Viren, Spyware, Datenschutz 11.259 Themen, 94.816 Beiträge

Verfolgung starten Optionen

NTSVCFG-Script modifizieren für Domänen-PCs?

Sovebämse / 12 Antworten / Baumansicht Nickles

Ich habe gerade gelesen, dass man bei PCs welche in einer Domäne (Server) sind, nicht mit dem NTSVCFG-Skript "behandeln" sollte. 1. warum nicht und 2. wie kann man das Skript so abändern bzw. welche Punkte müsste man bleiben lassen, damit noch alles stabil läuft aber trotzdem die Sicherheit gewährleistet ist? Ich versteh nicht, wozu man ein Skript macht, wenn man es dann ja sowieso nicht verwenden darf. Die Wenigsten sind zwar an einer Domäne, aber trotzdem, was machen jene, welche an einer Domäne sind und die Sicherheit trotzdem wollen, ohne eine Desktop-Firewall zu installieren, die ja ohnehin nicht den gewünschten Erfolgt bringt...

bei Antwort benachrichtigen
GarfTermy Sovebämse „NTSVCFG-Script modifizieren für Domänen-PCs?“
Optionen

1. weil wichtige dienste, die zum betrieb in einer domäne notwenig sind, abgeschaltet werden
2. das script ist innerhalb einer domäne, die sich ja hinter einer firewall befindet, überflüssig

"...Ich versteh nicht, wozu man ein Skript macht, wenn man es dann ja sowieso nicht verwenden darf...."

die meisten firmen haben domänen - du bei dir @home brauchst eine arbeitsgruppe.

sicherheit kann man auch oihne dieses script schaffen. das abschalten von diensten allein ist nur eine möglichkeit von vielen. in domänen ist es die schlechteste möglichkeit, weil sie viele probleme verursacht.

btw...

was ist denn nach deiner kenntnis eine domäne?

;-)

The two basic principles of Windows system administration: For minor problems, reboot For major problems, reinstall
bei Antwort benachrichtigen
Sovebämse GarfTermy „1. weil wichtige dienste, die zum betrieb in einer domäne notwenig sind,...“
Optionen

Keine Ahnung, was eine Domäne ist, wie ich das genau beschreiben würde. Mein Nachbar hat mir das eingerichtet mit dem Server. Aber es muss doch möglich sein, zu sagen, welche Punkte des Skripts nicht umgesetzt werden dürfen, damit die Stabilität noch gewährleistet ist? Ich benutze auch eine Firewall (IP-Cop) auf einem separaten Rechner vor dem Server, aber mit dem Skript wäre es wohl noch etwas sicherer.

bei Antwort benachrichtigen
GarfTermy Sovebämse „Keine Ahnung, was eine Domäne ist, wie ich das genau beschreiben würde. Mein...“
Optionen

was verstehst du denn nicht?

HINTER einer firewall ist das ausschalten von diensten aus sicherheitsgründen ÜBERFLÜSSIG.

warum?

ein ausgeschalteter dienst öffnet keine ports nach außen.

und?

eine firewall macht genau auch das - ports nach außen schließen.

und weiter?

doppelt ist hier nicht besser - sondern überflüssig. zu ist zu.

befass dich lieber mit dingen, die wirklich sinn machen - wenn schon domäne - lerne zb deinen server richtig administrieren.

;-)

The two basic principles of Windows system administration: For minor problems, reboot For major problems, reinstall
bei Antwort benachrichtigen
Sovebämse GarfTermy „was verstehst du denn nicht? HINTER einer firewall ist das ausschalten von...“
Optionen

Soviel ich weiss, machen Firewalls Ports nicht zu, sondern überwachen diese nur, ist das nicht korrekt? Oder trifft das nur auf Desktop Firewalls zu?

Aber wenn die IP-Cop Firewall sicher ist, dann hat sich das mit dem Skript wohl erübrigt. Gilt das auch für alle anderen Schritte, welche zusätzlich unter www.ntsvcfg.de erläutert sind?

Die Frage aber, ob man Programme wie Office nun als Administrator oder auch als Benutzer mit Administratorrechten installieren soll, wurde noch nicht beantwortet (anderer Thread). Ich hab gelesen, es ist eben nicht genau das Gleiche, ob der Administrator etwas installiert oder ein Benutzer mit Administratorrechten. Mit den Administratorrechten hab ich auch ein Problem: man sagt ja immer, dass man nicht mit Admin-Rechten ins Netz soll, andererseits heisst es aber auch, dass man dann beim Arbeiten mit gewissen Programmen Probleme bekommen kann, welche unbedingt mit Administrator-Rechten ausgeführt werden müssen. Bzw. dass allgemein Windows Probleme machen kann.

bei Antwort benachrichtigen
GarfTermy Sovebämse „Soviel ich weiss, machen Firewalls Ports nicht zu, sondern überwachen diese...“
Optionen

"...Soviel ich weiss, machen Firewalls Ports nicht zu, sondern überwachen diese nur, ist das nicht korrekt?..:"

au weia!

eine der hauptfunktionen ist das schließen von ports.

"...Aber wenn die IP-Cop Firewall sicher ist, dann hat sich das mit dem Skript wohl erübrigt. Gilt das auch für alle anderen Schritte, welche zusätzlich unter http://www.ntsvcfg.de erläutert sind? ..."

regelmäßi updaten, virendefinitionen, backup - all das ist nach wie vor erforderlich. eine gut konfigurierte firewall ist gut - aber nur im zusammenspiel aller maßnahmen kannst du eine hohe sicherheit erreichen.

"...Die Frage aber, ob man Programme wie Office nun als Administrator oder auch als Benutzer mit Administratorrechten installieren soll, ..."

programme installiert man als admin - oder mit adminrechten. die wirkung ist identisch.

den computer sekbst benutzt man aber nicht als admin - sondern als benutzer. daraus können probleme entstehen, die kann man dann aber auch lösen ...wenn´s soweit ist.

;-)

The two basic principles of Windows system administration: For minor problems, reboot For major problems, reinstall
bei Antwort benachrichtigen
xafford Sovebämse „Soviel ich weiss, machen Firewalls Ports nicht zu, sondern überwachen diese...“
Optionen
Soviel ich weiss, machen Firewalls Ports nicht zu, sondern überwachen diese nur, ist das nicht korrekt?

Ja und Nein. Eine Firewall kann einen Port nicht schließen, da ein Port nur innerhalb des Netzwerkstapels eines Rechners existiert, bzw in den Kopfdaten von Netzwerkpaketen. Da eine Firewall, über welche wir hier reden, ein eigenständiges System ist, kann diese natürlich nicht auf anderen Rechnern irgendwelche Ports schließen. Überwachen ist aber auch nicht unbedingt die Aufagbe einer Firewall, eher eines Intrusion-Detection-Systems. Mache aus "überwachen" "filtern" und deine Aussage stimmt.

Btw, auch eine Desktopfirewall macht einen Port nicht zu, sie blockiert nur den Zugriff darauf.

Die Frage aber, ob man Programme wie Office nun als Administrator oder auch als Benutzer mit Administratorrechten installieren soll, wurde noch nicht beantwortet (anderer Thread). Ich hab gelesen, es ist eben nicht genau das Gleiche, ob der Administrator etwas installiert oder ein Benutzer mit Administratorrechten.

Es macht keinen Unterschied. Administrator ist nur ein Account mit der Mitgliedschaft in der Administratorengruppe, der eben aus historischen Gründen Administrator heißt. In großen Netzen mit vielen Administratoren nutzen auch nicht alle den einen Account namens Administrator.

Etwas anderes ist es unter Linux, da ist der User root schon noch einmal ein speziellerer Account.
Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen
Sovebämse xafford „Soviel ich weiss, machen Firewalls Ports nicht zu, sondern überwachen diese...“
Optionen

Danke für deine Antwort. Mit dem Skript wäre es einfach doppelt abgesichert, falls die Firewall mal versagen würde. Aber eben nur schon wegen Geschwindigkeits- bzw. Speichervorteilen kann man ja unbenötigte Dienste deaktivieren. Gibt es irgendwo eine Übersicht, welche Dienste man deaktivieren oder manuell stellen soll, wenn ein PC in einer Domäne ist? Es muss doch irgendwelche Administatoren geben, die das beruflich machen müssen, die sollten doch sicher so eine Liste / ein Skript haben, damit sie es nicht jedes Mal neu machen müssen.

bei Antwort benachrichtigen
GarfTermy Sovebämse „Danke für deine Antwort. Mit dem Skript wäre es einfach doppelt abgesichert,...“
Optionen

"...Es muss doch irgendwelche Administatoren geben, die das beruflich machen müssen, ..."

beruflich - unser netz ist mehrere 10.000 clients groß - wird nur die xp-firewall deaktiviert. mehr nicht.

;-)

The two basic principles of Windows system administration: For minor problems, reboot For major problems, reinstall
bei Antwort benachrichtigen
xafford Sovebämse „Danke für deine Antwort. Mit dem Skript wäre es einfach doppelt abgesichert,...“
Optionen

Klar gibt es Leute, die das beruflich machen, unter anderem habe auch ich diese undankbare Aufgabe ;o)... aber man kann dies so lauschal nicht beantworten, da allein der Hinweis auf eine Domäne noch nicht wirklich viel über das Netzwerk sagt. Wenn es nur um eine Domänenanmeldung geht, so kann man ziemlich viele Dienste abschalten ohne Probleme zu bekommen. Jedoch kann in einer Domäne noch wesentlich mehr passieren, was je nach Szenario andere Dienste erfordert. Als kleines Beispiel, wie haben in einem Subnetz den Zentralen Registrierungsdienst deaktiviert gehabt vor längerer Zeit (war so lange her, dass es keinem mehr bewusst war), alsl wir auf einen anderen Virenscanner mit zentraler Updateverwaltung umgestiegen sind klappte dies in allen Telnetzen, außer in diesem. Weder Eventlogs, noch Fehlermeldungen gaben Auskunft über die Ursache des Problems, bis uns eben auffiel, dass besagter Dienst daktiviert war.
Was ich damit sagen will, je nach Szenario können ganz unterschiedliche Dienste notwendig sein. Man kann aber viele Dienste auf "manuell" als Starttyp umstellen, ohne das System gleich unbenutzbar zu machen, aber man muß trotzdem vorsichtig mit der Dienstekonfiguation umgehen. Man kann auch manche Dienste ohne negative Praxiseffekte deaktivieren, nur häufen sich dann die Fehlermeldungen in den Eventlogs, obwohl es eigentlich keine spürbaren Fehler gibt.
Im Internet gibt es jedoch verschiedene Listen mit genauerer Erläuterung der Dienste und ihrem Zweck, ebenso Hinweise, was man relativ gefahrlos deaktivieren kann. Noch als Zusatz, die wenigsten Windows-Dienste öffnen einen eigenen Port.

Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen
Sovebämse xafford „Klar gibt es Leute, die das beruflich machen, unter anderem habe auch ich diese...“
Optionen

Vielen Dank für diese ausführliche Antwort.

So hab ich mir das gedacht. Scheint also individuell zu sein. Wie ist das eigentlich mit den Fehlern die in den Eventlogs aufgezeichnet werden? Stören diese auch das System (Verlangsamung) oder in diesen Fällen, wie du sie genannt hast, haben sie gar keinen Effekt? Oder kann man diese vermeintlichen Fehler auch irgendwie zum Verschwinden bringen durch weitere Massnahmen?

Im NTSVCFG-Skript werden ja ausser den eigentlichen Diensten, die man unter der Systemsteuerung sieht, auch noch andere Dinge abgestellt, z.B. irgendwelche Bindungen am Netzwerkadapter. Wie stehts mit dem?

Also bei mir ist die Domäne zu Folgendem notwendig: ich hab dort einen zentralen Virenschutz, von dem aus die Updates beim Start per BATCH eingespielt werden. Dann habe ich Ordner auf dem Server, welche nur einem spezifischen Benutzer zugänglich sind (HOME) und ein TRANSFER, wo alle Zugriff haben. Ausserdem wird dann noch per WLAN ein Drucker ins Netzwerk integriert. Auf dem Server gibt es ausserdem noch DNS-Adressen, welche mit den Clients synchronisiert werden Eine IP-Cop Firewal auf separatem Rechner ist der Gateway und macht auch das PPPOE fürs Internet. Das ist eigentlich alles was innerhalb der Domäne genutzt wird.

Ich fühle mich einfach noch sicherer, wenn alle möglichen Dienste usw. deaktiviert sind oder auf manuell gestellt. Welche Dienste sind denn besonders wichtig in einer Domäne, welche per NTSVCFG-Skript deaktiviert werden würden?

bei Antwort benachrichtigen
GarfTermy Sovebämse „Vielen Dank für diese ausführliche Antwort. So hab ich mir das gedacht....“
Optionen

"...zentralen Virenschutz, von dem aus die Updates beim Start per BATCH eingespielt werden...."

dafür brauchst du keine domäne - jeder client kann das alleine. ein vernünftiger virenscanner für netzwerke erledigt so eine aufgabe außerdem nicht zu fuß per batch, sondern automatisch über das netzwerk, einfach so - ganz nebenbei.

"...Dann habe ich Ordner auf dem Server, welche nur einem spezifischen Benutzer zugänglich sind (HOME) und ein TRANSFER, wo alle Zugriff haben...."

dafür brauchst du ebenfalls keine domäne - hier reichen ganz normale freigaben und angelegte benutzer.

"...Das ist eigentlich alles was innerhalb der Domäne genutzt wird. ..."

mit active directory - oder ohne?

The two basic principles of Windows system administration: For minor problems, reboot For major problems, reinstall
bei Antwort benachrichtigen
xafford Sovebämse „Vielen Dank für diese ausführliche Antwort. So hab ich mir das gedacht....“
Optionen

Ich muß mich da ausnahsweise mal gerftermy anschließen, eine Domäne ist in dem von Dir geschilderten Fall eigentlich reine Spielerei. Eigentlich würde schon ein einfacher Samba-Server mit reinen Freigaben die von Dir geschilderten Anforderungen erfüllen.

Um mal auf die Fehler im Eventlog einzugehen, ich habe noch nie ein Windows-System gesehen, das keine Fehler im Eventlog hat, selbst wenn alles reibungslos läuft. Wirkliche Probleme gibt´s eigentlich nur, wenn man versehentlich beim Eventlog eingestellt hat, dass alte Einträge nicht überschrieben werden dürfen und es irgendwann voll läuft ;o)

Bindungen auf Netzwerkkarten kann man (und sollte man in gewissen Umgebungen) auch deaktivieren. NetBIOS over TCP/IP braucht man zB je nach Netzaufbau nicht und es stellt einen Angriffsvektor dar. Ebenso DCOM, welches sich jedoch schwerer deaktivieren lässt.

Unverzichtbar in einer Domäne sind natürlich Anmeldedienst, Serverdienst, unter Umständen Kerberos, DNS-Server bei ActiveDirectory, je nach Konfiguration der DHCP-Client-Dienst und der DHCP-Server, eventuell der IIS, Intelligenter-Hintergrundübertragungsdienst und Automatische Updates etc (die Liste ist unvollständig)

Was man relativ sorgenfrei deaktivieren (besser auf manuell stellen) kann sind die Ablagemappe, Anwendungsverwaltung, DNS-Client (wenn man einen DNS im eigenen Netz hat oder einem der erhöhte Traffic egal ist), Designs, DHCP-Client (wenn man feste IPs nutzt) und DHCP-Server, Fehlerberichterstattungsdienst, ... ich hör jetzt mal auf, die Liste wird zu lange und wird eh unvollständig. Schau einfach mal auf http://www.windows-tweaks.info/html/dienste.html da werden die Dienste ganz kurz erklärt (die Hinweise zur Deaktivierung gelten aber auch hier für Einzelplatzrechner). Allerdings ist die Erklärung manchmal etwas oberflächlich (hatte gerade keine andere Liste zur Hand), der Webclient ist zB nicht richtig erklärt (es handelt sich dabei nämlich ganz schlicht um einen WebDAV-Client).

Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen