/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
To firewall or not to firewall?
Fra : NB


Dato : 01-06-04 16:10

Hej Gruppe

Jeg har efterhånden hørt fra adskillige, at en firewall er praktisk talt
ubrugelig hvis man bare anvender sin logiske sans. Derfor vil jeg godt
høre hvad jeg skal være opmærksom på hvis jeg vælger ikke at installere
en firewall. Selvfølgelig er der opdateringer af software, men er der
andet jeg kan være opmærksom på?

 
 
Bertel Lund Hansen (01-06-2004)
Kommentar
Fra : Bertel Lund Hansen


Dato : 01-06-04 16:26

NB skrev:

>Jeg har efterhånden hørt fra adskillige, at en firewall er praktisk talt
>ubrugelig hvis man bare anvender sin logiske sans.

Det er en sandhed med modifikationer. Den [1] er overflødig for
en privat bruger med et lille netværk/én computer hvis man ved
hvordan Windows skal sættes netsikkert op.

>Derfor vil jeg godt høre hvad jeg skal være opmærksom på hvis jeg vælger ikke at installere
>en firewall.

Du skal lukke for de aktive tjenster der sættes op som default på
Windows og betyder at computeren gives svar på henvendelser
udefra. Derved kan skadelige programmer installere sig selv på
computeren uden man opdager det før det er for sent.

Jeg har et godt PDF-dokument liggende der beskriver
fremgangsmåden for XP pro på dansk, og jeg vil tro at den også
kan bruges på en XP home. Desværre har jeg ikke netadressen på
dokumentet, så jeg håber at en anden kan supplere med den, men
jeg kan godt sende dig dokumentet i en mail (1,4 MB).

[1] Der kan skrives en længere redegørelse om 'personlige' og
egentlige firewalls.

--
Bertel
http://bertel.lundhansen.dk/   FIDUSO: http://fiduso.dk/

Rudi Stegen (01-06-2004)
Kommentar
Fra : Rudi Stegen


Dato : 01-06-04 16:39

Hej Bertel Lund Hansen, du skrev i dk.edb.sikkerhed:

> Jeg har et godt PDF-dokument liggende der beskriver
> fremgangsmåden for XP pro på dansk, og jeg vil tro at den også
> kan bruges på en XP home. Desværre har jeg ikke netadressen på
> dokumentet, så jeg håber at en anden kan supplere med den

Jeg formoder det er Thomas Madsens. I så fald har han det på
<http://home18.inet.tele.dk/madsen/winxp/Tjenester.pdf>

--
Hygge fra Århus - Rudi

Bertel Lund Hansen (01-06-2004)
Kommentar
Fra : Bertel Lund Hansen


Dato : 01-06-04 16:45

Rudi Stegen skrev:

>Jeg formoder det er Thomas Madsens.

Præcis. Tak for det.

En eminent beskrivelse.

--
Bertel
http://bertel.lundhansen.dk/   FIDUSO: http://fiduso.dk/

Thomas G. Madsen (01-06-2004)
Kommentar
Fra : Thomas G. Madsen


Dato : 01-06-04 21:56

Bertel Lund Hansen skrev:

> En eminent beskrivelse.

Tak skal du have Bertel.
Jeg kunne godt tænke mig at vide, om vejledningen også kan bruges
på WinXP Home, men det tror jeg nu at den kan.
Når SP2 udkommer, er der nok ændret en smule i tjenesterne, men
dog ikke så meget, at vejledningen ikke længere kan bruges.
Den eneste ændring bliver tilsyneladende, at Task Scheduler eller
Opgavestyring som det hedder på dansk, ikke længere står og lytter
på TCP:1025 og at Messenger-tjenesten ikke længere kører som
standard. Sådan ser det i hvert tilfælde ud i deres RC1-udgave,
som de har givet offentligheden lov til at prøve.

--
Hilsen
Madsen

Alex Holst (01-06-2004)
Kommentar
Fra : Alex Holst


Dato : 01-06-04 22:09

Thomas G. Madsen wrote:
[XP SP2]
> Den eneste ændring bliver tilsyneladende, at Task Scheduler eller
> Opgavestyring som det hedder på dansk, ikke længere står og lytter
> på TCP:1025 og at Messenger-tjenesten ikke længere kører som
> standard. Sådan ser det i hvert tilfælde ud i deres RC1-udgave,
> som de har givet offentligheden lov til at prøve.

Jeg mindes en paastand om at RPC i SP2 kun vil tage imod authenticted
forbindelser, men jeg har ikke selv kigget paa den endnu.

Fin vejledning. Der kommer et link i OSS'en.


--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk

Peder Vendelbo Mikke~ (01-06-2004)
Kommentar
Fra : Peder Vendelbo Mikke~


Dato : 01-06-04 22:54

Alex Holst skrev:

> Jeg mindes en paastand om at RPC i SP2 kun vil tage imod authenticted
> forbindelser, men jeg har ikke selv kigget paa den endnu.

Det har nok været herfra (eller fra en webside som refererede derfra):

http://www.microsoft.com/presspass/newsroom/winxp/WindowsXPSPFS.asp

"Reduction of the attack surface of a Windows XP-based computer while on
a network. For example, the Remote Procedure Call (RPC) service will run
with reduced privileges and will no longer accept unauthenticated
connections by default."

Ifølge dette dokument (som er udgivet 14. maj 2004, dvs. efter det før-
nævnte):

http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/sp2netwk.mspx#XSLTsection128121120120

Kan det styres med indstillinger i registreringsdatabasen. Afsnittet er
for stort til at kopiere ind i indlægget.

Kort fortalt, der vil som standard kun være adgang til RPC lokalt fra
maskinen (bortset fra named pipes (hvad det så end er)).

Jeg har ikke læst hele dokumentet endnu, så der er nok noget jeg har
overset og som vil modsige hvad jeg skriver i det ovennævnte.


Thomas G. Madsen (01-06-2004)
Kommentar
Fra : Thomas G. Madsen


Dato : 01-06-04 22:54

Alex Holst skrev:

> Jeg mindes en paastand om at RPC i SP2 kun vil tage imod
> authenticted forbindelser, men jeg har ikke selv kigget paa
> den endnu.

Det har jeg ikke hørt noget om, men det lyder lovende, hvis det
er tilfældet. Jeg har RC1 installeret lige pt. men kan ikke
finde noget vedrørende dette. Det eneste jeg har bemærket er en
ny firewall, som er koblet til som standard og et irriterende
Security Center som brokker sig, hvis firewallen ikke er tændt,
hvis der ikke er installeret antivirussoftware, eller hvis den
installerede antivirussoftware ikke genkendes af Security Center,
men det kan selvfølgelig nå at ændre sig inden den endelige udgave.

Desuden er der også kommet noget der hedder DEP, som skulle stå
for Data Execution Prevention, men det er vist kun understøttet
på AMD64 og Itanium-processorer. Om det kun er salgsgas, eller
om det virkelig virker i praksis, ved jeg dog ikke.

> Fin vejledning.

Tak

> Der kommer et link i OSS'en.

Ok.

--
Hilsen
Madsen

Rudi Stegen (01-06-2004)
Kommentar
Fra : Rudi Stegen


Dato : 01-06-04 23:26

Hej Thomas G. Madsen, du skrev i dk.edb.sikkerhed:

>> Der kommer et link i OSS'en.
>
> Ok.

I så fald håber jeg, det er også er o.k., at jeg har linket til den på
<http://rudi.nerd.dk/pclinks1.htm> og <http://stegen.dk/pclinks1.htm>
(de er spejlet)?

(Jeg har været rap, hva'

Hvis det ikke er, eller du gerne vil have det vendt anderledes (tjek
øverst på siden), eller... etc., så smid lige en mail eller/og indlæg.

--
Hygge fra Århus - Rudi

Michael Knudsen (03-06-2004)
Kommentar
Fra : Michael Knudsen


Dato : 03-06-04 22:57

Thomas G. Madsen wrote:
> Desuden er der også kommet noget der hedder DEP, som skulle stå
> for Data Execution Prevention, men det er vist kun understøttet
> på AMD64 og Itanium-processorer. Om det kun er salgsgas, eller
> om det virkelig virker i praksis, ved jeg dog ikke.

Umiddelbart kunne det godt lyde som det, der kaldes W^X i OpenBSD --
eller i hvert fald noget, der udnytter amd64's per-page execute bit.

Jeg fandt foelgende beskrivelse i ``Changes to Functionality in
Microsoft Windows XP Service Pack 2''[1]:

• Memory protection.
Some attacks by malicious software leverage software security
vulnerabilities that allow too much data to be copied into areas of the
computer’s memory. These vulnerabilities are typically referred to as
buffer overruns. Although no single technique can completely eliminate
this type of vulnerability, Microsoft is employing a number of security
technologies to mitigate these attacks from different angles. First,
core Windows components have been recompiled with the most recent
version of our compiler technology, which provides added protection
against buffer overruns. Additionally, Microsoft is working with
microprocessor companies to help Windows support hardware-enforced data
execution prevention (DEP) on microprocessors that contain the feature.
Data execution prevention uses the CPU to mark all memory locations in
an application as non-executable, unless the location explicitly
contains executable code. This way, when an attacking worm or virus
inserts program code into a portion of memory marked for data only, an
application or Windows component will not run it.

Umiddelbart lyder det ret meget som det, der er blevet implementeret i
OpenBSD med W^X[2] og Propolice[3]. DEP er nok blot, lidet overraskende,
et marketingsudtryk, der skal daekke de tiltag, der skal goere det
svaert at lave buffer og heap overflows.

[1]
http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/sp2chngs.mspx
[2] http://marc.theaimsgroup.com/?l=openbsd-misc&m=105056000801065&w=2
[3] http://www.research.ibm.com/trl/projects/security/ssp/
--
Rumour is information distilled so finely that it can filter through
anything.
-- (Terry Pratchett, Feet of Clay)

Kasper Dupont (03-06-2004)
Kommentar
Fra : Kasper Dupont


Dato : 03-06-04 23:18

Michael Knudsen wrote:
>
> Thomas G. Madsen wrote:
> > Desuden er der også kommet noget der hedder DEP, som skulle stå
> > for Data Execution Prevention, men det er vist kun understøttet
> > på AMD64 og Itanium-processorer. Om det kun er salgsgas, eller
> > om det virkelig virker i praksis, ved jeg dog ikke.
>
> Umiddelbart kunne det godt lyde som det, der kaldes W^X i OpenBSD --
> eller i hvert fald noget, der udnytter amd64's per-page execute bit.

AMD kalder det vist NX for no-execute. Og er altså bare
en execute bit med modsat fortegn. Gamle programmer skal
ifølge den daværende dokumentation sætte bitten til nul,
og da man gerne vil have mulighed for at eksekvere kode
som default valgte man så at gøre det på den måde. Det
har selvfølgelig ingen sikkerhedsmæssig betydning om
default er 0 eller 1.

>
> Umiddelbart lyder det ret meget som det, der er blevet implementeret i
> OpenBSD med W^X[2] og Propolice[3].

Ikke helt. W^X i OpenBSD lyder næsten som det samme som
exec-shield i Linux. Og begge er et forsøg på så godt
som muligt at implementere nonexecutable pages på i386
arkitekturen, som ikke har support for det. Begge kan
erstattes med noget bedre, når hardware supporten kommer.

Jeg kan ikke lige se navnet Propolice noget sted på den
side du linker til. Men det som siden beskriver er noget
lidt andet. Det er et forsøg på allerede i kodegenereringen
at gøre det lidt vanskeligere at udnytte evt. overløb, ved
simpelthen at sørge for, at der ikke ligger så mange
interessante ting efter bufferen. Så er det bare trælst
hvis man får lavet et "underløb" i stedet.

> DEP er nok blot, lidet overraskende,
> et marketingsudtryk, der skal daekke de tiltag, der skal goere det
> svaert at lave buffer og heap overflows.

Det nye navn gøre det jo nemmere for Microsoft at sige, at
det er noget de har opfundet.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use kasperd@kd.lir.dk and abuse@kd.lir.dk
I'd rather be a hammer than a nail.

Michael Knudsen (03-06-2004)
Kommentar
Fra : Michael Knudsen


Dato : 03-06-04 23:37

Kasper Dupont wrote:

> Michael Knudsen wrote:
>
>> Thomas G. Madsen wrote:

>> Umiddelbart kunne det godt lyde som det, der kaldes W^X i OpenBSD
>> -- eller i hvert fald noget, der udnytter amd64's per-page execute
>> bit.
>
>
> AMD kalder det vist NX for no-execute. Og er altså bare en execute
> bit med modsat fortegn. Gamle programmer skal ifølge den daværende
> dokumentation sætte bitten til nul, og da man gerne vil have mulighed
> for at eksekvere kode som default valgte man så at gøre det på den
> måde. Det har selvfølgelig ingen sikkerhedsmæssig betydning om
> default er 0 eller 1.

Hmm, det var egentlig mit indtryk, at NX var en MS-term, men det er det
vist ikke. Men ja, det er ret enkelt, hvad det goer.

>> Umiddelbart lyder det ret meget som det, der er blevet
>> implementeret i OpenBSD med W^X[2] og Propolice[3].
>
>
> Ikke helt. W^X i OpenBSD lyder næsten som det samme som exec-shield i
> Linux. Og begge er et forsøg på så godt som muligt at implementere
> nonexecutable pages på i386 arkitekturen, som ikke har support for
> det. Begge kan erstattes med noget bedre, når hardware supporten
> kommer.

W^X er ikke kun til i386. Det er implementeret paa de fleste
arkitekturer, OpenBSD koerer paa, mener jeg. Det er i hvert fald ogsaa
implementeret paa amd64-porten, som vist mere eller mindre satte det
hele i gang.

exec-shield har jeg ikke hoert om foer, men da OpenBSD annoncerede W^X,
begyndte nogle GNU-fanatikere at kraeve, at OpenBSD skulle give kredit
til et linuxprojekt kaldet `pax'. Iflg. OpenBSD-udviklerne var det
foerste gang, de hoerte om pax-projektet, men det skaendtes de vist
laenge om. Personligt kender jeg kun pax som et arkivvaerktoej.

> Jeg kan ikke lige se navnet Propolice noget sted på den side du
> linker til. Men det som siden beskriver er noget lidt andet. Det er
> et forsøg på allerede i kodegenereringen at gøre det lidt
> vanskeligere at udnytte evt. overløb, ved simpelthen at sørge for, at
> der ikke ligger så mange interessante ting efter bufferen. Så er det
> bare trælst hvis man får lavet et "underløb" i stedet.

Det blev kaldt Propolice, da det kom frem. Jeg holder vist bare fast i
det gamle navn.

Jep, det er standard runtimechecks med et canary omkring returadressen
samt reordering af funktionsargumenter, saa buffers bliver placeret
sidst (eller foerst?), hvilket skulle hjaelpe til at detektere
overflows. Jeg husker ikke lige detaljerne.

I modsaetning til mange andre stack protection schemes har Propolice
fundet _mange_ overflows -- deriblandt mange off-by-ones.

>> DEP er nok blot, lidet overraskende, et marketingsudtryk, der skal
>> daekke de tiltag, der skal goere det svaert at lave buffer og heap
>> overflows.
>
>
> Det nye navn gøre det jo nemmere for Microsoft at sige, at det er
> noget de har opfundet.

Med deres enorme marketingsmaskineri burde det vaere et minimalt
problem, men det er jo velkendt, at marketingsfolk elsker akronymer,
fordi de bagefter kan prale med at kende den reelle betydning af
udtrykket (og _ikke_ teknologien!).

Vi burde goere, som Adams fortaeller om. Suk.
--
Rumour is information distilled so finely that it can filter through
anything.
-- (Terry Pratchett, Feet of Clay)

Kasper Dupont (04-06-2004)
Kommentar
Fra : Kasper Dupont


Dato : 04-06-04 19:49

Michael Knudsen wrote:
>
> W^X er ikke kun til i386. Det er implementeret paa de fleste
> arkitekturer, OpenBSD koerer paa, mener jeg. Det er i hvert fald ogsaa
> implementeret paa amd64-porten, som vist mere eller mindre satte det
> hele i gang.

OK. Der ligger flere ting i det. For det første har de forbedret
lidt på kodegenerering (og linkning?), så der nu genereres
executables som ikke har brug for både W og X på samme side. Det
undrer mig egentlig lidt, at de skriver om det, for jeg troede
det havde været på den måde i *lang* tid.

Men ovenstående drejer sig om den del af koden, der ikke er
maskinafhængig. Om man overhovedet får noget ud af det afhænger
af den underliggende arkitektur. Så man har implementeret det på
arkitekturer, hvor hardwaren understøtter det.

>
> exec-shield har jeg ikke hoert om foer, men da OpenBSD annoncerede W^X,
> begyndte nogle GNU-fanatikere at kraeve, at OpenBSD skulle give kredit
> til et linuxprojekt kaldet `pax'. Iflg. OpenBSD-udviklerne var det
> foerste gang, de hoerte om pax-projektet, men det skaendtes de vist
> laenge om. Personligt kender jeg kun pax som et arkivvaerktoej.

Du kan læse om det her:
http://www.google.com/groups?selm=20030502164023%240fbc%40gated-at.bofh.it

Lighed mellem løsningerne til hhv. BSD og Linux kan jo nemt
skyldes, at de er lavet til samme hardware med de begrænsninger
den sætter. Jeg vil ikke udtale mig om hvorvidt de har hentet
inspiration fra hinanden. Jeg kan blot konstatere, at de er
nået frem til ca. samme løsning.

>
> Jep, det er standard runtimechecks med et canary omkring returadressen
> samt reordering af funktionsargumenter, saa buffers bliver placeret
> sidst (eller foerst?), hvilket skulle hjaelpe til at detektere
> overflows. Jeg husker ikke lige detaljerne.

Det må være bufferne sidst fordi man typisk vil komme til
at skrive efter bufferen.

>
> I modsaetning til mange andre stack protection schemes har Propolice
> fundet _mange_ overflows -- deriblandt mange off-by-ones.

Jeg kender ikke så mange stack beskyttelses værktøjer. Har
du nogle bestemte i tankerne? Jeg har ikke selv fået mig
sat ind i hvad valgrind kan, men mig bekendt burde den
også kunne opdage den slags fejl. Men valgrind er sikkert
for langsom til at bruge det på produktionsmaskiner.

>
> Vi burde goere, som Adams fortaeller om.

Tænker du på noget specifikt her?

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use kasperd@kd.lir.dk and abuse@kd.lir.dk
I'd rather be a hammer than a nail.

Michael Knudsen (06-06-2004)
Kommentar
Fra : Michael Knudsen


Dato : 06-06-04 10:16

Kasper Dupont wrote:
>> W^X er ikke kun til i386. Det er implementeret paa de fleste
>> arkitekturer, OpenBSD koerer paa, mener jeg. Det er i hvert fald
>> ogsaa implementeret paa amd64-porten, som vist mere eller mindre
>> satte det hele i gang.
>
> OK. Der ligger flere ting i det. For det første har de forbedret lidt
> på kodegenerering (og linkning?), så der nu genereres executables
> som ikke har brug for både W og X på samme side. Det undrer mig
> egentlig lidt, at de skriver om det, for jeg troede det havde været
> på den måde i *lang* tid.

Med hensyn til linkeren, saa har de gjort det muligt at loade (og dermed
linke) biblioteker i tilfaeldig raekkefoelge. Det goer det en del
svaerere at angribe, da en angriber ikke med sikkerhed kan vide noget om
placeringen af diverse kodestumper. Jeg mener, at kostprisen i tid er
(en lille) konstant.

> Men ovenstående drejer sig om den del af koden, der ikke er
> maskinafhængig. Om man overhovedet får noget ud af det afhænger af
> den underliggende arkitektur. Så man har implementeret det på
> arkitekturer, hvor hardwaren understøtter det.

Jep. Paa amd64 faar man dog en paenere implementation, da den kraever
mindre indgriben.

> Lighed mellem løsningerne til hhv. BSD og Linux kan jo nemt skyldes,
> at de er lavet til samme hardware med de begrænsninger den sætter.
> Jeg vil ikke udtale mig om hvorvidt de har hentet inspiration fra
> hinanden. Jeg kan blot konstatere, at de er nået frem til ca. samme
> løsning.

Det lyder meget sandsynligt. Det er set mange gange foer, at folk kommer
frem til det samme trods uafhaengigt (og udvidenhed) om hinandens arbejde.

>> Jep, det er standard runtimechecks med et canary omkring
>> returadressen samt reordering af funktionsargumenter, saa buffers
>> bliver placeret sidst (eller foerst?), hvilket skulle hjaelpe til
>> at detektere overflows. Jeg husker ikke lige detaljerne.
>
> Det må være bufferne sidst fordi man typisk vil komme til at skrive
> efter bufferen.

Jep, det lyder meget rimeligt.

>> I modsaetning til mange andre stack protection schemes har
>> Propolice fundet _mange_ overflows -- deriblandt mange off-by-ones.
>
> Jeg kender ikke så mange stack beskyttelses værktøjer. Har du nogle
> bestemte i tankerne? Jeg har ikke selv fået mig sat ind i hvad
> valgrind kan, men mig bekendt burde den også kunne opdage den slags
> fejl. Men valgrind er sikkert for langsom til at bruge det på
> produktionsmaskiner.

Jeg mener, at stackguard og electricfence blev sammenlignet med
Propolice, da det kom frem, og de klarede sig naevnevaerdigt daarligere.
Jeg kan ikke lige finde nogen kilde paa dette, desvaerre. Valgrind er
jeg ikke bekendt med. Jeg vil tage et kig, naar
eksamenstiden er ovre.

>> Vi burde goere, som Adams fortaeller om.
>
> Tænker du på noget specifikt her?

Er der ikke noget med, at i Hitchhiker's Guide har nogen sendt alle
marketingsfolk (og andre irriterende personer) til en anden planet?
Det saa jeg gerne gjort.
--
Rumour is information distilled so finely that it can filter through
anything.
-- (Terry Pratchett, Feet of Clay)

Kasper Dupont (06-06-2004)
Kommentar
Fra : Kasper Dupont


Dato : 06-06-04 10:37

Michael Knudsen wrote:
>
> Jeg mener, at stackguard og electricfence blev sammenlignet med
> Propolice, da det kom frem, og de klarede sig naevnevaerdigt daarligere.

Electric Fence har aldrig beskyttet stakken. Den beskytter
kun heap allokeringer. Stackguard kender jeg ikke.

>
> Er der ikke noget med, at i Hitchhiker's Guide har nogen sendt alle
> marketingsfolk (og andre irriterende personer) til en anden planet?
> Det saa jeg gerne gjort.

Hvis jeg ikke husker meget galt var den anden planet de
blev sendt til netop Jorden. Det var derfor Neandertalerne
uddøde. Og de irriterende personer var vist primært frisører.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use kasperd@kd.lir.dk and abuse@kd.lir.dk
I'd rather be a hammer than a nail.

Michael Knudsen (06-06-2004)
Kommentar
Fra : Michael Knudsen


Dato : 06-06-04 14:04

Kasper Dupont wrote:
>> Jeg mener, at stackguard og electricfence blev sammenlignet med
>> Propolice, da det kom frem, og de klarede sig naevnevaerdigt
>> daarligere.
>
> Electric Fence har aldrig beskyttet stakken. Den beskytter kun heap
> allokeringer. Stackguard kender jeg ikke.

Ah, det er vist rigtigt nok. Jeg husker ikke, hvad den anden
sammenlignede implementation var saa.

>> Er der ikke noget med, at i Hitchhiker's Guide har nogen sendt alle
>> marketingsfolk (og andre irriterende personer) til en anden
>> planet? Det saa jeg gerne gjort.
>
>
> Hvis jeg ikke husker meget galt var den anden planet de blev sendt
> til netop Jorden. Det var derfor Neandertalerne uddøde. Og de
> irriterende personer var vist primært frisører.

Nu er jeg vist en af de faa, jeg kender, der ikke synes specielt godt om
bogen[1], saa jeg husker sikkert galt. Jeg mener nu stadig, at det er en
god idé at sende marketing til en anden planet og saa i oevrigt saette
passende IP-filtre[2] op.

[1] Giv mig hellere noget fra Terry Pratchetts Discworld-serie!
[2] Det bliver nok ikke IPv6, da timeout er for kort til at kommunikere
med Mars.
--
Rumour is information distilled so finely that it can filter through
anything.
-- (Terry Pratchett, Feet of Clay)

Thomas G. Madsen (01-06-2004)
Kommentar
Fra : Thomas G. Madsen


Dato : 01-06-04 22:54

Carl Drud skrev:

> On Tue, 01 Jun 2004 22:55:56 +0200, Thomas G. Madsen wrote:
>
>> Jeg kunne godt tænke mig at vide, om vejledningen også kan
>> bruges på WinXP Home, men det tror jeg nu at den kan.
>
> Det kan den.

Ok og tak for info. Jeg har nemlig endnu ikke fået prøvet den
af på XP Home. Måske skulle man bare fjerne Pro i overskriften
af PDF'en så.

--
Hilsen
Madsen

Thomas G. Madsen (01-06-2004)
Kommentar
Fra : Thomas G. Madsen


Dato : 01-06-04 23:04

Alex Holst skrev:

> Jeg mindes en paastand om at RPC i SP2 kun vil tage imod
> authenticted forbindelser, men jeg har ikke selv kigget paa
> den endnu.

Der står vist noget om det her:
http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/sp2chngs.mspx#XSLTsection124121120120

| The attack surface of the Remote Procedure Call (RPC) service
| is reduced, and you can run RPC objects with reduced
| credentials. The DCOM infrastructure also has additional access
| control restrictions to reduce the risk of a successful network
| attack.

Jeg har dog valgt at lukke den på samme måde som min SP1-installation
(som beskrevet i PDF-vejledningen) og har indtil videre ikke oplevet
problemer ved at gøre det. Den kører godt og stabilt og virker faktisk
væsentlig hurtigere end min SP1-installation.

--
Hilsen
Madsen

Thomas G. Madsen (01-06-2004)
Kommentar
Fra : Thomas G. Madsen


Dato : 01-06-04 23:08

Peder Vendelbo Mikkelsen skrev:

> Ifølge dette dokument (som er udgivet 14. maj 2004, dvs. efter
> det før- nævnte):

[Snip link]

Nå, jeg fik sendt <news:c9j5gr.3c0.1@tgm.dyndns.dk> inden jeg
fik hentet dit indlæg.

> Kort fortalt, der vil som standard kun være adgang til RPC
> lokalt fra maskinen (bortset fra named pipes (hvad det så end
> er)).

Ja, det er så lige det. :)

--
Hilsen
Madsen

Thomas G. Madsen (01-06-2004)
Kommentar
Fra : Thomas G. Madsen


Dato : 01-06-04 23:56

Rudi Stegen skrev:

> I så fald håber jeg, det er også er o.k., at jeg har linket
> til den på <http://rudi.nerd.dk/pclinks1.htm> og
> <http://stegen.dk/pclinks1.htm> (de er spejlet)?

Det er helt fint med mig. Den PDF er til fri afbenyttelse og
i øvrigt havde jeg aldrig fået den skrevet, hvis du ikke havde
lokket lidt i virus-gruppen. :)

--
Hilsen
Madsen

Rudi Stegen (02-06-2004)
Kommentar
Fra : Rudi Stegen


Dato : 02-06-04 00:26

Hej Thomas G. Madsen, du skrev i dk.edb.sikkerhed:

> Det er helt fint med mig.

Tak! Det var ret lækkert. Jeg havde faktisk lidt dårlig samvittighed
(hvorfor jeg ventede lidt med at gå i seng) over blot at smække den op
uden først at spørge.

Da jeg så tilfældigt så, at du gav et o.k. til "sikkerhedssitet",
tænkte jeg, at det nok var i orden at gøre det omvendt: Tilføje, smide
siderne op og så spørge

> Den PDF er til fri afbenyttelse og i øvrigt havde jeg aldrig fået
> den skrevet, hvis du ikke havde lokket lidt i virus-gruppen. :)

Ja, jeg burde være direktør. Jeg elsker at sætte andre i sving med
stride opgaver

Men du må indrømme, at den mildt sagt er blevet populær og (med god
grund) nærmest skamrost fra et væld af seriøse brugere.
Jeg håber, at dette sådan set i bakspejlet kan virke som et plaster på
såret mht. knokleriet.

--
Hygge fra Århus - Rudi

Ejvind \"SoulWalkeR\~ (15-06-2004)
Kommentar
Fra : Ejvind \"SoulWalkeR\~


Dato : 15-06-04 08:35

"Thomas G. Madsen" wrote:

> Det er helt fint med mig. Den PDF er til fri afbenyttelse og
> i øvrigt havde jeg aldrig fået den skrevet, hvis du ikke havde
> lokket lidt i virus-gruppen. :)
>

Jeg er crew hos www.tweakup.dk og jeg håber jeg har skrevet til den rette
email ang tilladelse om at poste en nyhed om din guide og linke til den ;)
Den ser ret interessant ud og det kunne være dejligt at få den ud til en del
læsere :)

Hvis ikke jeg fanger din email må du gerne emaile mig på en af 2 adresser:

et [snabelA] etoft.dk
soulwalker [snabelA] tweakup.dk


/ Ejvind "SoulWalkeR" Toft



Thomas G. Madsen (02-06-2004)
Kommentar
Fra : Thomas G. Madsen


Dato : 02-06-04 00:54

Rudi Stegen skrev:

> Jeg havde faktisk lidt dårlig samvittighed (hvorfor jeg
> ventede lidt med at gå i seng) over blot at smække den op uden
> først at spørge.

Det skal du ikke have. Hvis jeg var øm overfor den PDF, ville
jeg ikke have sendt et link til den i første omgang.

> Ja, jeg burde være direktør. Jeg elsker at sætte andre i sving
> med stride opgaver

:D

> Men du må indrømme, at den mildt sagt er blevet populær og
> (med god grund) nærmest skamrost fra et væld af seriøse
> brugere. Jeg håber, at dette sådan set i bakspejlet kan virke
> som et plaster på såret mht. knokleriet.

Den har forlængst tjent sig selv hjem igen på det område ja.
(Har i øvrigt lige opdateret den, så der ikke længere står WinXP
Pro, men i stedet Windows XP i overskriften).

--
Hilsen
Madsen

Thomas G. Madsen (03-06-2004)
Kommentar
Fra : Thomas G. Madsen


Dato : 03-06-04 23:33

Kasper Dupont skrev:

> AMD kalder det vist NX for no-execute.

Jeg spurgte på et tidspunkt i en af MS' SP2-grupper, om NX er
nøjagtig det samme som DEP og svaret var ja. Det står i øvrigt
også her:
http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/sp2mempr.mspx#XSLTsection124121120120

| The 32-bit version of Windows (beginning with Windows XP
| Service Pack 2) utilizes the no-execute page-protection
| (NX) processor feature as defined by AMD.

> Det nye navn gøre det jo nemmere for Microsoft at sige, at
> det er noget de har opfundet.

Tja, det skulle da egentlig ikke undre mig. :)

--
Hilsen
Madsen

Thomas G. Madsen (20-06-2004)
Kommentar
Fra : Thomas G. Madsen


Dato : 20-06-04 00:48

Alex Holst skrev:

> Jeg mindes en paastand om at RPC i SP2 kun vil tage imod
> authenticted forbindelser, men jeg har ikke selv kigget paa
> den endnu.

Jeg fandt lige en rimelig forståelig artikel om emnet her:
<http://www.gotdotnet.com/team/dbox/default.aspx?key=2004-06-18T04:54:12Z>.

De har altså ændret RPC til at køre på NT AUTHORITY\NetworkService
i stedet for LocalSystem, som den gør på tidligere udgaver af XP.
Samtidig har de lavet en tjeneste mere, som alle RPCs 'trusted
operations' foregår i, og den tjeneste hedder DCOM Server Process
Launcher. Så tror da pokker, at jeg nær aldrig havde fået den i
gang igen, da jeg prøvede at stille den tjeneste til 'Disabled'.

--
Hilsen
Madsen

Kasper Dupont (01-06-2004)
Kommentar
Fra : Kasper Dupont


Dato : 01-06-04 17:40

NB wrote:
>
> Hej Gruppe
>
> Jeg har efterhånden hørt fra adskillige, at en firewall er praktisk talt
> ubrugelig hvis man bare anvender sin logiske sans. Derfor vil jeg godt
> høre hvad jeg skal være opmærksom på hvis jeg vælger ikke at installere
> en firewall. Selvfølgelig er der opdateringer af software, men er der
> andet jeg kan være opmærksom på?

Hvis du kun har en computer, så vil en sikker konfiguration
af computeren være langt mere værd end en firewall. Du kan
supplere med et stykke hardware således at der skal være
fejl begge stedder for at en uatoriseret forbindelse kan
oprettes udefra.

At installere firewall software på den computer der skal
beskyttes er ofte en dårlig idé. Der er set eksempler hvor
fejl i firewallen har givet udefrakommende mulighed for at
overtage kontrollen med maskinen. Du kan derfor risikere
at være dårligere stillet end helt uden firewall.

En hardware firewall giver ikke samme risiko, fordi en
indtrængende, der opnår kontrol over firewallen stadig
skal finde endnu et hul for at kunne overtage kontrollen
med maskinen.

Har du flere maskiner kan en firewall være en god idé, og
også i dette tilfælde bør den være et seperat stykke
hardware, der adskiller lokalnettet fra internettet.

Firewall hardwaren kan enten være lavet til at fungere
som router/firewall, eller blot en PC med to netkort og
passende software installeret. Bruger du en PC til
formålet bør den så ikke lave andet, og du kan derfor i
mange tilfælde klare dig med meget lidt maskinkraft.

Se også:
http://sikkerhed-faq.dk/hjemme_pc#firewall
http://sikkerhed-faq.dk/ordforklaring#firewalls

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use kasperd@kd.lir.dk and abuse@kd.lir.dk
I'd rather be a hammer than a nail.

Michael Knudsen (01-06-2004)
Kommentar
Fra : Michael Knudsen


Dato : 01-06-04 19:34

Kasper Dupont wrote:
> At installere firewall software på den computer der skal
> beskyttes er ofte en dårlig idé. Der er set eksempler hvor
> fejl i firewallen har givet udefrakommende mulighed for at
> overtage kontrollen med maskinen. Du kan derfor risikere
> at være dårligere stillet end helt uden firewall.
[..]
> Se også:
> http://sikkerhed-faq.dk/hjemme_pc#firewall
> http://sikkerhed-faq.dk/ordforklaring#firewalls

Du glemte dette:

   http://sikkerhed-faq.dk/personlig-fw-eval

Det underbygger ret godt dit argument med, at en firewall kan
introducere fejl i et ellers sikkert miljoe. Hvis jeg taeller og regner
korrekt, saa giver 23 fejl fordelt paa otte `sikkerhedsprodukter'
naesten tre fejl i gennemsnit. Det er ikke min definition af sikkerhed.

Mvh. Michael.
--
Rumour is information distilled so finely that it can filter through
anything.
-- (Terry Pratchett, Feet of Clay)

Kent Friis (01-06-2004)
Kommentar
Fra : Kent Friis


Dato : 01-06-04 18:27

Den Tue, 1 Jun 2004 17:09:34 +0200 skrev NB:
> Hej Gruppe
>
> Jeg har efterhånden hørt fra adskillige, at en firewall er praktisk talt
> ubrugelig hvis man bare anvender sin logiske sans. Derfor vil jeg godt
> høre hvad jeg skal være opmærksom på hvis jeg vælger ikke at installere
> en firewall. Selvfølgelig er der opdateringer af software, men er der
> andet jeg kan være opmærksom på?

Præcis det samme som du skal være opmærksom på med en firewall - undtagen
alle de problemer firewall'en giver, naturligvis.

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

Carl Drud (01-06-2004)
Kommentar
Fra : Carl Drud


Dato : 01-06-04 22:07

On Tue, 01 Jun 2004 22:55:56 +0200, Thomas G. Madsen wrote:

> Jeg kunne godt tænke mig at vide, om vejledningen også kan bruges
> på WinXP Home, men det tror jeg nu at den kan.

Det kan den.

--
Med venlig hilsen
Carl

Søg
Reklame
Statistik
Spørgsmål : 177559
Tips : 31968
Nyheder : 719565
Indlæg : 6408938
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste