1. #1
    Commodore
    Dabei seit
    Mär 2005
    Beiträge
    4.610

    [Anleitung] Windows Rechner sicher einrichten und wichtige Verhaltensregeln

    Im Forum kommt immer die Frage, wie man seinen Windows PC sicher einrichten sollte, deswegen diese FAQ dazu.
    Ein besonderer Dank gilt Smash, der diese FAQ vorher verfasst hat und jetzt leider aus Zeitmangel nicht mehr weiter führen kann.

    Wer Anregungen, Fragen, Kritik usw. hat, diskutiert in [Diskussion] Windows Rechner sicher einrichten und wichtige Verhaltensregeln





    Diese [How to] ist für Windows Rechner ab Windows XP Service Pack 3 zu empfehlen. Rechner mit einer älteren Windows Version (Windows 2000, Windows ME, Windows 98 usw.), können nicht mehr sicher betrieben werden, da Microsoft die Versorgung mit Sicherheitsupdates eingestellt hat.

    Support für Windows 2000 sowie das Service Pack 2 für Windows XP beendet

    Achtung! Der Support mit Updates für Windows XP läuft am 8. April 2014 aus!

    Auf verlorenem Posten - Windows XP vor dem Support-Aus


    Bitte vom ersten Erstellungsdatum nicht iritieren lassen, dieser Thread wird laufend aktuell gehalten!






    • Aktiviert die automatische Update Funktion von Windows

    Diese Funktion ist absolut notwendig um seinen Windows Rechner sicher zu betreiben, auch ersetzen keine andere Funktion, oder Software das einspielen von Sicherheitsupdates.





    • Installation eines Antiviren Scanners

    Dieser verhindert oft schädliche Software/ Malware die in das System beim surfen eindringen möchte, oder vom Benutzer selbst gestartet wird. Aktuelle Testergebnisse über die Erkennungsleistung können bei av-comparatives oder AV Test abgefragt werden. Viele Testzeitschriften verwenden diese Tests als Basis und ergänzen diese durch eigene Testverfahren, dadurch kann es zu unterschiedlichen Empfehlungen kommen.


    Kostenlose Scanner die zu empfehlen sind:
    Avira AntiVir Personal, AVG Anti-Virus Free, Avast! Free, Panda Cloud Antivirus (Panda setzt eine ständige Internetverbindung voraus, deswegen nicht für Offline Rechner geeignet)

    Weiterer kostenloser Antiviren Scanner:
    Microsoft Security Essentials


    Welche Nachteile haben die kostenlosen Scanner gegenüber den kostenpflichtigen?

    • Viele Gratis Scanner enthalten keine Verhaltenserkennung/Behaviour Blocking
    • Oft nur ein automatisches Signaturen Update pro Tag
    • Werbung im Programm bzw. als Werbe Popup
    • eingeschränkte Konfigurationsmöglichkeit im Programm, dadurch aber oft für Einsteiger einfach zu bedienen.




    Kostenpflichtige Scanner:
    Bei der Menge an kostenpflichtigen Scanner schwankt die Erkennungsleistung oft von Version zu Version, hier eine generelle Empfehlung ist schwierig. Zur Zeit werden besonders oft empfohlen: Norton AntiVirus, Avira AntiVir Premium, G Data AntiVirus, BitDefender Antivirus, F-Secure Antivirus und Kaspersky Anti-Virus
    Video: Wacklige Abwehr- Antivirenprogramme mit Sicherheitslücken

    Die Antiviren Produkte der Hersteller reichen aus, eine Internet Security ist zum zuverlässigen Schutz nicht nötig.
    Video: Wehrlos ausgesetzt?- Wie sicher schützen "Internet Security Suites" gegen Angriffe aus dem Internet?

    Mehr ist manchmal weniger /Internet-Security-Suiten


    Oft gibt es diverse Werbeaktionen der Hersteller und man bekommt einen eigentlich kostenpflichtigen Scanner kostenlos. Im Thread Kostenlose Lizenzen abstauben für Schutzlösungen werden diese oft erwähnt.




    • Aktivieren der Firewall von Windows


    Die Firewall die schon seit Windows XP mit Service Pack 2 integriert ist, ist vollkommen ausreichend.
    Mythos Firewall:

    Hartnäckig hält sich die Auffassung, dass eine eigenständige Personal Firewall unverzichtbar sei. Dies ist ein Relikt aus vergangenen Zeiten, denn die Verbindung-Firewall, die XP seit Service Pack 2 und Vista von Haus aus mitbringen und aktivieren, ist ausreichend. Sie blockieren alle Zugriffe aus dem Internet auf Ihren Rechner, es sei denn, Sie geben einzelne Anwendungen frei. Mehr muss eine Firewall nicht können, denn ausgehende Verbindungen lassen sich ohnehin nicht zuverlässig kontrollieren.
    Eine zusätzliche Personal Firewall bietet somit keinen nennenswerten Mehrwert...........
    Quelle: Ct

    Diese sollte auch hinter einem Router mit NAT Funktion aktiv sein, wenn man mehrere Rechner hinter diesem hat.
    Video: Probleme mit der Technik?- Schnurer hilft! - Die zweite Firewall


    In diversen Zeitschriften und im Netz werden aber auch immer noch diverse Firewalls von Drittanbietern empfohlen. Besonders oft wird hier unter anderem die Comodo Firewall und diverse andere empfohlen. Was hat es damit auf sich?

    Informationen zu Firewalls von Drittanbietern


    Ich beziehe mich hier auf einen Artikel in der Ct Heft 23/2010. Hier wurden die kostenlosen Personal Firewalls, Comodo, Online Armor Free, PC Tools Firewall Plus, Privatfirewall und Zone Alarm Free getestet:

    Zu Comodo:

    Trotz Microsofts Warnung schaltet die Comodo Firefall bei der Installation die Windows Firewall nicht ab. Auch nach dem Start erhält man keine Hinweise, wie man mit der vorinstallierten "Brandschutzmauer" verfahren soll.
    Der Hersteller versicherte uns auf Nachfrage, dass er das zukünftig ändern wolle;
    wir haben für die Tests die Windows Firewall von Hand abgeschaltet.

    Allein bei der Installtion des harmlosen Editors Notepad++ überflutete es uns mit über einem Dutzend Nachfragen, die ein normaler Anwender eigentlich nicht beantworten könnte.

    Den wirklich bösen PDF Exploit behinderte Comodo hingegen nicht in seiner Aktivität.

    Auch ohne verdächtigen lokalen Aktivitäten bescherte uns die Comodo Firewall im Redaktionsnetz regelmäßig kryptische Warnungen über eingehende Verbindungen an svchost.exe oder allgemein das "System" die vom Domain Controller oder anderen, UPnP-fähigen Rechnern ausgingen.

    Lokale Dienste schottet die Comodo Firewall effektiv vor Zugriffen aus öffentlichen Netzwerken ab - solange diese über IPv4 erfolgen. IPv6-Verkehr kann ungehindert in beide Richtungen passieren; das will der Hersteller erst in einer der nächsten Versionen ändern.

    Zu Firewalls allgemein:

    Einen nennenswertes Plus an Sicherheit bieten die getesteten Personal Firewalls nicht. Mit der Windows Firewall, einem guten Virenscanner und einer guten Versionspflege der installierten Anwendungen ist man in allen Situationen hinreichend vor eingehenden Zugriffsversuchen geschützt.
    Setzt man zu Hause einen Router ein, muss man sich um eingehende Verbindungen in aller Regel ohnehin nicht kümmern.
    Anfragen aus dem Internet leitet der Router ohne manuell angelegte Ausnahmeregeln nicht weiter, sodass sie erst gar nicht die Personal Firewall erreichen.

    Fazit eines Redakteurs in der Ct:

    Finger weg!

    Auf der anderen Seite entdeckten wir auf fast jedem System, bei dem wir eine Personal Firewall nachrüsteten, ein Sicherheitsloch, das echte Gefahr bedeutet.

    Wer also etwas für seine Sicherheit tun will, achtet besser darauf, dass er seinen Virenschutz um einen guten Verhaltenswächter ergänzt, falls er keinen mitbringt. Anwender kostenloser AV Programme wie Antivir, MSE, können dazu etwas das kostenlose Threatfire installieren. ...........





    • Aktualität der installierten Programme



    Was gerne oft vergessen wird, aktuelle Versionen der installierten Programme verwenden, da auch hier Sicherheitslücken geschlossen werden müssen. Ein sehr komfortables Programm, um die Aktualität der installierten Programme zu überprüfen, ist Secunia PSI (Personal Software Inspector) und es hält manche Programme via Auto Update aktuell.






    • Eingeschränkte Rechte zum arbeiten und surfen


    Unter einem Benutzerkonto mit eingeschränkten Rechten kann Malware keine schwerwiegenden Schäden anrichten und sich tief in das System einnisten. Auch kann hier der Virenscanner nicht manipuliert werden, oder außer Funktion gesetzt werden.

    Ich bitte aber zu beachten, das diverse Malware auch unter eingeschränkten Rechten lauffähig ist. Mit Anwender Rechten (eingeschränkte Rechte), ist es durchaus möglich eine Browser Erweiterung zu installieren um als "Man-in-the-middle" verschlüsselten Datenverkehr mitzulesen, auch Spam Versand und DDoS Attacken auf andere Webseiten ist ohne Administrator Rechte möglich.

    XP User richten sich einen Account zum Installieren und Wartungsarbeiten ein (Administrator Rechte) und einen Benutzeraccount mit eingeschränkten Rechten zum surfen und arbeiten.

    Vista und Windows 7 User haben es hier einfacher, da sie nicht zwei Konten erstellen müssen, hier beschränkt das Konto mit Admin Rechten die Benutzerkontensteuerung. Windows 7 Benutzer sollte diese aber auf die höchste Stufe stellen, da sie in der Standard Stufe gegen Malware nutzlos ist.



    Da hier eine weitere Erklärung diese FAQ sprengen würde, bitte die Faq [FAQ] Benutzerkontensteuerung von Windows Vista/Windows 7 lesen.




    • Wlan verschlüsseln (Falls vorhanden)


    Nutzer eines Wlan Netzes sollten ihr Netzwerk verschlüsseln, damit unbefugte Nutzer keinen Zugriff erlangen können. Hier sollte die stärkste Verschlüsselung gewählt werden (WPA2), da schwächere Verschlüsselungen (WEP) nicht mehr sicher sind.

    WEP-Verschlüsselung von WLANs in unter einer Minute geknackt



    Einstellungen und Software die die Sicherheit des Systems weiter erhöhen:




    • Tool, dass vor unseriösen Seiten im Netz warnt nutzen

    Addon WOT verwenden, dieses warnt vor nicht vertrauenswürdigen Seiten im Internet. Dieses Addon ist für den Internet Explorer, Firefox und Google Chrome und noch andere Browser erhältlich.




    Alternativ kann man auch den SiteAdvisor von McAffee nutzen.




    • Alternativen Browser verwenden


    Ein alternativer Browser vermindert die Angriffsfläche gegen Malware, da durch die geringere Verbreitung er nicht im Focus der Malware Schreiber ist. Auch verzichten diese auch auf eine besonders kritische Funktion des Internet Explorer, wie ActiveX-Steuerelemente

    Alternative Browser sind folgende erhältlich: Mozilla Firefox, Google Chrome, Opera und noch diverse andere.

    Da der Google Chrome und Firefox zu den beliebtesten alternativen Browsern gehören und sie durch Addons erweitert werden können, die die Sicherheit noch erhöhen, stelle ich hier noch einige nützliche Addons vor.

    Noscript/ScriptNo:

    kann JavaScript komfortabel für vertrauenswürdige Seiten aktiviert werden. Auch hat dieses Addon den praktischen Nebeneffekt, das viele Werbeelemente von Webseiten nicht mehr angezeigt werden.

    Firefox:
    NoScript

    Google Chrome:
    ScriptNo


    Video: Wie installiere und verwende ich "NoScript"?
    Video: Wie mit dem Einsatz von Noscript Cross-Site-Scripting verhindert werden kann

    RequestPolicy

    RequestPolicy macht da weiter, wo Noscript aufhört.
    Es filtert Zugriffe einer Website auf Inhalte anderer Websites aus, wenn man diese nicht ausdrücklich zulässt. Damit soll es seine Nutzer vor Angriffen per Cross-Site Request Forgery ( CSRF) schützen.
    Diese Addon ist für Erfahrene Nutzer zu empfehlen, es bedarf einer gewissen Einarbeitungszeit, wie das Addon Noscript.

    Firefox:
    RequestPolicy

    Adblock Plus

    Adblock Plus ist eigentlich kein Sicherheits- Addon, es kann aber vor schädlichen Werbebanner schützen, da durch dieses Addon diese überhaupt nicht angezeigt werden.
    Als Filter Abo wird oft der Filter von Dr.Evil empfohlen. Auch sollte nur eine Filterliste gewählt werden, da mehrere Filterlisten sich oft behindern und das surfen langsamer machen.

    Firefox:
    Adblock Plus

    Google Chrome:
    Adblock Plus

    Schädliche Werbebanner auf populären Webseiten




    • HTML Anzeige im Mail Programm deaktivieren


    Nach Möglichkeit sollte man daher die Darstellung von HTML komplett abschalten. Die meisten seriösen HTML-Mails beinhalten sowieso noch eine alternative Version in normalem Text
    Ein weiteres Ärgernis, das mit der HTML-Mail aufkam, sind referenzierte Bilder, die beim Lesen der Mail nachgeladen werden. Damit lässt sich dann sehr leicht nachvollziehen, ob und wann der Empfänger die Mail geöffnet hat. Spammer nutzen das, um gesammelte Adressen zu verifizieren, die dadurch im Wert steigen. Als Folge bekommt man danach noch viel mehr Spam. Also sollte man das Öffnen solcher Bilder verhindern. Die landläufigen Mail-Programme bieten da meist die Möglichkeit, das Nachladen von Bildern ganz zu unterbinden, oder nur zu erlauben, wenn der Absender im Adressbuch zu finden ist. Beides ist o.k.
    HTML-Mail



    • PDF Betrachter (Adobe Reader) sicher einstellen


    Da ein PDF Betrachter auf weit über 90% der Rechner zu finden ist und dieser überwiegend von Adobe kommt, ist dieser im Fokus vieler Malware Entwickler.
    Der Adobe Reader ist oft von Sicherheitslücken betroffen, diese kommen aber oft überhaupt nicht zum tragen, wenn im Reader Java Script deaktiviert wird. Diese Einstellungen sind auch für andere PDF Betrachter zu empfehlen! (Leider kann ich nicht für jeden Reader ein bebilderte Anleitung dokumentieren, ich bitte Euch, diese Einstellungen im Programm selber zu suchen)

    Bearbeiten --> Voreinstellungen --> JavaScript --> Haken bei "Acrobat JavaScript aktivieren" entfernen.



    Auch sollte auf die Anzeige von PDF Dokumenten im Browser generell verzichtet werden.

    PDF-Datei im Webbrowser anzeigen/deaktivieren



    • Optionales Programm für sehr sicherheitsbewusste Anwender:


    Optional können sehr sicherheitsbewusste Nutzer, oder auch Leute die viel ausprobieren wollen das Programm Sandboxie nutzen. Es ist eine kleine Virtuelle Maschine in der auch gesurft werden kann. Anwender sollten trotzdem nicht zu sorglos die Sandbox nutzen, wer mit Malware in der Sandbox experimentiert, könnte trotzdem infiziert werden.
    Sandboxie leistet im Kleinen, was bspw. VMware Workstation und VirtualPC im Großen tun. Während bei den beiden letztgenannten Programmen ein komplettes Betriebssystem in eine Sandbox gepackt wird, ermöglicht Sandboxie es Ihnen einzelne Anwendungen gezielt in einer Sandbox laufen zu lassen. Eine Sandbox ist ein vom Betriebssystem abgeschotteter Teil auf der Festplatte. So können Sie bspw. den Internet Explorer in Sandboxie starten lassen und brauchen keine Angst mehr vor Spyware zu haben, da sich diese ausschließlich in der Sandbox und nicht im Betriebssystem einnisten würde. Sobald Sie Sandboxie beenden ist der Spuk vorbei, da niemals schreibend auf das eigentliche Betriebssystem oder die Registry zugegriffen wurde. Auf diese Art und Weise können Sie auch Ihr Mailprogramm sicher betreiben.
    http://www.sandboxie.com/
    Jetzt werden auch die 64bit Versionen unterstützt.








    Wichtige Verhaltensregeln zum sicheren Umgang mit einem Windows Rechner




    • Man sollte sich niemals auf den Virenscanner verlassen, eine 100% Erkennung kann kein Virenscanner leisten.
      Das PDF mit dem Schadcode sei von keinem der über 30 Virenscanner auf VirusTotal erkannt worden
      Cracker nutzen PDF-Sicherheitslücke


    • Software niemals ergooglen die installiert werden soll, da man hier oft auf dubiosen/unbekannten Seiten landet. Software nur aus vertrauenswürdigen Quellen laden und keine Software aus unbekannten Quellen, Cracks oder Dateien aus Filesharing installieren.
      Software lädt man z.B nur vom Computerbase Download Bereich, Heise Software, hier dürften fast alle Free Programme verfügbar sein.

      Software aus unbekannten Quellen lässt man immer auf Virustotal, oder Jotti überprüfen. Diese Scanner haben den Vorteil, dass mit fast allen gängigen Scanner gescannt wird und hier die Gefahr minimiert wird.


    • Keine Email Anhänge und Dateien via Messenger (ICQ usw.) unbekannter Herkunft öffnen



      Schädlings-Mails tarnen sich als Inkasso-Rechnung


    • Nicht alles anklicken im Browser, z.B. man wäre angeblich infiziert.




      Scharlatane und Hochstapler
      Zweifelhafte Antiviren-Produkte



    • Sichere Passwörter verwenden und nicht überall das Gleiche!
      Passwort Checker
      Ein gutes Programm zum verwalten von vielen Passwörtern ist KeePass Password Safe
      Allerdings bleibt der Safe ein sehr lohnenswertes und prinzipbedingt anfälliges Ziel. Denn irgendwann müssen Sie ja mal das Master-Passwort eintippen – und dann kann ein eventuell mitlauschendes Spionageprogramm im Hintergrund abräumen.
      http://www.heise.de/security/artikel...artikelseite=3


    • Die Sicherheit des System kann auch erhöht werden, wenn Software installiert wird die nicht im Fokus der Malware Schreiber ist. Für gängige Marktführer gibt es oft gleichwertige Alternativen. Ich verwende anstatt des Adobe Readers den PDF-XChange Viewer. Dieser wird natürlich auch Sicherheitslücken haben, die einmal geschlossen werden müssen, aber aktive Malware die auf diesen Viewer abzielt, tendiert gegen Null.

      Antivirenhersteller rät vom Einsatz des Adobe Reader ab


    • Optional kann der Rechner mit einer Antiviren Live CD überprüft werden, da hier z.B. Rootkits viel leichter gefunden werden können.

      Bei Antivirus-Boot-CDs sind diverse Scanner aufgeführt.
      http://hoax-info.tubit.tu-berlin.de/...ntivirus.shtml

      Erlaubt das Bios auch das booten von USB Stick, kann mit einem Tool auch der Scanner auf dem USB Stick installiert werden.
      Bootbaren USB Sticks erstellen
    Miniaturansichten angehängter Grafiken Miniaturansichten angehängter Grafiken Klicke auf die Grafik für eine größere Ansicht 

Name:	Windows Update.jpg 
Hits:	33817 
Größe:	32,6 KB 
ID:	197844   Klicke auf die Grafik für eine größere Ansicht 

Name:	UAC Sieben.jpg 
Hits:	33725 
Größe:	36,7 KB 
ID:	197846   Klicke auf die Grafik für eine größere Ansicht 

Name:	WOT.jpg 
Hits:	33702 
Größe:	28,4 KB 
ID:	197847   Klicke auf die Grafik für eine größere Ansicht 

Name:	Adobe Reader1.jpg 
Hits:	33728 
Größe:	92,7 KB 
ID:	197848   Klicke auf die Grafik für eine größere Ansicht 

Name:	Adobe Reader2.jpg 
Hits:	26396 
Größe:	93,3 KB 
ID:	197849  

    Klicke auf die Grafik für eine größere Ansicht 

Name:	Rechnung.jpg 
Hits:	33565 
Größe:	20,7 KB 
ID:	197850   Klicke auf die Grafik für eine größere Ansicht 

Name:	Nagware.jpg 
Hits:	33738 
Größe:	89,5 KB 
ID:	197851   Klicke auf die Grafik für eine größere Ansicht 

Name:	PSI.jpg 
Hits:	28461 
Größe:	44,7 KB 
ID:	218739  
    Geändert von Boogeyman (22.02.2014 um 18:20 Uhr) Grund: Update

  2. Anzeige
    Logge dich ein, um diese Anzeige nicht zu sehen.

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •