösung kommen (mehrmalige Versuche sind notwendig bzw. keine Auflösung möglich). Windows 2000 SP4 kann dieses Problem beheben.
• DHCP: Die DHCP-Erkennung arbeitet unter Umständen nicht zuverlässig, sodaß der Dienst "DHCP-Client" fälschlicherweise beendet wird. Falls Ihr Rechner DHCP benötigt (z.B. bei Verwendung von DVB-Karten / Internetdiensten via Satellit, DSL-Router oder Kabelmodem), überprüfen Sie, ob der Dienst "DHCP-Client" gestartet ist.
• ICS / XP-Firewall: In Verbindung mit der Internetverbindungsfreigabe (Internet Connection Sharing, ICS) in Windows 2000 und XP sind vereinzelt Probleme berichtet worden. Demnach können die Clienten nicht mehr über den ICS-Rechner das Internet nutzen. Ursache sind meist die Dienste "Gemeinsame Nutzung der Internetverbindung", "SSDP-Suchdienst", "Universeller Plug & Play Gerätehost" sowie in seltenen Fällen der Dienst "DHCP-Client". Diese werden durch das Script deaktiviert bzw auf manuell gesetzt und müssen erneut aktiviert werden, falls auf ICS nicht verzichtet werden kann.
• Netzwerkdrucker/-freigaben: Trotz der Option "(4) Restore" kann es zu Problemen mit Netzwerkdruckern kommen. Überprüfen Sie hierzu, ob in den erweiterten TCP/IP-Eigenschaften der Netzwerkkarte, über welche der Drucker angesprochen wird, NetBIOS aktiviert ist.
• Netzwerkumgebung: Nach Verwendung von (1) LAN werden in der Netzwerkumgebung keine anderen Computer mehr angezeigt. Zur Behebung starten Sie bitte den Dienst "Computerbrowser" sowie eventuell zusätzlich die "Windows-Firewall" neu. Falls keine statische Namensauflösung erfolgt, muss ebenfalls "NetBIOS" aktiviert werden.
• IIS kann nicht gestartet werden: Zur Behebung des Fehlers gehen Sie nach der Anleitung für den Taskplaner vor.
• Outlook kann nicht mehr auf MS Exchange Server zugreifen: Grundsätzlich ist das Script zur Anwendung auf Rechnern in einer Domäne/Netzwerkumgebung nicht geeignet. Sollten Sie trotzdem die Option "(1) /LAN" angewandt haben, kann Outlook seitdem nicht mehr auf Exchange-Server zugreifen. Es erscheint die Fehlermeldung "... could not open the information store". Zur Problemlösung importieren Sie die Datei dcomp.reg, welche sich im Verzeichnis %USERPROFILE% befindet.
• Sondertasten bei Tastaturen (WinXP): In einzelnen Fällen kann es vorkommen, daß Sondertasten (z.B. lauter/leiser, Mute, Play/Pause) von Tastaturen (u.a. Logitech Cordless Desktop Optical) nicht mehr reagieren. Die Ursache liegt im Dienst "Eingabegerätezugang" (HidServ). Dieser wird standardmäßig durch Windows XP sowie dem Script deaktiviert. Aktivieren Sie diesen Dienst von Hand, falls Sie die Sondertasten Ihrer Tastatur verwenden möchten.
• WindowsUpdate v5 (WinXP): Mit dem ServicePack 2 für Windows XP wurde auch WindowsUpdate erneuert und liegt mittlerweile in der Version 5 vor. Um die neue Version nutzen zu können werden ab sofort die Dienste Automatische Updates sowie Intelligenter Hintergrundübertragungsdienst benötigt. Beide Dienste werden bei Verwendung von "(3) /ALL (hardening)" deaktiviert. Möchten Sie WindowsUpdate v5 nutzen, müssen die o.g. Dienste wieder aktiviert werden.
• "ATI - Grafikkartentreiber": Die Installation und Deinstallation von "Catalyst"-Treibern kann zu Problemen führen, da der ATI-Installer aus nicht näher bekannten Gründen zwingend RPC (mit Bindung an LAN-Interface) und DCOM (einschließlich Distributed Transaction Coordinator) benötigt. "Omega"-Treiber sind davon nicht betroffen.
• "Ausführen als..." nicht möglich: Verantwortlich für das Starten von Prozessen unter alternativen Anmeldeinformationen ist der "Dienst 'Ausführen als'". Dieser muss zur Verwendung gestartet sein.
• CAPI-Probleme: Sollten nach Anwendung des Scripts, insbesondere unter Verwendung von Windows 2000 und der Option "(3) ALL", Probleme mit der (ISDN-)CAPI auftreten ("ISDN Treiber nicht geladen"), so hilft es meist, die Datei "dcomp.reg" (im Verzeichnis %USERPROFILE%\ntsvcfg) zu importieren und anschließend den Rechner neuzustarten. Desweiteren sollte überprüft werden, ob der Dienst Remoteprozeduraufruf auf "automatisch" eingestellt und gestartet ist.
• Bootvorgang erheblich verzögert: Nach Ausführung des Scripts kann es u.U. zu einer deutlichen Verzögerung des Bootvorgangs kommen. Vergeben Sie zur Vermeidung dieses Problems feste IP-Adressen oder aktivieren & starten Sie den Dienst "DHCP-Client".

Überprüfen Sie nach einem Neustart, ob durch die o.g. Maßnahmen keine von außen erreichbaren Ports geöffnet wurden! Windows-Dienste können auch nachträglich über Systemsteuerung ->Verwaltung -> Dienste konfiguriert werden. Windows NT4 sowie Server-Versionen werden durch das Script nicht unterstützt! Für W2k3 sei als Leitfaden Windows Server 2003 Sicherheitshandbuch erwähnt.

"Alles OK?"

Zur Überprüfung, ob der Rechner noch unnötige Dienste zum Internet anbietet (Status: 'offen'): http://webscan.security-check.ch/ sowie http://www.linux-sec.net/Audit/nmap.test.gwif.html. (Hinweis: Diese Tests sind nicht über jeden Internet Provider möglich, da einige den Zugang über Proxies bereitstellen, und somit der eigene Rechner nicht überprüft werden kann.)

Sind noch offene Ports vorhanden? Hier eine Übersicht, was möglicherweise die Ursache sein könnte:

• Port 135 - Nachrichtendienst, Taskplaner, Distributed Transaction Coordinator, DCOM (inkl. Protokollbindungen)
• Port 137..139 - NetBios (kann in "TCP/IP-Eigenschaften -> [x] NetBIOS deaktiviert" abgeschaltet werden)
• Port 445 - SMB, wird für Netzwerkfreigaben über TCP/IP benötigt (kann mit Hilfe der Option "3" entsprechend dem Parameter "/all" geschlossen werden)
• Port 1025 - Taskplaner (scheduler) u.a.

Weitere Konfigurationsmaßnahmen für Microsoft Windows

(1) Benutzerrechte verwenden (2K/XP/2K3)

Arbeiten Sie unter Windows 2000/XP immer mit Benutzerrechten und nie mit Administratorrechten. Voraussetzung dafür ist, daß NTFS als Dateisystem verwendet wird. Nur so können Sie weitestgehend verhindern, daß z.B. unerwünschte Software wie Dialer o.ä. auf ihr System gelangen kann und/oder Schäden am Systemverzeichnis entstehen.

• Windows XP Home: Sie sollten unbedingt überprüfen, ob für den Administrator-Account ein Passwort vergeben wurde. Standardmäßig ist dies nicht der Fall, sodaß jeder, der lokalen Zugriff auf den Rechner hat, sich als Administrator anmelden und so möglicherweise dem System Schaden zufügen kann (Anm.: Netzwerk-Anmeldung ist bei Konten mit leerem Passwort nicht möglich).

(2) Betriebssystem ständig aktuell halten (95/98/ME/2K/XP/2K3)

Da fast täglich neue Sicherheitslücken in aktuellen Betriebssystemen entdeckt werden, ist es erforderlich, Windows 2000/XP immer auf dem aktuellen Stand zu halten. Dies geschieht am einfachsten mit Hilfe von Windows-Update . Neben der Behebung von Schwachstellen im Betriebssystem erhält man oft auch verbesserte Geräteunterstützung für aktuelle Hardware und/oder bessere Stabilität des Betriebssystems. Die alleinige Anwendung des Scripts reicht hierfür nicht aus, da dieses keine Dienste aktualisiert/patcht, sondern nur sicherer konfiguriert. Fehler in NT-Diensten und Programmen werden durch das Script NICHT behoben!

• Alle "Wichtigen Updates & Service Packs" installieren:
  => http://windowsupdate.microsoft.com, insbesondere das seit 9. August 2004 verfügbare SP2 für Windows XP
  Zur Überprüfung, welche sonstigen Patches noch fehlen:
  => http://hfnetchk.shavlik.com/ oder Microsoft Baseline Security Analyzer
  
  
• W32Blaster/RPC-Patch:
  Wichtig ist, das bei Verwendung von Windows 2000/XP der Rechner nicht eher mit Netzwerken oder dem Internet verbunden wird, bevor nicht sichergestellt ist, das die Lücke im RPC (Remote Procedure Call, Port 135) geschlossen wurde. Hierzu ist der entsprechende Patch OFFLINE* zu installieren:
  => http://www.microsoft.com/germany/technet/servicedesk/bulletin/bulletinms04-012.mspx
  Welcher RPC-Patch (noch) fehlt oder ob er korrekt installiert ist, kann man folgendermaßen überprüfen:
  => http://support.microsoft.com/?kbid=827363
  (* von einem nicht kompromittierten / nicht befallenen Windows-System oder von einer Linux-Distribution (z.B. einer Knoppix-CD) aus den Patch downloaden.)
  
  
• LSASS-Sicherheitsanfälligkeit
  Der Mitte April 2004 erschienene Patch KB835732 schließt Sicherheitslücken im Local Security Authority Subsystem (LSASS) auf Windows NT4/2K/XP/2K3 Systemen, welche sonst durch BufferOverflows das Ausführen von Code über ein Netzwerk ermöglichten. Der Wurm "Sasser" nutzt diese Schwachstelle, um seinen Code auf befallenen Rechnern auszuführen. Daher ist es dringend erforderlich, den angebotenen Patch sofort zu installieren.

(3) Dienste sicherer konfigurieren (2K/XP), Datei- und Druckerfreigabe aufheben

Wie NT-Dienste so konfiguriert werden, daß sie keine potentiellen Angriffsflächen bieten, wurde im ersten Kapitel dieser Webseite beschrieben. Desweiteren wird ein Script angeboten, welches die Konfiguration der Dienste erleichtert.

• Datei- und Druckerfreigabe (95/98/ME/2K/XP/2K3)
  Für direkte Internetverbindungen (DSL, ISDN, Modem) sollten der Client für Microsoft-Netzwerke sowie die Datei- und Druckerfreigabe in den Eigenschaften der entsprechenden Verbindung deaktiviert werden.

(4) Internet Explorer/Outlook Express nicht nutzen! (95/98/ME/2K/XP/2K3)

Von der Benutzung der bei Windows 2000/XP mitgelieferten Programme "Internet Explorer" sowie "Outlook Express" muss abgeraten werden, da die konzeptionellen Schwächen (u.a. ActiveX, Nichteinhalten von Standards oder sog. "Browser-Hijacking") sowie sicherheitskritischen Fehler dieser Programme ein zu großes Risiko darstellen. Auch das Zonenmodell bietet keinen ausreichenden Schutz (siehe auch: -> heise.online).

• Als Alternativen sind Mozilla Firefox (Web Browser), SeaMonkey (Web Browser, E-Mail Client und mehr...) oder Opera (Web Browser) sowie Mozilla Thunderbird (E-Mail/Newsgroup) zu empfehlen. Falls Java benötigt wird, kann die Java Runtime Environment (JRE) verwendet werden.
  
  
• Gleichzeitig ist es sinnvoll, den Internet Explorer (IE) für die weitere Verwendung als Browser 'stillzulegen'. Dies wird durch die systemweite, benutzerunabhängige Zuweisung von 127.0.0.1:9 (oder localhost:9) als Proxy-Server erreicht. Um weiterhin Windows Update (bzw. Office Update) nutzen zu können, müssen noch die entsprechenden URLs (*.windowsupdate.com;windowsupdate.microsoft.com;*.windowsupdate.microsoft.com;wustat.microsoft.com;officeupdate.microsoft.com; office.microsoft.com) in die Ausnahmeliste eingetragen werden. Am einfachsten erreicht man diese Konfiguration mittels der auf dieser Seite angebotenen .Reg-Datei . Bitte die jeweiligen Ausnahmelisten der beiden Dateien beachten, da diese u.U. sehr restriktiv sind, und ggfls. den eigenen Erfordernissen anpassen!
  Über folgende Gruppenrichtlinien sollten diese Einstellungen dauerhaft vor unautorisierten Veränderungen geschützt werden:
  Gruppenrichtlinien > Benutzerkonfiguration > Adminsitrative Vorlagen > Windows-Komponenten > Internet Explorer: Richtlinie 'Änderung der Verbindungseinstellungen deaktivieren' aktivieren.

(5) Aktivieren der Windows XP - Firewall

Windows XP bringt eine integrierte Internet-Verbindungs-Firewall (ICF) mit, welche auf im TCP/IP Stack integrierte IPSEC-Funktionen zurückgreift. Da sie bis SP1 nicht global aktiviert werden kann, muss dies für jede Verbindung einzeln erfolgen. Empfohlen wird, die XP-Firewall vor der Verbindung zum Internet zu aktivieren. So verhindert sie, wie auch das Script, das Netzwerkdienste von außen erreichbar sind. Im Gegensatz zu Desktop-Firewalls zeichnet sie sich durch einfachere Konfiguration sowie ein geringeres Risiko bezüglich der Manipulierbarkeit (Regeln ändern, deaktivieren,...) aus. Außerdem sollte überprüft werden, dass keine Ausnahmen zugelassen sind! Sollte Service Pack 2 installiert sein, beachten Sie bitte auch folgenden wichtigen Hinweis!

(6) Backups anlegen (95/98/ME/2K/XP/2K3)

Kompromittierung, Datenverlust durch defekte Dateisysteme oder Festplattenausfälle können jederzeit eintreten. Eine regelmäßige Sicherung (Backup) aller wichtigen Daten (Dokumente, Bilder,...) mit der richtigen Strategie hilft, finanzielle Schäden sowie Ausfallzeiten zu minimieren. Im Privatbereich bietet sich beispielsweise die DVD-RAM als preiswertes und relativ zuverlässiges Speichermedium für Backups an (mehr >>).

(7) Weitere Informationen:

• de.comp.security.misc,
• microsoft.public.de.security.heimanwender,
• MS TechNet: The Ten Immutable Laws of Security
• Der Linkblock

Andere Beiträge zum Thema Computersicherheit

Desktop/Personal Firewalls (PFW) - und warum man sie nicht braucht

• eine Firewall ist ein Sicherheitskonzept, und keine Software, die man installieren kann.
  Will man einen Rechner oder ein Netzwerk schützen, benötigt man zuallererst ein Konzept. Daher geht die Sprachregelung meist auch eher dahin, daß, wird von "der Firewall" gesprochen, zunächst dieses Konzept gemeint ist. Dieses beinhaltet u.a., das man sich fragt, was vor welcher Art von Angriff geschützt werden soll.
• eine Firewall, die auf einem System läuft, welches selbst geschützt werden soll, ist meistens sinnfrei, da sie es gerade verhindern muss, dass schädigende Datenpakete zum zu schützenden System vordringen können.
  So sind evtl. anfällige Komponenten, welche hätten geschützt werden sollen, bereits durchlaufen worden, bevor die Firewall überhaupt wirksam eingreifen konnte. Gleichzeitig wird die Komplexität des zu schützenden Systems erhöht.
• jedes zusätzliche Programm auf einem System erhöht die Anfälligkeit, da Programme und somit auch PFW's Fehler und Sicherheitslücken enthalten, die sich in ihrer Anzahl summieren können.
  Die Komplexität des zu schützenden Systems wird erhöht. Mehr Komplexität heißt aber zwangsläufig auch mehr Fehlermöglichkeiten und damit weniger Sicherheit.
• sie täuscht dem Benutzer eine falsche Sicherheit vor, da dieser denkt, er wäre jetzt rundum geschützt. In Wahrheit wird er allzuoft nur nachlässiger - dies wird häufig auch als "Risikokompensation" bezeichnet.
  Viele werden schon einmal Benutzer gesehen haben, die ohne eine Sekunde des Nachdenkens ein EMail-Attachment geöffnet hatten - und wenn man nachfragt, ob sie keine Bedenken haben, da könnte ein Virus drin sein, kommt fast immer "Wieso, ich hab doch ein Antivirus-Tool!".
• Personal/Desktop-Firewalls können problemlos umgangen und ausgeschaltet werden, ohne das der Benutzer hiervon etwas bemerkt.
  Vor allem die Regelanpassung zur Laufzeit ist als kritisch anzusehen, da Dialogboxen von Würmern o.ä. schneller 'weggeklickt' werden können, als das sie der Benutzer je zu Gesicht bekommt. Und Regeln, die der Anwender selbst definieren kann, sofern er diese auch versteht, kann auch ein Wurm verändern, da PFW's meist mit den Rechten des angemeldeten Benutzers ausgeführt werden.

Nachfolgend einige Beispiele von Software, auf die man besser verzichten sollte: Norton Internet Security und Norton Personal Firewall, BlackIce (Defender), ZoneAlarm, Sygate Personal Firewall, Lockdown2000, Outpost u.a....
(siehe auch -> http://www.udel.de/faq/, http://copton.net/vortraege/pfw/index.html)

Mehr zum Thema IT-Sicherheit: Das RUS-CERT

Um mehr zum Thema DV-Sicherheit zu erfahren, und/oder in diesen Angelegenheiten immer auf dem aktuellen Stand zu sein, sei folgende Seite der Universität Stuttgart empfohlen: http://cert.uni-stuttgart.de/

In eigener Sache: Presse & Medien

	"Sicherheit auf Tastendruck" "Wer sich mit der Dienstkonfiguration nicht selbst herumschlagen will, kann auch ein vorgefertigtes Script verwenden. Es stammt von der Website www.ntsvcfg.de, die sich dem Thema sichere Windows-Konfiguration widmet (...)." (Auszug; Artikel & Interview: PC Professional 12/2004).
	"Website der Woche" "Die Seite bietet ausführliche Informationen zur sicheren Konfiguration von NT-Diensten unter Windows 2000/XP. Hier ist zudem ein Script verfügbar, mit dem nicht benötigte Dienste komfortabler bearbeitet werden können.(...) Darüber hinaus findet sich im Link-Block eine Sammlung von guten Links zum Thema Sicherheit am PC." (Wintotal.de, 16.12.2004)
	"Superbatch Svc2kxp.cmd" "Die Batchdatei Svc2kxp nutzt letztlich nur die Windows-Bordmittel, dies aber auf über 1000 Zeilen Code, die alle unerwünschten Ports schließen und überflüssige Dienste abschalten. Svc2kxp bietet nach dem Start drei Sicherheitsstufen an, die Sie durch Eintippen der entsprechenden Nummer aktivieren" (PC-Welt, Ausgabe 10/2005, >>> )

Danksagung

An dieser Stelle gehört der Dank all denjenigen, welche durch Initiative, konstruktive Kritik, Anregungen und Verbesserungsvorschläge nachhaltig sowohl an der Gestaltung des Scripts, als auch an dieser Seite, mitwirkten:

Christian D. Anderson, Bernd Eckenfels, Wolfgang Ewert, Stephan Grossklass, Chris Haaser, Sybille Kahl, Stefan Kanthak, Besim Karadeniz, Frank Kaune, Rüdiger Lahl, Daniel Leidert, Johannes Lichtenberger, Joachim Meyer, Harald Mühlböck, Michael Paul, Jürgen Port, Manuel Reimer, Rüdiger Rösler, Björn Schliessmann, Alexander Skwar, Ralf Storm, Jörg Ulbrich, Karin Weber, Ansgar Wiechers, Thomas Winter.

An dieser Stelle sei darauf hingewiesen, das dieses Webangebot keinerlei kommerzielle oder gewerbliche Interessen verfolgt, sondern ausschließlich als privates, freiwilliges Angebot zur privaten Nutzung, insbesondere für die Nutzer der NewsGroup de.comp.security.misc, dient. Alle in diesem Webangebot genannten Bezeichnungen von Produkten sind Marken und Produktnamen der jeweiligen Anbieter. Kommerzielle Nutzung ist ohne vorherige Einverständniserklärung des Autors dieser Seite nicht erlaubt. Alle Angaben nach bestem Wissen und Gewissen aber unter Ausschluß jeglicher Gewähr.