Win10 Neuinstall Sicherheit optimieren

[HNP30]

Hallo,
Ich möchte mein Win10 mal wieder neu Installieren sobald die neue größere SSD da ist.
Im Normalfall mache ich das immer jährlich einmal.

Ich möchte gerne die Sicherheit und den Datenschutz so gut es geht einstellen/optimieren.
Das Alles möglichst mit Boardmitteln.

Was mache ich mit meinem Rechner:

• Online Banking
• normales Surfen
• Office Arbeiten
• Mails
• Gaming

Folgende Software will ich direkt installieren:

• Origin und Steam incl der Spiele
• Spotify
• Firefox incl "uBlock Origin" und "https erverywere"
• Microsoft Office

nach und nach kommt sicherlich noch das ein oder andere dazu.

Windows Firewall und Defender in original Einstellungen belassen.
Ransomeware Schutz aktivieren.
Über PowerShell PUA und Spyware/Adware Schutz aktivieren.
Kein Admin Konto für die normalen Arbeiten und Gaming.
Windows Updates versteht sich von selbst.

Reichen Backups mit den Win10 Boardmitteln?
Oder Software von einem Drittanbieter?
Bisher habe ich wichtige Dateien immer auf meine externe Festplatte regelmäßig manuell gesichert.

Gibts was zu verbessern?
Geht mit dem Defender noch mehr?

 

[cyberpirate]

Hallo,

also ich nutze überall nur den Defender. Reicht völlig aus wie ich finde. Von aktuellen Windows erstelle ich monatlich ein Image mit Acronis True Image. Ist einfach das beste Tool. Daten spiegel ich auf verschd. PC und Festplatten. Ich nutze dazu das Tool Freefilesync. Monatlich mache ich einen Scan mit dem Adware Cleaner. Firefox habe ich mit folgenden Addons ausgestattet: uBlock Origins, uMatrix. Disconnect, Canvas Blocker, Decentraleys. I dont care about Cookies. Das ganze im privaten Modus so das alles beim beenden gelöscht wird.

Zum Banking nutze ich einen seperaten portable Browser und zwar den Iron. AUch mit den gleichen Addons.

MfG

 

[BeBur]

Du könntest bei Office und Outlook Makros vollständig deaktivieren.
Statt Adobe einen alternativen PDF Reader verwenden.
Du solltest von manuellen auf automatisierte Backups umsteigen.
Nachtrag: E-Mail Darstellung als Standard auf Plain Text stellen und nur bei Bedarf html anzeigen.

 

[Scirca]

Tipp VEEAM Backup Community Edition.
Dazu ein kleines NAS im LAN, unendlich entspanned.

Dann für die Security Fetishiten, Rollen und Features aktivieren.
Debian .iso ziehen und damit eine VM starten. In der kann man dann alle Bankgeschäfte erledigen.

Und ein Passwort Manager darf nicht fehlen, dazu Keepass 2 oder Keepass XC je nach persönlich Geschmack.

 

[BeBur]

Aufgrund der 2FA bei Banken würde ich darauf verzichten dafür mit VMs oder Live-CDs zu arbeiten.
+1 Passwort-Manager

 

[NutzenderNutzer]

welchen alternativen PDF Reader empfiehlt man denn so? wo doch sogar auf Gemeinderechnern Adobe läuft^

 

[cyberpirate]

Habe mich von VM dafür auch gegen entscheiden. Überall die 2 Faktor aktiviert reicht mir aus. Passwörter etc habe ich alles im VC Container. Reader braucht man nicht. Macht doch der Edge oder FireFox auch. Brauchst also kein extra Tool dafür. Ansonsten für PDF erstellen PDF24.

 

[chrigu]

Gibts was zu verbessern?
Geht mit dem Defender noch mehr?

nein, passt alles... solange du nichts "vom Lastwagen gefallen" installierst oder dubiose links öffnest, hast du mit deiner Schutzmassnahme eine ausreichende Absicherung.

 

[snaxilian]

Naja Steam hat sich nicht gerade mit Ruhm bekleckert bzgl. der Sicherheit... https://www.bleepingcomputer.com/ne...saga-continues-with-vulnerability-fix-bypass/
Die ganzen Game-Installer sind ein Wespennest in dem man nicht rum stochern will ^^

Vieles hast du schon selbst gesagt bzw. wurde von anderen gesagt:

• Zweites Konto ohne Adminrechten für tägliche Arbeit
• Office Makros komplett abdrehen
• UAC würde ich auf sehr hoch setzen. Ja, "nervig" aber du bekommst Änderungen am System mit
• Backups gehören automatisiert. Veeam ist eine gute Empfehlung, für einen PC reicht locker der "Agent for Windows free", die kostenlose Community Edition ist eher relevant wenn man eine oder mehrere VMs mit HyperV betreibt.

IT-Security ist jedoch eher selten das einmalige abarbeiten irgendwelcher Checklisten sondern eher als Prozess zu verstehen. Betriebssysteme und Anwendungen sind einem steten Wechsel unterzogen und neben den genannten Punkten sollte man auch immer mit etwas Hirn an die Sache heran gehen und nicht blind Dinge aus Drittquellen installieren, nachdenken bevor man auf einen Link in einer Mail klickt, etc.

 

[BeBur]

Auf jeden Fall, das kann man guten Gewissens dann so verwenden.
Was ich schrieb ist in dem Sinne optimierung, als das es die potenzielle Angriffsfläche stark verringert ohne (große) Einschränkung der Usability.
Als PDF Reader könnte man SumatraPDF nehmen (ist aber schon eine Weile her, dass ich mich damit auseinander gesetzt habe).
Makros deaktivieren ist eine einmalige Sache von der man danach nie wieder was mitbekommt (imHo im Privatbereich trifft man so ziemlich nie auf die Notwendigkeit, Makros zu erlauben).
Bei E-Mails sollte man nie direkt entfernte Inhalte nachladen wegen Pixel-Tracking. Bin mir ob der restlichen Angriffsvektoren bezgl. HTML vs. Plain Text nicht sicher da ich seit x jahren schon immer nur Plain Text anzeigen lasse. Vielleicht weiß da ja jemand was zu ob sich das wirklich lohnt.

 

[cyberpirate]

Als PDF Reader könnte man SumatraPDF nehmen

Nicht nötig. Siehe oben.

 

[andy_m4]

Reichen Backups mit den Win10 Boardmitteln?
Oder Software von einem Drittanbieter?

Naja. Bei Backup kann man (unabhängig von der Software) ne ganze Menge falsch machen.
Sowas wie Festplatte anstöpseln und dann sein Backup starten ist schon mal der erste krasse Fehler. Denn ist gerade Schadsoftware auf Deinem System aktiv, sind halt nicht nur die Dateien auf Deinem Rechner hinüber, sondern Dein Backup auch.
Wenn man also auf eine externe Festplatte sichert, sollte man von einem sauberen Live-Medium booten und dann die Sicherung machen.
Eine Sicherung sollte auch immer versioniert sein. Nicht das eine kaputte Datei eine Intakte überschreibt.

Was Backup-Software angeht, würde ich ganz klar zu restic (https://restic.net/) tendieren und gar nicht erst mit irgendwelchem anderen Quatsch anfangen.

• Online Banking
• normales Surfen

Dafür würde ich eher nicht zu Windows greifen. Für die anderen Sachen brauchst Du es aber.
Und ich glaube nicht, das DualBoot für Dich eine Option wäre. Und eine VM bringt soviel zusätzliche Komplexität ins System, das Du letztlich nicht viel gewinnst.

 

[NutzenderNutzer]

zweites konto ist halt schwierig weil viele spiele nicht korrekt installieren/starten bei erstem launch als nicht admin hm

 

[snaxilian]

gar nicht erst mit irgendwelchem anderen Quatsch anfangen

Restic ist ein gutes Programm, sichert jedoch nur Dateien. Fällt die Systemplatte aus, machst du wie genau einen Restore? Ach ja, manuelles neu installieren. restic wieder einrichten und dann Dateien wieder herstellen. Registry Keys installierter Programme stellst du wie genau wieder her? Keine Frage, restic hat seine Vorteile, ich nutze es selbst da wo es sinnvoll ist. Windows Clients sind es nicht gerade^^...
Bevor du (abfällig?) über andere Tools urteilst solltest dich ggf. mal informieren was Veeam ist und ggf. nachdenken warum gerade so viele auch größere Unternehmen es einsetzen.

@NutzenderNutzer Auch dafür gibt es Workarounds. Nicht schön aber je nach Anwendung/Spiel praktikabel, z.B. hier: http://woshub.com/run-program-without-admin-password-and-bypass-uac-prompt/

Aber da sollte man halt Daddelei und arbeiten/Mails/Banking ggf. doch per VM trennen (ein generisches Linux oder gar ne Live-CD als VM booten für online banking ist nun wahrlich keine Raketentechnik) oder sich ganz genau der Risiken bewusst sein und damit leben können wenn $Daten oder Geld weg sind. Ja, die Wahrscheinlichkeit ist sehr gering aber man sollte sich in ein paar ruhigen Minuten darüber einmal Gedanken machen.

 

[PC295]

Ich möchte gerne die Sicherheit und den Datenschutz so gut es geht einstellen/optimieren.
Das Alles möglichst mit Boardmitteln.

Optimalen Datenschutz mit Boardmitteln herzustellen ist schwierig. Eine Untersuchung des BSI fand heraus, dass die Windows-Einstellungen hierfür nicht ausreichen. Dazu kommt noch das MS bewusst einige Einstellungen für den Laien versteckt z. B. in der Registry oder in den Gruppenrichtlinien.
Schau dir z.B. O&O ShutUp10 an, hier hast du alle Datenschutzeinstellungen zentral zusammengefasst.
Außerdem gibt es Empfehlungen, welche Einstellungen man bedenkenlos setzen kann und welche im Bedarfsfall überprüft werden sollen.

Firefox incl "uBlock Origin" und "https erverywere"

"https erverywere" ist aus meiner Sicht heutzutage überflüssig. Jede seriöse Seite verwendet mittlerweile HTTPS.
Ublock Origin würde ich mit "Nano Defender" erweitern. Es verhindert, dass Webseiten Adblocker erkennen und eine entsprechende Meldungen einblenden oder sogar den Zugriff verwehren.

Reichen Backups mit den Win10 Boardmitteln?

Lieber externe Programme, sie arbeiten zuverlässiger und bieten mehr Optionen.

 

[snaxilian]

Jede seriöse Seite verwendet mittlerweile HTTPS

Theoretisch ja aber nicht jeder hat es auch geschafft einen korrekten Redirect von http > https einzurichten. Klingt traurig, ist aber leider so.

 

[andy_m4]

Fällt die Systemplatte aus, machst du wie genau einen Restore? Ach ja, manuelles neu installieren. restic wieder einrichten und dann Dateien wieder herstellen. Registry Keys installierter Programme stellst du wie genau wieder her?

Genau. Das ist die Gelegenheit auch gleich mal wieder sein System aufzufrischen und ne saubere Neuinstallation zu haben.
Windows-Installationen haben nun mal die Eigenschaft zu altern. Da ist ne Frischzellenkur hin und wieder gar nicht verkehrt.

Wenn man dann dennoch den Systemzustand sichern will, würde ich das getrennt vom Backup machen. Ganz einfach, damit das Backup schnell geht.

solltest dich ggf. mal informieren was Veeam ist

Ich will mich jetzt nicht zwingend um ein Backup-Tool streiten. Mir ist wichtiger, wie das Backup abläuft und das es letztlich auch funktioniert.

warum gerade so viele auch größere Unternehmen es einsetzen.

Seit wann ist "setzen größere Unternehmen ein" ein Hinweis auf gute Qualität?

 

[snaxilian]

Also mein Backup mit dem Veeam Agent dauert unter 10 Minuten, läuft im Hintergrund, kann mich optional per Mail im Fehlerfall informieren und Restore des gesamten Systems als auch einzelner Dateien ist sogar DAU-freundlich umgesetzt.
Habe auch zusätzlich Veeam ein paar Jahre mal beruflich verwendet und da funktioniert es einfach in einem Großteil der Fälle sehr sehr gut (die anfälligen Ausnahmen sind idR aber auch nicht von Veeam supportet). Aber am Ende macht jeder ggf. andere und seine eigenen Erfahrungen und Posts in einem Forum sind und bleiben die Momentaufnahme einzelner Forennutzer.

Ja, bei manchen Nutzern "altert" ggf. ihr Windows und müssen aufgrund von $Veränderungen regelmäßig neu installieren aber ich kann für mich sagen, dass ich von Win 7 zu 10 und dann Migration auf neue Hardware (altes auf neues thinkpad) seit Jahren nicht mehr neu installieren musste aber ich nutze auch Windows nur auf zwei Clients (Daddel-PC und besagtes Thinkpad für alltägliches arbeiten) und betreibe meine Serverdienste unter Linux mit Docker. Da wiederum nutze ich dann restic, da Deployment/Disaster Recovery per Ansible gelöst ist falls ich mal neu aufsetzen muss^^

 

[andy_m4]

Also mein Backup mit dem Veeam Agent dauert unter 10 Minuten,

Die Angabe ist natürlich relativ sinnlos, wenn man nicht dazu sagt, über welche Datenmenge man das Backup macht. Pauschal würde ich aber sagen, es dauert lange.
Ich hab einen Datenbestand von ca. 2TB (vieles davon auf Festplatte statt SSD).
Pro Tag hab ich meist aber nur weniger als 1 GB an geänderten Daten.
Das Backup dauert unter 1 Minute.

kann mich optional per Mail im Fehlerfall informieren

Oh-ha. Wenn das schon als Besonderheit gilt. :-)
Ich lasse mich übrigens auch im Erfolgsfall per Mail informieren, damit ich nicht denke es läuft alles super, obwohl Mail kaputt ist.

Restore des gesamten Systems als auch einzelner Dateien ist sogar DAU-freundlich umgesetzt.

Ein nicht zu unterschätzender Faktor. Was nützt das beste Backup(programm), wenn der betroffene Anwender damit nicht umgehen kann.

Habe auch zusätzlich Veeam ein paar Jahre mal beruflich verwendet und da funktioniert es einfach in einem Großteil der Fälle sehr sehr gut

Ich glaube Dir und will das auch gar nicht in Abrede stellen.
Ich fand es nur etwas unglücklich mit der Argumentation "wird auch von größeren Unternehmen verwendet" :-)

Ja, bei manchen Nutzern "altert" ggf. ihr Windows

Ja- Hängt sicher auch damit zusammen, wie man mit dem System umgeht.
Die andere Sache ist die, das ein Recovery-Fall ja normalerweise nicht so häufig vorkommt und dann kann man auch mal ne saubere Neuinstallation machen.
Aber auch das ist natürlich individuell. Jemand der seinen Rechner quasi ständig braucht (und auch kein Ersatz hat), der hat im Fall des Falles natürlich nicht unbedingt die Zeit den Rechner sofort neu aufzusetzen.

Daddel-PC und besagtes Thinkpad für alltägliches arbeiten

Ich finde das auch ziemlich sinnvoll. Also das trennen von Spiele- und Arbeitsumgebung. Schon allein deshalb, weil Spiele ja auch gern mal an den Grafiktreibereinstellungen drehen und ein Kopierschutz im System rumwurschtelt.

Bei Docker und Ansible musste ich schlucken.

 

[BeBur]

Im privaten Kontext sind Systembackups nice-to-have / optional. Lieber simpler bzw. nur wirklich die Daten sichern bzw. nur das wirklich wichtige machen aber das dafür best-practice.