Goldene Regeln für ein intaktes (Windows-)Betriebssystem

von Aron Vrtala (Ausgabe 04/1, März 2004)

 

In einer Stadt mit bekannt hoher Kriminalität sind Sie sicherlich sehr vorsichtig. Im Internet gilt dies um so mehr: Hier sind Sie mit der ganzen Welt verbunden - vertrauen Sie auf nichts und niemanden! Beherzigen Sie die folgenden Tipps (deren Einhaltung garantiert weniger Mühe macht als einen gekaperten Rechner zurückzuerobern) und halten Sie nicht nur Ihr System, sondern auch sich selbst auf dem Laufenden. Die wichtigsten Querverweise zu aktuellen Sicherheitsinformationen finden Sie unter http://www.univie.ac.at/ZID/security.

 Hygiene

  1. Aktivieren Sie für MS-Windows unbedingt die Funktion Automatische Updates, die sicherheits- und betriebstechnisch wichtige Komponenten des Systems selbständig aktualisiert (siehe dazu Artikel Department of Desktop Security: Red Alert bei Windows-Betriebssystemen).

  2. Installieren Sie einen Virenscanner und einen Trojanerscanner und halten Sie diese immer aktuell (siehe Artikel McAfee VirusScan: Ihr Goalkeeper im Einsatz gegen virale Offensiven).

  3. Wiegen Sie sich nicht durch eine vorhandene Institutsfirewall in scheinbarer Sicherheit: Immer wieder gelingt es Hackern, sich durch eine Firewall zu schwindeln; dahinter sind die Angriffsziele oft zahlreich. Installieren Sie daher eine Personal Firewall auf Ihrem Rechner und konfigurieren Sie diese nach Ihren Bedürfnissen: Sperren Sie nicht benötigte (Server-)Dienste, und schränken Sie benötigte Dienste auf den vorgesehenen Benutzerkreis ein.

  4. Verwenden Sie immer sichere Passwörter - z.B. die Anfangsbuchstaben eines geheimen Satzes, kombiniert mit Zahlen. Ein solches Passwort lässt sich leicht merken und ist in keinem der elektronischen Wörterbücher zu finden, die von Password Crackern zum Dechiffrieren benutzt werden. Setzen Sie auch einen Bildschirmschoner mit Passwort ein.

  5. Denken Sie daran: Der größte Feind eines Rechners sitzt oft vor dessen Tastatur!

Internet

  1. Seien Sie beim Bearbeiten von eMail misstrauisch, besonders bei Nachrichten mit Attachments. Sie können davon ausgehen, dass kein einigermaßen seriöses Unternehmen (weder Microsoft noch Hersteller von Virenscannern) Updates oder andere Software per eMail verschickt. Öffnen Sie keine Attachments, die Sie nicht erwartet haben, und bedenken Sie, dass die Mailadresse des Absenders gefälscht sein könnte.

  2. Deaktivieren Sie unbedingt die Vorschaufunktion Ihres Mailprogramms - eventuell in einer Nachricht versteckte ausführbare Programme werden sonst automatisch gestartet.

  3. Beim Surfen im WWW gilt: Erst nachdenken, dann klicken! So mancher Trojaner kam schon durch ein zu eiliges OK ins System.

  4. Verwenden Sie nach Möglichkeit verschlüsselte Übertragungsprotokolle: Ersetzen Sie Telnet durch SSH, FTP durch SCP/SFTP und HTTP durch HTTPS. Autorisieren Sie sich im Web nur über HTTPS!

  5. Beziehen Sie Free- und Shareware nur von vertrauenswürdigen Quellen (z.B. http://tucows.univie.ac.at/) und verzichten Sie auf P2P-Programme - zumindest auf Institutsrechnern und auf Notebooks, die Sie in verschiedenen Netzwerken einsetzen.

Systemkonfiguration

  1. Wer stets als Administrator (also mit allen Privilegien) arbeitet, muss bei jedem Mausklick in seinem Webbrowser damit rechnen, dass er durch ein bösartiges ActiveX-Applet die Funktionen seines Rechners gefährdet. Unter Windows 95/98/ME hat man leider keine andere Wahl; unter Windows 2000 und Windows XP kann und soll jedoch ein Einzelnutzer-Betrieb als Administrator vermieden werden.

  2. Eine beliebte Aktivierungsmethode für Trojaner sind die standardmäßig leider eingeschalteten Miniaturansichten - das ist jenes Feature, das kleine Abbilder von Grafiken oder Dokumenten erzeugt und diese im Windows Explorer anzeigt. Bei jedem Klick darauf (auch wenn man das Objekt nur zum Löschen markieren möchte!) wird ein allfälliger verborgener Autostart-Trojaner sofort in Gang gesetzt. Unter Windows XP schalten Sie diese Funktion wie folgt aus: Klicken Sie auf Arbeitsplatz - Extras - Ordneroptionen - Registerkarte Ansicht und entfernen Sie das Häkchen vor der Option Einfache Ordneransicht in der Ordnerliste des Explorers anzeigen (siehe Abb. 1). Soll diese Maßnahme die gewünschte Wirkung zeigen, muss zusätzlich die Details-Anzeige in der linken Leiste des Windows Explorer geschlossen sein (d.h. die Pfeile neben Details müssen nach unten zeigen; klicken Sie andernfalls auf die Pfeile, um die Details-Anzeige zu schließen)!

    In der Liste Ordneroptionen - Ansicht sollten Sie zusätzlich auch die nächste Option unbedingt deaktivieren (Erweiterungen bei bekannten Dateitypen ausblenden; siehe Abb. 1): Manche vermeintliche Grafik wird dann an ihrer zusätzlichen Dateierweiterung als ausführbares Programm erkennbar.

  3. Wenn Sie einen neuen Rechner in Betrieb nehmen, denken Sie über dessen Sicherheitsanforderungen (und die seiner Umgebung!) nach und berücksichtigen Sie das Prinzip der kleinsten benötigten Privilegien. Dies gilt insbesondere auch für Netzwerklaufwerke (Windows-Shares) - öffnen Sie diese nur für Personen, die wirklich auf Ihre Daten zugreifen müssen.

  4. Unter Windows NT, 2000, XP und 2003 Server sollten Sie unbedingt NTFS-Dateisysteme einsetzen. Das alte, noch aus DOS-Zeiten stammende FAT- oder FAT32-Dateisystem bietet auf dieser Ebene keinen Schutz vor Fremdzugriff.

  5. Erstellen Sie eine Checkliste für die Neuinstallation des Rechners, das hilft in Krisensituationen. Legen Sie diese Checkliste außerhalb des Systems ab!

 

Weitere nützliche Tipps zum Thema Systemsicherheit finden Sie unter http://www.univie.ac.at/ZID/security/