[DE]
English
Deutsch
Follow us on Twitter...

NT-Dienste sicher konfigurieren - für Windows 2000 und XP

» Language: german version (current) / english version «

Hinweise bei Verwendung von ServicePack 2 für Windows XP


Das seit 9. August 2004 offiziell verfügbare Service Pack 2 für Windows XP beinhaltet einige wichtige Neuerungen, welche in Zusammenhang mit Verwendung des Skriptes näher erläutert werden sollen:

Ein Kern dieser neuen Sicherheitspolitik im Servicepack 2 ist das Sicherheitscenter. Dieses beinhaltet u.a. eine verbesserte Internetverbindungsfirewall, welche nunmehr standardmäßig für alle Netzwerk- und DFÜ-Interfaces aktiv ist. Bei Anwendung des Skripts svc2kxp.cmd bis v2.1_build4 wird die Windows-Firewall deaktiviert. Diese kann jedoch über das Sicherheitscenter bei Bedarf wieder aktiviert werden.

Um herauszufinden, wie effektiv SP2 für Windows XP ist, wurde WindowsXP Professional mittels einer Slipstream-CD (XP mit integriertem Service Pack 2) installiert und von einem zweiten Rechner (im LAN) mit Hilfe von "nmap" überprüft, ob Ports geöffnet, gefiltert oder geschlossen sind. Die Ergebnisse werden im nun folgenden Teil kurz dargestellt und kommentiert:

Microsoft Windows 2000 [Version 5.00.2195]
(C) Copyright 1985-2000 Microsoft Corp.

D:\>nmap -v -sS -oO 192.168.1.3

Starting nmap 3.48 ( http://www.insecure.org/nmap ) at 2004-08-09 23:27 Westeuropäische Sommerzeit
Host 192.168.1.3 appears to be down, skipping it.
Note: Host seems down. If it is really up, but blocking our ping probes, try -P0

Nmap run completed -- 1 IP address (0 hosts up) scanned in 22.883 seconds

Nach einer Neuinstallation von WindowsXP SP2 ist die Internetverbindungsfirewall aktiv. Leider wird auch ICMP blockiert, was den Rechner wohl "verbergen" soll ("stealth"). Dies läßt sich jedoch seit SP2 konfigurieren:

D:\>nmap -v -sS -oO 192.168.1.3

Starting nmap 3.48 ( http://www.insecure.org/nmap ) at 2004-08-09 23:28 Westeuropäische Sommerzeit
Host 192.168.1.3 appears to be up ... good.
Initiating SYN Stealth Scan against 192.168.1.3 at 23:28
The SYN Stealth Scan took 82 seconds to scan 1657 ports.
All 1657 scanned ports on 192.168.1.3 are: filtered

Nmap run completed -- 1 IP address (1 host up) scanned in 92.182 seconds

Daher wird nun ICMP zugelassen, womit nmap erste brauchbare Ergebnisse liefert. Der Status filtered zeigt die Wirkung der erweiterten XP-Firewall: keine Ports und somit auch keine Dienste sind von außen erreichbar.

D:\>nmap -v -sS -oO 192.168.1.3

Starting nmap 3.48 ( http://www.insecure.org/nmap ) at 2004-08-09 23:31 Westeuropäische Sommerzeit
Host THORNX (192.168.1.3) appears to be up ... good.
Initiating SYN Stealth Scan against THORNX (192.168.1.3) at 23:31
Adding open port 445/tcp
Adding open port 139/tcp
Adding open port 135/tcp
The SYN Stealth Scan took 1 second to scan 1657 ports.
Interesting ports on THORNX (192.168.1.3):
(The 1654 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE
135/tcp open msrpc
139/tcp open netbios-ssn
445/tcp open microsoft-ds

Nmap run completed -- 1 IP address (1 host up) scanned in 2.603 seconds

Ohne XP-Firewall sind die Ports 135 (RPC), 139 (NetBIOS) sowie 445 (SMB) offen.

D:\>nmap -v -sS -oO 192.168.1.3

Starting nmap 3.48 ( http://www.insecure.org/nmap ) at 2004-08-10 01:08 Westeuropäische Sommerzeit
Host THORNX (192.168.1.3) appears to be up ... good.
Initiating SYN Stealth Scan against THORNX (192.168.1.3) at 01:08
Adding open port 445/tcp
Adding open port 139/tcp
The SYN Stealth Scan took 2 seconds to scan 1657 ports.
Interesting ports on THORNX (192.168.1.3):
(The 1655 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE
139/tcp open netbios-ssn
445/tcp open microsoft-ds

Nmap run completed -- 1 IP address (1 host up) scanned in 2.273 seconds

Nach erstmaliger Anwendung des Scripts mit der Option (1) LAN konnte Port 135 geschlossen werden, auch, wenn der Taskplaner-Dienst weiterhin aktiv bleibt. Anscheinend hat Microsoft den bis dahin vorhandenen Bug, wobei der Taskplaner-Dienst auch an externen Interfaces "lauscht", behoben. Netzlaufwerke funktionieren hingegen problemlos. Daher kann nun auch NetBIOS deaktiviert werden:

D:\>nmap -v -sS -oO 192.168.1.3

Starting nmap 3.48 ( http://www.insecure.org/nmap ) at 2004-08-10 01:21 Westeuropäische Sommerzeit
Host 192.168.1.3 appears to be up ... good.
Initiating SYN Stealth Scan against 192.168.1.3 at 01:21
Adding open port 445/tcp
The SYN Stealth Scan took 1 second to scan 1657 ports.
Interesting ports on 192.168.1.3:
(The 1656 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE
445/tcp open microsoft-ds

Nmap run completed -- 1 IP address (1 host up) scanned in 11.296 seconds

Nach dem Deaktivieren von NetBios ist auch Port 139 geschlossen, und Netzwerkfreigaben laufen ausschließlich über SMB (Port 445). Benötigt man keine Freigaben (z.B. bei einem Einzelplatz-Rechner), so kann man mit Hilfe des Scriptes zusätzlich SMB deaktivieren:

D:\>nmap -v -sS -oO 192.168.1.3

Starting nmap 3.48 ( http://www.insecure.org/nmap ) at 2004-08-10 01:30 Westeuropäische Sommerzeit
Host 192.168.1.3 appears to be up ... good.
Initiating SYN Stealth Scan against 192.168.1.3 at 01:30
The SYN Stealth Scan took 2 seconds to scan 1657 ports.
All 1657 scanned ports on 192.168.1.3 are: closed

Nmap run completed -- 1 IP address (1 host up) scanned in 11.527 seconds

Wählt man die Option (2) Standard, so sind durch das Deaktivieren von SMB alle Ports geschlossen.

Fazit: Mit SP2 wurde die ICF dahingehend verbessert, daß diese per Default für alle Netzwerk- und DFÜ-Interfaces aktiv ist. Auch wurde die Anzahl offener Ports auf ein Minimum reduziert. Trotzdem sollte einem bewußt sein, daß die ICF nur Ports filtert, und nicht, wie oft in anderen Quellen behauptet, Ports schließt. Um Ports zu schließen, sei zum einen weiterhin die Anleitung von Frank Kaune (für Windows 2000 oder Windows XP) sowie zum anderen das Script svc2kxp.cmd bzw. win32sec von Volker Birk empfohlen.

Das Skript svc2kxp.cmd und auch win32sec werden nach ausführlichen Test und Diskussionen (u.a. in der Newsgroup de.comp.security.misc) den Anforderungen von SP2 angepaßt. Aktualisierungen werden sowohl hier als auch in Newsgroups rechtzeitig bekanntgegeben.

TCPIP.SYS: Limit für Anzahl halboffener Verbindungen

Mit Service Pack 2 schränkte Microsoft auch die maximale Anzahl halboffener Verbindungen ein, wobei u.a. P2P-Anwendungen betroffen sind. Falls das Limit überschritten wird, werden nachfolgende Verbindungsversuche in einer Warteschleife gehalten. Das Erreichen der Limits wird auch in der Ereignisanzeige unter der EventID 4226 protokolliert. Es gibt Anleitungen [1,2], wie man diese Einschränkungen umgehen kann, jedoch wird dafür keinerlei Gewähr übernommen.

Änderungen in svc2kxp.cmd (v2.2_build1)

Mit erscheinen des ServicePacks 2 für Windows XP waren einige Anpassungen erforderlich, um auf neue Funktionen, wie z.B. das Sicherheitscenter, reagieren zu können. Die wichtigsten Veränderungen sind in nachfolgender Übersicht zusammengefasst:

(1) /LAN

(2) /Standard

(3) /All (hardening)
Sicherheitscenter deaktiviert deaktiviert deaktiviert
XP-Firewall (ICF) manuell unverändert manuell
Taskplaner unverändert unverändert deaktiviert

Den Fehler im Taskplaner ("falscher Parameter") hat Microsoft mit SP2 behoben, sodaß bei Verwendung nunmehr keine Ports (135, 1025) geöffnet werden.

An dieser Stelle sei darauf hingewiesen, das dieses Webangebot keinerlei kommerzielle oder gewerbliche Interessen verfolgt, sondern ausschließlich als privates, freiwilliges Angebot zur privaten Nutzung, insbesondere für die Nutzer der NewsGroup de.comp.security.misc, dient. Alle in diesem Webangebot genannten Bezeichnungen von Produkten sind Marken und Produktnamen der jeweiligen Anbieter. Kommerzielle Nutzung ist ohne vorherige Einverständniserklärung des Autors dieser Seite nicht erlaubt. Alle Angaben nach bestem Wissen und Gewissen aber unter Ausschluß jeglicher Gewähr.

Valid HTML 4.01!

Valid CSS!
www.ntsvcfg.de, © 2003/04 Torsten Mann, Albert-Schweitzer-Str. 6, 01187 Dresden Letzte Aktualisierung: 24. November 2007, 10.00am PT