da in dem forum oft dieselben fragen gestellt werden, dachte ich mir einige grundlagen zum "sicheren" windows zu posten.
1.)
windows NT, XP sollte aufjedenfall das aktuellste service pack beinhalten.
wer mit älteren windows version "surft" sollte sich vielleicht überlegen für den internetgebrauch auf ein free BSD umzusteigen bzw. eine günstige alternative zu suchen (linux/beos).
ich empfehle beos.
http://www.beosonline.de/
kostenpflichtig und sehr sehr sehr sehr sehr gut finde ich zeta beos von yellowtab.
http://yellowtab.de/products/
das service pack 2 fĂĽr windows XP gibt es hier
http://www.microsoft.com/downloads/deta ... 368D3CDB5A
damit man nicht nach jeder windows installation das SP2 drĂĽberinstallieren muss kann man dieses auch gleich in die XP CD integrieren.
wie das funktioniert erfährst du hier.
http://archiv.chip.de/artikel/c1_archiv ... 06853.html
2.) ein frisch installiertes windows sollte man zunächst einmal mit den aktuellsten hotfixes versorgen.
im start menü einfach auf (windows update) drücken und den internet explorer etwa 40 patches saugen lassen die bis jetzt (april 2006) seit dem SP2 veröffentlicht wurden.
3.) wenn du office installiert hast, dann installiere auch hier die service packs und fĂĽhre das windows update danach erneut aus damit auch die hotfixes fĂĽr office installiert werden.
die service packs fĂĽr office gibt es hier
http://www.microsoft.com/downloads/resu ... layLang=de
4.) internet explorer und outlook in die wĂĽste schicken.
das grösste sicherheitsproblem an windows sind neben unnötigen aktivierten diensten; der internet explorer, outlook und der windows media player.
deswegen verwenden wir eine _bessere_ und _sichere_ alternative
als browser empfehle ich opera oder firefox.
als email client thunderbird bzw. einen externen email account ala google mail oder gmx.
http://www.gmx.net/
http://mail.google.com
firefox & thunderbird downloads hier:
http://www.mozilla-europe.org/de/products/thunderbird/
http://www.mozilla-europe.org/de/products/firefox/
die beiden programme sind von haus aus im prinzip schon "sicher genug" und benötigen für normales benutzen des internets keine weitere konfiguration.
5.) ein grosses sicherheitsrisiko an windows NT sind dessen dienste.
viele dieser dienste braucht der "home" user nicht und deswegen schalten wir sie ab mithilfe dieses kleinen aber feinen skripts.
direkt download -> http://www.ntsvcfg.de/svc2kxp.zip
homepage -> http://www.ntsvcfg.de/#_download
einfach doppelclick auf die CMD datei .. einmal die 1 (eins) drĂĽcken und danach enter.
wenn das skript fertig ist machen wir einen neustart.
6.) die windows firewall ist ganz nett und hilfreich jedoch kann sie nicht unterscheiden zwischen internet & intranet, somit ist die windows firewall sinnlos aufgrund von netbios komunikationen. man kann programme ala internet explorer oder den windows media player auf herkömmlichen weg schlecht bis garnicht unterbinden bzw. kann dies die windows integrierte firewall nicht.
das selbe gilt fĂĽr maustreiber, den real player und vor allem fĂĽr IGMP etc.
als alternative zur windows firewall empfehle ich outpost pro
http://www.agnitum.com/products/outpost/
nach der installation gehen wir auf "alles blockieren" und schwubs die wub funktioniert garnichts mehr.
gut so, denn ich will nur firefox und thunderbird den internetzugriff erlauben.
real player, winamp, excel , photoshop etc. dĂĽrfen dies nicht.
funktioniert zwar nicht zu 100%. selber habe ich auch schon einiges getestet mit outgoing traffic logger. aber die regulären anwendungen werden aufjedenfall blockiert, die restlichen 0,01% sind nicht von relevanz.
das gute an der geschichte ist auch jenes das outpost pro sicher und zuverlässig zwischen internet und intranet unterscheiden kann.
lokale dienste wie diverse dateifreigaben unter windows werden somit _sicher_.
bevor man aber eine andere firewall als die in windows integrierte installiert verwenden wir noch das programm xp antispy.
http://xp-antispy.org/component/option, ... Itemid,26/
mit diesem beenden wir sämtliche dienste wie windows firewall - UPNP dienst - automatische updates - fehlerberichte automatisch senden usw. usw.
im prinzip kann man fast alles anhaken.
besser wäre ein router, jedoch filtert der nicht anwendungsbezogen, deswegen gibt es eben diese software-desktop firewalls.
der einzige grund im prinzip um solche zu installieren.
outpost pro hat noch einige plug ins dabei, die meiner meinung nach für den normalen betrieb unnötig sind, deswegen kann man die auch deaktivieren.
ich habe als administrator versucht die firewall zu beenden, es ist mir nicht gelungen.
erst als ich es ässuerst brutal durch adress-speicher-killings versucht habe, würde die firewall beendet, aber zugleich auch meine verbindung zur aussenwelt im intranet sowie auch zum internet.
was mich gewundert hat war, dass der rechner auch nicht mehr im intranet vorhanden war. (man konnte ihn weder anpingen, noch hatte er stationär eine ip adresse).
defakto heisst dies: wird die firewall beendet ist auch keine netzwerkverbindung mehr vorhanden, weder im intranet noch zum internet. -> gut, sehr gut sogar.
durch reguläre aushebelungsversuche ist es jedoch nicht möglich sie zu beenden.
andere desktop firewalls habe ich nicht getestet, deswegen kann ich da auch nichts drĂĽber schreiben wie "dau" sicher die sind.
wenn aber die grundstruktur der software schon nicht passt habe ich auch nicht vor sie mir zu installieren (einen gruss an norton hiermit! )
den dienst der firewall kann man als administrator auch nicht beenden, somit sind schonmal 95% der sicherheitslĂĽcken was "aushebelungsversuche" betrifft beseitigt.
outpost pro arbeitet effizient, somit werden kaum resourcen verbraucht und im gegensatz zu norton und anderen herstellern ist sie nur 5 mb klein; im normalen betrieb mit deaktivierten plug ins verbraucht sie 3 mb ram.
ich konnte weder in spielen, noch bei downloads (http, emule, torrent) oder ftp basierten anwendungen irgendwelche einschränkungen feststellen.
persönlich muss ich noch dazu sagen das ich keiner komerziellen vermarkteteten firewall vertraue.
eines ist aber sicher, besser als die integrierte windows firewall ist sie allemal aufgrund von dem onlinetest wie unten beschrieben und von intranet tests durch diverse sicherheitstools.
gratis open source firewall-lösungen für den home gebrauch ziehe ich vor, auch wenn sie vielleicht nicht so viele optionen bieten.
wohlgemerkt ist aber auch jedes "future" oder jede erweiterung ein zusätzliches sicherheitsrisiko.
umso kleiner und smarter ein programm ist, umso stabiler und sicherer ist es.
man kann auch davon ausgehen das es sauber programmiert wurde.
das ist zwar keine faustregel, aber ein guter leitsatz.
7.)
ein virenscanner muss her.
empfehlen kann ich nod32 !oder! antivir.
es reicht wenn man den virenscanner einmal die woche updatet.
da wir aber sowieso mit firefox od. opera unterwegs sind und thunderbird verwenden wird dem virenscanner schnell langweilig.
defakto kann man den aktiven guard auch abschalten.
sollte viel in p2p netzen downgeloadet werden dann scannt man die datei intensiv bevor man sie öffnet.
besser gesagt den kompletten zentralen download ordner.
(http/ftp downloads durch firefox - torrent downloads ( http://www.utorrent.com/ ) - emule downloads ( http://www.emule-project.net/home/perl/ ... m=download ) - thunderbird-mailverzeichniss & mailanhänge - etc.)
!einen! dieser zwei virenscanner sollte man verwenden.
http://www.nod32shop.de/
http://www.free-av.de/
beide arbeiten effizient und verbrauchen kaum resourcen.
8.) da die automatischen windows updates deaktiviert sind, sollte man nicht vergessen alle paar wochen mal auf "windows update" zu drĂĽcken.
man bekommt die wichtigesten windows updates & hotfixes nicht nur von der windows update seite sondern auch von anderen.
wzb. von http://www.winfuture.de/
nach jeder update-session fĂĽhrt man ntsvcfg aus (wie es oben schonmal beschrieben wurde) und danach xp - antispy (wie es oben auch schonmal beschrieben wurde)
9.) wenn das system steht und diverse treiber fĂĽr hardwarekomponenten installiert sind sowie die verwendete software dann kann man ein image der system platte machen und im notfall das system wieder 1:1 herstellen.
die in windows integrierte herstellungskonsole kann man getrost "vergessen".
empfehlen tu ich hier true image von acronis.
einfach eine true image boot cd erstellen und mit jener booten um das image zu erzeugen oder wieder herzustellen.
http://www.acronis.com/promo/ATI/true-i ... MAodiFRFgg
10.) wichtige daten sicher speichern.
ein backup von wichtigen daten sollte immer auf einer anderen festplatte gemacht werden.
defakto nicht auf einer partition derselben platte sondern auf einer externen oder internen zweiten platte.
so eine backup platte empfehle ich zu verschlĂĽsseln mithilfe des AES algo.
dafĂĽr gibt es ein gutes programm, dass sich true crypt nennt.
http://www.truecrypt.org/downloads.php
sollte irgendwann einmal ein alles vernichtender virus oder ähnliches im umlauf sein, dann ist die externe platte im vorteil denn die nimmt man nur für das backup in betrieb.
defakto ist sie vom system im normalen betrieb sicher abgekoppelt; da ausgeschalten
sein 20 stelliges true crypt passwort speichert man sich am besten als email bei einem externen gmx bzw. google mail account damit man nicht immer diesen 20 stelligen zahlen&buchstaben-mix eintippen muss.
um an das passwort zu kommen muss man also zunächst einmal die email adresse kennen und dann auch noch das passwort der mail adresse... defakto ein ding der unmöglichkeit.
da aber die daten futsch sind wenn das passwort verschwunden ist, sollte man jenes ausdrucken und irgendwo sicher verstauen. man wird diesen zettel zwar nie mehr brauchen da ein datenverlust bei gmx oder google mail äusserst unwarscheinlich ist, aber sicher ist sicher.
11.) wenn man kein voll "DAU" ist sollte nun nichts mehr schief gehen und man hat ein sicheres windows.
verwendet man viel 0815 software oder installiert man jede x-beliebige gefundene software die spyware und ähnliches enthält dann ist man selber schuld.
dafĂĽr gibt es zwar adware oder spybot search & destroy, jedoch finden die bei mir schon seit langer langer langer zeit nichts mehr und von daher habe ich die spyware-such-programme auch fast vergessen.
wer sie trotzdem braucht findet sie hier.
http://www.lavasoft.de/
http://www.safer-networking.org/de/index.html
12.) shields up ist ein ganz guter online test um festzustellen ob das system "halbwegs" sicher ist
https://www.grc.com/x/ne.dll?bh0bkyd2
fĂĽr auto normal user sollte es ausreichend sein.
bei mir sieht das ergebnis wie folgt aus und sollte auch bei dir so aussehen.
-----------
our system has achieved a perfect "TruStealth" rating. Not a single packet - solicited or otherwise - was received from your system as a result of our security probing tests. Your system ignored and refused to reply to repeated Pings (ICMP Echo Requests). From the standpoint of the passing probes of any hacker, this machine does not exist on the Internet. Some questionable personal security systems expose their users by attempting to "counter-probe the prober", thus revealing themselves. But your system wisely remained silent in every way. Very nice.
-----------
Your Internet port 139 does not appear to exist!
One or more ports on this system are operating in FULL STEALTH MODE! Standard Internet behavior requires port connection attempts to be answered with a success or refusal response. Therefore, only an attempt to connect to a nonexistent computer results in no response of either kind. But YOUR computer has DELIBERATELY CHOSEN NOT TO RESPOND (that's very cool!) which represents advanced computer and port stealthing capabilities. A machine configured in this fashion is well hardened to Internet NetBIOS attack and intrusion.
-----------
Unable to connect with NetBIOS to your computer.
All attempts to get any information from your computer have FAILED. (This is very uncommon for a Windows networking-based PC.) Relative to vulnerabilities from Windows networking, this computer appears to be VERY SECURE since it is NOT exposing ANY of its internal NetBIOS networking protocol over the Internet.
-----------
13.) man sollte unter windows NT/XP nicht als administrator surfen.
die windows firewall in SP2 hatte eine gröbere sicherheitslücke (betraf nur user die als admin surften) wodurch man sie ausschalten konnte, ohne das der user etwas mitbekommen hat, da es nicht ersichtlich war. (firewalldienst startete normal und man hatte auch normalen zugriff auf die optionen der windows firewall.) alles im allen war sie aber dennoch inaktiv.
unter windows NT kann man programme als administrator starten damit man sich nicht immer neu anmelden muss um software zu installieren oder sonstige konfigurationen durchführen zu können.
wie das funktioniert erfährst du hier.
http://www.microsoft.com/resources/docu ... x?mfr=true
14.) ein sicheres system setzt ein absolut stabiles system vorraus.
deswegen sollte ein system primestable sein bevor man anfängt zu installieren bzw. konfigurieren.
prime sollte zum testen ausreichend sein.
http://www.computerbase.de/downloads/so ... g/prime95/
die festplatte kann man mit den seatools ganz gut testen.
der test dauert aber einige stunden und findet nicht unter windows statt.
http://www.seagate.com/support/seatools ... d_reg.html
15.) wer ein mainboard mit nforce chipsatz hat, sollte auf keinen fall die nvidia firewall bzw. networking management tools installieren.
es fĂĽhrt vereinzelt zu datenkoruptionen. nvidia hat dieses problem bis heute nicht beseitigt. das problem tritt nicht bei jedem auf; aber sicher ist sicher.
die tools braucht kein mensch und sind komplett unnötig.
ps.: wenn mir noch irgendwas einfällt im laufe der zeit dann aktualisiere ich den post.
mfg
niels.core
