Dieser Leitfaden erklärt in erster Linie das Vorgehen bei Windows 2000,
doch die gleichen Sachen, die hier beschrieben werden, finden sich so
oder ähnlich auch unter Windows XP wieder. Wer den Vorschlägen in diesem Artikel folgt, wird sich einem performanten und sicheren Windows-System erfreuen können. Doch um Illusionen vorzubeugen:
Sicherheit ist in erster Linie eine Frage von Disziplin, ein gut eingerichtetes System entbindet den Benutzer nicht von seiner Pflicht mit seinem System sorgsam umzugehen. Die besten Virenscanner, Firewalls und Systemeinstellungen sind machtlos gegen schlampige Benutzer.
Ist Windows unsicher?
Nun, Windows war zu Zeiten von Windows 95, 98 und "me" eine
Sicherheitskatastrophe. Seit der Windows NT-Linie (Windows NT,
Windows 2000 und Windows XP, etc) ist es aber mit Sicherheit sicherer
als sein Ruf, allerdings bedarf es einiger Maßnahmen um Windows abzudichten.
Das Problem sind an und für sich die Grundeinstellungen die Windows hat, wenn
es frisch installiert ist. Windows bietet per Default (zu Deutsch: Vorgabe)
leider einige Dienste im Netz an, die schon des öfteren durch Autoren von
Viren, Würmern und Trojanern zum Eindringen oder schlicht zum Abschießen von
Windows-Rechnern genutzt wurden. Diese Dienste mögen für wenige Anwendungsfälle
ganz nützlich sein, aber die wenigsten Benutzer brauchen sie tatsächlich.
Das Problem mit der Sicherheitssoftware:
Tatsächlich versuchen viele Anwender mit Sicherheitssoftware ihr System
vor Schaden zu bewahren, scheitern aber immer wieder, weil ihr System löchrig
ist, wie ein Duschkopf, weil sie jeden Mist installieren, der ihnen unter die Finger kommt und weil sie jeden Dialog pauschal mit "OK" quittieren. Es erinnert ein wenig an den Versuch ein Haus mit einer
Alarmanlage auszustatten und Wachhunde im Garten zu halten, aber die Fenster nur
anzulehnen, Trickbetrüger zum Essen einzuladen und den Safe nicht abzuschließen.
Besser wäre es, den Safe und die Fenster von vorn herein zu schließen und dubiose
Gesellen gar nicht erst ins Haus zu lassen, oder, sollten sie dennoch uneingeladen
zu einer Party kommen, diese so schnell wie möglich herauszuwerfen. Erst dann kommt
die Wirkung der anderen Installationen (Wachhund, Alarmanlage, etc) erst richtig
zur Geltung. Wie man das bewerkstelligt, möchte ich im Folgenden beschreiben.
Generelles Vorgehen:
Am besten startet man mit einem jungfräulichen System. Als erstes zieht man das Netzwerkkabel und ein eventuelles Modem vom Rechner, richtet es wie beschrieben ein und stellt erst dann die Verbindungen zum Internet wieder her. Damit stellt man sicher, dass kein Angriff aus dem Internet erfolgen kann, solange das System ungesichert ist.
Wenn man Windows installiert, sollte man darauf achten die Festplatte mit dem
NTFS-Dateisystem zu formatieren, dieses erlaubt, im Gegensatz zu den alten
FAT-Dateisystemen, eine Rechtevergabe auf Dateiebene, sprich: Man kann für jede Datei
festlegen, wer welche Zugriffsrechte besitzt. Wer eine bereits bestehende
Windows-Installation hat, kann den Typ des Dateisystem einfach herausfinden:
Arbeitsplatz -> Rechtsklick auf eine Festplatte -> Eigenschaften. Steht dort unter
"Dateisystem" die Abkürzung "NTFS" ist alles in Butter. Ein bestehendes FAT-Dateisystem
zu konvertieren führt idR zu Problemen, ich empfehle in dem Fall eine Datensicherung
und eine Neuinstallation. Die Fähigkeit zur Rechteverwaltung auf Dateiebene wird in
einem späteren Abschnitt wichtig. Zunächst widmen wir uns aber den unbenötigten Diensten.
Man gehe in die Systemsteuerung und wähle "Verwaltung" und dann "Dienste".
Die folgenden Dienste in der Liste sollten deaktiviert sein, soweit die vorhanden sind, es sei denn man braucht sie wirklich.
Sollte einer dieser Dienste bereits laufen, so sollte man ihn mit einen Rechtsklick auf den Namen über den entsprechenden Menüpunkt deaktivieren. Man deaktiviert einen Dienst mit einem Rechtsklick auf den Namen unter dem Punkt "Eigenschaften" in der Auswahlbox namens "Starttyp".
Sind diese Dienste deaktiviert, kann man direkt zum nächsten Punkt übergehen. Einige Worte über diese Dienste möchte ich dennoch verlieren:
Der Windows Nachrichtendienst ist ein Dienst, der es erlaubt über das Internet Nachrichten auf einen anderen Rechner im Netzwerk zu schicken, diese tauchen dann als Dialogbox auf dem Bildschirm auf. Im Grunde genommen ist sowas ähnlich, wie ein Instant Messenger (ICQ, AIM oder der MSN-Messenger), nur wesentlich primitiver und auch eher umständlich zu handhaben (unter DOS z.B. über den "net send" Befehl), weswegen ihn eh keiner benutzt. Dem Service fehlen natürlich auch eine Menge Sicherheitsfunktionen, wie das Blocken von Nachrichten unerwünschter Absender. Das Dumme ist, dass Werbetreibende diesen Dienst entdeckt haben, um uns mit ihrer Werbung zu nerven. Mit diesem Treiben macht man effektiv Schluss, wenn man den Dienst deaktiviert.
Der automatische Update-Dienst ist ein Dienst, der sich für gewöhnlich meldet, wenn Microsoft ein neues Update zu Windows bereitstellt. Allerdings ist er auch ein Dienst, dem man potentiell, über eine sogenannte "Man in the middle"-Attacke, falsche Daten unterjubeln könnte. Da die Update-Meldung nicht auf eigene Initiative geschieht, ist es schwer zu unterscheiden ob sie nun authentisch ist oder gefälscht, deswegen schaltet man diesen Dienst besser ab und prüft regelmäßig selbst auf der Seite "http://www.windowsupdate.com" ob ein Update verfügbar ist.
Die "gemeinsame Nutzung der Internetverbindung" ist ein Dienst, der den eigenen Rechner zu einem Router im Netzwerk macht, sprich: er erlaubt Leuten aus dem lokalen Netzwerk, die mit dem eigenen Rechner verbunden sind, über diesen ins Internet zu gehen. Die bessere Alternative eine Internetverbindung gemeinsam zu nutzen ist ein Hardware-Router, der idR verlässlichere und schlechter anzugreifende Sicherungsmechanismen bietet. Als Endpunkt in einem Netzwerk ist der Rechner auch weniger Risiken ausgesetzt, als als Netzwerkknoten, über den Daten transportiert werden, die, bewusst manipuliert, den Dienst selbst angreifen können.
Der Name des "Netmeeting Remote Desktop" Dienstes verrät eigentlich schon seine Funktion: Er ermöglicht es, dass man den Desktop des eigenen Rechners über das Netmeeting Programm über's Netzwerk, also auch das Internet, nutzbar ist: Praktisch wie eine Fernsteuerung. Nichts anderes machen Trojaner, wie "Back Orifice". Es ist nicht einzusehen, warum man diesen Dienst anbieten sollte, solange man ihn nicht wirklich braucht, da die Sicherheitsmechanismen von Netmeeting möglicherweise eine Sicherheitslücke haben können. Also schaltet man diesen Dienst von vorn herein komplett ab.
Telnet bietet eine Art Kommandozeile, auf die man sich über's Internet mit einem Telnet-Programm einloggen kann, im Grunde eine ähnliche Sache wie der Remote-Desktop, aber etwas dürftiger, dennoch nicht ungefährlicher, also: Abschalten.
Der Taskplaner ermöglicht es, Aufgaben zu festgelegten Zeiten automatisch auszuführen, wie einen wöchentlichen Virenscan, dennoch: Da es nicht auf Kommando des Benutzers erfolgt, kann ein Eindringling hier potentiell eine "unerwünschte" Aufgabe planen, die dann automatisch ausgeführt wird, ohne dass der Benutzer es sieht. Die Konsequenz ist klar: Man startet diese regelmäßigen Aufgaben besser künftig selbst und schaltet diesen Dienst ab.
Der "universelle Plug & Play-Gerätehost" ermöglicht es, Geräte im Netzwerk, wie einen gemeinsamen Netzwerkdrucker, per Plug&Play automatisch einzubinden, aber auch hier könnte ein Angreifer potentiell das Vorhandensein eines Netzwerkgerätes vortäuschen, über diesen Weg den Dienst in eine Fehlfunktion zwingen und so eigene Schadsoftware auf das System schmuggeln. Keine Frage: Diese Schwachstelle wird möglichst direkt ausgemerzt. Solange man diesen Dienst also nicht ausdrücklich braucht: deaktivieren. Sollte das Abschalten dieses Dienstes den Betrieb eines Gerätes unmöglich machen, kann man ihn ja immer noch wieder anschalten.
Microsoft selbst enpfiehlt in nicht vertrauenswürdigen Netzwerken, z.B. dem Internet, die Dienste NetBIOS und SMB (Server Message Block) zu deaktivieren. Selbst wenn man einen Webserver oder DNS-Server betreibt, braucht man diese Protokolle nicht. Man deaktiviert sie, um der Gefahr von Benutzeraufzählungen vorzubeugen. Die Benutzeraufzählung ist eine böswillige Methode zum Sammeln von Informationen, bei der ein Hacker versucht, systemspezifische Informationen zu erhalten, um weitere Angriffe zu planen.
Das SMB-Protokoll gibt nützliche Informationen über einen Computer zurück, sogar an nicht authentifizierte Benutzer, die sog. "Nullsitzungen" verwenden. Die abgerufenen Informationen enthalten unter anderem Domänen- und Vertrauensstellungen, Freigaben, Benutzerinformationen (einschließlich Gruppen und Benutzerrechte) und Registrierungsschlüssel - diese Informationen wollen wir natürlich nicht offen legen.
Das Problem dabei: Beim Versuch den Vorschlag von Microsoft zum Deaktivieren von NetBIOS auf Windows 2000-Servern in nicht vertrauenswürdigen Netzwerken zu folgen, versagte mir mein WLAN-Router die Zusammenarbeit und ich konnte nicht mehr ins Internet gehen. Das Problem dabei: Das Protokoll wird vollständig deaktiviert, ist aber scheinbar für meinen WLAN-Router nötig, der sich sich wie ein Gerät im lokalen Netzwerk verhält. Doch es gibt einen Weg, der nicht ganz so hart durchgreift: Man deaktiviert nur den NetBIOS Sitzungsdienst und das geht wie folgt:
Hiermit haben wir die o.G. Ports geschlossen.
Der Wurm Blaster/Lovsan, der weltweit für Furore sorgte, bediente sich eines Dienstes, den man besser nicht im Netzwerk anbietet: "Distributed Com". DCOM ist eine Technik, die es ermöglicht, dass Systemkomponenten über ein Netzwerk kommunizieren können, sprich: Ein Programmteil kann einen anderen Programmteil über ein Netzwerk ansprechen, so kann man Programme auf verschiedene Rechner im Netzwerk verteilen. Unnötig zu erwähnen, dass das ein potentielles Einfallstor ist und der Einschlag des Blaster/Lovsan Wurmes war in der Tat gewaltig. Das mit das nicht nochmal passiert, machen wir dem jetzt ein Ende:
Abschalten von DCOMNach dem Neustart ist das Problem "DCOM" passé und wir können uns dem nächsten Einfallstor widmen:
Microsoft verfolgt schon seit langem die Strategie, Internet-Inhalte mit dem Desktop zu verschmelzen und entwickelte daher eine Technologie mit Namen ActiveX, die den sogenannten Java-Applets, einer Entwicklung der Firma Sun Microsystems, sehr ähnlich sind, aber in ihrer Windows-Integration deutlich weiter gehen. Dummerweise riss Microsoft damit ein Tor auf, das auch ungebetene Gäste gerne als willkommene Einladung sehen. Während Applets in einer sogenannten "Sandbox" (zu deutsch: Sandkasten) laufen, aus dem sie nicht ausbrechen können, dürfen ActiveX Steuerelemente viel zu viel im System, z.B. kann man per ActiveX Werkzeugleisten und ähnliche Programme im Windows-Desktop verankern, eine Technik, die auch Online-Virenscanner benutzen. Online-Virenscanner werden beim Aufruf der entsprechenden Internetseite des Antiviren-Herstellers auf dem eigenen System aktiv. Ein Online-Virenscan muss alle Dateien auf dem Rechner lesen können, um sie auf Viren zu untersuchen. Damit ein Online-Virenkiller einen Virus entfernen kann, so muss er sogar eine Datei auf dem Rechner ändern dürfen. Sachen, die ein Java-Applet gar nicht erst nicht darf! Natürlich kann ein Mensch mit ein wenig krimineller Energie diesen Mechanismus auch benutzen um keine Viren zu tilgen, sondern funktionierende Programme zu befallen und schon sind wir in der Welt der Dialler angelangt, die sich, unter anderen, über diesen Weg ins System einschleusen.
ActiveX schaltet man folgendermaßen aus:|
http://*.windowsupdate.microsoft.com http://*.windowsupdate.com |
In der Systemsteuerung findet man unter den Netzwerk- und DFÜ-Verbindungen den Punkt "Eingehende Verbindungen". Diesen öffnet man.
Hier befinden sich nun Einstellungen, die angeben, wer sich mit dem Rechner verbinden darf und was ihm dann erlaubt ist. Verfügt der Rechner z.B. über ein Modem oder eine ISDN-Karte und lauscht auf eingehende Anrufe, kann man ihn mit einem Modem, wie ein normales Telefon, anrufen und sich mit ihm vernetzen. Dieser Punkt wird gerne übersehen und so ist hin und wieder ein sonst vorzüglich geschütztes Firmennetz über ein so billiges Einfallstor, wie die Telefonanlage offen für Eindringlinge, weil irgendwo noch ein Arbeitsplatz mit ISDN-Karte an einer Telefonleitung hängt, auf dem diese Einstellungen den vollen Zugriff auf das lokale Netzwerk gewähren.
In der Registerkarte "Allgemein" deaktiviert man sämtliche Geräte, die im Kasten "eingehende Verbindungen" gelistet sind.
Die Option "Anderen den Zugriff auf diesen Rechner durch Tunneln [..] gestatten" unter "virtuelles, privates Netzwerk" muss deaktiviert sein.
In der Registerkarte "Benutzer" darf kein Benutzer angewählt sein.
In der Registerkarte "Netzwerk" geht man in die Eigenschaften jedes einzelnen Protokolls (z.B. TCP/IP) und deaktiviert dort in dem Kasten "Netzwerkzugriff" die Option "Anrufern den Zugriff auf das lokale Netzwerk gestatten".
Nun, da wir eine gewisse Grundsicherheit hergestellt haben, kann man sich der Sicherheitssoftware widmen, um das ganze abzurunden. Zunächst sollte man wissen, welche Software was leistet. Nichts ist schlechter als ein trügerisches Vertrauen in eine Software, die am Ende doch nicht das tut, was man fälschlicherweise von ihr erwartet hat.
Eine Firewall ist ein Sicherheitskonzept. Sie ist nicht nur eine technische Einrichtung zur Trennung von Netzbereichen, sondern das Wort Firewall bezeichnet auch die Pflege so eines Systems. Oft wird aber nur die Software oder Hardware mit der das bewerkstelligt wird, als "Firewall" bezeichnet. Eine Firewall-Software besteht normalerweise aus ein Paketfilter, der einmal zwischen einem Netz A, einer "Demilitarisierte Zone (DMZ)" und zwischen der DMZ und einem Netz B sitzt. Man spricht von einer "Demilitarisierte Zone" ganz einfach deswegen, weil dort alles erlaubt ist. In dieser "Demilitarisierten Zone" wird z.B. ein Proxy platziert, der im Auftrag einer Anwendung Vermittlungsdienste ausführt.
Wie man einfach einsehen kann, muss eine demilitarisierte Zone, von allen Seiten abgeschirmt sein, wer zum Beispiel ein schönes Netzwerk zuhause hat, welches über eine Firewall vor dem Internet abgeschirmt ist und einen ungesicherten Laptop an das lokale Netzwerk klemmt, der macht nichts anderes als die Vordertür abzuschließen und die Hintertür zu öffnen.
Personal Firewall vs Externe Firewall
Wenn man von "Firewall" redet, versteht der Laie darunter oft Software-Firewalls, wie ZoneAlarm, Kerio Personal Firewall oder Sygate Personal Firewall. Ihr Nutzen ist höchst umstritten. Zum einen befinden sich solche Programme auf dem gleichen Rechner, auf dem man arbeitet, kann also im Prinzip von einem Schädling, der auf dem System ist abgeschaltet werden - natürlich ist das ungleich schwerer, wenn dieser Schädling die erforderlichen Rechte nicht hat (siehe: "Trennung von Administrator und Benutzer"), das Problem bleibt jedoch im Prinzip bestehen. Eine Personal Firewall hat dadurch aber den Vorteil, dass sie zwei unterschiedlichen Programmen, die über den gleichen Anschluss (Port) kommunizieren recht einfach unterscheiden kann und nur einem der beiden den Zugriff verbieten kann.
Zum anderen ist eine Personal Firewall auch nur ein Stück Software, dass schadhaft sein kann und dementsprechend Sicherheitslücken öffnen kann. Insbesonders weil diese Personal Firewall idR als Systemdienst läuft und damit umfassende Rechte genießt. Der Vorteil einer externen Firewall ist hier, dass sie nicht auf dem selben Rechner läuft und daher auch nicht über diesen Weg misbraucht werden kann.
Weiterhin gibt es Möglichkeiten, die Blockaden fast jeder Firewall zu umgehen, oft sogar sehr einfach, indem man eine Applikation benutzt, der der Zugriff auf das Netz gestattet wurde, z.B. kann ein Trojaner einfach eine Internetseite wie "http://www.crackerserver.invalid/login/Karlheinz/pass/Ü7Bmdg./" mit dem Browser öffnen und so dem Crackerserver die Login-Daten übermitteln, die er auf dem befallenen Rechner ermittelt hat - notfalls auch verschlüsselt, damit es nicht direkt auffällt. Der Crackerserver zeigt dann beispielsweise einfach ein Werbefenster an, sodass man als Nutzer nicht sofort merkt, dass man ausspioniert wurde, sondern sich nur über das Werbefenster ärgert. Das Problem betrifft ganz besonders externe Firewalls. Ein derartiges Vorgehen nennt man auch "Tunneln". Eine Personal Firewall hat hier immerhin den Vorteil, dass sie solche Versuche möglicherweise unterbinden kann, indem sie z.B. in diesem Fall versucht zu prüfen ob eine bekannte Applikation den Browser öffnet. Dummerweise schaffen sie das auch nicht in jedem Fall und dummerweise ist das auch nicht die einzige Möglichkeit eine Firewall zu umgehen. Ausserdem gilt: wenn ein Dienst gar nicht erst läuft, so braucht man einen Netz-Zugriff von ihm, bzw. einen Zugriff aus dem Netz auf ihn, auch nicht zu unterbinden. Der Nutzen einer Firewall ist also denkbar begrenzt.
Eine Firewall hilft nur die Software zu abzuschirmen, die es nicht drauf anlegt die Firewall zu umgehen oder zu kompromittieren.
Das bedeutet natürlich nicht, dass man darauf verzichten sollte, schließlich macht jede Hürde, die ein Eindringling nehmen muss, seinen Versuch schwerer.
Windows bringt ein Bordmittel mit, welches in diesem Punkt schon recht gute Dienste leistet:
Windows IP-Filterung
Wie oben beschrieben, ist die primäre Funktion einer Firewall die Paketfilterung. Wer möchte, dass sein System nicht durch eine eher unnötige Personal Firewall-Software, wie Zone-Alarm, verlangsamt wird, nimmt den eingebauten Filter von Windows.
Hier aktiviert man "[X] TCP/IP-Filter aktivieren (für alle Netzwerkkarten)". Durch das Aktivieren dieses Kontrollkästchens wird die Filterung für alle Netzwerkkarten aktiviert. Die Filterkonfiguration muss jedoch für jede Netzwerkkarte einzeln vorgenommen werden.
Kommen wir nun zur Filterung:
Um nun die eingehenden TCP/IP-Verbindungen sinnvoll zu beschränken, wählt man in der Box für die TCP/IP Verbindungen den Punkt "nur zulassen" und fügt die Portnummer 53 hinzu, damit auch solche Antworten des Domain-Name-Servers den eigenen Rechner erreichen können, die nicht mehr in ein einzelnes Datenpaket passen.
Bei den UDP-Ports belässt man die Einstellung "Alle zulassen", damit die normalen, kurzen Antworten des Domain-Name-Servers den Rechner erreichen können.
Bei "IP-Protokolle" schaltet man auf "Nur zulassen" um und lässt die Box leer.
Mögliche Probleme und ihre Lösungen:
| Problem: | Lösung: |
|---|---|
| Mein FTP-Client verbindet, aber empfäntgt keine Daten. | Passiven Transfermodus im FTP-Programm einschalten. |
| Mein Online-Spiel, Filesharing-Programm, Instant-Messenger funktioniert nicht mehr. | Den benötigten Port des Programmes freigeben. Eine Liste bekannter Ports gibt es unter http://portforward.com/cports.htm. |
| VPN-Verbindungen gelingen nicht mehr. | In der Box "IP-Protokolle" die Protokollnummer 47 hinzufügen. Sie steht für das "Generic Route Encapsulation (GRE)"-Protokoll, welches für VPN-Verbindungen benötigt wird. |
| Ein von mir benötigtes Protokoll (z.B. IPX-in-IP) ist blockiert. | Das benötigte Protokoll freigeben. Eine Liste bekannter Protokollnummern gibt es unter http://www.iana.org/assignments/protocol-numbers. |
Es gilt bei einer guten Einrichtung, immer das Minimalprinzip: Man gebe nur das frei, was man wirklich braucht. Trotzdem wir nun einen Paketfilter eingerichtet haben, bitte ich, eine Sache nicht zu vergessen:
Der TCP/IP-Filter von Windows beschränkt nur eingehende Verbindungen.
Stealth vs closed Port
Der TCP/IP-Filter schließt die Ports nur, er versteckt sie nicht und ein ICMP-Ping wird ebenfalls nicht verhindert. Das bedeutet konkret, dass man mit einem Ping die Maschine im Netz entdecken kann und dass der Port auf Anfragen antwortet (mit der Nachricht, dass er geschlossen ist). An für sich ist das ein ganz normales und auch gewünschtes Verhalten (siehe: RFC 793, Kap. 3.4, "Reset Generation"), doch lässt es einem Angreifer die Möglichkeit, eventuell vorhandene Lücken im TCP/IP-Stack des Rechners ausnutzen, um den Rechner zu crashen. Aus diesem Grund setzen viele Hardware- und auch Software-Firewalls darauf, grundsätzlich nie auf Anfragen an den Port zu antworten ("stealth"). Diese Taktik ist aber nicht immer gut, wenn man z.B. Werbung mittels einen Hosts-Files blocken will, bekommt der Browser keine Rückmeldung vom lokalen Port und wartet unnötig lange auf das Überschreiten des Zeitlimits einer Anfrage ("Timeout"). Die Taktik der Firewall nicht zu antworten verhindert auch nicht, dass ein bewusst fehlerhaftes Paket die Firewall selbst zum Absturz bringen könnte und diese damit völlig aushebelt. Ein Hacker kann zudem den Timeout seines Port-Scanners so niedrig setzen, dass es für ihn kaum einen bemerkenswerten Unterschied macht, ob der Port geschlossen oder versteckt ist und wer es drauf anlegt, hat ohnehin genug Zeit. Die perfekte Lösung existiert also nicht. Ein guter Kompromiss ist es, innerhalb eines Lokalen Netzwerkes (LAN) die Ports zu schließen und die Ports in Richtung des Internets (WAN) zu verstecken. Um das zu erreichen, konfiguriert man den TCP/IP Filter von Windows, wie oben erklärt und schirmt sich nach außen hin mit einer Hardware-Firewall ab. In diesem Szenario ist eine Personal Firewall, wie Zone-Alarm überflüssig, nein: hinderlich.
Auch wenn im Moment keine offenen Lücken in Windows TCP/IP-Stack bekannt sind, sollte man dennoch darauf achten, dass man regelmäßig Updates einspielt. Am besten man schaut einmal in der Woche auf http://www.windowsupdate.com nach, ob ein Update existiert, denn vielleicht wird ja eines Tages noch eine entdeckt.
Da die IP-Filterung nur eingehenden Verkehr stoppt, und da man Firewalls ohnehin bei Bedarf tunneln kann, ist es immer wichtig, dass Software, die Daten nach draußen schmuggeln will, gar nicht erst auf das System gelangt. Eine Hilfe das zu unterbinden liegt u.A. in der Verwendung eines Virenscanners, doch dazu später. Bevor wir möglicherweise online gehen müssen, um einen Virenscanner herunterzuladen und zu installieren, müssen wir erst einmal..
Vorab: Trotzdem dieser Punkt fast am Ende dieses Leitfadens ist, ist er der Wichtigste von allen!
Alle Einstellungen, die wir oben gemacht haben, können von einem Virus rückgängig gemacht werden, damit das nicht passieren kann, darf dieser niemals die Rechte bekommen, das auch zu tun.
In diesem Abschnitt geht es also darum sicher zu stellen, dass etwas, was eindringt, so wenig Bewegungsfreiheit hat wie möglich. Wer ein System besitzt, mit dem er kommuniziert, Beispielsweise per E-Mail, kann nicht verhindern, nein, er will auch nicht verhindern, dass Daten auf das System kommen - nämlich E-Mails, E-Mail Anhänge, heruntergeladene Programme, etc.. Die Frage ist, was diese Daten auf dem Rechner auslösen dürfen und wenn es Programme sind, wie viele Rechte diese haben dürfen.
Natürlich kann man versuchen mit Virenkillern Schädlinge auszumerzen, bevor sie Schaden anrichten können, doch das kann nur ein ergänzender Schritt sein, denn die Hersteller von Antivirus-Software können nur reagieren und hinken demnach den Virenschreibern immer einen Schritt hinterher. Sinnvoll ist es daher, zunächst einmal sicher zu stellen, dass die Spielräume eines Virus, Wurms oder Trojaners so eng sind, dass er sich möglichst nicht oder nur im geringen Maße entfalten kann, wenn er aktiv wird. Da Viren und Würmer auch versuchen, Antivirus-Programme abzuschalten, ist das alleine schon sinnvoll, um seine Antivirus-Software zu schützen. Ausserdem ist es auch, wie bei den Diensten, möglichst zu vermeiden, dass sich etwas ohne Zustimmung des Benutzers im System installiert.
Administrator und Benutzer
Wer seinen Rechner benutzt macht in erster Linie zwei Sachen: Er arbeitet und er verwaltet sein System. Diese zwei Rollen sollte man aus diversen Gründen fein säuberlich trennen, oder um es anders auszudrücken: Wenn man eine Firma hat, lässt man auch nicht jeden, der im Gebäude ist, an den technischen Einrichtungen fummeln, um den Betrieb nicht zu gefährden. Ähnlich verhält es sich mit Windows.
Windows hat einen Nachteil: Wenn man einen neuen Benutzer anlegt, hat dieser per Voreinstellung die Rechte eines Administrators, sprich: er darf alles nahezu alles am System ändern, Software installieren, deinstallieren, Systemdateien löschen, usw.. Nun ist es so, dass jedes Programm die Rechte desjenigen erbt, der es startet. Also dürfen Programme, die wissentlich oder unwissentlich von einem Administrator gestartet wurden, nahezu alles im System verändern - zu dumm, dass das auch ein Virus sein kann.
Nahezu 80%-90% aller Viren, Trojaner und Würmer wären wirkungslos, wenn sie keine ausreichenden Rechte hätten, um Programme zu verändern oder sich im System zu installieren! Einige dieser Schädlinge versuchen sogar, Virenscanner und Firewalls gezielt auszuschalten. Dazu muss man wissen: Virenscanner und Personal Firewalls sind mit Vorliebe so installiert, dass sie als Systemdienst arbeiten. Der Versuch sie abzuschalten wäre ein sinnloses Unterfangen, wenn diese Schädlinge keine ausreichenden Rechte hätten Systemdienste zu beenden.
Diesen Zustand herzustellen ist kein Problem.
Benutzer anlegen:
Erinnerung: Damit man die Sicherheitsfeatures einer Benutzerverwaltung nutzen kann und überhaupt Rechte pro Datei vergeben kann, muss, wie gesagt, das NTFS-Filesystem vorliegen. Sonst kann man zwar Benutzer anlegen, doch die Dateien sind für jeden frei les- und schreibbar, weil das alte FAT-Dateisystem keine Zugriffsrechte kennt. Aber schreiten wir zur Tat:
In der Windows Systemsteuerung gibt es den Punkt "Benutzer und Kennwörter". Hier legt man einen neuen Nutzer an, nennen wir ihn "Karlheinz". Es ist wichtig, dass dieser Benutzer, wie jeder Benutzer am Rechner, ein Passwort bekommt! Wenn nach der Benutzergruppe gefragt wird, so kommt Karlheinz in die Gruppe der "Benutzer mit eingeschränktem Zugriff". Dieser Punkt ist wichtig! Er kommt NICHT in die Hauptbenutzer-Gruppe, er kommt NICHT in die Administrator-Gruppe, er kommt NICHT in die Gäste-Gruppe!
Warum ist es wichtig dass jeder Nutzer ein Passwort hat?
Nun, ein Programm könnte versuchen sich mit dem Kommando "runas /user:Administrator boesefalle.exe" zu starten und die Frage nach dem Kennwort einfach mit einem leeren Kennwort bestätigen und schon hat es Administrator-Rechte. Das darf natürlich nicht so einfach möglich sein. Auch eine sogenannte "Wörterbuch-Attacke" ist an diesem Punkt möglich. Ein Kennwort sollte deswegen kein übliches Wort, Datum, der Name der Freundin oder die Kombination daraus sein - das ist wirklich zu einfach. Besser ist es einen Merksatz zu bilden, wie: "Über sieben Brücken musst du gehen." und daraus ein Kennwort zu machen: "Ü7Bmdg." Dieses Kennwort ist erstens einfach zu merken, zweitens schwer zu erraten, drittens mit 7 Zeichen ausreichend lang, viertens beinhaltet es Sonderzeichen und Zahlen und fünftens habe ich es hiermit "verbrannt", was bedeutet:, dass man es nicht mehr benutzen sollte.
Arbeitsweise
Zur Erinnerung: Ein Programm das von einem Benutzer mit eingeschränkten Rechten gestartet wird, erbt auch seine Rechte, sprich: auch wenn jemand aus der Benutzergruppe aus Versehen einen Virus startet, so darf dieser nur die persönlichen Dateien des Benutzers versauen, aber an das System kommt er nicht ran und weil er installierte Programme nicht ändern darf, kann er sich auch in dieser Form nur schwer im System verewigen. Die Installationen sind deswegen vor dem Zugriff eines normalen Benutzers sicher, weil eine Datei, die vom Administrator angelegt wurde, nicht einfach von einem Benutzer gelöscht oder verändert werden darf, es sei denn der Administrator erlaubt dieses ausdrücklich. Der Administrator kann sogar den Lesezugriff für einzelne Benutzer oder ganze Benutzergruppen sperren. Daher ergibt sich logischerweise folgende Arbeitsweise:
Wenn man nun arbeiten oder im Internet surfen will, so meldet man sich immer an sein Benutzerkonto (in diesem Beispiel "Karlheinz") an.
Wenn man etwas installieren will, so meldet man sich als Administrator an, überprüft den Download auf Viren und wenn kein Virus gefunden wurde, beginnt man mit der Installation. Als Administrator meldet man sich auch dann an, wenn man sein System aktualisieren will oder sonstige Wartungsarbeiten vornimmt, die entsprechende Rechte erfordern.
Also noch einmal die Warnung: NIE als Administrator arbeiten, sprich: E-Mails lesen, im Internet Surfen, spielen, etc!
So eingerichtet und benutzt, ist ein System natürlich um einiges sicherer, als wenn man immer als Administrator arbeitet.
Nun aber zum ungemütlichen Teil der Sache:
Einige Software ist dummerweise schlecht programmiert und weigert sich zu arbeiten, wenn sie keine Administrator-Rechte hat. Andere Software vergisst bei der Installation, dass es mehr als einen Benutzer im System geben kann und verewigt sich deshalb nicht auf dem Desktop oder im Startmenu aller Nutzer. Beidem ist aber in der Regel einfach beizukommen. Wie das geht, beschreibe ich in einem anderen Teil meiner TechTalk-Kolumne.
Weigert sich die Software trotz allem zu funktionieren, sollte man sie beim Hersteller als fehlerhaft reklamieren.
Kaum eine Software der Welt ist es wert, sensible Daten, wie Kontoverbindungen, persönliche Briefe, Briefe an Behörden, Lohnabrechnungen, persönliche Datenbanken, Fotos oder ähnliches unnötig zu riskieren! Deswegen gehen einige Nutzer sogar soweit und wickeln geschäftliches und Freizeit unter unterschiedlichen Benutzerkonten ab, um durch eine Aktivität die Daten der anderen nicht zu gefährden.
Hart bleiben
Gleiches Prinzip gilt auch bei der Bank: Weigert sich das Onlinebanking-Portal der Bank mit einem alternativen Browser, wie Opera oder Mozilla zusammen zu arbeiten, wechseln sie die Bank, nicht den Browser. Eine Bank, die die Sicherheit ihrer Daten nicht ernst nimmt und sie dazu zwingen will, das unsicherste Stück Software der Erde zu benutzen um ihre Konten zu manipulieren, hat ihr Vertrauen nicht verdient.
Bei Webseiten, die mit alternativen Browsern nicht zusammenarbeiten wollen, sollten sie den Webmaster freundlich anschreiben. Reagiert dieser nicht, indem er den Fehler beseitigt, will er sie auch nicht als Kunden begrüßen: Suchen sie sich eine bessere Alternative.
Auch bei Virenscannern gilt: Nur wenn man sich darüber im Klaren ist, was ein Virenscanner NICHT kann, bringt ein Virenscanner zusätzliche Systemsicherheit. Wer so einem Programm blind vertraut hat schon verloren.
Ein Virenscanner kennt zwei Verfahren um einen Virus, Wurm oder Trojaner zu identifizieren: Die Signatursuche und die heuristische Suche. Das erste Verfahren vergleicht Dateien nach bekannten Abschnitten und findet es einen solchen, meldet es einen Virus. Das zweite Verfahren versucht das Programm nachzuvollziehen und wenn es typische Arbeitsweisen eines Virus findet, meldet es einen Verdacht.
Beide Verfahren haben starke Grenzen. Zum einen ändern sich die Strategien der Virenschreiber ständig. Sie gehen soweit, ihre Virenprogramme zu verschlüsseln, sie automatisch zu verändern (Mutation) und/oder sich dem Zugriff zu entziehen, indem sie vorsätzlich Blöcke auf der Festplatte beschädigen, die nur sie selbst lesen können, um dort die Programmteile vor dem Virenscanner zu verstecken, die die eigentliche Schadfunktion enthalten (Stealth Viren). Manche Virenschreiber bringen ihre Schadfunktionen auch in Programmen unter, die den Anschein eines nützlichen Programmes erwecken, so dass der Nutzer ihnen vertraut und sie installiert. Die Netbus-Backdoor wurde sogar u.A in Form eines vermeintlichen Netbus-Entfernungsprogrammes verteilt!
Virenscanner erkennen also in erster Linie nur bekannte Viren zuverlässig, es ist daher extrem wichtig, dass der Virenscanner immer auf dem aktuellen Stand gehalten wird. Da die Hersteller von Antivirus-Software nur reagieren können, sind die Virenautoren den Herstellern immer einen Schritt voraus.
Wenn man z.B. eine E-Mail mit einem Anhang bekommt, sollte man also immer aufpassen. Einige Schädlinge benutzen die Absenderadresse und Adressbücher die sie auf dem Rechner ermittelt haben, den sie befallen. Die Adressbücher von Outlook und Outlook Express waren in der Vergangenheit beliebte Informationsquellen, da diese Programme extrem weit verbreitet sind. Möglicherweise bemerkt der Nutzer eines Rechners also gar nicht, dass seine Maschine im Hintergrund unter seinem Namen, denen seiner Kollegen im Adressbuch oder unter zufällig erzeugten Namen Viren an all seine Bekannten verschickt. Daher ist es extrem wichtig, dass man selbst als Nutzer kritisch bleibt und möglichst keine Anhänge öffnet, die einen unabgesprochen erreichen. Ausführbare Dateien, wie kleine Spiele, die einem die Büropause versüßen, sind beliebte Wirte für Viren. Sowas sollte man direkt löschen, ohne es zu öffnen. Man erkennt sie oft schon an den Dateiendungen ".com", ".vbs", ".bat", ".msi" oder ".exe". Einem Text unter der Mail, der vorgibt, die Datei sei auf Viren geprüft und für gut befunden, sollte man nicht vertrauen: Dieser Text kann vom Virus/Wurm selbst eingefügt worden sein!
Realtime-Scanning
Viele Antivirus-Programme bieten eine Realtime- (Echtzeit-) Scan-Option. Diese prüft alle Dateien, die geöffnet werden auf Viren. Man mag denken, dass das eine gute Maßnahme ist, doch sie hat einen gravierenden Nachteil: Sie frisst Leistung, und zwar nicht wenig. Bei jedem Programmstart öffnet das Betriebssystem nicht selten hunderte von kleinen Dateien, manche von ihnen mehrfach, ohne dass der Benutzer es merkt. Da ein Virus bei jedem der Zugriffe zuschlagen könnte, wenn er dürfte, überprüft so ein Realtime-Scanner diese Datei jedes mal erneut. Teilweise muss er die Dateien dazu sogar vorher entpacken. So macht man aus dem schnellsten Rechner eine Schnecke. Ich habe schon aktuelle Rechner gesehen, die langsamer liefen als eine 4 Jahre ältere Mühle, nur aus diesem einzigen Grund.
Wenn man diesen Nachteil nun loswerden will, indem man das Realtime-Scanning abschaltet, so verliert man nicht unbedingt an Sicherheit. Wir erinnern uns: Dateien, die vom Administrator installiert wurden, können nicht von einem Benutzer verändert werden, sofern der Administrator dies nicht ausdrücklich erlaubt hat. Also sind diese schon geschützt. Wenn sie einmal sauber, also Virenfrei, installiert wurden, braucht man sie demzufolge nicht neu überprüfen. Wenn man also fein Administrator- und Nutzer-Rolle getrennt hat, reicht es aus, den Realtime-Scan auf die Verzeichnisse und Dateien zu beschränken, auf die ein Benutzer Schreibrechte hat. Dadurch erzielt man einen enormen Geschwindigkeitsgewinn, verliert aber nicht an Sicherheit im Vergleich zu der Situation, in der man jede Datei überprüfen lässt.
Sicherheitslücke Internet Explorer
Obwohl wir "Active X" abgeschaltet haben, ist es nicht zu empfehlen den Internet Explorer für mehr zu benutzen, als sein Windows auf dem neuesten Stand zu halten. Es wird ungefähr jede Woche eine neue Sicherheitslücke im Internet Explorer gefunden.
Also sollte man an dieser Stelle, bzw. sobald man mit dem Rechner wieder ans Netz geht, direkt einen besseren Browser installieren.
Mozilla, Firefox und Opera sind die derzeit besten Alternativen zum Internet Explorer. Sie sind sicherer, leistungsfähiger und bieten deutlich mehr Komfort. Entscheidet man sich für Opera, ist darauf zu achten, dass man die "Mehrbenutzer Installation" wählt. Auch das wird im späteren Zusammenhang wichtig sein.
AOL und T-Online Nutzer haben das Pech, dass die jeweilige Zugangs-Software den Internet Explorer zur Darstellung von Webseiten benutzt. Im Zweifel baut man mit der Software einfach nur die Verbindung auf, minimiert das Fenster und arbeitet mit einem sicheren Browser weiter.
Sicherheitsrisiko Outlook und Outlook Express
Man muss es leider so sagen: beide Programme sind neben dem Internet Explorer das Sicherheitsrisiko Nummer 1. Es würde zu lange dauern alle Gründe aufzuzählen, oft genug haben sich Viren, Würmer und Trojaner die Automatismen, die diese Programme bereit stellen oder den Umstand, dass der Internet Explorer zum Darstellen der Emails benutzt wird, ausgenutzt, um sich Zugang zum System zu beschaffen. Outlook Express und Outlook mögen einfach oder komfortabel sein, aber was nützt der schönste Komfort, wenn man eines Tages mit seinem verseuchten Rechner nur noch Probleme hat?
Natürlich kann man verzweifelt versuchen diese Programm abzudichten, aber besser ist es in diesem Fall direkt auf ein anderes E-Mail Programm auszuweichen.
Die Browser Opera und Mozilla haben ein E-Mail Programm installiert, die Firma "Ritlabs" bietet mit "The Bat" ebenfalls ein extrem leistungsfähiges E-Mail Programm an. Auch "Thunderbird" ist ein nicht zu verachtendes Mail-Programm, welches Outlook Express in fast allen Punkten übertrifft. Alle diese Programme haben zudem einen lernfähigen Spamfilter, der Werbe-Müll schon nach kurzer Trainingszeit zuverlässig aussortiert.
Sicherheitsproblem Microsoft Office.
Leider haben Microsoft auch bei ihrem Office-Paket geschlampt. Obwohl die Meldungen über neue Sicherheitslücken immer seltener werden, heißt das nicht, dass alte nicht immer noch existieren und ausgenutzt werden. Leider ist es immer noch so, dass einige Dokumente, die man so vom lieben Arbeitskollegen geschickt bekommt, verseucht sein können, z.B. mit sogenannten "Makroviren". Es gibt auch hier einen einfachen Ausweg, indem man sich Ersatz beschafft: Open Office.
Diese Büro-Software ist nicht nur ähnlich leistungsfähig wie Microsoft Office, nein, es ist völlig kostenlos. Es sieht auf den ersten Blick allerdings ein wenig anders aus. Natürlich kann man mit Open Office auch Excel-Tabellen, Word-Dokumente und Powerpoint-Dateien öffnen und erstellen. Der Export eines Textes in eine PDF-Datei ist mit einem einzigen Knopfdruck getan, ganz ohne Zusatz-Software. Eine Deutsche Rechtschreib-Korrektur existiert, ist aber leider noch verbesserungswürdig.
Tauschbörse der Vollidioten
Ja, es gibt sie, diese "Spezialisten", die ihr System mit Firewall und Virenscanner dicht machen wollen und dann eine Online-Tauschbörse, wie Kazaa, LimeWire, Soulseek, Morpheus, etc. installieren und aus Unachtsamkeit den Inhalt ihrer gesamten Festplatte zum Tausch freigeben. Wer so eine Dummheit begeht, legt möglichwerweise die Daten der Versicherung, Briefe an den Vermieter oder Anwalt, Familienfotos, Bewerbungsunterlagen mit Lebenslauf und alle anderen Arten von privaten Daten der ganzen Welt auf den Präsentierteller.
Besonders Kazaa ist ein Problem, weil es zusätzlich Spyware mit installiert. Wer Filesharing-Software einsetzt, sollte also peinlichst darauf achten, welche Verzeichnisse er freigibt, sonst nützt die beste Firewall nicht gegen Datenspionage.
Nun, da das System ziemlich abgedichtet ist, sollte man schauen, ob man nicht etwas übersehen hat. Einige Webseiten bieten dazu die Möglichkeit, einen Portscan durchzuführen. Ein Portscan ist nichts anderes, als der Versuch mit dem Rechner auf verschiedenen Ports Kontakt aufzunehmen und zu schauen, ob der Rechner eine Antwort sendet.
Für so eien Portscan öffnet man seinen Browser, deaktiviert die Verwendung der Proxy Server und besucht z.B. die Seite http://www.port-scan.de oder http://scan.sygate.com/, wo man einen Portscan durchführen kann. Den Proxy zu deaktivieren ist wichtig, da man ansonsten den Proxyserver scant, statt den eigenen Rechner, was natürlich ein falsches Ergebnis liefern würde.
Wenn alles richtig gemacht wurde, zeigt der Portscan nur geschlossene Ports an.
Nach dem Portscan sollte man die Proxyserver im Browser wieder aktivieren, da diese u.A. ebenfalls eine Art Schild zwischen dem eigenen Rechner und dem Server, von dem man die Seite abruft, darstellen.