Die letzten Haushaltstipps: Möbel im Internet kaufen · Test:microSDHC 16GB Class10-Spei* · Re: Neue Leuchten für meine Wohn* · Re: Welches Betriebssystem benut* · Re: Kann mir jemand ein gutes Sc* · Re: Rezept: Spargelsalat · welchen betriebssystem benutzt i* · Neue Leuchten für meine Wohnung* · Re: mikrofasersofa reinigen · Re: Babyöl für weiche Haut

Die letzten Themen im Schnellsuche-Forum: firekeepers casino egwab · Datenschutzerklärung · Eine Frage von Moral? · Re: Stromvergleich im Internet: * · Das Haus vom Wendler · Tipp19: Uhrzeit Windows und Linu* · Stromvergleich im Internet: Dies* · Re: Was fahrt ihr für ein Auto?* · Was fahrt ihr für ein Auto? · Musik Video

Fortlaufende Informationen zum SP2 von M$

Was in keine andere Kategorie passt... Traut Euch zu fragen, manchmal gibt es sogar Antworten :-)

Beitragvon Mad-Dog » Freitag 27. August 2004, 16:43

Datum: 27.08.2004

q:wi

Service Pack 2 Security Center nur bedingt vertrauenswürdig


Anwender sollten nur bedingt auf die Informationen des mit dem Service Pack 2 für Windows XP eingeführten Security Centers vertrauen. Diese lassen sich fälschen und sogar unterdrücken, zumindest wenn der Benutzer als Administrator arbeitet -- was wohl der Großteil immer noch tut. Das Security Center soll dem Anwender die Möglichkeit geben zu kontrollieren, ob Firewall, Auto-Update und Virenschutz aktiviert sind und ordnungsgemäß arbeiten. Zudem warnt das Security Center normalerweise mit einem roten Schild und einem Hinweis im System-Tray (rechts unten), wenn eine oder mehrere der drei Funktionen deaktiviert sind.


Allerdings lassen sich diese Warnungen auf einfache Weise abschalten. Dazu muss man in der Registry unter HKLM\SOFTWARE\Microsoft\Security Center die Schlüssel AntiVirusDisableNotify, FirewallDisableNotify und UpdatesDisableNotify auf 1 setzen. Schaltet nun etwa ein Trojaner oder eine Backdoor die Firewall ab, so erscheint keine Warnung. Nur beim direkten Aufruf des Security Centers sieht man, dass der Dienst deaktiviert ist.

Das PC Magazine hat aber nach eigenen Angaben Wege gefunden, um auch diese Angaben zu fälschen. Demnach reichen einige Einträge in die WMI-Datenbank (Windows Management Instrumentation), um dem Anwender die ordentliche Funktion vorzutäuschen. Über die WMI-API lässt sich so der Status der Firewall als "Aktiviert" festlegen, auch wenn diese gar nicht läuft. Zudem kann man nicht existierende Firewalls und Virenscanner in die Datenbank eintragen und als "Aktiviert" anzeigen.

Mitunter muss ein Schädlingsprogramm, das etwa eine Backdoor öffnen will, gar nicht die Firewall deaktivieren und dies anschließend verschleiern. Unter dem Schlüssel der Ausnahmeliste
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\List
lassen sich von jeder Applikation Einträge vornehmen, um fortan Verbindungen auf einem Server-Port entgegenzunehmen. Zusätzlich kann es auch die Firewall-API ohne Benutzernachfrage aufrufen, um sich den benötigten Port freizuschalten.

Ist ein Schädling also erstmal ins System eingedrungen, halten ihn die neuen Funktionen nicht auf. Microsofts Kommentar zu dem Problem geht in die gleiche Richtung: "Service Pack 2 bietet Funktionen, um die Wahrscheinlichkeit zu verringern, dass auf dem PC ungewollte Applikationen laufen. Dazu sind die Firewall, die Data Execution Prevention und der Attachment Execution Service standardmäßig aktiv, um nur einige zu nennen. Um die WMI-Einträge des Security Centers zu fälschen, muss man System-Zugriff auf den PC haben. Wenn der Anwender Programme herunterlädt und startet, die dazu in der Lage sind, hat er damit ohnenhin Hacker in die Lage versetzt, zu tun und zu lassen, was sie wollen."

Abhilfe schafft hier nur das Arbeiten mit eingeschränkten Nutzerrechten. Dann nämlich ist der schreibende Zugriff auf die wichtigen Teile der Registry und die WMI-Datenbank nicht mehr möglich. Wie man auch ohne Administratorrechte unter Windows arbeiten kann, zeigt der Artikel Sicher durch Verzicht, c't 15/04, Seite 106. Mit der fehlenden Umstellung von Benutzeraccounts durch Service Pack 2 setzt sich auch der Kommentar auf heise Security "Was in Service Pack 2 wirklich fehlt..." auseinander.
Gruss

Mad-Dog
Benutzeravatar
Mad-Dog
Hilfe-Forum Fuchs
Hilfe-Forum Fuchs
 
Beiträge: 957
Registriert: Dienstag 26. November 2002, 22:17
Wohnort: Landeshauptstadt

Advertisement

Beitragvon Mad-Dog » Samstag 28. August 2004, 14:57

Datum: 28.08.2004
q:wi

Microsoft stolpert selbst über NX-Flag in SP2


Eigentlich soll das NX-Flag, von Microsoft seit dem Service Pack 2 für Windows XP unterstützt und DEP (Data Execution Prevention) genannt, die Sicherheit des eigenen PC gegen Hackangriffe erhöhen, doch nun empfiehlt Microsoft selbst, es unter gewissen Umständen abzuschalten. Der Knowledgebase-Eintrag 878474 überführt den Treiber Mpegport.sys als unsauber programmiert, er will offensichtlich Code in als nicht ausführbaren Speicherbereichen wie dem Stack laufen lassen. Anwendern dieses Treibers -- laut Knowledgebase nutzt ihn der DVD-Decoder Hollywood Plus von Sigma Designs -- empfiehlt Microsoft, das NX-Feature komplett abzuschalten. Das Problem entlarvt eine Schwachstelle in der NX-Behandlung: Eigentlich kann man einzelne Programme von der NX-Überwachung ausnehmen, doch für Treiber hat Microsoft offensichtlich keine Ausnahmen vorgesehen.


Derzeit unterstützen nur die AMD-Prozessoren Opteron und Athlon 64 das NX-Flag. Intel hat angekündigt, das dort "Execute Disable Bit" genannte Feature ebenfalls in künftige Pentium-4-Versionen einzubauen, auch Transmetas Efficeon soll den Speicherschutz bald beherrschen, möglicherweise sogar einfach per BIOS-Update.
Gruss

Mad-Dog
Benutzeravatar
Mad-Dog
Hilfe-Forum Fuchs
Hilfe-Forum Fuchs
 
Beiträge: 957
Registriert: Dienstag 26. November 2002, 22:17
Wohnort: Landeshauptstadt

Vorherige

Zurück zu OffTopic

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 1 Gast

cron

Setze ein Bookmark bei: Google  yahoo  slashdot.org  Delicious.com  Digg.com  Linksilo.de  favit.de  Favoriten.de  Linkarena.com  icio.de  Fuzz  Nuouz  Reddit  Scoopeo  Wikio  addThis

Powered by Schnellsuche.de and Kannchen.de - IMPRESSUM