Wir installieren das Betriebssystem XP inclusive SP2. Gerne auch alle Updates, die nötig sind.

Weiterhin benötigen wir als Sicherheitseinrichtung nur noch den Firewalltester wwdc.exe, der Ports schließen kann: https://web.archive.org/web/20081217214433/www.firewallleaktester.com/wwdc.htm
Datei ausführen und Anweisungen folgen, bis alles auf grün ist.

[Bild]

und für die Pedanten TCP-View.http://tcpview.softonic.de/

Nach erfolgreicher Installation aller Programme kümmern wir uns um die Schnüffler.
MNS sofern installiert - raus damit.
Outlook,  sofern installiert - raus damit, wenn nicht benötigt.
Sicherheitscenter total deaktivieren.
Relevante Updates selbst installieren.


Als pdf-Reader maximal den Adobe 5.0, der kann alles Wesentliche, ansonsten weichen wir auf andere Freeware aus. Alle anderen telefonieren auch nach Hause.Bestes beispiel hier. (https://www.windowspage.net/cgi-bin/board/YaBB.pl?num=1194770412)
Windowsmediaplayer 9: Im Reiter Datenschutz alle Haken raus.Bei Netzwreke dürfen alle protokolle aktiviert bleiben. Im Reiter Player alle Haken raus.

Als Erstes: Dienste abschalten:
1. Klicke nacheinander auf Start > Systemsteuerung und doppelklicke dort auf das Symbol Verwaltung.
2. Neues Fenster - hier entscheidet man sich für Dienste.
3. Ein Doppelklick, und eine gewaltig lange Liste tut sich auf. Um einen Dienst der Wahl, gemäß der Liste, zu deaktivieren oder auf manuellen Autostart zu setzen sind lediglich ein paar Handgriffe nötig. Doppelklicke auf einen Eintrag und wähle die gewünschte Einstellung unter Starttyp.

Nochwas zwischendurch:
Solltest Du eine Neuinstallation planen ist es hilfreich, wenn sich die optimierten Einstellungen übernehmen lassen. Dann entfällt das erneute Konfigurieren der Dienste. Weiterhin sollte man vor dem Einstellen der Dienste ein Backup machen, dass  per Doppelklick einfügt werden kann, erstellen:

1. Start/Ausführen klicken und regedit eintippen.
2. Navigiere zum Schlüssel HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Services und klicke auf Datei/Exportieren. Pfad sowie den Dateinamen wählen,und speichern.In Zukunft genügt ein Doppelklick, damit die Einstellungen sofort übernommen werden!

http://www.dateihoster.de/de/file/4574/Dienste-rar.html

Die Popups und unerwünschten Layer blockieren wir nicht, wir leiten sie um. Das geschieht mit der Datei hosts. Sie liegt in C:\ WINDOWS\ system32\ drivers\ etc
Damit werden unerwünschte Seiten nicht geblockt, sondern deren URL wird umgeleitet auf localhost, deinen eigenen Computer.
Man könnte die Inhalte auch auf jeden anderen Server oder URL umleiten.
Die Datei ist mit einem Editor zu öffnen, jedoch nicht mit Doppelklick.
Jede URL in eine Zeile eintragen, allerdings ohne www. Sollte es nötig sein, wie bei www2. oder www3. muß es mitgeschrieben werden. Am Ende der Datei ist es auskommentiert erklärt.
Wenn Euch nun wieder ein Störenfried nervt, einfach URL rausfinden und zusätzlich eintragen.

Download: dateihoster.de

Windows XP Event ID 4226
Mit dem Einsatz von Service Pack 2 (SP2) unter Windows XP häuft sich die Anzahl der User, die über die Event-ID 4226 klagen. Ursache für den Event 4226 ist die Begrenzung der Anzahl der halboffenen TCP-Verbindungen auf 10 Stück.

Hintergrund
Der Verbindungsaufbau beim Protokoll TCP wird von einem Dreiwege-Handshake eingeleitet. Der Client sendet ein SYN-Packet und erwartet vom Server ein Packet mit gesetztem SYN- und ACK-Flag. Dieses bestätigt der Client nochmals mit einem ACK-Packet. Bleibt nun die Antwort des Servers aus, entsteht eine halboffene Verbindung und der Client wartet für eine bestimmte Zeit auf die Antwort (SYN, ACK). Beim Erreichen von 10 halboffenen Verbindunge, stellt Windows nun die weiteren Verbindungsanforderungen in eine Warteschlange und arbeitet sie später ab. Die bestehenden Verbindungen und ihren Status, kann man sich mit dem Kommando "netstat -on" ansehen.

Dieses Verfahren soll verhindern, dass ein mit einem Wurm oder Virus infiziertes Windowssystem innerhalb kürzester Zeit massenhaft andere Systeme infizieren kann oder auch riesige Mengen an Spammails versendet.

Problemfälle
Im Normalfall wird die Begrenzung durch das SP2 kein Problem darstellen. Kritisch wird es bei zu "optimistisch" programmierter bzw. konfigurierter Software. Einige Clients versuchen sich gleichzeitig mit über 100 Partnern zu verbinden. Sind nun mehr als 10 dieser angesprochenen Maschinen nicht zu erreichen, können keine weiteren ausgehenden TCP-Verbindungen (z.B. vom Internet Explorer) mehr aufgebaut werden.

Wer wirklich mehr als 10 Half-Open-Connections benötigt, sollte sich den Patch von LvlLord ansehen.

http://www.lvllord.de/

Dieser Patch verändert die Datei tcpip.sys und hebt so die Begrenzung auf.
Alternativ: Der EventID 4226 Patcher  http://www.lvllord.de/?url=tools&lang=de


Mit dieser Konfiguration ist es gelungen, einen Sicherheitsstandart zu erreichen, der den Privaten User zufriedenstellt.
Es enthebt niemand von den eigenen Pflichten, sich eine Firewall vor's System zu stellen, sei es Hard - oder Softwaremäßig.
Alle nötigen Programme, die selbstständig arbeiten sollen, dürfen getrost in den Autostart geschoben werden.
Opera und Firefox sind immer noch saver als der Internetexplorer.

[Bild]

Das Bild zeigt, wie wenig im System laufen kann, wenn kein Programm selbstständig starten darf und alle gefährlichen Ports geschlossen sind.



Edit von cdk: Bild-URLs angepaßt und Text auf Wunsch geändert

Quote:
Ganz unten auf der Seite stehen drei Zahlen (in einem Bild), die musst Du eingeben und auf "Submit" klicken. Auf der nächsten Seite erscheint dann der Button "Download!".

Quote:
Auf meinen System gibt es diese Datei nicht.

Quote:
Bei mir auch nicht vorhanden. Meinst Du stimon.dll, Corry?

Quote:
Macht mein schon etwas betagter TC 6.02 problemlos, ohne daß ich einen zusätzlichen Packer installiert habe, hmm...

Die Dienste.htm kommt mir aber bekannt vor - gibt's die nicht auch irgenwo online?

Quote:
Mein Download war wohl schlecht, ich hab's mir neu geholt und jetzt hat's geklappt.
Werde das mit den Diensten mal in einer VM ausprobieren.

Quote:
135 und 445 - die werden doch für's LAN benötigt, oder nicht? Hab die beiden in meiner PFW für außerhalb des LANs zugenagelt. Blaster und Sasser kamen da einst rein, wenn ich mich nicht täusche.

Quote:
Ähem *hust* ich meinte doch auch die .EXE...

Ok - hab's probiert und kann Entwarnung geben. Zumindest auf den ersten Blick sind mir keine Einschränkungen aufgefallen, nachdem ich per FW 135 sowie 445 gesperrt habe. Obwohl das FW-Log Zugriffsversuche auf diese Ports registriert hat ging Dateiaustausch in beide Richtungen.
Allerdings habe ich hier nur ein P2P-LAN - wenn ein Domänencontroller ins Spiel kommt bin ich mir ziemlich sicher daß 445 benötigt wird.

Sooooooooo! einige Infos zu 135 und 445 hab ich dann noch gefunden:

135:  Der "Remote Procedure Call" (RPC) ist sowohl unter Windows als auch unter Linux bekannt.
MS-RPC - Microsoft Remote Procedure Call (Port 135)
Unter Linux heißt der Dienst nur "RPC" und liegt auf dem Port 111.

Der MS-RPC ist Bestandteil des Microsoft-Netzwerk-Dienstes und ist ab Windows 2000 bei allen MS-Betriebsystemen verfügbar. Mit RPC-Aufrufen kann von einen entferntem System aus, das Zielsystem administriert werden. So können Netzwerkfreigaben und Drucker konfiguriert werden, oder auch Systemdienste gestartet und beendet werden. Auch das Abschalten oder der Neustart eines Systems ist per RPC möglich.

Dieser Dienst sollt unbedingt deaktiviert bzw. geblockt werden!

445: Der Microsoft-Data Service läuft auf dem Port 445 und ist vergleichbar mit dem Netbios Protokoll. Über diesen Dienst kommunizieren meist Windows PCs mit Linux PCs über "Samba" (smb).

Quote:

nuja - an diese Zeit könnte ICH mich erst recht nicht erinnern. wo selbst Voltax und Calgon versagen ist Papier eben doch ne gute Lösung!