Windows-Betriebssystem (Checkliste)

In dieser Rubrik gehen wir lediglich auf die Betriebssysteme Windows 2000 und XP ein, da diese derzeit am meisten Verbreitung finden und die am meisten angegriffene Plattform sind.

Auf den folgenden Seiten dieses Themas finden Sie zusätzlich:

• Spezielle Informationen zum Sicherheitscenters in Windows XP (ab Service Pack 2)

• Hilfestellung zur kompletten Deaktivierung von Netzwerkkomponenten (NetBIOS und DCOM) bei einem Einzelplatzsystem mit direktem Internetanschluss

1. Datei- und Druckerfreigabe checken:

Unter Netzwerk- und DFÜ-Verbindungen bei den jeweiligen Verbindungseinträgen unter Eigenschaften folgendes prüfen.

• Es darf/sollte unter “LAN-Verbindung” nur “Internetprotokoll TCP/IP” (Betrieb im  Netzwerk) oder der jeweilige Adapter bei Direktzugang (z.B. über T-DSL-Protocol) aktiviert sein. Bei zweiter Variante erfolgt die Bindung an TCP/IP dann über nachfolgenden Punkt

• Nur bei Direktzugang (Einzelplatzbetrieb ohne Router): Unter dem jeweiligen DFÜ-Eintrag (z.B. T.online) darf/sollte unter dem Reiter Netzwerk nur “Internetprotokoll (TCP/IP)” aktiviert sein

“Datei- und Druckerfreigabe” sowie “Client für Microsoft Netzwerke” unbedingt deaktivieren, sofern dies nicht benötigt wird (Netzwerk):

Über sog. Portscanning melden sich Freigabedienste auf TCP-Port 135-139 und 445 und können mißbraucht werden. Selbst ein Passwortschutz hilft nichts, da dieser einer “Brute-Force-Attack*” nicht standhält. Eine Deaktivierung der Freigaben unterbindet dies nur unvollständig. Deshalb empfehlen wir dringend, für einen Standalone-Rechner mit direktem Internetanschluss (ohne Router), die komplette Deaktivierung von DCOM/NetBIOS (“epmap, NetBIOS-NS, NetBIOS-DGM, NetBios-SS und Microsoft-DS/SMB”).

*massenhaftes Ausprobieren von Zeichenfolgen, in Form von Wortlisten oder Zufallgeneriertem.

2. Löschen von Standardfreigaben (versteckte Freigaben)

Bei Windows 2000 Prof. und XP Prof. (nicht XP Homeedition) sowie NT sind folgende administrative Freigaben standardmäßig aktiviert und mit einem $ angehängt gekennzeichnet:

• alle Stammpartitionen (z.B. C$ oder D$)
• Systemstammordner (ADMIN$)
• Faxdienst (FAX$)
• Serverdienst (IPC$)
• Remoteverwaltung Drucker (PRINT$)

Bei einem Zugriff mit einem Windows-Client im Netzwerk (net view), kann man diese versteckten Freigaben nicht sehen. Bei der Standardfreigabe der Stammpartitionen (C$ u.s.w.) verhält es sich jedoch beim Zugriff mit einem Samba-Client unter einem Linux/UNIX-System über SMB-Protokoll (Server Message Block) anders, denn hier erfolgt doch tatsächlich eine Auflistung ! Wurde kein Administrator-Passwort vergeben, ist der Angreifer sofort im System. In anderem Fall hat er die Möglichkeit eines Brute-Force-Angriffs, dem das System nicht standhalten würde. Auch verbreiten sich bestimmte Viren/Würmer so innerhalb eines lokalen Netzwerks (LAN). Überprüfen Sie Ihre Standardfreigaben unter:

• <Start/Systemsteuerung/Verwaltung/Computerverwaltung/Freigegebene Ordner/Freigaben> (siehe Bild unten)

oder

• in der DOS-Eingabeaufforderung (<Start/Ausführen/cmd + OK>) den Befehl <net share> und <Enter> eingeben

Es empfiehlt sich die Löschung der Standardfreigaben zu den Stammpartitionen sowie Remoteverwaltung von Druckern (die IPC$-Freigabe kann nicht aufgehoben werden). Löschen Sie die Freigaben, werden Sie bei einem Systemstart jedes mal neu erstellt. Um dies grundsätzlich zu ändern (Löschung ohne Neuerstellung), muss man der Registry einen Registrierungseintrag hinzufügen. Gehen Sie hierzu bitte wie folgt vor:

• Starten des Registrierungseditors (Start/Ausführen/Regedit/OK)

• Hinzufügen des DWORD-Wert “AutoShareWKS” mit Wert 0 in nachfolgendem Registrierungsschlüssel:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

• Registrierungseditor schliessen und Rechner neu starten

Bei erneuter Überprüfung der Freigaben (wie oben beschrieben), dürfen jetzt nur noch IPC$ und die evtl. gewollten manuellen Freigaben (Netzwerk) aufgelistet sein:

3. Deaktivierung aller unnötigen Dienste

Z.B. ist sicherlich vielen der überflüssige Nachrichtendienst bekannt, der während einer Internet-Sitzung für die kleinen Popup-Fenster mit schmuddeligem Inhalt sorgt. Mittels diesem ist es möglich, fremden Systemen unter Eingabe der IP-Adresse bzw. eines IP-Adressen-Bereiches (Ranges) eine Nachricht zukommen zu lassen. Was zunächst für eine interne Übermittlung von Nachrichten innerhalb von Windows-Netzwerken gedacht war, ist zum übel mißbrauchten Objekt für Spammer geworden. Es wird z.B. der komplette IP-Adressenbereich eines Providers eingegeben und mit entsprechenden technischen Ressourcen seitens des Absenders erhalten dann alle Online-Kunden des Providers die Nachricht auf ihrem Bildschirm eingeblendet.

Auf jeden Dienst einzugehen würde den Rahmen sprengen, weshalb wir uns nachstehend auf eine Liste, am Beispiel eines Standalone-Rechners (WinXP) mit direktem Internet-Anschluss, begrenzen.

Zu deaktivieren:

• Automatische Updates
• Routing und RAS
• SSDP Suchdienst
• Telnet
• Fehlerberichtserstattungdienst
• Eingabegerätezugang
• Netzwerk DDE-Serverdienst
• Netzwerk DDE Dienst
• Nachrichtendienst
• Remote-Registrierung
• Taskplaner
• Hilfe und Support
• Designs

Dies sind nur einige der Dienste, welche man komplett deaktivieren kann. Die weiteren, hier nicht aufgeführten, Dienste können jedoch nicht generell deaktiviert werden, da hierzu nähere Kenntnisse über Ihre Systemkonfiguration, verwendeten Applikationen und Profile nötig sind.

4. Nun sollten folgende Komponenten deaktiviert werden:

• Windows Messenger, sofern nicht verwendet
• Internet-Gateway-Gerätesuche
• Universelles Plug & Play (UPnP), konfigurieren Sie Ihren Router (sofern vorhanden) lieber selbst
• evtl. “Mediaplayer” und Ersatz durch “WinAmp” und “DIVX-Player” (sicherer)

4. Systemwiederherstellung (Windows Vista/XP/ME)

Diese wird bei Windows Vista/XP/ME verwendet, um beschädigte Systemdateien wiederherzustellen. Der Systemstatus wird hierzu entweder manuell oder automatisch erstellt (siehe auch Kapitel Datensicherung). Das Sytem hat jedoch einen entscheidenden Schönheitsfehler: Nachdem ein Virenscanner einen Virus gelöscht hat, stellt die Systemwiederherstellung die infizierte Datei beim nächsten Systemstart wieder her, da die Änderung (des Virenscanners) bemerkt und als Fehler interpretiert wurde.

Deshalb die Systemwiederherstellung, zumindest vor einem Virenscan, deaktivieren. Zusätzlich sollte, vor Überprüfung auf Viren, das System im abgesicherten Modus hochgefahren werden, um dem Virenschutzprogramm Zugriff auf Dateien und Systembereiche zu ermöglichen, was im normalen Systemmodus allein dem Betriebssystem vorbehalten sind.

5. Deaktivierung Windows Scripting Host (Windows Vista/XP/2000)

Der Einsatz des WSH ist umstritten, da über diesen schädlicher VisualBasicScript-Code eingeschleust werden konnte (z.B. Lovsan-, I love you- Wurm). Auch ungepatchte Internet Explorer (siehe auch VBS) weisen entsprechende Sicherheitslücken auf, die von Hackern durch sog. EXPLOITS ausgenützt werden können. Daher empfiehlt es sich auf den WSH zu verzichten und diesen wie folgt zu deaktivieren:

• Starten des Registrierungseditors (Start/Ausführen/Regedit/OK)

• Hinzufügen (wenn nicht schon vorhanden) der Zeichenfolge (REG_SZ) “Enabled” mit Wert 0 in nachfolgendem Registrierungsschlüssel:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings

• Registrierungseditor schliessen

• Starten des Windows-Explorers und Öffnen von <Extras/Ordneroptionen/Dateitypen>

• Nun die Dateitypen “VBE” und “VBS” löschen und bestätigen

• Rechner neu starten

6. Benutzerkonten

• Deaktivieren Sie das von Windows vordefinierte “Gastkonto”, sofern Sie diese Benutzergruppe (z.B. in einer Firma) nicht verwenden.

• Erstellen Sie für den normalen Arbeitsbetrieb ein oder mehrere Benutzerkonten mit Passwortschutz, welche KEINE Administratorrechte, sondern lediglich eingeschränkte Rechte besitzen. Dies hat folgende entscheidende Vorteile:

• Sie machen nicht aus Versehen etwas kaputt (z.B. Löschen von Windows-Dateien oder Registryeinträge, welche Ihr System gänzlich unbrauchbar machen; mit Adminrechten werden Sie nicht daran gehindert)

• Würmer, Trojaner und Hacker “erben” bei Aktivierung keine Administratorrechte und können so keine Manipulationen an der Registry oder Systemdateien vornehmen. Fast alle derzeitigen Würmer (siehe Aktuelles) benötigen volle Zugriffsrechte, um sich auf dem System festzusetzen !

• Umbenennung des Kontos “Administrator” und Aktivierung des Passwortschutz: ein potentieller Angreifer kennt dann weder den Benutzernamen des Administrators - und kann so keine Brute Force Attacke auf das Kennwort starten - , noch das Passwort. Am besten versehen Sie den Benutzername und das Kennwort mit Sonderzeichen (z.B. @, $, *, #, ], < u.s.w.)

7. Update

Um alle entdeckten Sicherheitslücken zu schließen, ist es unbedingt erforderlich das Betriebssystem auf aktuellem Stand zu halten. Ein Update sollte deshalb mind. 1 x im Monat erfolgen.

8. Absicherung über BIOS (Basic Input/Output System)

Das BIOS ist ein hardwaregebundenes Kernsystem, das bei einem Neustart für die Erkennung, Kontrolle und Steuerung bestimmter Peripherie (wie Maus, Tastatur, RAM, Grafikkarte) zuständig ist. Die Aufgaben werden vom BIOS übernommen bis das installierte Betriebssystem hochgefahren ist.

Nachstehend handelt sich um eine generelle Massnahme (nicht windows-spezifisch) zur lokalen Diebstahlsicherung: Sofern Sie Ihr System immer selbst starten/hochfahren und nicht Wakeup über LAN nutzen, sollten Sie in Ihrem BIOS ein Passwort für das Booten des Rechners und/oder Booten der Festplatte vergeben. Letzteres hat den entscheidenden Vorteil, dass selbst bei einem Ausbau der Festplatte (und Einbau in anderem Rechner) ein versuchter Zugriff fehlschlägt, da das Passwort auf der Festplatte hinterlegt ist und nicht im EPROM wie andere BIOS-Einstellungen. So kann ein fremdes Betriebssystem diese Festplatte erst gar nicht installieren, sprich wird vom System nicht als Hardware erkannt.

!!! Vergessen Sie dieses Passwort jedoch nicht !!! In diesem Fall hätten Sie sich in die Lage des Diebes manövriert und könnten den Rechner nicht (nie) mehr starten, da weder ein neues BIOS eingestellt werden könnte, noch ein Zugriff auf die Festplatte(n) möglich wäre.

Eine pauschale richtige Einstellung und Konfiguration des Betriebssystems für alle Anwender gibt es nicht. Wer seinen Rechner nur dazu benützt, um ein wenig im Internet zu surfen und zu spielen, hat wesentlich niedrigere Ansprüche an dessen Sicherheit als derjenige, welcher auf seinem PC wichtige Firmendaten speichert. Man muss abwägen, ob man zugunsten der Sicherheit auf das eine oder andere Feature des Betriebssystems verzichtet bzw. Einschränkungen akzeptiert oder das damit verbundene Risiko in Kauf nimmt.

In der heutigen Zeit der ständig wachsenden Computerkriminalität ist die Installation einer Firewall und eines Virenscanners unverzichtbar !. Um sich optimal zu schützen, bietet sich zusätzlich die Vorschaltung eines Routers an. Dies gilt auch für einen Standalone-PC, ohne lokales Netzwerk.

Gerne helfen wir Ihnen, die Dienste- und Komponenten-Konfiguration Ihres Betriebssystems an Ihr persönliches Benutzerprofil anzupassen sowie bei der Installation und Konfiguration einer Firewall bzw. Virenscanners.