...Unter WinDOS (aka Windows 95, Windows 95b, Windows 98, Windows 98SE und Windows ME)...
Ueber die museumsreifen, schon lange von Microsoft nicht mehr unterstuetzten Win 9x/ME braucht man nicht zu diskutieren.
Die heutige Praxis sieht aber leider auch nicht viel besser aus.
XP wird von vielen Ottonormalverbrauchern noch genutzt, was auch nicht gerade mit guten Werkseinstellungen im Bereich Sicherheit auf der LAN-Schnittstelle glaenzt.
Ein paar interessante Bsp bei XP:
- Dein Bsp mit den Bindungen von Clients/Protokollen:
XP ist hier auch nicht besser und aktiviert in der Werkseinstellung die Bindung des "Client fuer Microsoft Netzwerke" und die "Datei- und Druckerfreigabe" auf allen Schnittstellen ausser auf dem ggfl. vorhandenem DFUe-Adapter.
Das ist ja schoen fuer die Nutzer mit analogem oder ISDN-Modem, passt aber nicht in die heutige Zeit wo Internetanschluesse meist ueber Kabel oder DSL gehen.
Da merkt man dem XP das Alter an.... stammt halt aus der Zeit wo analoge Modems und ISDN Verbindungen gang und gaebe waren. Genauer aus der Zeit 1995-1999, denn XP basiert in diesen Teilen auf seinem Vorgaenger Windows 2000 der in dieser Zeit entwickelt wurde.
Erst wenn ich eine Freigabe nutzen will, dann sollten diese Bindungen aktiviert werden. Und zwar nur auf den Schnittstellen wo ich es wuensche.
- Dein Bsp mit den Freigaben...
Administrative Freigaben (die zumindest bei XP Professional in der Werkseinstellung definitiv vorhanden sind) brauche ich nur, wenn ich wirklich in einem Unternehmensnetzwerk mit Anschluss an einer Domaene arbeite.
Denn damit ist der Zugriff auf alle angeschlossenen Festplatten und deren im Windows sichtbaren Partitionen moeglich.
Das sollte in einer Werkseinstellung aus sein und der User sollte mit einer eindeutigen Warnung gefragt werden, wenn er das aktiviert. Nicht einfach so aktivieren nach dem Motto "koennte man ja gebrauchen".
- Bindung von NetBIOS auf der LAN-Schnittstelle:
Noch so ein Kandidat der auch bei XP in der Werkseinstellung auf der LAN-Schnittstelle aktiviert ist (Einstellung ist zwar automatisch, effektiv ist das NetBIOS aber an).
Schoen, damit bruellt XP in die weite Welt raus: "Hallo ich bin ein Windows" und wenn es einen Microsoft-Webserver installiert hat bruellt es auch dessen Existenz ueber NetBIOS raus.
Muss das wirklich sein?
Gut, es gibt fuer XP Firewalls .. und auch eine im Windows XP mit sinnvollen Werkseinstellungen (ab SP2).
Das grundsaetzliche Problem bleibt aber auch bei XP:
Warum muss erst etwas durch Firewalls blockiert werden, wenn es eine sinnvolle Werkseinstellung bei den Diensten/Funktionen geben wuerde?
Denn wo kein Windows-Dienst (bzw. in der linux/unix Welt daemon) lauscht, laufen auch Angriffsversuche auf diesem dann nicht genutztem Port ins Leere.
Es wurde mit der Sicherheit erst ab Vista (Release war erst vor 4 Jahren, im Januar 2007) von Anfang an merkbar besser, da dort einige seit den NT 3.x Zeiten bestehenden Windows-Altlasten ueber Bord geworfen wurden.
Tjoar, es gibt entweder Sicherheit oder Komfort. Beides gleichzeitig kann immer nur ein Kompromiss sein.
Außerdem - und das ist der Casus Cnacktus - findet hier die Freigabe nicht auf irgendeinem DialUp-PC statt, sondern eben auf einem professionell betriebenem Server.
Hust.
Wenn es professionell waere, dann waere es mit Sicherheit kein SMB direkt ins Internet.
Sondern mindestens WebDAV oder andere Techniken wie z.B. VPN oder auf ssh basierendem FTP.
