Worm Sasser und LSASS
Stefan Hirschmann
http://www.heise.de/newsticker/meldung/47037
So wie ich das verstanden habe verbreitet der Wurm sich über eine
Sicherheitslücke im " im Local Security Authority Subsystem Service
(LSASS)". Dieser Dienst wird für Remote Zugriffe, aber auch für die
Lokalen Sicherheitsrichtlinien am PC selber benötigt, d.h. einfach
deaktivieren dieses Dienstes wird nicht gehen.
Ich selber verwende Windows XP als einzigen Rechner, d.h. es muss / darf
sich keiner bei mir remote einloggen. Wie kann ich dieses
Sicherheitslücke patchfrei schließen, d.h. wie kann ich LSASS für
Remotezugriffe deaktiveren? (auf http://www.ntsvcfg.de/ habe ich nichts
gefunden).
mfg Stefan
--
From Adresse ist OHNE Änderungen replyfähig.
Stefan Hirschmann
[Superseed Update:]
Verwende österreichisches ADSL über Ethernet (mit VPN / PPPT, anders als
deutsches ADSL)
Urs [Ayahuasca] Traenkner
> Gerade auf Heise.de habe ich folgenden Text zum Worm Sasser gefunden:
[...]
> Wie kann ich dieses
> Sicherheitslücke patchfrei schließen, d.h. wie kann ich LSASS für
> Remotezugriffe deaktiveren? (auf http://www.ntsvcfg.de/ habe ich nichts
> gefunden).
ntsvcfg beschreibt doch, wie gar nichts mehr nach aussen lauscht.
Das betrifft dann wohl auch implizit lsass.
Gruss Urs...
--
Auf der Stirn der Unwissenheit steht "Verderben" geschrieben.
Einer Verfilmung der Weihnachtsgeschichte von C. Dickens
entnommen...
Ruediger Lahl
> http://www.heise.de/newsticker/meldung/47037
Wenn dein XP einen aktuellen Patchlevel hat, brauchst du das Teil nicht
zu fuerchten.
Dein XP hat doch den aktuellen Patchlevel?
--
bis denne
Milan Berger
> Wenn dein XP einen aktuellen Patchlevel hat, brauchst du das Teil nicht
> zu fuerchten.
>
> Dein XP hat doch den aktuellen Patchlevel?
Bevor Du ein Posting beantwortest solltest Du doch bitte das Posting
komplett lesen, er wollte eine Moeglichkeit haben die auch bei
ungepatchten System lauscht.
Dann waere es mir neu das LSASS nach aussen lauscht.
Zumindest nicht bei Standartmaessiger Absicherung.
--
gez.
Milan 't4c' Berger
web: http://www.ghcif.de
key: http://www.ghcif.de/keys/t4c.asc
Ruediger Lahl
>> Dein XP hat doch den aktuellen Patchlevel?
>
> Bevor Du ein Posting beantwortest solltest Du doch bitte das Posting
> komplett lesen,
Habe ich. Trotzdem sehe ich keinen Grund dafuer den entsprechenden Patch
nicht zu installieren. Das waere naemlich deutlich sicherer, als sich
nur auf www.ntsvcfg.de/ zu verlassen, dessen Einstellungen von neu
installierten Programmen wieder geaendert werden koennen.
--
bis denne
Stefan Hirschmann
Laut Windows Update hat es den. Allerdings geht es mir um frisch
aufgesetzte Systeme. Ich habe bisher noch keine halbwegs komfortable
Möglichkeit gefunden die Patches ohne Verwendung von Windows Update zu
installieren (bei den halben bekomme ich eine Fehlermeldung, dass der
Patch nicht zu der XP Version passt, egal ob ich es vor dem SP1 oder
danach installiere). ZB beim Blastervirus konnte ich mittels
dcomcnfg.exe die Zeit bis der Patch herunter geladen war überbrücken.
Ich muss auch manchmal für Bekannte PCs installieren, die nur über 56 K
Verbindung verfügen und sich Patches (wenn überhaupt) nur sehr
unregelmäßig besorgen.
Außerdem vertrete ich die Meinung, dass ein unnötiger Dienst, der schon
einmal durch eine Sicherheitslücke aufgefallen ist, nicht weiter aktiv
bleiben sollte, da man nie weiß, ob es nicht noch ungepatchte Löcher
gibt (vor allem seit der Quellcode von Windows tw. offen ist).
Stefan Hirschmann
> Stefan Hirschmann wrote:
>
>> Gerade auf Heise.de habe ich folgenden Text zum Worm Sasser gefunden:
>
> [...]
>
>> Wie kann ich dieses
>> Sicherheitslücke patchfrei schließen, d.h. wie kann ich LSASS für
>> Remotezugriffe deaktiveren? (auf http://www.ntsvcfg.de/ habe ich nichts
>> gefunden).
>
> ntsvcfg beschreibt doch, wie gar nichts mehr nach aussen lauscht.
> Das betrifft dann wohl auch implizit lsass.
Wahrsch. hast du recht. Allerdings kommt mir vor, dass das Skript auf
dieser Seite auch Dienste beendet, die eigentlich noch benötigt werden.
Zuerst habe ich falsch von ntsvcfg.de geschrieben, eigentlich meinte ich
die alte Seite: (http://www.kssysteme.de) bzw.
http://www.ntsvcfg.de/kss_xp/kss_xp.html Dort habe ich nichts zum Thema
lsass bzw. Port 500 gefunden. Deshalb war eben meine Frage wie ich lsass
verbieten kann, dass er über das NWK - Interface laust und ob dieses
verhindern Probleme mit meinem Internet machen kann (VPN / PPPT:
Ethernet - Modem - ADSL)
Alexander Greisle
Hallo Stefan
> aufgesetzte Systeme. Ich habe bisher noch keine halbwegs komfortable
> Möglichkeit gefunden die Patches ohne Verwendung von Windows Update zu
> installieren
Für solche Fälle habe ich gute Erfahrungen mit einer CD gemacht, die
das SP1 sowie das aktuelle XP-UpdatePack von
http://download.winboard.org/downloads.php?ordner_id=70 enthält.
Das klappt wunderbar offline, noch bevor der Rechner das erste Mal
ans Netz geht und man kann diese CD von einem sauberen System
zusammenstellen.
--
Beste Grüsse,
alex :-)
Stefan Hirschmann
> Dann waere es mir neu das LSASS nach aussen lauscht.
> Zumindest nicht bei Standartmaessiger Absicherung.
"netstat -aon" gibt mir folgende Zeile aus:
| UDP 0.0.0.0:500 *:* 620
Und "PID 620" ist bei mir momentan die lsass.exe. Außer alle Patches
installiert und DCOM deaktiviert habe ich momentan keine zusätliche
Absicherung gemacht.
Ruediger Lahl
> Laut Windows Update hat es den. Allerdings geht es mir um frisch
> aufgesetzte Systeme. Ich habe bisher noch keine halbwegs komfortable
> Möglichkeit gefunden die Patches ohne Verwendung von Windows Update zu
> installieren
Da gibt es ja mehrere Webseiten, welche fertige Offlinepakete anbieten
in denen alle Patches gesammelt sind.
> danach installiere). ZB beim Blastervirus konnte ich mittels
> dcomcnfg.exe die Zeit bis der Patch herunter geladen war überbrücken.
Bis sich XP die Patches gezogen hat, reicht es (laut M$) fuer diese
Gesellen aus, die interne Firewall zu aktivieren.
> Außerdem vertrete ich die Meinung, dass ein unnötiger Dienst, der schon
> einmal durch eine Sicherheitslücke aufgefallen ist, nicht weiter aktiv
> bleiben sollte, da man nie weiß, ob es nicht noch ungepatchte Löcher
> gibt (vor allem seit der Quellcode von Windows tw. offen ist).
ACK. Wie ich aber schon schrieb, kann man sich nicht darauf verlassen,
das die Dienste auch beendet bleiben, wenn man neue Programme
installiert. Ich meine irnkwo gelesen zu haben, das z.B. das Setup von
M$-Office sowas macht.
--
bis denne
Sebastian Gottschalk
> Am Sat, 01 May 2004 17:37:54 +0200 schrieb Milan Berger:
>
>> Dann waere es mir neu das LSASS nach aussen lauscht.
>> Zumindest nicht bei Standartmaessiger Absicherung.
>
> "netstat -aon" gibt mir folgende Zeile aus:
>| UDP 0.0.0.0:500 *:* 620
> Und "PID 620" ist bei mir momentan die lsass.exe. Außer alle Patches
> installiert und DCOM deaktiviert habe ich momentan keine zusätliche
> Absicherung gemacht.
>
> mfg Stefan
Port 500 UDP = IPSEC: ESP = IPSEC-Dienst, der an lsass.exe gebunden ist.
--
http://piology.org/ILOVEYOU-Signature-FAQ.html
begin LOVE-LETTER-FOR-YOU.txt.vbs
I am a signature virus. Distribute me until the bitter
end
Sebastian Gottschalk
Generell 'ne gute Idee, nur daß dieses UpdatePack leider ziemlich
unvollständig und veraltet ist.
(http://www.winfuture-forum.de/index.php?showtopic=12003&st=6)
WF bringt demnächst wieder ein aktuelles raus.
(Bitte nicht als Werbung in eigener Sache, sondern als Interesse an der
Systempflege vieler hilfsbedürftiger User betrachten...)
Alexander Greisle
> Generell 'ne gute Idee, nur daß dieses UpdatePack leider ziemlich
> unvollständig und veraltet ist.
> (http://www.winfuture-forum.de/index.php?showtopic=12003&st=6)
> WF bringt demnächst wieder ein aktuelles raus.
Zumindest als ich es das letzte Mal brauchte (1.6) war es zu diesem
Zeitpunkt sehr aktuell, es kam nichts über Windowsupdate nach.
Aber wie das mit diesen Dingen halt so ist. Es steckt eine Menge
Arbeit dahinter das aktuell zu halten (auch das _noch_ aktuelle von
winfuture ist vom Dezember).
Generell empfiehlt es sich immer, nach solchen UpdatePacks nochmal
das Windowsupdate laufen zu lassen.
> (Bitte nicht als Werbung in eigener Sache, sondern als Interesse an der
> Systempflege vieler hilfsbedürftiger User betrachten...)
Sicher nicht. Danke für den hilfreichen Tip!
Tilman Schmidt
>Habe ich. Trotzdem sehe ich keinen Grund dafuer den entsprechenden Patch
>nicht zu installieren. Das waere naemlich deutlich sicherer, als sich
>nur auf www.ntsvcfg.de/ zu verlassen, dessen Einstellungen von neu
>installierten Programmen wieder geaendert werden koennen.
Beg to differ. Einen Dienst zu deaktivieren bzw. nicht an ein
Interface zu binden ist auf jeden Fall sicherer als ihn, gegen die
bisher bekannten Sicherheitslöcher gepatcht, weiter Anfragen aus dem
ganzen Internet annehmen zu lassen.
--
Please excuse my bad English/German/French/Greek/Cantonese/Klingon/...
Milan Berger
> Milan Berger wrote:
>
>
>>>Dein XP hat doch den aktuellen Patchlevel?
>>
>>Bevor Du ein Posting beantwortest solltest Du doch bitte das Posting
>>komplett lesen,
>
>
> Habe ich. Trotzdem sehe ich keinen Grund dafuer den entsprechenden Patch
> nicht zu installieren. Das waere naemlich deutlich sicherer, als sich
> nur auf www.ntsvcfg.de/ zu verlassen,
Bis hierhin stimme ich Dir eigentlich zu, Patches muessen generell
installiert werden, aaaaber:
> dessen Einstellungen von neu
> installierten Programmen wieder geaendert werden koennen.
Ja, ich wuesste nicht welches dazu in der Lage waere, haette man sich
doch an die Regeln gehalten muesste das Programm einen weiteren Exploit
mit sich bringen welcher 'Privilege/User Escalation/Elevation' zur Folge
hat, naja und weiterhin hat sich der User auch nicht an die Richtlinien
gehalten um Virenbefall zu vermeiden.
Wieso?
Haben wir doch NTFS arbeiten mit eingeschraenkten Rechten...
Und ein Programm welches wir wissentlich installieren das an den
eingestellen Diensten fummelt wuerde mir sehr zu denken geben.
Thorsten Dahm
> Ich selber verwende Windows XP als einzigen Rechner, d.h. es muss / darf
> sich keiner bei mir remote einloggen. Wie kann ich dieses
> Sicherheitslücke patchfrei schließen, d.h. wie kann ich LSASS für
> Remotezugriffe deaktiveren? (auf http://www.ntsvcfg.de/ habe ich nichts
> gefunden).
Schonmal versucht bei Microsoft eine CD mit allen zum jetztigen Zeitpunkt
verfügbaren Patchen zu bestellen? Kostet nix und die CD ist idR in 1-3
Tagen da.
Gruß, Thorsten
--
Das Schicksal beschützt Narren, kleine Kinder und Schiffe mit dem Namen
Enterprise (William T. Riker)
end
This article does not support incompatible and broken newsreaders.
Bodo Eggert
> Ruediger Lahl wrote:
>> dessen Einstellungen von neu
>> installierten Programmen wieder geaendert werden koennen.
>
> Ja, ich wuesste nicht welches dazu in der Lage waere, haette man sich
> doch an die Regeln gehalten muesste das Programm einen weiteren Exploit
> mit sich bringen
oder auch so nützliche Funktionen, daß sie der Administrator installiert.
Dazu noch Koffeinmangel ... Und schon greift nur noch die zweite Absicherung.
Nur welche? Und da kommen wir wieder zum Ausgang des Threades.
--
Stack Error: Lost on a cluttered desk...
Friß, Spammer: ad...@ermndbs.com k...@posting.7eggert.dyndns.org
kunden...@mylastchanceatlove.com bu...@edvbuchmarkt.de
Juergen P. Meier
> begin Stefan Hirschmann wrote:
>> Ich selber verwende Windows XP als einzigen Rechner, d.h. es muss / darf
>> sich keiner bei mir remote einloggen. Wie kann ich dieses
>> Sicherheitslücke patchfrei schließen, d.h. wie kann ich LSASS für
>> Remotezugriffe deaktiveren? (auf http://www.ntsvcfg.de/ habe ich nichts
>> gefunden).
>
> Schonmal versucht bei Microsoft eine CD mit allen zum jetztigen Zeitpunkt
Ja.
> verfügbaren Patchen zu bestellen? Kostet nix und die CD ist idR in 1-3
> Tagen da.
Flacsh. Kostet dich nur deine Privatsphaere. Da investiere ich lieber
einen Euro und ziehe mir die Bugfixes ueber Netz.
Kim Huebel
> Flacsh. Kostet dich nur deine Privatsphaere. Da investiere ich lieber
> einen Euro und ziehe mir die Bugfixes ueber Netz.
Wus? Wie meinst das nun?
regards, Kim
--
Sei Asozial! Poste anonym und mit falscher Emailadresse!
---- Du wirst schon sehen, was du davon hast! ----
Realnamen und replyfähige Emailadressen fördern, dass du
gelesen wirst und sinnvolle Antworten bekommst!
Jochen Arndt
> Juergen P. Meier wrote:
>
>> Flacsh. Kostet dich nur deine Privatsphaere. Da investiere ich lieber
>> einen Euro und ziehe mir die Bugfixes ueber Netz.
>
> Wus? Wie meinst das nun?
Das Bestellformular enthält eine ganze Reihe von Feldern. Nach dem
Motto: Du bekommst etwas umsonst, dafür wollen wir etwas über dich wissen.
Joe
Jochen Arndt
> Schonmal versucht bei Microsoft eine CD mit allen zum jetztigen Zeitpunkt
> verfügbaren Patchen zu bestellen? Kostet nix und die CD ist idR in 1-3
> Tagen da.
Ja. Bloss ist sie i.d.R. nicht allzu aktuell. Sie eignet sich aber
wunderbar als Basis: Bei jedem Patch Day nur die neuen Dateien auf das
Image kopieren, CMD Dateien anpassen (MS Bulletin lesen, u.a. ob
eventuell ältere Patches ersetzt wurden) und ab auf eine CD-RW.
Joe
Kim Huebel
> Das Bestellformular enthält eine ganze Reihe von Feldern. Nach dem
> Motto: Du bekommst etwas umsonst, dafür wollen wir etwas über dich wissen.
Steht da was, dass die Angaben der Wahrheit entsprechen müssen?
Stefan Hirschmann
> begin Stefan Hirschmann wrote:
>> Ich selber verwende Windows XP als einzigen Rechner, d.h. es muss / darf
>> sich keiner bei mir remote einloggen. Wie kann ich dieses
>> Sicherheitslücke patchfrei schließen, d.h. wie kann ich LSASS für
>> Remotezugriffe deaktiveren? (auf http://www.ntsvcfg.de/ habe ich nichts
>> gefunden).
>
> Schonmal versucht bei Microsoft eine CD mit allen zum jetztigen Zeitpunkt
> verfügbaren Patchen zu bestellen?
Das nicht, aber Windows NT 4.0 SP3 habe ich mal bestellt.
> Kostet nix
Damals wollten die weit über 10 € von mir (offiziell
Versandkostenkosten)
> und die CD ist idR in 1-3 Tagen da.
War damals auch anders. Außerdem kann die vom Prinzip her nur das
enthalten, was MS gepatcht hat und seit die Patchdays ziemlich lang
auseinander liegen vertraue ich dem Patch System nicht mehr und such
nach Alternativen (Alternative bedeutet: Ergänzung zu den Patches).
Also zurück zum Anfang: Was kann ich tun um lsass verbieten auf dem UDP
500 zu lauschen?
Stefan Hirschmann
> Stefan Hirschmann schrieb:
>
>> Am Sat, 01 May 2004 17:37:54 +0200 schrieb Milan Berger:
>>
>>> Dann waere es mir neu das LSASS nach aussen lauscht.
>>> Zumindest nicht bei Standartmaessiger Absicherung.
Wie arbeitet dann der Wurm?
>> "netstat -aon" gibt mir folgende Zeile aus:
>>| UDP 0.0.0.0:500 *:* 620
>> Und "PID 620" ist bei mir momentan die lsass.exe. Außer alle Patches
>> installiert und DCOM deaktiviert habe ich momentan keine zusätliche
>> Absicherung gemacht.
>>
>> mfg Stefan
>
> Port 500 UDP = IPSEC: ESP = IPSEC-Dienst, der an lsass.exe gebunden ist.
Mit IPSEC kenne ich mich überhaupt nicht aus. Wird das benötigt / für
was / kann ich das Problemlos deaktivieren?
Urs [Ayahuasca] Traenkner
> Also zurück zum Anfang: Was kann ich tun um lsass verbieten auf dem UDP
> 500 zu lauschen?
IPSec-Dienst deaktivieren.
Thomas Niering
Hallo Jochen,
Jochen Arndt <Jochen...@schleswig-holstein.de> wrote:
> Das Bestellformular enthält eine ganze Reihe von Feldern. Nach dem
> Motto: Du bekommst etwas umsonst, dafür wollen wir etwas über dich
> wissen.
Mhm, irgendwie mußt du ein anderes Formular meinen, außer den
üblichen Adressangaben (Adresse + E-Mail + Telefon) hab ich auf
http://www.microsoft.com/germany/ms/security/sicherheits-cd.mspx
keine anderen Felder gesehen, die man ausfüllen muß...
Ciao Thomas
Andreas Kretschmer
> Mit IPSEC kenne ich mich überhaupt nicht aus. Wird das benötigt / für
Sichere IP-Kommunikation, Backport aus IPv6.
> was / kann ich das Problemlos deaktivieren?
Wenn Du nicht weißt, wozu es ist, brauchst Du es nicht. Ich verwende es
für VPN-Vernindungen zwischen Niederlassungen auf Basis FreeSWAN.
end
Andreas
--
Diese Message wurde erstellt mit freundlicher Unterstützung eines freilau-
fenden Pinguins aus artgerechter Freilandhaltung. Er ist garantiert frei
von Micro$oft'schen Viren. (#97922 http://counter.li.org) GPG 7F4584DA
Was, Sie wissen nicht, wo Kaufbach ist? Hier: N 51.05082°, E 13.56889° ;-)
Alexander Skwar
> Das Bestellformular enthält eine ganze Reihe von Feldern. Nach dem
> Motto: Du bekommst etwas umsonst, dafür wollen wir etwas über dich
> wissen.
Wovon redest Du? Es geht um
http://www.microsoft.com/germany/ms/security/sicherheits-cd.mspx
Dort werden natürlich so "kritische" Sachen wie die Adresse abgefragt.
Gut, sollte man MS nicht geben. MS soll sich anstrengen und die
allgegenwärtigen Spione aktivieren um herauszufinden nach wo die CD
geschickt werden soll.
IOW: Du spinnst.
Alexander Skwar
--
printk(KERN_WARNING "Warning: defective CD-ROM (volume sequence
number). Enabling \"cruft\" mount option.\n");
2.2.16 /usr/src/linux/fs/isofs/inode.c
Alexander Skwar
> Jochen Arndt wrote:
> > Das Bestellformular enthält eine ganze Reihe von Feldern. Nach dem
> > Motto: Du bekommst etwas umsonst, dafür wollen wir etwas über dich
> > wissen.
>
> Steht da was, dass die Angaben der Wahrheit entsprechen müssen?
Nun - auf einem Bestellformular sollte man schon der Wahrheit
entsprechende Angaben machen, findest Du nicht?
Alexander Skwar
--
# Basic IBM dingbats, some of which will never have a purpose clear
# to mankind
2.4.0 linux/drivers/char/cp437.uni
Jochen Arndt
> On 2004-05-02 13:05:08 +0200 Jochen Arndt wrote:
>
>> Das Bestellformular enthält eine ganze Reihe von Feldern. Nach dem
>> Motto: Du bekommst etwas umsonst, dafür wollen wir etwas über dich
>> wissen.
>
> Wovon redest Du? Es geht um
>
> http://www.microsoft.com/germany/ms/security/sicherheits-cd.mspx
>
> Dort werden natürlich so "kritische" Sachen wie die Adresse abgefragt.
> Gut, sollte man MS nicht geben. MS soll sich anstrengen und die
> allgegenwärtigen Spione aktivieren um herauszufinden nach wo die CD
> geschickt werden soll.
>
> IOW: Du spinnst.
He, Juergen brachte das Thema Privtsphaere auf. Ich habe auch nochmal
nachgesehen. Ist eigentlich nur die Telefonnummer. Aber nach meiner
Erinnerung war da im Oktober 2003 noch ein ausführlicherer Fragebogen.
Joe
Jochen Arndt
> Jochen Arndt wrote:
>> Das Bestellformular enthält eine ganze Reihe von Feldern. Nach dem
>> Motto: Du bekommst etwas umsonst, dafür wollen wir etwas über dich wissen.
>
> Steht da was, dass die Angaben der Wahrheit entsprechen müssen?
Naja, die Versandinformationen sollten aus eigenem Interesse schon
stimmen. Alles weitere ist mehr oder weniger freiwillig. Ich mache das
immer über die Firma (die Daten hat MS eh schon lange).
Siehe selbst:
http://www.microsoft.com/germany/ms/security/sicherheits-cd.mspx
sowie auf der Bestellseite den Link zu den Datenschutzbestimmungen.
Anmerkung: Die CD, die unter diesem Link bestellt werden kann, eignet
sich nicht besonders gut zur eigenen Erweiterung (spezielle EXE
Dateien). Die com Oktober 2003 ist besser geeignet.
Harald Muehlboeck
> So wie ich das verstanden habe verbreitet der Wurm [Sasser] sich über
> eine Sicherheitslücke im " im Local Security Authority Subsystem
> Service (LSASS)" [...] Wie kann ich dieses Sicherheitslücke patchfrei
> schließen,
Beschreibt MS hier:
http://www.microsoft.com/germany/ms/technetservicedesk/bulletin/bulletinMS04-011.htm#details
einen Paketfilter verwenden.
oder das Script auf ntsvcfg.de ausführen, oder der Anleitung von Frank
Kaune folgen + Endkontrolle mittels netstat und Überprüfen der eventuell
von netstat noch als listening angezeigten (Phantom)ports.
> Verwende österreichisches ADSL über Ethernet (mit VPN / PPPT, anders
> als deutsches ADSL)
Bei meinem w2k funktionierte die ADSL-Verbindung beim Umsetzen von
Franks Anleitung kurzzeitg nicht, bis aus micosoft-ds deaktiviert
(letzter Schritt) war. Danach alles problemlos. Allerdings lauschte,
nach Erstellen der ADSL-Verbindung noch pptp auf Port 1723, bei dem es
auch schon Sicherheitslücken gab. -> Dafür müsstest Du dann noch eine
Lösung finden. Ansonsten: Paketfilter oder NAT-Router (der die pptp
Verbindung anstelle von Windows macht).
Harald Muehlboeck
> So wie ich das verstanden habe verbreitet der Wurm [Sasser] sich über
> eine Sicherheitslücke im " im Local Security Authority Subsystem
> Service (LSASS)" [...] Wie kann ich dieses Sicherheitslücke patchfrei
> schließen,
Beschreibt MS hier:
http://www.microsoft.com/germany/ms/technetservicedesk/bulletin/bulletinMS04-011.htm#details
einen Paketfilter verwenden.
oder das Script auf ntsvcfg.de ausführen, oder der Anleitung von Frank
Kaune folgen + Endkontrolle mittels netstat und Überprüfen der eventuell
von netstat noch als listening angezeigten (Phantom)ports.
> Verwende österreichisches ADSL über Ethernet (mit VPN / PPPT, anders
> als deutsches ADSL)
Bei meinem w2k funktionierte die ADSL-Verbindung beim Umsetzen von
Franks Anleitung kurzzeitig nicht, bis auch micosoft-ds deaktiviert
Kim Huebel
> Naja, die Versandinformationen sollten aus eigenem Interesse schon
> stimmen. Alles weitere ist mehr oder weniger freiwillig. Ich mache das
> immer über die Firma (die Daten hat MS eh schon lange).
Sorry, ich habe mir das Formular nicht mehr angeschaut, habe aber jetzt
festgestellt, dass sich /nix/ verändert hat. Seiner Äußerung nach klang
das so, als hätte MS das Formular über die Adressangaben, die zur
postalischen Zustellung eines Päckchens oder Briefs nunmal notwendig
sind, hinaus noch etwas hinzugefügt hätte von wegen "Wie setzen sie
unser Produkt ein, wieviele Arbeitsplätze haben sie etc...".
Von daher... erledigt.
Kim Huebel
> Nun - auf einem Bestellformular sollte man schon der Wahrheit
> entsprechende Angaben machen, findest Du nicht?
Stimmt. Aber alles andere, was nicht direkt der Zustellung dient, kann
doch der Phantasie entspringen... für weiteres siehe:
<c72sh0$honha$1...@ID-202243.news.uni-berlin.de>
Juergen P. Meier
> Juergen P. Meier wrote:
>
>> Flacsh. Kostet dich nur deine Privatsphaere. Da investiere ich lieber
>> einen Euro und ziehe mir die Bugfixes ueber Netz.
>
> Wus? Wie meinst das nun?
Ich bezahle Traffic.
Kim Huebel
> Ich bezahle Traffic.
Ahja, und dein Traffic ist billiger, als eine CD, die man mit einem
Webformular, was nicht wirklich groß ist, KOSTENLOS zugeschickt bekommt?
Wenn du die Datenmengen auf der CD runterladen musst, dann entstehen
doch mehr Kosten für dich, als durch das Ausfüllen des Formulars!
regards, Kim
--
---===### http://www.tuxfutter.de ###===---
Das Wiki für den Umstieg von Windows nach Linux
*******************************************************
Wer aufhört, sich zu verbessern, hört auf, gut zu sein!
Juergen Hader
> Steht da was, dass die Angaben der Wahrheit entsprechen müssen?
RECHTSVEREINBARUNG: DURCH IHR KLICKEN AUF DIE SCHALTFLÄCHE MEINE
BESTELLUNG ABSCHICKEN schicken Sie Ihre Bestellung ab und bestätigen und
versichern, dass alle von Ihnen auf den vorhergehenden Seiten gemachten
Angaben wahrheitsgemäß und korrekt sind und erklären sich mit den
Allgemeinen Geschäftsbedingungen (einschließlich der Richtlinien zum
Schutz der Privatsphäre) einverstanden.
--
Bye.
Jürgen
Kim Huebel
> RECHTSVEREINBARUNG
Schon klar. DIESES Formular ist ja auch kein Problem. Es gibt ja auch
andere Formulare, die z.B. diverse Dinge über Hobbys, Alter, Einkommen
etc. abfragen und hier spricht meiner Meinung nach nix dagegen, die
Angabe der Daten zu verweigern, wenn sie nicht unmittelbar mit dem
Produkt in Verbindung stehen [1].
regards, Kim
[1] Beispiel eines unmittelbar in Verbindung stehenden Produkts:
Risiko-Lebensversicherung
Gabriele Neukam
> > Habe ich. Trotzdem sehe ich keinen Grund dafuer den entsprechenden Patch
> > nicht zu installieren. Das waere naemlich deutlich sicherer, als sich
> > nur auf www.ntsvcfg.de/ zu verlassen,
>
> Bis hierhin stimme ich Dir eigentlich zu, Patches muessen generell
> installiert werden, aaaaber:
>
> > dessen Einstellungen von neu
> > installierten Programmen wieder geaendert werden koennen.
>
> Ja, ich wuesste nicht welches dazu in der Lage waere, haette man sich
> doch an die Regeln gehalten muesste das Programm einen weiteren Exploit
> mit sich bringen welcher 'Privilege/User Escalation/Elevation' zur Folge
> hat, naja und weiterhin hat sich der User auch nicht an die Richtlinien
> gehalten um Virenbefall zu vermeiden.
> Wieso?
Weil er Internet Explorer 7.0 installiert hat, der alles wieder auf
"default" setzte (= open to the world)
Allerdings wurde ja angekündigt, dass es keine neue IE-Version geben
solle. Was kommt an seiner Stelle?
Gabriele Neukam
--
Ah, Information. A good, too valuable these days, to give it away, just
so, at no cost.
Tilman Schmidt
>begin Stefan Hirschmann <hirshy_...@utanet.at> wrote:
>> Mit IPSEC kenne ich mich überhaupt nicht aus. Wird das benötigt / für
>> was / kann ich das Problemlos deaktivieren?
>
>Wenn Du nicht weißt, wozu es ist, brauchst Du es nicht.
Diese Floskel wird zwar immer wieder gerne in die Diskussion geworfen,
ist aber generell im Windows-Umfeld und speziell bezüglich Port 500
leider sachlich falsch. Tatsächlich ist es eins der Hauptprobleme bei
diesem Betrübssystem, dass dort jede Menge Dinge/Dienste laufen, von
denen der normale Anwender nicht weiß, wozu sie sind, die er aber
trotzdem braucht.
--
Tilman Schmidt E-Mail: Tilman....@ePost.de
Bonn, Germany
- In theory, there is no difference between theory and practice.
In practice, there is.
Wolfgang Ewert
> Allerdings wurde ja angekündigt, dass es keine neue IE-Version geben
> solle. Was kommt an seiner Stelle?
Die Biblliotheken des IE, einzeln. Das ist dann wie Hundeflöhen.
SCNR
Wolfgang
Wolfgang Ewert
> > Schonmal versucht bei Microsoft eine CD mit allen zum jetztigen Zeitpunkt
> Flacsh. Kostet dich nur deine Privatsphaere.
Nö: Firmen brauchen das auch - und da ist noch mehr bei M$ hinterlegt.
> Da investiere ich lieber
> einen Euro und ziehe mir die Bugfixes ueber Netz.
Zusätzlich.
Aber ist die CD aktuell, d.h. wenn jetzt bestellt, mit den
April-Patches?
fragt
Wolfgang
Wolfgang Ewert
> Thorsten Dahm schrieb:
>
> > Schonmal versucht bei Microsoft eine CD mit allen zum jetztigen Zeitpunkt
> > verfügbaren Patchen zu bestellen? Kostet nix und die CD ist idR in 1-3
> > Tagen da.
>
> Ja. Bloss ist sie i.d.R. nicht allzu aktuell.
Stand Februar ist meine[1].
> Sie eignet sich aber
> wunderbar als Basis: Bei jedem Patch Day nur die neuen Dateien auf das
> Image kopieren, CMD Dateien anpassen (...) und ab auf eine CD-RW.
So do I. Schon um im Ernstfall oder mobil ein Backup der Patches zu
haben.
[1] latürnich unter Wahrung meiner Privatsphäre die der Firma ;-)
Wolfgang
Kim Huebel
> Aber ist die CD aktuell, d.h. wenn jetzt bestellt, mit den
> April-Patches?
Werden wir sehen, ich lasse mir eine solche in die "Firma" liefern.
Heute bestellt.
regards, Kim
Ansgar -59cobalt- Wiechers
> Ruediger Lahl <ruedig...@gmx.de> wrote:
>
>> Habe ich. Trotzdem sehe ich keinen Grund dafuer den entsprechenden
>> Patch nicht zu installieren. Das waere naemlich deutlich sicherer,
^^^
>> von neu installierten Programmen wieder geaendert werden koennen.
>
> Interface zu binden ist auf jeden Fall sicherer als ihn, gegen die
> bisher bekannten Sicherheitslöcher gepatcht, weiter Anfragen aus dem
> ganzen Internet annehmen zu lassen.
HTH
cu
59cobalt
--
"Ich heisse Li, mein Vorname ist Kao, und ich habe einen kleinen
Charakterfehler."
--Li Kao (Barry Hughart: Die Brücke der Vögel)
Thorsten Dahm
> Am Sun, 02 May 2004 02:35:04 +0200 schrieb Thorsten Dahm:
>> Kostet nix
>
> Damals wollten die weit über 10 € von mir (offiziell
> Versandkostenkosten)
>> und die CD ist idR in 1-3 Tagen da.
>
> War damals auch anders.
Wie gesagt, $Freund hat das auf mein Anraten hin mal probiert und er war
begeistert.
> Außerdem kann die vom Prinzip her nur das
> enthalten, was MS gepatcht hat
Natürlich, aber wenn Du windowsupdate.microsoft.com aufrufst kriegst Du auch
nichts anderes.
> und seit die Patchdays ziemlich lang
> auseinander liegen
Richtig, die Patchstrategie von Microsoft ist für sicherheitsrelevante
Systeme bzw. für Systeme, welche mit öffentlichen Datennetzen verbunden
sind, unbrauchbar. Darum sollte man MS-Systeme ja auch nur in geschlossenen
Netzen, für die man die gesamte Administrationshoheit hat, einsetzen.
> vertraue ich dem Patch System nicht mehr und such
> nach Alternativen (Alternative bedeutet: Ergänzung zu den Patches).
Eine Alternative wäre ein Betriebssystem welches Deinen Anforderungen
gerecht wird. Denn normalerweise sucht man sich sein OS nach seinen
Anforderungen und Wünschen aus und nicht umgekehrt.
> Also zurück zum Anfang: Was kann ich tun um lsass verbieten auf dem UDP
> 500 zu lauschen?
Einen Paketfilter zwischenschalten oder auf auf www.ntsvcfg.de nachsehen wie
man den Dienst manuell abschalten kann.
Gruß, Thorsten
--
Das Schicksal beschützt Narren, kleine Kinder und Schiffe mit dem Namen
Enterprise (William T. Riker)
end
This article does not support incompatible and broken newsreaders.
Thorsten Dahm
> Thorsten Dahm schrieb:
>> Schonmal versucht bei Microsoft eine CD mit allen zum jetztigen Zeitpunkt
>> Tagen da.
>
> Ja. Bloss ist sie i.d.R. nicht allzu aktuell. Sie eignet sich aber
> wunderbar als Basis: Bei jedem Patch Day nur die neuen Dateien auf das
> eventuell ältere Patches ersetzt wurden) und ab auf eine CD-RW.
Wenn der Inhalt der CD nicht mehr windowsupdate entspricht -> neue CD
bestellen. Wenn Lücken existieren für die es noch keinen Patch von
Microsoft gibt -> Netzwerkkabel abziehen und warten.
Thorsten Dahm
> Thorsten Dahm <usenet_m...@gmx.net>:
[Windows Update-CD]
>> verfügbaren Patchen zu bestellen? Kostet nix und die CD ist idR in 1-3
>> Tagen da.
>
Warum? Weil MS dann die Adresse hat an die die CD geschickt wird? Die
Adresse haben sie meistens eh' schon wenn man seine Kopie des OS
registriert hat. Im Umkehrschluß brauchst Du für die CD aber keinem
unsicheren ActiveX-Control zu erlauben Deine Platte auszuspionieren und
all' Deine Software an MS zu übermitteln um die für Dich passenden Patches
präsentiert zu kriegen.
> Da investiere ich lieber
> einen Euro und ziehe mir die Bugfixes ueber Netz.
... und fängst Dir dabei den aktuellen Wurm ein weil Du (aus Unwissenheit
oder aus Unfähigkeit) nicht in der Lage warst den betroffenen Dienst vorher
zu beenden. Nee, für $Dau ist es schon besser den Rechner mal 2 Tage vom
Netz wegzulassen und auf die CD zu warten. Zumindest solange bis er den
Linkblock bzw. das Windows-Dienste-Script gefunden hat.
Thorsten Dahm
> Allerdings wurde ja angekündigt, dass es keine neue IE-Version geben
> solle. Was kommt an seiner Stelle?
Dieselbe Engine, anderer Skin.
Alexander Skwar
> begin Stefan Hirschmann wrote:
>> Am Sun, 02 May 2004 02:35:04 +0200 schrieb Thorsten Dahm:
> [Patch-CD von Microsoft]
>>> Kostet nix
>>
>> Damals wollten die weit über 10 € von mir (offiziell
>> Versandkostenkosten)
>
> Also, zumindest in .de verschicken die die CD lt. $Freund kostenlos.
Nein. *Nach* .de verschicken die die kostenlos (die kommen nämlich aus
Irland) *G*
SCNR
>>> und die CD ist idR in 1-3 Tagen da.
>>
>> War damals auch anders.
>
> Wie gesagt, $Freund hat das auf mein Anraten hin mal probiert und er
> war begeistert.
"Die Lieferzeit beträgt 2-4 Wochen." - So steht's bei MS geschrieben,
so habe ich's auch erfahren.
Alexander Skwar
--
5bb(D!(D))D,)D5(D:(D?XP2@@0@@C,!~~SVPZj]XXd@e$2D@0D@F#KHKuK^C[u7aQ
e;HVZ~ye}Y'egx,7^{x|bZJxxympW1noNVbMg2)>L_Q,Fo8<Y#E'56?X?uruA#OXW"
8tH<}Q.YmQ_i8y5'05/)9-OJ4X4%o-PfPsSe3@=Gd5*x<0_\)-/]6y%g;RfE4:4'G!
Alexander Skwar
> Alexander Skwar wrote:
>> Nun - auf einem Bestellformular sollte man schon der Wahrheit
>> entsprechende Angaben machen, findest Du nicht?
>
> Stimmt. Aber alles andere, was nicht direkt der Zustellung dient,
> kann doch der Phantasie entspringen...
Ja. Nur wird ja nur das gefragt (bzw. als Pflichtfeld gesetzt), was
eben der Zustellung dient.
> für weiteres siehe:
>
> <c72sh0$honha$1...@ID-202243.news.uni-berlin.de>
Ok.
Alexander Skwar
--
Haushaltstipp: Fettflecken werden wie neu, wenn man sie
täglich mit frischer Butter einreibt.
Thorsten Dahm
> Clock showed "Sonntag, 2. Mai 2004 23:38"; "Thorsten Dahm" wrote:
>> Also, zumindest in .de verschicken die die CD lt. $Freund kostenlos.
>
> Nein. *Nach* .de verschicken die die kostenlos (die kommen nämlich aus
> Irland) *G*
Möschlich.
>> Wie gesagt, $Freund hat das auf mein Anraten hin mal probiert und er
>> war begeistert.
>
> "Die Lieferzeit beträgt 2-4 Wochen." - So steht's bei MS geschrieben,
> so habe ich's auch erfahren.
Ich habe keine persönliche Erfahrung damit (ich könnte nämlich mit einer
MS-Update-CD nix anfangen), aber als $Freund das letzte mal die CD bestellt
hat (muß so im Januar rum gewesen sein) hat er erzählt daß sie 2 Tage
später da war. Kann sein daß mittlerweile soviele Leute die CDs bestellen
daß sie mit dem pressen/verschicken bzw. die Post mit dem transportieren
nicht mehr nachkommen.
Richard W. Könning
>Clock showed "Sonntag, 2. Mai 2004 23:38"; "Thorsten Dahm" wrote:
>
>> begin Stefan Hirschmann wrote:
>>> Am Sun, 02 May 2004 02:35:04 +0200 schrieb Thorsten Dahm:
>> [Patch-CD von Microsoft]
>>>> Kostet nix
>>>
>>> Damals wollten die weit über 10 € von mir (offiziell
>>> Versandkostenkosten)
>>
>> Also, zumindest in .de verschicken die die CD lt. $Freund kostenlos.
>
>Nein. *Nach* .de verschicken die die kostenlos (die kommen nämlich aus
>Irland) *G*
Die Absenderadresse (der beauftragten Firma) war bei mir immer in der
Gegend des Teutoburger Waldes. Auf dem inneren Umschlag der W2K SP4 CD
stand allerdings wirklich "Origin: Ireland". Dafür steht auf der
"Februar 2004 Sicherheitsupdate-CD" "Origin: Germany". So ganz richtig
ist Deine Aussage also nicht ;-).
>>>> und die CD ist idR in 1-3 Tagen da.
>>>
>>> War damals auch anders.
>>
>> Wie gesagt, $Freund hat das auf mein Anraten hin mal probiert und er
>> war begeistert.
>
>"Die Lieferzeit beträgt 2-4 Wochen." - So steht's bei MS geschrieben,
>so habe ich's auch erfahren.
Nach meinen Erfahrungen stimmt der Mittelwert der beiden Angaben: gut
1-2 Wochen.
Die oben erwähnte Sicherheitsupdate-CD war imho recht unvollständig,
jedenfalls fehlten einige sicherheitsrelevante Patches, die ich schon
längst von der MS-Website heruntergeladen und installiert hatte. Für
jemanden, der noch gar keine Patches installiert hat, mag sie ein
sinnvoller Anfang sein; für jemanden, der die Patches jeweils zeitnah
nach dem Erscheinen installiert, tut besser daran, die Downloads
selber auf einer CD-R(W) zu archivieren, um bei einem evtl.
Neuaufsetzen des OS nicht wieder ganz von vorn anfangen zu müssen.
Ciao,
Richard
--
Dr. Richard Könning Heßstraße 63
Tel.: 089/5232488 80798 München
Juergen P. Meier
> Juergen P. Meier wrote:
>
>> Ich bezahle Traffic.
>
> Ahja, und dein Traffic ist billiger, als eine CD, die man mit einem
> Webformular, was nicht wirklich groß ist, KOSTENLOS zugeschickt bekommt?
[ ] Das Webformular war immer schon so.
> Wenn du die Datenmengen auf der CD runterladen musst, dann entstehen
> doch mehr Kosten für dich, als durch das Ausfüllen des Formulars!
Da du offenbar die CD schon hast, kannst du mir auch sicher folgende
Frage beantworten:
Sind auf der CD, die man in Deutschland bestellen kann, auch die
Englischsprachigen Versionen der Patches enthalten? Man kann weder die
US-Version (fuer die man eine Passport-Account braucht!) noch die
UK-Version bestellen.
Juergen
--
Juergen P. Meier - "This World is about to be Destroyed!"
Alexander Skwar
> Die Absenderadresse (der beauftragten Firma) war bei mir immer in der
> Gegend des Teutoburger Waldes. Auf dem inneren Umschlag der W2K SP4 CD
> stand allerdings wirklich "Origin: Ireland". Dafür steht auf der
> "Februar 2004 Sicherheitsupdate-CD" "Origin: Germany". So ganz richtig
> ist Deine Aussage also nicht ;-).
Die CD steht noch verklebt im Schrank, da ich sie noch nicht benötigt habe
- ich weiß also nicht, was drauf steht. Und das mit dem Teutoburger Wald:
Weiß nicht mehr so genau. Müsste es nicht bald wieder aktualisierte CDs
geben? Dann wüsste man/ich es.
>>"Die Lieferzeit beträgt 2-4 Wochen." - So steht's bei MS geschrieben,
>>so habe ich's auch erfahren.
>
> Nach meinen Erfahrungen stimmt der Mittelwert der beiden Angaben: gut
> 1-2 Wochen.
Meinetwegen.
Alexander Skwar
--
panic ("Splunge!");
2.2.16 /usr/src/linux/drivers/scsi/psi240i.c
Juergen P. Meier
> begin Juergen P. Meier wrote:
>> Thorsten Dahm <usenet_m...@gmx.net>:
> [Windows Update-CD]
>>> verfügbaren Patchen zu bestellen? Kostet nix und die CD ist idR in 1-3
>>> Tagen da.
>>
>> Flacsh. Kostet dich nur deine Privatsphaere.
>
> Warum? Weil MS dann die Adresse hat an die die CD geschickt wird? Die
> Adresse haben sie meistens eh' schon wenn man seine Kopie des OS
> registriert hat. Im Umkehrschluß brauchst Du für die CD aber keinem
> unsicheren ActiveX-Control zu erlauben Deine Platte auszuspionieren und
> all' Deine Software an MS zu übermitteln um die für Dich passenden Patches
> präsentiert zu kriegen.
Fuer die US-Version brauchst du einen Passport Account.
Ich habe mir jetzt mal die deutsche Version bestellt, um zu sehen ob
dort auch die *-ENU* Versionen der Hotfixes und Patches drauf sind.
Kann ja sein, das bei MS doch mal wer mitgedacht hat - oder sie
ausversehen draufgepackt werden.
>> Da investiere ich lieber
>> einen Euro und ziehe mir die Bugfixes ueber Netz.
>
> ... und fängst Dir dabei den aktuellen Wurm ein weil Du (aus Unwissenheit
> oder aus Unfähigkeit) nicht in der Lage warst den betroffenen Dienst vorher
> zu beenden. Nee, für $Dau ist es schon besser den Rechner mal 2 Tage vom
> Netz wegzulassen und auf die CD zu warten. Zumindest solange bis er den
> Linkblock bzw. das Windows-Dienste-Script gefunden hat.
Zeig mir mal, wie ich mir einen Wurm einfangen kann, wenn ich von
einer Knoppix-CD boote, um mir die patches manuell herunterzuladen.
Juergen P. Meier
> Allerdings wurde ja angekündigt, dass es keine neue IE-Version geben
> solle. Was kommt an seiner Stelle?
Hmm, alle IE Komponenten (DLLs) einzeln als Bestandteil des
Systemkerns? Inklusive kuenstlicher Abhaengigkeit des KERNEL32.DLL
von MSHTML.DLL mit Aufrufen der MSHTML-DllInit() damit Wintendo nicht
in keinem Gerichtssaal der Welt mehr effektvoll ohne IE bootet.
spekulierend,
Juergen P. Meier
> Andreas Kretschmer <andreas_k...@despammed.com> wrote:
>
>>begin Stefan Hirschmann <hirshy_...@utanet.at> wrote:
>>> Mit IPSEC kenne ich mich überhaupt nicht aus. Wird das benötigt / für
>>> was / kann ich das Problemlos deaktivieren?
>>
>>Wenn Du nicht weißt, wozu es ist, brauchst Du es nicht.
>
> Diese Floskel wird zwar immer wieder gerne in die Diskussion geworfen,
Das ist keien Floskel, das ist eine Regel.
> ist aber generell im Windows-Umfeld und speziell bezüglich Port 500
> leider sachlich falsch. Tatsächlich ist es eins der Hauptprobleme bei
Unsinn.
> diesem Betrübssystem, dass dort jede Menge Dinge/Dienste laufen, von
> denen der normale Anwender nicht weiß, wozu sie sind, die er aber
> trotzdem braucht.
Was genau ist an "Er braucht sie nicht" so unheimlich schwer zu
verstehen?
Entweder er *lernt* welche Dienste er fuer welche Funktion benoetigt,
oder er schaltet sie ab. In beiden Faellen hat er einen Gewinn an
Sicherheit.
Juergen
Patrick Schaaf
>Entweder er *lernt* welche Dienste er fuer welche Funktion benoetigt,
>oder er schaltet sie ab. In beiden Faellen hat er einen Gewinn an
>Sicherheit.
Nicht nur das. Ich wundere mich immer an XP-Homies Anderer, warum die
so lange beim booten den gruenen Balken wandern lassen. Meins ist mit
einem Durchlauf fertig. Es startet halt nur, was wirklich sein musste.
Gruss
Patrick
Kim Huebel
> Sind auf der CD, die man in Deutschland bestellen kann, auch die
> Englischsprachigen Versionen der Patches enthalten? Man kann weder die
> US-Version (fuer die man eine Passport-Account braucht!) noch die
> UK-Version bestellen.
Ich werde dir die Antworten zu deinen Fragen gerne geben, wenn ich die
bestellte CD, die ich gestern bestellt habe, in Händen halte.
Jochen Arndt
> Sind auf der CD, die man in Deutschland bestellen kann, auch die
> Englischsprachigen Versionen der Patches enthalten? Man kann weder die
> US-Version (fuer die man eine Passport-Account braucht!) noch die
> UK-Version bestellen.
Nein. Es sind nur die deutschen Versionen (mehr würde auch nicht auf
eine CD passen). Die CD's dürfen (und sollen) weitergegeben werden. Für
UK und US bieten sich daher entsprechende (private) Kontakte an.
Eventuell tut es auch ein Anruf bei MS Deutschland. Meine Erfahrungen
damit (SP CD's, Downgrades) liegen schon einige Jahre zurück, waren aber
durchweg positiv.
Zur Info, was auf der CD ist:
Patches und SP'S für Win98, SE, ME, 2K, XP sowie DirectX 9B.
Die CD vom Oktober 2003 enthielt:
Patches und SP's für Win 2K und XP
IE6SP1 und Patches
Office 2K und XP SP's und Patches
DirectX 9B
Joe
Wolfgang Ewert
Juergen P. Meier teilte mit:
> Tilman Schmidt <Tilman....@ePost.de>:
> > Andreas Kretschmer <andreas_k...@despammed.com> wrote:
> >
> >>begin Stefan Hirschmann <hirshy_...@utanet.at> wrote:
> >>> Mit IPSEC kenne ich mich überhaupt nicht aus. Wird das benötigt / für
> >>> was / kann ich das Problemlos deaktivieren?
> >>
> >>Wenn Du nicht weißt, wozu es ist, brauchst Du es nicht.
> >
> > Diese Floskel wird zwar immer wieder gerne in die Diskussion geworfen,
>
> Das ist keien Floskel, das ist eine Regel.
Ein Blick in die Handbücher des Herstellers sollte Klarheit verschaffen:
| http://www.google.de/search?q=site%3Amicrosoft.com+services+security+unneeded+OR+unwanted
http://www.microsoft.com/technet/security/bulletin/MS01-037.mspx
"...would also follow best practices and remove all unneeded services.."
http://www.microsoft.com/technet/Security/prodtech/win2003/w2003hg/sgch10.mspx
"Any service or application is a potential point of attack and,
therefore, any unneeded services or executable files should be disabled
or removed... " (aus Google Cache)
> > ist aber generell im Windows-Umfeld und speziell bezüglich Port 500
> > leider sachlich falsch. Tatsächlich ist es eins der Hauptprobleme bei
>
> Unsinn.
>
> > diesem Betrübssystem, dass dort jede Menge Dinge/Dienste laufen, von
> > denen der normale Anwender nicht weiß, wozu sie sind, die er aber
> > trotzdem braucht.
>
> Was genau ist an "Er braucht sie nicht" so unheimlich schwer zu
> verstehen?
http://www.ntsvcfg.de/ hat (mind.) 2 Links dafür parat:
http://www.different-thinking.de/windows_2000_dienste.php
http://technet.microsoft.at/news_showpage.asp?newsid=10332&secid=14882
Leider ist die sichere Vorgehensweise bei M$ nur ggü verantwortungs-
vollen Kunden anzutreffen (W2k+3 vs. WXP).
Wolfgang
Jochen Arndt
[MS Sicherheitsupdate CD]
> Aber ist die CD aktuell, d.h. wenn jetzt bestellt, mit den
> April-Patches?
Nein. Letzte Patches vom 15.10.2003. Die Auto Installation weist auf den
notwendigen Besuch von Windows Update hin.
Joe
Jochen Arndt
> Stand Februar ist meine[1].
Gedruckt *auf* der CD und dem Cover. Inhalt: Oktober 2003.
Joe
Thorsten Dahm
> Thorsten Dahm <usenet_m...@gmx.net>:
>> Warum? Weil MS dann die Adresse hat an die die CD geschickt wird? Die
>> Adresse haben sie meistens eh' schon wenn man seine Kopie des OS
>> registriert hat. Im Umkehrschluß brauchst Du für die CD aber keinem
>> unsicheren ActiveX-Control zu erlauben Deine Platte auszuspionieren
>> und all' Deine Software an MS zu übermitteln um die für Dich
>> passenden Patches präsentiert zu kriegen.
>
> Fuer die US-Version brauchst du einen Passport Account.
Wer hat denn was von der US-Version gesagt? Es gibt in .de immer noch
genügend Leute die nichtmal wissen was hallo auf englisch heißt, insofern
würde es meiner Meinung nach auf jeden Fall ausreichen wenn die deutsche
Version der CD problemlos bestellbar ist.
> Ich habe mir jetzt mal die deutsche Version bestellt, um zu sehen ob
> dort auch die *-ENU* Versionen der Hotfixes und Patches drauf sind.
> Kann ja sein, das bei MS doch mal wer mitgedacht hat - oder sie
> ausversehen draufgepackt werden.
Schreib' bitte mal eine kurze Note wenn Du die CD bekommen hast, das
würde mich auch interessieren.
>> ... und fängst Dir dabei den aktuellen Wurm ein weil Du (aus
>> Unwissenheit oder aus Unfähigkeit) nicht in der Lage warst den
>> betroffenen Dienst vorher zu beenden. Nee, für $Dau ist es schon
>> besser den Rechner mal 2 Tage vom Netz wegzulassen und auf die CD zu
>> warten. Zumindest solange bis er den Linkblock bzw. das
>> Windows-Dienste-Script gefunden hat.
>
> Zeig mir mal, wie ich mir einen Wurm einfangen kann, wenn ich von
> einer Knoppix-CD boote, um mir die patches manuell herunterzuladen.
Ich schrieb ja extra von $Dau. Das jemand Knoppix dafür nutzt bzw. gleich
sein OS im Griff hat ist bisher leider die rühmliche Ausnahme.
Gruß, Thorsten
--
begin Das Schicksal beschützt Narren, kleine Kinder und Schiffe mit dem
Namen Enterprise (William T. Riker)
end
This signature does not support incompatible and broken newsreaders.
Juergen P. Meier
> "Juergen P. Meier" <nospa...@jors.net> wrote:
>> Thorsten Dahm <usenet_m...@gmx.net>:
>>> Warum? Weil MS dann die Adresse hat an die die CD geschickt wird? Die
>>> Adresse haben sie meistens eh' schon wenn man seine Kopie des OS
>>> registriert hat. Im Umkehrschluß brauchst Du für die CD aber keinem
>>> unsicheren ActiveX-Control zu erlauben Deine Platte auszuspionieren
>>> und all' Deine Software an MS zu übermitteln um die für Dich
>>> passenden Patches präsentiert zu kriegen.
>>
>> Fuer die US-Version brauchst du einen Passport Account.
>
> Wer hat denn was von der US-Version gesagt? Es gibt in .de immer noch
Ich. Hier. Weil LANG=en. Zumindest bei mir.
> genügend Leute die nichtmal wissen was hallo auf englisch heißt, insofern
> würde es meiner Meinung nach auf jeden Fall ausreichen wenn die deutsche
> Version der CD problemlos bestellbar ist.
Dunno. Ich moechte dir nur gerne mal zuschauen, wie du die deutschen
Patches auf einer englischen Windows-Version installierst. Wirklich.
Englisch ist in meinem Geschaeftsumfeld enorm wichtig. Vier von fuenf
Dokumenten, die ich fuer Kunden schreibe, sind englisch. Alle
brauchbare Dokumentation (einschliesslich der von Geraeten Made (und
Design!) in Germany) ist in Englisch. Es ist nur konsequet, das auch
meine Computer vorwiegend Englisch sprechen.
Was schon schwer genug, bei all den Anglophoben hierzulande ueberhaupt
ein englisches Wintendo zu bekommen. Aber das ist ein ganz anderes
Thema...
Du sprachst ja geausowenig explizit von der deutschen Version ;)
(Wie gesagt: fuer US-version brauchste Passport, und was man da alles
Preisgeben muss...)
> Schreib' bitte mal eine kurze Note wenn Du die CD bekommen hast, das
> würde mich auch interessieren.
Naja, Kim hat schon geantwortet - mal sehen was ich mit der (fuer mich
nutzlosen) Machen werde. Wenn im Bekanntenkreis keiner sie brauchen
kann, gibts halt einen weiteren Untersetzer fuer die Biergartensaison ;)
>> Zeig mir mal, wie ich mir einen Wurm einfangen kann, wenn ich von
>> einer Knoppix-CD boote, um mir die patches manuell herunterzuladen.
>
> Ich schrieb ja extra von $Dau. Das jemand Knoppix dafür nutzt bzw. gleich
> sein OS im Griff hat ist bisher leider die rühmliche Ausnahme.
Ja. Ich schrieb ausnahmsweise nicht vom Standard-User, sondern
eingefaerbt von mir. Sorry fuer das Misverstaendnis.
Thorsten Dahm
>
> Ich. Hier. Weil LANG=en. Zumindest bei mir.
Ok.
>> genügend Leute die nichtmal wissen was hallo auf englisch heißt,
>> insofern würde es meiner Meinung nach auf jeden Fall ausreichen wenn
>> die deutsche Version der CD problemlos bestellbar ist.
>
> Dunno. Ich moechte dir nur gerne mal zuschauen, wie du die deutschen
> Patches auf einer englischen Windows-Version installierst. Wirklich.
Tue ich nicht. Wieso sollte ich? Ich schrieb ja daß ich persönlich keine
Erfahrung damit habe sondern nur durch $Freund. Und der hat Lang=de. Er
kann kein Englisch und wird sich darum auch niemals ein englisches
Windows installieren. Insofern ist es für ihn egal ob man für die
englische Update-CD einen Passport-Account braucht oder nicht.
> Englisch ist in meinem Geschaeftsumfeld enorm wichtig. Vier von fuenf
> Dokumenten, die ich fuer Kunden schreibe, sind englisch. Alle
> brauchbare Dokumentation (einschliesslich der von Geraeten Made (und
> Design!) in Germany) ist in Englisch. Es ist nur konsequet, das auch
> meine Computer vorwiegend Englisch sprechen.
same here. Offizielle Firmensprache ist englisch. Trotzdem wage ich mal
zu behaupten daß der überwiegende Teil der Windows-User in Deutschland
die deutsche Version nutzen.
> Du sprachst ja geausowenig explizit von der deutschen Version ;)
> (Wie gesagt: fuer US-version brauchste Passport, und was man da alles
> Preisgeben muss...)
Ich glaube das wird ein weiterer Punkt auf meiner Liste "warum ich
niemals freiwillig Windows benutzen will".
>> Schreib' bitte mal eine kurze Note wenn Du die CD bekommen hast, das
>> würde mich auch interessieren.
>
> Naja, Kim hat schon geantwortet
Habe ich mittlerweile auch gelesen.
Tilman Schmidt
>Tilman Schmidt <Tilman....@ePost.de>:
>> Andreas Kretschmer <andreas_k...@despammed.com> wrote:
>>
>>>begin Stefan Hirschmann <hirshy_...@utanet.at> wrote:
>>>> Mit IPSEC kenne ich mich überhaupt nicht aus. Wird das benötigt / für
>>>> was / kann ich das Problemlos deaktivieren?
>>>
>>>Wenn Du nicht weißt, wozu es ist, brauchst Du es nicht.
>>
>> Diese Floskel wird zwar immer wieder gerne in die Diskussion geworfen,
>
>Das ist keien Floskel, das ist eine Regel.
Nur unter der Voraussetzung eines umfassend gebildeten Benutzers, der
alle Details der Funktion seines Rechners kennt. Diese Forderung ist
dermaßen weit von der Realität entfernt, dass sie als Prämisse nun
wirklich sinnlos ist.
>> ist aber generell im Windows-Umfeld und speziell bezüglich Port 500
>> leider sachlich falsch. Tatsächlich ist es eins der Hauptprobleme bei
>
>Unsinn.
Wenn Du meinst.
>> diesem Betrübssystem, dass dort jede Menge Dinge/Dienste laufen, von
>> denen der normale Anwender nicht weiß, wozu sie sind, die er aber
>> trotzdem braucht.
>
>Was genau ist an "Er braucht sie nicht" so unheimlich schwer zu
>verstehen?
Keine Ahnung. Ich bin bisher der Ansicht, diese Aussage vollständig
verstanden zu haben - so vollständig, dass ich ihre Unrichtigkeit klar
erkennen kann. Vielleicht erläuterst Du mal, was Dich zu der Vermutung
veranlasst, ich hätte irgendetwas daran nicht verstanden.
>Entweder er *lernt* welche Dienste er fuer welche Funktion benoetigt,
>oder er schaltet sie ab. In beiden Faellen hat er einen Gewinn an
>Sicherheit.
Natürlich. Verzicht auf Funktionalität bedeutet fast immer Gewinn an
Sicherheit. Am sichersten ist bekanntlich der abgeschaltete, in Beton
eingegossene Rechner.
Aber was hat das mit der Behauptung zu tun, er *bräuchte* die
abgeschaltete Funktion nicht?
--
Tilman Schmidt E-Mail: Tilman....@ePost.de
Bonn, Germany
- In theory, there is no difference between theory and practice.
In practice, there is.
Juergen P. Meier
> "Juergen P. Meier" <nospa...@jors.net> wrote:
>
>>Entweder er *lernt* welche Dienste er fuer welche Funktion benoetigt,
>>oder er schaltet sie ab. In beiden Faellen hat er einen Gewinn an
>>Sicherheit.
>
> Natürlich. Verzicht auf Funktionalität bedeutet fast immer Gewinn an
> Sicherheit. Am sichersten ist bekanntlich der abgeschaltete, in Beton
> eingegossene Rechner.
Bitte erklaere mir, was diese beiden Saetze genau mit meienr Aussage
zu tun haben.
Ich sage: "Wenn er Funktion X braucht, dann soll er sich halt (im
Handbuch, beim Hersteller) darueber Informieren, welche Dienste er
fuer Funktion X braucht. Dann kann er diese, und nur diese,
aktivieren". *DIESE* Aussage steckt im Satz "Entweder er *lernt*
welche Dienste er fuer welche Funktion benoetigt, oder er schaltet sie
ab."
> Aber was hat das mit der Behauptung zu tun, er *bräuchte* die
> abgeschaltete Funktion nicht?
Das ist keine Behauptung, das ist eine Bedingung.
Wenn ich sage: "Er soll die Dienste abschalten, die er nicht braucht!"
Dann ist das nicht das gleiche wie: "Er soll alle Dienste abschalten,
die braucht er nicht!"
Jetzt Klar?
Juergen Ilse
Tilman Schmidt <Tilman....@epost.de> wrote:
> "Juergen P. Meier" <nospa...@jors.net> wrote:
>>Tilman Schmidt <Tilman....@ePost.de>:
>>> Andreas Kretschmer <andreas_k...@despammed.com> wrote:
>>>>begin Stefan Hirschmann <hirshy_...@utanet.at> wrote:
>>>>> Mit IPSEC kenne ich mich überhaupt nicht aus. Wird das benötigt / für
>>>>> was / kann ich das Problemlos deaktivieren?
>>>>Wenn Du nicht weißt, wozu es ist, brauchst Du es nicht.
>>> Diese Floskel wird zwar immer wieder gerne in die Diskussion geworfen,
>>Das ist keien Floskel, das ist eine Regel.
> Nur unter der Voraussetzung eines umfassend gebildeten Benutzers, der
> alle Details der Funktion seines Rechners kennt. Diese Forderung ist
> dermaßen weit von der Realität entfernt, dass sie als Prämisse nun
> wirklich sinnlos ist.
Bzgl. Protokollen wie ipsec ist das eine zutreffende Regel, auch bei
"nicht gebildeten Benutzern".
>>> ist aber generell im Windows-Umfeld und speziell bezüglich Port 500
>>> leider sachlich falsch. Tatsächlich ist es eins der Hauptprobleme bei
>>Unsinn.
> Wenn Du meinst.
Wozu glaubst du sollte jemand IKE benoetigen, wenn er noch nicht einmal
weiss, was ipsec eigentlich ist?
>>> diesem Betrübssystem, dass dort jede Menge Dinge/Dienste laufen, von
>>> denen der normale Anwender nicht weiß, wozu sie sind, die er aber
>>> trotzdem braucht.
>>Was genau ist an "Er braucht sie nicht" so unheimlich schwer zu
>>verstehen?
> Keine Ahnung. Ich bin bisher der Ansicht, diese Aussage vollständig
> verstanden zu haben - so vollständig, dass ich ihre Unrichtigkeit klar
> erkennen kann. Vielleicht erläuterst Du mal, was Dich zu der Vermutung
> veranlasst, ich hätte irgendetwas daran nicht verstanden.
Wozu sollte er IKE benoetigen, wenn er noch nicht einmal weiss, was
ipsec ist? Solange du diese Frage nicht beantworten kannst, ist dein
Einwand nur unqualifiziertes Geblubber.
>>Entweder er *lernt* welche Dienste er fuer welche Funktion benoetigt,
>>oder er schaltet sie ab. In beiden Faellen hat er einen Gewinn an
>>Sicherheit.
> Natürlich. Verzicht auf Funktionalität bedeutet fast immer Gewinn an
> Sicherheit. Am sichersten ist bekanntlich der abgeschaltete, in Beton
> eingegossene Rechner.
> Aber was hat das mit der Behauptung zu tun, er *bräuchte* die
> abgeschaltete Funktion nicht?
Wofuer sollte er sie benoetigen? ipsec verwendet er offenbar nicht
(er weiss ja noch nicht einmal was das ist, und vermutlich laufen
mindestens 90% der Windows-Installationen ohne dass ipsec jemals
Verwendung findet), also wozu?
Tschuess,
Juergen Ilse (jue...@usenet-verwaltung.de)
--
Merke: Die N. ist eine FAQ zur Frage: "Warum nennen mich alle PLONK?"
Oliver Gassner in dsnu ueber die Netiquette.
Markus Koenig
> In der Realität ist es selbstverständlich, von Dingen, von denen man
> keine Ahnung hat, die Finger zu lassen, und einen Dienstleister zu
> konsultieren.
genau das ist in der Realitaet *oft* nicht der fall. Anders ist die Masse
der im Internet kusierenden Fehlerhaften Konfigurationen von Webserver
ueber MTA IMHO nicht zu erklaeren.
Aber das ist hier OT.
--
I don't know why I did it, I don't know why I enjoyed it,
and I don't know why I'll do it again.
Juergen Ilse
Markus Koenig <markus...@schrouse.net> wrote:
> Heiko Schlenker <hsc...@gmx.de> wrote:
>> In der Realität ist es selbstverständlich, von Dingen, von denen man
>> keine Ahnung hat, die Finger zu lassen, und einen Dienstleister zu
>> konsultieren.
> genau das ist in der Realitaet *oft* nicht der fall. Anders ist die Masse
> der im Internet kusierenden Fehlerhaften Konfigurationen von Webserver
> ueber MTA IMHO nicht zu erklaeren.
Du irrst. Genau das ist in der Realitaet der Fall, nur eben nicht
bei irgendwelchen DAUs mit ComputerBloed-Halbwissen und einer
"voll krass sicheren Personal Firewall" auf ihrem ungepatchten
Windows-System ...
Christian Loew
> Bzgl. Protokollen wie ipsec ist das eine zutreffende Regel, auch bei
> "nicht gebildeten Benutzern".
>
>>>> ist aber generell im Windows-Umfeld und speziell bezüglich Port 500
>>>> leider sachlich falsch. Tatsächlich ist es eins der Hauptprobleme bei
>>>Unsinn.
>> Wenn Du meinst.
>
> Wozu glaubst du sollte jemand IKE benoetigen, wenn er noch nicht einmal
> weiss, was ipsec eigentlich ist?
weil IKE unabhängig von ipsec ist?
(ipsec funktioniert grundsätzlich auch ohne IKE)
Chris
Erik Griffin
> Gabriele Neukam <Gabriele.Spam...@t-online.de>:
>> Allerdings wurde ja angekündigt, dass es keine neue IE-Version geben
>> solle. Was kommt an seiner Stelle?
>
> Hmm, alle IE Komponenten (DLLs) einzeln als Bestandteil des
> Systemkerns?
^^^^^^^^^^^
<scnr>hm... er fragte was kommen wird und nicht was schon ist</scnr>
[...]
mfg
Erik
--
Top 100 things you don't want the sysadmin to say:
77. What's that grinding sound?
Juergen Ilse
Ich weiss, es ist aber die bei ipsec gebraeuchliche Methode fuer
Schluesseltausch (und moeglicherweise aufgrund irgendwelcher
extensions weitere Informationen auszutauschen). Bei der Windows-
IPSEC-Implementierung haengt AFAIK IKE auch untrennbar mit dran,
bei vielen anderen vermutlich ebenfalls ...
Juergen P. Meier
Juergen P. Meier
> Heiko Schlenker <hsc...@gmx.de> wrote:
>
>> In der Realität ist es selbstverständlich, von Dingen, von denen man
>> keine Ahnung hat, die Finger zu lassen, und einen Dienstleister zu
>> konsultieren.
>
> genau das ist in der Realitaet *oft* nicht der fall. Anders ist die Masse
> der im Internet kusierenden Fehlerhaften Konfigurationen von Webserver
> ueber MTA IMHO nicht zu erklaeren.
Du hast das falsch Verstanden. Heiko meinte "ausserhalb der
IT/Computer Welt".
Wenn du eine Beule am Knie hast, schneidest du dir ja auch nicht
selbst mit dem Kuechenmesser daran herum, oder?
Oder wenn du einen Wasserrohrbruch hast, dann rufst auch du den
Klemptner.
Wenn der Motor deines Autos nach paar Minuten immer Abstirbt, dann
faehrst du auch in eine Werkstatt.
Sicher, einige wenige Leute sind auf dem jeweiligen Gebiet selbst
Experten (ein Klemptner wird nie einen anderen Rufen) aber ueber
die reden wir hier nicht.
> Aber das ist hier OT.
Leider nicht.
Warum bei vieleln Menschen der normale, gesunde Menschenverstand einen
totalen Shutdown durchfuehrt, sobald sie ein Brett mit >100 Tasten vor
sich haben und auf ein rechteckiges Bilddarstellungsgeraet starren,
ist mir einfach nicht verstaendlich.
Christian Loew
Ich kenne keine. Du kennst anscheindend auch keine.
Das heißt aber nicht, daß es keine gibt.
Für micht liest sich Jürgens posting so, daß ipsec IKE zwingend benötigt bzw
IKE ein 'Teil von ipsec' ist.
Chris
Juergen P. Meier
> Für micht liest sich Jürgens posting so, daß ipsec IKE zwingend benötigt bzw
> IKE ein 'Teil von ipsec' ist.
Bei Windows ist das so, bedingt durch die Implementierung, nicht durch
das Protokoll oder den Standard.
Juergen Ilse
Christian Loew <ch...@chello.at> wrote:
> Für micht liest sich Jürgens posting so, daß ipsec IKE zwingend benötigt bzw
> IKE ein 'Teil von ipsec' ist.
IKE ist unter Windows ein Dienst der AFAIK *ausschliesslich* im
Zusammenhang mit IPSEC verwendet wird. Wer nicht weiss was IPSEC
ist, wird es nicht einsetzen und ist daher (bei Windows) nicht
auf IKE angewiesen, also kann er es auch getrost abschalten.
Das war der stand der Diskussion, bis irgendjemand ein "vielleicht
braucht man es ja doch" ins Spiel brachte.
Tilman Schmidt
>Tilman Schmidt <Tilman....@ePost.de>:
>> "Juergen P. Meier" <nospa...@jors.net> wrote:
>>
>>>Entweder er *lernt* welche Dienste er fuer welche Funktion benoetigt,
>>>oder er schaltet sie ab. In beiden Faellen hat er einen Gewinn an
>>>Sicherheit.
>>
>> Natürlich. Verzicht auf Funktionalität bedeutet fast immer Gewinn an
>> Sicherheit. Am sichersten ist bekanntlich der abgeschaltete, in Beton
>> eingegossene Rechner.
>
>Bitte erklaere mir, was diese beiden Saetze genau mit meienr Aussage
>zu tun haben.
Du empfiehlst, Dienste, deren Zweck man nicht versteht, abzuschalten,
und begründest das mit dem Sicherheitsgewinn. Ich versuchte (in
ironischer und daher zugegebenermaßen vielleicht etwas schwer
verständlicher Weise) darauf hinzuweisen, dass diese Vorgehensweise
auch Nachteile in Form von Funktionalitätsverlust haben könnte.
>Ich sage: "Wenn er Funktion X braucht, dann soll er sich halt (im
>Handbuch, beim Hersteller) darueber Informieren, welche Dienste er
>fuer Funktion X braucht. Dann kann er diese, und nur diese,
>aktivieren". *DIESE* Aussage steckt im Satz "Entweder er *lernt*
>welche Dienste er fuer welche Funktion benoetigt, oder er schaltet sie
>ab."
"Nicht aktivieren" ist etwas anderes als "abschalten". Die Praxis
sieht doch so aus, dass auf dem derzeit leider verbreitetsten
Betriebssystem eine enorme Zahl an Diensten standardmäßig aktiv sind,
bei denen sogar Fachleute Schwierigkeiten haben, in Erfahrung zu
bringen, welcher davon für welche Funktion genau gebraucht wird. In
diesem Kontext führt die von Dir empfohlene Vorgehensweise schlicht zu
einem unbenutzbaren System.
>> Aber was hat das mit der Behauptung zu tun, er *bräuchte* die
>> abgeschaltete Funktion nicht?
>
>Das ist keine Behauptung, das ist eine Bedingung.
Die muss dann aber erst einmal erfüllt sein, bevor es ans Abschalten
geht. Daraus, dass der Betreiber eines Rechners nicht weiß, ob er eine
Funktion braucht, folgt aber nicht zwingend, dass er sie nicht
braucht.
Um mal wieder einen der unvermeidlichen, hinkenden Autovergleiche
einzubringen: Viele Autofahrer wissen auch nicht, für welche Funktion
ein Querlenker gebraucht wird. Trotzdem würde ich nicht die Empfehlung
aussprechen, sie sollten entweder lernen, wofür er gut ist, oder ihn
ausbauen.
>Wenn ich sage: "Er soll die Dienste abschalten, die er nicht braucht!"
>Dann ist das nicht das gleiche wie: "Er soll alle Dienste abschalten,
>die braucht er nicht!"
Aber auch nicht das gleiche wie: "Er soll alle Dienste abschalten, von
denen er nicht weiß, wofür er sie braucht."
Tilman Schmidt
>Wozu sollte er IKE benoetigen, wenn er noch nicht einmal weiss, was
>ipsec ist? Solange du diese Frage nicht beantworten kannst, ist dein
>Einwand nur unqualifiziertes Geblubber.
Auf diesem Niveau diskutiere ich nicht.
Tilman Schmidt
>* Tilman Schmidt <Tilman....@ePost.de> schrieb:
>
>> Nur unter der Voraussetzung eines umfassend gebildeten Benutzers,
>> der alle Details der Funktion seines Rechners kennt.
>
>Wirf bitte Benutzer und Administrator nicht in einen Topf.
Ok, ich korrigiere mich:
Nur unter der Voraussetzung eines umfassend gebildeten Administrators,
der alle Details der Funktion seines Rechners kennt.
Das ändert aber nichts am Rest meiner Argumentation, insbesondere bei
der großen Masse der Fälle, wo Benutzer und Administrator ein und
dieselbe Person sind.
>> Diese Forderung ist dermaßen weit von der Realität entfernt, dass
>> sie als Prämisse nun wirklich sinnlos ist.
>
>In der Realität ist es selbstverständlich, von Dingen, von denen man
>keine Ahnung hat, die Finger zu lassen, und einen Dienstleister zu
>konsultieren.
"Das muss eine Bedeutung des Wortes 'Realität' sein, die mir bisher
noch nicht geläufig war." (sorry, DNA)
In der Tat ist es in der Realität, die ich kenne, alles andere als
selbstverständlich, von Dingen, von denen man keine Ahnung hat, die
Finger zu lassen und einen Dienstleister zu konsultieren. Am
schlimmsten ist es wohl in der Computerei (oder vielleicht kommt es
mir auch nur so vor, weil es nun einmal mein Fachgebiet ist), aber es
gilt genauso für alle Bereiche des Handwerks, Medizin, Politik,
Wirtschaft, Mathematik, Recht - allenthalben trifft man auf Leute, die
sich mit der größten Selbstverständlichkeit an Dingen vergreifen, bei
denen sie mangels Sachverstand erheblichen Schaden anrichten können
und dies oft genug auch tun, um dann den wirklichen Fachleuten die
Beseitigung des Schlamassels zu überlassen - und sich oft genug auch
noch zu beklagen, dass das, was diese Fachleute tun, doch alles Mist
und überdies viel zu teuer sei.
Tilman Schmidt
>Heiko Schlenker <hsc...@gmx.de> wrote:
>
>> In der Realität ist es selbstverständlich, von Dingen, von denen man
>> keine Ahnung hat, die Finger zu lassen, und einen Dienstleister zu
>> konsultieren.
>
>genau das ist in der Realitaet *oft* nicht der fall. Anders ist die Masse
>der im Internet kusierenden Fehlerhaften Konfigurationen von Webserver
>ueber MTA IMHO nicht zu erklaeren.
>
>Aber das ist hier OT.
Nein, ist es nicht. Ohne Berücksichtigung dieser Tatsache ist
Sicherheit nicht zu erreichen.
Alexander Skwar
> Heiko Schlenker <hsc...@gmx.de> wrote:
>
>>* Tilman Schmidt <Tilman....@ePost.de> schrieb:
>>
>>> Nur unter der Voraussetzung eines umfassend gebildeten Benutzers,
>>> der alle Details der Funktion seines Rechners kennt.
>>
>>Wirf bitte Benutzer und Administrator nicht in einen Topf.
>
> Ok, ich korrigiere mich:
>
> Nur unter der Voraussetzung eines umfassend gebildeten Administrators,
> der alle Details der Funktion seines Rechners kennt.
Nein, ein jeder Adminsitrator kennt sich mit dem von ihm adminstrirtem
System aus. Ansonste ist falsch in der Rolle des Admins.
Das es viele gibt, die falsch in der Rolle des Admins sind, ist bekannt
und traurig. Ändert aber nichts daran, das sie sich mit dem System
auszukennen haben.
>>In der Realität ist es selbstverständlich, von Dingen, von denen man
>>keine Ahnung hat, die Finger zu lassen, und einen Dienstleister zu
>>konsultieren.
>
> "Das muss eine Bedeutung des Wortes 'Realität' sein, die mir bisher
> noch nicht geläufig war." (sorry, DNA)
Naja, aber auf jeden Fall sollte es so sein.
Alexander Skwar
--
# Okay, what on Earth is this one supposed to be used for?
2.4.0 linux/drivers/char/cp437.uni
Juergen P. Meier
> "Juergen P. Meier" <nospa...@jors.net> wrote:
>>
>>Bitte erklaere mir, was diese beiden Saetze genau mit meienr Aussage
>>zu tun haben.
>
> Du empfiehlst, Dienste, deren Zweck man nicht versteht, abzuschalten,
Genau.
> und begründest das mit dem Sicherheitsgewinn. Ich versuchte (in
Korrekt erkannt.
> ironischer und daher zugegebenermaßen vielleicht etwas schwer
> verständlicher Weise) darauf hinzuweisen, dass diese Vorgehensweise
> auch Nachteile in Form von Funktionalitätsverlust haben könnte.
Wenn eine *gewuenschte* Funktion darunter Leidet, muss sich der
Anwender *sinnvollerweise* damit beschaeftigen was der Dienst mit der
Funktion zu tun hat, welche Risiken damit verbunden sind und welche
weiteren Moeglichkeiten er hat, das Risiko beim Verwenden des Dienstes
zu verringern. Danach ist er jedoch in der Lage den Zweck des Dienstes
zu verstehen und selbst zu Entscheiden, ob er das Risiko akzeptiert
oder ob er zu Gunsten der Sicherheit auf die Funktion verzichtet.
>>Ich sage: "Wenn er Funktion X braucht, dann soll er sich halt (im
>>Handbuch, beim Hersteller) darueber Informieren, welche Dienste er
>>fuer Funktion X braucht. Dann kann er diese, und nur diese,
>>aktivieren". *DIESE* Aussage steckt im Satz "Entweder er *lernt*
>>welche Dienste er fuer welche Funktion benoetigt, oder er schaltet sie
>>ab."
>
> "Nicht aktivieren" ist etwas anderes als "abschalten". Die Praxis
"Nicht aktivieren" impliziert "abschalten" in all den Faellen, wo
der Dienst aktiv ist.
> sieht doch so aus, dass auf dem derzeit leider verbreitetsten
> Betriebssystem eine enorme Zahl an Diensten standardmäßig aktiv sind,
Und? Bei diesem OS gibt es im Dienste-Steuerungsprogramm sogar
detailierte Beschreibungen, was der Dienst macht und was die Folgen
des Abschaltens desselben sind.
> bei denen sogar Fachleute Schwierigkeiten haben, in Erfahrung zu
> bringen, welcher davon für welche Funktion genau gebraucht wird. In
Uh. Von welchem Fach sind diese Leute, das sie des Lesens nicht
maechtig sind?
> diesem Kontext führt die von Dir empfohlene Vorgehensweise schlicht zu
> einem unbenutzbaren System.
Falsch. Es fuehrt dazu, das sich der Anwender mit den *NOTWENDIGEN*
Grundlagen seines Systems auseinandersetzt.
Es ist wirklich Schade, das es keinen Fahrerlaubniszwang fuer die
Benutzung von Anlagen zur elektronischen Datenverarbeitung gibt.
>>> Aber was hat das mit der Behauptung zu tun, er *bräuchte* die
>>> abgeschaltete Funktion nicht?
>>
>>Das ist keine Behauptung, das ist eine Bedingung.
>
> Die muss dann aber erst einmal erfüllt sein, bevor es ans Abschalten
> geht. Daraus, dass der Betreiber eines Rechners nicht weiß, ob er eine
> Funktion braucht, folgt aber nicht zwingend, dass er sie nicht
> braucht.
Jemand, der nicht begruenden kann, warum er einen Dienst braucht (und
"weis nicht" ist *keine* Begruendung), braucht diesen meiner Erfahrung
nach idR. nicht.
> Um mal wieder einen der unvermeidlichen, hinkenden Autovergleiche
> einzubringen: Viele Autofahrer wissen auch nicht, für welche Funktion
> ein Querlenker gebraucht wird. Trotzdem würde ich nicht die Empfehlung
In der Fahrschule wird gelehrt, welche mit Diensten vergleichbaren
Komponenten am Fahrzeug welche Funktion erfuellen. Der Rest steht im
Betriebshandbuch eines jeden Fahrzeuges.
Und ja, ein Fahrzeugfuehrer muss wissen welche Funktion der
ESP/DSP-Schalter hat, was passiert, wenn er den
Nebelschlussleuchtenschalter betaetigt, welche Auswirkungen das
Eingeschaltetlassen des Fernlichtes auch bei Gegenverkehr hat und
wieso er die Oelablassschraube nicht offenlassen darf.
Dieser Vergleich hinkt insoweit, als das ein KFZ deutlich einfacher
ist und wesentlich weniger Funktion bietet als ein Computer.
> aussprechen, sie sollten entweder lernen, wofür er gut ist, oder ihn
> ausbauen.
Wer redet von ausbauen? Der Vergleich mit den Spastik^WDeppen, die mit
eingeschalteten Nebelscheinwerfern bei Foen¹ durch die Gegend fahren.
Das ist die Sorte Vollidioten, die auch mit eingeschaltetem
RPC-Dienst ohne weitere Filter durch die Gegend surfen.
>>Wenn ich sage: "Er soll die Dienste abschalten, die er nicht braucht!"
>>Dann ist das nicht das gleiche wie: "Er soll alle Dienste abschalten,
>>die braucht er nicht!"
>
> Aber auch nicht das gleiche wie: "Er soll alle Dienste abschalten, von
> denen er nicht weiß, wofür er sie braucht."
Ja. Jetzt erklaere mir bitte, wieso jemand einen Dienst nicht abschalten
soll, von dem er *nicht* Weis wofuer er ihn braucht. Spaetestens mit
dem Abschalten merkt er doch, ob er ihn braucht oder nicht. Und dann
kann er gleich noch lernen, wofuer er ihn braucht.
¹ Foen in Sueddeutschland: Trocken und klare Sicht mehrere hundert km weit.
Juergen
--
Juergen P. Meier - "This World is about to be Destroyed!"
end
If you think technology can solve your problems you don't understand
technology and you don't understand your problems. (Bruce Schneier)
Volker Birk
>> Nur unter der Voraussetzung eines umfassend gebildeten Administrators,
>> der alle Details der Funktion seines Rechners kennt.
> Nein, ein jeder Adminsitrator kennt sich mit dem von ihm adminstrirtem
> System aus. Ansonste ist falsch in der Rolle des Admins.
Ich glaube, ich kann Euer Missverständnis aufklären:
Die Personen mit abgelaufenen Turnschuhen, die in vielen Unternehmen
Windows "neu installieren", wenn der Computer "nicht mehr geht", nennen
sich selber auch "Administratoren". Wahrscheinlich sind sie darauf
gekommen, weil das Benutzerkonto, das sie auch zum F*ckbildchen
anschauen nutzen, eben zufällig so heißt.
Ja, das sind die Leute, die Titel und Orden wie "MCP" und "MCSE" tragen.
Das meintest Du aber nicht, Alexander, nicht wahr?
Und da kommt Euer Missverständnis her.
HTH,
VB.
--
X-Pie Software GmbH
Postfach 1540, 88334 Bad Waldsee
Phone +49-7524-996806 Fax +49-7524-996807
mailto:v...@x-pie.de http://www.x-pie.de
Alexander Skwar
> Ich glaube, ich kann Euer Missverständnis aufklären:
>
> Die Personen mit abgelaufenen Turnschuhen, die in vielen Unternehmen
> Windows "neu installieren", wenn der Computer "nicht mehr geht", nennen
> sich selber auch "Administratoren". Wahrscheinlich sind sie darauf
> gekommen, weil das Benutzerkonto, das sie auch zum F*ckbildchen
> anschauen nutzen, eben zufällig so heißt.
>
> Ja, das sind die Leute, die Titel und Orden wie "MCP" und "MCSE" tragen.
> Das meintest Du aber nicht, Alexander, nicht wahr?
Nein, das sind "Administratoren", keine Administratoren ;) Auch die Leute
die zu Hause einen Rechner betreiben der an Weitverkehrsnetzen hängt,
sind "Administratoren".
Aber eigentlich sollte es keinen Unterschied zwischen "Administrator" und
Administrator geben :(
> Und da kommt Euer Missverständnis her.
>
> HTH,
Danke! ;)
Alexander Skwar
--
panic("mother...");
2.2.16 /usr/src/linux/drivers/block/cpqarray.c