Druhý servisní balíček pro Windows XP je zde

nLite 0.98.6 - Reduce, speed up and secure Windows. Ja ho pouzil je skvelej.

Nerekl jsem ze to nejde. Ono to jde, ale existuji nektere sluzby ktere proste musi byt spusteny nejdriv, s tim nikdo nehne. Myslim ze tohle je obdobne i ve svete *nixu. Nedavno se resil nabeh firewallu v OpenBSD. Diskuze byly take vice nez zajimave predevsim kdyz se prislo na to ze sitove sluzby jsou zavedene take jeste pred FW, uplnemu "odkryti" OS brani jakysi "filtr", ktery to resi. A velmi podobnym zpusobem to resi i firewall ve Windows XP SP2, kde dochazi k vyuziti IPSec filtru.

takze kdyz pouz.w2k a kerio misto MS fw,tak sem nahranej a neudelam s tim nic, chapu to spravne???

Ano chapes spravne, ale neni to neresitelny problem. Pokud vim z komercnich firewallu funkci "vcasneho" nabehu podporuje Sygate Pro. Takze resit se to da. Spis jde o to jak se k problemu dany vyrobce FW postavi. ZoneLabs i Kerio zklamalo.

Akorat ze Kerio nabiha podle me taky vcas (jeste pred logovacim oknem ve W2K), nevim sice, jestli a v jake mire uz bezi sit, ale rekl bych, ze to maji vyresene

Nemaji, otestovano

mam kerio a kdyz najedou XP tak jeste nez se obevi okno s nalogovanim tak se te zepta zda povolit pripojovani zarizeni (sitovka) do site xxx.xxx.xxx.xxx... takze z meho pohledu najizdi driv nez sit.

Tak si vem druhy pocitac, propoj ho s tim kde ti bezi Kerio do site. A zkus Kerio bombardovat obycejnym pingem. Pokud zadosti nastavis dostatecne rychle mezi sebou, dostanes odpovedi. Takze FW proste nefunguje. Bohuzel je to tak.

Muj dojem ze stranek beta sekce Keria je, ze pristi verze (4.1) KPF problem vyresi.

asi mas pravdu..

"nízkoúrovňový ovladač KPF kernel driver chrání počítač, i když služba Personal Firewall Engine neběží "

Ovšem, ale za to MS nemůže, že máš blbej FW. To je jako kdybys chtěl používat Apache místo IIS - taky budeš holt muset leccos oželit (třeba web folder sharing)

ty jsi srandista. komu to chybi...

mno a nebo my vsichni chudacci co musime bohuzel pouzivat Apache misto IIS musime ozelet i spoustu krasnych bezpecnostnich der v MS FP extensions, ach jo tak to asi budu poustet pres Wine IIS misto Apache

V podstate je jedno, ze se nektere sluzby spusteji drive nez firewall, dulezite je, aby byla sitova karta nahozena az po nacteni alespon zakladnich pravidel firewallu. Ja to mam udelane tak, ze ve scriptu, ktery se automaticky spousti tesne PRED nahozenim sitovky mam kompletni nastaveni firewallu. Ma to nevyhodu v tom, ze se clovek musi v tech pravidlech obejit bez ip adresy. Ale take je tam script, ktery se spousti tesne po nahozeni sitovky, takze se daji dat pravidla obsahujici ip adresy do nej. Samozdresjme to nezpusobi nechranenost systemu ani na okamzik, protoze firewall se dela tak, ze se vse defaultne zakaze a pak se selektivne povoluji urcite veci, takze v okamziku mezi nahozenim sitovky a dokoncenim konfigurace firewallu akorat nebudou dostumne zvenci vsechny vymozenosti...

No jestli pak ale neni problem v tom, ze nahazovat pravidla pro neexistujici rozhrani muze byt v OS Win trosku problem. Nevim jak v *nixu tam to asi de, kdyz to pises. Ale u Win se to musi resit trosku odlisne. Nicmene reseni je u obou systemu velmi podobne dochazi k pouziti blokovacich filtru, ktere jsou po nabehnuti firewallu zmeneny za uzivatelem zvolene.

nejlepsi je pri napbehu systemu nastavit vsechny providla na DROP a po nabehu sitovych sluzeb nastavit normalni parametry

Hmm. Tak to asi zavisi na implementaci firewallu. Je fakt, ze poradne znam jen iptables a ty jdou nastavovat nezavisle na (ne)nastaveni site, tzn. pred pridelenim IP adres, nastaveni routovani atd. S ipfw mam v planu si brzy pohrat, tak uvidim.
Btw. "IPSec" filtr je shoda nazvu (s protokolem IPSEC)? Jestli tomu dobre rozumim, onen "filter" je analogii toho, kdybych v subsystemu iproute2 na netfilter hooky do doby, nez tam prijdou iptables, povesil callbacky, co vse zahazujou... Taky reseni, akorat se to bude asi spatne nastavovat pres sit

Firewall, ktery nedovoli Windows sitovou komunikaci aniz je nejprve sam spusten, je Sygate Personal Firewall PRO. Upozornuji, umi to jen verze PRO, a v "nastaveni" se to zapina.

Omlouvám se za hloupou otázku - která položka v nastavení Sygate to přesně je?
Díky.

V "Options", karta "Security", zatrhnout " Block all traffic while the service is not loadet".

Díky moc!

Proč bys to chápal, když si nechápavej. Windows udržujou pořadí závislostí služeb. Pokud běh jedný služby závisí na druhý, není možný, aby uživatel spustil napřed tu první. V Linuxu zřejmě ano, a pak se všichni divěj, proč má tak nevychytanou konfiguraci.

tot otazka... umoznuje to daleko flexibilnejsi konfiguraci, ale clovek musi vedet co dela... a navic tech zavislosti je jenom par... jako treba ze synchronizace casu se musi udelat az po nastaveni sitovky a podobne... ale drtive vetsine sluzeb je to uplne jedno v jakem poradi se spusteji...

V Linuxu si muzete vybrat - ruzne distribucek tomu pristupuji ruzne - bud cislovanim sluzeb (s nejakou jednotnou konvenci ala chkconfig) nebo automatickymi zavislostmi (napr. Gentoo).
S rizikem male flexibiity je to fakt. Pak se totiz muze stat, ze pri restartu sluzby A, na niz zavisi X, Y, Z se naprosto zbytecne X, Y a Z restartuji taky.

Pokud je nejaka sluzba zavila na jine, muzes se treba stavet na hlavu, ale tu sluzbu proste driv nespustis. Podobne je to ve Windows.
Pokud mas sluzbu, ktera neni na nicem zavisla, muzes ji spustit klidne jako prvni.

Dost zalezi na tom, co myslis tim "byt zavisla" (lisi se to v zavislosti na distribuci). Sluzba httpd muze byt deklarovana jako zavisla na siti, proto se v ramci init levelu spusti sit driv - ale rucne muzu apache spustit bez site, ani se na hlavu stavet nemusim...

Sluzba se to jmenuje podle toho, ze ten program poskytuje ostatnim nejake sluzby. Pokud je nejaka sluzba zavisla na jine, myslim tim takovou zavislost, ze bez spusteni te predchozi bezet nemuze.
Ja jsem pres Windows, takze uvedu pliklad pro Windows. Pokud bude nejaka sluzba zavisla na sluzbach COM+, musi se pred ni spustit COM+. Bez toho proste nepojede.

Ano mas pravdu, ale kazda minca ma dve strany mince :
- doma na domacom pocitaci mi bezi linux (ako jediny OS uz asi 6 rokov a nedam nan dopustit. takisto co sa tyka hier, zatial kazdu hru ktora bol pod win som rozbehal aj pod linuxom, dokonca by som povedal ze na rovnakom HW ide "sviznejsie" a co sa tyka ceny je to neporovnatelne, stiahnes si vyvojovu verziu, ktora je vacsinou free plus kupis datadisk a mas noviku za tretinovu cenu. A mozes parit . Takisto co sa tyka podpory HW, no proste parada - fakt.
- na firemnom notebooku - ktory ma zivi jednoducho nie je mozne linux rozbehat. Pardon je, ale ja som v tomto puntickar a ked mi napr. blbne acpi alebo speed step a zatial tento stroj nie je oficialne podporovany a patche nefunguju - bohuzial, radsej slapem na win. Pri tomto stroji mam 100% istotu ze na tomto OS pojde vsetko co potrebujem a ako chcem. Presne tak ako na domacom kde mam linux. Mozno by som to nakoniec navela po dlhom studovani spravil, ale jednoducho cas su peniaze a nemozem si to dovolit ...
Proste potrebujem masinu ktora je na 100% funkcna a robi to co potrebujem. Ak to nezvladne jeden OS automaticky nastupuje u mna na scenu druhy. A je jedno ci linux vymenim za win alebo win za linux. Co sa tyka kvality linuxu mam taku skusenost ze na klasicky desktop jedine on, ale presne naopak co sa tyka notebookov zase jedine windows.

tuhle moznost sem taky zkousel,resp.sem hledal primo nejakej prikaz,kterej by se snadno po nabehnuti vykonal a pred ukonceni jakbysmed. nevite jakej prikaz to je(-tj.na disable/enable site), nebo neco abych to nemusel delat rucne anebo pres nejakeho mouseghosta.
diky

jedině manuálně, ale myslím, že jde jen o zvyk. Pokud Ti běží PC delší dobu nebo celý den, tak se na to dá zvyknout. Myslím ale , že prodleva mezi aktivací sítě po nábehu oken a aktivaci FW není u většiny služných programů nijak dramatická. Záleží samozřejmě, jaké aplikace se Ti se startem oken spouští, FW samozřejmě nemusí bát první v pořádí a tam pak nastává problém s delší časovou prodlevou. Já používám Kerio a antivir NOD32. Modul IMON v nové beta verzi obsahuje HTTP scanner, tedˇcituji: "HTTP scanner v module IMON slúži na kontrolu HTTP komunikácie medzi prehliadačom a HTTP serverom. HTTP scanner môže pracovať v dvoch režimoch. Tieto režimy je možné nastaviť pre každú aplikáciu používajúcu HTTP protokol samostatne".
Kromě toho pro spyware mám nainstalován Spyware Blaster a Spyware Guard a minimálně 1x za dva týdny skenuji špínu Ad-awarem. Z FW nám dostupných je asi Kerio nejlepší, pak ještě Sygate Pro (ten jediný blokuje síťová připojení před aktivací samotného FW- není to ale freeware). Dříve jse používal i německý Antivir Personal, ale ve free verze se mi aktualizace virové databáze zdála dost nedostatečná.

jestli si pod "HTTP komunikaci" mam predstavit komunikaci mezi mnou (mym pocitacem) a cimkoliv, co v internetu bezi na portu 80, tak IMON nedokaze zabranit utokum zvenci na muj pocitac (resp dokaze filtrovat jenom skripty, ktere mi poslal nekdo z portu 80) a z hlediska zabezpeceni je bezcenny.

Jinak: pomohl by, kdyby mi na pocitaci bezel nejaky trojan, kteremu bych povolil komunikovat pres TCP na port 80.

Chapu to spravne?

doporučuji návštěvu www.nod32.cz

jinak jako uživatel NOD32 Tě mohu informovat, že IMON detekuje HTTP komunikaci na jakémkoliv portu.

nejenom, ze je to kostrbate, ale i nedostacujici (aspon pro me).
Tohle totiz neresi pripad nekorektniho vypnuti systemu (vypadek elektriny, zatuhnuti systemu - tvrdy restart, apod) - nedojde k odpojeni "pripojeni k internetu".

Přečti si příspěvek od Wifista a máš to vyřešeno "hardwarově".

zcela "teoreticky" priklad z zeivota - mam (teda mohl bych met) ciste nainstalovane XP a jak ziskat zaplaty, aby se mi behem stahovani nezaviroval (nezacervil) pocitac? kdyz windows update je na internetu a hypoteticke utoky pujdou z internetu....

Tento příklad ze života znám - po instalaci XP stačí zapnout i ten integrovaný firewall a počítač je SPOLEHLIVĚ proti všem Blasterům a Sasserům chráněnej - záplaty můžeš v klidu stáhnout přímo z XP

nebo muzes jit na download stranky MS, stahnout zaplatu a rucne ji nainstalovat. (aspon u zaplat na blastera a sassera by nemel byt problem je najit)

reknete mi rozumny duvod, proc si ale nemuzu stahnout zaplaty z jineho pocitace (dejme tomu bezpecnejsiho - treba s OpenBSD) a aplikovat zaplaty posleze.... ...kdyby byla chyba v tom firewallu a cerv vyuzival ji - tak jste namydleni...

Fór je v tom, že Windows Update je služba, která má oprávnění provádět aktualizaci systému, z kterého byla spuštěna. Takže je zcela logické, že to vyžaduje systém Windows.  Jinak si záplaty můžeš stáhnout z jakéhokoliv systému jako Linux, FreeBSD apod. na disk a pak je spustit na Windows, kde se nainstalují.

mno to chapu... ale kde najdu vsechny ty aktualizace pohromade, kdyz ne na servru windows update? nevim jeste jsem to nikdy nepotreboval... tak radsi nebudu rozumovat... ale docela by me to zajimalo.

Nebude to také tím, že ten systém pracuje přímo s windows (hledá v nich už nainstalované záplaty a přídává do seznamu, ty co chybí)? To by potom na linuxu houby zjistil .

muj hypoteticky problem je ze si treba chci stahnout vsechny zaplaty na ciste XP SP1 (kdybych je teda mel) a pak je v klidu na instalovat (dejme tomu ze je to na pocitace s pomalou linku, typicky modem) a dejme tomu ze mam lepsi pripojeni jenom pres unixove stroje....? kde mam moznost si to vsechno postahovat? osobne me to velmi zajima... ve win svete se pohybuju jen minimalne a tak bych se rad taky neco noveho dozvedel....

...pripade mi to, ze je to zase jedna z ms-featur, ktera se snazi byt chytrejsi nez uzivatel.

semtam jsem to hledal, nikde nic takoveho neni, proste pokud chcete neco od billa tak musite po castech a nejlepe pres "chytre" aplikace jako wupd

no, já když otevřu wupd třeba v opeře, normálně mi to nabídne standardní download, tak myslim, že by to tam nekdě bejt mělo...

chtel jsem si jej spustit ve wine, vole
ne proc bych nemel mit pritup na nektere webove stranky z jakehokoli pocitace?

neni to davno co jsem se chtel na nejakem news podivat na video popravy toho korejce a server mi odpovedel, ze nemam windows, tak jsem v praci vlezl ke stroji s windows a opkovala se podobna hlaska a to ze musim mit IE.

No to bude asi proto ze ten server byl prolezlej cervama a jeho vyznam byl ten, aby ti jich co nejvic prelezlo do systemu A jak jinak nez pres IE, ze? ))

uz jsem si vzpomnel co to bylo za server, je ze stejneho hnizda:
http://msnvideo.msn.com/

'Operating system not supported

MSN Video requires Microsoft Windows® 98, Windows ME,
Windows 2000, or Windows XP.'

PS: toto uz neni windows update, ale normalni zpravy se sveta

1) nedelej ostudu ostatnim uzivatelum Linuxu

2) Je jen a jen veci provozovatele webu, komu tam umozni a neumozni pristup. Pokud se ti to nelibi, muzes si jit stezovat (treba na Lamparnu)

1. nechapu, proc ostudu, v prvnim prispevku jsem neuvedl jaky OS pouzivam, vzdyt muzu klidne jet na OS2/Wapr, MACu, FreeBSD, M$-DOSu a vyjde to na stejno.

2. chetl jsem ukazat, jake praktiky M$ pouziva, nedavno byl znam fakt, ze M$ nejakou stranku umyslne mrsil. pokud detekovany browser nebyl IE, mam dojem, ze to bylo tazeni proti Mozille.

3. stezuju si na lamparne

To se omlouvam, pokud pouzivas neco jineho nez WIn a soucasne neco jineho nez Linux, ale je to ze zvyku ... fora na ziva (a nejen tam) jsou zanesena pubertakama, co si nekde precetli ze ten Linux, a mysli si jak jsou in, kdyz fora zanasej vykrikama ze Linux rulez a ja nevim co se jeste...

no, ale pak není na vině Linux, ale dodavatel

tak jim to tam bez udelat zadarmo, ty chytra hlavo

Hele, bez urážek, buď tak laskav. Asi si každý pamatuje Indoš, taky to šlo udělat levněji. A to ani nemluvím o tom, co to ještě stojí. Teda, chtěl jsem říct, že i dobrá myšlenka může vyjít špatně, když se to vezme za špatný konec...
Mimo to, kdybych jim to šel dělat třeba za darmo, tak by se mi to tisíckrát vrátilo jako velmi dobrá reklama