Sicherheitslösung...aber welch denn nun?

Jo, Meinungen zur Sicherheit gibts wahrscheinlich so viele wie es Menschen gibt.


Meine erfahrungsgemäss funktionierende und noch dazu billige Vorgehensweise:

1. Nur mit eingeschränkten Benutzer-Rechten surfen! Für jeden User ein eigenes eingeschränktes Benutzerkonto anlegen.

Für Programme, für die man unbedingt Adminstrator-Rechte braucht, ein kleines Script verwenden. In dem Script steht dann
runas /User:Administrator /savecred "C:\Programme\....Pfad-zum-Programm...\programmname.exe".
Dese Zeile in eine Text-datei schreiben, und die Textdatei umbenennen in "Programmname.cmd" und auf den Desktop legen. Beim ersten Aufruf des Programmes muss der Administrator sein Passwort eingeben, ab dann nicht mehr (XP Professional).
Das Script startet das Programm mit Administrator-Rechten.

2. Verwende einen Router, zb. DSL Router mit SPI Firewall. Schützt vor den üblichen Wurm- und Portattacken aus dem Internet, und du kriegst nicht ständig nervige Meldungen die man eh meist nicht interpretieren kann. Da kannst dann auch beide PCs gleichzeitig anschliessen, ohne dass der erste immer laufen muss. Die Dinger kosten fast nix mehr!
Die Windows Firewall ist meiner Meinung nach besser als ihr Ruf - doch ein Router ist ein Router! Soll mal einer probieren die XP SP2 Firewall zu knacken. Das Problem ist eher, dass man sie aus versehen deaktiviert und es vergisst, oder dass man Ausnahmen zulässt, die den Zugriff auf den Rechner aus dem Internet erlauben könnten. Dass die XP Firewall durch Software-Bugs überwunden werden könnte liegt freilich auch im Bereich des Möglichen, ist nach derzeitigem Stand aber nicht sehr wahrscheinlich bzw. mir ist nichts konkretes bekannt.

3. Antivirus: Entweder AOL Kaspersky Active Shield oder Antivir - beide kostenlos und die besten die der Free-Ware Markt hergibt. Dass man Antiviren Software kaufen muss sehe ich garnicht ein. Die Freeware Teile schneiden gar manchmal besser ab als Kauf-Ware. Zusätzlich wäre Spybot Search & Destroy eventuell sinnvoll, wenn man öfters aus purer Langeweile Freeware-Software denkt installieren zu müssen (zb. Aquarium Bildschirmschoner und ähnlichen Quark).

4. Mach Images von deinen PC, solange sie tiptop laufen oder gleich nach ner Neuinstallation incl. aller Programme (Acronis oder Drivesnapshot). Das ist einfach, und du kannst im Problemfall (falls der REchner mal lahm wird oder irgendwas spinnt) binnen 10Min wieder ein sauberes System wiederherstellen. Nichtnur bei Virusbefall sinnvoll - die Windows Kisten spinnen doch so gut wie alle wenn sie mal ein Jahr gelaufen sind, auch wenn kein Virus drauf ist.

5. Emails über Web managen. Die Provider wie web.de oder gmx.de usw haben ja Spamfilter die das meiste rausfiltern, und auch virencheck bei anhängen dabei. Keine unbekannten Emails öffnen bzw. die Anhänge.

6. Nicht auf dem "HauptPC" ständig Software austesten - das geht schnell in die Hose wenn mal was nicht passt. Lieber VMware Server, VMware Player oder VirtualPC mit virtuellem XP System benutzen zum rumprobieren. Kost auch nix und läuft sehr gut.

7. Aktiviere automatisches Windows Update.

8. Autostart Programme entrümpeln mit Start...Ausführen...msconfig.exe
Dann bootet der Rechner schneller wenn nicht der ganze überflüssige Mist mitgestartet wird.

G' Morgen,
also ein kl. Gegenspruch muss ich machen:
Also das stimmt so nicht....also gestern hat ich es LIVE gesehen. Auf den Rechner lief (Vergaganenheit) AntiVir ohne Probleme. E-Mails wurden über OE gelesen und mit IE bzw. FF gesurfet. Auf jeden Fall ruft die Person mich an und sagt der Computer ist in letzter Zeit langsamer geworden. Also gut, hingegangen und gleich einen kompletten Virenscan vom Computer veranlasst. Nach ca. 1 Std. (waren ca. 130GB) wurden 3 Viren und 2 Trojaner gefunden. Ok...also die Dateien bereinigt bzw. gelöscht. Bei zumerken ist, dass 2 Viren per Mail eingeschlichen sind (Erklärung? der Pfad war richtig Outlookpfad, wo temporären Dateien abgespeichert werden, wenn man diese direkt im OE öffnet). Danach mochmal einen Check mit AntiVir gemacht => nichts gefunden!!
Also Computer neugestartet => immer noch gleich (nach der Ansicht der Person). Also gut, AntiVir gelöscht und Sophos AntiVirus (Demo) heruntergeladen, installiert und geupdatet. Nun nochmal einen kompletten Check des Computer veranlasst. Nach ca.15 Minuten hatte er nochmal 4 Viren, 3 Trojander und 1 Anwendung gefunden!
Also hier macht sich spätestens der Unterschied zwischen Freeware und kostenpflichtig.


Grüße
Dani

Grüße
Dani

Tja - es gibt nie 100% Sicherheit was Viren angeht.
Kann sein dass in diesem Fall Antivir die Schädlinge nicht fand, aber Sophos fand sie.
Im nächsten Fall finden Symantec und Kaspersky den Schädling nicht, aber GData Antivirus findet ihn. Ob man für paar % MEHR Sicherheit jedes Jahr 100€ ausgeben will muss jeder selber entscheiden.
Viel interessanter ist die Frage - wie kamen die Schädlinge drauf? Hat der Anwender regelmässig mit Admin-Rechten gesurft u. gearbeitet? Dann muss er sich nicht wundern.

Natürlich reicht es auch nicht, NUR einen Antivirus installiert u. aktuell zu halten - er sollte von Zeit zu Zeit auch die Platte komplett durchscannen.
Bei Verdacht (was bei mir aber so gut wie nie vorkommt) mache ich einen Online Check auf www.symantec.de "Security Check" wo eventuell infizierte Dateien lokalisiert u. aufgelistet werden. Diese kann man dann lokal löschen, wenn man mit BootCD oder im abgesicherten Modus startet.

Bei Arbeit mit eingeschränkten Benutzerrechten, und wenn man nicht auf Warez-, Sharez-, Serialz-, Free-Porno- und Torrent/Emule Filesharing Seiten aufsucht ist die Chance sich zu infizieren recht gering.
Viele Schädlinge kommen schon über Javascript allein beim Besuch der Webseite, wenn man mit Adminrechten surft. Ansonsten sind Emailanhänge wie gesagt ein beliebtes Einfallstor für Schädlinge, die weitere Schädlinge nachladen.

Ein Restrisiko bleibt immer, egal wie man es macht. Es geht nur darum, den richtigen Kompromiss für seine eigene Situation zu finden, zwischen notwendigem Sicherheitsaufwand, und Handhabbarkeit.

Lesestoff? Bitte sehr!


http://www.cidres-security.de/index.html
http://www.wintotal.de/Artikel/pcsicherheit/pcsicherheit.php

Naja...aber einen gewissen Standard erwarte ich von einem Virenscanner (egal ob FW oder KP). Die Viren waren laut Symantec Base ca. 1-2 Jahre alt. Die sollte eigentlich jeder Scanner finden, oder?? Nicht das du jetzt denkst, dass der Computer auch so alt ist (2 Monate).
Auf welchen Seiten die Family surft weiß ich nicht so genau. Im Verlauf war nichts was auf Shareseiten hinwies (war auch mein Quelle). Aber ein Verlauf kann man manipulieren!

Weitere Punkt, wenn ich ein E-Mailprogramm zum Mails verwalten nehme, dann sollte der Virescanner die Mails beim "senden" bzw. "empfangen" scannen und nicht erst, wenn die Mail aufm Rechner ist (Antivir Free hat diese Funktion nicht - AntiVir Pro schon).

Grüße
Dani

Acronis z. B. kann mit der Acronis Boot CD gestartet werden. Es kann im einfachsten Fall einfach ne ganze Partition oder gar ganze Platte wegsichern und genauso einfach mit wenigen Klicks wiederherstellen. Kostet glaube 40Eu.
www.acronis.de

Drivesnapshot ist freeware, aber genauso einfach und zuverlässig.

Acronis z. B. kann mit der Acronis Boot CD gestartet werden. Es kann im einfachsten Fall einfach ne ganze Partition oder gar ganze Platte wegsichern und genauso einfach mit wenigen Klicks wiederherstellen. Kostet glaube 40Eu.
www.acronis.de

Drivesnapshot ist freeware, aber genauso einfach und zuverlässig.

"Warum Firewalls nichts nützen und Virenscanner nur bedingt helfen"
http://iefaq.info/index.php?action=artikel&cat=40&id=104&ar ...

Chaos Computer Club Ulm
http://ulm.ccc.de/ und http://www.ulm.ccc.de/old/chaos-seminar/windows-security/recording.html

"Unnötige Windows Dienste abschalten"
http://www.dingens.org/
http://www.ntsvcfg.de/

"Linkblock"
http://www.ntsvcfg.de/linkblock.html

onegasee59

dingens.org und ntsvcfg.de zu empfehlen, halte ich für contraproduktiv. Die Scripte richten bei unerfahrenen Usern mehr Schaden als Nutzen an. Dann kommt hinterher wieder : "Hilfe, mein Rechner funktioniert nicht mehr!!!!!!!".
Das ist meine persönliche Meinung!

Für die Dienste-Konfiguration empfehle ich http://www.wintotal.de/Tipps/Eintrag.php?RBID=2&TID=680&URBID=1 ...

Von den Diensten lieber auch die Finger weg - da gibz manchmal die sonderlichsten Abhängigkeiten, u. wenn man nicht genau weiss was man tut, geht halt hinterher etwas nicht u. keiner weiss warum.

Ferner ging es ja um Sicherheit im Heimnetz - ich denke mehr gibz zu DEM Thema nicht zu sagen.

@36539

Was heisst dass FWs nix nützen? Pure Effekthascherei.
Beim Spybot Wurm war die Firewall das einzige das den Wurm abhielt den Rechner zu knechten. Die FWs können Day-Zero-Wurm-Fürze einfach blocken. So siehts aus.
Ferner sind geblockte Ports geblockte Ports. Wenn der User Dienste laufen hat, von denen er garnicht weiss dass sie existieren ist es gut etwas "davor" zu haben, was erstmal alles blockt was nicht explitzit per portforwarding erwünscht ist.

Dass man über den Browser Schädlinge ziehen kann oder per Emails ist allgemein bekannt. Hat aber mit der Firewall Funktionalität an sich reichlich wenig zu tun.

Nur weil es bestimmte Techniken gibt, Firewall-Strategien zu "überlisten" (Beispiel Skype)heisst das noch lange nicht dass sie nix nützen.

Probleme seh ich vor allem mit den "neuen" Varianten von Schädlingen - Rootkits u. ä. was ein Virenscanner oft garnicht erkennen kann.

Es ist wie es ist - es gibt keine 100% Sicherheit, ausser den PC ausmachen.
Alles was man tun kann ist das Risiko zu minimieren - und aufzupassen dass man nicht zu paranoid wird.

Nein, ich meinte "Acronis Fettabsauger". Natürlich True Image.

@45426
Inwiefern richten diese Scripte Schaden an - Beweise?

@einfach-mal-die-klappe-halten
bitte richtig lesen es geht um Personal Firewalls. Firewalls sind nicht unnütz, aber nicht das was uns die Hersteller glauben machen wollen. Und das stellt "Linkblock" anschaulich dar.

onegasee59

> Inwiefern richten diese Scripte Schaden an - Beweise?

Ich muss nichts beweisen, wir stehen hier nicht vor Gericht.
Es sind meine jahrelangen Erfahrungen. Du kannst es glauben oder lassen.

Was das "richtig lesen" angeht, empfehle ich dir das auch. Unvollständig zu zitieren ist nicht die feine Art.

Schade - war nur als einfache ernstgemeinte Frage gedacht. Aber deine Reaktion reicht mir auch so.
Nein ich glaube dir das auch nicht. Im System bereits vorhandene Fehler werden durch die Scripte natürlich nicht behoben. Ich bin nicht beruflich im Bereich EDV-tätig, aber ich betreue (mehr oder weniger) jetzt mittlerweile über 5 Jahre Rechner in meinem Bekannten- und Freundeskreis. NICHT einer dieser Rechnerinstallationen (mittlerweile mehr als 50) hat durch den Einsatz der Scripte einen Schaden erlitten. Ich bin mit beiden Autoren in Kontakt und eine Systemschädigung alleine durch den Einsatz der Scripte ist nicht bekannt. Alle Einstellungen können jederzeit von beiden Srcipten wieder vollständig rückgängig gemacht werden. Der interessierte User sollte sich in jedem Falle die Scripte anschauen. Sie machen nichts anderes wie in deinem Link angegeben, berücksichten aber zusätzlich die tatsächliche Arbeitsumgebung des PC-System. Wann sie nicht und warum dann nicht eingesetzt werden sollten bzw. nicht (mehr) notwendig sind, wird ebenfalls ausführlich erklärt.

Nochmal zur Klarstellung was ich meine:
Personal Firewall täuschen dem "unerfahrenen" (Privat)-User Sicherheit vor die sich nicht bieten können. Die Hersteller machen dem unerfahren User glauben man müsse nur ihre Software installieren und per Klick sein man dann alle Gefahren los. Dieser Glaube in das Versprechen der Hersteller ist viel gefährlicher als gar keine Personal Firewall zu installieren. Etwas völlig anders ist die XP-eigene Firewall die nach einem völlig anderen Prinzip wie Personal Firewalls funktioniert. Sie ist gewiss nicht das Non-Plus-Ultra, aber in Verbindung mit einem (wie auch von dir schon empfohlenen) ausschließlichen Internetzugang als Nicht-Administrator, einem Virenscanner (gleich welcher), dem Abschalten unnötiger Dienste in Abhängigkeit vom Netzzugang des betroffenen Systems und weiterer Massnahmen 1* aber zig mal besser als jede Personal Firewall.

1*
http://www.ntsvcfg.de/index.html#_config
http://www.ntsvcfg.de/#_pfw

Und ich zitierte korrekt genau auf das worauf ich gerne einen Antwort gehabt hätte, also unterstelle mir doch Bitte keine un(feinen) Absichten.

meinerseits OED (denn das Thema ist wirklich schon bis zum Erbrechen behandelt worden)
onegasee59

Ich möchte mal gern wissen, wieso ich dir meine fettgedruckt: persönliche Meinung beweisen müsste.
Als Zusatz steht dort auch was von unbedarften Usern, die hinterher nach Hilfe rufen, weil ihr Rechner nicht mehr geht.
Und das zu unterschlagen ist unlauter. Mit Schaden ist kein physischer Schaden gemeint, sondern das Nichtfunktionieren eines mit diesen Scripten behandelten Rechners.


Schön für dich, sei glücklich damit. Hauptsache, was erzählt. Mir reicht es schon, wenn ich "T." lese. Dann denke ich komischerweise immer an einen Feuermelder.
Mir geht dieses gebetsmühlenartige "Konzept"-Gelaber unheimlich auf den Senkel, und was man von selbsternannten "Sicherheitsexperten" zu halten hat, die auf Fehler in der Firewall von XP-SP2 verweisen und verlinken, die seit Jahren (2004) durch Patches behoben sind, sei mal dahingestellt.

Nicht nur Personal-/Desktop-Firewalls sind angreifbar, auch die sogenannten Hardware-Firewalls, die es gar nicht gibt, weil eine Firewall-Lösung immer eine Software ist, die konfiguriert werden muss, lässt sich manipulieren. Vieles was auf den Seiten steht, stimmt selbstverständlich. Leider liest man dort aber auch ziemlich viel Gelaber.
Aber du und die Autoren haben natürlich den Stein der Weisen gefunden.

> Etwas völlig anders ist die XP-eigenen Firewall...

Ach, wirklich? Das ist aber toll. Nennt sich Paketfilter und verwendet den IPSec-Stack. Nur auf den bewussten Seiten heißt die immer noch ICF (Internet Connection Firewall), obwohl die schon lange offiziell Windows-Firewall genannt wird. Soviel dazu.

Du solltest vielleicht nur zu den Dingen Stellung beziehen, von denen du auch Ahnung hast. Nachplappern kann jeder.


Diskussion beendet. (EOD)

Weil Du behauptest das die Scripte Schaden anrichten und Du das nicht beweisen kannst.
Deine persönliche Meinung ist hier öffentlich.
Unlauter ist das was Du unbewiesen behauptest, denn nicht mal "unbedarfte" User machen mit den Scripten ihr Sytem kaputt. Warum das nicht gar nicht geht habe ich begründet. Wenn allerdings vorher schon Systemprobleme bestehen hat das mit der Anwendung der Scripte nichts zu tun. Bitte unterscheide das.
1.
Ich habe mit keinem Wort behauptet das Du das so gemeint hast - wo bitte hab ich das geschrieben?
2.
Lassen sich alle Einstellungen der Scripte mit diesen selbst problemlos wieder rückstellen.
Ja klar immer das Totschlagargument mit dem persönlichen Angriff zum Schluß.
seufz...Auch wieder so einen unbewiesene Behauptung.
Ansonsten --> http://www.ntsvcfg.de/index.html#_fwall - Lies bitte nochmal was da steht.

EEOD
Gute Nacht
onegasee59

hehe - der Thread wird ja immer heisser.
Tja, wenn mehrere Klug###er aufeinandertreffen, kann ja auch nur ### dabei rauskommen.

Mein Gott - dass die Security-Software Hersteller den User in Sicherheit wiegen wollen, das nennt der Volksmund Marketing. Was interessierts?
Wenn ein Autohersteller seinen Kunden erzählt "mit diesem neuen Automodell ist ihr Bremsweg im Notfall nochmal verkürzt, und Ihre Sicherheit gewährleistet" heisst ja das dennoch nicht, dass der Autofahrer davon ausgehen kann, dass er auch gegen ne Mauer mit 120 fahren kann ohne Schaden.

@45426
Die XP Firewall ist nix anderes als ne Statefull Inspection Firewall.
Was das mit dem IPSEC Stack zu tun haben soll ist mir schleierhaft.

IPSEC ist eine Protokollsuite mit Schlüsselaustausch (Siehe IKE Protokoll / Diffie Hellman), Aushandlung von SAs (Negotiation der Parameter, die der zugreifede Client unterstützt) und Sicherung der Datenintegrität (ESP bzw. AH / SHA1 oder MD5 meist), Verschlüsselung der Daten (zb. AES, 3DES).
Ein Protokoll das VPN Verbindungen nutzen.
Was DAS mit der XP Firewall zu tun haben soll will sich mir nicht erschliessen, liebe Freunde der Kleinkunst.

@administrator.de Admins: Die administrator.de-Erklärung von IPSEC hat einen kleinen Fehler: "Während es für SHA-1 Berichte über (theoretische) Security-Schwächen gibt, gilt MD-5 als in jeder Beziehung unangreifbar." Es ist genau umgekehrt. SHA1 gilt als sicherer als MD5. Allerdings steht auch SHA1 mittlerweile in "leichter" Kritik u. wird wohl irgendwann durch SHA2 abgelöst.

Hi zusammen,

ihr solltet vielleicht mal abgrenzen, von was ihr genau redet. Grundsätzlich unterscheidet man zwischen zwei Firewalltypen:

(1) Netzwerkfriewall (diese wird üblicherweise als "Hardware" Firewall bezeichnet), ist daran zu erkennen, dass sie mindestens 2 Netzwerkschnittstellen besitzt. Findet sich z.B. in den meisten DSL Routern, Linux Systemen (wie z.B. IPCop), MS ISA Server usw. Dieser Typ "arbeitet" meist am Gateway (zum Internet oder einem anderen Netzwerk)

(2) Desktop Firewall (üblicherweise als Software Firewall bezeichnet), läuft üblicherweise auf einem Client mit nur einem Netzwerkinterface.

(das war die Kurzfassung, mehr findet sich z.B. hier: http://de.wikipedia.org/wiki/Firewall )

Meiner Meinung nach ist (2) allerhöchstens als zusätzlicher Schutz zu gebrauchen, da Schadsoftware gar nicht erst bis zum Client durchkommen sollte und es durchaus dann
auch schon zu spät sein kann.

Gruß

cykes

Die "normalen" Hardware Firewalls sind nix anderes als Boxen auf denen ein Betriebssystem (meist kleines Linux oder BSD Derivat) und Firewall Software läuft.

Dagegen sind "echte" Hardware Firewalls in der Lage, die FW-Rulez in Hardware zu schreiben bzw. kompilieren, was die Performance deutlich erhöht. Nur für grosse Unternehmen interessant bzw. nützlich.