Hab gerade Win 2k als Ersatz für ein Windows 98 installiert. SP4 und UR1
ist ebenfalls drauf und alle Patches von Windows Update haben sich
installiert (Virenscanner sowieso). Hängt auch schon am INet via
DSL-Modem. Port 135 ist nach Check noch offen und sollte geschlossen
werden. Frage mich jetzt ob ich in Windows eingreifen soll wie hier
beschrieben

http://www.ntsvcfg.de/

oder aber eine Software-Firewall nutzen?

(oder am Ende beides?)

Was mir an der Skript-Variante (Methode 1) nicht so behagt sind die
Nebenwirkungen und Begleiteffekte die u.U. auftreten, wenn diverse
Registy Einträge abgeändert werden. Auf der anderen Seite sind die PFWs
stark in der Kritik, obwohl ich beim Win98SE mit Zone-Alarm gut klar
gekommen bin (kein Schädlingsbefall). Einen Schalter zu haben, um z.B.
den Acrobat daran hindern zu können sich über das Netz updaten zu
dürfen, hat mir durchaus gefallen.

Im Prinzip ist die Sachlage bei XP ja nicht anders. Abschalten von
Schnittstellen u. Diensten vs PFW?

Wie macht ihr das?

(ich weiß schon was jetzt kommt, ein ordentliches BS verwenden :)
geschenkt, hab auch Linux, da wird die Frage erneut auftauchen ;))

> Hängt auch schon am INet via DSL-Modem.

Ist das ein reines Modem ohne Router und Firewall? Wann ja, würde ich
einen Router mit Firewall dazwischen schalten. Das

- ist nicht so teuer (vor kurzem gab's bei Reichelt ein DSL-564T =
  Modem + Router + Firewall + Switch) für 12€, bei Pollin dasselbe für
  18€),

- ist vertrauenserweckender als eine Software-Firewall und

- schützt gleich mehrere angeschlossene Rechner mit unterschiedlichen
  Betriebssystemen

Das schützt schon mal sehr zuverlässig gegen unautorisierte
Verbindungsaufbauten von außen.

Um auch halbwegs gegen Angriffe geschützt zu sein, bei denen du selber
die Verbindungen aufbaust (bspw. beim Surfen), solltest du die
aktuellsten Patches von MS installieren in der Hoffung, dass
wenigstens die gröbsten Fehler von W2K und IE beseitigt sind.

Mit meinem Geschäfts-PC, mit dem ich über sechs Jahre bis vor kurzem
mit regelmäßig gepatchtem W2K hinter einer Firewall arbeitete, hatte
ich nie ein Viren/Würmer/Trojaner/Cracker-Problem.

> (ich weiß schon was jetzt kommt, ein ordentliches BS verwenden :)

Nimmst du einen Router, ist da mit hoher Wahrscheinlichkeit Linux
drin, damit wären die befürchteten Tipps schon abgehakt ;-)

> geschenkt, hab auch Linux, da wird die Frage erneut auftauchen ;))

S.o.: Nimm einen Router, dann sind alle Rechner geschützt, auch
diejenigen von Besuchern, die mit ihrem Laptop mal schnell ins Netz
wollen.

Ein DSL Router schuetzt schon ganz gut. Zusaetzlich sollte man eine
Software Firewall laufenlassen, diese kontrolliert welche Programmer
kommunizieren wollen. Dann sollte man einen manuellen Mailfilter wie
Mailwasher laufenlassen, der die mail genau untersuchen laesst. Als
mailreader Thunderbird und als Browser firebird mit den NoScript plugin.
Und gut ist.

>Wie macht ihr das?
benutzt du anständiges OS wie bspw. Linux, hast du kein Problem mehr.

BTW: Warum um alles in der Welt installierst du ein Win2k, das hats doch
hinter sich...

@yalu

Danke dir für deine ausführliche Antwort. Patches sind via Windows
Update selbstverständlich eingespielt. Router is momentan nicht (im
Prinzip ist das Modem ein Router. Ich könnte die entsprechenden
Funktionen freischalten, auf der anderen Seite funktioniert das Teil so
recht gut und die Rumpopelei an den Einstellungen (du kennst das sicher)
will ich mir verkneifen, solange das nicht wirklich notwendig ist.) Bin
jetzt den steinigen Weg gegangen und habe manuell all das deaktiviert,
was sonst ein Skript macht (NetBios, Microsoft ds Dienst, Telnet auf
deaktiviert, Remote Zeugs auf manuell etc.) Und schon gleich sieht man
in TCPView den Erfolg ;)

@3348

NoScript verwende ich bereits. Gefällt mir sehr gut.

>benutzt du anständiges OS wie bspw. Linux, hast du kein Problem mehr.

dazu schrieb ich bereits in meinem Eingangstext etwas :)

>BTW: Warum um alles in der Welt installierst du ein Win2k, das hats doch
>hinter sich...

Du wirst es nicht glauben, bis jetzt lief bei mir sogar noch ein Windows
98SE und das ohne jemals gehijakt gewesen zu sein (mache schon lange
Online Banking!). Win2k deswegen, weil ich dafür eine Lizens habe und
weil ich subjektiv den Eindruck habe Win2k läuft flüssiger (bei mir) als
XP. Linux ist für mich keine Alternative sondern nur eine Erweiterung.
Das ergibt sich schon aus einem Teil meiner Hardware die ich habe, die
nicht unter Linux läuft.

Außerdem läuft W2k bis jetzt saugut bei mir, bin also voll zufrieden.
Was will ich mehr?

Das mit dem Router solltest Du Dir allerdings dringendst nochmal
überlegen. Auch wenn alles mögliche deaktiviert ist, ist der IP-Stack
von W2K äußerst löchrig.

>Das mit dem Router solltest Du Dir allerdings dringendst nochmal
>überlegen. Auch wenn alles mögliche deaktiviert ist, ist der IP-Stack
>von W2K äußerst löchrig.

löchriger als der von Windows 98SE?

Vielleicht nicht mehr, aber anders.

@Geniesser

jetzt bin ich mal neugierig, wann ist die letzte sicherheitlücke im
stack von windows2000 aufgetreten? Mir ist keine seit SP3 bekannt.
Wenn du aber meist das wenn ein Port offen ist und darüber ein Angriff
auf den rechen erfolgt ist wohl nicht der STack dran schuld.
Ich bin für die Lösung von http://www.ntsvcfg.de/.

den Meisten leuten rate ich von einer Software firewall ab - die meisten
wissen nicht was ein Port ist. Und wenn ein meldung von der Firewall
kommt wird entweder immer auf Ja geklickt oder immer auf Nein. Dann geht
wieder alles oder z.b. Das Banking Programm geht nciht und keiner
findend die Lösung. Ausserdem ist jeden mir bekannte softwarefirewall
zum umgehen (was auch die tests in cd CT beweissen). Sie hilft also nur
wirklich für software die auf Offizellen weg daten ins internet
übertragen will, jede Software die es drauf anlegt kommt auf daran
vorbei.

Ich kann mir nicht vorstellen, dass W2k unsicherer als Win98 ist.
Löcher, Lücken, Bugs und co hat doch alles was sich bisher Windows
nennt. Ich möchte nicht wissen mit wieviel Schwachstellen ich unter
Win98 bisher am Netz war (oder früher noch mit Win95). Worauf gründet
sich dein geäußertes Misstrauen? Link?

>jetzt bin ich mal neugierig, wann ist die letzte sicherheitlücke im
>stack von windows2000 aufgetreten?

Ähem! Die Frage musst schon an Rufus richten, die Sache mit dem Stack
kam von ihm.

@Geniesser
sorry, stimmt. Danke

@Peter
gern geschehen :)

Software FW hatte ich bis dato auch laufen, aber weniger wegen Angriffen
von außen, sondern damit ich eine Kontrolle hatte, wenn frisch
installierte Software sofort Verbindungen ins Netz aufbauen wollte und
das ging auch ganz gut.