Was tun - unnötige Dienste abschalten? |
|
MobyDuck
Lebende Foren Legende
Dabei seit: 05.03.2005
Beiträge: 1.685
Level: 51 [?]
Erfahrungspunkte: 12.185.546
Nächster Level: 13.849.320
|
|
Was tun - unnötige Dienste abschalten? |
|
Zum Thema "Neuaufsetzen" wird immer wieder empfohlen, unnötige Dienste abzuschalten, etwa durch das Script auf den Seiten www.ntsvcfg.de oder www.dingens.org. In einem Beitrag in der aktuellen c't wird diese Vorgehensweise in Frage gestellt. Man kann die Begründung kurz dahin zusammenfassen, dass die Abhängigkeiten der Dienste von MS nur unvollständig dokumentiert seien. Es sei daher gar nicht mit Sicherheit festzustellen, welche Dienste denn nun unnötig seien und welche nicht. Durch das Abstellen von System-Diensten sei daher der Schaden größer als der Nutzen.
In den einschlägigen Foren ging natürlich gleich die Diskussion los. Einige Experten (es gibt da welche mit und welche ohne "Anführungszeichen") haben es -angeblich- schon immer gewusst, andere sehen sich in ihrer Meinung bestätigt, Desktop-Firewalls einzusetzen, schließlich gibt es noch eine Gruppe, die sich der Meinung der c't nicht anschließt.
Mich würde nun eure Meinung interessieren: Ist das Abstellen von Diensten zu empfehlen?
Ich hoffe natürlich auf eine rege Diskussion.Um die Diskussion nicht von vornherein zu beeinflussen, verkneife ich mir im Eingangsposting erst mal meine persönliche Meinung, obwohl einige hier meine Meinung noch aus CPB-Zeiten kennen werden.
|
|
18.08.2005 08:41 |
|
|
| |
|
dedie
Administrator
Dabei seit: 04.03.2005
Beiträge: 2.952
Level: 54 [?]
Erfahrungspunkte: 21.351.149
Nächster Level: 22.308.442
|
|
|
18.08.2005 20:55 |
|
|
| |
|
MobyDuck
Lebende Foren Legende
Dabei seit: 05.03.2005
Beiträge: 1.685
Level: 51 [?]
Erfahrungspunkte: 12.185.546
Nächster Level: 13.849.320
Themenstarter
|
|
Theoretisch 65535
Zitat: |
wieviele werden wirklich benötigt, |
|
Keine Ahnung, kommt wohl darauf an, was man so treibt
Zitat: |
wieviele werden auch ohne das ausnützens einer Sicherheitslücke zum Missbrauch eines Rechners genutzt. |
|
Da fehlt mir gerade die Fantasie (ok, sitze am 2. Weizenbier), aber vielleicht kommt dazu ein Beitrag. Ich meine, wenn ich nicht wissentlich oder unwissentlich irgend einen Mist installiere, dann mache ich auch keinen Port für den Missbrauch auf. Und um den Fall der Installation von Malware geht es ja gerade nicht, sondern um Win-System-Dienste.
Zitat: |
Wieviele Dienste werden einfach mal so aktiviert wenn man seinen Rechner startet . |
|
Ist das nicht primär eine Frage des Ressourcen-Handlings und erst sekundär eine Sicherheitsfrage, siehe oben?
OT:
Der Advocatus Diaboli fängt an, Spaß zu machen.
|
|
18.08.2005 21:18 |
|
|
| |
|
dedie
Administrator
Dabei seit: 04.03.2005
Beiträge: 2.952
Level: 54 [?]
Erfahrungspunkte: 21.351.149
Nächster Level: 22.308.442
|
|
|
18.08.2005 21:29 |
|
|
| |
|
deoroller
Routinier
Dabei seit: 30.03.2005
Beiträge: 487
Level: 43 [?]
Erfahrungspunkte: 3.509.739
Nächster Level: 3.609.430
|
|
Als ich das erste mal auf die berühmten "Dienste abschalten Seiten" gestoßen bin, hatte ich schon die Dienste selbst nach eigenen Gutdünken konfiguriert und war erstaunt, dasss ich sie bis auf manuell oder deaktiviert kaum anders eingestellt hatte.
Schwierigkeiten gibt es nach meiner Erfahrung am ehesten, wenn man Zusatzdienste aus dem Hause MS benutzen will, wie das MBSA und Windows-Update.
Das sind aber nur geringfügige Änderungen, die man nur für kurze Zeit braucht und sie dann wieder rückgängug machen kann. Ich lasse jedenfalls keine Dienste auf Verdacht laufen oder weil ich sie 1-2 mal im Monat brauche.
Auch habe ich mir immer die Abhängigkeiten angeguckt und mich informiert, wofür jeder Dienst zuständig ist, bevor ich die Einstellung verändert habe.
Eine Anleitung kann immer nur eine Empfehlung sein, da jeder PC andere Anwendungen laufen hat.
Das eine Extrem ist, alle Dienste laufen zu lassen und so auf alle Eventualitäten vorbereitet zu sein, das andere Extrem ist es, fast alle Dienste zu kappen.
In beiden Fällen bekommt man früher oder später Probleme. Beim ersten, weil der PC angreifbarer ist, beim zweiten, weil er nicht richtig rund läuft.
Das lässt sich am ehestem mit der Einstellung des BIOS vergleichen.
Es gibt keine Standardeinstellung.
Das reißt auch keine Software raus, sondern nur Brain.exe.
__________________ Therapeut: "Wo genau liegt denn jetzt Ihr Problem, Mr. Tentakel?"
Thaddäus: "Es fing alles an...als ich geboren wurde!"
|
|
18.08.2005 22:35 |
|
|
| |
|
Vimes
Super Moderator
Dabei seit: 27.03.2005
Beiträge: 1.316
Level: 49 [?]
Erfahrungspunkte: 9.488.223
Nächster Level: 10.000.000
|
|
Dann gebe ich auch mal meinen Senf dazu:
Erstens ergibt es einfach keinen Sinn, einen Dienst im Internet anzubieten, wenn er nicht vom Internet aus genutzt werden soll. In diesem Falle kann man einen Paketfilter davornageln oder den Dienst gleich beenden bzw. an ein lokales Interface binden. Das Abschalten halte ich deswegen für günstiger, weil zusätzliche Software (Paketfilter) ein erhöhtes Risiko bedeutet, daß Fehler in das System eingeschleppt werden.
Zweitens ist es unnötige Panikmache, einfach mal zu behaupten, diverse Programme würden diese Dienste aber dringend benötigen. Der Rechner meiner Frau ist fachmännisch
abgedichtet und es läuft alles.
Sollte mal etwas nicht laufen: Gerade bei Exotensoftware ist es Aufgabe eines Fachmannes, diese zu installieren und zu administrieren. Dann erledigt sich das Problem von selbst.
Drittens an den AD (Advocatus Diaboli):
Zitat: |
Ist das nicht primär eine Frage des Ressourcen-Handlings und erst sekundär eine Sicherheitsfrage, siehe oben? |
|
Das ist, wie so häufig, eine Frage des Standpunktes
Wer meint, daß Patches immer vor den Exploits da sind und diese Patches auch stets (!) einspielt, der hat von offenen Diensten nichts zu befürchten. Mit der Einschränkung, daß seine Prämissen auch stets Gültigkeit haben müssen.
@deo: Es geht nicht darum, "fast alle Dienste" zu kappen, sondern nur die, die eine unerwünschte Kommunikation mit dem Internet ermöglichen. Selbst bei der Einstellung "all/hardening" laufen hier beide XP-Büchsen einwandfrei. Nichts von "nicht rund laufen". Dabei sind keine Ports zum Ineternet hin geöffnet. Da ein Netzwerk-Angriff nur über einen offenen Port (und damit eine dahinter lauschende Software, ob das ein Dienst oder ein sonstiges Programm ist, ist egal) oder über den TCP/IP-Stack selbst mögich ist, war's das dann. Denn Fehler im TCP/IP-Stack sind mittlerweile ausgesprochen selten bis nicht vorhanden, deucht mich...
MfG
Vimes
__________________ 1. Kor 3,11: "Einen anderen Grund kann niemand legen als den, der gelegt ist, welcher ist Jesus Christus."
gnupg-Key-ID: 7C6A8303; Fingerprint: 9D29 C76C 4C7E 4A5C 8915 8686 49DE 7906 7C6A 8303
|
|
19.08.2005 16:18 |
|
|
| |
|
Vimes
Super Moderator
Dabei seit: 27.03.2005
Beiträge: 1.316
Level: 49 [?]
Erfahrungspunkte: 9.488.223
Nächster Level: 10.000.000
|
|
@Moby: afaik (ohne das üperprüft [1] zu haben) öffnet der XP-Paketfilter seinerseits nach außen Ports. Zumindest einen. Das ist nicht sehr schön.
Zum zweiten ist er, wenn alle Ports abgedichtet sind, technisch nicht mehr notwendig.
Zum dritten gebe ich Dir im Prinzip recht, daß hier eine Wahlmöglichkeit bestehen sollte.
Zum vierten aber halte ich mich mit Kritik sehr zurück, weil die Jungs dafür, im Gegensatz zu Herstellern gelber Schachteln, keinen Cent Geld nehmen, aber per E-Mail sehr freundlich und kompetent - von schnell ganz zu schweigen - Support leisten. Davor ziehe ich meinen Hut.
MfG
Vimes
[1] "Leben des Brian"
__________________ 1. Kor 3,11: "Einen anderen Grund kann niemand legen als den, der gelegt ist, welcher ist Jesus Christus."
gnupg-Key-ID: 7C6A8303; Fingerprint: 9D29 C76C 4C7E 4A5C 8915 8686 49DE 7906 7C6A 8303
|
|
19.08.2005 21:08 |
|
|
| |
|