Windows 2000/XP Sicherheit in Kürze
Alle folgende Sicherheits-Hinweise sind für Windows Clients gedacht, die Standalone betrieben werden. Besitzen Sie eine Maschine, die Teil einer Domäne oder eines anderen Verbundes von Maschinen ist, sprechen Sie dies bitte mit Ihrem zuständigen Administrator ab. Die Informationen sind möglichst allgemein gehalten und können deshalb nicht alle Gegebenheiten vor Ort berücksichtigen.
!!Achtung!!
Ein unsachgemäßer Umgang mit dem System kann zu dessen Unbrauchbarkeit führen.
Bedenken Sie auch, dass Bequemlichkeit und Sicherheit nicht immer vereinbar sind. Manche der Vorschläge auf dieser Seite bedeuten für den Benutzer Mehrarbeit zu Gunsten eines sicheren Systems.
1. Physikalische Sicherheit
Das sicherste Betriebssystem nützt nichts wenn jemand von einem parallelen System auf die Daten Ihrer Platte zugreifen kann. Sie können im BIOS den Startvorgang Ihres Systems definieren. Erlauben Sie hier nur das Booten von der Festplatte. Setzen Sie ein BIOS-Passwort, damit nur Sie diese Einstellungen verändern können. Zusätzlich sollten Sie dafür sorgen, am Gehäuse Ihres Gerätes ein Schloss anzubringen, um ein Zurücksetzen des Passwortes oder gar einen Diebstahl der Platte zu verhindern.
2. Benutzerverwaltung
Auch für Windows gelten die gängigen Empfehlungen zu Passwörtern. Ein gutes Passwort besteht mindestens aus 8 Zeichen. Das Passwort umfasst eine Kombination von Klein-, Großbuchstaben, Ziffern und Sonderzeichen. Es dürfen keine Wortteile enthalten sein wie Dieter09 oder ähnlichem.
Bewahren Sie Ihr Passwort nur im Gedächtnis auf und nicht woanders.
In den Gruppenrichtlinien können Sie unter Richtlinien für Lokaler Computer - Computerkonfiguration - Windows Einstellungen - Sicherheitseinstellungen - Kontorichtlinien Richtlinien für Kennwörter und Konten Ihre Benutzer definieren:
Kennwortrichtlinien
| Kennwort muss Komplexitätsvoraussetzungen entsprechen | Aktiviert |
| Kennwortchronik erzwingen | 5 |
| Maximales Kennwortalter | 42 Tage |
| Minimale Kennwortlänge | 8 Zeichen |
Kontosperrungsrichtlinien:
| Kontensperrungsschwelle | 5 ungültigen Anmeldeversuchen |
| Kontosperrdauer | 30 Minuten |
| Zurücksetzungsdauer des Kontosperrungszählers | 30 Minuten |
Legen Sie einen zweiten administrativen Benutzer an und sperren Sie den built-in Administrator, dadurch führen Sie einen etwaigen Angreifer in die Irre. Legen Sie für ihre alltäglichen Arbeiten einen Benutzer-Account an. Verwenden Sie Ihren Administrator-Account nur für administrative Tätigkeiten (Installation von Software). Beachten Sie hierbei, daß ältere Software eventuell nicht korrekt arbeitet, wenn Sie bestimmte Rechte auf das System nicht besitzen. Um Ihre Privilegien auf das System zu erhöhen, können Sie Ihr Benutzerkonto der Gruppe der Hauptbenutzer hinzufügen.
Definieren Sie, wer sich an der Maschine alles anmelden darf und gewähren Sie dieser Gruppe das Recht zur lokalen Anmeldung unter „Zuweisen von Benutzerrechten“. Verweigern Sie allen anderen den Zugriff. Ersetzen Sie die Gruppe Jeder durch die Gruppe Benutzer wo immer Sie Ihnen begegnet.
3. Dateisystem
Formatieren Sie Ihre lokalen Partitionen mit dem Dateisystem NTFS. Dadurch können Sie Dateirechte vergeben und erhöhen so die Sicherheit des Filesystems gegenüber Fat16 oder Fat32.
Löschen Sie unnötige Freigaben. Setzen Sie eindeutige Zugriffsrechte auf Freigaben und Dateisystem. Kontrollieren Sie regelmäßig die Anzahl der Freigaben.
Entfernen Sie ab Win 2000 die Gruppe Jeder von der obersten Ebene Ihrer Systempartition.
Um die Sicherheit Ihrer Daten auch bei einem Diebstahl der Platten (Notebook) zu gewähren, können Sie Ihre Dateien mit EFS verschlüsseln. Die Daten sind dann nur noch unter Ihrem Kennzeichen lesbar.
4. Windows Update - WSUS
Viele Einbrüche in Systeme nutzen Sicherheitslücken, die oft monatelang bekannt waren, die aber vom Administrator nicht geschlossen wurden. Halten Sie Ihr System deshalb auf einem aktuellen Stand mit der Windows Update Funktion. Warten Sie aber ein paar Tage bevor Sie den aktuellsten Hotfix oder ein Service Pack einspielen, um Ihr System nicht unnötig zu gefährden. Informieren Sie sich über aktuelle Sicherheitsprobleme mit Ihrem Betriebssystem und der Software die Sie nutzen. Informationen über aktuelle Sicherheitsprobleme finden Sie bei:
Systeme im MWN können den WSUS des LRZ nutzen. Außerhalb des MWN können Sie die automatische Update Fuktion für Windows konfigurieren.
5. MBSA (Microsoft Baseline Security Analyzer)
Um eine Übersicht über Sicherheitsrelevante Aspekte Ihres Systems zu bekommen, laden Sie sich den MBSA von Microsoft herunter. Scannen Sie damit regelmäßig Ihr System. Sie erhalten damit detailliert Auskunft über fehlende Hotfixes, Windows, SQL und IIS Schwachstellen, sowie über schwache Passwörter. Der MBSA bietet auch weiterführende Informationen zu den angezeigten Sicherheitsproblemen Ihres Systems.
6. Virenscanner
Installieren Sie auf Ihrem System einen aktuellen Virenscanner. Damit alleine ist es aber nicht getan. Um auch gegen die neuesten Viren geschützt zu sein, müssen sie auch regelmäßig die aktuellsten Virenpatterns in Ihren Scanner einpflegen. Näheres finden sie bei Ihrem Virenscanner-Hersteller. Angehörige der Universitäten LMU und TUM können den Virenscanner Sophos über das LRZ nutzen. Informationen zu aktuellen Viren finden Sie bei den Herstellern:
7. Personal Firewall
Weitere Sicherheit bietet die lokale Firewall Ihrer lokalen Maschine. Über diese Firewall können Sie sehr feingranular steuern, von welchen Maschinen mit welchem Protokoll und über welche Ports auf Ihre Maschine zugegriffen werden darf und welche Informationen Ihre Maschine nach außen gibt. Seit Windows Vista bietet die bordeigene Firewall einen ausreichhenden Schutz und gute Möglichkeiten zur Konfiguration, so dass Sie hier nicht mehr auf einen Dritthersteller angewiesen sind.
8. Spyware-Adware-Browser Hijacking
Ein in den letzten Monaten wachsendes Problem sind Spy- und Adware. Während Adware den Nutzer nur mit Reklame belästigt, spioniert Spyware den Nutzer aus und überträgt sensible Daten (Nutzungsverhalten, Passwörter, Bankverbindung, Kreditkartennummern...) ins Internet. In diesem Zusammenhang tritt auch immer wieder das "Browser Hijacking", also eine Übernahme des Browsers. Dies macht sich meist durch das zurücksetzen der Startseite, oder immer wieder begleitende Popups bemerkbar.
Ähnlich wie für Viren gibt es auch hierfür Tools um diese unliebsamen Gäste zu entfernen und sich davor zu schützen. Sehr gute Erfahrungen haben wir mit nachfolgenden Produkten gemacht. Vergessen Sie aber nicht auch diese Tools müssen auf dem aktuellsten Stand gehalten werden.
9. Überwachung einschalten
Schalten Sie die Überwachung ein um einen besseren Überblick zu bekommen, was auf Ihrer Maschine geschieht. In den lokalen Gruppenrichtlinen - Richtlinien für Lokaler Computer - Computerkonfiguration - Windows Einstellungen - Sicherheitseinstellungen - Lokale Richtlinien - Überwachungsrichtlinien sollte Sie folgende Ereignisse auf erfolgreich/fehlgeschlagen überwachen:
- Anmeldeereignisse
- Anmeldeversuche
- Kontenverwaltung
- Objektzugriffsversuche
- Rechteverwendung
- Richtlinienveränderung
Die einzelnen Ereignisse werden in der Ereignisanzeige im Sicherheitsprotokoll angezeigt. Erhöhen Sie über die Eigenschaften (rechte Maustaste auf das gewünschte Protokoll) auch die Größe des Sicherheitsprotokolls auf mindestens 2 MB und stellen Sie Bei Bedarf überschreiben ein.
10. Unnötige Dienste deaktivieren
Jeder Dienst, der auf Ihrer Maschine läuft, bietet grundsätzlich einen Angriffspunkt. Deaktivieren Sie alle nicht benötigten Dienste. Vorsicht! Sollten Sie einen für das System wichtigen Dienst deaktivieren kann Ihr System unbrauchbar werden. Berücksichtigen Sie auch Dienste, die nachträglich durch Softwareinstallationen hinzugefügt wurden. Bevor Sie einen Dienst deaktivieren informieren Sie sich über die Aufgabe des jeweiligen Dienstes. Deaktivieren Sie immer nur einen Dienst auf einmal. Wenn Sie die Möglichkeit haben, testen Sie das vorher in einer Testumgebung. Eine Liste der notwendigen Dienste für Ihr System können wir in dem Rahmen nicht angeben.
11. Sicherheitsoptionen
Über die Gruppenrichtlinen - Richtlinien für Lokaler Computer - Computerkonfiguration - Windows Einstellungen - Sicherheitseinstellungen - Lokale Richtlinien - Sicherheitsoptionen können Sie allgemeine Einstellungen zur Sicherheit Ihres Systems einstellen, die für die Maschine und alle Benutzer gelten.
| Richtlinie | Einstellung |
| Anzahl zwischenzuspeichernder vorheriger Anmeldungen (für den Fall, dass der Domänencontroller nicht verfügbar ist) | 0 Anmeldungen |
| Auslagerungsdatei des virtuellen Arbeitspeichers beim Herunterfahren des Systems löschen | Aktiviert |
| Clientkommunikation digital signieren (wenn möglich) | Aktiviert |
| LAN Manager-Authentifizierungsebene | Nur NTLMv2-Antworten senden LM- und NTLM verweigern |
| Letzten Benutzernamen nicht im Anmeldedialog anzeigen | Aktiviert |
| Serverkommunikation digital signieren (wenn möglich) | Aktiviert |
| Sicherer Kanal: Daten des sicheren Kanals digital signieren (wenn möglich) | Aktiviert |
| Sicherer Kanal: Daten des sicheren Kanals digital verschlüsseln (wenn möglich) | Aktiviert |
| STRG+ALT+ENTF-Anforderung zur Anmeldung deaktivieren | Aktiviert |
| Unverschlüsseltes Kennwort senden, um Verbindung mit SMB-Servern von Drittanbietern herzustellen | Aktiviert |
| Verhalten bei der Installation von nichtsignierten Dateien (außer Treibern) | Warnen, aber Installation zulassen |
| Verhalten bei der Installation von nichtsignierten Treibern | Warnen, aber Installation zulassen |
| Weitere Einschränkungen für anonyme Verbindungen | Kein Zugriff ohne explizite anonyme Berechtigung |
| Wiederherstellungskonsole: Automatische administrative Anmeldungen zulassen | Deaktiviert |
| Zugriff auf CD-ROM-Laufwerke auf lokal angemeldete Benutzer beschränken | Aktiviert |
| Zugriff auf Diskettenlaufwerke auf lokal angemeldete Benutzer beschränken | Aktiviert |
| Zugriff auf globale Systemobjekte prüfen | Aktiviert |
Um die Sicherheit weiter zu erhöhen kann man noch Folgende Einstellungen tätigen:
| Anwendern das Installieren von Druckertreibern nicht erlauben | Aktiviert |
| Clientkommunikation digital signieren (immer) | Aktiviert |
| Die Verwendung des Sicherungs- und Wiederherstellungsrechts überprüfen | Aktiviert |
| Herunterfahren des Systems ohne Anmeldung erlauben | Aktiviert |
| Serverkommunikation digital signieren (immer) | Aktiviert |
| Sicherer Kanal: Daten des sicheren Kanals digital verschlüsseln oder signieren (immer) | Aktiviert |
| Sicherer Kanal: Starker Sitzungsschlüssel erforderlich (Windows 2000 oder höher) | Aktiviert |
12. Internet Explorer
Für den Internet Explorer gelten die selben Regeln wie für das Betriebssystem. Ein schlecht gepflegter oder falsch konfigurierter Browser kann eine ernsthafte Bedrohung für die Sicherheit Ihres Systems sein. Die Gefahr geht hierbei von bestimmten Websites aus, die Sie besuchen. Beim Öffnen der Site im Browser starten Skripte oder Java-Aplets, die unter umständen Ihr System beschädigen können. Setzen Sie die Sicherheitsstufe Ihres IE für die Webinhaltszone Internet auf hoch. Deaktivieren Sie alle Aktive-X und Scriptingeinstellungen. Sperren Sie alle Cookies unter Datenschutz. Sollten Sie dennoch Cookies für einzelne Seiten benötigen, können Sie die Seite in eine Ausnahmeliste mit geringer Sicherheitsstufe aufnehmen. Alternativ können Sie auch auf einen anderen Browser wie Firefox oder Google Chrome ausweichen.