Toon posts:

[XP] SP2 - slechte keuzes door Microsoft*

Pagina: 1
Acties:
  • 282 views sinds 30-01-2008
  • Reageer

dinsdag 10 augustus 2004 15:36

Acties:
  • PenguinPower
  • Registratie: Juni 2001
  • Laatst online: 16:38

PenguinPower

May the SOURCE be with you

Topicstarter
Ik zit net Changes to Functionality in Microsoft Windows XP Service Pack 2 door te lezen. En ik merk aan me zelf dat ik meer opgepropte woede over dichtgezette functies en vragen over functies krijg dan dat ik gerustgesteld wordt. Dat wordt dus zeker na de vakantie eerst een testopstelling uitrollen :)

Allereest wijkt dit servicepack enorm af van elke service pack dat microsoft ooit gereleast heeft. Er zitten bijvoorbeeld nog meer functies in dan Windows 98 vs Windows 98 SE (wat een apparte versie is). Nu is dat microsofts goed recht om het een service pack te noemen en geen Second Edition ofzo. Maar het punt is dat veel beheerders dat waarschijnlijk toch als service pack gaan behandelen ondanks de waarschuwingen van microsoft. Een service pack is traditioneel namelijk een hoop patches in 1 met eventueel beveiligingsdingetjes. Nu zitten er dingen als Media Player 9 in. Vraag me af wat daar de meerwaarde van is op 80% van de clients op welk bedrijf dan ook.

Nu valt dit nog allemaal wel mee maar toen ik verder ging lezen...
What new functionality is added to this feature in Windows XP Service Pack 2?
Restricted traffic over raw sockets

Detailed description
A very small number of Windows applications make use of raw IP sockets, which provide an industry-standard way for applications to create TCP/IP packets with fewer integrity and security checks by the TCP/IP stack. The Windows implementation of TCP/IP still supports receiving traffic on raw IP sockets. However, the ability to send traffic over raw sockets has been restricted in two ways:
• TCP data cannot be sent over raw sockets.
• UDP datagrams with invalid source addresses cannot be sent over raw sockets. The IP source address for any outgoing UDP datagram must exist on a network interface or the datagram is dropped.

Why is this change important? What threats does it help mitigate?

This change limits the ability of malicious code to create distributed denial-of-service attacks and limits the ability to send spoofed packets, which are TCP/IP packets with a forged source IP address.

Limited number of simultaneous incomplete outbound TCP connection attempts

Detailed description

The TCP/IP stack now limits the number of simultaneous incomplete outbound TCP connection attempts. After the limit has been reached, subsequent connection attempts are put in a queue and will be resolved at a fixed rate. Under normal operation, when applications are connecting to available hosts at valid IP addresses, no connection rate-limiting will occur. When it does occur, a new event, with ID 4226, appears in the system’s event log.

Why is this change important? What threats does it help mitigate?

This change helps to limit the speed at which malicious programs, such as viruses and worms, spread to uninfected computers. Malicious programs often attempt to reach uninfected computers by opening simultaneous connections to random IP addresses. Most of these random addresses result in a failed connection, so a burst of such activity on a computer is a signal that it may have been infected by a malicious program.
Ik vind dit een ontwerp fout. De verantwoordelijkheid dat de gebruikt een DoS attack gaat doen ligt niet bij het operating systeem en hoort daar ook niet te liggen. Het ligt bij het progrramma en of bij de gebruiker. Als het ontwetendheid is ligt de verantwoording altijd nog bij de firewall, maar moet NIET worden geblokt door een protocol wat daar niet voor bedoelt is. TCP/IP is er voor communicatie en niet voor te oordelen wat wel of niet mag. Daar is een firewall voor!
What new functionality is added to this feature in Windows XP Service Pack 2?
Disabling Basic Authentication over a clear channel

Detailed description

WebDAV is an extension of Hypertext Transfer Protocol (HTTP), and as such includes the use of Basic Authentication (BasicAuth). BasicAuth is one form of user authentication, or means by which a user is securely identified to the server. With BasicAuth, the client transmits the user’s credentials (user name and password) to the server. If the channel is unencrypted, such as with normal HTTP traffic, any computer on the network can see the user’s user name and password and therefore steal their identity. The DAVRdr does not support encrypted HTTP (HTTPS or SSL), and will transmit the user’s credentials in the clear (or, without encryption) if the server supports basic authentication. Although a server most likely would not be configured to use basic authentication, it would be possible to set up the server expressly to obtain users’ credentials.

Because of this possibility, Windows XP Service Pack 2 (SP) for adds the ability to enable or disable the use of BasicAuth by the DAVRdr. By default, use of BasicAuth is disabled with SP2. When BasicAuth is disabled, the client will either use a different authentication method (if the server supports one) or fail the request.

Why is this change important?

Users can log on to WebDAV servers for remote file access without fear of transmitting their password in the clear.
Dit is een protocol ontwerpfout, die opgelost kan worden met goede server settings maar wordt opgelost door een client solution. Dit had nooit aan mogen moeten kunnen staan op een server met fontpage extensies.

Maar dit slaat echt alles:
When file and printer sharing is enabled on a computer that is a member of a workgroup, four ports are specifically affected by local subnet restriction. The following ports will only receive traffic from the local subnet.
• UDP port 137
• UDP port 138
• TCP port 139
• TCP port 445

If an application or service also uses these ports, it will only be able to communicate with other nodes on the local subnet.
Dit betekend dus dat een sp2 computer default niet valt te beheren vanaf een ander subnet binnen je bedrijf. zodra je in je bedrijf met een hoop computers in verschillende subnetten werkt kan je niet \\computernaam.domeinnaam\c$ default doen, omdat de firewall van de sp2 computer dit verhindert.

dinsdag 10 augustus 2004 15:39

Acties:
  • Zwelgje
  • Registratie: November 2000
  • Laatst online: 20-01 19:37

Zwelgje

Dit betekend dus dat een sp2 computer default niet valt te beheren vanaf een ander subnet binnen je bedrijf. zodra je in je bedrijf met een hoop computers in verschillende subnetten werkt kan je niet \\computernaam.domeinnaam\c$ default doen, omdat de firewall van de sp2 computer dit verhindert
de windows firewall staat uit als je in een domain zit, en sowieso is ie op een lan niet wenselijk

er staat overigens niet voor niks 'workgroup' en een workgroup is geen collectie van pc's over meerdere subnetten ;)

[ Voor 13% gewijzigd door Zwelgje op 10-08-2004 15:40 ]

A wise man's life is based around fuck you

dinsdag 10 augustus 2004 15:41

Acties:
  • Longlegg
  • Registratie: Januari 2002
  • Laatst online: 13-04-2022

Longlegg

Danoontje POWERRRRR

ik vind je topic titel een beetje raar gekozen, het zijn bewuste keuzes van MS. En dus geen ontwerpfouten. Het zijn volgens MS logische keuzes, anders hadden ze het waarschijnlijk niet ingebouwd ;)

Specs

dinsdag 10 augustus 2004 15:47

Acties:
  • PenguinPower
  • Registratie: Juni 2001
  • Laatst online: 16:38

PenguinPower

May the SOURCE be with you

Topicstarter
zwelgje schreef op 10 augustus 2004 @ 15:39:
[...]


de windows firewall staat uit als je in een domain zit, en sowieso is ie op een lan niet wenselijk

er staat overigens niet voor niks 'workgroup' en een workgroup is geen collectie van pc's over meerdere subnetten ;)
Kijk ik er dan zo overheen? Ik kan nergens vinden dat de firewall standaard wordt uitgeschakelijk als de client lid is van een domain. Of bedoel je dat je dan zelf met group policies aan en uit moet gaan zetten? Het enige wat ik kan vinden is dat je zodra je domain member bent je vervolgens meer firewall profiles kunt maken/kiezen

dinsdag 10 augustus 2004 15:48

Acties:
  • Voutloos
  • Registratie: Januari 2002
  • Niet online

Voutloos

Volgens mij zit er wel een duidelijk strategie achter:
Ze willen de onwetenden/doorsnee users beschermen en desnoods de ervaren mensen meer moeite laten doen (en de opzet van een bedrijfsnetwerk mag je niet vergelijken met een particuliere pc aan een breedbandverbinding).
En dit werkt wellicht beter dan hopen dat iedere user weet waar hij mee bezig is. Genoeg mensen zijn er gewoonweg niet voldoende in geïnteresseerd.

Ik ben het met je eens dat het allemaal pleistermethodes zijn, maar ik hoop/geloof toch dat ze een positieve uitwerking kunnen hebben.

{signature}

dinsdag 10 augustus 2004 19:25

Acties:
  • elevator
  • Registratie: December 2001
  • Niet online

elevator

Officieel moto fan :)

Kleine titel edit - het zijn zeer zeker geen ontwerpfouten, hooguit (in jouw ogen) een foutieve ontwerp beslissing :)

dinsdag 10 augustus 2004 19:37

Acties:
  • GigaTexel_BE
  • Registratie: April 2002
  • Laatst online: 15:22

GigaTexel_BE

AMD MP²

met je eerste punt ben ik het volledig eens
een protocolsuite als tcp/ip dient om data van het ene naar het andere (inter)netwerk te pompen; niet om zelf te gaan beslissen wat wel en wat niet mag en zo datagrammen te gaan droppen (corrupte datagrammen uitgezonderd natuurlijk)
dit ondermijnt een beetje het gehele idee achter de protocolsuite
tcp/ip hoort in elke omgeving en op elk os hetzelfde te doen en hetzelfde te reageren; dat is net het idee erachter
microsoft heeft nu als het ware een tcp/ip - xpsp2 edition ontwikkeld naar mijn bescheiden mening

Siesteem Spekkies!

dinsdag 10 augustus 2004 19:41

Acties:
  • JasperE
  • Registratie: December 2003
  • Laatst online: 11-04 09:08

JasperE

Ik vind het allemaal wel prima, geen raw tcp sockets = geen spoofed syn floods. en al die poortjes dicht betekent heel wat minder ddos bot infecties. (rpc, nt user/pass, etc).

Maarja da's mijn standpunt als irc netadmin :P

[ Voor 4% gewijzigd door JasperE op 10-08-2004 19:41 ]

dinsdag 10 augustus 2004 19:51

Acties:

Verwijderd

idd, mikkiesoft heeft nog af te rekenen met ouwe technieken,
die een achilles-hiel vormen binnen windos (zoals windows-sockets a.k.a winsock)

Check uw mail even voor uitleg

[ Voor 21% gewijzigd door elevator op 10-08-2004 20:22 ]

dinsdag 10 augustus 2004 19:53

Acties:
  • Zwelgje
  • Registratie: November 2000
  • Laatst online: 20-01 19:37

Zwelgje

Verwijderd schreef op 10 augustus 2004 @ 19:51:
idd, microsoft heeft nog af te rekenen met ouwe technieken,
die een achilles-hiel vormen binnen windos (zoals windows-sockets a.k.a winsock)
:Y)

A wise man's life is based around fuck you

dinsdag 10 augustus 2004 20:01

Acties:
  • TAMW
  • Registratie: Augustus 2000
  • Laatst online: 04-05 17:59

TAMW

PenguinPower schreef op 10 augustus 2004 @ 15:36:


Maar dit slaat echt alles:

When file and printer sharing is enabled on a computer that is a member of a workgroup, four ports are specifically affected by local subnet restriction. The following ports will only receive traffic from the local subnet.
• UDP port 137
• UDP port 138
• TCP port 139
• TCP port 445

If an application or service also uses these ports, it will only be able to communicate with other nodes on the local subnet.

Dit betekend dus dat een sp2 computer default niet valt te beheren vanaf een ander subnet binnen je bedrijf. zodra je in je bedrijf met een hoop computers in verschillende subnetten werkt kan je niet \\computernaam.domeinnaam\c$ default doen, omdat de firewall van de sp2 computer dit verhindert.
Default staat aan dat hij alleen openstaat voor je local subnet, maar je kan dat gewoon wijzigen naar bv. ANY > 1 adres > IP ranges enz.

dinsdag 10 augustus 2004 20:01

Acties:
  • Zarc.oh
  • Registratie: November 2000
  • Laatst online: 17-04 08:48

Zarc.oh

heeft een HD van 20 YottaByte

Na het installeren kreeg ik een NT Authority melding dat RPC is gecrasht en de machine opnieuw wordt opgestart :(
Ik heb nu maar een backup terug geplaatst.

Eris het 1 en ander veranderd aan RPC, dus ik vermoed dat het daar aan ligt.
Ik heb echter niet veel spannende dingen draaien:
- MS-Office
- AVG antivirus
- Mozila Firebird & Thunderbird
en meer van dit soort gewone programma's...

Heeft iemand een idee hoe te op te lossen?

Zoek wat je niet eerder vond

dinsdag 10 augustus 2004 20:02

Acties:

Verwijderd

Zarc.oh schreef op 10 augustus 2004 @ 20:01:
Na het installeren kreeg ik een NT Authority melding dat RPC is gecrasht en de machine opnieuw wordt opgestart :(
Ik heb nu maar een backup terug geplaatst.

Eris het 1 en ander veranderd aan RPC, dus ik vermoed dat het daar aan ligt.
Ik heb echter niet veel spannende dingen draaien:
- MS-Office
- AVG antivirus
- Mozila Firebird & Thunderbird
en meer van dit soort gewone programma's...

Heeft iemand een idee hoe te op te lossen?
het is natuurlijk niet zo, maar je zou bijna denken dat je ondanks alles gewoon lekker blaster hebt opgelopen :+

dinsdag 10 augustus 2004 20:02

Acties:
  • TAMW
  • Registratie: Augustus 2000
  • Laatst online: 04-05 17:59

TAMW

Zarc.oh schreef op 10 augustus 2004 @ 20:01:
Na het installeren kreeg ik een NT Authority melding dat RPC is gecrasht en de machine opnieuw wordt opgestart :(
Ik heb nu maar een backup terug geplaatst.

Eris het 1 en ander veranderd aan RPC, dus ik vermoed dat het daar aan ligt.
Ik heb echter niet veel spannende dingen draaien:
- MS-Office
- AVG antivirus
- Mozila Firebird & Thunderbird
en meer van dit soort gewone programma's...

Heeft iemand een idee hoe te op te lossen?
Dit lijkt me niet het goede topic om deze vraag in te stellen :(

hier wordt gediscuseerd over keuzes, niet over problemen.

[ Voor 6% gewijzigd door TAMW op 10-08-2004 20:03 ]

dinsdag 10 augustus 2004 20:05

Acties:

Verwijderd

OD-Frozen schreef op 10 augustus 2004 @ 19:41:
Ik vind het allemaal wel prima, geen raw tcp sockets = geen spoofed syn floods. en al die poortjes dicht betekent heel wat minder ddos bot infecties. (rpc, nt user/pass, etc).

Maarja da's mijn standpunt als irc netadmin :P
Mja, ik ben ook irc netadmin en ben t er niet mee eens, MS neemt keuzes voor zijn/haar klanten, dit vind ik niet terecht. Als ik dit zo lees gooi ik Sp 2 in de ban en install ik m nergens

dinsdag 10 augustus 2004 20:07

Acties:

Verwijderd

Niets nieuws onder de zon:

http://it.slashdot.org/it...tml?tid=136&tid=185&tid=1

dinsdag 10 augustus 2004 20:10

Acties:
  • TAMW
  • Registratie: Augustus 2000
  • Laatst online: 04-05 17:59

TAMW

Verwijderd schreef op 10 augustus 2004 @ 20:05:
[...]


MS neemt keuzes voor zijn/haar klanten, dit vind ik niet terecht. Als ik dit zo lees gooi ik Sp 2 in de ban en install ik m nergens
MS neemt idd keuzes omdat het meerendeel van haar klanten die niet kunnen maken.

Noem eens een nadeel wat jij hierdoor ondervindt? behalve je eigen principe kwestie.

dinsdag 10 augustus 2004 20:39

Acties:
  • Fish
  • Registratie: Juli 2002
  • Niet online

Fish

How much is the fish


[quote]zwelgje schreef op 10 augustus 2004 @ 15:39:
[...]


de windows firewall staat uit als je in een domain zit, en sowieso is ie op een lan niet wenselijk

er staat overigens niet voor niks 'workgroup' en een workgroup is geen collectie van pc's over meerdere subnetten ;)[/quote]

Ik heb hier om mijn (goede) redenen thuis 2 subnets waarvan ik wel het een en ander via netbios wil doen. dit kan dan dus niet meer.

Als ik het zo lees kun je dat geeneens meer uitzeten. ik vind het ronduit debiel.

Die pakketjes moeten gewoon naar buiten en basta ... dan wil ik niet een of andere driver hebben die me dat belet :(

edit: of erger een domain server neerzetten om het netjes te doen . ha nee ech niet. Ja daar kan microsoft wel weer een paar centjes mee scoren.

grmbl

poeh he gelukkig kan het wel dus ........
TAMW schreef op 10 augustus 2004 @ 20:10:
[...]
MS neemt idd keuzes omdat het meerendeel van haar klanten die niet kunnen maken.

Noem eens een nadeel wat jij hierdoor ondervindt? behalve je eigen principe kwestie.
edit 2: En dit komt vaak toch omdat er weer misbruik gemaakt worden van exploits in .. ja juist windows .. door de klant te beperken in zijn bewegingen. kan er mider gebruik gemaakt worden van fouten die er al in zaten/zitten

[ Voor 42% gewijzigd door Fish op 10-08-2004 20:45 ]

Iperf

dinsdag 10 augustus 2004 20:42

Acties:
  • TAMW
  • Registratie: Augustus 2000
  • Laatst online: 04-05 17:59

TAMW

Het kan wel :) (het subnet verhaal)

Lees mijn post een stukje hierboven maar.

[ Voor 32% gewijzigd door TAMW op 10-08-2004 20:44 ]

dinsdag 10 augustus 2004 21:17

Acties:
  • JasperE
  • Registratie: December 2003
  • Laatst online: 11-04 09:08

JasperE

Verwijderd schreef op 10 augustus 2004 @ 20:05:
[...]


Mja, ik ben ook irc netadmin en ben t er niet mee eens, MS neemt keuzes voor zijn/haar klanten, dit vind ik niet terecht. Als ik dit zo lees gooi ik Sp 2 in de ban en install ik m nergens
Net zoals ze eerst de keuze namen rpc en weet ik veel wat standaard open te zetten, nemen ze nu de keuze deze dicht te zetten. In de settings zal het vast wel mogelijk zijn deze weer open te krijgen mocht je dat echt willen.

Ik vind goed ideeen :*) , hadden ze gelijk al moeten doen.

dinsdag 10 augustus 2004 21:33

Acties:
  • elevator
  • Registratie: December 2001
  • Niet online

elevator

Officieel moto fan :)

PenguinPower schreef op 10 augustus 2004 @ 15:36:
Allereest wijkt dit servicepack enorm af van elke service pack dat microsoft ooit gereleast heeft.
Microsoft heeft aangekondigd inderdaad in deze versie een aantal wijzigingen aan te brengen die ze normaliter niet zouden doen.
Er zitten bijvoorbeeld nog meer functies in dan Windows 98 vs Windows 98 SE (wat een apparte versie is).
Ik zie hier geen onderbouwing bij, behalve het later door jou genoemde media player. Aangezien Media Player onderdeel is van Windows moet je WMP 9 gewoon zien als een update - net zoals de RPC Service van versie 12.13a naar 13.0 is gegaan (om maar even iets fictiefs te noemen). Dat de versie van WMP extern genummerd is betekent natuurlijk niet dat het het enige product is wat een versie wijziging ondergaan heeft :)
Maar het punt is dat veel beheerders dat waarschijnlijk toch als service pack gaan behandelen ondanks de waarschuwingen van microsoft.
En waarom krijg jij daar opgekropte woede van dan? Als systeembeheerders hun werk niet fatsoenlijk uitvoeren hoef jij daar toch geen zorgen over te maken? :)
Nu zitten er dingen als Media Player 9 in. Vraag me af wat daar de meerwaarde van is op 80% van de clients op welk bedrijf dan ook.
Ook in WMP 9 zitten updates (zie de update list maar - bv. het hele internet access component is vervangen), ik vind het niet meer dan logisch dat je deze subcomponenten ook upgrade als je een 'secure' OS wilt uitbrengen :)
De verantwoordelijkheid dat de gebruikt een DoS attack gaat doen ligt niet bij het operating systeem en hoort daar ook niet te liggen. Het ligt bij het progrramma en of bij de gebruiker. Als het ontwetendheid is ligt de verantwoording altijd nog bij de firewall, maar moet NIET worden geblokt door een protocol wat daar niet voor bedoelt is.
Ach, ik zie het als een 'secure default' instelling.

WebDav
Dit is een protocol ontwerpfout, die opgelost kan worden met goede server settings maar wordt opgelost door een client solution. Dit had nooit aan mogen moeten kunnen staan op een server met fontpage extensies.
Waar heb je het over? WebDAV is een open standaard over HTTP - HTTP ondersteunt een aantal authenticatie methodes waarvan er vanaf nu af aan één standaard disabled is. Dat heeft niets met FrontPage oid te maken ;)
Dit betekend dus dat een sp2 computer default niet valt te beheren vanaf een ander subnet binnen je bedrijf.
Zie eerdere opmerkingen over een domain. Daarnaast is er hier enkel voor gekozen voor 'secure by default' - niet voor het onmogelijk maken :)

Ik zie wederom alleen maar een positieve kant aan deze wijzigingen? :)

dinsdag 10 augustus 2004 21:55

Acties:

Verwijderd

Ik snap trouwens niet wat voor bezwaar er zou zijn aan het beperken van het gebruik van RAW-Sockets. Ik kan eigenlijk uitsluitend malafide redenen bedenken om progjes toegang te geven tot RAW-Sockets.

Doet u mij maar secure by default.

dinsdag 10 augustus 2004 22:45

Acties:
  • elevator
  • Registratie: December 2001
  • Niet online

elevator

Officieel moto fan :)

Het nadeel van beperken van raw sockets is dacht ik voornamelijk omdat dit onder niet-Windowsen gebruikt wordt om traceroutes e.d. te voorzien (Windows voorziet hierin met de icmp.dll), daarvoor heb je dacht ik raw socket toegang nodig.

dinsdag 10 augustus 2004 22:54

Acties:

Verwijderd

een traceroute is toch gewoon een ping waarvan je de TTL elke keer met 1 verhoogt, beginnend bij 1, zodat als eerste de default gateway antwoord, en vervolgens elke volgende hop antwoord geeft?

dinsdag 10 augustus 2004 22:58

Acties:
  • elevator
  • Registratie: December 2001
  • Niet online

elevator

Officieel moto fan :)

Maar een ping is geen TCP of UDP verkeer :)

dinsdag 10 augustus 2004 23:05

Acties:
  • TAMW
  • Registratie: Augustus 2000
  • Laatst online: 04-05 17:59

TAMW

Verwijderd schreef op 10 augustus 2004 @ 22:54:
een traceroute is toch gewoon een ping waarvan je de TTL elke keer met 1 verhoogt, beginnend bij 1, zodat als eerste de default gateway antwoord, en vervolgens elke volgende hop antwoord geeft?
When you execute a traceroute command (ie traceroute www.yahoo.com), your machine sends out 3 UDP packets with a TTL (Time-to-Live) of 1. When those packets reach the next hop router, it will decrease the TTL to 0 and thus reject the packet. It will send an ICMP Time-to-Live Exceeded (Type 11), TTL equal 0 during transit (Code 0) back to your machine - with a source address of itself, therefore you now know the address of the first router in the path.

Next your machine will send 3 UDP packets with a TTL of 2, thus the first router that you already know passes the packets on to the next router after reducing the TTL by 1 to 1. The next router decreases the TTL to 0, thus rejecting the packet and sending the same ICMP Time-to-Live Exceeded with its address as the source back to your machine. Thus you now know the first 2 routers in the path.

This keeps going until you reach the destination. Since you are sending UDP packets with the destination address of the host you are concerned with, once it gets to the destination the UDP packet is wanting to connect to the port that you have sent as the destination port, since it is an uncommon port, it will most like be rejected with an ICMP Destination Unreachable (Type 3), Port Unreachable (Code 3). This ICMP message is sent back to your machine, which will understand this as being the last hop, therefore traceroute will exit, giving you the hops between you and the destination.

The UDP packet is sent on a high port, destined to another high port. On a Linux box, these ports were not the same, although usually in the 33000. The source port stayed the same throughout the session, however the destination port was increase by one for each packet sent out.

One note, traceroute actually sends 1 UDP packet of TTL, waits for the return ICMP message, sends the second UDP packet, waits, sends the third, waits, etc, etc, etc.

If during the session, you receive * * *, this could mean that that router in the path does not return ICMP messages, it returns messages with a TTL too small to reach your machine or a router with buggy software. After a * * * within the path, traceroute will still increment the TTL by 1, thus still continuing on in the path determination.

dinsdag 10 augustus 2004 23:08

Acties:
  • elevator
  • Registratie: December 2001
  • Niet online

elevator

Officieel moto fan :)

Dat is een *nix tracert - Windows gebruikt icmp :)

dinsdag 10 augustus 2004 23:15

Acties:

Verwijderd

Goed, dit berichtje kan weg, uitleg staat er al.

Weer wat geleerd. Maar nou vraag ik me af, waarom willen we RAW Sockets? Ik heb er een hele verhandeling over gelezen op de site van Steve Gibson, en ik moet zeggen, klinkt allemaal heel logisch. Ik zou afgaande op dat verhaal zo gauw niet weten waar ik RAW sockets nodig heb.

En als ik het heb, dan hebben alle progjes die ik opstart dat ook...

[ Voor 174% gewijzigd door Verwijderd op 10-08-2004 23:21 ]

dinsdag 10 augustus 2004 23:17

Acties:
  • shytah
  • Registratie: Maart 2004
  • Laatst online: 27-02 11:23

shytah

Weet je wat ik denk. Microsoft probeer alles zelf in de hand te houden, ze denken dat ze fouten van gebruikers kunnen oplossen door de software zo te maken dat gebruikers geen fouten meer kunnen maken omdat een aantal bepaalde functionaliteiten zijn uitgeschakeld.

Iedereen heeft het tegenwoordig over de discussie tussen linux en windows dat linux beter is enz enz.
Maar er is 1 verschil tussen linux gebruikers en windows gebruikers.

-de meeste windows gebruikers zijn n00bs. Je kunt deze mensen vergelijking met automobilisten zonder rijbewijs die toch op de weg rijden--> gevolg; vragen om problemen.
Wat microsoft uiteindelijk probeert te doen is te vergelijken met het volgende: op alle autowegen rails aanleggen en de auto's automatisch te laten rijden en te stoppen.

Het gevolg hiervan is dat de complete vrijheid wegvalt, want je kunt niet immers meer overal heen, hoeveel rails je ook gaat leggen, je hebt nooit de vrijheid die je krijgt als wanneer een automobilist zelf mag bepalen waar die heen wil, zonder rails.
Waarom dit niet zo gebeurd is komt omdat alle automobilisten een rijbewijs moeten hebben, zo verkom je ongelukken.

Bij linux zie je deze fouten veel minder, niet omdat de software beter is, maar omdat de gebruikers ervan meestal veel kundigeren zijn dan de gewone gebruikers van windows. Waarom? Windows zit voor de meeste mensen veel logischer in elkaar, het is 'te' gemakkelijk in de omgang.
Want spreek me eens tegen, elke linux gebruikers weet wel dat ie niet als root moet zijn ingelogd wanneer men verbonden is aan het internet.

Ik denk zelf op de lange termijn dat een computer-rijbewijs wel gaat ingevoerd worden, mits men wil internetten. Ik denk ook dat elke bedrijf ervoor moet zorgen dat hun gebruikers ook met zo'n rijbewijs zijn uitgerust.
Iedereen zal mensen die dit denken voor gek verklaren, maar voor autorijden moet je toch ook een rijbewijs hebben? Natuurlijk kun je met autorijden andere mensen van hun leven beroven, dit is natuurlijk niet direct het geval met computer software.

Maar eigenlijks is microsoft nu bezig zijn eigen graf te graven, de vrijheid die windows op dit moment geeft gaat zowel verloren. Je kan je eigen keuzes niet meer maken, dat doen zij wel voor je!

Op de korte termijn gaat dit nog wel werken, maar in de toekomst is dit echt geen optie meer.

dinsdag 10 augustus 2004 23:18

Acties:
  • TAMW
  • Registratie: Augustus 2000
  • Laatst online: 04-05 17:59

TAMW

elevator schreef op 10 augustus 2004 @ 23:08:
Dat is een *nix tracert


.....
en Cisco IOS :P

[ Voor 3% gewijzigd door TAMW op 10-08-2004 23:20 ]

dinsdag 10 augustus 2004 23:51

Acties:
  • Voutloos
  • Registratie: Januari 2002
  • Niet online

Voutloos

Arosf schreef op 10 augustus 2004 @ 23:17:
......Je kan je eigen keuzes niet meer maken, dat doen zij wel voor je!

Op de korte termijn gaat dit nog wel werken, maar in de toekomst is dit echt geen optie meer.
Ik vind computerrijbewijzen etc ook allemaal mooi en prachtig. Maar dat kan je in het huidige systeem niet afdwingen. En er kleven ook nadelen aan.
Verder vind ik de analogie naar vrijheid een beetje ver gaan. Het is zeker niet zo dat je hevige beperkingen ondervindt na installatie van SP2.

Maar het gaat mij vooral om de reden waarom je tot deze conclusie komt: je zegt zelf dat de meeste gebruikers nu geen beslissing kunnen maken. Waarom zouden een aantal instellingen dan niet default op een veilige stand mogen staan?

Als je weet wat je doet, kan je het ook zelf aanpassen. En als je niet weet wat je doet, blijven die instellingen op veilig, zodat er een verkleinde kans is dat anderen hinder van je ondervinden.

[ Voor 12% gewijzigd door Voutloos op 10-08-2004 23:59 ]

{signature}

woensdag 11 augustus 2004 00:11

Acties:
  • JasperE
  • Registratie: December 2003
  • Laatst online: 11-04 09:08

JasperE

* JasperE attendeert iedereen er even op dat raw sockets in w98 ook niet mogelijk waren. Toen hoorde je niemand klagen toch?

woensdag 11 augustus 2004 00:19

Acties:
  • Voutloos
  • Registratie: Januari 2002
  • Niet online

Voutloos

OD-Frozen schreef op 11 augustus 2004 @ 00:11:
* Voutloos attendeert iedereen er even op dat raw sockets in w98 ook niet mogelijk waren. Toen hoorde je niemand klagen toch?
Dit is imo de enige slechte keuze die MS heeft gemaakt dan.
Als je mensen iets geeft en later weer afpakt, balen ze. Maar als je het nooit geeft, is er niets aan de hand.
Hiermee bedoel ik dat het jammer is dat ze niet al eerder default alles op zo veilig/simpel mogelijk gezet hebben. Nu moet het met zoveel discussies gepaard gaan.

{signature}

woensdag 11 augustus 2004 00:24

Acties:

Verwijderd

hmmm, wat was er ook alweer met de introductie van XP-SP1??

Bij ons op m'n oude school (MTS Electro middekader) was er toen ook gezeik met "XP is zoveel langzamer" en "SP1 zuigt",
en nu draait iedereen het ook.

Dus laat MS lekker redicale keuzes maken, als de functionalieteit er echt van achteruit gaat komen we vanzelf wel met andere oplossingen.

Sommige mensen kunnen zig redelijk goed aanpassen aan een omgeving (dus ook het OS dat ze draaien)

En als je echt XP-SP2 k**** vind dan stap je toch over naar een ander OS?? :D

Zelf ga ik gewoon instaleren en kijken of het mij bevalt en zo niet dan flikker ik het er weer uit. Dit alleen als ik niet mijn toepassingen meer kan laten draaien (desnoods met wat tricks...)

Edit: Dat geziek op MS altijd... :S

[ Voor 5% gewijzigd door Verwijderd op 11-08-2004 00:25 ]

woensdag 11 augustus 2004 01:27

Acties:
  • PenguinPower
  • Registratie: Juni 2001
  • Laatst online: 16:38

PenguinPower

May the SOURCE be with you

Topicstarter
Alllereest valt me het niveau van een aantal post me een beetje tegen. Dat het namelijk voor de onwetende gebruiker beter is, staat absoluut buiten kijf. Natuurlijk zijn alle 'keuzes' in afweging genomen door microsoft. Natuurlijk heeft microsoft goede bedoelingen. Maar het schiet door naar de thuisgebruiker en daarbij wordt alles afgeschermt wat de thuisgebruiker met een eventueel virus kan veroorzaken afgeschermd.
Ik vind het allemaal wel prima, geen raw tcp sockets = geen spoofed syn floods. en al die poortjes dicht betekent heel wat minder ddos bot infecties. (rpc, nt user/pass, etc).
nt user/pass cracken kan ook zonder raw sockets

Bovendien kan elke ITer bevestigen dat het een verkeerde oplossing is voor een probleem. Microsoft perkt de mogelijkheden van de klant in op een beveiligingslaag die je onwille van compatibiliteit helemaal niet zulke radicale dingen kunt doen.

Dit is een typische ontwerp beslissing om de onwetende thuisgebruiker te beschermen.
Maarja da's mijn standpunt als irc netadmin
Als mensen een DDoS bot gebruiken dan kan dat nogsteeds hoor. Een wat meer geavanceerde gebruiker zal in een het registerkey gewoon uitschakelen (weet niet of dat kan, maar in iedergeval een patch draaien, of SP1 cq windows 2000 draaien, of welke besturingsysteem dan ook).
elevator schreef op 10 augustus 2004 @ 21:33:
Ik zie hier geen onderbouwing bij, behalve het later door jou genoemde media player. Aangezien Media Player onderdeel is van Windows moet je WMP 9 gewoon zien als een update - net zoals de RPC Service van versie 12.13a naar 13.0 is gegaan (om maar even iets fictiefs te noemen). Dat de versie van WMP extern genummerd is betekent natuurlijk niet dat het het enige product is wat een versie wijziging ondergaan heeft :)
Sorry, ik had dit idd beter moeten onderbouwen.
Alleen al een functie zoals de firewall (Ja die bestond al jah, maar deze is zo uitgebouwd dat er niets meer van de oude is overgebleven.) is al zo'n grote stap die niet een service pack thuis hoort.
Het zelfde geld voor DEP. Dat had gewoon een optionele addon moeten zijn die je kon downloaden van de ms site.
Bovendien worden er opeens een hoop dingen standaard veranderd. Zonder dat ik als gebruiker daarmee geconfronteerd wordt.
Als ze alleen maar een expert functie hadden gemaakt, waarbij alle instellingen behouden konden blijven dan had ik SP2 veel meer kunnen waarderen.
En waarom krijg jij daar opgekropte woede van dan? Als systeembeheerders hun werk niet fatsoenlijk uitvoeren hoef jij daar toch geen zorgen over te maken? :)
Behalve als je zelf er eentje bent. :D
Daar komt nog eens bij dat ik niet graag in jou schoenen zou staan elevator. Heb je de FAQ al aangepast? Want gegarandeerd dat je dadelijk een hoop vragen gaat krijgen in de vorm van: Ik heb net mijn systeem geupgrade met een AMD 64 processor en nu werkt mijn programma X niet meer.

Ook ik zal die van gebruikers op mijn werk krijgen. (voor hun thuis situatie)

Daar komt nog eens bij dat ik me niet zoveel zorgen maak, voor mijn werk, ik bedoel het is alleen maar een kwestie van testopstilling inrichten, group policy templates importeren, group policies zetten en heel veel testen met die hap.
Maar het probleem is, elke IT afdeling in nederland die windows XP clients draait alleen maar Samba 3 of NT servers, kunnen geen SP2 uitrollen. Ja of op elke client handmatig gaan aflopen |:(
Waar heb je het over? WebDAV is een open standaard over HTTP - HTTP ondersteunt een aantal authenticatie methodes waarvan er vanaf nu af aan één standaard disabled is. Dat heeft niets met FrontPage oid te maken ;)
WebDAV is inderdaad een open standaard, maar dat wil niets zeggen hoe goed die standaard is.
Telnet is ook een open standaard. Beiden hebben ze op het eerste gezichts niets met elkaar gemeen, maar bij beiden wordt het wachtwoord en de rest van de data unencrypted verstuurd.
Beiden hebben native XP ondersteuning (XP heeft zelfs een ingebouwde telnet SERVER!!) en alleen aan WebDAV wordt wat gedaan. (deze zin was niet mijn punt, maar meer een constatering tussendoor)

Wat er gedaan had moeten worden is als EERSTE de WebDAV servers (een voorbeeld daarvan is de FrontPage extensies die via webdav geupload worden) default anders ingesteld had moeten worden. Namelijk zonder basic authentication. Als de beheerder dan vervolgens is die dan toch voor basic authentication kiest is dat ZIJN verantwoordelijkheid! En geen ontwetendheid. Dit moet dus pas, als WebDAV via secure channels is ingeburgerd een default instelling worden op de client. En nu dus alleen optioneel. Alleen maar voor de compatibility.

Had ook de vraag kunnen voorkomen Ik kon altijd in mijn map van het netwerk op school/werk, maar sinds SP2 niet meer
Het juiste antwoord op de vraag is dan:
Dat komt omdat jullie ICTer in de organisatie niet aan het beveiligingsoogpunt heeft gekeken.

Een nog beter antwoord:
Omdat mensen uit Redmond een uit beveiligingsoogpunt een beslissing hebben genomen waar de wereld nog niet klaar voor is en bovendien op jou computer zonder jou medeweten is geimplementeerd en daardoor niet meer compatible bent met het WebDav protocol wat de server van de organisatie met jou computer spreekt. :D

Edit:
* OD-Frozen attendeert iedereen er even op dat raw sockets in w98 ook niet mogelijk waren. Toen hoorde je niemand klagen toch?
Ow wist ik niet...
Het probleem is dat je qwa architectuur Windows 98 niet mag vergelijken met XP. Ook de doelgroep van Windows 98 is niet 100% gelijk aan de doelgroep van XP. Ik ga nog altijd uit van 2000/NT en heb in werkverband nooit iets anders gedraaid dan NT-achtigen.
Maar het gaat mij vooral om de reden waarom je tot deze conclusie komt: je zegt zelf dat de meeste gebruikers nu geen beslissing kunnen maken. Waarom zouden een aantal instellingen dan niet default op een veilige stand mogen staan?
Tuurlijk ben ik daar voorstander van. Heel graag zelfs. Maar niet tenkoste van al bestaande compatibiliteit van een draaiende computer of een bestaand OS!

[ Voor 8% gewijzigd door PenguinPower op 11-08-2004 01:40 . Reden: omdat ik weer hopeloos achter loop ;) ]

woensdag 11 augustus 2004 01:39

Acties:
  • JasperE
  • Registratie: December 2003
  • Laatst online: 11-04 09:08

JasperE

PenguinPower schreef op 11 augustus 2004 @ 01:27:
nt user/pass cracken kan ook zonder raw sockets
Daarmee doelde ik op port 139, 445 etc die standaard dichtgezet worden. Niet op raw sockets natuurlijk.
Bovendien kan elke ITer bevestigen dat het een verkeerde oplossing is voor een probleem.
Maar blijkbaar wel de enige 'oplossing', microsoft zal de voor en nadelen echt wel tegen elkaar afgewogen hebben.... Misschien zal 1 op de 100 windows gebruikers raw sockets nodig vinden, lekker belangrijk voor microsoft dus.
Als mensen een DDoS bot gebruiken dan kan dat nogsteeds hoor. Een wat meer geavanceerde gebruiker zal in een het registerkey gewoon uitschakelen (weet niet of dat kan, maar in iedergeval een patch draaien, of SP1 cq windows 2000 draaien, of welke besturingsysteem dan ook).
Ja dat lijkt me logisch he, gelukkig zijn 99% van de mensen met die bots gewoon huin thuis en keuken gebruikers die een leuk stukje code op internet gevonden hebben.
Met de raw sockets zal het iig makkelijker zijn de bron van een aanval te traceren. Spoofen gaat als ik het goed begrijp namelijk niet meer zo makkelijk lukken nu. En natuurlijk heb je icmp en honderd andere soorten aanvallen. Die zul je ook altijd blijven houden....

woensdag 11 augustus 2004 01:40

Acties:
  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

PenguinPower schreef op 11 augustus 2004 @ 01:27:
Dit is een typische ontwerp beslissing om de onwetende thuisgebruiker te beschermen.
Daar zijn er ook iets meer van.
In een bedrijf is een IT afdeling die SP2 test (of getest heeft) voor deze te implementeren.
(mag ik wel hopen tenminste)
Alleen al een functie zoals de firewall (Ja die bestond al jah, maar deze is zo uitgebouwd dat er niets meer van de oude is overgebleven.) is al zo'n grote stap die niet een service pack thuis hoort.
Nou, zullen we netfilter dan ook maar weglaten uit 2.8? (ervanuitgaande nu 2.6.x dus straks weer 2.8.x, kan ook 3 worden hoor)
Kan ook meer als ipchains in 2.2 kon.
Het zelfde geld voor DEP. Dat had gewoon een optionele addon moeten zijn die je kon downloaden van de ms site.
Bovendien worden er opeens een hoop dingen standaard veranderd. Zonder dat ik als gebruiker daarmee geconfronteerd wordt.
Als ze alleen maar een expert functie hadden gemaakt, waarbij alle instellingen behouden konden blijven dan had ik SP2 veel meer kunnen waarderen.
Again, secure by default. het staat nu (eindelijk!) standaard aan, maar jij als gevorderde user kan het uitzetten.
Maar het probleem is, elke IT afdeling in nederland die windows XP clients draait alleen maar Samba 3 of NT servers, kunnen geen SP2 uitrollen. Ja of op elke client handmatig gaan aflopen |:(
Oh? Vind je het erg als ik het niet met je eens ben?
Had ook de vraag kunnen voorkomen Ik kon altijd in mijn map van het netwerk op school/werk, maar sinds SP2 niet meer
Het juiste antwoord op de vraag is dan:
Dat komt omdat jullie ICTer in de organisatie niet aan het beveiligingsoogpunt heeft gekeken.

Een nog beter antwoord:
Omdat mensen uit Redmond een uit beveiligingsoogpunt een beslissing hebben genomen waar de wereld nog niet klaar voor is en bovendien op jou computer zonder jou medeweten is geimplementeerd en daardoor niet meer compatible bent met het WebDav protocol wat de server van de organisatie met jou computer spreekt. :D
Nee, de ICTer heeft zijn testwerk niet goed gedaan.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

woensdag 11 augustus 2004 01:45

Acties:

Verwijderd

Dan gaan ze wel bij de europese commissie mogen gaan uitleggen waarom ze MP9 weer bundelen met hun OS en hem verpreiden via een service pack. Nog een boete van 900 miljoen? :)

woensdag 11 augustus 2004 02:25

Acties:
  • PenguinPower
  • Registratie: Juni 2001
  • Laatst online: 16:38

PenguinPower

May the SOURCE be with you

Topicstarter
Maar blijkbaar wel de enige 'oplossing', microsoft zal de voor en nadelen echt wel tegen elkaar afgewogen hebben.... Misschien zal 1 op de 100 windows gebruikers raw sockets nodig vinden, lekker belangrijk voor microsoft dus.
Reken eerst maar even uit hoeveel 1 van 100 windows gebruikers op de hele wereld is :D

Een oplossing had kunnen zijn default een firewall ballonnetje op laten komen als een programma voor de eerste keer dat doet (niet echt moeilijk te maken) Maar nogmaals dit had niet in een service pack gemoeten maar in longhorn of Windows More-XP ofzo (apparte versie)
BackSlash32 schreef op 11 augustus 2004 @ 01:40:
[...]

Daar zijn er ook iets meer van.
In een bedrijf is een IT afdeling die SP2 test (of getest heeft) voor deze te implementeren.
(mag ik wel hopen tenminste)
Bij grote bedrijven ongetwijfelt. Ik heb zelf bij Philips stage gelopen en ongetwijfelt zal nu Corporate IT zijn eigen SP2 distribution voor CODE pc's hebben gemaakt, zodat alle door Corporate IT goedgekeurde software pakketten nog werken.

Bij het MKB en onderwijs instellingen ben ik daar minder zeker van. Zeker omdat er simpel weg geen geld is voor een test opstelling, laat staan tijd of een goed beleidsplan voor dat soort zaken.
Nou, zullen we netfilter dan ook maar weglaten uit 2.8? (ervanuitgaande nu 2.6.x dus straks weer 2.8.x, kan ook 3 worden hoor)
Kan ook meer als ipchains in 2.2 kon.
Ik heb in dit topic gepobeert om de vergelijking met linux uit de weg te gaan. Omdat ik realiseer dat ik hier bij WOS zit. En zeker geen Linux vs Windows discussie wil.

Maar om toch even op jou punt in te gaan:
Nee liever niet, hou het er vooral in. Jou vergelijking gaat helemaal krom. Teneerste zat er niet zomaar in 1x in een minor versie een firewall (bijvoorbeeld in 2.2.2 niet en 2.2.3 een maand later wel)
Ten tweede word deze pas geactiviteerd wanneer jij op de console of doormiddel van een rc script (tijdens het opstarten) regels (die jij bepaald) toevoegd wat wel en niet doorgelaten mag worden.
Dit kan dus geimplementeerd worden wanneer jij het wil.
Again, secure by default. het staat nu (eindelijk!) standaard aan, maar jij als gevorderde user kan het uitzetten.
En nog een keer graag, geweldig, maar niet in een servicepack

[...]
Oh? Vind je het erg als ik het niet met je eens ben?
Nee vind ik absoluut niet erg. Maar graag wel een toelichting. bij XP SP2 zitten alleen maar .adm files (policy templates) voor group policies en niet voor poledit (win NT). En sinds Samba 3 alleen als NT4 PDC/BDC kan spelen of als active directory member server kan worden neergezet, ben ik benieuwd hoe jij dat wil doen. En kom niet aan met reg bestanden, want dat werkt niet snel, en is moeilijk beheerbaar.

woensdag 11 augustus 2004 09:30

Acties:
  • elevator
  • Registratie: December 2001
  • Niet online

elevator

Officieel moto fan :)

PenguinPower schreef op 11 augustus 2004 @ 01:27:
Bovendien kan elke ITer bevestigen dat het een verkeerde oplossing is voor een probleem. Microsoft perkt de mogelijkheden van de klant in op een beveiligingslaag die je onwille van compatibiliteit helemaal niet zulke radicale dingen kunt doen.
"Elke ITer" kan dit helemaal niet bevestigen, enkel in dit topic lopen al een boel IT'ers rond met een boel ervaring die jouw standpunt helemaal niet bevestigen.

Het beperken van compatibiliteit is natuurlijk altijd een heikel punt, niet voor niets dat Microsoft een grootschalige inlichtings campagne heeft gehouden (wie in de IT wist niet dat SP2 er aan kwam? Dan moet je echt wel onder een steen geleefd hebben), tot 2 maal toe een release candidate heeft uitgebracht, een heleboel informatie heeft gepubliceerd, en meer.

Je moet echter op een gegeven moment als markt en technologisch leider in de IT ook de stap durven maken om compatibiliteit te breken als je de gevolgen kan overzien en je voldoende informeert en de compatibiliteis problemen tot een redelijkheid beperkt zullen blijven, en ik ben blij dat ze deze stap hebben durven nemen.
Sorry, ik had dit idd beter moeten onderbouwen.
Alleen al een functie zoals de firewall (Ja die bestond al jah, maar deze is zo uitgebouwd dat er niets meer van de oude is overgebleven.) is al zo'n grote stap die niet een service pack thuis hoort.
Wie bepaalt dat dan - wat er wel en niet in een servicepack thuis hoort? :) Precies, dat is de consument.

De consument vraagt aan Microsoft - geef ons een Windows die veiliger is, en Microsoft speelt daar op in (zoals elk mark gericht bedrijf als Microsoft zou doen) en integreert dus inderdaad een sterk verbeterde firewall in Windwos XP uit.

Zeg nou zelf - welke consument zou een upgrade betalen aan Microsoft enkel voor een firewall? Welke van die consumenten zal wel braaf Service Pack 2 installeren? Dat is toch pure winst? :)
Het zelfde geld voor DEP. Dat had gewoon een optionele addon moeten zijn die je kon downloaden van de ms site.
Wederom - hoeveel consumenten zouden weten wat DEP is? En de mensen die het wel weten, zouden die niet alleen maar geirriteerd raken dat dat standaard niet in Windows zit?

Ik als IT'er in ieder geval wel :)
Bovendien worden er opeens een hoop dingen standaard veranderd. Zonder dat ik als gebruiker daarmee geconfronteerd wordt.
Dat is wel erg vaag :)
Als ze alleen maar een expert functie hadden gemaakt, waarbij alle instellingen behouden konden blijven dan had ik SP2 veel meer kunnen waarderen.
Die is er en dat is de group policy :)
Behalve als je zelf er eentje bent. :D
Daar komt nog eens bij dat ik niet graag in jou schoenen zou staan elevator. Heb je de FAQ al aangepast? Want gegarandeerd dat je dadelijk een hoop vragen gaat krijgen in de vorm van: Ik heb net mijn systeem geupgrade met een AMD 64 processor en nu werkt mijn programma X niet meer.
Dus programma's die in 'data' geheugen, code gaan uitvoeren komen héél veel voor? :) Zeker programma's die "vergeten" deze datasegmenten als "executable" te markeren? :)

Ik zeg niet dat ze niet voor zullen komen, dat zijn echter gewoon slecht ontwikkelde applicaties en je kan je daar als technologisch en markt leider met een focus op security niet door tegen laten houden in dit geval :)
Maar het probleem is, elke IT afdeling in nederland die windows XP clients draait alleen maar Samba 3 of NT servers, kunnen geen SP2 uitrollen. Ja of op elke client handmatig gaan aflopen |:(
:o ?
Wat zeg je nou toch?
Volgens jou is er in Nederland geen enkele IT afdeling die Windows 2000 of Windows 2003 Servers draait?
Beiden hebben native XP ondersteuning (XP heeft zelfs een ingebouwde telnet SERVER!!) en alleen aan WebDAV wordt wat gedaan. (deze zin was niet mijn punt, maar meer een constatering tussendoor)
Telnet stuurt dan ook niet ongevraagd het passwoord in world-readable formaat door - iets wat HTTP authenticatie wel doet :)
Wat er gedaan had moeten worden is als EERSTE de WebDAV servers (een voorbeeld daarvan is de FrontPage extensies die via webdav geupload worden) default anders ingesteld had moeten worden. Namelijk zonder basic authentication.
Jij snapt het probleem niet. Ik stel voor dat je het Microsoft document hierover nogmaals leest, dan zie je dat jouw oplossing zinloos is. (tip: malicious WebDAV servers buiten controle van de admin).
Omdat mensen uit Redmond een uit beveiligingsoogpunt een beslissing hebben genomen waar de wereld nog niet klaar voor is en bovendien op jou computer zonder jou medeweten is geimplementeerd en daardoor niet meer compatible bent met het WebDav protocol wat de server van de organisatie met jou computer spreekt. :D
Dat lijkt me een leugen. De documentatie, release notes en dergelijke zijn in grote overvloed aanwezig.

Zonder jouw medeweten? Tja .. als je het niet wil weten misschien :)

woensdag 11 augustus 2004 11:10

Acties:

Verwijderd

Maar eigenlijks is microsoft nu bezig zijn eigen graf te graven, de vrijheid die windows op dit moment geeft gaat zowel verloren. Je kan je eigen keuzes niet meer maken, dat doen zij wel voor je!

Op de korte termijn gaat dit nog wel werken, maar in de toekomst is dit echt geen optie meer.
lol, je hebt nog net zoveel vrijheid hoor. je zal alleen er nu iets beter je best voor moeten doen wil je hetzelfde kunnen EN dat is een goede zaak.

ik ben er overigens van overtuigd dat als je een complete noob een verse default install geeft, dat hij niet eens merkt dat tie niet hetzelfde kan als met een sp1 install. Zijn webdailers staan er in mum van tijd toch weer op...

woensdag 11 augustus 2004 11:32

Acties:
  • Wilke
  • Registratie: December 2000
  • Laatst online: 15:29

Wilke

Zelf vind ik de keuzes die je hier noemt geen verkeerde ontwerpbeslissingen: ze maken het besturingssysteem namelijk 'by default' een beetje veiliger. Als je dat niet wilt en de extra functionaliteit nodig hebt, kun je die gewoon weer inschakelen.

Zo zal 90% van de bedrijven zo klein zijn dat ze alle systemen in 1 subnet hebben, en daar wordt het dus ietsje veiliger doordat je niet meer zo makkelijk van buiten het subnet kunt file/printer-browsen. Juist die kleine bedrijven hebben vaak geen idee van beveiliging en ook niet genoeg geld en computers om daar iemand apart voor in dienst te hebben.

Grote bedrijven die hier problemen mee hebben, hebben toch zat technische staf die dit soort dingen gewoon begrijpen en kunnen veranderen als ze dat willen.

offtopic:
Neemt niet weg dat het irritant is als jij diegene bent bij dat grote bedrijf, en nu weer kunt gaan zitten uitzoeken hoe en waarom alles veranderd is ;)

[ Voor 10% gewijzigd door Wilke op 11-08-2004 11:33 ]

woensdag 11 augustus 2004 12:09

Acties:
  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

PenguinPower schreef op 11 augustus 2004 @ 02:25:
Een oplossing had kunnen zijn default een firewall ballonnetje op laten komen als een programma voor de eerste keer dat doet (niet echt moeilijk te maken) Maar nogmaals dit had niet in een service pack gemoeten maar in longhorn of Windows More-XP ofzo (apparte versie)
Oeh, eng. *klik* weg.
Zie?
Nee liever niet, hou het er vooral in. Jou vergelijking gaat helemaal krom. Teneerste zat er niet zomaar in 1x in een minor versie een firewall (bijvoorbeeld in 2.2.2 niet en 2.2.3 een maand later wel)
Ten tweede word deze pas geactiviteerd wanneer jij op de console of doormiddel van een rc script (tijdens het opstarten) regels (die jij bepaald) toevoegd wat wel en niet doorgelaten mag worden.
Dit kan dus geimplementeerd worden wanneer jij het wil.
Wat is het wezenlijke verschil met de Windows FW dan (behalve dat ie default aan staat als je je unattended setup netfw.inf niet aanpast)?

Die kan ik gewoon aan en uitzetten.
Nee vind ik absoluut niet erg. Maar graag wel een toelichting. bij XP SP2 zitten alleen maar .adm files (policy templates) voor group policies en niet voor poledit (win NT). En sinds Samba 3 alleen als NT4 PDC/BDC kan spelen of als active directory member server kan worden neergezet, ben ik benieuwd hoe jij dat wil doen. En kom niet aan met reg bestanden, want dat werkt niet snel, en is moeilijk beheerbaar.
Dude, dat was al bij Windows 2000 zo.
En als je een samba doos als AD memberserver hebt... wat heb je dan? Oh ja.. een AD :+

[offtopic]
Poledit is toch wel de meest ranzige tool met al die tattoo'ed registry changes.
Ooit wel eens policies met poledit gemaakt moeten reversen?

[ Voor 16% gewijzigd door alt-92 op 11-08-2004 12:16 ]

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

woensdag 11 augustus 2004 14:33

Acties:

Verwijderd

TS,

Al jaren zeikt de voltallige *nix community dat Windows een onveilig stuk ellende is wat het hele Web in gevaar brengt. Volkomen terecht.
Daar wordt nu eindelijk eens iets aan gedaan. Als jij dat persoonlijk "lastig" vind, of je vind dat dat wel anders had gekund, prima, maar het moet wél gebeuren en op dit moment zijn dit de enige werkende oplossingen. Nee, niet alles is netjes (rate limited TCP/IP is wel enorm klote voor simmige toepassingen ja) maar het is wél veilig én je kan bijna alles uitgooien.

Volgens mij gaat deze discussie er over of dingen wel of niet in een servicepack moeten, meer dan over of wat gewijzigd is goed is.
Service Packs zijn volgens Novell bijvoorbeeld inderdaad een collectie van patches fixes en updates. Ook veel Linux distributeurs hebben deze mening over Service Packs.
In dit geval MS ook. Ze updaten hun software ermee. Zijnde Windows, Mediaplayer, de ICF, en allerlij andere subcomponenten van Windows. En dat hoort dus wél in het Windows XP Servicepack, want wat geupdate wordt is óók deel van Windows XP, of in elk geval geweest toen Windows XP in de winkel gezet werd.
Dat JIJ dat vervolgens als losse patches wilde hebben, en dat je dat "opgekropte woede" oplevert, dat is natuurlijk niet tekenend voor de stand van zaken bij welke meerderheid dan ook.
"Elke ITer" daar ben ik er één van, en met mij nog een paar duizend MSCE-ers, en velen zijn dolblij dat er eindelijk een keer beveiliging in het OS komt. Als Windows beheerder weet je dat je altijd te maken hebt met thuisgebruiker-proofing en dat het nooit zo zal zijn dat men er van uit gaat dat de gebruiker slim genoeg is om een systeem te beheren. Terecht, Windows users zijn grotendeels dumbasses. En dus moet een security servicepack zo vol zitten met security als het maar kan.

woensdag 11 augustus 2004 14:59

Acties:
  • The Lord
  • Registratie: November 1999
  • Laatst online: 15:32

The Lord

NT4 is EOL en momenteel gelimeteerd kwa ondersteuning. Eind dit jaar helemaal geen support meer; tenzij je een hele grote dikke buidel hebt.

Lijkt me absoluut niet relevant dat beveiligings wijzigingen in XP SP2 afgerekent worden t.o.v. verloren funtionaliteit in een NT4 netwerk.

Ja, ik weet, er zijn nu eenmaal een aantal produkten die niet op iets anders dan NT4 draaien. Heb er ook last van; althans de applicatie eigenaar. Die heeft een produkt keuze gemaakt zonder IT Architecture om een beoordeling te vragen. Jammer; weinig support, geen SLA en zeer beperkte mogelijkheden om de aaplicatie te gebruiken (dedicated werkstation in afgeschermd netwerk).

geeft geen inhoudelijke reacties meer

woensdag 11 augustus 2004 14:59

Acties:

Verwijderd

Als je het mij vraagt zitten er meer haken dan ogen aan SP2, ik zie daarom ook totaal geen reden het te installen en al helemaal niet in m'n bedrijfsnetwerk! |:(
Ik blijf erbij dat win2000SP4 nog steeds superstabiel draait (voor een bedrijfs-pc that is). O-)

Wat betreft mn pc thuis....die draait ook prima met alle patches, heb ook helemaal geen zin in dat gedoe om alles weer opnieuw te moeten instellen enzo...er gaat altijd wel wat fout met zo'n installatie :/
Mijn motto is gewoon "don't fix it if ain't broken" ;) Ut draait toch?

Edit:: Oja...en wat betreft die veiligheid en dat andere hoog van de toren-blaas-gezeik; 'men' vind toch wel weer een andere manier om in te breken, wat MS ook doet, het houdt niet op, SP2 of niet.... :Z

[ Voor 19% gewijzigd door Verwijderd op 11-08-2004 15:24 ]

woensdag 11 augustus 2004 15:07

Acties:
  • wildhagen
  • Registratie: Juni 1999
  • Niet online

wildhagen

Blablabla

Verwijderd schreef op 11 augustus 2004 @ 14:59:

Mijn motto is gewoon "don't fix it if ain't broken" ;) Ut draait toch?
Maar waarom ben je dan ooit van DOS 1.x afgestapt? Die draaide toch ook? Je spreekt jezelf een beetje tegen...

Virussen? Scan ze hier!

woensdag 11 augustus 2004 15:13

Acties:

Verwijderd

Yep, en da's precies de reden waarom heel veel (vooral maar niet alleen) thuis pc's achter lopen met patches.

Zeker met Windows is het helaas zo":Ïf it ain't broke, just wait, it will, you bet it will!"

woensdag 11 augustus 2004 15:25

Acties:

Verwijderd

wildhagen schreef op 11 augustus 2004 @ 15:07:
[...]


Maar waarom ben je dan ooit van DOS 1.x afgestapt? Die draaide toch ook? Je spreekt jezelf een beetje tegen...
Zucht...das wel een erge flauwe dude :Z

woensdag 11 augustus 2004 15:26

Acties:
  • wildhagen
  • Registratie: Juni 1999
  • Niet online

wildhagen

Blablabla

Verwijderd schreef op 11 augustus 2004 @ 15:25:
[...]


Zucht...das wel een erge flauwe dude :Z
Eh... nee hoor, 'dude'. Ik redeneer volgens je eigen (!) redenatie, dan moet je niet naar mij gooien met smilies, maar naar jezelf.

En nu weer on-topic.

Virussen? Scan ze hier!

woensdag 11 augustus 2004 15:55

Acties:

Verwijderd

wildhagen schreef op 11 augustus 2004 @ 15:26:
[...]

Eh... nee hoor, 'dude'. Ik redeneer volgens je eigen (!) redenatie, dan moet je niet naar mij gooien met smilies, maar naar jezelf.

En nu weer on-topic.
Euh...de topic gaat toch over SP2? Daar redeneer ik toch ook naar, snap niet waar ik mezelf precies tegenspreek eigenlijk?

[Off]
En wat betreft je opmerking over DOS 1.x...Er zit wel een heel verschil of ik overstap van DOS naar win3.1, niet? We hadden het hier over SP's.

woensdag 11 augustus 2004 16:06

Acties:
  • Voutloos
  • Registratie: Januari 2002
  • Niet online

Voutloos

Frahes, dat motto is wel leuk en ik geloof er ook wel in (een noob hoeft echt geen bios update te doen als hij geen problemen heeft en de op een na oudste versie heeft).

Maar hier ligt het toch wat anders. De realiteit is gewoon dat er een aantal veiligheidsproblemen zitten. Er valt dus wél wat te fixen.
En op een gegeven moment zullen er patches komen die een geïnstalleerde SP2 vereisen en op dat punt kan jij je windows niet meer zo veilig mogelijk houden.

En zo'n gedoe is het heus niet qua instellingen, afgezien van de MS Firewall hoef je volgens mij niets echt te veranderen. Een beetje moeite doen om software up to date te houden is wellicht een minder zware last dan data kwijtraken, of de last die andere mensen van je ondervinden als je pc misbruikt wordt voor een ddos (bijvoorbeeld).

Dat motto gaat imo gewoon minder op met software. Patchen brengt minder risico's met zich mee dan firmwares flashen en nieuwe drivers willen vaak voor performanceverbeteringen zorgen.

[ Voor 11% gewijzigd door Voutloos op 11-08-2004 16:12 ]

{signature}

Pagina: 1
Reageer