Hitchhiker's Guide to Security (Teil I)
Grundlegende Sicherheitsmaßnahmen für Windows-Rechner

von Ulrich Kiermayr & Aron Vrtala (Ausgabe 01/1, März 2001)

 

Wie im Artikel Sind Sie sicher? anhand einiger Beispiele gezeigt wird, kann man durch einen Rechner mit mangelhaften oder fehlenden Sicherheitsvorkehrungen nicht nur sich selbst, sondern auch andere Netzwerkteilnehmer leicht in große Schwierigkeiten bringen. Leider beschäftigen sich viele Windows-Anwender nur sehr ungern mit dem Thema Systemsicherheit - dabei genügen oft schon geringfügige Maßnahmen, um die Widerstandskraft gegen Hacker oder Viren erheblich zu stärken. Die folgenden grundlegenden Verhaltensregeln und Tips sollen helfen, einladend geöffnete "elektronische Türen" zumindest zu schließen; versperrt und verriegelt sind sie damit allerdings noch nicht.

Immer aktuell: Computerviren und Würmer

Computerviren befallen alle Varianten von Windows und werden im Artikel Grippeschutz für Ihren Computer gesondert behandelt. Sogenannte Würmer wie z.B. "I love you" oder "Melissa" sind nahe (und besonders gefährliche) Verwandte der Computerviren: Wie diese nisten sie sich in fremde Systeme ein, um Datenbestände zu verändern oder zu vernichten; zusätzlich forcieren sie aber auch selbst ihre Verbreitung über das Netzwerk, während Viren meist ohne eigenes Zutun von Rechner zu Rechner übertragen werden.

Um sich vor Würmern zu schützen, muß man auf ein wenig Bequemlichkeit verzichten: MS-Outlook und andere eMail-Programme für PCs unterstützen häufig die automatische Ausführung von Makros1) in eMail-Attachments und von Skripts, die in HTML-Mail eingebunden sind - eine Funktion, die an sich sehr praktisch ist, aber leider auch mißbraucht werden kann. Von MS-Outlook werden Makros und Skripts dann automatisch ausgeführt, wenn zwei Voraussetzungen erfüllt sind: Es muß z.B. ein lauffähiger Visual Basic Scripting Host (VBS) installiert sein, was auf praktisch allen Windows-Systemen der Fall ist, und die Funktion Vorschaufenster und/oder die Funktion AutoVorschau müssen aktiviert sein. Dies erkennt man daran, daß das entsprechende Symbol im Menü Ansicht mit einem grauen Kästchen hinterlegt ist (siehe Abb. 1 & 2).

Abb. 1 & 2: MS-Outlook, Menü Ansicht
Abb. 1 & 2: MS-Outlook, Menü Ansicht - die "bösen" Funktionen Vorschaufenster und AutoVorschau (Fensterausschnitte)

 

Wenn Sie sie nicht unbedingt benötigen, schalten Sie diese Funktionen bitte durch einfaches Anklicken aus! Sind sie eingeschaltet, sollten Sie auf jeden Fall die Sicherheitsstufe von MS-Outlook entsprechend anpassen: Wählen Sie im Menü Extras die Option Makros und unter dem Punkt Sicherheit zumindest (!) die Stufe Mittel. Makros und Skripts in eMail-Nachrichten werden dann nicht mehr automatisch, sondern nur mit Ihrer Zustimmung ausgeführt.

Da Windows die Erweiterungen von bekannten Dateitypen standardmäßig ausblendet, ist es kaum möglich, anhand des Dateinamens ausführbare Programme von harmlosen Dateien zu unterscheiden (z.B. könnte sich hinter dem Dateinamen anna.jpg das VisualBasic-Script anna.jpg.vbs verbergen). Wir empfehlen daher, den Windows Explorer unter Extras - Ordneroptionen - Ansicht (diese Angabe gilt für Windows 2000/ME, in den anderen Versionen lautet sie sehr ähnlich) so einzustellen, daß stets der vollständige Dateiname angezeigt wird (siehe Abb. 3).

 

Abb. 3: Windows Explorer, Menü Extras - Ordneroptionen - Ansicht - Dateinamenerweiterungen ausblenden

Wenn Sie unbekannte Dateien über eMail erhalten, sollten Sie diese generell niemals öffnen, bevor Sie sich vergewissert haben, daß der vermeintliche Absender diese bewußt versendet hat (häufig ist der Absender selbst Opfer eines Wurms, und die Nachricht wurde ohne sein Wissen weiterverbreitet) und daß die Datei frei von bösartigen Funktionen ist. In den meisten Fällen lassen sich unangenehme Zwischenfälle mit Viren und Würmern durch diese einfache Vorsichtsmaßnahme vermeiden.

Kalte Dusche aus dem Netzwerk? WWW-Browser und Sicherheit

Java und ActiveX bieten viele Möglichkeiten, einen Webserver mit attraktiv gestalteten und praktischen Inhalten zu versehen. Leider bedeutet die Verwendung dieser allgemein hochgeschätzten und daher weitverbreiteten Funktionen, daß Sie auf Ihrem PC automatisch Programme ausführen, die (ähnlich wie Computerviren oder Würmer) problematisch sein können. WWW-Browser wie der Internet Explorer oder Netscape benutzen im Rahmen ihrer Sicherheitsmechanismen sogenannte Signaturen, um zu unterscheiden, ob Java oder ActiveX-Steuerelemente automatisch ausgeführt werden sollen oder nicht.

Wenn Sie als Standardbrowser den Internet Explorer verwenden, können Sie die Sicherheitseinstellungen direkt im Internet Explorer unter Extras - Internetoptionen - Registerkarte Sicherheit vornehmen. Bei allen Windows-Versionen besteht aber auch die Möglichkeit, diese Optionen für das gesamte System zu definieren: Sie finden dieselbe Registerkarte auch unter Start - Einstellungen - Systemsteuerung - Internetoptionen. Stellen Sie hier zumindest (!) die Sicherheitsstufe Mittel ein (siehe Abb. 4).

Abb. 4: Internet Explorer, Menü Extras - Internetoptionen - Sicherheit

Diese Stufe ist ein zumutbarer Kompromiß zwischen optimaler Browser-Funktionalität und maximaler Sicherheit. Sie erzwingt Rückfragen an wesentlichen Punkten bei Dateien und ActiveX-Steuerelementen und läßt die automatische Ausführung von Java nur dann zu, wenn der Inhalt signiert ist. Ideal wäre die Stufe Hoch, die aber natürlich auch am unbequemsten ist. Wenn Sie wissen wollen, welche Funktionen aktiviert sind, klicken Sie auf Stufe anpassen.

Wenn Sie Netscape als Standardbrowser einsetzen, wählen Sie im Menü Bearbeiten die Option Einstellungen. Im Fenster Erweitert finden Sie die Einstellungsmöglichkeiten für Java (siehe Abb. 5 für Netscape Version 6). Deaktivieren Sie JavaScript für eMail und Diskussionsforen und eMail-Adresse als anonymes FTP-Kennwort senden - das erspart Ihnen, auf eMail-Verteilern von Spammern aufzuscheinen und somit Empfänger von ungewollter kommerzieller Mail zu werden.

Abb. 5: Netscape, Menü Bearbeiten - Einstellungen - Erweitert (Fensterausschnitt)
Abb. 5: Netscape, Menü Bearbeiten - Einstellungen - Erweitert (Fensterausschnitt)

Mehr als eine Schreibmaschine: Makros in Word, Excel et al.

eMail-Klienten sind nicht die einzigen PC-Programme, die Makros ausführen können - auch moderne Office-Systeme besitzen seit vielen Jahren die Fähigkeit, immer wiederkehrende Aufgaben durch Makros zu vereinfachen. Leider sind diese Hilfsprogramme nur allzu oft Träger von Computerviren, die sich bei unvorsichtigem Hantieren rasch über das Netzwerk einer Arbeitsgruppe verbreiten können. Wir empfehlen daher, den automatischen Gebrauch von Makros unter Windows generell zu verbieten. Zumindest sollten Sie sich warnen lassen, bevor Sie durch einen Doppelklick auf eine Word-Datei mit inkludiertem Makro womöglich einem Virus Tür und Tor zu Ihrem System öffnen.

Diese Einstellung können Sie in MS-Word unter Extras - Makro - Sicherheit vornehmen: Wählen Sie in der Registerkarte Sicherheitsstufe die Einstellung Hoch (siehe Abb. 6). Dies gilt natürlich sinngemäß auch für MS-Excel und MS-PowerPoint. Wenn diese Anwendungen im Rahmen eines Office-Pakets gemeinsam installiert sind, genügt es, die Einstellung in einem der Programme vorzunehmen.

Abb. 6: MS-Word, Menü Extras - Makros - Sicherheit - Sicherheitsstufe

Wenn Sie - z.B. per eMail - ein Dokument mit einem unerwarteten inkludierten Makro erhalten, führen Sie dieses bitte nicht aus! Erkundigen Sie sich beim Absender, ob das Makro im Dokument wirklich für die Bearbeitung und Darstellung der Datei benötigt wird. Nicht selten stellt sich durch eine solche Rückfrage heraus, daß der Rechner des Absenders von einem Virus befallen ist.

Daten am Präsentierteller: Windows Shares

Netzwerkfreigaben oder "Windows Shares" sind ein beliebtes und praktisches Werkzeug, um den Inhalt ganzer Festplatten bzw. bestimmter Verzeichnisse (und deren Unterverzeichnisse) anderen Windows-Rechnern im Netzwerk zur Verfügung zu stellen. Ein freigegebenes Laufwerk oder Verzeichnis erkennt man daran, daß unter dem Platten- oder Ordnersymbol im Windows Explorer eine Hand zu sehen ist - wie z.B. bei Laufwerk C:\ in Abb. 7.

Abb. 7: Eigenschaften von freigegebenen Objekten ändern (Kontextmenü) (Fensterausschnitt)
Abb. 7: Eigenschaften von freigegebenen Objekten ändern (Kontextmenü) (Fensterausschnitt)

Leider wird unter Windows NT und Windows 2000 jede Platte unter ihrem Namen mit nachfolgendem Dollar-Symbol (also z.B. C:\ als C$) im Netzwerk angekündigt, sobald die Datei- und Druckerfreigabe für Microsoft-Netzwerke eingeschaltet ist. Damit kann jeder andere Teilnehmer am lokalen Netzwerk alle nicht explizit lesegeschützten Datenbereiche Ihres Systems (in der Standardeinstellung betrifft das fast alle Dateien!) ungehindert lesen.

Diese - im allgemeinen unerwünschte - Funktion kann bei allen Windows-Systemen durch einen Klick mit der rechten Maustaste auf das freigegebene Objekt und Auswahl von Freigabe oder Eigenschaften ausgeschaltet werden. Unter Windows 95/98/NT erhalten Sie dann ein Fenster, in dem das betreffende Laufwerk bzw. Verzeichnis unter Freigegeben als: angeführt ist. Wenn außer Ihnen niemand Zugriff auf diese Daten haben soll, klicken Sie auf den Knopf Nicht freigegeben und dann auf OK (siehe Abb. 8). Nun verschwindet im Windows Explorer die Hand unter dem Symbol, und die Platte bzw. das Verzeichnis kann nicht mehr aus dem Netz gelesen oder gar beschrieben werden.

Abb. 8: Windows 95/98/NT - Freigabeeigenschaften ändern
Abb. 8: Windows 95/98/NT - Freigabeeigenschaften ändern

Unter Windows 2000 und Windows ME präsentiert sich das Fenster zwar etwas anders (siehe Abb. 9), die Vorgangsweise bleibt aber gleich: Klicken Sie auf Diesen Ordner nicht freigeben und anschließend auf OK.

Abb. 9: Windows 2000/ME - Freigabeeigenschaften ändern
Abb. 9: Windows 2000/ME - Freigabeeigenschaften ändern

In vielen Fällen empfiehlt es sich, darüber nachzudenken, ob Daten oder Drucker überhaupt im Netzwerk freigegeben werden sollen: Die meisten Workstation-Benutzer finden mit einem Zugriff auf Dateien und Drucker eines Abteilungsservers das Auslangen, und nur wenige Windows 95/98/ME-Anwender müssen ihre Dateien und Drucker im Netzwerk zur Verfügung stellen. Bei diesen Systemen kann die entsprechende Einstellung generell unter Start - Einstellungen - Systemsteuerung - Netzwerk - Registerkarte Konfiguration verändert werden (siehe Abb. 10). Unter Datei- und Druckerfreigabe lassen sich hier alle Netzwerkfreigaben für den Windows-Rechner global ein- bzw. ausschalten: Entfernen Sie die Haken bei den Kontrollkästchen Anderen Benutzern soll der Zugriff auf meine Dateien ermöglicht werden können und Anderen Benutzern soll der Zugriff auf meine Drucker ermöglicht werden können.

Abb. 10: Start - Einstellungen - Systemsteuerung -
Abb. 10: Start - Einstellungen - Systemsteuerung - Netzwerk - Konfiguration (Windows 95/98/ME)

Wenn Sie es nicht vermeiden können, bestimmte Ressourcen Ihres Systems im Netzwerk zur Verfügung zu stellen, ist unter Windows 95/98/ME die Autorisierungsfrage für Sie von Bedeutung, da diese Betriebssysteme bei der Anmeldung eines Benutzers sein Paßwort nur auf seinem lokalen Rechner überprüfen. Wir empfehlen daher, in der Registerkarte Zugriffssteuerung (siehe Abb. 11) die Einstellung Zugriffssteuerung auf Freigabeebene zu wählen: Diese ermöglicht Ihnen eine "eigenhändige" Paßwortvergabe und damit eine bessere Kontrolle über die freigegebenen Ressourcen.

Abb. 11: Start - Einstellungen - Systemsteuerung -

Die Zugriffssteuerung auf Benutzerebene macht nur dann Sinn, wenn Sie sich im Netzwerk einer Arbeitsgruppe befinden und Ihre Daten für die gesamte Gruppe global freigeben wollen. In diesem Fall benötigen Sie einen sogenannten Domänenkontroller unter Windows NT oder Windows 2000, der Ihnen eine Benutzer- und Gruppenliste zur Verfügung stellt. Aus Sicherheitsgründen wäre es dann allerdings sinnvoller, die Arbeitsplatzrechner der einzelnen Benutzer ebenfalls unter Windows NT oder Windows 2000 zu betreiben.

Zusätzliche Sicherheitsmaßnahmen für Windows NT/2000

Wenn Sie ein System unter Windows NT oder Windows 2000 betreiben, sollten Sie noch einige weitere Sicherheitsvorkehrungen treffen:

  • Installieren Sie die jeweils aktuellsten Service Packs und Hot Fixes von Microsoft (siehe dazu http://www.microsoft.com/security/). Auf Windows NT-Systemen sollte derzeit mindestens Service Pack 6a installiert sein.
  • Verwenden Sie das NTFS-Dateiverwaltungssystem für alle Ihre Festplatten. Neben anderen technischen Vorteilen (z.B. schnellerem Neustart nach einem Systemabsturz) bietet NTFS im Gegensatz zum älteren FAT-System Zugriffsberechtigungen für Dateien: Jeder Datei ist ein Besitzer und eine Zugriffsliste zugeordnet, in der eingestellt werden kann, welche(r) Benutzer und/oder welche Gruppe(n) eine Datei lesen und/oder bearbeiten dürfen. Zusätzlich gibt es noch weitere Einstellungsmöglichkeiten für einzelne Dateien und Verzeichnisse.
  • Verwenden Sie bei der Installation für das Betriebssystem-Verzeichnis von Windows NT oder Windows 2000 (auf dieses zeigt die Systemvariable %systemroot%) nicht das standardmäßig vorgeschlagene C:\WINNT, sondern geben Sie einen gänzlich anderen Namen an (z.B. C:\FENSTER). Diese simple Maßnahme verhindert viele Attacken, die davon ausgehen, daß bestimmte Dateien im Verzeichnis C:\WINNT zu finden sind.
  • Stellen Sie sicher, daß die Benutzergruppe mit dem Namen Jeder kein Schreibrecht auf dem Systempfad %systemroot%\system32 hat. Klicken Sie dazu mit der rechten Maustaste auf dieses Verzeichnis und wählen Sie Eigenschaften. Unter der Option Erweitert erhalten Sie dann eine Liste der Zugriffsberechtigungen, die für dieses Verzeichnis so eingestellt sein sollten, wie in Abb. 12 zu sehen ist. Korrekturen können Sie über die Schaltfläche Anzeigen/Bearbeiten vornehmen.

Abb. 12: %systemroot%\system32, Eigenschaften - Erweitert
Abb. 12: %systemroot%\system32, Eigenschaften - Erweitert
  • Geben Sie dem Benutzer Administrator einen anderen Namen, der keine Rückschlüsse auf seine hochprivilegierte Funktion zuläßt. Legen Sie weiters einen Benutzer mit dem Namen Administrator an, der keine speziellen Rechte hat. Wenn dann Fehlversuche beim Anmelden des Administrators auftreten, hat ein Unberechtigter versucht, sich Zutritt zu Ihrem System zu verschaffen.
  • Überprüfen Sie, ob der Benutzer Gast gesperrt ist. Klicken Sie dazu auf Start - Einstellungen - Systemsteuerung und dort auf Benutzer und Kennwörter. In der Registerkarte Erweitert müssen Sie im Bereich Erweiterte Benutzerverwaltung nochmals auf Erweitert klicken (siehe Abb. 13).

Abb. 13: Start - Einstellungen - Systemsteuerung - Benutzer und Kennwörter - Erweitert: nochmals auf Erweitert klicken
Abb. 13: Start - Einstellungen - Systemsteuerung - Benutzer und Kennwörter - Erweitert: nochmals auf Erweitert klicken
  • Sie erhalten ein Fenster, das an den Windows Explorer erinnert, aber nur zwei Ordner enthält: Benutzer und Gruppen. Klicken Sie auf Benutzer und dann auf den Benutzer Gast. Ändern Sie die Eigenschaften des Benutzers Gast über das Menü Vorgang und die Option Eigenschaften dahingehend, daß sie mit Abb. 14 übereinstimmen. Das Kontrollkästchen Konto ist deaktiviert sollte unbedingt angehakt sein.
Abb. 14: Eigenschaften des Benutzers Gast verändern
Abb. 14: Eigenschaften des Benutzers Gast verändern
  • Lassen Sie Ihren Rechner nicht unbeaufsichtigt! Um zu verhindern, daß sich jemand in einem unbeobachteten Moment daran zu schaffen macht, sollten Sie den Bildschirmschoner so einstellen, daß er nach einer kurzen "eingabefreien" Zeitspanne (etwa 10 Minuten) automatisch aktiviert wird und nur mit dem Paßwort des zuletzt angemeldeten Benutzers wieder ausgeschaltet werden kann. Klicken Sie dazu auf Start - Einstellungen - Systemsteuerung - Anzeige und wechseln Sie zur Registerkarte Bildschirmschoner (siehe Abb. 15). Hier stellen Sie die gewünschte Wartezeit ein und aktivieren das Kontrollkästchen Kennwortschutz. (Beachten Sie bitte, daß bei manchen Tätigkeiten - z.B. beim CD-Brennen - der Bildschirmschoner deaktiviert werden muß und dann keine Schutzwirkung gegeben ist!)
Abb. 15: Start - Einstellungen - Systemsteuerung - Anzeige - Bildschirmschoner: Kennwortschutz aktivieren
Abb. 15: Start - Einstellungen - Systemsteuerung - Anzeige - Bildschirmschoner: Kennwortschutz aktivieren

Zusätzliche Sicherheitsmaßnahmen für Windows 95/98/ME

Unter Windows 95/98/ME hat das Anmelden eines Benutzers keine Relevanz für die Systemsicherheit. Ein direkter Zugriff auf die Daten des Rechners durch unbefugte Dritte kann daher bei diesen Betriebssystemen nur durch das Setzen eines BIOS-Paßworts verhindert werden, das dann beim Starten des Rechners abgefragt wird. Modifikationen am BIOS eines Rechners sollten allerdings nur von Personen mit entsprechendem Fachwissen vorgenommen werden; eine genaue Anleitung ist hier nicht möglich, da das BIOS hardwareabhängig ist und sehr viele verschiedene Typen im Einsatz sind. Ein einmal gesetztes BIOS-Paßwort sollte man sich jedenfalls unbedingt merken: Wenn Sie es vergessen, kann Ihnen auch das Service- und Beratungszentrum des ZID nicht mehr helfen - Sie brauchen dann einen Techniker vor Ort!

Zusätzlich sollte auch unter Windows 95/98/ME die oben beschriebene Bildschirmschoner-Funktion mit Paßwortschutz aktiviert werden.

 

1) Makros sind Programme, die bestimmte Befehlsfolgen für immer wiederkehrende Aufgaben definieren. Sie können z.B. in Word-, Excel- oder andere Dokumente integriert werden, um die Bearbeitung des Dokuments zu erleichtern.