wie schützt ihr euren home-pc ?

[real_tarantoga 11]

du drehst dich immer um das passwort - das ist für mich diskussionslos richtig, was du diesbezüglich sagst. was du beschreibst, gilt so egal, ob ich nun einen originären oder umbenannten account besitze oder nicht. der einzige unterschied besteht im "überraschungsmoment" (etwas unglückliche wortwahl, aber du verstehst mich schon). ich habe dadurch eine bessere ausgangsposition als opfer. nicht nur durch die irreführung eines teils der angreifenden, sondern auch durch die auffälligkeit, wenn jemand versucht mit diesem account egal was, anzustellen. sobald der admin mir "über den weg" läuft, weiss ich, dass intern oder extern jemand versucht hat, unrecht zu tun. um mehr geht es nicht.

 

edit1: habe mal gregs passworttest ausprobiert.

admin-gast: 30 jahre

echter admin: 28 jahre - vielleicht sollte ich mal tauschen ;)

[blub 115]

ich hab dich bzw. andere so interpretiert, dass es relativ unkritisch ist, wenn der Gastaccount nach 2 Tagen fällt. Das ist wie oben beschrieben m.E. gefährlich.

Und nochmal die Frage: wozu der Pseudoaccount: Hab ich dadurch die Legitimation den echten Administrator bzw. alle Mitglieder der Admingruppen weniger zu monitoren und zu auditen? Kein bischen.

Kann mir hingegen ein enableder Gastaccount gefährlich werden? Sehr wohl.

 

----

Hab gerade meine DownloadBibliothek durchforstet :cool:

Es gibt ein Worddokument von Microsoft: "Sicherheitseinstellungen unter Windows Server 2003 .doc" , hab ich mir irgendwo bei MS runtergeladen, ich kanns dir auch schicken. Dort sind empfohlene Security-Settings:

Ganz unten letzter Satz: "keine Auswirkungen :) "

 

 

 

-------

Konten: Gastkontenstatus

Diese Sicherheitseinstellung bestimmt, ob das Gastkonto aktiviert oder deaktiviert ist.

Die möglichen Werte für diese Einstellung sind:

• Aktiviert

• Deaktiviert

• Nicht konfiguriert

Sicherheitslücken

Indem sie sich als Gast anmelden, könnten nicht authentifizierte Netzwerkbenutzer über dieses Konto einen Systemzugriff erlangen und auf Ressourcen zugreifen. Und zwar auf alle Ressourcen, die den Zugriff für das Gastkonto, die Gruppe Gäste oder die Gruppe Jeder gestatten. So könnte es zum Verlust oder einer Kompromittierung von Daten kommen.

Gegenmaßnahmen

Setzen Sie die Einstellung auf Deaktiviert, so dass das Gastkonto nicht mehr zu Verfügung steht.

Mögliche Auswirkungen

Alle Netzwerkbenutzer müssen sich vor einem Zugriff auf die freigegebenen Ressourcen des Systems authentifizieren. Wenn das Gastkonto deaktiviert ist, und die Option Netzwerkzugriff: Freigabe- und Sicherheitsmodel auf die Einstellung Nur Gast gesetzt ist, schlagen anonyme Netzwerkanmeldungen fehl. Solche Netzwerkanmeldungen werden zum Beispiel vom Microsoft Network Server (SMB-Dienst) durchgeführt. Da die Standardeinstellung unter Windows Server 2003, Windows 2000 und Windows XP Deaktiviert ist, sollten die Auswirkungen für die meisten Organisationen gering sein.

------

 

und

------

Konten: Gastkonto umbenennen

Diese Einstellung legt den Kontonamen fest, der für die SID des Gastkontos verwendet wird.

Die möglichen Werte für diese Einstellung sind:

• Ein benutzerdefinierter Text

• Nicht konfiguriert

Sicherheitslücken

Das Administratorkonto existiert auf allen Windows 2000-, Windows Server 2003- und Windows XP Professional-Computern. Daher sollte es Angreifern durch eine Umbenennung schwerer gemacht werden, durch einfaches Raten einen Zugriff über dieses Konto zu erlangen.

Gegenmaßnahmen

Geben Sie über die Einstellung einen neuen Namen für das Gastkonto an.

Mögliche Auswirkungen

Da das Gastkonto unter Windows Server 2003, Windows 2000 und Windows XP als Standardeinstellung deaktiviert ist, sollte es keine Auswirkungen geben.

------

[real_tarantoga 11]

nein, dieser admin ist kein einfacher gastaccount. da hängt noch'n büschn mehr arbeit dran ;)

[blub 115]

falls es jemanden interessiert:

 

 

Bedrohungen und Gegenmaßnahmen:

Sicherheitseinstellungen unter Windows Server 2003 und Windows XP

 

http://www.microsoft.com/germany/ms/technetdatenbank/overview.asp?siteid=600247

 

cu

blub

[real_tarantoga 11]

jo, will auch mal 2 zum ursprünglichen thema besteuern

 

http://www.ernw.de/download/hardeningw2k.pdf

http://technet.microsoft.at/includes/file.asp?ID=3239

[auer 10]

@qt11283: Wenn ich am Rechner sitze, bin ich praktisch ständig per DSL online - Netz muß schon sein, das brauche ich dauernd.

 

Ich hatte mir den Rechner (Dell mit vorinstalliertem XP) mit PartitionMagic so konfiguriert, daß ich nur noch ein relativ kleines C: habe. Den reinen Lesezugriff auf C:\ bekommt man unter XP, wenn ich es richtig weiß, bei jedem neuen Benutzer mitgeliefert. Bei W2K muß man das m.W. alles erst einrichten - per CACLS oder rechter Maustaste, dasselbe gilt für die Registrierungsschlüssel unter HKLM. Dann einen neuen Nutzer einrichten - der heißt bei mir sinnigerweise surf-work und als dieser neu anmelden, das ist praktisch meine normale Arbeitskennung.

 

Starte per Ausführen einmal cmd.exe, starte runas /user:admin cmd.exe - dann kriegst Du eine DosBox mit Adminrechten. Mit Compmgmt.msc öffnet sich die Computerverwaltung, mit sysdm.cpl bsp. die Systemeigenschaften (Arbeitsplatz - Rechte Maus), das klappt mit fast allen *.cpl - Dateien in .\System32. Für gewisse Aktionen habe ich einen Nutzer working, der darf ziemlich viel auf E:\ schreiben, surf-work hat nur Schreibzugriff auf E:\Temp. Eine DosBox für working, aus dieser Word starten - das ist einmalig aufwändiger als über's Startmenü, durch den Ruhezustand bleibt das über Wochen nutzbar. Damit laufen alle Programme, die ich über's Startmenü starte, zunächst unter der minimalen Kennung - ich kann sie ja auch per Hand unter einer höheren Kennung starten.

 

-------------

Gruß, Auer

[alex-cross 10]

hallo zusammen,

 

vielen dank schon mal für die antworten...

...und die bonus-diskussion ;)

 

 

@BABA: welche firewall u. welche tools? danke.

 

 

wie sieht´s mit den anderen aus...?

 

welche (sw-)firewall ist die eurer meinung nach die beste für homies?

 

 

gruß,

alex