Anzeige

Am Puls von Microsoft

Anzeige

Vista Rechner sicher aufgesetzt

Sammy_the_Bull

B.O.F.H.
Vistarechner optimal und sicher aufsetzen.


Etwas Grundsätzliches vorweg:

Wenn wir ein System sicher aufsetzen wollen, müßen wir uns zuerst die Frage stellen: wogegen?

Die größte Unsicherheitsquelle ist und bleibt der User. Daher sollte man sich rasch angewöhnen, nicht auf alles zu klicken, was nicht bei drei auf den Bäumen ist. Insbesondere sollte man bei unaufgeforderten eMail Anhängen, Video/Audio Codecs, Programmen aus dubiosen Quellen (.EXE, .MSI usw) und auch bei Office Dateien extreme Vorsicht walten lassen. All die eben genannten Dinge sind oder können ausführbare Dateien und damit Schädlinge enthalten.

Wogegen müßen wir das System noch absichern?

Gegen Angriffe von außen. Hier muß erstmal zwischen Hackern und sogenannten Scriptkiddies unterschieden werden.

Ein System gegen einen Hacker abzusichern ist unmöglich. Egal auf welches System oder in welches Netz auch immer er reinwill, er kommt rein. Allerdings muß hier eindeutig gesagt werden, dass ein echter Hacker absolut niemals einen kleinen privaten User hacken würde. Das wäre einfach viel zu weit unter seinem Niveau.

Also müßen wir unsere Systeme gegen die neuen Angriffsarten aus dem Internet absichern und gegen sogenannte Scriptkiddies. Diese Scriptkiddies sind heranwachsende Jungs, welche gern große Hacker wären, aber im Grundsatz null Ahnung von Netzwerken und Rechnern im Allgemeinen haben. Auf dubiosen Internetseiten haben sie mal "coole" Programme gefunden mit detailierter Anleitung zum hacken von Homerechnern. Dies tun sie ganz gerne und zerstören anschließend noch alles mögliche. Ein System gegen sie abzusichern ist daher nicht so schwer.


Die Vorbereitung der Neuinstallation.

Folgende Dinge sind vor einer optimal sicheren Neuinstallation zu beschaffen, bzw. sicher zu stellen:

1.) - alle benötigten Treiber müßen bereits vorhanden sein auf separater Partition oder externer Festplatte, USB Stick. Grafikkartentreiber nicht vergessen.

2.) - Sollte statt einer Vista DVD ein sogenanntes "Recovery System" mit einer dementsprechenden Partition vorhanden sein, ist dort zuerst mal eine Recovery CD zu erstellen und sicher wegzupacken (das Handbuch des Rechners oder der Support des Herstellers erläutert wie). Anschließend ist eine Original Vista DVD der vorinstallierten Betriebssystemversion (z.B. Home Premium) zu besorgen. Entweder hat ein Bekannter die DVD oder man fordert sie gegen einen geringen Betrag bei Microsoft an.

3.) - Bereitlegen aller benötigten Installationskeys. (von Vista und allen Programmen)

4.) - Antivirenprogramm bereitstellen. Habe ich keines, vorher eins downloaden (z.B. Avira Antivir Free)

5.) - Daten sichern! Alles, was an wichtigen Daten behalten werden soll, muß nun auf eine andere Partition oder eine externe Festplatte gesichert werden

6.) - Netzwerkkabel vom Rechner trennen.


Die Neuinstallation.



Nun kommt die Vista DVD ins Laufwerk und wir booten nun von der DVD. Im daraufhin erscheinenden Installationsmenü von Vista wählen wir die Neuinstallation aus.

Sobald der Teil der Installation kommt, wo wir die entsprechende Partition unserer Festplatte wählen können, ist es wichtig, über die erweiterten Optionen die Festplatte vor der Installation zu formatieren. Siehe Bild:





Danach können wir ganz normal installieren. Wichtig ist nur, dass dem bei der Installation erstellten Benutzerkonto ein eindeutiger Name (z.B. Administrator) und auch ein Passwort vergeben wird.


Die Vista Installation ist fertig. Und nun?



Standardmäßig hat uns Vista nun ein Administratorkonto erstellt. In diesem Konto installieren wir nun alle vom System benötigten Treiber. Die Benutzerkontensteuerung (UAC) bleibt selbstverständlich aktiviert! Mit eingeschalteter Benutzerkontensteuerung kann ein Schädling; selbst wenn er auf unseren Rechner gelangt; keinen Schaden anrichten.


http://www.drwindows.de/sicherheit/6596-die-uac-hintergrund-und-die-arbeit-damit.html


Anschließend gehen wir in die Systemsteuerung und dort in die Benutzerkonten. Hier wird nun ein weiteres Benutzerkonto ohne besondere Rechte eingerichtet. Also kein Adminkonto! Dieses Benutzerkonto ist ab sofort das, unter welchem wir nun ausschließlich arbeiten. Dieses Konto benötigt nicht unbedingt ein Passwort.







Nach einem Neustart melden wir uns nun mit dem normalen Benutzer an. In dieses Konto werden nun alle benötigten Programme installiert. Das erste zu installierende Programm ist stets das Antivirenprogramm. Das Netzwerkkabel kann nach der Installation des Antivirenprogramms wieder in den Rechner.Bei der Programminstallation ist darauf zu achten, das die benötigten Programme "als Administrator" installiert werden. D.h. Rechtsklick auf die Datei und als Administrator ausführen wählen.

Jetzt stellen wir fest, dass ein Fenster von der Benutzerkontensteuerung aufpoppt. In dieses Fenster müssen wir nun kurz das Passwort des Adminkontos eingeben und den Vorgang bestätigen. Das passiert nun für alle Programme, welche wir installieren. Okay, am Tag einer Neuinstallation nervt es tatsächlich etwas, aber bei sovielen benötigten Klicks kommt es auf einen mehr oder weniger eh nicht mehr an. Nachdem alles installiert ist, werden wir dieses Fenster nur noch äüßerst selten sehen.


Der Weg ins Internet und die weitere Konfiguration:

Jetzt geht es darum, eine sichere Ausgangsposition zu bekommen, sicher im Netz zu surfen.

Ich habe grundsätzlich zwei Möglichkeiten, um ins Netz zu gelangen:

1.) - per Modem. Sehr unsicher und nicht empfehlenswert. Ein Modem stellt uns keinen zusätzlichen Schutz in Form einer Firewall bereit. Zudem ist die IP-Adresse des Rechners für jederman ersichtlich im Internet. <- Was ich kenne, kann ich angreifen.Die Überlebenschance eines ungepatchten Systems, welches mit Modem ins Internet geht, liegt bei aktivierter Internetverbindung und ohne installiertes Antivirenprogramm bei ca. 10 Minuten. Danach habe ich "feine kleine Programme" drauf. (keine Angst, ist alles Freeware und umsonst :D:D:D)

2.) - per Router. Die deutlich bessere Wahl! Bietet gleich 3 Vorteile:

Die IP-Adresse des Rechners ist nicht im Internet zu sehen dank NAT.

Ein Router stellt uns eine (wenn auch sehr vereinfachte) Hardwarefirewall bereit.

Wir müßen nicht unständlich ins Netz einwählen, wir sind praktisch immer drin.


Wenn der Weg ins Internet keinen "computertechnischen Suizid" darstellen soll, gehen wir also mittels eines Routers ins Internet.


Der Weg ins Netz ist geklärt. Was nun?


Nichtbenötigte Netzwerk-Dienste sind auch hier bei Vista standartmäßig aktiviert und von außen erreichbar und dadurch auch angreifbar.Dienste anzubieten, welche nicht benötigt werden, missachtet so ziemlich jede Grundregel der Netzwerksicherheit. Dienste (services) sind kleine Programme, die beim Systemstart mitgestartet werden und stellen Funktionen bereit, welche evtl. von anderen Programmen genutzt werden können. Trotz einer bereits seit Jahren bekannten Sicherheitslücke in Microsofts UPnP Dienst (Universal Plug and Play) ist dieser z.B. auch unter Vista noch immer aktiv.

Um ein System sicherer zu machen, ist es daher unabwendbar, als potenziell unsicher geltende Dienste zu deaktivieren und die dadurch vorhandenen Sicherheitslücken zu schließen. Da dies trotz einiger im Internet vorhandenen sehr guten Anleitungen doch sehr aufwändig ist, habe ich ein kleines Script entwickelt, welches dies automatisch und fehlerfrei erledigt.

Mein Script konfiguriert auschliesslich Windowseigene Dienste und passt dabei

--> den Starttyp eines jeden Dienstes an
--> und beendet kritische Dienste sofort.

Download Vista Dienste Konfigtool hier.

Bitte vor der Benutzung noch mal die angegebene Seite durchlesen und die als "manuell zu erledigenden" gekennzeichneten Dinge ausführen.


Datei und Druckerfreigabe deaktivieren! (auch als administrative Freigaben bekannt)

Hierfür aktiviere ich lieber das "kennwortgeschützte Freigeben" und gebe nur die Ordner explizit frei, welche ich auch benötige. Das muß ich aber nur tun, wenn ich zu Hause ein kleines Netzwerk habe. Ansonsten ist das alles zu deaktivieren.

Warum steht hier.




Selbstverständlich werden nun sofort alle zur Verfügung gestellten Updates von Windows gezogen und installiert.

Dies kann jedoch auch bereits im Vorfeld manuell geschehen, z.B. kann man hier auch das SP1 für Vista sowie die neuesten Updatepacks herunterladen und anschließend manuell installieren.


Dr. Vista - Download Service Pack 1
http://www.drwindows.de/vista-updates-and-patches/6601-dr-vista-windows-vista-update-pack-11-a.html


Desweiteren wird nun jede Software Firewall auf dem Rechner bitte deaktiviert. Die Vistafirewall beendet mein Script, die in den meisten Antivirenlösungen enthaltene Softwarefirewall muß manuell im jeweiligen Programm dauerhaft deaktiviert werden.

Jede Software Firewall ist ein riesengroßes Sicherheitsleck, durch die ein Angriff auf den Rechner erst möglich wird. Keine SW Firewall kann die gegebenen Versprechen gleich welcher Art auch immer halten und jede ist innerhalb von Minuten zu tunneln oder zu beenden und auszutricksen.

Hintergrundinformationen zu Software Firewalls:

Wirklich brauchbare echte Firewalls (Hardware Firewalls) bekomme ich bereits ab ca 200.- Euro. Die Konfiguration ist nicht einfach, man muß sich sehr damit beschäftigen.


Sicheres (?) surfen.


Wenn eins sicher ist, dann das es keine Sicherheit gibt heutzutage. Wir können den Besuch im Internet also nur "so sicher wie möglich" gestalten.

Auf welchem Wege werden heutzutage denn Rechner aus dem Internet angegriffen?

Man wählt hierzu den Weg des geringsten Widerstands. Betriebssysteme anzugreifen ist dank Vistas UAC und Patchmanagement von Microsoft zunehmend schwerer geworden. Also wählt man nicht mehr das Betriebssystem direkt als Ziel aus, sondern installierte Software (z.B. Word; - eine Word Datei kann, da man Makros zum erstellen verwenden kann auch Schädlinge enthalten.)

Oder man greift die "Personal Firewall" an. Geht bei jeder Softwarefirewall und dauert nur Minuten.

Hauptsächlich jedoch ist heute der Browser das beliebteste Angriffsziel.

Eine HTTP/HTTPS Verbindung ist eh schwer zu sichern wegen der unterschiedlich Quell/Zielports, die benutzt werden.

Nun kann ich auch hier zwischen mehreren Möglichkeiten des Angriffs wählen. Entweder man wird über eine präparierte Webseite per XSS (Cross Scripting) angegriffen (hierbei wird der Quellcode der betreffenden Seite um ca. Zwei Zeilen ergänzt, welche dann für das Nachladen von Schadcode auf den Rechner sorgen. Die am meisten verbreite Sachlage heute.

Einfallstor Browser: das Heise Special

Dies kann man umgehen, wenn die dafür benötigte Funktion des Browsers einfach deaktiviert wird. Nötig um einen solchen Angriff durchzuführen ist aktiviertes JavaScript.

So deaktiviert man es bei Firefox:

Firefox Konfiguration:

Für den Internet Explorer werde ich es nicht erklären, der ist so dermaßen unsicher, dass er nicht von mir supportet wird.

Oder man greift; wenn man ein Scriptkiddie ist und nichts draufhat einfach ein Addon des Browsers an. Je mehr Addons sich im Browser installiert vorfinden, umso leichter wird der Angriff. Hier gilt: weniger ist eindeutig mehr!


Wenn alle Punkte korrekt und sauber abgearbeitet werden, kommt ein relativ sicheres System zu stande, mit dem sich sehr lange absolut Fehlerfrei arbeiten läßt. Sollten jetzt noch Fehler auftauchen, so liegt es nicht an Vista, sondern ist entweder ein Treiber oder aber Userproblem.
 
Zuletzt bearbeitet:
Anzeige
@Sammy_the_Bull
(y)(y)(y)
hervorragende Arbeit, Klasse :)
P.S. da man es als Tipp zum Neuaufsetzen von Vista hier im Forum an User empfehlen kann, wäre es nicht sinnvoll sich vor der Installation Dr. Vista - Download Service Pack 1 & aktuelles http://www.drwindows.de/vista-updates-and-patches/6601-dr-vista-windows-vista-update-pack-11-a.html beides vor gängig zu downloaden und zu speichern..? Wäre dann alles in einem Rutsch... :cool:
Was denkst Du..? es hier im TUT zu verlinken oder im Tread separat darauf aufmerksam zu machen (tue das immer...)
Wollte die Frage mal aufwerfen... dies schmälert in keiner Weise, dass das was Du hier erstellt hast spitze ist... (y)
Gruss Lou
 
Nichts gegen dein TUT (y) aber ein paar Fragen wirft das wohl doch auf.

Warum soll ich die Windows Firewall deaktivieren? Wo sie mir doch anzeigt, wenn ein Programm den Weg ins Internet sucht und Ports dafür freigegeben werden sollen bzw. müssen.

Nächste Frage:
Warum den Dienst "Datei und Druckerfreigabe" deaktivieren?
Wer zu Hause ein kleines Netzwerk hat, der braucht diesen Dienst.
Betrifft genauso den "UPnP Dienst". Warum deaktivieren, wenn ich ihn innerhalb meines Heimnetzwerkes nutzen kann, wenn der Router das unterstützt und ich auf diesen über das Netzwerk zugreifen kann bzw. sich das Netzwerk dadurch auch als "Lokal und Internet" im Systray meldet.

Und erklär mir das mal bitte.

6.) - Netzwerkkabel vom Rechner trennen.

Für den Internet Explorer werde ich es nicht erklären, der ist so dermaßen unsicher

Gehe bitte mal genauer auf solche Sachen ein.
 
Zuletzt bearbeitet:
@Murmel
Warum soll ich die Windows Firewall deaktivieren? Wo sie mir doch anzeigt, wenn ein Programm den Weg ins Internet sucht und Ports dafür freigegeben werden sollen bzw. müssen.
...kleine Anmerkung: seit wann zeigt die Vista Firewall ausgehenden Datenverkehr in der Standard Konfiguration an..?
Da ist wohl etwas an mir vorbei gegangen... :confused:

Gruss Lou :)
 
Zuletzt bearbeitet:
Warum soll ich die Windows Firewall deaktivieren? Wo sie mir doch anzeigt, wenn ein Programm den Weg ins Internet sucht und Ports dafür freigegeben werden sollen bzw. müssen.

Warum den Dienst "Datei und Druckerfreigabe" deaktivieren?
Wer zu Hause ein kleines Netzwerk hat, der braucht diesen Dienst.

Betrifft genauso den "UPnP Dienst". Warum deaktivieren

Moin!

Mache ich doch gerne.

Zur Firewall: Nein, zeigt sie Dir nicht an. Sie verspricht Dir das zu tun und tut auch so. Nur leider ist diese Funktion so dermaßen leicht für Programmierer von Schadsoftware zu umgehen, dass diese Funktion als nicht funktionierend angesehen werden muß.

Hier steht mal genau, warum das so ist. Du wirst auf der Seite noch etliche Links finden, die meine Aussage bestätigen.

Warum Datei und Druckerfreigabe deaktivieren und dafür lieber Kennwortgeschütztes Freigeben aktivieren?

Steht hier genau aufgeschlüsselt.

Und hier noch mal..

Warum UPnP Dienst deaktivieren? Nun, weil er zu den Lieblingsports für Angreifer zählt.

Hier stehen nochmal genauere Informationen dazu.

Das Netzwerkkabel trenne ich vom Rechner, damit es absolut null Möglichkeiten gibt, während dieser potentiell ungeschützten Zeit angegriffen werden zu können oder selber unbeabsichtigt Mist zu bauen.

Und die letzte Frage sollte sich jeder selbst beantworten können, der mit offenen Augen durchs Internet surft. Der IE ist ein sicherheitstechnischer Misthaufen, er verwendet zusätzlich zu den potentiell absolut gefährlichen JavaScript Komponenten noch ActiveX und ist der am meisten verbreitete Browser. Je verbreiteter eine Software ist, desto unsicherer ist sie. Linux und MacOs werden nur als "relativ" sicher angesehen, weil sie in Relation zu Windows kaum verbreitet sind.

@All: Ich habs nicht so mit Updatepacks. Ich bevorzuge halt die automatischen Updates von Microsoft, weil ich noch niemals Probleme damit hatte. Aber ich finde die Möglichkeit eines Updatepacks nicht schlecht und schon interessant.
 
Zuletzt bearbeitet:
@All: Ich habs nicht so mit Updatepacks. Ich bevorzuge halt die automatischen Updates von Microsoft, weil ich noch niemals Probleme damit hatte. Aber ich finde die Möglichkeit eines Updatepacks nicht schlecht und schon interessant.
@Sammy
...nun bin ich aber verwirrt :confused:
Du betreibst Sicherheitsvorkehrungen wie Fort Knox, gehst dann aber mit einen neu aufgesetzten (ungepatchten...) Vista ins Netz auf Updatesuche (über automatische Updates)..???
Ist mir zu hoch... Gruss Lou :)
 
@Sammy
...nun bin ich aber verwirrt :confused:
Du betreibst Sicherheitsvorkehrungen wie Fort Knox, gehst dann aber mit einen neu aufgesetzten (ungepatchten...) Vista ins Netz auf Updatesuche (über automatische Updates)..???
Ist mir zu hoch... Gruss Lou :)

Da leiste ich mir doch glatt mal ein Vollzitat..:D

Nicht ins Netz zu gehen, erfordert einen so hohen Aufwand, dass ich dafür einfach zu faul wäre. Ich müßte dann ja z.B. vor dem patchen des Systems auch meine Updates für das Antivirenprogramm manuell einspielen. Bei Avira funktioniert das selbstverständlich, aber es ist sehr aufwändig.

Also bin ich bereits im Netz um mir Antivirendefinitionsupdates zu holen. Dann kann ich auch kurz anschließend bei MS vorbeischauen, um mir die benötigten Patches zu besorgen. Ich hatte mit meiner Lösung noch nie Probleme und habe mir noch nie auf diese Art einen Schädling eingefangen. Allerdings lasse ich anschließend auch einen Netzwerkmonitor laufen und schau mir genau an, wass da wo und wie nach Hause telefoniert. In Unternehmen läuft es auch nicht viel anders, außer das man Updates meist nicht direkt, sondern über WSUS (Windows Server Update Service) und Forefront besorgt und es funktioniert auch.
 
Nun, ich habe Vista erst seit SP1 im Einsatz. Aber gleich 2 x Office in der Pro Version. (2003 und 2007) - Ja, das ist viel. Aber ich bin ja leidensfähig.:ROFLMAO:
 
ok sammy verat mir mal eins wenn ich ein Trojaner drauf habe ist es ja so das es eigentlich Avira finden sollte.
Nö nix ist habe erst neulich einen FW Koleggen gehabt der hatte ein sehr übles Teil.
Ich wollte weiter arbeiten aber Avira meldete sich das er was gefunden hat alles schön und gut.
Aber jetzt kommts ich wollte auf umbennen ging nicht in Quarantäne schieben ging nicht und nun der Clow erst auf ingnoreiren hat er mich gelassen.
Das nächste Problem war er konnte jedes mal eine Verbindung zu seinem Server aufbauen und sich erneuern.
Mit einer Software Firewall hätter er mind. die Verbindung zum Internet verboten er währ auf dem PC geblieben.
Deswegen kann ich das nicht so richtig Nachvoll ziehen was du hier geschrieben hast?
Ich kann nur jeden davon abraten keine Firewall bzw. ein ortentliches Antivirenprogramm zu installieren.

Zitat von: UPnP bietet Angreifern eine Vielzahl an Möglichkeiten ein System zu manipulieren

Jedem sollte dabei auch klar sein, dass das reine Ausschalten des UPnP-Protokolls ein System noch lange nicht sicher macht.

Mfg firefighter112
 
Trojaner drauf habe ist es ja so das es eigentlich Avira finden sollte.

Mit einer Software Firewall hätter er mind. die Verbindung zum Internet verboten er währ auf dem PC geblieben.

Ich kann nur jeden davon abraten keine Firewall bzw. ein ortentliches Antivirenprogramm zu installieren.

Mfg firefighter112

Auch wenn dieser Post schon relativ alt ist, so möchte ich dennoch mal drauf eingehen.

Zu 1.) - Seit wann finden Antivirenprogramme zuverlässig Trojaner? Genau, haben sie noch nie und werden sie voraussichtlich auch nicht. Warum das so ist, steht mal hier: Antivirenprogramme - wie sicher sind sie?

Trojaner können grundsätzlich nur durch Format:C restlos und erfolgreich entfernt werden.

Zu 2.) - Nett gedacht aber völlig falsch. Eine Softwarefirewall (egal welche) kann man in Minuten tunneln oder austricksen. Sie ist DAS Einfallstor für Hacker und Scriptkiddies. Warum? Steht da: Warum Personal Firewalls immer wieder versagen

zu 3.) - Die Empfehlung meinerseits auf eine Softwarefirewall zu verzichten bezieht sich darauf, wenn man mit einem Router ins Internet geht. Die Firewall im Router ist um Welten besser wie jede Software Firewall. Schon allein deswegen, weil sie nicht auf dem Rechner ist, den es zu schützen gilt.

Mit dem Aussprechen vom Empfehlungen wäre ich schon sehr vorsichtig, wenn nur ein gefährliches Halbwissen vorhanden ist. Man sollte schon exakt wissen, warum man was wie empfiehlt.
 
Hallo :)
also ich muss sagen deine anleitung ist klasse :)

nur ich hab ein kleines problem.... also ich hab bisher immer nur mit einem benutzer konto gearbeitet und dieses hatte dann von haus aus ja Administratorrechte... hab jetzt alles so wie in deiner anleitung beschrieben ausgeführt und klappt auch alles soweit super =)
ich möchte jetzt nur gerne das Everest Ultimate mit dem system zusammen startet... (Everest benötigt Adminrechte um alles anzuzeigen)
das lässt sich wenn man administrator ist recht einfach über die Aufgabenplanung bewältigen...

wenn ich das jetzt wie folgt mache:
1. Aufgabenplanung als Administrator starten.
2. aufgabe erstellen
3. Reiter Allgemein, Nur ausführen wenn der Benutzer angemeldet ist Aktivieren und Mit Höchsten Privilegien ausführen Aktivieren
4. Reiter Trigger, Neu, Aufgabe starten: Bei Anmeldung, Jeder Benutzer Aktivieren und noch Aktieviert auswählen und dann ok.
5. Reiter Aktion, Neu, Aktion: Programm starten, everest.exe auswählen und ok.

startet everest einfach nicht nach dem system start...
würde mich über jede hiilfe freuen!

Gruß Stephan
 
Hi ;)
also im Reiter "Allgemein" den user auswählen mit den admin rechten und dann bei dem reiter "Trigger" den bei dem es gestartet werden soll?
ich meine das hätte ich schon versucht... aber ich werds morgen früh nach der arbeit nochmal testen ;)
wenn ich bei deiden stellen den user auswähle ohne adminrechte dann startet everest zwar aber dann fehlen die meisten sensoren in der auflistung weil die rechte fehlen :(

gruß stephan
 
Anzeige
Oben