Neben dem regelmäßigen Einspielen von Updates und der Nutzung von Antiviren-Software gibt es auch unbekannte Maßnahmen, die in XP für mehr Sicherheit sorgen. ZDNet zeigt die besten.
Windows XP ist als Betriebssystem für die breite Masse konzipiert. Ganz gleich, ob vorinstalliert auf gekauftem PC oder frisch installiert auf neuer Festplatte: Die vom Windows-Setup verwendeten Standardeinstellungen sind so ausgelegt, dass das OS den Anforderungen einer möglichst breiten Nutzerschaft gerecht wird und sich schnell ohne aufwändige Konfigurationseingriffe in möglichst vielen Arbeitsumgebungen einsetzen lässt. Komfort und Kompatibilität bringen aber auch einige Sicherheitsrisiken mit sich.
Der regelmäßige Besuch von Microsoft Update[1], um die neusten Patches herunterzuladen, sowie die Nutzung einer anspruchsvollen Antiviren-Software[2] gehören heute zum Standard-Repertoire, wenn es darum geht, eine sichere Windows-Umgebung zu schaffen
Doch welche Einstellungen und Maßnahmen sonst geeignet sind, die Sicherheit des Betriebssystems zu erhöhen, zeigt die folgende Sammlung weniger bekannter Tipps und Tricks rund um Windows XP.
Windows XP aktiviert standardmäßig eine ganze Reihe von System- und Netzwerkdiensten, die in den meisten Arbeitsumgebungen nicht benötigt werden. Um die Angriffsfläche des Systems zu verkleinern, sollten nicht erforderliche Dienste deaktiviert werden.
Technisch versierten Anwendern bietet das Microsoft-Technet-Handbuch "Bedrohungen und Gegenmaßnahmen" (Kapitel 7: Systemdienste[3]) eine ausführliche Entscheidungshilfe, welche Dienste ohne negative Auswirkungen ausgeschaltet werden können. Die manuelle Änderung der Dienstekonfiguration erfolgt über das Services-Snap-In der Microsoft Management Console. Das Tool lässt sich über Start - Ausführen - services.msc aufrufen.
Wer es einfacher mag, findet auf der Website www.ntsvcfg.de[4] ein Script, das drei Konfigurationen anbietet, um überflüssige Dienste abzuschalten. Vor der Übernahme neuer Einstellungen empfiehlt es sich, die in dem Programm angebotene Möglichkeit zur Sicherung der aktuellen Dienstekonfiguration zu nutzen.Die in Windows XP mitgelieferte Firewall ist seit Service Pack 2 für jede Netzwerkverbindung standardmäßig aktiviert. Auch wenn das Tool ausschließlich eingehende Verbindungsversuche filtert, leistet es einen beachtlichen Beitrag zur allgemeinen Systemsicherheit.
Wer die Aktivitäten der Windows-Firewall überwachen möchte, kann die Protokollfunktion der Software einschalten. Die entsprechende Option befindet sich in den erweiterten Sicherheitseinstellungen der Firewall, die folgendermaßen zu erreichen sind: Systemsteuerung - Sicherheitscenter - Sicherheitseinstellungen verwalten für Windows-Firewall - Erweitert. Unter den Einstellungen für die Sicherheitsprotokollierung sollte man Häkchen setzen bei "Verworfene Pakete protokollieren" und "Erfolgreiche Verbindungen protokollieren".
Zur Auswertung der Logdatei pfirewall.log empfiehlt sich die Freeware Firelog XP[5]. Das Tool stellt die Firewallaktivitäten übersichtlich dar und ermöglicht das Filtern der Daten nach Verbindungstypen, Protokollen und TCP Flags. Mit der Exportfunktion können alle Daten im HTML-Format gespeichert werden.Vertrauen ist gut, Kontrolle ist besser: Windows XP kann alle fehlgeschlagenen Versuche, sich auf dem System anzumelden, protokollieren.
Die nötige Einstellung findet man in der Systemsteuerung unter Verwaltung - Lokale Sicherheitsrichtlinien - Lokale Richtlinien - Überwachungsrichtlinien.
Hier ist unter "Anmeldeversuche überwachen" die Option "Fehlgeschlagene Versuche überwachen" zu aktivieren. Die Ergebnisse der Überwachung erscheinen fortan in der Windows-Ereignisanzeige.Windows XP Home Edition legt bei der Installation ein unsichtbares Administrator-Konto an, das standardmäßig über kein Passwort verfügt. Anhand dieses ungeschützten Kontos ist es jedem möglich, sich an einem XP-Home-System anzumelden und im Administrator-Modus systemweite Änderungen vorzunehmen.
Im normal laufenden Windows ist das Administrator-Konto in der Kontenübersicht versteckt. So ist es nicht möglich, ihm auf diesem Wege ein Passwort zu erteilen. Erst wenn das System im abgesicherten Modus gestartet wird (beim Hochfahren des Rechners die F8-Taste drücken), ist der ungeschützte Administrator wieder sichtbar und kann mit einem Passwort versehen werden.
Alternativ kann auch im laufenden Betrieb folgender Befehl über die Eingabeaufforderung verwendet werden, sofern der ausführende Benutzer mit administrativen Rechten ausgestattet ist:
net user Administrator "NeuesPasswort"
NeuesPasswort ist dabei natürlich durch ein frei wählbares Passwort zu ersetzen.Auch Windows XP Professional verfügt über ein Standard-Benutzerkonto mit dem Namen "Administrator", das naturgemäß über systemweite Rechte verfügt. Dieses Konto gilt als beliebtes Angriffsziel für Hacker, die versuchen, die Systemkontrolle zu übernehmen.
Eine einfache Sicherheitsmaßnahme, welche die Arbeit des Angreifers zumindest erschwert, ist die Umbenennung des Administratorkontos. Dies lässt sich mit dem ausschließlich in Windows XP Professional enthaltenen Gruppenrichtlinieneditor (Start - Ausführen - gpedit.msc) bewerkstelligen.
Die entsprechende Option befindet sich unter Computerkonfiguration - Windows-Einstellungen - Sicherheitseinstellungen - Lokale Richtlinien - Sicherheitsoptionen - Konten: Administrator umbenennen.Standardmäßig erstellt Windows XP Verwaltungsfreigaben für jedes im System befindliche Laufwerk, etwa C$, D$, IPC$ und so weiter. Auch Angreifer kennen selbstverständlich diese Freigaben. Deshalb sind sie oft Brute-Force-Attacken zum Erraten von Passwörtern sowie Angriffen anderer Art ausgesetzt.
Obwohl sich die Freigaben mittels der Computerverwaltung löschen lassen, stellt sie Windows nach jedem Neustart automatisch wieder her.
Wer dieses potenzielle Sicherheitsleck dauerhaft schließen möchte, muss den Registrierungseditor (Start - Ausführen - regedit) zur Hand nehmen.
Unter
HKEY_LOCAL_MACHINE\ System\ CurrentControlSet\ Services\ LanmanServer\ Parameters
befindet sich der Schlüssel AutoShareWks. Wird der darin enthaltene DWORD-Wert von 1 auf 0 geändert, stellt Windows ab der nächsten Anmeldung die Freigaben nicht wieder her.
Das Deaktivieren der Verwaltungsfreigaben kann sich auf systemnahe Anwendungen wie Netzwerksicherheitssoftware negativ auswirken. Sollten unerwartete Probleme auftreten, lassen sich die Freigaben durch Rücksetzen des DWORD-Werts auf 1 wiederherstellen.Löscht der Anwender eine Datei mit dem Windows Explorer, so werden die Daten nicht tatsächlich vernichtet. Das Betriebssystem gibt lediglich den der Datei zugeordneten Speicherplatz für Schreibvorgänge wieder frei. Die Datei bleibt auf dem Datenträger jedoch erhalten, und kann mit gängiger und einfach zu bedienender Software wiederhergestellt werden.
Sind die Laufwerke mit dem NTFS-Dateisystem formatiert, kann man auf Windows-Bordmittel zurückgreifen, um die Wiederherstellung gelöschter Dateien zu verhindern. Hier kommt das Hilfsprogramm zur Dateiverschlüsselung cipher.exe zum Einsatz. Mit dem Parameter /w entfernt das Tool Daten von nicht zugeordnetem Speicherplatz, indem es sie drei Mal überschreibt.
Das Tool ist über die Kommandozeile zu bedienen. Der Befehl "cipher /w:C:\" (ohne Anführungszeichen) überschreibt den kompletten freien Speicherplatz des Laufwerks C. Für Laufwerk D würde der Befehl "cipher /w:D:\" lauten, und so weiter.
Weitere Informationen und flexiblere Tools zum sicheren Löschen von Dateien finden Sie hier[6].Die von Windows angelegte Auslagerungsdatei des virtuellen Arbeitsspeichers kann unter Umständen sensible Daten enthalten, die von neugierigen Personen mit Systemzugriff eingesehen werden können. Sicherheitsbewusste Anwender können eine Einstellung vornehmen, die Windows anweist, die Auslagerungsdatei beim Herunterfahren des Systems zu löschen.
Die entsprechende Einstellung befindet sich unter
Start - Einstellungen - Systemsteuerung - Verwaltung - Lokale Sicherheitsrichtlinie - Lokale Richtlinien - Sicherheitsoptionen
Hier lässt sich die Option "Herunterfahren: Auslagerungsdatei des virtuellen Arbeitsspeichers löschen" aktivieren.Mit dem Encrypting File System (EFS) bietet Windows XP von Haus aus eine leistungsfähige Dateiverschlüsselung, mit der sich sensible Daten vor unbefugten Zugriffen schützen lassen. Voraussetzung hierfür ist das NTFS-Dateisystem.
Bei aktiven Standardeinstellungen ist die Nutzung der Verschlüsselungsfunktion allerdings mehr als umständlich. Um eine Datei oder einen Ordner zu chiffrieren, sind gleich mehrere Handgriffe erforderlich. Weitaus einfacher lässt sich die Verschlüsselung bedienen, wenn man die zugehörigen Befehle in das Kontextmenü einträgt. Anschließend stehen die Datenschutzfunktionen mit nur einem rechten Mausklick sofort zur Verfügung.
Um die Änderung vorzunehmen, ist ein Eingriff mit dem Registrierungseditor (Start - Ausführen - regedit) erforderlich.
Im Schlüssel
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Advanced
muss ein neuer DWORD-Wert mit der Bezeichnung EncryptionContextMenu erstellt werden. Setzt man diesen auf 1, erscheinen ab der nächsten Anmeldung die relevanten Befehle "Verschlüsseln" oder "Entschlüsseln" im Kontextmenü des Windows Explorer.In bestimmten Umgebungen stellen tragbare Speichergeräte wie USB-Sticks oder MP3-Player ein Sicherheitsrisiko dar. Die mobilen Datenträger eignen sich nicht nur hervorragend für den Transport eigener Dateien, sondern auch für den Diebstahl der Daten anderer.
Seit Windows XP Service Pack 2 besteht für Administratoren die Möglichkeit, den Schreibzugriff auf USB-Speichergeräte zu unterbinden. Bewerkstelligen lässt sich dies mit folgendem Eingriff in die Registry:
Mit dem Registrierungseditor (Start - Ausführen - regedit) ist unter
HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Control\ StorageDevicePolicies
ein neuer DWORD-Wert mit der Bezeichnung WriteProtect anzulegen. Setzt man diesen auf 1, blockiert Windows XP fortan alle Schreibanforderungen an USB-Speichergeräte.Wer nicht genau weiß, welche Anwendungen und Prozesse auf seinem System laufen, kann keine Sicherheit gewährleisten. Dies gilt insbesondere für Programme, die sich ohne Wissen des Anwenders in die verschiedenen Autostart-Bereiche von Windows einbinden.
Auch wenn Windows mit seinem Systemkonfigurationsprogramm msconfig einfache Informationen zu Startprozessen liefert, kann das Windows-Tool dem kostenlosen Utility Autoruns[7] nicht das Wasser reichen.
Das wohl umfangreichste Werkzeug zur Überwachung und Verwaltung von automatisch startenden Prozessen, Explorer-Shell-Erweiterungen, Toolbars, Browser Helper Objects, Diensten und mehr bringt dem Anwender einen entscheidenden Vorteil in puncto Sicherheit und sollte auf keinem Windows-System fehlen.Fast täglich werden neue Schwachstellen im Windows-Betriebssystem entdeckt. So enthält ein frisch installiertes Windows unzählige Sicherheitslücken, die seit der Produktion der ursprünglichen Installations-CD bekannt geworden sind.
Neben der Möglichkeit, das Service Pack 2 in die Windows-Installationsdateien zu integrieren[8], können auch ungewünschte Betriebssystemkomponenten entfernt, sowie aktuelle Sicherheitsupdates, Hotfixes und Add-Ons eingebunden werden. Die auf den neusten Stand gebrachten XP-Setup-Dateien können anschließend als Boot-CD gebrannt werden.
Bewerkstelligen lässt sich dies mit dem kostenlosen Tool Nlite. Wie es geht, und welche Funktionen das Werkzeug bietet, zeigt dieser Artikel[9].
URLs in diesem Artikel:[1] = http:/
[2] = http:/
[3] = http:/
[4] = http:/
[5] = http:/
[6] = http:/
[7] = http:/
[8] = http:/
[9] = http:/