Archiv Windows XP 25.916 Themen, 128.567 Beiträge

Projekt *Safe WindowsXP*

PaoloP / 14 Antworten / Baumansicht Nickles

Hallo liebe Freunde,

Ich bin nun seid, keine Ahungung 12 Jahren mit Windows XP unterwegs und hatte nie Ärger. Mit Viren oder sonstigen Bedrohunngen sowieso nicht. Ich möchte in diesem Thread einen Leitfaden initiereren der klarstellt das eine XP Partition bestenfalls in der Theorie unsicher ist als Winows7 oder 8 Systeme, in der Praxis sieht allles nochmal etwa anders aus.

Let' get started* Eine WindowsXP sollte in jedem Fall das Service Pack 3 installiert haben. Es gibt genügend Profi-Software die sogar den Dienst vergweigert wenn die Vorrausetzungen nicht bestehen(VM-Ware) Neuere Hardware wird unter Umständen versuchen das WDM(Windows Driver Model) zu installieren das man nie wieder los wird.

Okay Fans: Die XP Partition ist auf aufgsetzt. Im besten Falld wir man Windows mittels Tweak UI oder WindowsAntiSpy erstmal seine Schnüffelgewohnheiten austreiben. Als nächstes braucht man aber dringend noch eine gute Firewall. Eine gute Firewall ist ab er nich nur dazu da Eindringlinge von aussen abzuwehren. Ooooh Nein. Eine gute Firewall schützt eine vor noch viel mehr. Programme die nach Hause telefonieren wollen. Programme die andere Programme starten wie die IE um ihre Kommunuikationsfähigkeiten zu missbrauchen.Ich persönliche nutze die Kerio Firewall aber selbst DAU Produkte wie ZoneAlarm sind inzwischen sehr brauchbar. Die Windows Firewall ist nett und gutgemeint aber keine Schadsoftware ein Hinderniss.

Nochmal:Nicht alles wegklicken. Jeder Mensch ist für seine Sicherheit selbst verantwortlich:( das sehen selbst deutsche gerichte so) alle Standardlösungen dieser Welt werden nich helfen wenn man seinen Kopf auschaltet.

Standardsoftware: Ein leeres System ohne Programme, ja das möchte ich auch nicht. Leider ensteht hier ein grosses Probblem weil man beinahe täglichüber neue  neue Zero Day Security Issues liest sowohl für Ms-Offfice Acrobat Reader, Flash und Co.

Wenn das System richtig konfiguriert ist dürfen alle Programme sowieso nicht mit dem Internet komnuzieren oder haben keine sonstige Berechtigungen. Daran ist bisher, nach meiner Erfahrung noch jeder Virus gescheitert. Viren sind schlecht programmiert, bei einer kleinen Unstimmigkeit geben sie auf. Wenn man das versteht  und sich das nur nutze macht ist man WindowsXP nicht schlecht bedient.

WindowsXP bietet um den Factor ^2 mehr Eintellungsmöglichkeiten. Jeder der den Faktor  nich versteht kann kann sich vielleicht an die kleine Geschichte mit dem König  dem Bauern erinnern wo der Bauer immer doppelt soviel viel will wie vorher

WindowsP is ein tolles System das man wohl zu gut gemach hat..Ich werde es solange nutzen bis ich etwas besseres in die Hände bekomme. (Vermutlich nicht von Ballmer MS)

PaoloP Nachtrag zu: „Projekt *Safe WindowsXP*“
Optionen

Teil 2 der losen Serie *Safe WindowsXP* beschäftigt sich noch näher mit dem Problem wie man Security Issues von installierten Programmen begegnen kann. Im Internet kann man dazu genug Horror Märchen nachlesen. Ein verseuchtes .PDF enthält Schadcode der automatisch ausgeführt wird. Ominöse PowerPoint Präsentationen mit Katzenbildern lassen den Computer abstürtzen und danach geht nichts mehr oder alles ist irgendwie komisch.

Regel Nr.1 Update Funktionen jeder Art sind der Feind. Online Updates sind immer das schlimmste Übel. Wie in Folge 1 bereits erwähnt darf sowieso kein Programm niemals einfach so mit dem Internet kommunizieren. Die einzige ist wenn überhaupt der Browser der unter XP niemals der IE sein sollte. (Mehr dazu in der nächsten Folge: Sichereres Browsen unter WindowsXP)

Regel Nr. 1 nach Installationen. Überprüfe deine Browser auf Addins die man dir unterschieben will.

Regel Nr 2 nach Installation. Überprüfe ob Dienste installiert worden sind. Danach prüfe mit einem Tool wie Autostart von SysInternals ob man dir weiteren Schaizz untergejubelt halt. (Erfordert tiefere Kentnisse) Das ist besonders wichtig bei Google Software. Mir ist niemals zuvor eine Software begegnet die so agressiv ihre Updates durchsetzen will. Selbst Viren sind dagegen Kinderkram.

Regel Nr 3 nach Installationen. Suche in den Programmordnern der Anwendung mittels Dateisuche(versteckte Dateien sichtbar etc) auf die Stichworte *Update* und *Script* und lösche alles was sich da findet.

Anwender die einen Sicherheitslösung mit aktiven Kernel Call Debugger installiert haben und diesen auch nutzen sind schwer im Vorteil. Eine Anwendung kann dadurch keinen anderen Prozesss starten ohne das auch genehmigt. Standard Lösungen wie Zone Alarm und Co. bieten dieses Feature das man unbedingt nutzen solle.

Nutzer von MS Office müssen sich eigentlich keine Sorgen machen wenn sie dem IE mit der eben beschriebenen Lösungen Startverbot erteilen. Viele anfällige Plugins kommen dannn sowieso nie zum Zug und das Scripting in Office ist generell sicher wenn man sich nicht so blöd ist irgendwo auf ja zu klicken.

Conclusion: Das einzige Programm das relativ freien Zugriff auf das Internt hat(also Netzwerkkommunaktion ausserhalb des internen Bereichs) ist der Browser dem man immer besonderes Augenmerk widmen sollte(siehe nächste Folge) alles andere hat nix, kann nix und darf nix. Ominöse Programme wie z.B. den Orbit Downloader der sich gerade als Bot Client enttarnt hat muss man meiden, generell muss man im Zweifel eben auch mal auf was verzichen. Security as first.

Wenn man dieses Prinzip ernst nimmt, nämlich das jeder für seine Sicherheit selbst verantwortlich ist dann hat man mit Windows XP, auch 64Bit, ein unfassbar schnelles und effizientes System an der Hand hat das alle Einstellmöglichkeiten offen lässt die neuere Windows Versionen nicht mehr haben, wird man mit Windows XP noch lange viel Freude haben.

Olaf19 PaoloP „Projekt *Safe WindowsXP*“
Optionen

Moin Paolo,

Bevor scheinbar(!) überhaupt niemand deine Ausführungen zur Kenntnis nimmt, schreib ich dir einfach mal :-)

das eine XP Partition bestenfalls in der Theorie unsicher ist als Winows7 oder 8 Systeme, in der Praxis sieht allles nochmal etwa anders aus.

Der Wermutstropfen dabei ist nur, dass Windows XP nur noch ein gutes halbes Jahr von Microsoft weiter gepflegt wird. Danach gibt es keine Updates mehr. Alles, was bis dahin noch an Sicherheitslücken offensteht, wird nicht mehr geschlossen.

Windows XP is ein tolles System das man wohl zu gut gemach hat..Ich werde es solange nutzen bis ich etwas besseres in die Hände bekomme. (Vermutlich nicht von Ballmer MS)

Du könntest ein Dualbootsystem einrichten, mit einer Linux- und einer Windows-XP-Partition, XP komplett vom Netz abklemmen und nur noch mit Linux ins Internet gehen.

Vorteil: Linux-Viren, soweit überhaupt vorhanden, können auf deinem XP-System keinen Schaden anrichten - Windows-Viren wiederum kannst du dir unter Linux nicht einfangen.

Update Funktionen jeder Art sind der Feind. Online Updates sind immer das schlimmste Übel.

Finde ich etwas radikal. Wie, wenn nicht über das Internet, willst du feststellen, ob deine installierte Software noch aktuell ist? Wenn du das bei allen Programmen "manuell" ermitteln willst, hast du viel zu tun - das Update musst du dir dann doch wieder übers Internet laden.

Was spricht dagegen, dass ein installiertes Programm auf dem Server des Herstellers nachschaut, ob dort eine Version vorliegt, die aktueller ist als die derzeit bei dir installierte?

CU
Olaf
presla Olaf19 „Moin Paolo, Bevor scheinbar ! überhaupt niemand deine ...“
Optionen

Moin,Moin Olaf19
Chapeau für Deine Ausführungen;sie sind,davon gehe ich aus,für jeden User verständlich dargestellt!
Cool bis auf einige Wenige,die nicht wissen,das bzw. wie man partioniert!
Oder noch einfacher mehrer FP´s benutzen mit verschiedenen OS.

presla Nachtrag zu: „Moin,Moin Olaf19 Chapeau für Deine Ausführungen sie ...“
Optionen

eCool

Olaf19 presla „e“
Optionen

Vorsicht Presla - du hast einen Vokal gekauft - das kostet 300 EUR! Nur die Konsonanten gibt es kostenlos :-D

Cool bis auf einige Wenige,die nicht wissen,das bzw. wie man partioniert!

Eigentlich funktioniert das selbsterklärend, wenn man mit der Windows-XP-CD (noch nicht DVD! ;-) bootet. In dem von mir skizzierten Szenario müsste man allerdings dafür sorgen, dass erst die Linux-Partition eingerichtet wird. Zum Glück ist das auch bei Debian oder Ubuntu, ähnlich wie bei Windows, schon lange fester Bestandteil der Installationsroutine. Falls es da Unsicherheiten gibt, sollte man die Werte für Root/Swap/Home einfach auf Defaulteinstellungen belassen.

Gerade noch gefunden, ganz aussagekräftig, wenn auch nicht unbedingt für Anfänger:
http://www.pro-linux.de/kurztipps/2/1562/

CU
Olaf
PaoloP Olaf19 „Moin Paolo, Bevor scheinbar ! überhaupt niemand deine ...“
Optionen

Hallo Olaf,
Ich kotz mich nur aus, mir wurscht ob das wer liest ;)

Erstes Problem ist du hast keine Kontrolle darüber welche Daten übertragen und was der untergejubelt wird. Wir haben ein schon paar mal erlebt das man da auch unliebsame Extras auch von namenhaften Herstellern untergejubelt bekommt. Grundsätzlich sollte man vor einer Installation das System vom Netz nehmen und den Kernel Debugger/Sicherheitsextras so scharf wie möglich schalten. Nach der Installation (Sicherheitsneustart) muss man sein System erstmal gründlich untersuchen auf Dienste/Addons etc. Tools wie Autostart von SysInternals helfen da. Wie will man das machen wenn zig Programme jederzeit online irgenwelchen Quatsch ziehen und das System verändern können? Ich habe seit gut 10 Jahren keine Online Updates mehr aktiv und nie Probleme gehabt, es geht also. Offline Updates sind bei mir durchaus gern gesehen, wenn das jeweilige Programm dadurch nicht verschlimmbessert wird. Oftmals gefallen mir ältere Versionen von Programmen besser, Beispiel:WinAmp. Dadurch habe ich in der Theorie natürlich sogar mehr Sicherheitslücken als z.B. ein aktuelles Win7, die Praxis sieht aber nochmal anders aus und gibt mir in meinem Fall recht. Diese Verteufelung von XP die gerade umgeht ist schon sowas wie Propaganda.

Microsoft hat Glück gehabt das der Wechsel von 32 zu 64Bit Systemen in diese Zeit fällt und die Treibersituation für 64Bit XP dadurch etwas Mau aussieht. Ansonsten wäre der Anteil an XP Systemen wohl um ein vielfaches höher. MS hat diese Gefahr wohl erkannt und hält den Preis für die 64 Bit Version von XP immer noch bei mehreren hundert Dollar damit auch keiner auf die Idee kommt das zu probieren. (google mal)

Borlander PaoloP „Hallo Olaf,Ich kotz mich nur aus, mir wurscht ob das wer ...“
Optionen
Erstes Problem ist du hast keine Kontrolle darüber welche Daten übertragen und was der untergejubelt wird

Die Kontrolle hast Du bei manueller Kontrolle aber auch nicht im größeren Umfang. Das Windows-Update kannst Du immerhin auf halb automatisch einstellen, so dass Du vorab noch alle Updates abnicken musst.

Beispiel:WinAmp. Dadurch habe ich in der Theorie natürlich sogar mehr Sicherheitslücken

Nicht nur in der Theorie. Bei einer alten WinAmp-Version könnte schon das abspielen einer MP3 zur Codeausführung ausreichen…

MS hat diese Gefahr wohl erkannt und hält den Preis für die 64 Bit Version von XP immer noch bei mehreren hundert Dollar damit auch keiner auf die Idee kommt das zu probieren.

Soweit ich mich erinnere wurde der Verkauf von XP-Lizenzen schon lange eingestellt. Da bezahlst Du also eher die knappe Verfügbarkeit von XP64-Lizenzen mit.

Diese Verteufelung von XP die gerade umgeht ist schon sowas wie Propaganda.

Ich sehe da keine Verteufelung. Das Problem sind eher die User die sich der Gefahren durch Software die nicht mehr mit Sicherheitsupdates versorgt sind nicht bewusst sind…

Gruß
Borlander

PaoloP Borlander „Die Kontrolle hast Du bei manueller Kontrolle aber auch ...“
Optionen

Wie gross der Umfang der Kontrolle ist, darüber liesse sich trefflich streiten. Es hängt viel davon ab wie gut man sich auskennt. Also Windows Desktop Entwickler der alten Schule bin ich da im Vorteil. Tatsache ist das der Grad der Kontrolle so sehr viel grösser oder überhaupt existent ist.

Mit Winamp bin ich bisher gut gefahren allerdings beziehe ich auch keine Mp3's aus unsicheren Quellen. Allerdings ist das Einfallstor, nicht nur in der Theorie,  da hast du recht. Da würde ich im Zweifel auf den Media Player Classic ausweichen.

Ich kann als Technet Abo Kunde sogar noch Windows 3.11 downloaden (leider schreibt MS nicht die Downloadzahlen dahinter) Mir wurde jedenfalls zugetragen das der hohe Preis Absicht ist, die Verknappung kommt aber sicher nochmal dazu.

Wenn ich die Welle sehe die MS macht inkl. Todesuhr usw. komme ich zu einem anderen Schluss. Sowas hats bei Microsoft noch nie gegeben. Die werden meisten XP User schon soweit gängeln das sie wechseln einfach dadurch das die neueren Produkte auf XP den Dienst verweigern (Beispiel .NET 4.5 das nur aus Produktstrategie nicht auf XP läuft).

PaoloP Borlander „Die Kontrolle hast Du bei manueller Kontrolle aber auch ...“
Optionen

Kurze Frage: Welches Windows Version benutzt du denn? Keine oder?

Ich würde gerne zu Debian wechseln, aber es so kirre es klingt, es gibt wenig bis gar keine Hilfe für wechselwillige Windows Power User die ihr System auch im Griff haben wollen. Nur so Quatsch a là Mike Nickles - wie kann ich meine Videos abspielen. Gerade für Debian gelten da aber höhere Ansprüche. Hast du da Ratschläge für mich die konzeptionellen Unterschiede der System zu begreifen in Theorie und Praxis?

Borlander PaoloP „Kurze Frage: Welches Windows Version benutzt du denn? Keine ...“
Optionen
Welches Windows Version benutzt du denn? Keine oder?

Windows läuft bei mir für gewöhnlich nur noch in VMs. Da größtenteils XP. Zum Ende des Supportzeitraums, oder vielleicht eher sogar schon zum Ende des jahres werde ich die auf Win7 oder Win8.1 umstellen. Je nachdem was dann schlanker ist. Die eine oder andere VM werde ich dann vielleicht auch noch aus Kompatiblitättsgründen weiter betreiben müssen, aber dann wäre es wohl an der Zeit die Netzwerkverbindung zu kappen.

es gibt wenig bis gar keine Hilfe für wechselwillige Windows Power User die ihr System auch im Griff haben wollen.

Also erst einmal würde ich behaupten, dass Du mit Debian Dein System im Griff haben kannst ohne erst irgendwelche Verrenkungen zu machen. Die Voreinstellungen sind da grundsätzlich eher sehr restriktiv, so dürfen z.B. Serverdienste durch SELinux nur auf bestimmte Verzeichnisse zugreifen. Viele Dinge die Komfort bringen (und dabei potentiell "gefährlich" sein könnten) musst Du erst explizit installieren oder freischalten, also vollkommen anderes als unter Windows. Wenn Du die vollkommene Kontrolle haben willst dann kannst Du auch LSF nutzen, aber davon würde ich dann doch eher abraten weil Du die Versorgung mit Sicherheitsupdates nicht alleine leisten kannst. Zu den Konzeptionellen Unterschieden zwischen Windows und Linux habe ich spontan keine Referenz. Dass Dir bei Updates irgendwelche Sinnlos-Toolbars untergeschoben werden musst Du bei Linux über die Paketverwaltung allerdings nicht befürchten…

Olaf19 Borlander „Windows läuft bei mir für gewöhnlich nur noch in VMs. Da ...“
Optionen
Zu den Konzeptionellen Unterschieden zwischen Windows und Linux habe ich spontan keine Referenz.

Ist eben ein weites Feld ;-)

Ganz brauchbar liest sich das Linux-Kompendium:
http://de.wikibooks.org/wiki/Linux-Kompendium:_Linux_und_Windows_-_ein_Vergleich

Etwas alt, aber nett zu lesen:
http://www.felix-schwarz.name/files/opensource/articles/Linux_ist_nicht_Windows/

CU
Olaf
Olaf19 PaoloP „Hallo Olaf,Ich kotz mich nur aus, mir wurscht ob das wer ...“
Optionen
Wir haben ein schon paar mal erlebt das man da auch unliebsame Extras auch von namenhaften Herstellern untergejubelt bekommt.

Das passiert aber eher bei der Neuinstallation einer Software, wenn der Anwender sämtliche Toolbars und sonstigen Gimmicks, die per Default angehakt sind, einfach mit abnickt. Bei Updates sollte so etwas nicht passieren, und wenn doch - Time to change...

Wie will man das machen wenn zig Programme jederzeit online irgenwelchen Quatsch ziehen und das System verändern können?

Nun ja, Verbesserungen an der Sicherheit, Stabilität, Zuverlässigkeit und Funktionalität von Software möchte ich nicht unbedingt als "irgendwelchen Quatsch" abtun wollen. Sicherlich kann ein Update auch einmal in die Hose gehen, aber das ist ja nun nicht der Regelfall. Eher ist es so, dass allzu lautstark darüber berichtet wird, wenn es einmal passiert.

Wie Borlander schon schreibt, auf die Preise von Windows XP-Lizenzen hat Microsoft inzwischen keinen Einfluss mehr, da sie dieses System offiziell schon länger nicht mehr vertreiben.

CU
Olaf
Borlander Olaf19 „Das passiert aber eher bei der Neuinstallation einer ...“
Optionen
Das passiert aber eher bei der Neuinstallation einer Software, wenn der Anwender sämtliche Toolbars und sonstigen Gimmicks, die per Default angehakt sind, einfach mit abnickt. Bei Updates sollte so etwas nicht passieren, und wenn doch - Time to change...

Bei Oracles Java (JRE) für Windows muss man bei jedem Update manuell die Sinnlostoolbar deaktivieren.

Bei Adobe Flash und dem Adobe Reader bin ich mir nun gerade nicht sicher, aber die Updates dort haben in jedem Fall ebenfalls ein extremes Nerv-Potential…

Olaf19 Borlander „Bei Oracles Java JRE für Windows muss man bei jedem Update ...“
Optionen
Bei Oracles Java (JRE) für Windows muss man bei jedem Update manuell die Sinnlostoolbar deaktivieren.
 
Puuh... das ist hart. Zumal die Updates bei der Runtime Engines aus Sicherheitserwägungen bitter nötig sind.

Ich bin noch einen Schritt weitergegangen - ich habe gar keine JRE installiert. Wann immer eine Software - z.B. LibreOffice - oder Website danach fragt, winke ich ab. Das ist zum Glück so selten, dass ich dann auch ganz darauf verzichten kann.

CU
Olaf