Windows nur in VMs

Jeder normalsinnige Mensch setzt Windows nur in einer VM ein. Das Ding ist und bleibt das größte Sicherheitsrisiko der IT.

Da kann ich dir nur Zustimmen! Endlich einer, der das ganze genauso sieht wie ich.

So ein Quak. Nur wer sein System nicht absichert hat ein Problem.

Die Sprüche von M$ sind bei jeder neuen Windowsversion dieselben: Das sicherste Betriebssystem aller Zeiten, bla bla. Tauchen dann erste massive Lücken auf, rudern sie noch herum und versuchen herunterzuspielen. Nach den ersten richtigen Massenhacks werden sie dann merklich ruhiger, spielen aber immer noch herunter. SO war das bei 2000, XP, Vista. 7 befindet sich noch am Anfang, da geht es jetzt los.
Dieser Remote-Reset ist schon ein Hammer. Weniger bei normalen PC, aber wenn beim Server die laufenden Applikationen hart gestoppt werden, kann es extrem übel ausgehen. Die Booterei der Windows-Server nach dem Patchday reicht schon für Blutdruck 200 am Freitag, u.a. weil die Installationen schon regelrecht kaputtgepatcht wurden! I hasse es. Schöner Gruß auch an "So Nie"!

Und wie sicherst du dein Windows gegen Sicherheitsluecken ab, die wie hier monate- oder gar jahrelang nicht korrigiert werden? Etwa mit der Windows-Firewall?

Die Absicherung der meisten Firmennetzwerke geschieht seit vielen Jahren duch mehrere Huerden, bei denen in aller Regel Unix/Linux eine zentrale Rolle spielt. Auch auf den allermeisten DSL-Routern laeuft ein Busybox-Linux, meist mit eingebauter und sehr guter Firewall.

Alle Systeme haben eine kaum schaetzbare Anzahl an Sicherheitsluecken, aber bei Windows koennen die nur durch QA seitens M$ oder aktive Exploits gefunden werden und M$ braucht auch fuer die Korrektur mit Abstand am laengsten, wenn man die vier wichtigsten OSes miteinander vergleicht.

Der Kommunist schrieb:
--------------------------------------------------------------------------------
> Und wie sicherst du dein Windows gegen Sicherheitsluecken ab, die wie hier
> monate- oder gar jahrelang nicht korrigiert werden?

"die wie hier monatelang nicht korrigiert wurden"? Das ist erst wenige Tage her du Pfeife.

Hier geht es um einen DoS, da hilft eine VM überhaupt nichts.

Ein DoS ist für den Ottonormalverbraucher sowieso kein reales Problem. Es ist keine Sicherheitslücke, es führt im Extremfall zu einem vorübergehend nicht erreichbaren Dienst.

Wer einen Server direkt am Internet betreibt hat sowieso vorgeschaltete Router, die sowas mildern oder verhindern sollten.

Router und dedizierte Firewalls auf denen ein Linux läuft. Sag ich doch: egal was du tust, lass das Windows nie direkt ans Netz, pack ein Unix drunter auf derselben Maschine oder ein Linux ans Intranet-Nadelöhr. Alles _ANDERE_ ist ignoranter Unsinn!!!

Pwned schrieb:
--------------------------------------------------------------------------------
> Dieser Remote-Reset ist schon ein Hammer. Weniger bei normalen PC, aber
> wenn beim Server die laufenden Applikationen hart gestoppt werden, kann es
> extrem übel ausgehen.

Wenn durch eine Lücke im SMB Protokoll der Root Server abschmiert hat der Admin Mist gebaut - SMB gehört ins interne Netz und hat mit dem Internet keine Verbindung zu haben.
Falls dass doch der Fall ist und SMB auf dem Root im Rechenzentrum läuft hat man sicher andere Probleme als diese - im Vergleich - jämmerliche DoS Lücke.

Dem OP ging es glaube ich nicht um diese spezielle Sicherheitslücke sondern um Windows allgemein. Und er hat 100% Recht. Wir haben Windows wo immer möglich durch UNIX oder Linux ersetzt und die paar Dienste, die nicht schnell ersetzt werden können, laufen in einer VM.
Windows als Hauptbetriebssystem in der Unternehmens-IT? Das war mal eine kurze Phase in der IT-Geschichte von kleineren Unternehmen und die ist jetzt vorbei.

windowsverabschieder schrieb:

> Windows als Hauptbetriebssystem in der Unternehmens-IT? Das war mal eine
> kurze Phase in der IT-Geschichte von kleineren Unternehmen und die ist
> jetzt vorbei.

Haha. Selten so einen Schwachsinn gelesen.
Welches große Unternehmen setzt denn bitte auf Linux - bis auf mehr oder weniger traditionelle Linux Unterstützer wie IBM?

Und dennoch hat er recht. Das ist ja nicht die einzigste Lücke. Das Problem bei Windows ist ja nicht unbedingt dass das es Lücken hat. Die haben anderer Betriebsysteme auch. Sondern das die Fehler in zu vielen Fällen nicht Zeitnah korrigiert werden.

Ein Sicherheitsloch mit dem man ein System still legen kann muss schnellstens korrigiert werden und der Patch gleich veröffentlich werden und nicht erst zur nächsten Patchday Runde.

Das ist der größte Hacken bei Windows. Das und das man zwangsweise einen Computeradministrator anlegen muss, der dann auch noch gleich Passwortabfragefrei einlogt.

Der Kommunist schrieb:
--------------------------------------------------------------------------------
> Und wie sicherst du dein Windows gegen Sicherheitsluecken ab, die wie hier
> monate- oder gar jahrelang nicht korrigiert werden? Etwa mit der
> Windows-Firewall?

Was spricht gegen die Windows-Firewall?

Tingelchen schrieb:

> Ein Sicherheitsloch mit dem man ein System still legen kann muss
> schnellstens korrigiert werden und der Patch gleich veröffentlich werden
> und nicht erst zur nächsten Patchday Runde.

Naja, Distributoren brauchen auch oft ewig, bis ein Patch wirklich in die Repositories kommt.
Bei Microsoft ist man auch noch mehr Testzyklen ausgesetzt - es ist eben nicht ein System das von einer Hand voll Leuten benutzt wird.
Davon abgesehen werden bekannte vor allem kritische Sicherheitslücken auch mal außerhalb der Patchdays veröffentlicht.
Für Administratoren hat es jedenfalls Vorteile Planungssicher zu handeln.


Ein Server der SMB nach außen offen hat ist sowieso SEHR suspekt.

Naja... mehr als du denkst. Es ist auch kompletter Unsinn kein Linux zu nutzen. Linux ist schlank, stabil, sicher, kostenlos in der Anschaffung, leicht wartbar und bietet ein reiches Arsenal an Services.

Bis auf diverse spezielle Services die evtl. ein spezielles System verlangen oder besondere Gegebenheiten ist Linux immer eine gute Wahl, wenn es um Server-Systeme geht. Insbesondere bei kleinen und mittelständischen Unternehmen.

Windows-Server dagegen sind immer die schlechteste Wahl die man treffen kann und stehen damit an letzter Stelle. Und das liegt nicht nur an den überhöhten Anschaffungskosten.

1) Ein Client hat keine Firewall zu brauchen.
2) Für ein Server-System ist sie ungeeignet.

Diese Planung ist bei Windows-Servern allerdings auch nötig. Da man es bei jedem Mist neu starten muss. Eine typische Windows-Krankheit die sie wohl nie wegbekommen werden.

Aber ja... es gibt Linux Distributionen die sich wirklich viel Zeit lassen.

Tingelchen schrieb:
--------------------------------------------------------------------------------
> 1) Ein Client hat keine Firewall zu brauchen.

Warum nicht?

> 2) Für ein Server-System ist sie ungeeignet.

Hast du dafür auch ein Argument?

Soll man daraus schließen, dass iptables und ipf auch nicht zu gebrauchen sind?

Tingelchen schrieb:

> Windows-Server dagegen sind immer die schlechteste Wahl die man treffen
> kann und stehen damit an letzter Stelle. Und das liegt nicht nur an den
> überhöhten Anschaffungskosten.

Genau! Für einen Exchange Server ist Windows natürlich die schlechteste Wahl und die Domänenverwaltung macht man besser auch mit Samba.

Windows hat als Server genauso seine Daseinsberechtigung wie Linux, oder wenn man ein wirklich gutes skalierbares System will Solaris (was ich übrigens fast in allen Fällen Linux vorziehen würde für einen Server).

Tingelchen schrieb:
> Windows-Server dagegen sind immer die schlechteste Wahl die man treffen
> kann und stehen damit an letzter Stelle. Und das liegt nicht nur an den
> überhöhten Anschaffungskosten.

Was für ein Unsinn. Aber diese Aussage ist typisch für Leute, die zwar gerne damit prahlen, eine Linux-Distribution zu kennen und sogar installieren zu können, von IT aber ansonsten nur begrenzte Ahnung haben. Was genau verstehst du denn unter einem Server? Webserver, Fileserver, Proxy, Mailserver? Gut, dafür würde ich sicherlich auch lieber Linux, BSD, Solaris o.ä. wählen. Aber was machst du, wenn du eine Windows-Domäne brauchst? Klar, kann man mit Samba nachbasteln. Die Frage ist aber, ob der administrative Aufwand tatsächlich im Verhältnis zur eingesparten Lizenz steht und ob tatsächlich alles so funktioniert, wie es sollte. Und kommt mir nicht mit "Windows braucht man im Unternehmen eh nicht." Es gibt jede Menge Software - vor allem branchenspezifische - die nun mal nur unter Windows verfügbar ist. Auch solche Software arbeitet durchaus mit einem Server - da ist nix mit mal eben Linux installieren. Auch scheinst du zu glauben, dass in einem Unternehmen einfach so ein Server dasteht und gut ist. Aber sogar in unserer kleinen Firma laufen verschiedene Systeme je nach Anwendungszweck. Ein Redaktionssystem unter Windows und einem Server unter Windows, Mailserver unter Linux, und die Grafiker arbeiten mit Macs.