XP-Home:Sicherer surfen mit eingeschränkt. Benutzer ?

#1 Hallo,

würde mich freuen, wenn sich jemand mit der Benutzerverwaltung bei XP Home auskennt.

Wenn ich das richtig verstanden habe, gibt es bei XP-Home (nicht Pro) zwei Benutzertypen:

1. den Computeradministrator
2. ein eingeschränktes Computerkonto.

ch habe nun gelesen, dass es sicherer sein soll z.B. über das eingeschränkte Konto zu surfen. Auf diese Weise können programmaktive Dateien, die beim Surfen unbemerkt heruntergeladen wurden, sich nicht installieren oder nur eingeschränkt.

Ich weiß nicht, ob ich das so richtig wiedergegeben habe. Kann auch nicht mehr sagen, wo ich das gelesen hab. Würde mich aber freuen, wenn jemand von euch sagen kann, ob das stimmt bzw., ob es einen Sicherheitsunterschied macht, wenn ich über das Computeradministrator-Konto ins Netz gehe
oder nur als eingeschränkter Benutzer.

Als Browser benutze ich K-Meleon, den ich über das eingeschränkte Benutzerkonto aufrufe.


Sicherer surfen mit eingeschränkt. Nutzer ?

Gruß

Wühlmaus

#2 Also hauptsächlich kommt es darauf an, dass es keine Sicherheitslöcher im Browser gibt, denn dann kann erst gar nix reinkommen. Ich kenne deinen Browser nicht, aber je weniger bekannt er ist, um so weniger Leute werden nach Sicherheitslücken suchen, bestes Beispiel ist LINUX:
Hier gibt es kaum Viren für, weil einfach Linux nicht sehr verbreitet ist und so Würmer für Linux nur wenig Schaden anrichten könnten. Ich selbst surfe immer mit Linux als eingeschränkter Nutzer, oder bei Windows mit Admin-Rechten (mach ich da jetzt was grundlegendes Falsch ??)
Wenn dann ein Virus oder sonst was auf deine Festplatte kommt, dann ist es besser ein normaler User ohne Rechte zusein, weil du dann z.B. keine Rechte zum löschen von Daten hast, und so der Virus kaum was machen kann, (wenn du so einen Virus erwischt). Aber ein Virus wie der W32 Pinf ändert ja die Exe dateien und so kann er das auch als User machen, (oder lieg ich da falsch??)
MFG
DAFRA

#3 Hallo Dafra,

wenn ich das richtig verstanden habe, dann machst du mit Linux. was die Einschränkung der Nutzerrechte betrifft, das gleiche wie ich, nur dass sich die Betriebssysteme unterscheiden. Warum du unter Windows mit Administratorrechten surfst und bei Linux nicht, verstehe ich allerdings nicht so ganz.

Wie auch immer, interessant finde ich, dass du schreibst:

Zitat

Wenn dann ein Virus oder sonst was auf deine Festplatte kommt, dann ist es besser ein normaler User ohne Rechte zusein, weil du dann z.B. keine Rechte zum löschen von Daten hast, und so der Virus kaum was machen kann,

Klingt irgendwie einleuchtend. Hätte es aber gern noch etwas genauer.
Macht es da eigentlich einen Unterschied, wo der Cache liegt, in dem die Internetdaten landen, z.B. ob er im Programmverzeichnis auf der Systempartation oder auf einem anderen (logischen) Laufwerk oder sogar auf
einer anderen 2. Platte liegt ?

Gruß
Wühlmaus

#4 Naja wenn du keine Rechte zum löschen hast, dann hat sie der Virus auch nicht. Aber auch nur, wenn du einen von der "löschen" Sorte erwischst.
Ich serve unter Windows als Admin, weil ich dann wenn ich was installiere immer umschalten müsste, bei Linux werd ich nach dem Root passwort gefragt und dann bin ich Admin bis ich das Programm installiert habe.
Bei Windows ist es einfach zu umständlcih. Außerdem sooooooo Wichtig ist das auch nicht ob man als Admin eingeloggt ist oder nicht. Wichtiger ist ein Virenscanner der Up-Todate ist, ne Firewall und keinen Microsoft-Kram nutzen
z.B.
Outlook
Internet Explorer
MFG
DAFRA

#5 Hallo,

meiner Meinung nach ist es absolut richtig, nur mit dem eingeschränkten Konto im Internet zu surfen, alles andere ist grob fahrlässig. Du kannst z.B. unter dem eingeschränkten Konto keine Software installieren, oder Programmdateien ändern, oder gar löschen, die vom Admin angelegt wurden. Du kannst es nur mit solchen Dateien, oder Programmen, die Du unter dem eingeschränkten Konto selbst abgespeichert hast. Ebensowenig kannst Du Änderungen in der Registry vornehmen, jedenfalls keine, durch welche die Systemsicherheit gefährdet wird. Es gibt aber für Hacker sicherlich auch hier Mittel und Wege, daran vorbei zu kommen. Es macht es m.E. solchen Leuten jedoch wesentlich schwieriger ein System zu infiltrieren.
Seit ich so verfahre sind die Probleme mit meinem System deutlich zurück gegangen, daher bin ich von dieser Vorgehensweise überzeugt. Die Probleme, die es seitdem gab, habe ich mir jedesmal durch unvorsichtige Benutzung des Admin-Kontos eingefangen.

Ich denke, auch unter Linux ist das nicht anders. So oft installiert man schließlich keine Software, daß man sich nicht doch die Mühe mit dem eingeschränkten Konto machen sollte.

Gute Info's zum Thema sind z.B. bei http://www.bluemerlin-security.de/ zu finden.

Es wäre nett, wenn ein paar Leute, die sich mit diesen Dingen besser auskennen, ihr Wissen und ihre Erfahrungen zu diesem Thema hier mitteilen könnten, das würde mich auch interessieren.

Cascade
__________
Der Pessimist sagt: "Schlimmer, als es jetzt ist, kann es nicht kommen." Der Optimist sagt: "Doch, es kann ..."
Ich bin sehr optimistisch, was die Zukunft angeht ...

#6 Ich kann nur bestätigen das die Benutzerverwaltung von Windows relativ unbenutzbar ist. Wenn man versucht nicht als Admin zu arbeiten, haut es einen immer wieder auf, weil diverse Programme dies voraussetzen. Spontane Beispiele die mir einfallen wären Nero Burning Rom und True Image Media Builder die unter einem normalen W2K User-Account keine CDs brennen wollen.

Siehe dazu auch:
http://www.heise.de/ct/04/03/003/
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.

#7 Hallo,

das mag wohl sein, aber soweit ich mich erinnere wird bei solchen Programmen bei der Installation nachgefragt, ob die Nutzung für alle Benutzer, oder nur für den Admin gestattet sein soll. Selbst wenn nicht, so oft wird man sicherlich nicht Programme benutzen, die nur mit Admin-Rechten laufen, dass ein Benutzerkontenwechsel dafür unzumutbar wäre. Selbst wenn es tatsächlich einmal erforderlich sein sollte, kann man solche Programme auch im eingeschränkten Konto mit einer Admin-Anmeldung starten, wenn ich nicht irre.

Cascade

Nachtrag (17:38 Uhr):

Noch etwas dazu, ob der Browser-Cache auf der gleichen Partition liegen sollte, wie das Windows-System:
Meiner Meinung nach sollte der Cache nicht auf die System-Partition gelegt werden, da sich die darin enthaltenen Dateien naturgemäß häufig ändern, was somit zu einer größeren Fragmentierung der System-Partition führt und damit zur Verlangsamung des Systems beiträgt.
__________
Der Pessimist sagt: "Schlimmer, als es jetzt ist, kann es nicht kommen." Der Optimist sagt: "Doch, es kann ..."
Ich bin sehr optimistisch, was die Zukunft angeht ...

#8 Ich wollte damit nicht sagen das es nicht praktikabel ist. Es ist einfach bloß sehr aufwendig und lästig. Man muss sich halt überlegen ob es das einem wert ist oder ob ein Browser-Wechsel plus aktuellem Virenscanner nicht mehr bringt.
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.

#9 Der IE wird von mir nur noch für den Windows-Update benötigt und ist daher in der Firewall ausschließlich auf die Kommunikation mit den Microsoft-Servern beschränkt. Alle anderen Kommunikationsversuche werden geblockt und natürlich auch protokolliert. Der manuelle Update des Betriebssystems ist mir einfach zu umständlich. Auch OutlookExpress ist durch ein anderes Mailprogramm ersetzt worden. Obwohl ich mein System im Falle eines Falles innerhalb kürzester Zeit wieder herstellen und auf einen sicheren Stand bringen könnte sehe ich keinen Grund unachtsam mit dem System umzugehen. Daß der Virenscanner auf dem aktuellen Stand gehalten wird ist sowieso selbstverständlich.
Mein System ist vor ein paar Jahren einmal infiltriert worden. Seitdem trage ich dafür Sorge, daß mir so etwas nach Möglichkeit nicht so schnell wieder passieren kann.

Vertrauen ist gut ... Kontrolle ist besser.

Cascade
__________
Der Pessimist sagt: "Schlimmer, als es jetzt ist, kann es nicht kommen." Der Optimist sagt: "Doch, es kann ..."
Ich bin sehr optimistisch, was die Zukunft angeht ...

#10 Hallo Cascade,

danke für deine interessanten Erklärungen. Sie bestärken mich darin, weiterhin mit dem "eingeschränkten Nutzer" zu surfen, den ich nur dafür angelegt habe. Dass bei Programmen, die nicht unter dem eingeschränkten Nutzer laufen, in den Administrator-Modus gewechselt werden muss, ist zwar unschön aber für mich nicht weiter lästig.

Weitaus nerviger finde ich, dass eine Wahl von unterschiedlich "gestuften" Benutzerrechten für einzelne Anwendungen zumindest für XP-Home nicht möglich zu sein scheint. Das ist bei XP Pro besser oder ?

Darüber hinaus würde mich noch interessieren, wogegen du die Firewall einsetzt.
Habe meine deinstalliert, nachdem es in einschlägigen Foren immer wieder hieß,
Firewalls brächten nichts.

Gruß
Wühlmaus

#11 Hallo Wühlmaus,

da ich mich nur privat und hobbymäßig mit dem PC beschäftige bin ich nicht der Experte in diesen Dingen. Da gibt es hier im Forum sicherlich professionelle User, die sich mit solchen Dingen z.B. auch beruflich befassen und daher besser Aukunft geben könnten.

Meine Meinung ist jedenfalls:

Firewalls bringen sehr wohl etwas, auch Desktop-Firewalls. Selbst Freeware-Firewalls (wie z.B. ZoneAlarm) sind besser als überhaupt kein Schutz. ZoneAlarm z.B. hat zwar keinen guten Ruf, aber auch solche Firewalls werden ständig weiter verbessert.
Wenn man Firewallsoftware einsetzt sollte man ständig nach Updates gucken, egal welches Firewallfabrikat man einsetzt. Veraltete Schutzsoftware ist nahezu nutzlos.

Kommerzielle Firewalls, wie z.B. Outpost oder Norton, sind m.E. wesentlich besser als die Freeware-Firewalls. Mit der Norton-Firewall war ich allerdings bis einschließlich Version 2003 nicht besonders zufrieden, da es bei mir tatsächlich ein paar mal vorgekommen ist, daß sie einfach von außen abgeschaltet wurde.
Aber auch andere Firewalls stehen in dieser Beziehung nicht besser da.
Es fällt meistens nicht gleich auf, wenn in der Taskleiste plötzlich mal ein Symbol fehlt, z.B. das von der Firewall oder vom Virenscanner, zumal sich da schon einige Symbole tummeln können. Wer hat schon ständig ein wachsames Auge auf die Taskleiste. Jedenfalls, hatte es bei mir dann fast immer zur Folge, daß die Zugriffsrechte auf die Firewalleinstellungen futsch waren. Immer wenn das passierte war eine Neuinstallation angesagt:
Man hat für die Firewall keinerlei Zugriffsrechte mehr, also kann man weder das Zugriffsrecht auf die Firewalleinstellungen wieder erlangen, noch die Firewallsoftware deinstallieren. Bleibt letztendlich nur die Neuinstallation des gesamten Betriebssystems. Mir ist jedenfalls bisher keine Möglichkeit bekannt, d'rum herum zu kommen. Ein Backupsystem ist da sehr von Vorteil und reduziert eine solche Aktion auf ein paar Minuten. Allmählich ziehe ich das Backup-System sogar vor: Wenn ich den Verdacht habe, daß etwas nicht mehr so ist, wie es sein sollte und wie es bisher war, wird das System mittels Backup wieder hergestellt. Da das erste Backup von einer garantiert sauberen Neuinstallation stammt und für jede Systemänderung ein inkrementelles Backup (nur die Differenz zum vorhergehenden Backup wird festgehalten) erstellt wurde,
läßt sich das System auf einen fast beliebigen Stand zurück bringen.
Das hängt natürlich ganz vom Fassungsvermögen des Backup-Mediums ab.
Für jedes inkrementelle Backup sollte natürlich festgehalten werden, was gegenüber vorher geändert wurde, es muß nachvollziehbar sein.

Die Firewall von Windows XP benutze ich nicht. Sie ist m.E. schlecht konfigurierbar und schlecht dokumentiert .... wenn man da überhaupt was vernünftiges einstellen kann, die reicht allenfalls für einen Grundschutz.

Auf jedem PC läuft irgendeine Software, zumindest ein Betriebssystem, sonst wäre er ja wohl nutzlos. Diese Software macht den PC angreifbar, falls sie in der Lage ist, über die Kommunikationsports des PC's Verbindungen herzustellen. Software, die dazu nicht in der Lage ist stellt auch keine Gefahr da, denn sie kann weder Daten nach aussen senden, noch Daten von aussen empfangen.
Das Surfen im Internet geht aber nur mit Programmen, die auf dem PC selbst ablaufen und die Kommunikationsports des PC's bedienen können. Da solche Programme also Daten über die Kommunikationsports des PC's senden und empfangen können, hängt es vom Programm ab, was mit den empfangenen Daten geschieht. Die empfangenen Daten könnten also vom Programm (z.B. auf Grund von Programmfehlern) als Befehle interpretiert werden, die es auszuführen hat. Die Windows Betriebssysteme sind sehr bekannte Beispiele dafür, aber auch nur, weil sie sehr weit verbreitet sind und damit die beliebtesten Angriffsziele darstellen. Andere Systeme sind weniger verbreitet und somit auch weniger von Hackern erforscht. Das bedeutet also nicht unbedingt, dass diese Systeme weniger anfällig sind. Da es nur eine Minderheit von Anwendern betrifft gibt es auch nur wenig Aufsehen, wenn mal ein solches System gehackt wird.

Es gibt sicherlich ein paar Möglichkeiten Firewalls auszutricksen, aber ein PC mit Internetzugriff hat ohne Firewall von vornherein verloren.
Firewalls reglementieren den Zugriff, den die auf dem PC laufenden Programme über die Kommunikationsports des PC nach aussen haben, sowie den Zugriff, den Programme von außen auf die im PC laufenden Programme haben.
... ich glaube, daß kann man so sagen ....

Bei einer vernünftigen Firewall kann man z.B. Regeln aufstellen, welches Programm über welche Ports mit welchen Computern auf welche Weise Daten austauschen darf. Schlechteste Einstellung dabei: Kommunikation mit und von allen PC's über alle Protokolle (TCP, UDP) und über alle Ports erlauben. Womöglich dann auch noch unprotokolliert. Das wäre dann eine absolut nutzlose Regel, die keinerlei Schutz bietet.

So, das ist halt mein Meinung dazu. Meine Darstellung kratzt gerade mal ein bisschen an der Oberfläche des Eisbergs .....

Cascade
__________
Der Pessimist sagt: "Schlimmer, als es jetzt ist, kann es nicht kommen." Der Optimist sagt: "Doch, es kann ..."
Ich bin sehr optimistisch, was die Zukunft angeht ...

#12 Hallo Cascade,

na da ist ja mal ein Text, bei dem die Verständlichkeit nicht auf der Strecke geblieben ist.
Vielen Dank dafür. Habe mich vor längerer Zeit von meiner Firewall (Sygate ) getrennt, nachdem es immer wieder hieß, dass Firewalls nicht nur nichts brächten, sondern auch noch ein Sicherheitsrisiko für das ganze System darstellen können, wenn Versuche unternommen werden diese auszuhebeln. An diesem Hinweis scheint etwas dran zu sein, denn du selbst schreibst.

Zitat

Jedenfalls, hatte es bei mir dann fast immer zur Folge, daß die Zugriffsrechte auf die Firewalleinstellungen futsch waren. Immer wenn das passierte war eine Neuinstallation angesagt:
Man hat für die Firewall keinerlei Zugriffsrechte mehr, also kann man weder das Zugriffsrecht auf die Firewalleinstellungen wieder erlangen, noch die Firewallsoftware deinstallieren. Bleibt letztendlich nur die Neuinstallation des gesamten Betriebssystems.

Also, beim Thema "Firewall scheiden sich die Geister. Selbst Firewall-Tests helfen nicht, die Spreu vom Weizen zu trennen. Es ist schon fast komisch in Zeitschriften zu beobachten, dass in die Testsieger in der einen die Gewinner in der anderen sind oder ständig ein anderes Programm den ersten Platz einnimmt (siehe die neueste Ausgabe von PCProfessionell, in der Sysgate gewinnt, die in einer anderen gängigen PC-Zeitschrift (Name ?) neueren Datums schlecht abschneidet). Ganz übel finde ich Software-Schmieden wie Norton, bei der man sich für teuer bezahlte Produkte viel Ärger einfangen kann, weil z.B. irgendetwas Blödes, wie z.B. das Updaten nicht funktioniert. Wenn dann noch die Firewall von außen abgeschaltet werden kann, grenzt das imho schon fast an Betrug.

Habe bislang auch ohne Firewall keine Blaster-Probleme u.ä gehabt. Alles, was man so an Diensten abschalten und Ports blockieren kann, habe ich mir bereits vorgenommen. Microsoft-Produkte (Browser, E-Mail, Media-Player) benutze ich nicht mehr.

Allerdings stört es mich ein bisschen, dass ich nicht weiß, welches meiner Programme immer wieder versuchen nach draußen zu "telefonieren". Das konnte ich mit der Firewall zumindest teilweise beobachten und unterbinden. Aber auch hier sagen Spezialisten, dass Programme, die es auf Phonehome anlegen, die Firewall einfach umgehen können.Leider bin ich auch zu wenig Fachmann, um entscheiden zu können, was denn nun richtig und was falsch ist. Mir würde schon eine Firewall reichen, die "lediglich" Phonehome unterbindet. Vielleicht gibt es so etwas ?!

Gruß
Wühlmaus

#13 Hi Wühlmaus,

eine Firewall die Phonehome unterbindet wäre wirklich mal was innovatives, aber ich glaube, so eine gibt's nicht und wird es auch so schnell nicht geben.
Die Firewall müsste dann ja so intelligent sein, daß sie unterscheiden kann, ob die Kommunikation vom User veranlasst wurde, z.B. um sich ein Backup abzuholen, oder ob einfach nur das Programm selbst versucht Daten zur Heimat-Adresse zu übertragen. Und da hängt es dann vielleicht auch wiederum von den Einstellungen ab, die der User am Programm vorgenommen hat, denn vielleicht ist die Kommunikation ja per Einstellung gewünscht. Wie soll die Firewall das feststellen können ? Man kann die Kommunikation zur Heimat-Adresse der Software natürlich in der Firewall sperren, aber dann geht auch eine gewollte Verbindung dahin nicht mehr.
Viele Firewalls, kommerzielle und auch nichtkommerzielle, lassen sich von aussen abschießen, wenn man den Berichten und Programmbeschreibungen glauben darf, die man zu diesem Thema so im Web findet.
Bisher habe ich einige Firewalls ausprobiert, angefangen von ZoneAlarm, über Sygate, McAfee, Tiny, Norton 2002 und 2003 ...... Keine davon hat mich richtig überzeugen können. Jede ist innerhalb kurzer Zeit in die Knie gegangen.
Ich will damit aber auf keinen Fall sagen, daß Desktop-Firewalls nichts bringen. Die Programme waren zu dem Zeitpunkt einfach noch nicht ausgereift.
Derzeit bin ich bei Norton 2004. Es scheint sich da doch etwas getan zu haben.
Naja gut, das Jahr ist ja noch nicht so alt ... da kann sich noch einiges ergeben.
Sollte sich auch hiermit Probleme ergeben wird auch Norton endgültig passé sein.
Vielleicht ist dann Outpost an der Reihe, wird ja von
http://www.bluemerlin-security.de/ über den grünen Klee gelobt.

Andererseits könnte es aber auch sehr gut sein, daß ich vollständig auf Linux umsteige. Die ersten Erfahrungen damit habe ich vor ca. 2 Jahren gemacht. Damals war ich allerdings nicht so davon begeistert, war irgendwie noch zu kryptisch und DOS-mäßig. Zwischendurch habe ich auch immer wieder einmal 'reingeschnuppert, war aber jedesmal nicht so recht überzeugt. Allerdings hat sich in der Zwischenzeit einiges getan. Jetzt habe ich gerade KNOPPIX 3.3 ausprobiert und bin begeistert. KNOPPIX ist zwar nur eine kleine Version, die man direkt von CD starten kann, ohne irgend etwas installieren zu müssen, also gerade recht zum Probieren, aber dafür funktioniert die Hardware-Erkennung recht fantastisch. Wenn die großen Versionen von Suse, Redhat, Mandrake, etc., genauso gut funktionieren, dann rückt für mich ein Umstieg in greifbare Nähe. Einzig und allein die Windows-Programme, die mich im Laufe der Zeit eine Stange Geld gekostet haben, könnten mich noch davon abhalten.
Bei einem Umstieg auf Linux müßte ich sozusagen wieder von Null anfangen.
Es gibt zwar Programme, mit denen Windows-Software auch unter Linux lauffähig sein soll, aber wie gut die sind ist noch die Frage.

Aber um zum Thema zurück zu kommen ....
ich halte eine Firewall und natürlich auch Virenscanner absolut für notwendig, wenn der PC Internetzugang hat. Die Firewall nützt natürlich nur mit einem Satz vernünftig eingestellter Regeln etwas. Mitdenken des Users spielt natürlich auch eine äußerst große Rolle. Die beste Firewall und der beste Virenscanner ist gegen die Dummheit des Users machtlos. Wenn man sich unbesehen jeden Mist aus dem Web 'runterlädt und jeden Mail-Anhang ohne nachzudenken öffnet, darf man sich über plötzlich auftretendes seltsames Verhalten des PC's nicht wundern.

Cascade
__________
Der Pessimist sagt: "Schlimmer, als es jetzt ist, kann es nicht kommen." Der Optimist sagt: "Doch, es kann ..."
Ich bin sehr optimistisch, was die Zukunft angeht ...

#14 Hallo Cascade,

danke für die Rückmeldung. Du schreibst:

Zitat

Die Firewall müsste dann ja so intelligent sein, daß sie unterscheiden kann, ob die Kommunikation vom User veranlasst wurde, z.B. um sich ein Backup abzuholen, oder ob einfach nur das Programm selbst dafür verantwortlich ist.

Hast völlig Recht, diese Unterscheidung kann sie natürlich nicht trreffen. Ich dachte auch mehr an so etwas wie eine abgestrippte Firewall, die sich lediglich um die Programme kümmert, die (erstmalig) nach draußen Kontakt aufnehmen wollen, um den Anwender zu fragen, ob das o.k. ist oder nicht. Im Prinzip wäre das nichts Anderes als das, was die Firewall eh schon machen nur etwas gründlicher, d.h. es werden auch Anwendungen erfasst, die sich bisher an der Firewall vorbei manövriert haben. Ist schon klar, dass dann für die Programme entschie den werden muss, was mit ihnen geschehen soll: also zukünftig blocken, verbieten etc.

Es soll ein Programm geben namens Active Ports, dass zumindest den Traffic an den Ports anzeigt. Damit müßten sich Programme identifizieren lassen, die "telefonieren" wollen. Leider kann man mit diesem Programm wohl nichts dagegen tun.

Kann sein, dass ich da irgendwo etwas nicht verstanden habe und meine Vorstellungen nicht weit von dem weg sind, was eine Firewall leistet.

Mir geht es aber neben dem Phonehome auch darum, den PC bzw. Internet-Traffic möglichst gering mit Programmen, die tief ins System eingreifen und ständig im Hintergrund mitlaufen, zu belasten.
Ich denke, wenn ich eine Firewall installiere, dann Sygate oder Outpost.

Sygate hatte ich vor längerer Zeit schon mal auf der Platte. Ist in der Bedienung etwas umständlich, lief aber ohne Probleme. Outpost ist für mich ebenfalls Neuland. Wäre schön,wenn du noch mal kurz von deinen ERfahrungen mit der Sygate berichten könntest.

Um noch mal auf Norton zurückzukommen. Du hast richtig getippt. Habe mich mit NAV 2001 und Systemworks 2003 herumgeschlagen. Das Tückische an diesen Programmen war bei mir, dass es z.B. auf meiner ersten Systempartion mit diesem Programm beim Updaten oder Starten Probleme gab, mit der zweiten Installation hingegen nicht. Habe mich deswegen lange mit dem (bemühten) Support von Norton herumgeschlagen, ohne dass es eine Lösung gab (die kam erst fast ein Jahr später). Darüber hinaus habe ich bei Norton - und da sind wir wieder beim Thema - ständig das Gefühl, sich nach außen verbinden zu wollen.

So wurde ständig versucht die Seite "verisign" zu erreichen. Wußte zunächst nicht, von welchen Programm diese Seite "aktiviert" wird. Habe versucht das herauszubekommen. Unter google findet man einiges hierzu. Wie genau verisign in Norton eingebunden ist, habe ich leider nicht verstanden. Habe versucht dieses Problem mit den bei google vorgeschlagenen Lösungen zu beheben, was mir leider nicht gelungen ist. Weiterhin gehört eine keylogger.exe zum Inventar von Norton Systemworks. Auch hier habe ich nicht genau herausbekommen, was es mit dieser Datei auf sich hat.

Letztendlich wurde mir das alles zu nervig und habe Systemworks deinstalliert. Damit war mit verisign-Anfragen, verlangsamten Systemstarts erst einmal Schluss. Wie mir Forumsdiskussionen zeigten hatten viele diese Probleme, andere wiederum in keinster Weise. Wünsche dir, dass die 2004 -Versionen in diesem Punkt besser sind.

Habe ebenfalls überlegt auf UNIX umzusteigen. Vor längerer Zeit ist bei mir eine Knoppix CD-Heft Version gelandet. Es scheint, dass UNIX, was z.B.Bedienung betrifft, große Fortschritte gemacht hat, aber durch die unterschiedlichen Desktops (noch) nicht an den komfortable Bedienung von XP herankommt. Aber das ist vielleicht nur eine Frage der Zeit, wie du schreibst.

Gruß
Wühlmaus

#15 Hi Wühlmaus,

Du schreibst:

Zitat

Ich dachte auch mehr an so etwas wie eine abgestrippte Firewall, die sich lediglich um die Programme kümmert, die (erstmalig) nach draußen Kontakt aufnehmen wollen, um den Anwender zu fragen, ob das o.k. ist oder nicht.

Aber genau das tut doch z.B. die Norton Firewall. Beim ersten Verbindungsversuch eines Programms macht sie den User darauf aufmerksam und fragt ihn, was sie machen soll:
- Automatisch konfigurieren (für bekannte Programme, sind Regeln vordefiniert)
- Blockieren (alles)
- Zulassen (alles)
- Manuell durch den Benutzer konfigurieren lassen
Das funktioniert einwandfrei. Es geht sogar soweit, daß die Firewall bemerkt, ob sich ein Programm z.B. auf Grund eines Updates verändert hat. In dem Fall geht das Spiel von vorne los, d.h. das Programm wird so behandelt, als wäre es total neu und würde zum ersten mal eine Verbindung herstellen wollen. Dieses Verhalten der Firewall ist ja auch richtig, denn nur so ist m.E. eine böswillige Veränderung eines Programms zu bemerken.
Bei neuen Programmen gehe ich immer so vor, daß ich zunächst die Verbindung blockieren lasse. In den Firewalleinstellungen ändere ich dann den Eintrag für das Programm erst einmal auf manuelle Konfiguration, aktiviere die Protokollierung und gebe der Regel eine möglichst aussagekräftige Bezeichnung. Das dient mir dazu um beim nächsten Verbindungsversuch mittels des Firewallprotokolls festzustellen, wohin das Programm telefonieren möchte, welche Ports und welches Protokoll es dazu verwenden will. Sobald ich dann weiß wohin die Reise geht, überprüfe ich mittels einer WhoIs-Abfrage, z.B. bei "Whois Source - Wildcard Domain Search Lookup" http://www.whois.sc/, zu wem die Zieladresse gehört. Mit diesen Informationen kann man anfangen, die Regeln für das Programm festzulegen. Scheint die Zieladresse (oder der Zieladressbereich) in Ordnung zu sein, wird die Kommunikation für das Programm erst einmal auf die Zieladresse (oder den mit WhoIs ermittelten Zieladressbereich) auf die Protokolle und auf die Ports eingeschränkt, die das Firewallprotokoll für das Programm festgehalten hat.
Dabei wird für jeden vom Programm benutzten Port eine eigene Regel erstellt und die Protokollierung dieser Regel eingeschaltet. Wenn das Programm später diese Ports benutzt, findet man im Firewallprotokoll einen entsprechenden Eintrag dazu wieder.
Für Internet-Browserprogramme bringt die Überprüfung der Zieladresse natürlich nichts, den das kann jede beliebige sein, also läßt man für solche Programme alle Zieladressen (Computer) zu.
Wenn man das konsequent für jedes Programm durchzieht gibt es zum Schluß kein einziges Programm mehr, daß unprotokolliert eine Verbindung herstellen kann. Durch die Einschränkung der Programme auf bestimmte Zieladressen wird sichergestellt, daß sie nicht plötzlich und unerwünscht ganz woanders hintelefonieren können. Programme fragen meistens auch DNS-Server über Remote Port 53 ab, also Port 53 auf dem DNS-Server. Die Adressen dieser DNS-Server sind in der Regel immer dieselben und gehören zum Provider. Für T-Online sind das z.B. 194.25.2.129 bis 194.25.2.134. Also beschränkt man die DNS-Abfrage auch auf diese Adressen. Eine Liste von DNS-Servern findet man z.B. bei www.fli4l.de/german/dns.htm. Es kann sein, daß noch der eine oder andere DNS-Server zusätzlich benötigt wird. Die Adresse fügt man einfach der DNS-Regel hinzu.
In der aktuellen Ausgabe 3/2004, S. 124, der Zeitschrift PC MAGAZIN, findest Du übrigens einen interessanten Artikel "Lücke in der Mauer", der sich mit dem Tunneln von Firewalls befasst und in dem unter anderem beschrieben ist, wie auch die DNS-Abfrage von Trojanern missbraucht werden kann.
Die weiter oben genannte Blockierregel, mit der man die Einstellungen für das Programm begonnen hat, muss als letzte Regel für das Programm erhalten bleiben. Das ist notwendig um zu erfahren, was dieses Programm sonst noch will,
eventuell ergeben sich daraus dann noch weitere Einstellungen.
Wenn für das Programm nicht unbedingt erforderlich, sollten eingehende Verbindungen in den Regeln verboten werden (Protokollierung einschalten nicht vergessen).

Zur Sygate-Firewall kann ich Dir leider nichts berichten, das ist schon zu lange her. Die ersten Niederlagen habe ich mir jedenfalls, bis einschließlich Norton Firewall 2002, hauptsächlich durch die eigene Unerfahrenheit und den unzulänglichen Voreinstellungen sowie den Fehlern des Windows-Betriebssystems eingehandelt.

Norton Systemworks 2003 habe ich bis Ende letzten Jahres auch benutzt.
Seit der letzten Neuinstallation, Anfang Januar, benutze ich es nicht mehr, denn ich glaube nicht, daß z.B. Systemworks 2003 und Internet Security 2004 unbedingt fehlerfrei zusammen arbeiten können. Altes mit neuem zu mischen führt meistens zu Problemen.

Das Norton nach Hause telefonieren möchte ist schon klar, wenn die LiveUpdate-Funktion entsprechend eingestellt ist. VersiSign hat nicht direkt was mit dem Norton zu tun. Das es beim SystemWorks eine Datei mit Namen keylogger.exe gab ist mir allerdings auch aufgefallen. Allerdings weiß ich leider auch nicht für was die gut gewesen sein soll.

Gruß
Cascade
__________
Der Pessimist sagt: "Schlimmer, als es jetzt ist, kann es nicht kommen." Der Optimist sagt: "Doch, es kann ..."
Ich bin sehr optimistisch, was die Zukunft angeht ...