Windows

Sichere Konfiguration

Sicherheit beginnt schon bevor Windows geladen wird: im BIOS.

Ein häufiger Anwenderfehler ist, im Bios die Viruswarnung abzuschalten. Das ist zwar zum installieren eines Betriebssystems notwendig, muß aber danach wieder aktiviert werden. Diese Einstellung ist so erreichbar:

  • beim hochfahren die ENTFernen-Taste gedrückt halten, bis das Bios-Menü erscheint
  • in den Biosmenüs nach der Einstellung “Virus warning” suchen, Meist zu finden unter “Advanced”
  • wenn dort “disable” eingestellt ist, auf “enable” umschalten
  • nicht vergessen die Änderung zu speichern! (save and exit)

Warum denn das?

Sogenannte “Bootviren” könnten sich im Bios einnisten, wo ein Antivirusprogramm sie weder findet noch beseitigen kann. Schlimmstenfalls könnten sogar Hardwareschäden entstehen. Für den Anwender ein kaum lösbares Problem.

Windows startet....

kommt ein Anmeldebildschirm (bei ‘2000 ein Dialog)  oder erscheint direkt der Desktop?

Dies ist der häufigste Fehler überhaupt. Startet Windows ohne Anmeldung, ist die Maschine gar nicht gesichert: das ist die Setup-Einstellung die man gleich wenns funktioniert ändern sollte. Dazu ein wenig Theorie...

Es gibt sogenannte Benutzerkonten, die unterschiedliche Berechtigungen geben. Beim Setup wird automatisch ein Administratorkonto erstellt, und damit gestartet - das ist richtig, da man ja Einstellungen vornehmen will oder muß. Bleibt diese Einstellung aktiv, startet Windows ohne den Schutz eines Benutzernamens + Passworts.

Administratorkonto

Erlaubt sämtliche Vorgänge, inklusive Installation/Deinstallation. Ein vom Browser oder Emailclient empfangener Virus kann sich mühelos installieren, Hacker könnten die Kontrolle über die Maschine übernehmen. Paßwortschutz erforderlich

Benutzerkonto

Erlaubt alles außer Installation/Deinstallation. Rechte können gezielt ja nach Benutzer vergeben werden, ein Virus gelangt zwar auf die Festplatte, kann sich aber nicht installieren. Paßwortschutz erforderlich

Gastkonto

Erlaubt sehr wenig (Einstellungsabhängig) und sollte unbedingt vorhanden sein, für den Fall daß mal ein Fremder die Maschine benutzen möchte. Paßwortschutz nicht erforderlich

Wie vorgehen?

Nach dem Start die Benutzerkontenverwaltung aufrufen (Startmenü, Verwaltung --> Computerverwaltung oder über die Systemsteuerung)

Computerverwaltung, Konten

Screenshot der Benutzerkontenverwaltung

Doppelklicken Sie auf ein vorhandenes Konto, um es zu konfigurieren oder verwenden Sie das Menü “Aktion” um ein neues zu erstellen . Computerverwaltung, Dialog neuer Benutzerschreiben Sie einen Benutzernamen und ein Passwort. Für das Passwort kein wirkliches Wort verwenden! “Adalberts Compi” wäre gefährlich, ebenso Geburtsdatum, Autokennzeichen, Namen des Haustiers etc.

Ein sicheres Passwort hat 10 Zeichen oder mehr, und ist ein unsinniger Begriff der in keinem Wörterbuch zu finden ist und sich nicht erraten läßt wenn man etwas über Sie weiß! 

z.B. X10/495c!?-löVqÄ

...aber bitte nicht dieses verwenden...das steht im Netz.. Groß/Kleinschreibung verwenden. Mir ist klar daß man anfangs einen Zettel braucht, bis man sich diese Kombi eingeprägt hat. Geht aber schneller als man denkt. Und: Wenns klappt, Zettel vernichten!

Screenshot des Dialogs “neuer Benutzer”

Optionen:

Benutzer muß Kennwort ändern: im Privathaushalt unnötig, für Mehrbenutzerumgebungen in Firmen gedacht

Benutzer kann Kennwort nicht ändern: ebenfalls für Firmen, Admin muß Kennwörter erstellen

Kennwort läuft nie ab: bequemer, aber etwas riskanter. Kennwörter verfallen ohne diese Option automatisch nach einiger Zeit.

Konto ist deaktiviert: siehe Screenshot der Computerverwaltung,  Konten die normalerweise nicht gebraucht werden, kann man deaktivieren. Sie erscheinen dann nicht beim anmelden. (roter Kreis mit Kreuz)

Diese Einstellungen sind nur mit einem Administratorkonto möglich!

- woraus auch klar wird, wenn man mit Adminkonto surft, kann sich ein Hacker alles erlauben. Konten erstellen, deaktivieren, den Benutzer also vom eigenen PC aussperren.

Firewall

warum denn das?

Die Firewall ist Ihr Schutz vor Hackern und Trojanern. Ein Hacker geht so vor: er startet eine Software, die das Netz nach ungeschützten Computern abklappert. Findet er eine solche Maschine, versucht er darauf einen Trojaner, eine Backdoor zu installieren. Gelingt ihm das, kann er die Kontrolle über Ihren Computer übernehmen.Alles was er dazu braucht, ist ein offener Port (ein ungeschützter “Eingang” über den er in den PC eindringen kann, um ihn zu mißbrauchen.

Warnung: wenn das passiert und es wird irgendwo Schaden angerichtet, haftet der PC-Besitzer für seine Nachlässigkeit. Eine Firewall ist zwingend erforderlich!

Die Firewall hat zwei Aufgaben:

  • sie soll verhindern daß Programme das Internet verwenden, denen das nicht erlaubt wurde.
  • sie soll verhindern daß jemand von außen auf Ihre Maschine zugreift.

für die erste Aufgabe erstellt die Firewall eine Liste von Programmen die im Gebrauch sind. Programmbezogene Einstellungfür jedes Programm können Sie festlegen ob es das Internet verwenden darf (z.B. Browser) oder nicht;; und ob es eingehende Verbindungen annehmen darf .

Eingehende Verbindungen benötigen nur wenige Programme. Wenn Sie nicht wissen ob ein Programm das benötigt, können sie einstellen, daß ein Dialog erscheint in dem Sie entscheiden können ob sie eine eingehende Verbindung zulassen wollen.

Ausgehende Verbindungen sind weniger riskant, dazu kommen wir noch - wägen Sie ab ob es Sinn macht das zu gestatten: ein Textverarbeitungsprogramm benötigt  wohl keine Netzverbindung, der Emailclient aber schon. Es schadet auch nicht wenn Sie das einfach ausprobieren; wenn ein Programm störungsfrei läuft, obwohl es nicht ins Internet darf, dann lassen Sie es dabei.

Erscheint eine Störungsmeldung, bitte genau lesen: will das Programm etwas senden (ausgehende Verbindung) oder etwas empfangen (eingehende Verbindung) und ziehen Sie ggfs. das Handbuch dieser Software zu Rate

 

GrundeinstellungenEine Firewall hat Grundeinstellungen. Entdeckt die Firewall ein neues Programm, werden diese angewandt. Sie können dann für dieses Programm wie eben beschrieben, davon abweichen - wenn es dafür einen Grund gibt.

Wird die Firewall neu installiert, gehen Sie bitte so vor:

  • für zwei bis drei Wochen stellen Sie das Standartverhalten auf “Benutzerabfrage” ein. Sie erhalten dann Meldungen, wenn ein Internetzugriff erfolgt und können entscheiden ob Sie das zulassen.
  • danach stellen Sie auf “Zugriff ablehnen” ein, um die volle Sicherheit zu erhalten.
  • Portfreigabe ist gefährlich! Wenn Sie das einmal benötigen, schalten sie sofort wieder aus, wenn die Aufgabe die das erfordert, erledigt ist (z.B. Filesharing)
  • deaktivieren Sie die Firewall nur, wenn eine Installation das erfordert. Aber trennen Sie den PC vorher vom Netz! Er ist sonst ungeschützt.
  • lassen Sie die Firewall automatisch mit Windows starten. Immer.

(Screenshots von AVM DSL Protect. Andere Firewalls können anders aussehen, die Funktion ist aber die Gleiche)

Windows - Firewall?

Die Windows-Firewall hat in Tests nicht alle Zugriffe verhindert. Sie ist besser als keine Firewall, aber sie ist ein Teil von Windows. Daher ist eine Bedrohung schon auf dem Computer vorhanden, wenn sie anspricht. Da es bessere Lösungen gibt die nichts kosten, gehe ich nicht näher darauf ein.

Wo immer das technisch möglich ist, sollte eine Firewall genutzt werden, die sich im DSL-Modem befindet, sofern das nicht im PC eingebaut ist. So kann ein Angriff geblockt werden, bevor er überhaupt den PC erreicht. Heutige DSL-Modems bieten meist diese Möglichkeit.

Windows-Versionen: ‘2000 hat keine eingebaute Firewall. Ab XP ist sie vorhanden, sollte aber nicht verwendet werden wenn Sie eine Firewall zusätzlich installiert haben.

Wenn Sie also Windows 2000 (noch) verwenden, müssen Sie selbst eine Firewall installieren.

Automatische updates

Da es keine absolut fehlerfreie Software gibt, bieten Softwarehersteller sogenannte Updates (patches, bugfixes) an. Bei etlichen Programmen muß man das nicht machen, aber für Windows, Browser und Antivirus-Software ist das unumgänglich.

Warum denn das?

Sicherheitslücken werden oft erst im laufenden Betrieb erkannt, weil Leute die Viren progarmmieren, wieder einmal einen Trick gefunden haben auf irgendwelchen krummen Wegen Schaden anzurichten. Das wird dann den Herstellern gemeldet und die erarbeiten eine Lösung. Diese wird dann auf einem Server bereitgestellt und automatisch installiert, wenn “automatische updates” aktiviert sind.

Ihr System wird zunehmend unsicher wenn Sie das nicht zulassen! Systemsteuerung, updates-Dialog

Diese Einstellung ist in der  Systemsteuerung zu finden, ab Windows XP auch im “Sicherheitscenter”.

Das Bild zeigt die empfohlene Einstellung. “Täglich” ist wichtig, weil Sie nicht wissen können wann so ein update bereitgestellt wird.

Ebenso wichtig: automatisch herunterladen und installieren . Sie müssen sich dann um nichts kümmern und können es auch nicht vergessen.

Windows 2000: Updates werden im laufenden Betrieb installiert. Oft ist dann ein Neustart erforderlich, was erheblich behindern kann. Deshalb wählen Sie einen Zeitpunkt zu dem Sie üblicherweise nicht am PC arbeiten!

Windows XP und höher: updates werden beim herunterfahren installiert. Solange das läuft dürfen Sie nicht abschalten. Sie werden durch eine Meldung darauf hingewiesen.

Sie können auch die Microsoft update- Site besuchen um diesen Service zu bekommen (erfordert den Internet Explorer) - das ist aber die schlechtere Möglichkeit, weil zeitfressend und eventuell verspätet; aber: wenn Sie Windows neu installieren, besuchen Sie Microsoft update sofort, sobald Sie Zugang zum Internet haben.

Ohne regelmässige updates ist Ihr PC unsicher.

Diese Einstellung ist nur mit einem Administrator-Profil möglich.

Hinweis

Sollten Sie keine Windows-Lizenz besitzen, können Sie diesen Service nicht benutzen. Wenn Sie also Windows “irgendwo kopiert” haben, besorgen Sie sich schnellstens eine lizensierte Version, denn die geringe Ersparnis steht in keinem Verhältnis zu dem möglichen Schaden, falls ein Angreifer die Kontrolle über Ihr System übernehmen sollte!

Stellt die Microsoft update-Site ein nicht lizensiertes Windows fest, wird Ihnen automatisch eine Lizenz angeboten. Das kann aber teurer sein als eine Windows CD zu kaufen. Also vergleichen Sie, was vorteilhafter ist; ein älteres Windows wie XP bekommen sie ja zu Sonderpreisen. Professional-Version kaufen!

Antivirus

Die Zahl schwankt. Täglich tauchen zwischen 50-80 neue Viren auf. Viele davon sind harmlos, es gibt auch Spaßviren die lediglich versuchen den User zu schockieren. Manche sind aber brandgefährlich und können im schlimmsten Fall sogar den PC zerstören. Es hilft also nichts, wer in einem Netz (auch ein lokales!) unterwegs ist, benötigt eine Antivirus-Software.

Viren?

 Das ist ein Sammelbegrif für schädliche Software (malware) - es gibt verschiedene Arten von Viren

  • Bootviren. Die älteste Virenart, und sehr gefährlich. Sie nistet sich auf Festplatten und im (ungeschützten) BIOS eine (siehe erstes Kapitel) und verhindern den Start des Betriebssystems (booten)
  • Würmer. Versenden sich selbst über Email und verurschen Spam. Manchmal bremsen sie den PC stark herunter oder lösen Abstürze aus.
  • Trojaner. Tarnen sich als sinnvolle (oft kostenlose) Software und installieren Hackertools wie Backdoors, die dem Hacker erlauben die Kontrolle über einen PC zu übernehmen.
  • Machen Sie sich schlau: Virentypen

Wie verhindern, daß ein Virus aktiv werden kann?

Installieren Sie eine gute Antiviren-Software. dabei muß es nicht eine teure “Security Suite” sein - es gibt (für den privaten Anwender) kostenlose Antiviren-Programme, die oft sogar besser sind. Siehe safelinks-Seite.

Verwenden Sie einen sicheren Browser. Siehe Browser-Seite.

Aber auch dann sind sie nicht vollständig gesichert: es kommt auch auf Ihr Verhalten an.

  • öffnen Sie eine Email nicht, die nicht von einer vertrauten Quelle kommt. Betrachten Sie deren Inhalte in der Vorschau, und öffnen Sie keine Anhänge ohne sie auf Viren zu prüfen - siehe weiter unten.
  • Surfen Sie niemals mit einem Administrator-Profil. Siehe weiter oben.
  • Führen Sie regelmäßig einen Komplettcheck mit dem Antivirus-System durch. Wie oft, hängt davon ab wie eifrig Sie im Netz unterwegs sind. Mindestens einmal/Monat.
  • setzen Sie die Einstellungen Ihres Browser so, daß Sie vor Viren gewarnt werden bzw. infizierte Webseiten gar nicht geöffnet werden .
  • wenn Sie “halbseidene” Seiten besuchen (Porno, online-Spiele, Tauschbörsen, Filesharing) tun Sie das mit einem Gast-Profil und löschen Sie öfter die Cache (Browser-Seite)

Sicherer Umgang mit Downloads oder Email-Anhängen Kontextmenü einer Datei

Niemals direkt öffnen! Neugier kann gefährlich sein. Sicherheit dauert nur wenig länger.

Speichern Sie eine download-Datei oder einen Anhang auf dem Desktop. Dann, mit einem rechten Klick darauf,  prüfen Sie die Datei mit Ihrem Antivirus-Programm.

Wenn Sie eine Meldung erhalten daß keine Infektion gefunden wurde, können Sie die Datei unbedenklich verwenden.

Falls etwas entdeckt wurde, folgen Sie den Ratschlägen im Dialog. Meist wird “löschen” angeboten - das ist der sicherste Weg. Der zweitbeste ist “Quarantäne” - dabei bleibt der Virus auf der Festplatte, wird aber deaktiviert. Das macht nur Sinn, wenn Sie ihn an den Antivirus -Herstellen senden wollen, zwecks Analyse.

In diesem Fall aber bitte packen und als Anhang senden. Folgen Sie den Tips in der Hilfe vom Antivirus.

Welches Antivirus-Programm nehmen?

Da diese Programme ständig weiterentwickelt werden, kann ich nur Kriterien nennen:

  • es sollte bei Tests gut abgeschnitten haben (informieren, und zwar öfter)
  • es sollte häufig updates durchführen (gute Programme tun da mindestens einmal täglich)
  • es sollte das System nur geringfügig belasten, damit Sie nicht bei der Arbeit gebremst werden.
  • derzeit (ich betone, das kann sich ändern) rate ich zu Avast!free, und rate von Avira free ab.

AV-Testberichte

Sicherheit ist nur gegeben wenn Sie alle diese Tips auch anwenden. Verzichten Sie auf keinen Teil dieser Sicherheitsarchitektur.

- diese Tips gelten für Privathaushalte. Firmen sollten einen Netzwerkspezialisten zu Rate ziehen.

Fachbegriffe auf dieser Seite

BIOS - “Basic in-out-System” ist ein mini-Betriebssystem das zum Starten des PCs nötig ist. Im BIOS werden Grundeinstellungen vorgenommen die es ermöglichen das eigentliche Betriebssystem (Windows) zu laden.

Screenshot - Bildschirmfoto

(to) update - auf den aktuellen Stand bringen

download - “herunterladen” - eine Datei aus dem Netz in den Pc übertragen

Quarantäne (Antivirus) - ein Ordner in dem Viren gespeichert werden, nachdem sie ungefährlich gemacht wurden

 zuletzt bearbeitet  am 14.02.2011

 

Trainer-DatenBank   Trainer-DatenBank     UK-MBA     Webmaster HomePage      Webmaster Magazin