Windows XP und IE richtig absichernSpecial: PC-Sicherheit 2005
Grundlagen der PC-Sicherheit
Windows XP und IE richtig absichern
Um sich gegen Angriffe zu wappnen, die im Jahr 2005 lauern, müssen Sie vor allem verhindern, dass bösartiger Code auf Ihrem PC ausgeführt werden kann. Ein effektiver Schutz ist dabei gar nicht so schwer.
Denn Hacker, die in ein System eindringen oder die Kontrolle über einen Fremdrechner übernehmen wollen, müssen erst drei Hürden überwinden. Zunächst müssen sie Dateien auf den PC einschleusen. Anschließend geht es darum, den Anwender oder eine Software dazu zu bringen, die verseuchte Datei auszuführen. Und schließlich versuchen die Hacker, unerkannt zu bleiben. PC Professionell zeigt, welche Grundlagen der PC-Sicherheit Sie beachten müssen und wie Sie sich vor Angriffen schützen.
Ihre schärfste Waffe: Vorsicht
Windows XP und IE richtig absichern
Anwender, die E-Mails mit Absendern wie Amina Jubril aus Libyen erhalten, wissen sofort, dass es sich dabei um Spam der so genannten Nigeria-Connection handelt. Solche Mails gehören ungelesen gelöscht. Der gesunde Menschenverstand hat obsiegt. Locken die Nachrichten im Posteingang aber mit Fotos von Stars und Sternchen oder angeblich angeforderten Dokumenten, unterliegt der gesunde Menschenverstand der Neugierde. Damit hat der Hacker auf einen Schlag die beiden ersten Hürden überwunden.
Der mit Abstand wichtigste Tipp rund um das Thema PC-Sicherheit lautet daher: Niemals ein Attachment ausführen, das Sie nicht ausdrücklich angefordert haben. Im Zweifelsfall fragen Sie beim Absender nach, ob er den Datei-Anhang auch tatsächlich selbst verschickt hat.
Und bei der Auswahl des Mail-Providers prüfen Sie zunächst, ob dieser einen Virenschutz integriert. Der lokale Virenscanner auf dem Anwender-PC sollte zudem immer aktuell gehalten werden und auch in komprimierten Archiven suchen. Die installierte Firewall ist auf die höchste Sicherheitsstufe zu setzen. Nur so ist der PC gut gegen Trojaner und Remote-Access-Tools geschützt.
Windows XP Service-Pack 2 einspielen
Windows XP und IE richtig absichern
Auch wenn Windows XP mit SP 2 alles andere als sicher ist ( Heft-DVD-Code: SECURITY), führt an der SP-2-Installation kein Weg vorbei. Zum einen bügelt das Update viele kleine Nachlässigkeiten aus und schließt Sicherheitslücken. Zum anderen erweitert es das Betriebssystem um neue Sicherheitsfunktionen wie das Windows-Sicherheitscenter.
Dass ein SP-2-System deutlich weniger Schwachstellen aufweist als Windows XP mit SP 1, zeigt allein schon ein Blick in die
Windows Security Bulletin Summary für Oktober 2004 (XP-Nutzer, die das Service-Pack 2 noch nicht installiert haben, können dieses bei Microsoft herunterladen oder auf CD-ROM bestellen. Details dazu finden Sie bei Microsoft
(
www.microsoft.com/germany/windowsxp/sp2/anwender/bezug.mspx)
Fünf Tools gegen den Rest der Welt
Windows XP und IE richtig absichern
So wichtig wie das Service-Pack 2 ist auch eine sinnvolle Kombination zusätzlicher Security-Software. Pflicht sind in jedem Fall: Virenscanner (Panda Antivirus Titanium, 40 Euro) und Desktop-Firewall (Sygate Firewall Pro, 40 Euro), am besten in Kombination mit einer Router-basierten Firewall (siehe Vergleichstest PCpro 3/2005).
Empfehlenswert ist die Nutzung von Spam-Filtern, sei es als Stand-alone-Tool (Mailwasher Pro 4.1.9, 30 Euro) oder als Plug-in (Spambully, 22 Euro). Mit einem Tool zum rückstandsfreien Löschen von Daten entfernen Sie alle Reste von bösartigem Code sicher. Empfehlenswert: O&O Safe Erase 2.0, 50 Euro; alternativ die
Freeware Eraser 5.7.
Wenn Sie Kosten um die 150 Euro für Ihre PC-Sicherheit scheuen, hat PC Professionell für Sie auf der Heft-DVD ein Software-Bundle mit guten Alternativen zusammengestellt ( Heft-DVD-Code: SECURITY).
Windows-Firewall: Minimallösung richtig einsetzen
Windows XP und IE richtig absichern
Die Minimallösung beim PC-Schutz ist die Windows-Firewall, die zum Lieferumfang des Service-Pack 2 gehört. In diesem Fall ist es aber oftmals nötig, die von einer Software genutzten Ports manuell zu ermitteln. Diese Aufgabe erledigen Sie mit dem XP-Befehl netstat.exe. Starten Sie das zu überprüfende Programm und führen Sie die notwendigen Schritte aus, damit die Software auf die Netzwerk-Ressourcen zugreift. Öffnen Sie eine Shell (Start ? Ausführen ? cmd), geben Sie netstat ?ano>c:\ports.txt ein und bestätigen Sie mit der Eingabetaste. Windows schreibt daraufhin eine Liste aller derzeit geöffneten Ports in die Datei ports.txt und speichert diese im Root-Verzeichnis von C:.
Anschließend tippen Sie den Befehl tasklist>c:\tasks.txt ein und drücken die Eingabetaste. Der Befehl bewirkt, dass XP alle derzeit laufenden Tasks in die Datei tasks.txt schreibt. Öffnen Sie die Datei tasklist.txt und suchen Sie in der Spalte Abbildname nach dem Programm, dessen Port-Nutzung Sie in Erfahrung bringen wollen, und notieren Sie sich die dazugehörige PID-Nummer (Process Identification). In der Datei ports.txt suchen Sie nach dieser PID; in der Spalte Remoteadresse finden Sie den verwendeten Port. Das genutzte Protokoll steht in der Spalte Proto. Alternativ dazu können Sie auch die
Freeware TCPview 2.34 verwenden.
Nur ausgewählte Ports freigeben
Windows XP und IE richtig absichern
Grundsätzlich gilt: Gestatten Sie so wenig wie möglich und nur geprüften Programmen, unkontrolliert durch die Firewall online zu gehen. Die Ausnahmeliste können Sie in der Systemsteuerung über das Sicherheitscenter und die Firewall-Einstellungen einsehen. Möchten Sie aber den ermittelten Port in der Windows-Firewall freigeben, wählen Sie Start ? Ausführen ? firewall.cpl. Im Register Ausnahmen klicken Sie auf Port, um den Dialog Port hinzufügen zu öffnen. Bei Name tippen Sie die Bezeichnung des Programms ein, die Port-Nummer schreiben Sie in das gleichnamige Eingabefeld. Geben Sie das vom Programm genutzte Protokoll an und verlassen Sie den Dialog mit OK.
Umfassende Informationen zum Umgang mit der Windows-SP-2-Firewall und den Gruppenrichtlinien bietet Microsoft online (
www.microsoft.com/downloads/details. aspx?familyid=4454e0e1-61fa-447a-bdcd-499f73a637d1&displaylang=en).
Sicherheitslücken aufspüren
Windows XP und IE richtig absichern
Ist das Service-Pack 2 eingespielt, steht im nächsten Schritt die Überprüfung des Systems an. Idealerweise erledigen Sie diese Aufgabe mit dem kostenlosen
Microsoft Baseline Security Analyzer 1.2.1. Weitere Alternativen, mit denen sich die Systemsicherheit ermitteln lässt, finden Sie auf Seite 46.
Das Security-Audit klopft Betriebssystem und typische Microsoft-Applikationen wie Office-Pakete und Internet Explorer auf bekannte Schwachstellen ab und informiert über Abhilfemöglichkeiten. Interessant für Administratoren ist, dass sich der Systemcheck auf Wunsch auch innerhalb eines kompletten Spektrums von IP-Adressen durchführen lässt, um alle in einem lokalen Netzwerk zusammengeschlossenen Clients in einem Durchgang zu überprüfen. Hierfür müssen Sie jedoch auf jedem zu prüfenden Rechner über Administratorrechte verfügen. Je nachdem, welche Art des Systemchecks Sie durchführen wollen, entscheiden Sie sich nach dem Start des Tools entweder für Einen Computer überprüfen oder Mehrere Computer überprüfen.
Haben Sie die erstgenannte Option ausgewählt, markieren Sie im folgenden Dialog bei Computername den zu prüfenden Rechner und beginnen den Check mit einem Klick auf Überprüfung starten. Um den Netzwerk-Check zu starten, wählen Sie entweder einen Domänennamen aus oder tippen bei IP-Adressbereich den Bereich der zu scannenden IP-Adressen ein, etwa 192.168.0.0 bis 192.168.0.10, und bestätigen schließlich mit Überprüfung starten
Security-Audit im Netzwerk
Windows XP und IE richtig absichern
Die jeweiligen Überprüfungsoptionen sind nur dann zu verändern, wenn Sie als Administrator eines Unternehmensnetzwerks über einen lokalen Software-Update-Services-Server (SUS) verfügen. In diesem Fall aktivieren Sie die Option SUS-Server verwenden und geben die entsprechende URL ein. Der Unterschied zum netzwerkweiten Check ohne SUS-Server-Unterstützung: Anstatt in der vollständigen, auf der Microsoft-Website in Form der Datei mssecure.xml gespeicherten Liste der verfügbaren Sicherheits-Updates zu suchen, klopft der MBSA die Clients auf fehlende Sicherheits-Updates anhand der genehmigten, auf dem SUS-Server abgelegten Elementeliste ab.
Alle vom SUS-Administrator als genehmigt gekennzeichneten Updates, einschließlich abgelöster Aktualisierungen, werden von MBSA überprüft und gemeldet. Allerdings umfasst der Systemcheck mit SUS-Server-Unterstützung derzeit keine Updates für SQL Server sowie Exchange- und Office-Produkte.
Kritische Fehler sofort beheben
Windows XP und IE richtig absichern
Das Ergebnis der Überprüfungen präsentiert das Tool in Form eines übersichtlichen Sicherheitsberichts, in dem kritische Fehler durch ein rotes, nicht kritische Fehler durch ein gelbes X markiert sind. Um einen der Fehler auszumerzen, klicken Sie auf den Hyperlink Vorgehensweise zur Behebung und folgen den jeweiligen Anweisungen.
PC Professionell rät, alle von diesem Analyse-Tool beanstandeten Fehler umgehend zu beheben und anschließend den Microsoft Baseline Security Analyzer 1.2.1 erneut auszuführen. Nur so ist sichergestellt, dass das System mit den aktuellsten Microsoft-Sicherheitsrichtlinien korrespondiert.
Maßgeschneidertes Windows-Update
Windows XP und IE richtig absichern
Am automatischen Windows-Update führt kein Weg mehr vorbei. Denn nur so können Sie schnellstmöglich Sicherheitslücken des Betriebssystems schließen. Wichtiger denn je wird dies im Jahr 2005 aufgrund des Vormarsches von so genannten Zero-Day-Exploits, dem sofortigen Ausnutzen von Sicherheitslücken über Netzwerke und Internet. Allerdings sollten Sie Windows nur den automatischen Download erlauben, das Einspielen der Patches jedoch manuell durchführen. Schließlich ist nicht garantiert, dass Microsoft tatsächlich nur sinnvolle Daten auf den Rechner überspielt.
Die entsprechende Option passen Sie so an: In der Systemsteuerung klicken Sie doppelt auf Sicherheitscenter. Im folgenden Dialog klicken Sie auf Automatische Updates und aktivieren die Option Updates downloaden, aber Installationszeitpunkt manuell festlegen. Diese Einstellung bewirkt, dass Windows in Eigenregie nach automatischen Updates sucht und diese bei Verfügbarkeit neuer Patches gleich herunterlädt. Während des Downloads blendet Windows im Infobereich der Taskleiste ein Symbol ein, das Sie darüber informiert. Klicken Sie auf das Icon, um den Downloadstatus einzusehen. Möchten Sie eines der heruntergeladenen Updates nicht sofort installieren, wählen Sie Details und deaktivieren das Kontrollkästchen neben dem entsprechenden Update. Windows macht Sie regelmäßig darauf aufmerksam, dass Sie ein bereits heruntergeladenes Update noch nicht eingespielt haben. Um dieses einzuspielen, genügt ein Mausklick auf Installieren.
Lassen Sie sich automatisch über neueste Sicherheitslücken informieren. Sobald ein Update, Patch oder Hotfix für ein bekanntes Sicherheitsrisiko auf der Microsoft-Webseite zum Download angeboten wird, wird dies allen interessierten Windows-Nutzern in Form eines Newsletters mitgeteilt.
Neueste Infos über Schwachstellen
Windows XP und IE richtig absichern
PC Professionell empfiehlt allen XP-Anwendern, den als Security Informationsdienst bezeichneten Newsletter zu abonnieren. Dazu rufen Sie die Seite
register.microsoft. com/subscription/subscribeme.asp?ID=135 auf, tippen Sie dort Ihre E-Mail-Adresse ein und wählen Heimatland und bevorzugte Sprache aus, bevor Sie die Anmeldung mit Submit absenden. Daraufhin erhalten Sie eine Bestätigungs-Mail, in der Sie auf den enthaltenen Link klicken, um zu einer Webseite zu gelangen, auf der Sie die Registrierung mit Submit abschließen.
Systemadministratoren, die in Sachen Security immer auf dem Stand der Dinge sein müssen, sollten sich auch in die Security-Mailinglisten von
RUS-CERT eintragen. Speziell um neue Internet-Explorer-Exploits kümmert sich der renommierte Sicherheitsexperte
Georgi Guninski.
Windows-Dienste: Wenig hilft viel
Windows XP und IE richtig absichern
Der zum Spammen missbrauchte Nachrichtendienst ist nach dem Einspielen des Service-Pack 2 standardmäßig ausgeschaltet. Doch es gibt noch eine ganze Reihe weiterer XP-Services, die der Windows-Nutzer aus Sicherheitsgründen deaktivieren sollte. Das Problem: Es gibt keine allgemein gültige Liste der Dienste, die unwichtig sind. So ist etwa auf PCs, mit denen Internet Connection Sharing (ICS) genutzt wird, der Start des Services Windows-Firewall ? Gemeinsame Nutzung der Internetverbindung Pflicht. Anwender, die ICS nicht nutzen und eine Desktop-Firewall eines Drittherstellers einsetzen, können den Dienst hingegen ausschalten.
Um das Startverhalten der rund 80 Dienste an die eigene IT-Infrastruktur anzupassen und in Eigenregie zu konfigurieren, sind profunde Systemkenntnisse unumgänglich. Eine gute Übersicht, Hintergrundinfos und Empfehlungen für eine sinnvolle Dienste-Konfiguration bietet Ihnen PC Professionell im Beitrag »XP-Dienstplan«. Eine ausgezeichnete Beschreibung aller Services finden Sie auch in Kapitel 7 des kostenlosen PDF-Dokuments
»Gefahren und Gegenmaßnahmen: Sicherheitseinstellungen in Windows Server 2003 und Windows XP«.
Tools für die Dienste-Konfiguration
Windows XP und IE richtig absichern
Anwender, die nicht so tief in die Materie einsteigen wollen, können das Startverhalten der Dienste mit Hilfe des Kommandozeilen-Tools SVC2KXP 2.2 Build 2 (
www.ntsvcfg.de) anpassen. Nach dem Start stehen vier Optionen bereit. Empfehlenswert ist es, (3) Setzt alle Vorschlaege nach
www.ntsvcfg.de um auszuwählen und mit der Eingabetaste zu bestätigen. Nach dem erforderlichen Neustart können Sie prüfen, welche Services deaktiviert sind. Dazu geben Sie Start ? Ausführen ? services.msc ein. Um Änderungen rückgängig zu machen, starten Sie SVC2KXP und wählen die Option (4) Nimmt die zuletzt vorgenommenen Aenderungen zurueck.
Alternativ dazu steht mit dem Utility Windows-Dienste abschalten (
www.dingens.org) eine Ein-Klick-Lösung, basierend auf der Vorversion SVC2KXP 2.1 bereit. Zum Redaktionsschluss ist aber noch keine Programmversion zum Download verfügbar, die speziell auf Windows XP mit SP 2 abgestimmt ist.
Sicherheit geht vor Surfkomfort
Windows XP und IE richtig absichern
Je multimedialer das World Wide Web, desto größer die Gefahren für Surfer. Denn um Homepages so anziehend und benutzerfreundlich wie möglich zu gestalten, setzen Webdesigner auf aktive Inhalte, die auf ActiveX oder Javascript basieren. Doch diese Elemente können auch dazu missbraucht werden, um Viren, Dialer und Trojaner auf fremden Rechnern zu installieren.
Um den Fallenstellern einen Strich durch die Rechnung zu machen, sollten Sie entweder Firefox als Browser einsetzen oder die Konfiguration des Internet Explorer anpassen. Dazu klicken Sie auf Extras ? Internetoptionen, bringen das Register Sicherheit nach vorne, markieren das Icon Internet und klicken auf Stufe anpassen.
ActiveX-Steuerelemente und Plug-ins: Es ist ratsam, alle ActiveX-Optionen bis auf Download von signierten ActiveX-Steuerelementen zu deaktivieren, um schädliche Web-Objekte vom PC fernzuhalten.
Scripting: Einerseits gehören solche auf Java oder Visual Basic basierende Scripts zur Grundausstattung von Webseiten, andererseits sind es gerade diese Inhalte, die für große Gefahr sorgen können. Und genau dieser negative Aspekt veranlasst sicherheitsbewusste Anwender, bei allen drei Einstellungen auf Deaktivieren zu klicken.
Setzen Sie noch Internet Explorer 6 SP 1 ein, müssen Sie auch die im Bereich Microsoft VM unter Java-Einstellungen zu findende Option Hohe Sicherheit aktivieren.
Nachteil dieser erhöhten Sicherheitsvorkehrungen: Der Browser stellt einen Großteil der Webseiten nicht mehr korrekt oder überhaupt nicht mehr dar, da viele Web-Angebote auf ActiveX-Controls und Scripts setzen.
Sicherheits-Zonen konfigurieren
Windows XP und IE richtig absichern
Obwohl der Internet Explorer über ein Zonenmodell verfügt, das mehr Sicherheit bietet als Pop-up-Blocker, Cookie-Verwaltung und Add-in-Manager, nutzen nur wenige Anwender die Zonen Vertrauenswürdige Sites und Eingeschränkte Sites. Eine detaillierte Einführung in das Zonenprinzip finden Sie in der
Dokumentation zum Resource Kit .
Bei der Zusammenstellung der eingeschränkten Seiten können Sie sich vom
Tool IE-SPAYAD unterstützen lassen. Nach der Installation finden sich im Bereich Eingeschränkte Sites tausende als potenziell gefährlich bekannte URLs. Die so gekennzeichneten Webseiten lassen sich nach wie vor aufrufen, allerdings greifen hier höchst rigide Einschränkungen, so dass die Schadensroutinen der aggressiven Webseiten ins Leere laufen.
Wichtig: Der Anbieter stellt zwei Versionen des Tools zur Wahl. IE-SPYAD und IE-SPYAD 2 unterscheiden sich dadurch, dass das erstgenannte Utility die Webseiten-Blacklist nur für den aktuellen Benutzer installiert. IE-SPYAD 2 sperrt diese Seiten hingegen für alle am Computer eingerichteten Benutzerkonten. Sie müssen sich als Administrator anmelden, um IE-SPYAD 2 einspielen zu können