Dedies-Board (https://www.dedies-board.de/wbb2/index.php)
- Sicherheit (https://www.dedies-board.de/wbb2/board.php?boardid=6)
-- Sicherheits Tips (https://www.dedies-board.de/wbb2/board.php?boardid=14)
--- Was tun - unnötige Dienste abschalten? (https://www.dedies-board.de/wbb2/thread.php?threadid=763)
Geschrieben von MobyDuck am 18.08.2005 um 08:41:
Was tun - unnötige Dienste abschalten?
Zum Thema "Neuaufsetzen" wird immer wieder empfohlen, unnötige Dienste abzuschalten, etwa durch das Script auf den Seiten
www.ntsvcfg.de oder
www.dingens.org. In einem Beitrag in der aktuellen c't wird diese Vorgehensweise in Frage gestellt. Man kann die Begründung kurz dahin zusammenfassen, dass die Abhängigkeiten der Dienste von MS nur unvollständig dokumentiert seien. Es sei daher gar nicht mit Sicherheit festzustellen, welche Dienste denn nun unnötig seien und welche nicht. Durch das Abstellen von System-Diensten sei daher der Schaden größer als der Nutzen.
In den einschlägigen Foren ging natürlich gleich die Diskussion los. Einige Experten (es gibt da welche mit und welche ohne "Anführungszeichen") haben es -angeblich- schon immer gewusst, andere sehen sich in ihrer Meinung bestätigt, Desktop-Firewalls einzusetzen, schließlich gibt es noch eine Gruppe, die sich der Meinung der c't nicht anschließt.
Mich würde nun eure Meinung interessieren: Ist das Abstellen von Diensten zu empfehlen?
Ich hoffe natürlich auf eine rege Diskussion.Um die Diskussion nicht von vornherein zu beeinflussen, verkneife ich mir im Eingangsposting erst mal meine persönliche Meinung, obwohl einige hier meine Meinung noch aus CPB-Zeiten kennen werden.
Geschrieben von Bishop am 18.08.2005 um 11:16:
Was soll man dazu sagen...
Wer die Seiten samt Erklärungen auf ntsvcfg Sinnentnehmend gelesen hat, kann nur zu einem Schluß kommen -
nicht benötigte Dienste abstellen.
Desweiteren ist nicht anzunehmen, daß jemand eine PFW Sinnvoll konfigurieren kann, aber nicht in der Lage ist, einen Dienst an oder abzuschalten.
Geschrieben von MobyDuck am 18.08.2005 um 14:30:
Noch mal kurz zur Erläuterung:
Nach Meinung des c't-Redakteurs sei ja gerade nicht feststellbar, welche Dienste im konkreten Fall unnötig seien und welche nicht. Außerdem würden viele Programme voraussetzen, dass an den Diensten nicht gefummelt wurde. Diese Programme würden daher unter Umständen nicht mehr sauber laufen (welche Proggies das sein sollen, verrät er leider nicht).
Geschrieben von dedie am 18.08.2005 um 18:13:
| Zitat: |
| Nach Meinung des c't-Redakteurs sei ja gerade nicht feststellbar, welche Dienste im konkreten Fall unnötig seien und welche nicht. |
|
Und deshalb soll man jeden Sch*** aktiviert lassen bloß weil ein "Experte" meint es sei ja nicht feststellbar was laufen muß?
Und wie bitteschön soll man dann nach meinung der"Experten" eine Firewall sicher konfigurieren, oder weiss die schon per default was benötigt wird und was nicht
Geschrieben von MobyDuck am 18.08.2005 um 20:32:
Gebe mal den Advocatus Diaboli
Man könnte sich doch folgendes überlegen:
Relevant wird die Frage nach unnötigen Diensten nur bei "Einbruchsversuchen" durch offene Ports. Ein offener Port als solcher ist jedoch noch nichts schlimmes. Kritisch wird es ja erst dann, wenn der dahinterstehende Dienst eine sicherheitsrelevante Lücke aufweist. Wenn mal eine Lücke in einem Dienst publik wurde, hat die bisherige Erfahrung gezeigt, dass der Patch regelmäßig vor der Malware da war. Also müsste es doch reichen, ein aktuelles Patchlevel einzuhalten. Und für den Fall, dass doch mal die Malware vor dem Patch kommt, gibt es ja noch die XP-Firewall, die recht zuverlässig Angriffe von außen abwehrt.
Warum also Dienste abschalten und die Stabilität des Systems riskieren?
Geschrieben von dedie am 18.08.2005 um 20:55:
Wieviele Ports gibt es, wieviele werden wirklich benötigt, wieviele werden auch ohne das ausnützens einer Sicherheitslücke zum Missbrauch eines Rechners genutzt.
Wieviele Dienste werden einfach mal so aktiviert wenn man seinen Rechner startet .............
Geschrieben von MobyDuck am 18.08.2005 um 21:18:
Theoretisch 65535
| Zitat: |
| wieviele werden wirklich benötigt, |
|
Keine Ahnung, kommt wohl darauf an, was man so treibt
| Zitat: |
| wieviele werden auch ohne das ausnützens einer Sicherheitslücke zum Missbrauch eines Rechners genutzt. |
|
Da fehlt mir gerade die Fantasie (ok, sitze am 2. Weizenbier), aber vielleicht kommt dazu ein Beitrag. Ich meine, wenn ich nicht wissentlich oder unwissentlich irgend einen Mist installiere, dann mache ich auch keinen Port für den Missbrauch auf. Und um den Fall der Installation von Malware geht es ja gerade nicht, sondern um Win-System-Dienste.
| Zitat: |
| Wieviele Dienste werden einfach mal so aktiviert wenn man seinen Rechner startet . |
|
Ist das nicht primär eine Frage des Ressourcen-Handlings und erst sekundär eine Sicherheitsfrage, siehe oben?
OT:
Der Advocatus Diaboli fängt an, Spaß zu machen.
Geschrieben von dedie am 18.08.2005 um 21:29:
| Zitat: |
| Ist das nicht primär eine Frage des Ressourcen-Handlings und erst sekundär eine Sicherheitsfrage, siehe oben? |
|
Leider wohl nicht wenn wie von "Expetern" behauptet alles notwendig ist und umbedingt gestartet werden muß, dann darf ich doch noch nicht mal aus Sicherheitsgründen was abschalten(Ressourcen scheinen da keinen zu Interessieren)
PS: Eventuelle Rechtschreibfehler sind aufs 4 te. Halbe zurück zuführen 
Geschrieben von deoroller am 18.08.2005 um 22:35:
Als ich das erste mal auf die berühmten "Dienste abschalten Seiten" gestoßen bin, hatte ich schon die Dienste selbst nach eigenen Gutdünken konfiguriert und war erstaunt, dasss ich sie bis auf manuell oder deaktiviert kaum anders eingestellt hatte.
Schwierigkeiten gibt es nach meiner Erfahrung am ehesten, wenn man Zusatzdienste aus dem Hause MS benutzen will, wie das MBSA und Windows-Update.
Das sind aber nur geringfügige Änderungen, die man nur für kurze Zeit braucht und sie dann wieder rückgängug machen kann. Ich lasse jedenfalls keine Dienste auf Verdacht laufen oder weil ich sie 1-2 mal im Monat brauche.
Auch habe ich mir immer die Abhängigkeiten angeguckt und mich informiert, wofür jeder Dienst zuständig ist, bevor ich die Einstellung verändert habe.
Eine Anleitung kann immer nur eine Empfehlung sein, da jeder PC andere Anwendungen laufen hat.
Das eine Extrem ist, alle Dienste laufen zu lassen und so auf alle Eventualitäten vorbereitet zu sein, das andere Extrem ist es, fast alle Dienste zu kappen.
In beiden Fällen bekommt man früher oder später Probleme. Beim ersten, weil der PC angreifbarer ist, beim zweiten, weil er nicht richtig rund läuft.
Das lässt sich am ehestem mit der Einstellung des BIOS vergleichen.
Es gibt keine Standardeinstellung.
Das reißt auch keine Software raus, sondern nur Brain.exe.
Geschrieben von Vimes am 19.08.2005 um 16:18:
Dann gebe ich auch mal meinen Senf dazu:
Erstens ergibt es einfach keinen Sinn, einen Dienst im Internet anzubieten, wenn er nicht vom Internet aus genutzt werden soll. In diesem Falle kann man einen Paketfilter davornageln oder den Dienst gleich beenden bzw. an ein lokales Interface binden. Das Abschalten halte ich deswegen für günstiger, weil zusätzliche Software (Paketfilter) ein erhöhtes Risiko bedeutet, daß Fehler in das System eingeschleppt werden.
Zweitens ist es unnötige Panikmache, einfach mal zu behaupten, diverse Programme würden diese Dienste aber dringend benötigen. Der Rechner meiner Frau ist fachmännisch
abgedichtet und es läuft alles.
Sollte mal etwas nicht laufen: Gerade bei Exotensoftware ist es Aufgabe eines Fachmannes, diese zu installieren und zu administrieren. Dann erledigt sich das Problem von selbst.
Drittens an den AD (Advocatus Diaboli):
| Zitat: |
| Ist das nicht primär eine Frage des Ressourcen-Handlings und erst sekundär eine Sicherheitsfrage, siehe oben? |
|
Das ist, wie so häufig, eine Frage des Standpunktes
Wer meint, daß Patches immer vor den Exploits da sind und diese Patches auch stets (!) einspielt, der hat von offenen Diensten nichts zu befürchten. Mit der Einschränkung, daß seine Prämissen auch stets Gültigkeit haben müssen.
@deo: Es geht nicht darum, "fast alle Dienste" zu kappen, sondern nur die, die eine unerwünschte Kommunikation mit dem Internet ermöglichen. Selbst bei der Einstellung "all/hardening" laufen hier beide XP-Büchsen einwandfrei. Nichts von "nicht rund laufen". Dabei sind keine Ports zum Ineternet hin geöffnet. Da ein Netzwerk-Angriff nur über einen offenen Port (und damit eine dahinter lauschende Software, ob das ein Dienst oder ein sonstiges Programm ist, ist egal) oder über den TCP/IP-Stack selbst mögich ist, war's das dann. Denn Fehler im TCP/IP-Stack sind mittlerweile ausgesprochen selten bis nicht vorhanden, deucht mich...
MfG
Vimes
Geschrieben von MobyDuck am 19.08.2005 um 17:53:
Sehe das im Prinzip wie Vimes. Jedoch ein Beispiel für das "rundlaufen":
Habe auf der Arbeits- und der Testpartition im Prinzip identische Installationen. Über beide habe ich das Script laufen lassen. Auf der Testpartition spinnt Nero. Manchmal hängt sich Nero kommentarlos auf. Es geht nur noch Brutal-Reboot. Habe dann mal die Dienste auf default zurückgestellt. Seitdem gibt's keine Probleme mehr. Auf der (im Prinzip identischen) Arbeitsinstallation habe ich die Dienste abgeschaltet gelassen, trotzdem funzt Nero klaglos.
Auch bin ich nicht mit allen Einstellungen des Scripts einverstanden. Es macht mir z.B. keinen Sinn, die für das Win-Update notwendigen Dienste und die XP-Firewall abzuschalten. Manuell die Dienste konfigurieren ist mir sympathischer.
Geschrieben von Bishop am 19.08.2005 um 19:02:
| Zitat: |
| Manuell die Dienste konfigurieren ist mir sympathischer. |
|
Eben, mir auch. Und wer damit überfordert ist, hat ziemlichen Aufholbedarf.
Geschrieben von MobyDuck am 19.08.2005 um 19:30:
| Zitat: |
| Und wer damit überfordert ist, hat ziemlichen Aufholbedarf. |
|
Full ACK.
Geschrieben von Vimes am 19.08.2005 um 20:52:
@Bishop: Script und insbesondere dingens.org wurden für Laien entwickelt. Denen alles über Dienste beizubringen... das übersteigt meine Geduld.
@Moby: die automatischen Updates sollen - soweit ich die Diskussion im Blick habe - in zukünftigen Versionen des Scriptes anbleiben, da Regulars von de.comp.security.misc diesen Wunsch geäußert haben. [1]
MfG
Vimes
[1] sie halten das für Endanwender-Freundlicher.
Geschrieben von MobyDuck am 19.08.2005 um 21:05:
Du hast das richtig im Blick. Habe die Anregungen teilweise gelesen..
Die Erkenntnis kommt etwas spät. Habe schon vor einiger Zeit im CPB über diesen Unsinn gewettert (Leider hat der Mod mit der Keule den Thread wegen OT-Geflame meinerseits dicht gemacht
)
Und was ist mit dem XP-Paketfilter? Da sich das Script doch an ONU wendet, ist das (bisherige) Abstellen der Update-Funktionen und der XP-Firewall keine gute Idee. Wenn jetzt die Updates rausgenommen werden ist das ein Schritt in die richtige Richtung.Aber ein halbherziger.
Geschrieben von Vimes am 19.08.2005 um 21:08:
@Moby: afaik (ohne das üperprüft [1] zu haben) öffnet der XP-Paketfilter seinerseits nach außen Ports. Zumindest einen. Das ist nicht sehr schön.
Zum zweiten ist er, wenn alle Ports abgedichtet sind, technisch nicht mehr notwendig.
Zum dritten gebe ich Dir im Prinzip recht, daß hier eine Wahlmöglichkeit bestehen sollte.
Zum vierten aber halte ich mich mit Kritik sehr zurück, weil die Jungs dafür, im Gegensatz zu Herstellern gelber Schachteln, keinen Cent Geld nehmen, aber per E-Mail sehr freundlich und kompetent - von schnell ganz zu schweigen - Support leisten. Davor ziehe ich meinen Hut.
MfG
Vimes
[1] "Leben des Brian"
Geschrieben von MobyDuck am 19.08.2005 um 21:45:
| Zitat: |
| öffnet der XP-Paketfilter seinerseits nach außen Ports. |
|
Habe nur das hier anzubieten (bin extra mal zu Besuch bei Windows):
TCP 127.0.0.1:1025 Remote: 0.0.0.0.0 Abhören PID:1640
Raubt mir irgendwie nicht den Schlaf.
| Zitat: |
| Davor ziehe ich meinen Hut. |
|
Du weißt, wie grundsätzlich auch meine Sympathien verteilt sind.
| Zitat: |
| Zum dritten gebe ich Dir im Prinzip recht, daß hier eine Wahlmöglichkeit bestehen sollte. |
|
Eben. Mehr will ich doch gar nicht.
Geschrieben von Vimes am 19.08.2005 um 21:57:
| Zitat: |
Original von MobyDuck
| Zitat: |
| öffnet der XP-Paketfilter seinerseits nach außen Ports. |
|
Habe nur das hier anzubieten (bin extra mal zu Besuch bei Windows):
TCP 127.0.0.1:1025 Remote: 0.0.0.0.0 Abhören PID:1640 |
|
Krass. Dann haben SIE das gefixt. Nicht schlecht. Ich nehme alles zurück und behaupte das Gegenteil.
MfG
Vimes
Geschrieben von Bishop am 20.08.2005 um 02:50:
| Zitat: |
Original von Vimes
Script und insbesondere dingens.org wurden für Laien entwickelt. Denen alles über Dienste beizubringen... das übersteigt meine Geduld. |
|
Schon richtig, nur als ich angefangen habe mich für die Sicherheit meines PC´s zu interessieren, gabs das Script in der Form noch nicht. Ich habe dann die händische Anleitung von Frank Kaune umgesetzt, und den dabei erzielten Lerneffekt möchte ich nicht mehr missen. Darum bin ich der Meinung, daß es niemandem Schaden würde, sich mit der Materie auseinanderzusetzen, anstatt einfach nur ein Script laufen zu lassen (womöglich ohne die Erklärungen dazu gelesen zu haben).
Gruß
Geschrieben von Vimes am 20.08.2005 um 13:25:
@Bishop: Das würde ich mir auch wünschen. Aber viele erreicht man mit Erklärungen nicht. Die lesen nicht einmal die manpages zu Software, die sie beruflich einsetzen müssen. Da ist es doch etwas, wenn man eine dingens hat, die ihnen die "Arbeit" abnimmt.
Die Lernunwilligen kann man eben nicht zum Lernen zwingen...
[1]
MfG
Vimes
[1] Außer durch Abklemmen und so lange abgeklemmt lassen, bis sie ausreichende Fähigkeiten und Kenntnisse nachweisen. Aber das geht nicht.