Sicherheit unter Windows 2000/XP

Tipps, um Ihren PC vor Viren, Würmern, Trojanern und anderen bösartigen Angriffen zu schützen.
 

Übersicht

 

1. Korrekte Netzwerkkonfiguration

Alle Windows-Versionen der 9X- und NT-Plattform enthalten eine Server-Funktionalität. File-Shares (Dateifreigaben) und  Printer-Shares (Druckerfreigaben) bieten die Möglichkeit, von anderen Computern aus über das Netzwerk - im Prinzip auch auch über das Internet - auf Ressourcen Ihres Computers zuzugreifen. Durch eine inkorrekte Sicherheits- und  Netzwerkkonfiguration kann im Extremfall jedermann über das Netzwerk anonym auf Ihren Computer zugreifen, Daten stehlen, Viren einspeisen etc.

Besonders kritisch sind die Verhältnisse beim Einsatz von  Windows XP Home Edition oder Windows XP Professional "out-of-the-box" (von CDROM)  Installationen von  in Firmennetzwerken  - so auch im Datennetz der Universität Regensburg (LAN oder WLAN-Verbindungen).
Windows XP Home Edition kommt standardmäßig mit bewusst "offenen" Sicherheitseinstellungen für den Gebrauch in Heimnetzwerken. Funktionalität ohne Netzwerkkenntnisse und ohne korrekte Netzwerkkonfiguration steht bei dieser Variante vor Sicherheit - was in Firmennetzwerken absolut unerwünscht ist.

Beide Windows XP Varianten (Professional nur bei Workgroup-Netzwerkfunktionalität) haben standardmäßig die "einfache Datei- und Druckerfreigabe" aktiviert und für LAN- und WLAN-Verbindungen den Serverdienst (Datei- und Druckerfreigabe) an TCP/IP gebunden, womit auf Dateifreigaben über das Netzwerk anonym zugegriffen werden kann!
Für Wählverbindungen (DSL, Modem, ISDN) zum Internet  ist Serverdienst unter Windows 2000/XP standardmäßig nicht gebunden, deshalb sind Heimanwender von dieser Problematik weitaus weniger betroffen.

Was ist zu überprüfen bzw. zu korrigieren?

Rufen Sie über START -> Systemsteuerung -> Netzwerk (und Internet-)verbindungen -> Netzwerkverbindungen den Netzwerkverbindungs-Dialog auf.


Abb. 1 Windows XP - Netzwerkverbindungs-Dialog

Klicken Sie mit der rechten Maustaste auf diejenige Verbindung, deren Eigenschaften Sie überprüfen/ändern möchten und wählen sie im Kontextmenü den Menüpunkt "Eigenschaften"


Abb. 2 Windows XP - Eigenschaften einer Netzwerkverbindung

Wiederholen Sie diese Konfigurationsschritte für alle Netzwerkadapter, die einen Anschluss bzw. eine Verbindung zum Internet oder zu unserem hausinternen Netzwerk besitzen.

Hinweis: Unter Windows XP Professional mit korrekten Security-Policies (insbesondere keine "einfache Datei/Druckerfreigabe" kann die Windows NT peer-to-peer Netzwerkfunktionalität über Datei- und Druckerfreigabe für Microsoft-Netzwerke in unserem Netzwerk selbstverständlich sinnvoll genutzt werden. Die sichere Nutzung setzt jedoch voraus, dass sie mit den elementaren NT-Sicherheitseigenschaften (Benutzerverwaltung, NTFS-Rechte etc.) vertraut sind.
 

2. Windows-Update

Halten Sie Ihre Windows-Version auf aktuellen Sicherheitsstand (Servicepacks, Hotfixes). Wie jede andere Software enthalten auch die Windows-Betriebssysteme Programmierfehler. Der Hersteller der Software, in diesem Fall die Fa. Microsoft, stellt bei Bekanntwerden solcher Fehler entsprechende Korrekturen (Hotfixes) bereit. Eine größere Anzahl solcher "Hotfixes" sowie andere gravierende Korrekturen sind in einem Servicepack zusammengefasst.
Äußern sich solche Fehler in Sicherheitslücken, können sie von Hackern in bösartiger Weise ausgenutzt werden, um unbefugten Zugriff auf Ihren Computer zu erlangen. Ein Beispiel ist der Blaster-Wurm, welcher eine besonderes kritische Sicherheitslücke in den Windows-Versionen der NT-Plattform (Windows NT 4.0, 2000, XP, 2003) ausnutzte und gegen den Virenscanner machtlos waren.
Für die Sicherheit eines unter Windows betriebenen Computers - speziell unter den NT-basierenden Windows-Versionen - ist es deshalb von allergrößter Wichtigkeit, den aktuellen Servicepack-"Level" zu verwenden (die "großen" Servicepacks erscheinen etwa einmal pro Jahr) sowie die zwischen der Servicepacks erscheinenden Sicherheits-Hotfixes zuverlässig zu installieren.
Unter Windows 2000|XP|2003 ist dies besonders einfach durch den "Automatische Updates"-Dienst (Windowsupdate) möglich. Sie müssen dieses Feature nur einmalig in der gewünschten Betriebsart aktivieren und erhalten damit automatisch etwaig vorhandene Hotfixes, wenn Sie mit dem Internet verbunden sind.

Voraussetzung für die korrekte Funktion des automatisierten Windows-Update ist, dass der Dienst "Automatische Updates" (wuauserv) gestartet und dessen Starttyp "Automatisch" ist, wie dies unter Windows 2000 |XP|2003 standardmäßig der Fall ist (es sind keine Änderungen erforderlich).
Leider gibt es einige Programme wie XPAntispy, welche aus falsch verstandenem Datenschutzbewusstsein diesen Dienst unsinnigerweise  deaktivieren, das automatisierte Update damit verhindern und so indirekt die Sicherheit Ihres Computers ganz wesentlich herabsetzen. Falls Sie ein derartiges Programm installiert haben und dessen "Empfehlungen" gefolgt sind, ist es notwendig, die WindowsUpdate Dienst-Einstellung zu kontrollieren und ggfls. zu korrigieren.

Sie erreichen die Dienste "Liste" durch Klick auf Start -> Ausführen und Eingabe des Befehls services.msc im erscheinenden Dialog Öffnen...


Abb. 3 Dienste-Liste unter Windows 2000|XP|2003

Prüfen Sie hier den Status und die Startart des Dienstes (Name) "Automatsiche Updates". Stimmen die Einstellungen (Gestartet/ Automatisch) nicht, doppelklicken Sie auf den Namen (markierte Zeile) und korrigieren sie die Einstellungen.


Abb. 4 Dienste-Einstellungen für WindowsUpdate (Dienstname wuauserv)
unter Windows 2000|XP|2003

Ändern Sie hier ggfls den Starttyp, falls dieser nicht den Wert "Automatisch" aufweist" und starten Sie den Dienst durch Klick auf "Starten", falls dieser beendet ist.

Wichtiger Hinweis für dienstliche, an das Datennetz der Universität Regensburg angeschlossene PCs:

Sämtliche Windows-Update-Einstellungen können/sollen über das Kommando "RZWU" (Start -> Ausführen...)  korrekt gesetzt werden. Dabei wird auch der hausinterne Windows-Update-Quelle (Server) korrekt eingetragen - der Bezug aller Updates erfolgt von hausinterne Quelle, nicht von Microsoft. Nähere Informationen finden Sie auf unseren Webseiten unter RZ Software-Update-Service für Windows 2000/XP.
Für mobile und externe Geräte, welche nicht überwiegend mit dem Datennetz der Universität Regensburg verbunden sind, ist es nicht sinnvoll, diese Policies (RZ-interne Windows-Update-Source) zu verwenden! Verwenden Sie in diesem Fall bitte die hier beschriebenen Standardeinstellungen.

Ist der Windows Update Service korrekt aktiviert, können Sie die Detaileinstellungen vornehmen. Sie ereichen dieses Menü unter Windows XP|2003 über Systemsteuerung - > System (oder Rechtsklick auf "Arbeitsplatz" -> Eigenschaften), unter Windows 2000 (Servicepack 3 oder höher) über Systemsteuerung -> Automatische Updates.


Abb. 5 Windows-Update-Einstellungen für Windows 2000|XP|2003

Wichtig: Falls Sie in den Einstellungen die Optionen 1 oder 2 (benachrichtigen) wählen, müssen Sie die Updates nach Aufforderung (Symbol und "Sprechblase" im Taskbar Notification Area, Abb. 6) zuverlässig herunterladen (Option 1) und installieren (Option 1 und 2)


Abb 6. WindowsUpdate Benachrichtigung

Wichtig: Fall Sie einen etwaig erforderlichen Neustart "hinausschieben", dürfen Sie während dieser Phase keine Programme installieren, Systemeinstellungen ändern etc.

Hinweis für Modem/ISDN-Benutzer: Sie können sich das Herunterladen der "großen" Servicepacks (über 100MB) ersparen, wenn Sie diese entweder selbst auf CD brennen, unsere "Windows-Service-CD" verwenden oder das jeweilige Servicepack (kostefrei) bei Microsoft auf CDROM bestellen. Die "kleineren" Hotfixe haben eine Größe von typisch 1-2MB, was auch für Modem/ISDN-Verbindungen "zumutbar" ist.

Wenn Ihr PC längere Zeit Zeit außer Betrieb und/oder kein WindowsUpdate durchgeführt wurde: Bevor Sie eine Verbindung mit dem Internet herstellen, müssen unter Windows NT4.0/ 2000/ XP /2003 unter allen Umständen in der Zwischenzeit ggfls. bereitgestellte, besonders kritische Hotfixe "offline", d.h. von Diskette, CDROM, USB-Stick o.ä. installiert werden! Zur Zeit betrifft dies nur den Hotfix KB824146 (DCOM/RPC-Hotfix, erschienen am 10.9.2003)
 

3. Virenscanner

Verwenden Sie - wenn Sie sich der Gefahren nicht zu 100% bewusst sind - einen (nicht mehrere!) stets aktuellen Virenscanner. Virenscanner schützen hauptsächlich vor Bedienfehlern, wenn Sie z.B. einen in einem Email-Attachement versteckten Virus durch den gefährlichen Doppelklick auszuführen versuchen, ein aus dem Internet heruntergeladenes, "verseuchtes" Programm zu installieren versuchen etc.

Wichtig ist, nur einen einzigen Virenscanner guter Qualität mit automatischer Aktualisierung zu verwenden. Der an der Universität Regensburg bereitgestellte Virenscanner der Fa. Sophos darf von allen Mitgliedern der Universität Regensburg (Bedienstete und Studenten) installiert/ genutzt werden - nicht nur auf dienstlichen Geräten!
Der Sophos Virenscanner kann in zwei Varianten installiert  werden:

Wichtig: Viele PCs der "Comsumer"-Kategorie kommen mit vorinstallierten Virenscannern (Symantec etc.), die jedoch relativ wertlos sind, weil sie nur für eine bestimmte Frist oder gar keine kostenfreien Updates erhalten. Solche zeitlich befristetet Produkte sind oft aus Werbegründen zugegeben, um sie zu animieren, das betreffende Produkte zu kaufen.
Bedenken Sie: Ein nicht aktueller Virenscanner ist fast so nutzlos wie kein Virenscanner - wenn Sie bei privaten PCs nicht vorhaben, das Produkt zu kaufen und unseren Sophos-Scanner benutzen können, sollten Sie von Anfang an den vorinstallierten Virenscanner entfernen und unseren kostenfreien Sophos-Virenscanner installieren.

Sophos "Remote" Installation (für mobile oder nicht dauerhaft an das Uni-Datennetz angeschlossene PCs)

Vergewissern Sie sich bitte zuerst anhand der Liste installierter Software (erreichbar über Systemsteuerung -> Software), dass kein (weiterer) Virenscanner bzw. keine Relikte anderer Virenscanner installiert sind und deinstallieren Sie ggfls. vorhandene Produkte.  Auch Sophos darf nur einmal (nur eine Variante!) installiert werden, falls ein Sophos-Virenscanner schon vorhanden ist und sie ihn neu installieren wollen, müssen Sie die vorhandene Version zuerst entfernen.

Starten Sie erst dann das Installationsprogramm remupd.exe.

Die Installation erfolgt in zwei Schritten. Zunächst erfolgt ein "klassischer" Setup-Dialog (keine Windows-Installer-Technologie), wobei Sie alle Voreinstellungen unverändert belassen können/sollen:

    
 
    
 
    
 

Abb. 7a-g Sophos Remote Virenscanner Installation - Teil 1

Am Ende des Setup-Dialogs informiert Sie das Programm (siehe Abb. 7g), dass ein weiterer Schritt - Teil 2 der Installation - erforderlich ist. Nach Bestätigen mit OK doppelklicken Sie dazu bitte auf des (neue) Sophos Remote Update Symbol im Taskbar Notification Area (rechter Bereich der Taskleiste, "Systray") - der Download der erforderlichen Dateien beginnt...


Abb. 8 Sophos Remote Virenscanner Installation - Teil 2/ Update (Download)

Bei der ersten Installation müssen alle erforderlichen Dateien heruntergeladen werden (ca. 9MB), je nach Internet-Verbindungsgeschwindigkeit dauert dies entsprechend. Für alle folgenden Updates werden nur die jeweils benötigten - lokal nicht aktuelle - Dateien heruntergeladen.
Nach der Downloadphase beginnt die automatisierte Installation (Teil 2), welche wiederum beim ersten Mal und für alle weiteren Updates identisch verläuft. Es ist keine Benutzerinteraktion und kein Neustart erforderlich.


Abb. 9 Sophos Remote Virenscanner Installation - Teil 2/ Update (Installation, Aktualisierung)

Sobald die (erste) Installation abgeschlossen ist, müssen Sie noch das automatische Sophos-Update konfigurieren. Klicken Sie dazu (einfacher Klick!) auf das Sophos Remote Update Symbol im Taskbar Notification Area und wählen Sie im "Eigenschaften von Remote Update"-Fenster die Registerkarte "Schedule":


Abb. 10 Sophos Remote Virenscanner Konfiguration - Schedule (automatische Updates)

Standardmäßig ist keine automatische Aktualisierung aktiviert, in diesem Fall müssen Sie das Vorhandensein von Updates durch Doppelklick auf das Remote Update Symbol manuell prüfen. Bei der heute üblichen "Virenflut" ist eine regelmäßige, tägliche Überprüfung/Aktualisierung dringend ratsam, spätestens jedoch dann, wenn Ihr Computer wieder mit dem Internet verbunden ist.

Da ein nicht aktueller Virenscanner gefährlich und fast so nutzlos wie kein Virenscanner ist, bietet Sophos die Betriebsart "Automatische Updates" nach Zeitplan an. Für dauerhafte Netzwerkverbindungen oder Wählverbindungen mit "Flatrate" aktivieren Sie dazu die in Abb. 10 gezeigte Option  "Automatische Updates aktivieren" und wählen Sie ein sinnvolles Intervall, z.B. 1440 Minuten (=24 Stunden). Die Voreinstellung von 60min ist etwas übertrieben.
Der Virenscanner prüft fortan alle n Minuten (z.B. 1440) automatisch die Verfügbarkeit von Updates und aktualisierte Ihren Virenscanner bei Bedarf vollautomatisch. Leider ist das Sophos-AutoUpdate momentan weniger elegant als WindowsUpdate gelöst, es prüft nicht die Existent einer Internetverbindung, sondern stellt diese ggfls. automatisch her, was für Modem/ISDN-Benutzer in der Regel ungünstig ist.

Hinweis: Nach der Sophos Erstinstallation reagiert Ihr Computer für einige Zeit etwas träge, weil der gesamte Festplatteninhalt auf Viren hin geprüft wird. Später - im laufenden Betrieb - prüft die Sophos Sweep-Engine nur geänderte und neu hinzukommende Dateien, wenn Sie z.B. eine neue Datei speichern oder öffnen. Die Sweep-Engine wirkt wie ein Dateisystem-Filter und "sieht" alles, was auf Datenträger geschrieben/ von Datenträgern gelesen wird.

Sophos-Virenscanner Programm-Kurzbeschreibung

Normalerweise verrichtet der Virenscanner im Hintergrund automatisch seinen Dienst und sie bemerken ihn - außer dass Ihr Computer generell etwas "langsamer" wird - erst dann, wenn Sie eine infizierte Datei speichern/laden wollen.
Sie können sein "Betriebsverhalten" bei Bedarf ändern: Starten Sie dazu unter "Programme -> Sophos Anti-Virus" das Programm Sophos Anti-Virus.

 
Abb. 11 Sophos Anti-Virus Programm, Dialog und Einstellungen

Der Benutzer-"Output" von Sophos-Antivirus (Ausgabe der Versionsnummer, Virenerkennung etc.) ist für heutige Verhältnisse etwas spartanisch und wird in Abb. 11 im kleinen unteren Listenfeld (vergrößerbar) gezeigt. Sie können hier u.a. die aktuelle verwendete Versionsnummer, die zusätzlichen Virenerkennungsmuster (IDE-Dateien) und das Scan-Resultat einsehen:


Abb. 12 Sophos Anti-Virus Programm, Ausgabe-Liste

Den aktuellen Zustand des IC-Clients (gestartet oder nicht) können Sie an einem (weiteren) Symbol, dem standardmäßig automatisch gestarteten Programm Sophos Intercheck Monitor (icmon.exe) im Taskbar Notification Area erkennen. Hat das Symbol die Farbe "rot", ist der IC-Client gestartet, grau bedeutet beendet.
Hinweis: Der "Blitz" (Programm icmon.exe) ist nur ein Informations-Tool. Beenden des Programms icmon.exe bedeutet nicht, dass sie den "live" Virenscanner (IC-Client) stoppen. Um den IC-Client zu stoppen, müssen Sie im Programm Sophos Anti-Virus unter "IC-Client" auf die Schaltfläche "Stop" klicken (siehe oben).
 

4. Firewalls

Obwohl in der Werbung oft als wichtigstes Werkzeug zum Schutz Ihres Computers beschrieben, sei vor dem unkritischen Einsatz von Firewalls ausdrücklich gewarnt. Firewalls sperren TCP/IP Ports nach "innen" (zu Ihrem Computer) und teilweise" auch nach "außen", eine sinnvolle Konfiguration ("Durchlass"-Kriterien, "RuleSet") erfordert in der Regel gute Netzwerkkenntnisse, über die selbstredend nicht jedermann verfügt. Lassen sie sich bitte von der Werbung nicht "blenden"!
Fehlerhaft konfigurierte Firewalls können zum einen nutzlos sein, zum anderen können Sie den "Nutzbetrieb" stören, d.h. "normale"  Anwendungen funktionieren eventuell nicht mehr. Weiterhin ist zu beachten, dass wie bei Virenscannern  - wenn überhaupt - in der Regel immer nur ein einziger Firewall installiert/aktiviert sein darf.

Wichtig: Firewalls sind kein Sicherheits-"Allheilmittel", sie können vielmehr eine sinnvolle Ergänzung zu  den übrigen  - auch hier beschriebenen Sicherheitsmassnahmen sein, die keinesfalls außer Acht gelassen werden dürfen. Allein die Tatsache, dass auf Ihrem Computer ein Firewall im Einsatz ist, wird Sie niemals vor echten Angriffen - gleich welcher Art - schützen können.

Der sinnvolle Einsatz von Firewalls bezieht sich in erster Linie auf Heimnetzwerke, nicht jedoch auf Firmennetzwerke, in denen zentral solche Sicherheitseinsrichtungen vorhanden sind. Für "Heimnetzwerker" (Wählverbindungen zum Internet) wird in den Medien (auch bei Microsoft online)  u.a. deshalb so dringend zum Firewall-Einsatz geraten, weil man davon ausgeht, dass Ihr System sicherheitmäßig nicht "abgedichtet" ist (korrekte Netzwerkkonfiguration, zuverlässiges WindowsUpdate etc.) und so der Firewall ein (der einzige) Schutz gegen bösartige Direkt-Angriffe über TCP/IP-Ports (z.B. Blaster Wurm) ist, gegen die sämtliche Virenscanner machtlos sind.

Auf welchen Geräten sollten Sie eine(n) Firewall installieren/aktivieren?

  1. Sicherheitsmäßig gut gepflegte Bürocomputer  (zuverlässiges WindowsUpdate, korrekte Netzwerkkonfiguation,  RZ-Security-Policies) unter Windows 2000/XP mit Ethernet-Anschluss an das Datennetz der Universität:
    Der Einsatz eines Firewalls (auch in Windows XP enthaltene Version) wird nicht empfohlen.
    Von und zum Internet sind "kritische" TCP/IP-Ports zentral gesperrt. Das Risiko von "Angriffen" aus dem hausinternen Netz ist bei gut gepflegten PCs im Vergleich zu den übrigen Sicherheitsrisiken eher gering und es besteht die Möglichkeit, dass im hausinternen Netzwerk gewohnte Dienste bei aktiviertem Firewall nicht mehr funktionieren.
     
  2. Sicherheitsmäßig gut gepflegte  Notebooks mit Ethernet- oder Wireless-LAN Verbindung mit dem Datennetz der Universität unter Windows 2000/XP, die auch temporär an kein anderes potentiell "gefährliches" Netzwerk angeschlossen werden:
    Der Einsatz eines Firewalls (auch in Windows XP enthaltene Version) wird wie unter 1. nicht empfohlen.
     
  3. Alle anderen PCs und Notebook unter Windows 2000/XP, auch dienstliche Notebooks, die temporär oder dauerhaft an andere Netzwerke (Wählverbindungen etc.) angeschlossen werden.
    Unter Windows XP ist die Aktivierung des eingebauten Firewalls mit Default-Einstellungen sinnvoll. Beachten Sie, dass dabei die Netzwerkfunktionalität - gewollt - eingeschränkt wird (z.B. keine Datei-/Druckerfreigaben) und eine Fehlerverfolgung im hausinternen Netzwerk ggfls. erschwert wird (kein ping etc.).
    In  Windows 2000 und NT 4.0 ist standardmäßig kein Firewall enthalten, deshalb muss bei Bedarf auf Zusatzprodukte wie Zonealarm etc. ausgewichen werden. Wie oben bereit gesagt ist deren Einsatz aber nur dann sinnvoll, wenn Sie über die erforderlichen Kenntnisse für die korrekte Konfiguration verfügen.

Bitte beachten Sie: Wireless-LAN Verbindungen zum Datennetz der Universität Regensburg sind seit Mitte dieses Jahres nur mehr in verschlüsselter Form über VPN (Cisco VPN Client) möglich. Mit der Installation des Cisco VPN-Clients wird automatisch automatisch ein Client-Firewall der Fa. ZoneLabs (ZoneAlarm) installiert, der eine - bei uns nicht vorhandene - zentrale Konfiguration erwartet und deshalb relativ nutzlos ist. Allerdings "kollidiert" das installierte ZoneAlaram mit evtl. vorhandenen anderen Firewall-Produkten, insbesondere auch anderen Zonealarm-Versionen (nicht jedoch mit dem in Windows XP integrierten Firewall), sodass hier besondere  Vorsicht angebracht ist und ohne gute Netzwerkkenntnisse auf den Einsatz zusätzlicher Firewalls verzichtet werden sollte.

Verwendung des in Windows XP enthaltenen Firewalls

Öffnen Sie das Fenster "Netzwerkverbindungen" (z.B. über Rechtsklick auf "Netzwerkumgebung" -> Eigenschaften) und lassen Sie sich für diejenige Netzwerkverbindung, für die der Firewall aktiviert werden soll (LAN-Verbindung, Wählverbindung etc., nicht jedoch "virtueller" VPN-Adapter) über das Kontextmenü (rechte Maustaste) -> "Eigenschaften" deren Eigenschaften anzeigen.
Klicken Sie dann im Dialog "Eigenschaften von xxxx-Verbindung" auf die Registerkarte "Erweitert"


Abb. 13 Windows XP Firewall (ICF) Aktivierung

und aktivieren Sie wie in Abb.13 gezeigt den Internetverbindungsfirewall (ICF). Durch Entfernen dieses Häkchens kann der ICF ggfls. auch wieder deaktiviert werden.

Für LAN und WLAN-Verbindungen ist ICF unter Windows XP (Home und Professional) standardmäßig deaktiviert, wogegen bei der Einrichtung von Wählverbindungen (DSL, ISDN, Modem) der Assistent die Aktivierung des ICF empfiehlt und automatisch vornimmt. Dies gilt nicht bei Verwendung von Hersteller-Installationssoftware (t-online Setup , AOL-Setup etc.), von deren Verwendung ohnehin abgeraten wird (Windows XP bietet standardmäßig DSL-Unterstützung, unter Windows 2000 muss lediglich ein PpoE-Treiber hinzugefügt werden).

Wichtig: Der ICF unter Windows XP wirkt nur als "incoming" Firewall und schützt Ihren PC von "Angriffen" aus dem Internet (von außen), nicht aber umgehrt. Über die Schaltfläche "Einstellungen" in Abb. 13 kann man optional TCP/IP-Ports öffnen, auf die "von außen" auf Ihren PC Zugriff erlaubt werden Soll. Im Normalfall sollen/müssen Sie hier nichts verändern. Die simple nur "incoming" Filterung erfordert keine weitere Konfiguration und vor allem keine Netzwerkkenntnisse, wogegen Firewalls mit "outgoing"-Filterung wie Zonealarm "gesagt" werden muss (Konfiguration), welche Applikation welche TCP/IP-Ports nach außen benutzen darf - wofür gute Netzwerkkenntnisse erforderlich sind. Ein einfaches Beispiel über das teilweise groteske Szenario: Das bekannte Produkt "Zonealarm" schlägt bei standardmäßiger "outgoing"-Filterung Alarm, wenn Sie unter Windows XP z.B. ein Programm kompilieren: Die Datei SVCHOST.EXE versucht... In der angebotenen Hilfe wird auch noch genannt, sie hätten sich einen Virus eingefangen. Dabei ist es ein simpler, sicherheitsmäßig gewiss nicht gefährlicher DNS-Request (Auflösung des Hostnamens) zu Ihren DNS-Provider.
 

5. Das Allerwichtigste: Sicherheitsrisiken durch "Bedienfehler" Fehler vermeiden

Die weitaus größte Gefahr geht bei unerfahrenen BenutzerInnen von "gefährlichem" Verhalten aus. Kein Virenscanner, kein Firewall und keine anderen Sicherheitsvorkehrungen können den menschlichen Verstand, das sinnvolle Arbeiten am PC ersetzen!

6. Sicherheitsrisiken in Anwendungsprogrammen

Windows-Betriebssystem beinhalten sicherheitskritische Konzepte (COM/DCOM, ActiveX etc.) , bei denen in der Vergangenheit  ganz erhebliche Sicherheitslöcher existierten. So erlaubte z.B. die COM-Automatisierung von Outlook Virenprogrammierern den ferngesteuerten Zugriff auf Ouotook-Adressbücher in bösartiger Absicht ohne jegliche Sicherheitswarnung, potentiell gefährliche ActiveX-Komponenten waren fälschlich als "sicher" eingestuft etc.
Das Sicherheitsbewusstsein des Softwareherstellers Microsoft ist zum Glück in den letztem Jahren ganz erheblich gestiegen und so werden in großem Maß Korrekturen (Hotfixe, Servicepacks) auch für Anwendungsprogramme herausgegeben, um bekannt gewordene Sicherheuslöcher zu beheben.
Generell kritisch sind Email-Programme, ob sie z.B. Sicherheitslöcher bei der Behandlung von HTML-Email enthalten, inwieweit beim Erhalt kritischer Attachements diese blockiert werden, gewarnt wird etc.

Einige Tipps zu bekannten "Schwachstellen" in Microsoft-Anwendungsprogrammen und deren Behebung:

7. NTFS-Dateisystem, Freigaben, Autorisierung, Kennwörter

Das NTFS-Dateisystem der Windows NT Plattform (Nt 4.0/2000/XP/2003) bietet sehr gute, benutzerbezogene Schutzmechanismen (Zugriffsschutz, Überwachung) auf Dateiebene. Diese Sicherheitseinstellungen wirken für alle Dienste und Programme, auch für Freigaben. Die Sicherheit hängt jedoch ganz entscheidend von der Qualität der verwendeten Kennwörter (Passwörter) ab.


Abb. 14 Gefährliche "Einfache Dateifreigabe" unter Windows XP Home/Professional (deaktiviert)
Zusätzliche gezeigt ist die dringend empfohlene Aktivierung der Dateitypanzeige.

8. Anhang -  Microsoft Essay "The Ten Immutable Laws of Security"

 
Law #1: If a bad guy can persuade you to run his program on your computer, it's not your computer anymore.

It's an unfortunate fact of computer science: when a computer program runs, it will do what it's programmed to do, even if it's programmed to be harmful. When you choose to run a program, you are making a decision to turn over control of your computer to it. Once a program is running, it can do anything, up to the limits of what you yourself can do on the machine. It could monitor your keystrokes and send them to a web site. It could open every document on the machine, and change the word "will" to "won't" in all of them. It could send rude emails to all your friends. It could install a virus. It could create a "back door" that lets someone remotely control your machine. It could dial up an ISP in Katmandu. Or it could just reformat your hard drive.

That's why it's important to never run, or even download, a program from an untrusted source – and by "source", I mean the person who wrote it, not the person who gave it to you. There's a nice analogy between running a program and eating a sandwich. If a stranger walked up to you and handed you a sandwich, would you eat it? Probably not. How about if your best friend gave you a sandwich? Maybe you would, maybe you wouldn't – it depends on whether she made it or found it lying in the street. Apply the same critical thought to a program that you would to a sandwich, and you'll usually be safe.

Law #2: If a bad guy can alter the operating system on your computer, it's not your computer anymore.

In the end, an operating system is just a series of ones and zeroes that, when interpreted by the processor, cause the machine to do certain things. Change the ones and zeroes, and it will do something different. Where are the ones and zeroes stored? Why, on the machine, right along with everything else! They're just files, and if other people who use the machine are permitted to change those files, it's "game over".

To understand why, consider that operating system files are among the most trusted ones on the computer, and they generally run with system-level privileges. That is, they can do absolutely anything. Among other things, they're trusted to manage user accounts, handle password changes, and enforce the rules governing who can do what on the computer. If a bad guy can change them, the now-untrustworthy files will do his bidding, and there's no limit to what he can do. He can steal passwords, make himself an administrator on the machine, or add entirely new functions to the operating system. To prevent this type of attack, make sure that the system files (and the registry, for that matter) are well protected. (The security checklists on the Microsoft Security web site will help you do this).

Law #3: If a bad guy has unrestricted physical access to your computer, it's not your computer anymore.

Oh, the things a bad guy can do if he can lay his hands on your computer! Here's a sampling, going from Stone Age to Space Age:

He could mount the ultimate low-tech denial of service attack, and smash your computer with a sledgehammer. He could unplug the computer, haul it out of your building, and hold it for ransom. He could boot the computer from a floppy disk, and reformat your hard drive. But wait, you say, I've configured the BIOS on my computer to prompt for a password when I turn the power on. No problem – if he can open the case and get his hands on the system hardware, he could just replace the BIOS chips. (Actually, there are even easier ways). He could remove the hard drive from your computer, install it into his computer, and read it. He could make a duplicate of your hard drive and take it back his lair. Once there, he'd have all the time in the world to conduct brute-force attacks, such as trying every possible logon password. Programs are available to automate this and, given enough time, it's almost certain that he would succeed. Once that happens, Laws #1 and #2 above apply He could replace your keyboard with one that contains a radio transmitter. He could then monitor everything you type, including your password. Always make sure that a computer is physically protected in a way that's consistent with its value – and remember that the value of a machine includes not only the value of the hardware itself, but the value of the data on it, and the value of the access to your network that a bad guy could gain. At a minimum, business-critical machines like domain controllers, database servers, and print/file servers should always be in a locked room that only people charged with administration and maintenance can access. But you may want to consider protecting other machines as well, and potentially using additional protective measures.

If you travel with a laptop, it's absolutely critical that you protect it. The same features that make laptops great to travel with – small size, light weight, and so forth – also make them easy to steal. There are a variety of locks and alarms available for laptops, and some models let you remove the hard drive and carry it with you. You also can use features like the Encrypting File System in Windows 2000 to mitigate the damage if someone succeeded in stealing the computer. But the only way you can know with 100% certainty that your data is safe and the hardware hasn't been tampered with is to keep the laptop on your person at all times while traveling.

Law #4: If you allow a bad guy to upload programs to your web site, it's not your web site any more.

This is basically Law #1 in reverse. In that scenario, the bad guy tricks his victim into downloading a harmful program onto his machine and running it. In this one, the bad guy uploads a harmful program to a machine and runs it himself. Although this scenario is a danger anytime you allow strangers to connect to your machine, web sites are involved in the overwhelming majority of these cases. Many people who operate web sites are too hospitable for their own good, and allow visitors to upload programs to the site and run them. As we've seen above, unpleasant things can happen if a bad guy's program can run on your machine.

If you run a web site, you need to limit what visitors can do. You should only allow a program on your site if you wrote it yourself, or if you trust the developer who wrote it. But that may not be enough. If your web site is one of several hosted on a shared server, you need to be extra careful. If a bad guy can compromise one of the other sites on the server, it's possible he could extend his control to the server itself, in which he could control all of the sites on it – including yours. If you're on a shared server, it's important to find out what the server administrator's policies are. (By the way, before opening your site to the public, make sure you've followed the security checklists for IIS 4.0 and IIS 5.0).

Law #5: Weak passwords trump strong security.

The purpose of having a logon process is to establish who you are. Once the operating system knows who you are, it can grant or deny requests for system resources appropriately. If a bad guy learns your password, he can log on as you. In fact, as far as the operating system is concerned, he is you. Whatever you can do on the system, he can do as well, because he's you. Maybe he wants to read sensitive information you've stored on your computer, like your email. Maybe you have more privileges on the network than he does, and being you will let him do things he normally couldn't. Or maybe he just wants to do something malicious and blame it on you. In any case, it's worth protecting your credentials.

Always use a password – it's amazing how many accounts have blank passwords. And choose a complex one. Don't use your dog's name, your anniversary date, or the name of the local football team. And don't use the word "password"! Pick a password that has a mix of upper- and lower-case letters, number, punctuation marks, and so forth. Make it as long as possible. And change it often. Once you've picked a strong password, handle it appropriately. Don't write it down. If you absolutely must write it down, at the very least keep it in a safe or a locked drawer – the first thing a bad guy who's hunting for passwords will do is check for a yellow sticky note on the side of your screen, or in the top desk drawer. Don't tell anyone what your password is. Remember what Ben Franklin said: two people can keep a secret, but only if one of them is dead.

Finally, consider using something stronger than passwords to identify yourself to the system. Windows 2000, for instance, supports the use of smart cards, which significantly strengthens the identity checking the system can perform. You may also want to consider biometric products like fingerprint and retina scanners.

Law #6: A machine is only as secure as the administrator is trustworthy.

Every computer must have an administrator: someone who can install software, configure the operating system, add and manage user accounts, establish security policies, and handle all the other management tasks associated with keeping a computer up and running. By definition, these tasks require that he have control over the machine. This puts the administrator in a position of unequalled power. An untrustworthy administrator can negate every other security measure you've taken. He can change the permissions on the machine, modify the system security policies, install malicious software, add bogus users, or do any of a million other things. He can subvert virtually any protective measure in the operating system, because he controls it. Worst of all, he can cover his tracks. If you have an untrustworthy administrator, you have absolutely no security.

When hiring a system administrator, recognize the position of trust that administrators occupy, and only hire people who warrant that trust. Call his references, and ask them about his previous work record, especially with regard to any security incidents at previous employers. If appropriate for your organization, you may also consider taking a step that banks and other security-conscious companies do, and require that your administrators pass a complete background check at hiring time, and at periodic intervals afterward. Whatever criteria you select, apply them across the board. Don't give anyone administrative privileges on your network unless they've been vetted – and this includes temporary employees and contractors, too.

Next, take steps to help keep honest people honest. Use sign-in/sign-out sheets to track who's been in the server room. (You do have a server room with a locked door, right? If not, re-read Law #3). Implement a "two person" rule when installing or upgrading software. Diversify management tasks as much as possible, as a way of minimizing how much power any one administrator has. Also, don't use the Administrator account – instead, give each administrator a separate account with administrative privileges, so you can tell who's doing what. Finally, consider taking steps to make it more difficult for a rogue administrator to cover his tracks. For instance, store audit data on write-only media, or house System A's audit data on System B, and make sure that the two systems have different administrators. The more accountable your administrators are, the less likely you are to have problems.

Law #7: Encrypted data is only as secure as the decryption key.

Suppose you installed the biggest, strongest, most secure lock in the world on your front door, but you put the key under the front door mat. It wouldn't really matter how strong the lock is, would it? The critical factor would be the poor way the key was protected, because if a burglar could find it, he'd have everything he needed to open the lock. Encrypted data works the same way – no matter how strong the cryptoalgorithm is, the data is only as safe as the key that can decrypt it.

Many operating systems and cryptographic software products give you an option to store cryptographic keys on the computer. The advantage is convenience – you don't have to handle the key – but it comes at the cost of security. The keys are usually obfuscated (that is, hidden), and some of the obfuscation methods are quite good. But in the end, no matter how well-hidden the key is, if it's on the machine it can be found. It has to be – after all, the software can find it, so a sufficiently-motivated bad guy could find it, too. Whenever possible, use offline storage for keys. If the key is a word or phrase, memorize it. If not, export it to a floppy disk, make a backup copy, and store the copies in separate, secure locations. (All of you administrators out there who are using Syskey in "local storage" mode – you're going to reconfigure your server right this minute, right?)

Law #8: An out of date virus scanner is only marginally better than no virus scanner at all.

Virus scanners work by comparing the data on your computer against a collection of virus "signatures". Each signature is characteristic of a particular virus, and when the scanner finds data in a file, email, or elsewhere that matches the signature, it concludes that it's found a virus. However, a virus scanner can only scan for the viruses it knows about. It's vital that you keep your virus scanner's signature file up to date, as new viruses are created every day.

The problem actually goes a bit deeper than this, though. Typically, a new virus will do the greatest amount of damage during the early stages of its life, precisely because few people will be able to detect it. Once word gets around that a new virus is on the loose and people update their virus signatures, the spread of the virus falls off drastically. The key is to get ahead of the curve, and have updated signature files on your machine before the virus hits.

Virtually every maker of anti-virus software provides a way to get free updated signature files from their web site. In fact, many have "push" services, in which they'll send notification every time a new signature file is released. Use these services. Also, keep the virus scanner itself – that is, the scanning software – updated as well. Virus writers periodically develop new techniques that require that the scanners change how they do their work.

Law #9: Absolute anonymity isn't practical, in real life or on the web.

All human interaction involves exchanging data of some kind. If someone weaves enough of that data together, they can identify you. Think about all the information that a person can glean in just a short conversation with you. In one glance, they can gauge your height, weight, and approximate age. Your accent will probably tell them what country you're from, and may even tell them what region of the country. If you talk about anything other than the weather, you'll probably tell them something about your family, your interests, where you live, and what you do for a living. It doesn't take long for someone to collect enough information to figure out who you are. If you crave absolute anonymity, your best bet is to live in a cave and shun all human contact.

The same thing is true of the Internet. If you visit a web site, the owner can, if he's sufficiently motivated, find out who you are. After all, the ones and zeroes that make up the web session have be able to find their way to the right place, and that place is your computer. There are a lot of measures you can take to disguise the bits, and the more of them you use, the more thoroughly the bits will be disguised. For instance, you could use network address translation to mask your actual IP address, subscribe to an anonymizing service that launders the bits by relaying them from one end of the ether to the other, use a different ISP account for different purposes, surf certain sites only from public kiosks, and so on. All of these make it more difficult to determine who you are, but none of them make it impossible. Do you know for certain who operates the anonymizing service? Maybe it's the same person who owns the web site you just visited! Or what about that innocuous web site you visited yesterday, that offered to mail you a free $10 off coupon? Maybe the owner is willing to share information with other web site owners. If so, the second web site owner may be able to correlate the information from the two sites and determine who you are.

Does this mean that privacy on the web is a lost cause? Not at all. What it means is that the best way to protect your privacy on the Internet is the same as the way you protect your privacy in normal life - through your behavior. Read the privacy statements on the web sites you visit, and only do business with ones whose practices you agree with. If you're worried about cookies, disable them. Most importantly, avoid indiscriminate web surfing - recognize that just as most cities have a bad side of town that's best avoided, the Internet does too. But if it's complete and total anonymity you want, better start looking for that cave.

Law #10: Technology is not a panacea.

Technology can do some amazing things. Recent years have seen the development of ever-cheaper and more powerful hardware, software that harnesses the hardware to open new vistas for computer users, as well as advancements in cryptography and other sciences. It's tempting to believe that technology can deliver a risk-free world, if we just work hard enough. However, this is simply not realistic.

Perfect security requires a level of perfection that simply doesn't exist, and in fact isn't likely to ever exist. This is true for software as well as virtually all fields of human interest. Software development is an imperfect science, and all software has bugs. Some of them can be exploited to cause security breaches. That's just a fact of life. But even if software could be made perfect, it wouldn't solve the problem entirely. Most attacks involve, to one degree or another, some manipulation of human nature – this is usually referred to as social engineering. Raise the cost and difficulty of attacking security technology, and bad guys will respond by shifting their focus away from the technology and toward the human being at the console. It's vital that you understand your role in maintaining solid security, or you could become the chink in your own systems' armor.

The solution is to recognize two essential points. First, security consists of both technology and policy – that is, it's the combination of the technology and how it's used that ultimately determines how secure your systems are. Second, security is journey, not a destination – it isn't a problem that can be "solved" once and for all; it's a constant series of moves and countermoves between the good guys and the bad guys. The key is to ensure that you have good security awareness and exercise sound judgment. There are resources available to help you do this. The Microsoft Security web site, for instance, has hundreds of white papers, best practices guides, checklists and tools, and we're developing more all the time. Combine great technology with sound judgment, and you'll have rock-solid security.
 


Wolfram Oestreicher, 3.12.2003