Windows

Sichere Konfiguration

Sicherheit beginnt schon bevor Windows geladen wird: im BIOS.

Ein häufiger Anwenderfehler ist, im Bios die Viruswarnung abzuschalten. Das ist zwar zum installieren eines Betriebssystems notwendig, muß aber danach wieder aktiviert werden. Diese Einstellung ist so erreichbar:

  • beim hochfahren die ENTFernen-Taste gedr√ľckt halten, bis das Bios-Men√ľ erscheint
  • in den Biosmen√ľs nach der Einstellung “Virus warning” suchen, Meist zu finden unter “Advanced”
  • wenn dort “disable” eingestellt ist, auf “enable” umschalten
  • nicht vergessen die √Ąnderung zu speichern! (save and exit)

Warum denn das?

Sogenannte “Bootviren” k√∂nnten sich im Bios einnisten, wo ein Antivirusprogramm sie weder findet noch beseitigen kann. Schlimmstenfalls k√∂nnten sogar Hardwaresch√§den entstehen. F√ľr den Anwender ein kaum l√∂sbares Problem.

Windows startet....

kommt ein Anmeldebildschirm (bei ‘2000 ein Dialog)  oder erscheint direkt der Desktop?

Dies ist der h√§ufigste Fehler √ľberhaupt. Startet Windows ohne Anmeldung, ist die Maschine gar nicht gesichert: das ist die Setup-Einstellung die man gleich wenns funktioniert √§ndern sollte. Dazu ein wenig Theorie...

Es gibt sogenannte Benutzerkonten, die unterschiedliche Berechtigungen geben. Beim Setup wird automatisch ein Administratorkonto erstellt, und damit gestartet - das ist richtig, da man ja Einstellungen vornehmen will oder muß. Bleibt diese Einstellung aktiv, startet Windows ohne den Schutz eines Benutzernamens + Passworts.

Administratorkonto

Erlaubt s√§mtliche Vorg√§nge, inklusive Installation/Deinstallation. Ein vom Browser oder Emailclient empfangener Virus kann sich m√ľhelos installieren, Hacker k√∂nnten die Kontrolle √ľber die Maschine √ľbernehmen. Pa√üwortschutz erforderlich

Benutzerkonto

Erlaubt alles außer Installation/Deinstallation. Rechte können gezielt ja nach Benutzer vergeben werden, ein Virus gelangt zwar auf die Festplatte, kann sich aber nicht installieren. Paßwortschutz erforderlich

Gastkonto

Erlaubt sehr wenig (Einstellungsabh√§ngig) und sollte unbedingt vorhanden sein, f√ľr den Fall da√ü mal ein Fremder die Maschine benutzen m√∂chte. Pa√üwortschutz nicht erforderlich

Wie vorgehen?

Nach dem Start die Benutzerkontenverwaltung aufrufen (Startmen√ľ, Verwaltung --> Computerverwaltung oder √ľber die Systemsteuerung)

Computerverwaltung, Konten

Screenshot der Benutzerkontenverwaltung

Doppelklicken Sie auf ein vorhandenes Konto, um es zu konfigurieren oder verwenden Sie das Men√ľ “Aktion” um ein neues zu erstellen . Computerverwaltung, Dialog neuer Benutzerschreiben Sie einen Benutzernamen und ein Passwort. F√ľr das Passwort kein wirkliches Wort verwenden! “Adalberts Compi” w√§re gef√§hrlich, ebenso Geburtsdatum, Autokennzeichen, Namen des Haustiers etc.

Ein sicheres Passwort hat 10 Zeichen oder mehr, und ist ein unsinniger Begriff der in keinem W√∂rterbuch zu finden ist und sich nicht erraten l√§√üt wenn man etwas √ľber Sie wei√ü! 

z.B. X10/495c!?-l√∂Vq√Ą

...aber bitte nicht dieses verwenden...das steht im Netz.. Groß/Kleinschreibung verwenden. Mir ist klar daß man anfangs einen Zettel braucht, bis man sich diese Kombi eingeprägt hat. Geht aber schneller als man denkt. Und: Wenns klappt, Zettel vernichten!

Screenshot des Dialogs “neuer Benutzer”

Optionen:

Benutzer mu√ü Kennwort √§ndern: im Privathaushalt unn√∂tig, f√ľr Mehrbenutzerumgebungen in Firmen gedacht

Benutzer kann Kennwort nicht √§ndern: ebenfalls f√ľr Firmen, Admin mu√ü Kennw√∂rter erstellen

Kennwort läuft nie ab: bequemer, aber etwas riskanter. Kennwörter verfallen ohne diese Option automatisch nach einiger Zeit.

Konto ist deaktiviert: siehe Screenshot der Computerverwaltung,  Konten die normalerweise nicht gebraucht werden, kann man deaktivieren. Sie erscheinen dann nicht beim anmelden. (roter Kreis mit Kreuz)

Diese Einstellungen sind nur mit einem Administratorkonto möglich!

- woraus auch klar wird, wenn man mit Adminkonto surft, kann sich ein Hacker alles erlauben. Konten erstellen, deaktivieren, den Benutzer also vom eigenen PC aussperren.

Firewall

warum denn das?

Die Firewall ist Ihr Schutz vor Hackern und Trojanern. Ein Hacker geht so vor: er startet eine Software, die das Netz nach ungesch√ľtzten Computern abklappert. Findet er eine solche Maschine, versucht er darauf einen Trojaner, eine Backdoor zu installieren. Gelingt ihm das, kann er die Kontrolle √ľber Ihren Computer √ľbernehmen.Alles was er dazu braucht, ist ein offener Port (ein ungesch√ľtzter “Eingang” √ľber den er in den PC eindringen kann, um ihn zu mi√übrauchen.

Warnung: wenn das passiert und es wird irgendwo Schaden angerichtet, haftet der PC-Besitzer f√ľr seine Nachl√§ssigkeit. Eine Firewall ist zwingend erforderlich!

Die Firewall hat zwei Aufgaben:

  • sie soll verhindern da√ü Programme das Internet verwenden, denen das nicht erlaubt wurde.
  • sie soll verhindern da√ü jemand von au√üen auf Ihre Maschine zugreift.

f√ľr die erste Aufgabe erstellt die Firewall eine Liste von Programmen die im Gebrauch sind. Programmbezogene Einstellungf√ľr jedes Programm k√∂nnen Sie festlegen ob es das Internet verwenden darf (z.B. Browser) oder nicht;; und ob es eingehende Verbindungen annehmen darf .

Eingehende Verbindungen benötigen nur wenige Programme. Wenn Sie nicht wissen ob ein Programm das benötigt, können sie einstellen, daß ein Dialog erscheint in dem Sie entscheiden können ob sie eine eingehende Verbindung zulassen wollen.

Ausgehende Verbindungen sind weniger riskant, dazu kommen wir noch - w√§gen Sie ab ob es Sinn macht das zu gestatten: ein Textverarbeitungsprogramm ben√∂tigt  wohl keine Netzverbindung, der Emailclient aber schon. Es schadet auch nicht wenn Sie das einfach ausprobieren; wenn ein Programm st√∂rungsfrei l√§uft, obwohl es nicht ins Internet darf, dann lassen Sie es dabei.

Erscheint eine Störungsmeldung, bitte genau lesen: will das Programm etwas senden (ausgehende Verbindung) oder etwas empfangen (eingehende Verbindung) und ziehen Sie ggfs. das Handbuch dieser Software zu Rate.

 

GrundeinstellungenEine Firewall hat Grundeinstellungen. Entdeckt die Firewall ein neues Programm, werden diese angewandt. Sie k√∂nnen dann f√ľr dieses Programm wie eben beschrieben, davon abweichen - wenn es daf√ľr einen Grund gibt.

Wird die Firewall neu installiert, gehen Sie bitte so vor:

  • f√ľr zwei bis drei Wochen stellen Sie das Standartverhalten auf “Benutzerabfrage” ein. Sie erhalten dann Meldungen, wenn ein Internetzugriff erfolgt und k√∂nnen entscheiden ob Sie das zulassen.
  • danach stellen Sie auf “Zugriff ablehnen” ein, um die volle Sicherheit zu erhalten.
  • Portfreigabe ist gef√§hrlich! Wenn Sie das einmal ben√∂tigen, schalten sie sofort wieder aus, wenn die Aufgabe die das erfordert, erledigt ist (z.B. Filesharing)
  • deaktivieren Sie die Firewall nur, wenn eine Installation das erfordert. Aber trennen Sie den PC vorher vom Netz! Er ist sonst ungesch√ľtzt.
  • lassen Sie die Firewall automatisch mit Windows starten. Immer.

(Screenshots von AVM DSL Protect. Andere Firewalls können anders aussehen, die Funktion ist aber die Gleiche)

Windows - Firewall?

Die Windows-Firewall hat in Tests nicht alle Zugriffe verhindert. Unter XP ist sie mangelhaft, unter Vista wurde sie verbessert, ist aber nur eine Basic-Version. Sie ist besser als keine Firewall, aber sie ist ein Teil von Windows. Daher ist eine Bedrohung schon auf dem Computer vorhanden, wenn sie anspricht. Da es bessere Lösungen gibt die nichts kosten, gehe ich nicht näher darauf ein.

Wo immer das technisch m√∂glich ist, sollte eine Firewall genutzt werden, die sich im DSL-Modem befindet, sofern das nicht im PC eingebaut ist. So kann ein Angriff geblockt werden, bevor er √ľberhaupt den PC erreicht. Heutige DSL-Modems bieten meist diese M√∂glichkeit.

Windows-Versionen: ‘2000 hat keine eingebaute Firewall. Ab XP ist sie vorhanden, sollte aber nicht verwendet werden wenn Sie eine Firewall zus√§tzlich installiert haben.

Wenn Sie also Windows 2000 (noch) verwenden, m√ľssen Sie selbst eine Firewall installieren.

Automatische updates

Da es keine absolut fehlerfreie Software gibt, bieten Softwarehersteller sogenannte Updates (patches, bugfixes) an. Bei etlichen Programmen mu√ü man das nicht machen, aber f√ľr Windows, Browser und Antivirus-Software ist das unumg√§nglich.

Warum denn das?

Sicherheitsl√ľcken werden oft erst im laufenden Betrieb erkannt, weil Leute die Viren progarmmieren, wieder einmal einen Trick gefunden haben auf irgendwelchen krummen Wegen Schaden anzurichten. Das wird dann den Herstellern gemeldet und die erarbeiten eine L√∂sung. Diese wird dann auf einem Server bereitgestellt und automatisch installiert, wenn “automatische updates” aktiviert sind.

Ihr System wird zunehmend unsicher wenn Sie das nicht zulassen! Systemsteuerung, updates-Dialog

Diese Einstellung ist in der  Systemsteuerung zu finden, ab Windows XP auch im “Sicherheitscenter”.

Das Bild zeigt die empfohlene Einstellung. “T√§glich” ist wichtig, weil Sie nicht wissen k√∂nnen wann so ein update bereitgestellt wird.

Ebenso wichtig: automatisch herunterladen und installieren . Sie m√ľssen sich dann um nichts k√ľmmern und k√∂nnen es auch nicht vergessen.

Windows 2000: Updates werden im laufenden Betrieb installiert. Oft ist dann ein Neustart erforderlich, was erheblich behindern kann. Deshalb w√§hlen Sie einen Zeitpunkt zu dem Sie √ľblicherweise nicht am PC arbeiten!

Windows XP und h√∂her: updates werden beim herunterfahren installiert. Solange das l√§uft d√ľrfen Sie nicht abschalten. Sie werden durch eine Meldung darauf hingewiesen.

Sie können auch die Microsoft update- Site besuchen um diesen Service zu bekommen (erfordert den Internet Explorer) - das ist aber die schlechtere Möglichkeit, weil zeitfressend und eventuell verspätet; aber: wenn Sie Windows neu installieren, besuchen Sie Microsoft update sofort, sobald Sie Zugang zum Internet haben.

Ohne regelmässige updates ist Ihr PC unsicher.

Diese Einstellung ist nur mit einem Administrator-Profil möglich.

Hinweis

Sollten Sie keine Windows-Lizenz besitzen, k√∂nnen Sie diesen Service nicht benutzen. Wenn Sie also Windows “irgendwo kopiert” haben, besorgen Sie sich schnellstens eine lizensierte Version, denn die geringe Ersparnis steht in keinem Verh√§ltnis zu dem m√∂glichen Schaden, falls ein Angreifer die Kontrolle √ľber Ihr System √ľbernehmen sollte!

Stellt die Microsoft update-Site ein nicht lizensiertes Windows fest, wird Ihnen automatisch eine Lizenz angeboten. Das kann aber teurer sein als eine Windows CD zu kaufen. Also vergleichen Sie, was vorteilhafter ist; ein älteres Windows wie XP bekommen sie ja zu Sonderpreisen. Professional-Version kaufen!

Antivirus

Die Zahl schwankt. Täglich tauchen zwischen 50-80 neue Viren auf. Viele davon sind harmlos, es gibt auch Spaßviren die lediglich versuchen den User zu schockieren. Manche sind aber brandgefährlich und können im schlimmsten Fall sogar den PC zerstören. Es hilft also nichts, wer in einem Netz (auch ein lokales!) unterwegs ist, benötigt eine Antivirus-Software.

Viren?

 Das ist ein Sammelbegrif f√ľr sch√§dliche Software (malware) - es gibt verschiedene Arten von Viren

  • Bootviren. Die √§lteste Virenart, und sehr gef√§hrlich. Sie nistet sich auf Festplatten und im (ungesch√ľtzten) BIOS eine (siehe erstes Kapitel) und verhindern den Start des Betriebssystems (booten)
  • W√ľrmer. Versenden sich selbst √ľber Email und verurschen Spam. Manchmal bremsen sie den PC stark herunter oder l√∂sen Abst√ľrze aus.
  • Trojaner. Tarnen sich als sinnvolle (oft kostenlose) Software und installieren Hackertools wie Backdoors, die dem Hacker erlauben die Kontrolle √ľber einen PC zu √ľbernehmen.
  • Machen Sie sich schlau: Virentypen

Wie verhindern, daß ein Virus aktiv werden kann?

Installieren Sie eine gute Antiviren-Software. dabei mu√ü es nicht eine teure “Security Suite” sein - es gibt (f√ľr den privaten Anwender) kostenlose Antiviren-Programme, die oft sogar besser sind. Siehe safelinks-Seite.

Verwenden Sie einen sicheren Browser. Siehe Browser-Seite.

Aber auch dann sind sie nicht vollständig gesichert: es kommt auch auf Ihr Verhalten an.

  • √∂ffnen Sie eine Email nicht, die nicht von einer vertrauten Quelle kommt. Betrachten Sie deren Inhalte in der Vorschau, und √∂ffnen Sie keine Anh√§nge ohne sie auf Viren zu pr√ľfen - siehe weiter unten.
  • Surfen Sie niemals mit einem Administrator-Profil. Siehe weiter oben.
  • F√ľhren Sie regelm√§√üig einen Komplettcheck mit dem Antivirus-System durch. Wie oft, h√§ngt davon ab wie eifrig Sie im Netz unterwegs sind. Mindestens einmal/Monat.
  • setzen Sie die Einstellungen Ihres Browser so, da√ü Sie vor Viren gewarnt werden bzw. infizierte Webseiten gar nicht ge√∂ffnet werden .
  • wenn Sie “halbseidene” Seiten besuchen (Porno, online-Spiele, Tauschb√∂rsen, Filesharing) tun Sie das mit einem Gast-Profil und l√∂schen Sie √∂fter die Cache (Browser-Seite)

Sicherer Umgang mit Downloads oder Email-Anh√§ngen Kontextmen√ľ einer Datei

Niemals direkt öffnen! Neugier kann gefährlich sein. Sicherheit dauert nur wenig länger.

Speichern Sie eine download-Datei oder einen Anhang auf dem Desktop. Dann, mit einem rechten Klick darauf,  pr√ľfen Sie die Datei mit Ihrem Antivirus-Programm.

Wenn Sie eine Meldung erhalten daß keine Infektion gefunden wurde, können Sie die Datei unbedenklich verwenden.

Falls etwas entdeckt wurde, folgen Sie den Ratschl√§gen im Dialog. Meist wird “l√∂schen” angeboten - das ist der sicherste Weg. Der zweitbeste ist “Quarant√§ne” - dabei bleibt der Virus auf der Festplatte, wird aber deaktiviert. Das macht nur Sinn, wenn Sie ihn an den Antivirus -Herstellen senden wollen, zwecks Analyse.

In diesem Fall aber bitte packen und als Anhang senden. Folgen Sie den Tips in der Hilfe vom Antivirus.

Welches Antivirus-Programm nehmen?

Da diese Programme ständig weiterentwickelt werden, kann ich nur Kriterien nennen:

  • es sollte bei Tests gut abgeschnitten haben (informieren, und zwar √∂fter)
  • es sollte h√§ufig updates durchf√ľhren (gute Programme tun das mindestens einmal t√§glich)
  • es sollte das System nur geringf√ľgig belasten, damit Sie nicht bei der Arbeit gebremst werden.
  • derzeit (ich betone, das kann sich √§ndern) rate ich zu Avast!free, und rate von Avira free ab.

AV-Testberichte

Sicherheit ist nur gegeben wenn Sie alle diese Tips auch anwenden. Verzichten Sie auf keinen Teil dieser Sicherheitsarchitektur.

- diese Tips gelten f√ľr Privathaushalte. Firmen sollten einen Netzwerkspezialisten zu Rate ziehen.

Fachbegriffe auf dieser Seite

BIOS - “Basic in-out-System” ist ein mini-Betriebssystem das zum Starten des PCs n√∂tig ist. Im BIOS werden Grundeinstellungen vorgenommen die es erm√∂glichen das eigentliche Betriebssystem (Windows) zu laden.

Screenshot - Bildschirmfoto

(to) update - auf den aktuellen Stand bringen

download - “herunterladen” - eine Datei aus dem Netz in den Pc √ľbertragen

Quarantäne (Antivirus) - ein Ordner in dem Viren gespeichert werden, nachdem sie ungefährlich gemacht wurden

 zuletzt bearbeitet  am 12.01.2015