http://www.3dcenter.org/artikel/die-windows-7-diensteverwaltung-fuer-paranoiker
Viel Arbeit, aber da muss ich wohl durch... :freak:


btw:
Wie "sicher" sind eigentlich die verschiedenen Fernwartungsmöglichkeiten Remoteunterstützung von Windows, Teamviewer und VNC?
Hin und wieder muss in in der Verwandtschaft den "IT-Service" spielen... :rolleyes:

Am besten ist es, wenn Du ein VPN-Gateway oder einen RAS-Server bei Dir betreibst und Du bei Deinen Kunden einen VPN-Client für Supportanfragen konfigurierst. Sie können sich dann mit Deinem Gateway verbninden und Du kannst via msra.exe /expert die Remoteunterstützung starten.

Man sollte immer im Hinterkopf haben, dass die Remoteanmeldung als Administrator mit Risiken verbunden ist. Ein mittelschlauer Angreifer kann einen Supportfall konstruieren, der eine administrative Remotesitzung erfordert. Sobald eine Anwendung als Administrator gestartet wurde, kann der Angreifer die Netzwerkverbindung trennen und mit geerbten Rechten erheblichen Unfug anstellen. Aus diesen Gründen ist es mit den meisten Tools per Default unmöglich, die UAC zu bestätigen (was viele Admins als Gängelung fehlinterpretieren).

Niemals würde ich auf Tools wie "Teamviewer" zurückgreifen. Hier kann eine völlig verschleierte Organisation jede Bildausgabe und jede HID-Eingabe auffangen. Ein gewaltiges Nogo.

Man kann doch aber konfigurieren, welcher PC zugreifen darf (also weine Whitelist).
Wie kann ein mittelschlauer Angreifer einen in der Whitelist stehenden PC simulieren?

Und was ist mit anderen VNCs?

btw:
Da bräuchte ich allerdings Hilfe...
Kann man auch mit dem iPad zugreifen?
Am besten ist es, wenn Du ein VPN-Gateway oder einen RAS-Server bei Dir betreibst und Du bei Deinen Kunden einen VPN-Client für Supportanfragen konfigurierst. Sie können sich dann mit Deinem Gateway verbninden und Du kannst via msra.exe /expert die Remoteunterstützung starten.

Ein VPN für den Verwandtschafts-IT-Service ist mal richtig paranoid, genauso die pauschale Unterstellung Teamviewer würde womöglich sämtliche Eingaben abgreifen.
Dann darfst du auch kein Windows verwenden, MS könnte genauso per Geheimdienst zur Weitergabe von Passwörtern im Anmeldespeicher gezwungen werden.

Ich nutze für private Supportfälle Teamviewer und fahre gut damit. Klappt immer, auch hinter Routern eben weil sie über ein Herstellergateway kommunizieren. Ist ja auch kein privat bereitgestelltes Programm, sondern ne Firma, die vornehmlich mit Geschäftskunden Geld verdient. Würde auch nur ein Anhaltspunkt bestehen, dass die Daten ausgenutzt werden, könnten sie umgehend einpacken.

Also ich nehme auch nur Win FW und dann die Win8 Firewire Control um Alle Programme zu blocken die nicht raussollen und das ist wirklich ne Menge wenn ich die Statiskien mir immer mal anschaue, egal ob bei denen eingestellt hat nicht nach Updates suchen usw. ist manchmal echt der Hammer!!

http://www.sphinx-soft.com/de/

ergänzend dazu:

http://abload.de/img/untitledizsw6.png

Wenn man unter einem Nicht-Admin-Account etwas installiert, wieso sollte das Programm Adminrechte haben? Dann könnte ich ja von vorneherein Win7 nur mit einem Admin-Account betreiben!?!?!? :confused: Oder meintest du eingeschränkte Adminrechte?

Die meisten Programme brauchen Adminrechte, damit man sie global installieren kann. Dafür kommt dann die UAC-Abfrage, wenn man als normaler User unterwegs ist. Damit gibst du ihnen kurzzeitig Adminrechte. Wer garantiert dir jetzt, dass die Installationsroutine nicht deine PF manipuliert oder sonst irgendetwas am System macht?

Aus genau solchen Gründen hat man z.B. unter iOS oder Android erst gar keine Root-Rechte. Apps aus dem Mac App Store dürfen z.B. auch nicht einfach so auf das Dateisystem zugreifen, sondern laufen in ihrer eigenen Sandbox. Einige Leute betrachten das als Bevormundung, aber eigentlich ist es ein Sicherheitsfeature. Man sollte Software nie mehr Rechte geben, als sie in Wirklichkeit braucht.

Mir ging es nur um Angriffe von außen/innen und wie man sie größtenteils ohne PF verhindern kann (wenn überhaupt).

Also für Angriffe von außen musst du nur schauen, dass kein Dienst auf einem deiner Ports lauscht. Dafür braucht man nicht zwangsläufig eine Firewall. Man kann die Dienste auch einfach abstellen. Das Ubuntuusers-Wiki hat dazu einen ganz guten Artikel (http://wiki.ubuntuusers.de/Personal_Firewalls), der grundsätzlich für jedes Betriebssystem gilt.

Mit nmap (http://nmap.org/) kannst du übrigens einen Portscan an deinen Rechnern machen, um das zu prüfen. Ging auch mit netstat vom Rechner selbst, aber da weiß ich nicht, was man dafür unter Windows nimmt.

Die ganzen Parameter von nmap sind hier (http://wiki.ubuntuusers.de/nmap)ganz gut erklärt.