Frage zu: An TCP/IP "gebundene" Dienste

#0
08.10.2011, 06:13
Member

Beiträge: 223
#1 Gutem Tag,
ich beziehe mich auf den unten kopierten Text aus dem Angebot des BSI.Was ist unter dem Hinweis zu TCP/IP und daran gebundene Dienste zu verstehen und wie kann ich die PCs hier darauf untersuchen ?

ZITAT:.................."Für Windows-Betriebssysteme gelten darüber hinaus folgende Empfehlungen:
Das jeweils aktuelle Service Pack sollte eingespielt werden.
Als einziges Netzprotokoll sollte TCP/IP installiert werden.

>>>>>>>An das TCP/IP-Protokoll für den Internet-Zugang sollten keine Dienste gebunden werden. ????

Die Datei- und Druckerfreigabe sollte deaktiviert werden. Es sollten keine Shares zur Verfügung gestellt werden.
Bei Verwendung des Internet Explorers sollte unter Extras | Internetoptionen | Verbindungen die Funktion Vor dem Wählen Systemsicherheit prüfen aktiviert werden, falls diese Option angeboten wird.
Der Windows Scripting Host (WSH) sollte deinstalliert werden, wenn dies bei der verwendeten Konfiguration möglich ist. Anderenfalls sollten die dem WSH zugeordneten Dateitypen, beispielsweise .vbs und .js, einem Editor zugewiesen werden.
Der Microsoft Personal Web Server sollte deaktiviert, möglichst sogar deinstalliert werden.
Die automatische CD-ROM-Erkennung sollte deaktiviert werden (siehe auch M 4.57 Deaktivieren der automatischen CD-ROM-Erkennung ).
Falls die verwendete Windows-Version eine Benutzertrennung unterstützt, sollten alle nicht benötigten Benutzerkonten, z. B. Gast, deaktiviert oder gelöscht werden. Unter Windows NT kann dies über den Benutzer-Manager erfolgen. Das Administrator-Konto sollte umbenannt und mit einem starken Passwort geschützt werden.
Beim Einsatz von Windows 9x/ME kann darüber nachgedacht werden, einen passwortgeschützten Bildschirmschoner zu verwenden. Dies bietet einen gewissen Schutz gegen unberechtigte Zugriffe.
Als Standardvorgang beim Doppelklick auf eine Datei vom Typ .reg sollte Bearbeiten (mit Editor öffnen) und nicht Zusammenführen eingestellt werden. Unter Windows ME kann das entsprechende Dialogfeld über den Explorer via Extras | Ordneroptionen | Dateitypen erreicht werden.
Es sollte geprüft werden, ob anstelle der Standardnamen für System- und Datenverzeichnisse bzw. -dateien abweichende Pfadnamen verwendet werden können. Schadprogramme suchen in vielen Fällen nach bestimmten Dateien in Standardverzeichnissen, so dass durch diese Änderung ggf. ein zusätzlicher Schutz erreicht werden kann. Es ist jedoch zu berücksichtigen, dass dies zu Inkompatibilitäten mit bestimmten Programmen führen kann.
Bei der Verwendung von Linux sollten folgende Empfehlungen berücksichtigt werden:

Der Daemon inetd sollte nicht gestartet werden. Je nach Distribution wird dies über Änderungen an den rc-Startdateien oder über spezielle Administrationstools konfiguriert.
Der Portmap Daemon und der Name Service Caching Daemon sollten nicht gestartet werden.
Falls die verwendete Distribution spezielle Dienste zur Fernadministration installiert, z. B. linuxconf oder swat, so sollten diese deaktiviert werden.
Apache oder andere WWW-Server-Software sollte deinstalliert werden.
Das Programm sendmail sollte nicht im Server-Modus gestartet werden. Auch andere Daemons für den Empfang von E-Mail über das Protokoll SMTP sollten deinstalliert oder zumindest deaktiviert werden. Sofern benötigt, sollte E-Mail stattdessen via POP3 oder IMAP abgeholt werden.
Als zusätzliche Sicherheitsmaßnahme gegen Angriffe aus dem Internet kann die Paketfilterfunktion ipchains bzw. iptables von Linux eingesetzt werden. Einige Distributionen enthalten hierfür vorkonfigurierte Pakete.
Als zusätzliche Sicherheitsmaßnahme kann eine so genannte Personal Firewall installiert werden...................."






Quelle: https://www.bsi.bund.de/ContentBSI/grundschutz/kataloge/m/m04/m04151.html
__________
Windows 7 Professional SP 1 -- FRITZ!Box Fon WLAN 7270
Dieser Beitrag wurde am 08.10.2011 um 06:23 Uhr von Geodät editiert.
Seitenanfang Seitenende
08.10.2011, 10:49
Member

Beiträge: 896
Seitenanfang Seitenende
08.10.2011, 12:54
Member

Themenstarter

Beiträge: 223
#3 Bezieht sich den der Hinweis des BSI dann nur auf den "Zeitdienst", der danach nicht verwendet werden soll ?
Verstehe ich das richtig ?


>>>>>>>>>>>>>>>>Zeitdienste
123 (UDP) NTP Network Time Protocol
Lädt die aktuelle Uhrzeit von einem NTP-Server (der meist an eine Funkuhr oder Atomuhr angeschlossen ist) herunter.
__________
Windows 7 Professional SP 1 -- FRITZ!Box Fon WLAN 7270
Seitenanfang Seitenende
08.10.2011, 13:55
Member
Avatar Xeper

Beiträge: 5289
#4

Zitat

Bezieht sich den der Hinweis des BSI dann nur auf den "Zeitdienst", der danach nicht verwendet werden soll ?
Verstehe ich das richtig ?
Glaub ich nicht, hört sich für mich nach Blödsinn an - was gibts an NTP auszusetzen?
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: