3. Keine "Datei- und Druckerfreigabe" installieren
Gaaanz wichtig! In die "Systemsteuerung" gehen, dort auf das "Netzwerk"-Icon klicken und nachsehen, ob die "Datei- und Druckerfreigabe" aktiviert ist. In der höchsten Sicherheitsstufe (kein lokales Netzwerk angeschlossen) sollte sie nicht installiert sein und sich nicht aktivieren lassen. Ist der gleichnamige Button dort vorhanden aber nicht anklickbar (grau), dann ist diese Verwundbarkeit soweit geschützt. Im Zweifelsfalle kann man das mit den Tools, die hier bei Gebot Numero 8., Online Sicherheitstests, Security Check Software, angeführt sind, auf der Stelle überprüfen.
Ansonsten sind die Einstellungen im Windows-"Netzwerk" exakt so vorzunehmen, wie es im Internet Installationshandbuch von TeleWeb/chello (oder eben dem jeweiligen Internet-Service-Provider) ausführlich illustriert und unmißverständlich für alle Windows-Betriebssysteme, die über Kabelmodem mit dem Internet kommunizieren, beschrieben steht. Besonders die Netzwerkkomponenten, die es zu entfernen gilt (NetBEUI), können erhebliche Sicherheitslücken auftun! Bei der Installation des Kabel-Internetanschlusses werden diese Konfigurationen vom Service-Techniker zwar ordnungsgemäß erledigt, bei einem Betriebssystem- oder Browser-Update oder einer Neuinstallation werden die heiklen Komponenten jedoch womöglich standardmäßig wieder aktiviert, ohne daß man es mitbekommt! Bitte auf jeden Fall mit den Angaben im erwähnten Handbuch vergleichen! Genau Punkt für Punkt durchgehen.
Bei DialUp-Modem- oder DSL-Verbindungen über das DFÜ-Netzwerk die Hinweise auf der Web-Seite ADSL-Support beachten: Netbios-Tipp für Windows-Benutzer (Illustrierte Schritt-für-Schritt Anleitung). Unter "Einstellungen-Systemsteuerung-Netzwerk" den "Eigenschaften"-Dialog für das Protokoll "TCP/IP -> DFÜ-Adapter" (bei Kabelmodem-Anschluß steht dort nur "TCP/IP") öffnen und auf der Registerkarte "Bindungen" vor dem Eintrag "Datei- und Druckerfreigabe für Microsoft-Netzwerke" das Häkchen entfernen. Rasante Alternative:
Tip: Wer mit der gefährlichen "Datei- und Druckerfreigabe" kurzen Prozeß machen möchte, braucht im "Windows/System"-Verzeichnis nur die Datei mit dem Namen Vnbt.386 umzubenennen und Windows neu zu starten. Aber auch hier gilt, was zwei Absätze weiter oben bezüglich Betriebssystem- oder Browser-Update steht. Windows NT hat dieses Problem im Prinzip ebenfalls, denn auch dort sind per Default alle NT-Dienste für jede Netzwerkkarte (auch Modem oder ISDN-Karte stellen das in der Konfiguration dar) an "Netbios over TCP/IP", was die NT-Dienste erst über TCP/IP verfügbar macht, gebunden. Dieser Umstand sorgt schon mal dafür, daß vorhandene Shares (Freigaben) gefunden und für einen Verbindungsversuch benutzt werden können.
Allerdings ist das Handling von Shares unter NT an User gebunden, nicht nur an ein Schreibschutz-Passwort. Kommt außerdem das Dateisystem NTFS zum Einsatz, greifen dessen Sicherheitsmechanismen, die – ähnlich wie unter Linux – User-Rechte an Dateien und Verzeichnisse binden, und die über den Zugriffsrechten der Shares stehen.
Das heißt, man muß einen User-Namen mit Passwort kennen, der die entsprechenden Zugriffsrechte hat, um an die Dateien eines Shares zu kommen. Unter Windows 9x reicht es, das Schreibschutz-Passwort zu kennen, falls es überhaupt gesetzt ist.
Wenn auf dem entsprechenden NT-System das alte FAT-Dateisystem installiert ist, fallen die User-Rechte auf Dateien und Verzeichnisse weg. Ein wichtiger Schutz weniger. Bleiben aber noch die User-bezogenen Shares. Wenn der Administrator-Account kein Passwort hat, braucht man keinen User-Namen mehr zu kennen/zu erraten, dann stehen die Shares im Prinzip genauso offen wie unter W9x.
Kurz: Das »Problem« besteht unter NT ebenfalls, nur muß der Admin/User einige unverzeihliche »Fehler« mehr machen als ein User unter Windows 9x.
Dateien unter Linux wären mit einem entsprechend konfigurierten Samba ebenfalls über diesen Weg erreichbar. Allerdings dürfte dies – ähnlich wie unter NT – kaum aus Versehen passieren, weil dort noch mehr »Bewußtsein« dazu gehört, diese Shares ohne Passwort erreichbar zu machen.
Wenn allerdings in einer Firma die Anforderung besteht, keine Passwörter zu verwenden, was gar nicht so selten vorkommt und vielen nur schwer auszureden ist, wären alle drei Systeme gleich angreifbar (wobei man dann kaum mehr von einem Angriff sprechen kann).
Der schon etwas ältere c't-Artikel Tag der offenen Tür hat ebenfalls durchaus noch Gültigkeit.
Empfehlenswert auch die Lektüre des Kapitels Network Bondage (englisch) auf der GRC.com-Website, von der wir noch öfter hören werden.
Deaktivieren von Diensten unter W2K
Windows 2000 Professional – Schließen der Ports 135-139, 445, 500 Beenden der Dienste epmap, isakmp, microsoft-ds, netbios-ssn, netbios-ns und netbios-dgm
Eburger vereinfacht Sicherheitskonfigurationen
Es handelt sich dabei um ein kleines Microsoft-DOS-Programm, das die Konfiguration sicherheitsrelevanter Windows-Funktionen erleichtert. Es ermöglicht das menügesteuerte Ausschalten, Wieder-Einschalten oder andere Einstellungen folgender Komponenten:
NetBIOS Over TCP/IP (Datei- und Druckerfreigabe) Microsoft DCOM Microsoft Jet security Microsoft WS (Windows Script) BHO's (Browser Helper Objects) HOSTS-Dateien Eburger funktioniert mit Windows 9x (95, 98, 98SE, ME), Windows NT 4.0 & Windows 2000. Nach dem Entpacken entsteht ein Ordner mit mehreren Dateien (hier eine Abbildung der Version vom 10. Jänner 2001), darunter etliche der Sorte *.reg (Registrierungsdatei).
Gestartet wird das Set mit Eburger.bat, daraufhin öffnet sich ein DOS-Fenster:
Keine weitere Installation vonnöten. Gesteuert wird das Programm ausschließlich mit den Ziffern-Tasten.
Diese Batch-Datei von Eric L. Howes an der University of Illinois wurde vor kurzem in der shieldsup-Newsgroup vorgestellt und allgemein für brauchbar befunden. Trotzdem sollten nur erfahrenere Anwender das Programm testen. Unbedingt vorher eine Sicherungskopie der Windows-Registry anfertigen und die ReadMe-Datei lesen! MS-DOS-Kenntnisse sind angebracht, aber nicht Voraussetzung.
Direkt-Download, gratis:
Eburger.exe (Selbstentpackende Zip-Datei)
Eburger.zipIn der Online ReadMe-Textdatei finden sich gute Informationen (englisch) über die Sicherheitsaspekte der Komponenten. Das Studium dieser ausführlichen Hilfe lohnt sich auf jeden Fall, auch wenn man das Programm selbst nicht einsetzen will.
An dieser Stelle unserer Website empfehlen wir dem Anwender ein paar gute Netzwerküberwachungs-Tools.
Soll zusätzlich ein privates Local Area Network (LAN) betrieben werden, kommt man um eine sorgfältige Konfiguration dieser Windows-Netzwerkumgebung nicht herum. Dabei sollte man unbedingt wissen, was man tut, sonst kann es ganz leicht passieren, daß zweihundertsechzig Millionen Menschen Zugriff auf die Festplatte haben. Am besten einen Spezialisten konsultieren. Eine gute Wissensquelle im Internet sind die Seiten von Tim Higgins, Practically Networked, dort gibt es auch gute Sicherheitsratschläge (siehe Securing your LAN).
Weitere wichtige Sicherheitsvorkehrungen für Windows-Systeme und -Anwendungen wie Browser, eMail-Programme, IRC-Chat und ICQ/AIM (Messager Systeme) sind in diesem c't-Artikel zusammengefaßt und illustriert. Ähnliches gibt es in dem aktuellen Artikel Batten Down Windows’ Hatches! von PC World zu erfahren. Deutschsprachige Sicherheitstips für Windows 9x von der Installation des Betriebssystems über das BIOS bis zur Verschlüsselung lokaler Daten auf Kai Ravens No Big Brother Page. Windows-2000-Systemadministratoren seien die Hinweise im Appendix C auf unserer Web-Seite empfohlen.
Absolute Sicherheit
– die weiche Tour
Jammer, Port-Scans,
User-Votum, Firewall-Übersicht
Weiter mit den Pfeil-Symbolen >> in den Navigationsleisten
oben und unten auf jeder Seite.
elektronischen Privatsphäre im Breitband-Internet
Copyright-Info
Diese Seite wurde zuletzt am Sonntag, dem 25. November MMI, aktualisiert
URL der Website Sicherheit im Kabelnetzwerk : http://www.pages.at/heaven
URL dieser Seite: http://www.pages.at/heaven/sec003.htm
eMail an die Redaktion: ms
: User online | Heute, am : Seitenaufrufe, Besucher | Details