|
|
 | Sikring af WindowsXP
Fra : Kasper Dupont |
Dato : 18-11-03 07:31 |
|
Jeg er i gang med at sikre en Windows XP maskine, så den kan sættes
på nettet. Mens maskinen har været placeret bag en firewall har jeg
downloadet og installeret de nødvendige opdateringer.
Under avancerede egenskaber for TCP/IP har jeg slået NetBios fra.
Jeg har været inde i Administration/Tjenester for at disable alle
unødvendige services, som ellers ville lytte på nettet.
Jeg har disablet IPSEC som lyttede på port 500. Jeg har disablet
Messenger, som jeg har læst ellers kan give problemer (men der blev
åbenbart ikke lukket nogen porte ved det). Jeg har disablet SSDP
(UPnP) som lyttede på port 5000. Og jeg har disablet Windows Time
(NTP serveren) som lyttede på port 123.
Maskinen sender ikke mere NTP forespørgsler ved opstart, så jeg
spekulerer på, om jeg også har disablet NTP klienten.
Der er stadig nogle åbne porte, jeg ikke kan gennemskue hvilke
services tilhører. Det drejer sig om 135/tcp, 445/tcp, 1025/tcp og
445/udp. Denne liste kan jeg se med "netstat -ano". Jeg kan godt nok
se PID på ejerne af portene, men der står ikke PID i joblisten, så
hvordan finder jeg ud over, hvad PID dækker over?
Jeg overvejer også, at installere en anden browser og email klient
på maskinen, da Microsofts egne ikke har noget godt ry.
--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */
| |
 Soren Rathje (18-11-2003)
| Kommentar
Fra : Soren Rathje |
Dato : 18-11-03 08:30 |
| | |
Kasper Dupont (18-11-2003)
| Kommentar
Fra : Kasper Dupont |
Dato : 18-11-03 23:03 |
|
Soren Rathje wrote:
>
> "Kasper Dupont" <kasperd@daimi.au.dk> wrote in message
> news:3FB9BCBE.519993DD@daimi.au.dk...
> >
> > Der er stadig nogle åbne porte, jeg ikke kan gennemskue hvilke
> > services tilhører. Det drejer sig om 135/tcp, 445/tcp, 1025/tcp og
> > 445/udp. Denne liste kan jeg se med "netstat -ano". Jeg kan godt nok
> > se PID på ejerne af portene, men der står ikke PID i joblisten, så
> > hvordan finder jeg ud over, hvad PID dækker over?
> >
>
> TCP 135 = DCOM
> http://grc.com/dcom/intro.htm
Det eneste råd jeg kunne få øje på på den side var, at de har
et program man kan downloade. Jeg bryder mig ikke om idéen
med at installere et program for at lukke porten.
>
> UDP/TCP 445 = NetBT (slår også DHCP fra)
> http://www.uksecurityonline.com/husdg/windows2000/close445.htm
Maskinen skal køre DHCP. Og jeg kan egentlig ikke lige forstå,
hvad port 445 har med DHCP at gøre. Desuden synes jeg metoden
ser lidt grim ud. Der må da være en smartere måde?
Jeg kiggede mig lidt mere omkring på siden og fandt blandt
andet:
http://www.uksecurityonline.com/husdg/windowsxp/shutdownports.htm
som fortæller mig, at 1025 er brugt til dial-up services. Der er
bare ikke sådan en service på listen over kørende services. Har
den et eller andet komplet ugennemskueligt navn i den danske
udgave?
http://www.uksecurityonline.com/husdg/windowsxp/close135.htm
som fortæller mig, hvordan man slår DCOM fra for at lukket port
135. På trods af forskelle mellem navngivningen lykkedes det mig,
at finde indstillingen. Men port 135 forblev åben. Jeg prøvede
også at reboote, port 135 var fortsat åben selvom DCOM var slået
fra.
>
> Process information
> http://www.sysinternals.com/ntw2k/source/tcpview.shtml
Alex råd var nok til at finde ejer processerne, så har jeg vel
ikke noget at bruge det program til?
>
> Her er lidt om de services der kan slås fra og hvilke der er nødvending
> (utrolig rodet site)
Jeg mener valget af farver er et større problem.
> http://www.blackviper.com/
>
> -- Søren
--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */
| |
 Peter Brodersen (19-11-2003)
| Kommentar
Fra : Peter Brodersen |
Dato : 19-11-03 00:15 |
|
On Tue, 18 Nov 2003 23:02:40 +0100, Kasper Dupont
<kasperd@daimi.au.dk> wrote:
>> UDP/TCP 445 = NetBT (slår også DHCP fra)
>> http://www.uksecurityonline.com/husdg/windows2000/close445.htm
>
>Maskinen skal køre DHCP. Og jeg kan egentlig ikke lige forstå,
>hvad port 445 har med DHCP at gøre. Desuden synes jeg metoden
>ser lidt grim ud. Der må da være en smartere måde?
Port 445 bruges af Windows, når der køres SMB direkte over TCP/IP (som
alternativ til at bruge NetBIOS som mellemled):
http://support.microsoft.com/default.aspx?scid=kb;en-us;Q204279
En DHCP-server kan bede en Windows-klient om at undlade at bruge
TCP/IP over NetBIOS. Det er måske her, forvirringen kommer ind.
--
- Peter Brodersen
Ugens sprogtip: :) (og ikke *sxms*)
| |
Kasper Dupont (19-11-2003)
| Kommentar
Fra : Kasper Dupont |
Dato : 19-11-03 07:16 |
|
Peter Brodersen wrote:
>
> On Tue, 18 Nov 2003 23:02:40 +0100, Kasper Dupont
> <kasperd@daimi.au.dk> wrote:
>
> >> UDP/TCP 445 = NetBT (slår også DHCP fra)
> >> http://www.uksecurityonline.com/husdg/windows2000/close445.htm
> >
> >Maskinen skal køre DHCP. Og jeg kan egentlig ikke lige forstå,
> >hvad port 445 har med DHCP at gøre. Desuden synes jeg metoden
> >ser lidt grim ud. Der må da være en smartere måde?
>
> Port 445 bruges af Windows, når der køres SMB direkte over TCP/IP (som
> alternativ til at bruge NetBIOS som mellemled):
Det forstår jeg ikke. Har det ikke altid været SMB trafik, der
kørte på port 139? Og port 135 blev så brugt til NetBIOS som
stort set bare blev brugt til at finde maskinernes navne?
> http://support.microsoft.com/default.aspx?scid=kb;en-us;Q204279
>
> En DHCP-server kan bede en Windows-klient om at undlade at bruge
> TCP/IP over NetBIOS. Det er måske her, forvirringen kommer ind.
Ja, men jeg har bedt klienten om at lade være med at bruge
NetBIOS uanset hvad DHCP serveren siger. Vil det sige, at
Windows bare flytter SMB trafikken fra port 139 til 445 når
man beder den om at lade være med at køre det over TCP?
--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */
| |
Soren Rathje (19-11-2003)
| Kommentar
Fra : Soren Rathje |
Dato : 19-11-03 13:49 |
|
Port 135 bruges _også_ (undskyld) af DCOM.
Jeg har selv droppet ideen med at lukke for alt skidtet ( jeg prøvede,
men det var sgu for besværligt ) og bruger nu både HW - og SW firewall i
stedet.
-- Søren
| |
Allan Olesen (23-11-2003)
| Kommentar
Fra : Allan Olesen |
Dato : 23-11-03 10:45 |
|
Kasper Dupont <kasperd@daimi.au.dk> wrote:
> http://www.uksecurityonline.com/husdg/windowsxp/shutdownports.htm
>som fortæller mig, at 1025 er brugt til dial-up services. Der er
>bare ikke sådan en service på listen over kørende services. Har
>den et eller andet komplet ugennemskueligt navn i den danske
>udgave?
Jeg proevede forleden at arbejde mig gennem listen over
services paa foeromtalte Herr Blackvipers side. Det var lidt
af et helvede, da min XP er dansk. Der var ganske rigtigt
nogle services, hvor det danske navn ikke afsloerede, at de
kun blev brugt til dial-up. Jeg husker dog desvaerre ikke
hvilke.
--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.
| |
Alex Holst (18-11-2003)
| Kommentar
Fra : Alex Holst |
Dato : 18-11-03 09:23 |
|
Kasper Dupont <kasperd@daimi.au.dk> wrote:
> Der er stadig nogle åbne porte, jeg ikke kan gennemskue hvilke
> services tilhører. Det drejer sig om 135/tcp, 445/tcp, 1025/tcp og
> 445/udp. Denne liste kan jeg se med "netstat -ano". Jeg kan godt nok
> se PID på ejerne af portene, men der står ikke PID i joblisten, så
> hvordan finder jeg ud over, hvad PID dækker over?
Task Manager, View, Select Columns, saet kryds i PID.
Microsoft har en artikel ved navn 'Securing Windows XP Desktop Resource
Guide' der er vaerd at laese, men jeg anbefaler du ser bort fra deres
raad om at benytte anti-virus software.
Hvis du foelger raadet om at slaa deres internet connection firewall
til, er det nok at lade den filtre de par porte du ikke kan/vil slukke
servicen for.
En del af fejlene i IE har vaeret relateret til enten ActiveX eller
JavaScript, saa man kommer langt ved at slaa det fra i sin Internet
zone, og tilfoeje sites som behoever det til sin trusted zone.
Outlook kan ogsaa benytte zones, og hvis du saetter den til at indhold
skal behandles som vaerende i restricted zonen begraenser det muligheden
for fejl. Du kan dog med fordel vaelge en email klient der ikke kan vise
HTML mail.
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org
| |
Allan Olesen (18-11-2003)
| Kommentar
Fra : Allan Olesen |
Dato : 18-11-03 19:24 |
|
Alex Holst <a@mongers.org> wrote:
>En del af fejlene i IE har vaeret relateret til enten ActiveX eller
>JavaScript, saa man kommer langt ved at slaa det fra i sin Internet
>zone, og tilfoeje sites som behoever det til sin trusted zone.
Er der egentlig nogen, der kan forklare, hvorfor det blevet
saa populaert at bruge javascript til helt almindelige links?
Det virker paa mig som en utroligt klodset omvej, og det goer
det mere og mere vanskeligt at argumentere for at slaa
javascript fra.
--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.
| |
Bertel Lund Hansen (18-11-2003)
| Kommentar
Fra : Bertel Lund Hansen |
Dato : 18-11-03 19:49 |
|
Allan Olesen skrev:
>Er der egentlig nogen, der kan forklare, hvorfor det blevet
>saa populaert at bruge javascript til helt almindelige links?
Næ, det har undret mig klige siden jeg så det første gang.
>Det virker paa mig som en utroligt klodset omvej, og det goer det
>mere og mere vanskeligt at argumentere for at slaa javascript fra.
Tja ... jeg forlader den slags sider hvis jeg opdager det. Men
min hjemmebank kræver JavaScript så jeg har det efterhånden
sjældent slået fra.
--
Bertel
http://bertel.lundhansen.dk/ FIDUSO: http://fiduso.dk/
| |
Brian R. Jensen (18-11-2003)
| Kommentar
Fra : Brian R. Jensen |
Dato : 18-11-03 22:38 |
|
"Allan Olesen" <aolesen@post3.tele.dk> skrev i en meddelelse
news:3fba63c6$0$95067$edfadb0f@dread11.news.tele.dk...
> Er der egentlig nogen, der kan forklare, hvorfor det blevet
> saa populaert at bruge javascript til helt almindelige links?
Ved mailto skjuler det mailadressen for evt. høstere, men jeg ved ikke
hvorfor det skulle bruges til alm. links
/Brian
| |
Allan Olesen (19-11-2003)
| Kommentar
Fra : Allan Olesen |
Dato : 19-11-03 19:24 |
|
"Brian R. Jensen" <brjensen@mail.tele.dk> wrote:
>Ved mailto skjuler det mailadressen for evt. høstere, men jeg ved ikke
>hvorfor det skulle bruges til alm. links
Huh? Mailadressen staar vel stadig i html-dokumentet?
--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.
| |
Peter Brodersen (19-11-2003)
| Kommentar
Fra : Peter Brodersen |
Dato : 19-11-03 19:36 |
|
On Wed, 19 Nov 2003 19:24:03 +0100, Allan Olesen
<aolesen@post3.tele.dk> wrote:
>>Ved mailto skjuler det mailadressen for evt. høstere, men jeg ved ikke
>>hvorfor det skulle bruges til alm. links
>
>Huh? Mailadressen staar vel stadig i html-dokumentet?
Ja, men opdelt i sekvenser. Fx:
> document.write('<a href="mai'+'lto:use'+'net@'+'te'+'r.d'+'k">Mail</a>');
Normale høstere vil typisk blot lede efter mailto:-links direkte i
koden, evt. ved simpel mønstergenkendelse ud fra @'et.
--
- Peter Brodersen
Ugens sprogtip: :) (og ikke *sxms*)
| |
Kasper Dupont (19-11-2003)
| Kommentar
Fra : Kasper Dupont |
Dato : 19-11-03 21:12 |
|
Peter Brodersen wrote:
>
> On Wed, 19 Nov 2003 19:24:03 +0100, Allan Olesen
> <aolesen@post3.tele.dk> wrote:
>
> > document.write('<a href="mai'+'lto:use'+'net@'+'te'+'r.d'+'k">Mail</a>');
>
> Normale høstere vil typisk blot lede efter mailto:-links direkte i
> koden, evt. ved simpel mønstergenkendelse ud fra @'et.
Ja, og nogen gange vil de endda høste adresser, der står i
html kommentarer. De vil også tit bruge adresser fra teksten.
En anden måde at snyde dem på er brug af + som virker med
nogle mailserver. I stedet for navn@example.com kunne man
skrive navn+noget@example.com. Nogle af de programmer, der
høster adresser vil så kun se noget@example.com. Faktisk
tror jeg mange af de email høstnings programmer simpelthen
bare finder et @ og så tager de så langt frem og tilbage
derfra, som de kan finde "gyldige" tegn.
--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */
| |
Allan Olesen (20-11-2003)
| Kommentar
Fra : Allan Olesen |
Dato : 20-11-03 19:56 |
|
Peter Brodersen <usenet@ter.dk> wrote:
>Ja, men opdelt i sekvenser. Fx:
>
>> document.write('<a href="mai'+'lto:use'+'net@'+'te'+'r.d'+'k">Mail</a>');
Saa er det da heller ikke skjult for hoesteren. Hvis en
browser kan fortolke det, kan en hoester hoeste det.
At der saa muligvis ikke lige nu er nogen hoestere, der har
valgt at hoeste informationen, berettiger ikke til at bruge
ordet "skjult".
--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.
| |
Bertel Lund Hansen (20-11-2003)
| Kommentar
Fra : Bertel Lund Hansen |
Dato : 20-11-03 23:33 |
|
Allan Olesen skrev:
>Saa er det da heller ikke skjult for hoesteren. Hvis en
>browser kan fortolke det, kan en hoester hoeste det.
Klart.
>At der saa muligvis ikke lige nu er nogen hoestere, der har
>valgt at hoeste informationen, berettiger ikke til at bruge
>ordet "skjult".
Så er der jo ikke noget der er skjult. Hvis nogen kan afkode det,
kan en forbryder også.
--
Bertel
http://bertel.lundhansen.dk/ FIDUSO: http://fiduso.dk/
| |
Peter Brodersen (20-11-2003)
| Kommentar
Fra : Peter Brodersen |
Dato : 20-11-03 23:43 |
|
On Thu, 20 Nov 2003 23:33:08 +0100, Bertel Lund Hansen
<nospamius@lundhansen.dk> wrote:
>>At der saa muligvis ikke lige nu er nogen hoestere, der har
>>valgt at hoeste informationen, berettiger ikke til at bruge
>>ordet "skjult".
>Så er der jo ikke noget der er skjult. Hvis nogen kan afkode det,
>kan en forbryder også.
Jeg har ikke brugt ordet "skjult", men jeg mener godt, man kan
retfærdiggøre brugen af ordet. At skjule noget handler om at placere
noget, så nogen ikke kan finde det - på den måde, nogen i første
omgang vælger at kigge.
En tidligere spam-undersøgelse nævner, at web-harvesters kører med
jævne mellemrum (hvilket sikkert også er hurtigere end at bestille en
cd med e-mail-adresser), og her lader resultatet stadigvæk til at
harvesteren får mere ud af at bruge sin energi på at høste flere
sider, i stedet for at skulle begynde at dekode javascript. Det skulle
ikke være det større problem at obfuskere koden så meget, at det ville
være helt ude af proportioner for en harvester at gennemskue hvad, der
foregår.
--
- Peter Brodersen
Ugens sprogtip: :) (og ikke *sxms*)
| |
Allan Olesen (21-11-2003)
| Kommentar
Fra : Allan Olesen |
Dato : 21-11-03 17:28 |
|
Bertel Lund Hansen <nospamius@lundhansen.dk> wrote:
>Så er der jo ikke noget der er skjult. Hvis nogen kan afkode det,
>kan en forbryder også.
Med "skjult" mener man normalt "ikke til at faa oeje paa"
(eller finde).
Man mener ikke "til at faa oeje paa, men ikke umiddelbart til
at tyde". Det kaldes kodet - ikke skjult.
--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.
| |
Brian R. Jensen (20-11-2003)
| Kommentar
Fra : Brian R. Jensen |
Dato : 20-11-03 23:53 |
|
"Allan Olesen" <aolesen@post3.tele.dk> skrev i en meddelelse
news:3fbd0e4d$0$95012$edfadb0f@dread11.news.tele.dk...
> >> document.write('<a
href="mai'+'lto:use'+'net@'+'te'+'r.d'+'k">Mail</a>');
>
> Saa er det da heller ikke skjult for hoesteren. Hvis en
> browser kan fortolke det, kan en hoester hoeste det.
Ok, men svjv gør de det ikke i dag, og så er de i mine øjne skjult.
> At der saa muligvis ikke lige nu er nogen hoestere, der har
> valgt at hoeste informationen, berettiger ikke til at bruge
> ordet "skjult".
Hmm. du spurgte hvorfor der blev brugt javascript til links, og hvad enten
du, eller dansklærerforeningen, er enige i udtrykket og effekten - så er det
for at skjule adressen for høstere at der bliver brugt javascript i linksene
/Brian
| |
Allan Olesen (21-11-2003)
| Kommentar
Fra : Allan Olesen |
Dato : 21-11-03 17:25 |
|
"Brian R. Jensen" <brjensen@mail.tele.dk> wrote:
>Hmm. du spurgte hvorfor der blev brugt javascript til links, og hvad enten
>du, eller dansklærerforeningen, er enige i udtrykket og effekten - så er det
>for at skjule adressen for høstere at der bliver brugt javascript i linksene
>
Min undren gik nu mere paa links til andre sider.
--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.
| |
Brian R. Jensen (22-11-2003)
| Kommentar
Fra : Brian R. Jensen |
Dato : 22-11-03 15:44 |
|
"Allan Olesen" <aolesen@post3.tele.dk> skrev i en meddelelse
news:3fbe3c46$0$95058$edfadb0f@dread11.news.tele.dk...
> "Brian R. Jensen" <brjensen@mail.tele.dk> wrote:
>
> >Hmm. du spurgte hvorfor der blev brugt javascript til links, og hvad
enten
> >du, eller dansklærerforeningen, er enige i udtrykket og effekten - så er
det
> >for at skjule adressen for høstere at der bliver brugt javascript i
linksene
> >
>
> Min undren gik nu mere paa links til andre sider.
Ok, der kan jeg så følge dig, det forstår jeg heller ikke.
(Men jeg har nu heller aldrig undersøgt det, så der kan sagtens være en
fornuftig grund uden at jeg kender til den.)
/Brian
| |
Kasper Dupont (18-11-2003)
| Kommentar
Fra : Kasper Dupont |
Dato : 18-11-03 23:36 |
|
Alex Holst wrote:
>
> Task Manager, View, Select Columns, saet kryds i PID.
Tak, det var bedre.
I øvrigt undrer jeg mig lidt over, hvorfor netstat siger, at
Mozilla lytter på en masse TCP porte. Det ligner en fejl i
netstat. Kan det passe, at den viser alle TCP klienter som
listening?
>
> Microsoft har en artikel ved navn 'Securing Windows XP Desktop Resource
> Guide' der er vaerd at laese, men jeg anbefaler du ser bort fra deres
> raad om at benytte anti-virus software.
Hvor finder jeg den artikel?
--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */
| |
Christian Andersen (18-11-2003)
| Kommentar
Fra : Christian Andersen |
Dato : 18-11-03 23:47 |
|
Kasper Dupont wrote:
> I øvrigt undrer jeg mig lidt over, hvorfor netstat siger, at
> Mozilla lytter på en masse TCP porte. Det ligner en fejl i
> netstat. Kan det passe, at den viser alle TCP klienter som
> listening?
Ja.
Der findes en længere, mere teknisk, forklaring her:
http://www.hsc.fr/ressources/breves/min_srv_res_win.en.html.en
Der kan du også læse hvordan du lukker (så godt som) alle porte på
systemet.
--
Party time, excellent, wiuuuu, wiuuuu, wiuuuuuuu!!!
| |
Kasper Dupont (19-11-2003)
| Kommentar
Fra : Kasper Dupont |
Dato : 19-11-03 11:30 |
|
Christian Andersen wrote:
>
> Kasper Dupont wrote:
>
> > I øvrigt undrer jeg mig lidt over, hvorfor netstat siger, at
> > Mozilla lytter på en masse TCP porte. Det ligner en fejl i
> > netstat. Kan det passe, at den viser alle TCP klienter som
> > listening?
>
> Ja.
>
> Der findes en længere, mere teknisk, forklaring her:
>
> http://www.hsc.fr/ressources/breves/min_srv_res_win.en.html.en
Fint siden bekræfter, at der er en bug i netstat på Windows
XP, og at fejlen desuden er rettet i Windows Server 2003.
Det er ikke noget problem, bare man ved hvordan outputet
fra netstat skal fortolkes.
>
> Der kan du også læse hvordan du lukker (så godt som) alle porte på
> systemet.
Beskrivelsen af, hvordan man bruger SmbDeviceEnabled til at
lukke port 445 virker.
Jeg læste videre omkring port 135 og 1025. Så vidt jeg kunne
forstå kører der på port 135 en RPC portmapper lidt i stil
med den mange Unix systemer kører på port 111. Der er flere
muligheder for, hvad det faktisk er, der kører på port 1025.
Kun portmapperen på port 135 kan fortælle os, hvad, der
egentlig kører på port 1025. Dette kan samtidig forklare
hvorfor forskellige dokumenter siger noget forskelligt, og
hvorfor den åbenbart en gang i mellem kører på port 1026 i
stedet for. Er det nogenlunde korrekt forstået?
Jeg skulle ifølge dokumentet kunne få alle disse services
til at kun lytte på loopback devicet ved at ændre en indgang
i registreringsdatabasen. Men
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rpc\
findes ikke på den her maskine, så hvad er det så, jeg skal
gøre?
--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */
| |
Christian Andersen (19-11-2003)
| Kommentar
Fra : Christian Andersen |
Dato : 19-11-03 11:57 |
|
Kasper Dupont wrote:
>> http://www.hsc.fr/ressources/breves/min_srv_res_win.en.html.en
> Kun portmapperen på port 135 kan fortælle os, hvad, der
> egentlig kører på port 1025. Dette kan samtidig forklare
> hvorfor forskellige dokumenter siger noget forskelligt, og
> hvorfor den åbenbart en gang i mellem kører på port 1026 i
> stedet for. Er det nogenlunde korrekt forstået?
Jeg er ikke ekspert i RPC, men jeg vil sige at det er korrekt.
> Jeg skulle ifølge dokumentet kunne få alle disse services
> til at kun lytte på loopback devicet ved at ændre en indgang
> i registreringsdatabasen. Men
> HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rpc\
> findes ikke på den her maskine, så hvad er det så, jeg skal
> gøre?
Gør som der står 
"The two following keys, Rpc\ and Rpc\Linkage\, do not exist by default in
the registry and must be created under the following key:
Key: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\"
Efter at have kørt guiden igennem på en Windows2000-installation kom jeg
ned på én åben port og den lyttede kun på loopback, så jeg var en glad
mand.
--
Party time, excellent, wiuuuu, wiuuuu, wiuuuuuuu!!!
| |
Kasper Dupont (19-11-2003)
| Kommentar
Fra : Kasper Dupont |
Dato : 19-11-03 12:20 |
|
Christian Andersen wrote:
>
> Gør som der står
>
> "The two following keys, Rpc\ and Rpc\Linkage\, do not exist by default in
> the registry and must be created under the following key:
>
> Key: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\"
Hmm, det havde jeg overset. Jeg vil prøve det når
jeg kommer hjem.
>
> Efter at have kørt guiden igennem på en Windows2000-installation kom jeg
> ned på én åben port og den lyttede kun på loopback, så jeg var en glad
> mand.
Spørgsmålet er så om det virker. Der står, at det
i øjeblikket kun virker på Windows 2000 og ikke på
Windows XP.
--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */
| |
Kasper Dupont (19-11-2003)
| Kommentar
Fra : Kasper Dupont |
Dato : 19-11-03 23:24 |
|
Kasper Dupont wrote:
>
> Spørgsmålet er så om det virker. Der står, at det
> i øjeblikket kun virker på Windows 2000 og ikke på
> Windows XP.
Det virker. Nu lytter de to resterende åbne porte
kun på 127.0.0.1.
Nu mangler jeg bare at finde ud af, om der er noget
at vinde ved at oprette en "Begrænset konto" til
dagligdags brug?
Kan man få maskinen til at automatisk logge ind på
den begrænsede konto ved opstart?
Er det i øvrigt ikke nemt at komme til at lukke sig
selv helt ude fra systemet ved at lave sin
administrator konto om til begrænset konto? Og hvad
gør man, hvis man faktisk er kommet til det?
Jeg bekymrer mig ikke om fysisk adgang til maskinen,
den skal bare være sikret mod angreb via nettet. Det
eneste formål med at bruge en begrænset konto er
altså, at hvis der f.eks. er et sikkerhedshul i en
browser eller mailklient, at angriberen så ikke
umiddelbart får administratoradgang til maskinen.
Er der nogen grund til at sætte adgangskode på
administratorkontoen? Det kræver vel stadig fysisk
adgang at få administrator adgang?
--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */
| |
Soren Rathje (20-11-2003)
| Kommentar
Fra : Soren Rathje |
Dato : 20-11-03 00:02 |
|
"Kasper Dupont" <kasperd@daimi.au.dk> wrote in message
news:3FBBED9B.3649818@daimi.au.dk...
> Kasper Dupont wrote:
>
>
> Er der nogen grund til at sætte adgangskode på
> administratorkontoen? Det kræver vel stadig fysisk
> adgang at få administrator adgang?
>
To spørgsmål...
Afledt af følgende header i din post:
"X-Mailer: Mozilla 4.76 [en] (X11; U; Linux 2.4.18-19.7.xsmp
i686)"
1. Har din "root" bruger et password ?
2. Bruger du "root" som standard login ?
Windows har en funktion der hedder RUNAS, "need I say more?"
RUNAS USAGE:
RUNAS [/profile] [/env] [/netonly] /user:<UserName> program
/profile if the user's profile needs to be loaded
/env to use current environment instead of user's.
/netonly use if the credentials specified are for remote
access only.
/user <UserName> should be in form USER@DOMAIN or
DOMAIN\USER
program command line for EXE. See below for examples
Examples:
> runas /profile /user:mymachine\administrator cmd
> runas /profile /env /user:mydomain\admin "mmc
%windir%\system32\dsa.msc"
> runas /env /user:user@domain.microsoft.com "notepad \"my file.txt\""
NOTE: Enter user's password only when prompted.
NOTE: USER@DOMAIN is not compatible with /netonly.
For at være helt sikker bør man vel egentlig omdøbe "Administrator" til
noget helt andet som f.eks. "Homer_Simpson" eller "Makrellen" ...
-- Søren
| |
Alex Holst (20-11-2003)
| Kommentar
Fra : Alex Holst |
Dato : 20-11-03 00:27 |
|
Soren Rathje <soren%lolle.org@spam.me> wrote:
> For at være helt sikker bør man vel egentlig omdøbe "Administrator" til
> noget helt andet som f.eks. "Homer_Simpson" eller "Makrellen" ...
Jeg bemaerker desvaerre lige, at OSSen giver det samme raad i W2K
guiden. Det er en fejl. Lad vaere med at brugte tid paa den slags fis.
Naeste revision er planlagt i starten af december, hvor det vil vaere
fixet og der vil vaere et afsnit om falsk sikkerhed og myter (MAC
filtering paa wireless, etc).
Jeg beklager.
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org
| |
Christian Andersen (20-11-2003)
| Kommentar
Fra : Christian Andersen |
Dato : 20-11-03 01:08 |
|
Alex Holst wrote:
>> For at være helt sikker bør man vel egentlig omdøbe "Administrator" til
>> noget helt andet som f.eks. "Homer_Simpson" eller "Makrellen" ...
> Jeg bemaerker desvaerre lige, at OSSen giver det samme raad i W2K
> guiden. Det er en fejl. Lad vaere med at brugte tid paa den slags fis.
Grunden er vel (blandt andet) dette tool?
http://home.eunet.no/~pnordahl/ntpasswd/
Hvis ikke, er jeg da interesseret i at høre om det. Jeg tror ikke jeg kan
vente til midten af december ...
--
Party time, excellent, wiuuuu, wiuuuu, wiuuuuuuu!!!
| |
Peder Vendelbo Mikke~ (22-11-2003)
| Kommentar
Fra : Peder Vendelbo Mikke~ |
Dato : 22-11-03 02:14 |
|
Christian Andersen skrev:
> Alex Holst wrote:
>>> For at være helt sikker bør man vel egentlig omdøbe
>>> "Administrator" til noget helt andet som f.eks. "Homer_Simpson"
>>> eller "Makrellen" ...
>> Jeg bemaerker desvaerre lige, at OSSen giver det samme raad i W2K
>> guiden. Det er en fejl. Lad vaere med at brugte tid paa den slags
>> fis.
> Grunden er vel (blandt andet) dette tool?
> http://home.eunet.no/~pnordahl/ntpasswd/
Jeg tror snarere det er dette tool:
http://www.jsiinc.com/SUBB/tip0500/rh0519.htm
Som kan finde SID på enhver brugerkonto og dermed kan du fastslå hvil-
ken brugerkonto der er administrator-kontoen.
| |
Kasper Dupont (20-11-2003)
| Kommentar
Fra : Kasper Dupont |
Dato : 20-11-03 09:33 |
|
Soren Rathje wrote:
>
> "Kasper Dupont" <kasperd@daimi.au.dk> wrote in message
> news:3FBBED9B.3649818@daimi.au.dk...
> > Kasper Dupont wrote:
> >
> >
> > Er der nogen grund til at sætte adgangskode på
> > administratorkontoen? Det kræver vel stadig fysisk
> > adgang at få administrator adgang?
> >
>
> To spørgsmål...
> Afledt af følgende header i din post:
> "X-Mailer: Mozilla 4.76 [en] (X11; U; Linux 2.4.18-19.7.xsmp
> i686)"
>
> 1. Har din "root" bruger et password ?
Ja
> 2. Bruger du "root" som standard login ?
Nej
Men Windows er jo anderledes, og jeg ved at ikke alle mine
Unix kendskaber kan bruges på Windows. Så jeg er jo nødt
til at spørge.
>
> Windows har en funktion der hedder RUNAS, "need I say more?"
>
> RUNAS USAGE:
>
> RUNAS [/profile] [/env] [/netonly] /user:<UserName> program
>
> /profile if the user's profile needs to be loaded
> /env to use current environment instead of user's.
> /netonly use if the credentials specified are for remote
> access only.
> /user <UserName> should be in form USER@DOMAIN or
> DOMAIN\USER
> program command line for EXE. See below for examples
>
> Examples:
> > runas /profile /user:mymachine\administrator cmd
> > runas /profile /env /user:mydomain\admin "mmc
> %windir%\system32\dsa.msc"
> > runas /env /user:user@domain.microsoft.com "notepad \"my file.txt\""
>
> NOTE: Enter user's password only when prompted.
> NOTE: USER@DOMAIN is not compatible with /netonly.
Fint, det svarer altså til en su kommando eller noget i den
retning. Mit næste spørgsmål er så, om man kan sætte et
password, men tillade login fra loginskærmen uden at angive
password?
>
> For at være helt sikker bør man vel egentlig omdøbe "Administrator" til
> noget helt andet som f.eks. "Homer_Simpson" eller "Makrellen" ...
Er der noget standard navn for Administratoren på Windows?
Da jeg første gang havde fat i maskinen var der i hvert fald
ikke nogen konto på maskinen med et standard navn. Der var
en administrator konto med et navn, som ejeren selv har valgt.
Jeg ville aldrig foreslå at ændre navnet på sin root account
på et Unix system, men igen, Windows er anderledes.
--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */
| |
Bertel Lund Hansen (20-11-2003)
| Kommentar
Fra : Bertel Lund Hansen |
Dato : 20-11-03 11:27 |
|
Kasper Dupont skrev:
>retning. Mit næste spørgsmål er så, om man kan sætte et
>password, men tillade login fra loginskærmen uden at angive
>password?
Ja. Jeg kan ikke huske om det kan gøres uden TweakUI, men hvis du
ikke har installeret det, så se at få det gjort. I TweakUI er der
et faneblad der hedder "Logon". Dér kan man bestille at der skal
startes med et specificeret brugernavn og kodeord. Så booter
systemet op til dit skrivebord er klar, men der er logget på med
kodeord.
>> For at være helt sikker bør man vel egentlig omdøbe "Administrator" til
>> noget helt andet som f.eks. "Homer_Simpson" eller "Makrellen" ...
>Er der noget standard navn for Administratoren på Windows?
Ja, "Administrator".
>Da jeg første gang havde fat i maskinen var der i hvert fald
>ikke nogen konto på maskinen med et standard navn. Der var
>en administrator konto med et navn, som ejeren selv har valgt.
På Min XP Pro kan jeg ikke komme af med administrator og jeg kan
heller ikke fjerne adminrettighederne fra den. Det er simpelt at
ændre brugernavnet "administrator" til noget andet (højreklik,
omdøb).
>Jeg ville aldrig foreslå at ændre navnet på sin root account
>på et Unix system, men igen, Windows er anderledes.
Næppe. Det problem som vi har i baghovedet her, er at det kunne
være en fordel ved angreb at man kendte et brugernavn i forvejen.
Det har i princippet ikke noget med systemet at gøre.
Jeg ved ikke om folk plejer at omdøbe administratorkontoen.
--
Bertel
http://bertel.lundhansen.dk/ FIDUSO: http://fiduso.dk/
| |
Soren Rathje (20-11-2003)
| Kommentar
Fra : Soren Rathje |
Dato : 20-11-03 15:53 |
|
"Kasper Dupont" <kasperd@daimi.au.dk> wrote in message
news:3FBC7C43.81EC342E@daimi.au.dk...
>
> Men Windows er jo anderledes, og jeg ved at ikke alle mine
> Unix kendskaber kan bruges på Windows. Så jeg er jo nødt
> til at spørge.
>
Windows 2000 og Windows XP har noget der kaldes "Raw Sockets", et kendt
begreb fra Unix verden og kan bruges til nogle meget giftige ting på
angrebssiden så bl.a. derfor kan administrator rettigheder være uheldige
på W2K/XP i forhold til tidligere Windows versioner.
>
> Fint, det svarer altså til en su kommando eller noget i den
> retning. Mit næste spørgsmål er så, om man kan sætte et
> password, men tillade login fra loginskærmen uden at angive
> password?
>
Blank.. Windows 2000 kan lave autologon, jeg ved ikke om XP kan...
>
> Er der noget standard navn for Administratoren på Windows?
> Da jeg første gang havde fat i maskinen var der i hvert fald
> ikke nogen konto på maskinen med et standard navn. Der var
> en administrator konto med et navn, som ejeren selv har valgt.
>
SVJV er der altid en "Administrator", de XP'er jeg har kigget på var der
en selvom den ikke umiddelbart var til at se..
-- Søren
| |
Alex Holst (20-11-2003)
| Kommentar
Fra : Alex Holst |
Dato : 20-11-03 22:54 |
|
Soren Rathje <soren%lolle.org@spam.me> wrote:
> Windows 2000 og Windows XP har noget der kaldes "Raw Sockets", et kendt
> begreb fra Unix verden og kan bruges til nogle meget giftige ting på
> angrebssiden så bl.a. derfor kan administrator rettigheder være uheldige
> på W2K/XP i forhold til tidligere Windows versioner.
Gider du lige.. http://www.grcsucks.com
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org
| |
Jesper Louis Anderse~ (20-11-2003)
| Kommentar
Fra : Jesper Louis Anderse~ |
Dato : 20-11-03 23:52 |
|
On Thu, 20 Nov 2003 22:53:41 +0100, Alex Holst <a@mongers.org> wrote:
>> Windows 2000 og Windows XP har noget der kaldes "Raw Sockets", et kendt
>> begreb fra Unix verden og kan bruges til nogle meget giftige ting på
>> angrebssiden så bl.a. derfor kan administrator rettigheder være uheldige
>> på W2K/XP i forhold til tidligere Windows versioner.
>
> Gider du lige.. http://www.grcsucks.com
Jeg vil tro at RAW socket types er en del af de fleste BSD-stakke:
annah$ grep SOCK_RAW /usr/include/sys/socket.h
#define SOCK_RAW 3 /* raw-protocol interface */
(se socket(2) mansiden i UNIX).
Men det eneste du kan gennem dem er at bygge vilkaarlige pakker og smide dem
ud paa dit netvaerk. Steve Gibson har som saedvanligt taget meget fejl omkring
semantikken af denne socket type og Windows.
--
Jesper
| |
Soren Rathje (21-11-2003)
| Kommentar
Fra : Soren Rathje |
Dato : 21-11-03 17:41 |
|
"Alex Holst" <a@mongers.org> wrote in message
news:5opv81-3ri.ln1@miracle.mongers.org...
> Soren Rathje <soren%lolle.org@spam.me> wrote:
> > Windows 2000 og Windows XP har noget der kaldes "Raw Sockets", et
kendt
> > begreb fra Unix verden og kan bruges til nogle meget giftige ting på
> > angrebssiden så bl.a. derfor kan administrator rettigheder være
uheldige
> > på W2K/XP i forhold til tidligere Windows versioner.
>
> Gider du lige.. http://www.grcsucks.com
>
Tja, man kan vel diskutere om der er noget om snakken med hensyn til
Windows, men det har været en kendt sag at det er blevet udnyttet på
Unix til diverse angreb. Desuden læser jeg ikke så meget på hans
hjemmeside men følger derimod med i hans nyhedsgrupper. Med det rette
"filter" kan man faktisk få en del gode informationer derfra.
Jeg skal hverken fremhæve eller nedgøre Steve Gibson fordi det er jeg
ikke dygtig nok til, men han pirrer min nysgerrighed og så kan jeg selv
drage mine konklusioner af de undersøgelser jeg laver.
Det jeg primært tror folk har imod SG er at han er utrolig god til at
rose sig selv... Som flertallet af amerikanere er...
-- Søren
| |
Bertel Lund Hansen (21-11-2003)
| Kommentar
Fra : Bertel Lund Hansen |
Dato : 21-11-03 19:24 |
|
Soren Rathje skrev:
>Det jeg primært tror folk har imod SG er at han er utrolig god til at
>rose sig selv...
Det han primært er blevet kritiseret for af hvad jeg har set, er
det sludder han skriver.
--
Bertel
http://bertel.lundhansen.dk/ FIDUSO: http://fiduso.dk/
| |
Soren Rathje (22-11-2003)
| Kommentar
Fra : Soren Rathje |
Dato : 22-11-03 03:13 |
|
"Bertel Lund Hansen" <nospamius@lundhansen.dk> wrote in message
news:50msrv822818sg4s6vfd85tp85che5pff3@news.stofanet.dk...
> Soren Rathje skrev:
>
> >Det jeg primært tror folk har imod SG er at han er utrolig god til at
> >rose sig selv...
>
> Det han primært er blevet kritiseret for af hvad jeg har set, er
> det sludder han skriver.
>
Det gør alle vel på et eller andet tidspunkt...
Ernest Rutherford (nuclear physicist and Nobel Prize winner), 1933:
"We cannot control atomic energy to an extent which would be of any use
commercially and I believe we are not likely ever to be able to do so."
-- Søren
In wine there is wisdom.
In beer there is strength.
In water there is bacteria.
- Old German saying
| |
Bertel Lund Hansen (22-11-2003)
| Kommentar
Fra : Bertel Lund Hansen |
Dato : 22-11-03 11:40 |
|
Soren Rathje skrev:
>> Det han primært er blevet kritiseret for af hvad jeg har set, er
>> det sludder han skriver.
>Det gør alle vel på et eller andet tidspunkt...
Det er ikke alle der laver en hjemmeside der kan lokke ubefæstede
sjæle til at tro på noget sludder - og som sidder kvalificeret
kritik overhørig.
>Ernest Rutherford (nuclear physicist and Nobel Prize winner), 1933:
>"We cannot control atomic energy to an extent which would be of any use
>commercially and I believe we are not likely ever to be able to do so."
Et meget præcist og korrekt udsagn. Jeg kan ikke se hvorfor du
drager det citat ind i debatten.
Og at sidestille E. Rutherford med Steve Gibson er malplaceret.
--
Bertel
http://bertel.lundhansen.dk/ FIDUSO: http://fiduso.dk/
| |
Kasper Dupont (20-11-2003)
| Kommentar
Fra : Kasper Dupont |
Dato : 20-11-03 11:32 |
|
Soren Rathje wrote:
>
> Windows har en funktion der hedder RUNAS, "need I say more?"
Jeg har i øjeblikket en begrænset konto og en administrator
konto. Ingen af de to konti har adgangskode. Hvis jeg fra
den begrænsede konto prøver at køre noget som administratoren
bliver jeg bedt om password, hvis jeg trykker enter uden at
skrive noget får jeg en fejlmelding om, at tomme password
ikke accepteres. Så jeg kan ikke gennemskue, hvad det er for
et problem, du prøver at beskrive. Kommandoen jeg brugte er:
runas /user:Brugernavn cmd
--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */
| |
Kurt Brixen (20-11-2003)
| Kommentar
Fra : Kurt Brixen |
Dato : 20-11-03 17:19 |
|
On Thu, 20 Nov 2003 11:32:25 +0100, Kasper Dupont <kasperd@daimi.au.dk> wrote:
>Jeg har i øjeblikket en begrænset konto og en administrator
>konto. Ingen af de to konti har adgangskode. Hvis jeg fra
>den begrænsede konto prøver at køre noget som administratoren
>bliver jeg bedt om password, hvis jeg trykker enter uden at
>skrive noget får jeg en fejlmelding om, at tomme password
>ikke accepteres. Så jeg kan ikke gennemskue, hvad det er for
>et problem, du prøver at beskrive. Kommandoen jeg brugte er:
>
>runas /user:Brugernavn cmd
Hvis man under Tjenester deaktiverer "RunAs Service" vil man så ikke forhindre
at kommandoen kan udføres.
Jeg får denne melding, når jeg prøver:
Prøver at starte "cmd" som bruger "Brugernavn"...
RUNAS-FEJL: Kommandoen kan ikke udføres - cmd
1062: Tjenesten er ikke blevet startet.
--
Med venlig hilsen
Kurt Brixen
| |
Alex Holst (20-11-2003)
| Kommentar
Fra : Alex Holst |
Dato : 20-11-03 22:52 |
|
Kasper Dupont <kasperd@daimi.au.dk> wrote:
> Jeg har i øjeblikket en begrænset konto og en administrator
> konto. Ingen af de to konti har adgangskode. Hvis jeg fra
> den begrænsede konto prøver at køre noget som administratoren
> bliver jeg bedt om password, hvis jeg trykker enter uden at
> skrive noget får jeg en fejlmelding om, at tomme password
> ikke accepteres. Så jeg kan ikke gennemskue, hvad det er for
> et problem, du prøver at beskrive.
Windows XP og Windows Server 2003 tillader ikke netvaerksadgang til
kontoer der har blanke passwords. Derfor kan det i visse situationer
vaere baade lettere og mere sikkert ikke at have et password paa sin
konto.
Det betyder saa ogsaa, at du skal switche user i stedet for at bruge Run
As, naar du liiige skal pille lidt.
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org
| |
Kasper Dupont (21-11-2003)
| Kommentar
Fra : Kasper Dupont |
Dato : 21-11-03 13:46 |
|
Alex Holst wrote:
>
> Kasper Dupont <kasperd@daimi.au.dk> wrote:
> > Jeg har i øjeblikket en begrænset konto og en administrator
> > konto. Ingen af de to konti har adgangskode. Hvis jeg fra
> > den begrænsede konto prøver at køre noget som administratoren
> > bliver jeg bedt om password, hvis jeg trykker enter uden at
> > skrive noget får jeg en fejlmelding om, at tomme password
> > ikke accepteres. Så jeg kan ikke gennemskue, hvad det er for
> > et problem, du prøver at beskrive.
>
> Windows XP og Windows Server 2003 tillader ikke netvaerksadgang til
> kontoer der har blanke passwords. Derfor kan det i visse situationer
> vaere baade lettere og mere sikkert ikke at have et password paa sin
> konto.
Jeg havde da netværksadgang på den konto, hvor jeg ikke havde sat
noget password på.
>
> Det betyder saa ogsaa, at du skal switche user i stedet for at bruge Run
> As, naar du liiige skal pille lidt.
Det er ikke noget problem for mig.
--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */
| |
Alex Holst (23-11-2003)
| Kommentar
Fra : Alex Holst |
Dato : 23-11-03 12:33 |
|
Kasper Dupont <kasperd@daimi.au.dk> wrote:
>> Windows XP og Windows Server 2003 tillader ikke netvaerksadgang til
>> kontoer der har blanke passwords. Derfor kan det i visse situationer
>> vaere baade lettere og mere sikkert ikke at have et password paa sin
>> konto.
>
> Jeg havde da netværksadgang på den konto, hvor jeg ikke havde sat
> noget password på.
Hm, maaske alt den Microsoft propaganda har forvirret mig, og det kun er
i Windows Server 2003.
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org
| |
Bertel Lund Hansen (20-11-2003)
| Kommentar
Fra : Bertel Lund Hansen |
Dato : 20-11-03 01:26 |
|
Kasper Dupont skrev:
>Nu mangler jeg bare at finde ud af, om der er noget
>at vinde ved at oprette en "Begrænset konto" til
>dagligdags brug?
Jeg synes ikke at den smule ekstra beskyttelse er maset værd.
>Kan man få maskinen til at automatisk logge ind på
>den begrænsede konto ved opstart?
Ok ja.
>Er det i øvrigt ikke nemt at komme til at lukke sig
>selv helt ude fra systemet ved at lave sin
>administrator konto om til begrænset konto?
Jeg har deaktiveret den indbyggede admin. Med en Linuxutil som
jeg for nylig hentede, kan man nulstille kodeord og aktivere
konti på et XP-system (så meget for den sikkerhed ved fysisk
adgang).
>Og hvad gør man, hvis man faktisk er kommet til det?
Ovenstående. Jeg ved dog ikke om man kan komme igennem hvis der
slet ikke er en adminkonto på systemet.
>den skal bare være sikret mod angreb via nettet. Det
>eneste formål med at bruge en begrænset konto er
>altså, at hvis der f.eks. er et sikkerhedshul i en
>browser eller mailklient, at angriberen så ikke
>umiddelbart får administratoradgang til maskinen.
Jeg forstår stadig ikke at nogen på en privat maskine gider gå op
i om en indbryder har adminadgang eller ej. I samme øjeblik jeg
blev klar over at nogen har rodet på mit system, ville jeg zappe
harddisken og geninstallere fra bunden.
--
Bertel
http://bertel.lundhansen.dk/ FIDUSO: http://fiduso.dk/
| |
Kasper Dupont (20-11-2003)
| Kommentar
Fra : Kasper Dupont |
Dato : 20-11-03 11:29 |
|
Bertel Lund Hansen wrote:
>
> Kasper Dupont skrev:
>
> >Nu mangler jeg bare at finde ud af, om der er noget
> >at vinde ved at oprette en "Begrænset konto" til
> >dagligdags brug?
>
> Jeg synes ikke at den smule ekstra beskyttelse er maset værd.
Hvad er problemet, det er vel bare et spørgsmål om at
sætte det op en gang for alle?
>
> >Kan man få maskinen til at automatisk logge ind på
> >den begrænsede konto ved opstart?
>
> Ok ja.
Hvordan gør man?
>
> >Er det i øvrigt ikke nemt at komme til at lukke sig
> >selv helt ude fra systemet ved at lave sin
> >administrator konto om til begrænset konto?
>
> Jeg har deaktiveret den indbyggede admin. Med en Linuxutil som
> jeg for nylig hentede, kan man nulstille kodeord og aktivere
> konti på et XP-system (så meget for den sikkerhed ved fysisk
> adgang).
Det er som sagt ikke personer med fysisk adgang jeg
vil beskytte maskinen imod. Jeg ved, det er stort
set umuligt.
--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */
| |
Bertel Lund Hansen (20-11-2003)
| Kommentar
Fra : Bertel Lund Hansen |
Dato : 20-11-03 12:04 |
|
Kasper Dupont skrev:
>> Jeg synes ikke at den smule ekstra beskyttelse er maset værd.
>Hvad er problemet, det er vel bare et spørgsmål om at
>sætte det op en gang for alle?
Måske. Jeg har aldrig kørt med andet end fulde adminrettigheder
på alle mine Windowssystemer. Jeg har læst andre der fortæller at
man kun kører som bruger i ret kort tid fordi mange programmer
insisterer på at gøre ting der kræver adminrettigheder.
Hvis man kan sætte et system op hvor der sjældent skal laves
nyinstallationer, er det nok ligemeget.
Men jeg kan stadig ikke se at det spiller nogen trille.
>> >Kan man få maskinen til at automatisk logge ind på
>> >den begrænsede konto ved opstart?
>> Ok ja.
>Hvordan gør man?
Hent TweakUI:
http://lundhansen.dk/bertel/programmer/tweakui.zip
Installér, vælg TweakUI fra Kontrolpanel, og benyt fanebladet
"Logon".
Der er vist nok en metode indbygget i XP, men den har jeg glemt.
Jeg har pakket TweakUI.exe for at undgå problemer med exefiler,
men den pakker selv fire filer ud. Læg dem i en ligegyldig mappe
og højreklik på TweakUI.inf og vælg "Installer". Når
installationen er i orden kan du fjerne de fire filer igen.
Nu er der en ekstra indgang i Kontrolpanel der hedder "TweakUI".
En dag ved lejlighed skal du sætte dig til at kikke på de
indstillinger du får adgang til derved.
--
Bertel
http://bertel.lundhansen.dk/ FIDUSO: http://fiduso.dk/
| |
Jens U. K. (20-11-2003)
| Kommentar
Fra : Jens U. K. |
Dato : 20-11-03 13:26 |
|
"Bertel Lund Hansen" <nospamius@lundhansen.dk> wrote in message
news:rv6prv0bu2tvq0fhb1mrb9qskjr5tn9bkg@news.stofanet.dk...
> Hent TweakUI:
> http://lundhansen.dk/bertel/programmer/tweakui.zip
Når nu det her er en gruppe om sikkerhed, burde der så ikke gives et lidt
mere officielt link til et sådan officielt program end en personlig
hjemmeside med en hjemmestrikket zipfil?
Nu er jeg rimelig sikker på at bertel ikke kunne finde på at liste noget
"snask" ind i sin zipfil, men alligevel...
/Jens Ulrik
| |
Kasper Dupont (20-11-2003)
| Kommentar
Fra : Kasper Dupont |
Dato : 20-11-03 14:57 |
|
"Jens U. K." wrote:
>
> "Bertel Lund Hansen" <nospamius@lundhansen.dk> wrote in message
> news:rv6prv0bu2tvq0fhb1mrb9qskjr5tn9bkg@news.stofanet.dk...
>
> > Hent TweakUI:
> > http://lundhansen.dk/bertel/programmer/tweakui.zip
>
> Når nu det her er en gruppe om sikkerhed, burde der så ikke gives et lidt
> mere officielt link til et sådan officielt program end en personlig
> hjemmeside med en hjemmestrikket zipfil?
Jo, det mener jeg også. Personligt ville jeg nok alligevel
vælge at downloade den fra forskellige stedder og checke,
at filerne var identiske.
>
> Nu er jeg rimelig sikker på at bertel ikke kunne finde på at liste noget
> "snask" ind i sin zipfil, men alligevel...
Men kan man nu også være sikker på, at den faktisk kommer
fra Bertel? Og kan jeg være sikker på, at der ikke er
andre der har listet noget ind i filen inden Bertel fik
den? Og forresten har der været exploits i unzip.
--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */
| |
Soren Rathje (20-11-2003)
| Kommentar
Fra : Soren Rathje |
Dato : 20-11-03 17:42 |
|
"Jens U. K." <1jk2@3bsopatent4.dk> wrote in message
news:Wp2vb.1289$RR5.371@news.get2net.dk...
> "Bertel Lund Hansen" <nospamius@lundhansen.dk> wrote in message
> news:rv6prv0bu2tvq0fhb1mrb9qskjr5tn9bkg@news.stofanet.dk...
>
> > Hent TweakUI:
> > http://lundhansen.dk/bertel/programmer/tweakui.zip
>
> Når nu det her er en gruppe om sikkerhed, burde der så ikke gives et
lidt
> mere officielt link til et sådan officielt program end en personlig
> hjemmeside med en hjemmestrikket zipfil?
>
http://www.microsoft.com/windowsxp/pro/downloads/powertoys.asp
Tweak UI er at finde i højre side...
-- Søren
| |
Kasper Dupont (20-11-2003)
| Kommentar
Fra : Kasper Dupont |
Dato : 20-11-03 22:06 |
|
Soren Rathje wrote:
>
> http://www.microsoft.com/windowsxp/pro/downloads/powertoys.asp
>
> Tweak UI er at finde i højre side...
Jeg var ikke klar over, at det var et Microsoft program.
Nå, men jeg prøvede at hente siden med https, man kan jo
ikke være for sikker. Jeg fik en advarsel om, at
certifikatet var forkert. Det er jo ikke ligefrem særligt
betrygende. Desuden står der noget om, at det kun virker
med en engelsk opsætning, så kan man jo ikke få meget
glæde af det.
--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */
| |
Bertel Lund Hansen (20-11-2003)
| Kommentar
Fra : Bertel Lund Hansen |
Dato : 20-11-03 23:35 |
|
Kasper Dupont skrev:
>betrygende. Desuden står der noget om, at det kun virker
>med en engelsk opsætning, så kan man jo ikke få meget
>glæde af det.
De skriver så meget. Jeg brugte en gang en version til 95 på en
XP selv om de forsikrede at det slet ikke kunne lade sig gøre.
Det tog XP sig heldigvis ikke af.
Det TweakUI der ligger på min hjemmeside, kører både på min 98 og
min XP. De er begge dansksprogede.
--
Bertel
http://bertel.lundhansen.dk/ FIDUSO: http://fiduso.dk/
| |
Jens U. K. (21-11-2003)
| Kommentar
Fra : Jens U. K. |
Dato : 21-11-03 09:58 |
|
"Soren Rathje" <soren%lolle.org@spam.me> wrote in message
news:3fbceecf$0$29398$edfadb0f@dread15.news.tele.dk...
> "Jens U. K." <1jk2@3bsopatent4.dk> wrote in message
> news:Wp2vb.1289$RR5.371@news.get2net.dk...
> > "Bertel Lund Hansen" <nospamius@lundhansen.dk> wrote in message
> > news:rv6prv0bu2tvq0fhb1mrb9qskjr5tn9bkg@news.stofanet.dk...
> >
> > > Hent TweakUI:
> > > http://lundhansen.dk/bertel/programmer/tweakui.zip
> >
> > Når nu det her er en gruppe om sikkerhed, burde der så ikke gives et
> lidt
> > mere officielt link til et sådan officielt program end en personlig
> > hjemmeside med en hjemmestrikket zipfil?
> >
>
> http://www.microsoft.com/windowsxp/pro/downloads/powertoys.asp
>
> Tweak UI er at finde i højre side...
Tak for linket, Søren, men det var ikke det jeg var interesseret i, hvis
du forstår.
/Jens Ulrik
| |
Allan Olesen (23-11-2003)
| Kommentar
Fra : Allan Olesen |
Dato : 23-11-03 11:04 |
|
Bertel Lund Hansen <nospamius@lundhansen.dk> wrote:
>Hvis man kan sætte et system op hvor der sjældent skal laves
>nyinstallationer, er det nok ligemeget.
Hvis RunAs er tilgaengelig (hvilket vil sige, at man boer
koere med password paa Administrator-kontoen), er der intet
problem. Saa hoejreklikker man bare paa filen og vaelger "Koer
som...".
Windows er endda saa semi-intelligent, at den selv genkender
typiske setup-filer og aabner "Koer som..."-dialogen, hvis man
dobbeltklikker paa dem. (Saa man jo bare haabe, at der aldrig
er nogen, der inkluderer en kopi af denne dialog i en
..exe-fil, saa denne kan opsnappe administrator-passwords.)
Her i huset koerer alle incl. mig selv paa upriviligerede
konti, og det giver ingen problemer i dagligdagen.
Det sker dog, at enkelte - baade nye og gamle - programmer
ogsaa kraever administrator-rettigheder for at koere efter
installation.
Nogle gange ryger programmet ud af den grund. Andre gange
vaelger jeg en lidt mere pragmatisk og lidt mindre sikker
loesning og saetter programmet op til automatisk at koere med
administrator-rettigheder. Det kan med "RunAs /savecred"
saettes op, saa der kun skal angives administrator-password
een gang for alle for hvert program. Virker desvaerre kun paa
XP Pro.
--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.
| |
Kasper Dupont (20-11-2003)
| Kommentar
Fra : Kasper Dupont |
Dato : 20-11-03 11:59 |
|
Kasper Dupont wrote:
>
> Bertel Lund Hansen wrote:
> >
> > Kasper Dupont skrev:
> >
> > >Kan man få maskinen til at automatisk logge ind på
> > >den begrænsede konto ved opstart?
> >
> > Ok ja.
>
> Hvordan gør man?
Jeg kan se, du besvarede spørgsmålet et andet sted
i tråden samtidig med jeg skrev det.
--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */
| |
Alex Holst (19-11-2003)
| Kommentar
Fra : Alex Holst |
Dato : 19-11-03 00:34 |
|
Kasper Dupont <kasperd@daimi.au.dk> wrote:
>> Microsoft har en artikel ved navn 'Securing Windows XP Desktop Resource
>> Guide' der er vaerd at laese, men jeg anbefaler du ser bort fra deres
>> raad om at benytte anti-virus software.
>
> Hvor finder jeg den artikel?
Latterligt. Selv naar man taster den fulde titel ind paa Microsoft.com
eller paa Google finder den ikke artiklen. Jeg maatte rode lidt rundt
for at finde den:
http://www.microsoft.com/technet/security/chklist/winxpsrg.asp
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org
| |
Thomas Madsen (20-11-2003)
| Kommentar
Fra : Thomas Madsen |
Dato : 20-11-03 15:31 |
|
Bertel Lund Hansen skrev:
> Der er vist nok en metode indbygget i XP, men den har jeg glemt.
Start > Kør: control userpasswords2. Fjern flueben i 'Users must
enter a user name...'
--
Med venlig hilsen
Madsen.
| |
Thomas Madsen (19-11-2003)
| Kommentar
Fra : Thomas Madsen |
Dato : 19-11-03 02:07 |
|
Kasper Dupont skrev:
> Der er stadig nogle åbne porte, jeg ikke kan gennemskue hvilke
> services tilhører. Det drejer sig om 135/tcp,
DCOM, så vidt jeg har forstået.
Jeg har slukket for DCOM i registreringsdatabasen ved at stille
værdien EnableDCOM til 0 i HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole
Det lukker dog ikke porten, så jeg har også fjernet 'Connection-
oriented TCP/IP' inde under Default Protocols i dcomcnfg.
< http://home18.inet.tele.dk/madsen/winxp/dcomcnfg.png>. Jeg er ikke
sikker på om 'Connection-oriented SPX' også roligt kan fjernes, men
efter at 'Connection-oriented TCP/IP' var fjernet og computeren var
blevet genstartet, var 135/tcp lukket. (Dcomcnfg kan startes via
Start > Kør).
> 445/tcp,
NetBT driver.
Jeg har på min WinXP (Pro) lukket den via:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters
Value: SmbDeviceEnabled
Type: DWORD value (REG_DWORD)
Content: 0 (to disable)
> 1025/tcp
Hos mig var det tjenesten 'Remote Access Connection Manager'.
Når den bliver stoppet så forsvinder ens modemopkoblinger inde i
Netværk via Modem, man da jeg ikke længere bruger Netværk via
Modem-forbindelser, gør det ikke mig noget.
> 445/udp.
Jeg mener at den også bliver lukket når NetBT-driveren bliver kvalt.
Alt kører tilsyneladende fint (TDC ADSL bredbånd). Netstat -ano viser
ingen åbne porte efter en genstart. Det eneste jeg ikke kan få til at
fungere er Microsoft Baseline Security Analyzer. Det program fatter
jeg ikke brugen af. Uanset hvad jeg skriver i Computer Name så skriver
den: 'Could not resolve the computername'. Der er sikkert blevet lukket
for et eller andet som det værktøj behøver for at kunne køre. Jeg ved
bare ikke lige hvad. :)
--
Med venlig hilsen
Madsen.
| |
|
|