Windows2k/XP installieren und absichern
Verfasst: 26.09.2004, 14:41
Dies ist die neueste Version von "Windows 2000/XP installieren und sicher konfigurieren". Die im Verlauf des Threads nachzulesenden Diskussionen haben diverse Änderungen im Text nötig gemacht. Also nicht von den Quotes im Thread irritieren lassen, es haben sich lediglich Gewichtungen und Formulierungen geändert, das Grundgerüst ist gleich geblieben. Ach ja, und ich hab das optisch etwas ansprechender gemacht...
Sichere Konfiguration eines neu aufgesetzten Windows 2000/ Windows XP
Der wichtigste Punkt ist zunächst einmal das Beenden von nicht benötigten Diensten. Windows startet nach einer Standardinstallation etliche Dienste, die von den allermeisten Usern nicht oder selten benötigt werden. Nicht benötigte Dienste müssen beendet werden, da ein gestarteter Dienst sehr oft auch einen Port zum Internet öffnet. Hat dieser Dienst jetzt noch eine Schwachstelle (Sicherheitslücke), ist der Rechner von außen angreifbar. Also sollte man alles, was nicht benötigt wird, beenden. Am sinnvollsten macht man das gemäß dieser Anleitungen:
Windows 2000 manuell absichern
Windows XP manuell absichern
Ebenfalls möglich ist das Beenden der Dienste per Script, beispielsweise von ntsvcfg. Hierbei ist die manuelle Nacharbeit (beim Einzelplatzrechner) zur Entbindung der Netbios-Dienste zu beachten. Ohnehin sollte das Script erst angewendet werden, wenn man sich die Seite zu Gemüte geführt hat. Das Script lässt sich mit verschiedenen Optionen ausführen, so daß es dann auch keine Probleme mit einen eventuell vorhandenen Netzwerk geben sollte.
Nachdem man das erledigt hat, sollte man als nächstes
Windowsupdate ausführen
Am sinnvollsten ist es sicher, wenn man sein frisch aufgesetztes Windows vor der ersten Internetsitzung patcht. Hierzu hat man sich sinnigerweise die aktuellen Servicepacks auf CD gebrannt / besorgt.
SP 2 für WinXP
NEU: SP 3 für WinXP
SP 4 für Win2000
Achtung: Im SP4 für Windows 2000 ist der Patch gegen die Sicherheitslücke im LSASS-Dienst noch nicht enthalten.
Den Patch gibt es Hier.
Wichtig:
Ist es nicht möglich, Windows offline auf den aktuellen Patchstand zu bringen, so ist der erste Schritt (Beenden von Diensten) zwingend erforderlich. Ansonsten ist mit an Sicherheit grenzender Wahrscheinlichkeit der Rechner so schnell von Netzwerkwürmern befallen, daß nicht einmal die Zeit bleibt, die wichtigsten Patches runter zu laden (geschweige denn ein Service Pack).
Trotzdem ist bei der ersten Onlinesitzung ein Besuch von Windowsupdate Pflicht. An dieser Stelle kein Link (mehr), das Windowsupdate lässt sich am komfortabelsten über Start-->Windowsupdate ausführen. Dies ist gleichzeitig die einzige Aktion, für die man den Internet-Explorer benutzen sollte. Dazu später mehr.
Nachdem das Windowsupdate noch unter dem Standard-Administrator-Account erfolgt ist, wird es nun Zeit zum
Einrichten eines Users mit eingeschränkten Rechten
Sobald das System soweit sicher und aktualisiert ist und die ansonsten erforderliche Software aufgespielt ist, empfiehlt es sich, für die tägliche Arbeit einen User mit eingeschränkten Rechten einzurichten. Grund: arbeitet man mit eingeschränkten Rechten, so hat auch eine eventuell "eingefangene" Schadsoftware nicht gleich automatisch Administratorrechte. Mit dieser einfachen Maßname macht man den meisten Netzwerkwürmern das Leben schon recht schwer. In diesem Zusammenhang sei noch auf die Verwendung eines sicheren Kennwortes für den Admin-Account hingewiesen. Zahlreiche Würmer der Spybot/Rbot-Familie versuchen sich über "schwache" Passwörter Zugang zur Adminebene zu verschaffen. Beispiel für ein schwaches Passwort wäre etwa 12345 oder qwertz für den Administrator.
Besser ist natürlich, erst gar keine Schadsoftware auf den Rechner kommen zu lassen. Hierzu gehört neben den oben behandelten Punkten auch der vorsichtige Umgang mit P2P-Software. Genaugenommen widerspricht sich die Verwendung einer solchen Software und der Wunsch nach möglichst großer Sicherheit.
Als letzten wichtigen Punkt zur Sicherung des Systemes empfiehlt sich der
Verzicht auf Internet-Explorer und Outlook (Express)
Ohne jetzt näher auf ActiveX-Problematik, Javascript und ähnliches eingehen zu wollen (dazu gibts im Netz genug zum Nachlesen) ist schon die tiefe Einbindung von IE und damit auch Outlook ins Betriebssystem problematisch. Insbesonders, wenn dann auch noch immer mit Administratorrechten gearbeitet wird, ist es nur eine Frage der Zeit, bis sich die ersten ungebetenen Gäste einstellen. Aus diesem Grund sollte man alternative Browser und Mailprogramme benutzen:
Browser:
Opera
Firefox
Mozilla
Mailprogramme:
Thunderbird
Pegasus-Mail
Eudora
Natürlich haben auch diese Alternativen ihre Sicherheitsprobleme, aber erstens fehlt die tiefe Integration ins Betriebssystem, zweitens konzentrieren sich die Macher von Schadsoftware überwiegend auf die Anwendungen , die von den meisten Usern verwendet werden. Und da liegen Internet-Explorer und Outlook eben an der Spitze.
Nachdem wir nun auch hier einigermaßen sichere Software verwenden, ist nun die Überlegung
Braucht man eine PersonalFirewall wie Zonealarm oder Norton Internet Security?
Kurz und bündig: Nein. Wenn die Dienste wie im ersten Punkt beschrieben konfiguriert sind, so bietet der Recher keine Dienste (=Ports) nach aussen an, auf die ein Angreifer zugreifen kann. Wenn das System richtig konfiguriert ist, so ist auch die im SP2 von WindowsXP enthaltene Firewall überflüssig und kann abgeschaltet werden. Jede Menge Lesestoff dazu gibts im oft zitierten Linkblock von ntsvcfg.
Das Lesen lohnt sich !!!
Sinnvolle Zusatzsoftware
Besonders sinnvoll finde ich die kleinen Tools von Sysinternals. Diese Tools zeigen zwar nichts an, was man nicht auch mit Windows-Bordmitteln rausbekommen könnte, sind aber um einiges komfortabler. Ebenso lassen sich alle Funktionen, die man mit XP Antispy ausschalten kann, auch per Hand abwählen, das ist lediglich eine Frage der Bequemlichkeit. Weiterhin kann eine Antivirensoftware durchaus hilfreich sein, man sollte jedoch nicht vergessen, daß jede Antivirensoftware systembedingte Schwächen hat. Näheres dazu gibts ebenfalls im Linkblock.
Gängige kostenlose AV-Software:
Antivir PE
F-Prot
Kaspersky-Trial
Aus gegebenen Anlaß noch eine Warnung: Natürlich sollte man nur einen Virenscanner mit aktivem Wächter laufen lassen. Falls man vorhat, zu Testzwecken oder aus ähnlichem Grund einen weiteren Scanner zu installieren, so muß unbedingt der Wächer des ersten abgeschaltet werden. Es besteht nämlich durchaus die Gefahr, daß das eine Programm die Signaturen des anderen als Bedrohung erkennt.
Zudem sollte man bedenken, daß Sicherheit am PC in erster Linie eine Sache des Kopfes ist und nicht von einem mehr oder weniger an Software abhängt. Wer jeden Mailanhang öffnet, alle blinkenden Links anklickt und seine gesamte Festplatte zum Sharen freigibt, wird trotz der hier besprochenen Maßnahmen nicht lange Spass an seiner Installation haben.
Abschließend stellt sich noch die Frage:
Nützliche Links
Hier werde ich mal nützliche und informative Links, auf die ich so stoße, reineditieren. Falls jemand auch was interessantes hat, einfach in den Thread reinschreiben, ich füge es dann hier ein.
Hier gibts die sogenannte "einfache" Version von ntsvcfg mit dem Download des Scriptes von dingens.org.
Sicherheitscheck
Kompromittierung unvermeidbar ?
Dazu passend sagt Microsoft:
das hier
Und hier das Ganze
nochmal auf deutsch
und stellt die
10 Immutable Laws of Security
auf
Hier ein bischen was zu (Windows-)Prozessen:
Windowsprozesse 1
Windowsprozesse 2
Und hier gibts
Diverse Anleitungen für Windows XP
Ich hab mir nicht alle Anleitungen angeschaut, sollte irgendwo massiver Blödsinn stehen, dann meldet das bitte in dem Thread hier und ich schmeiss den Link wieder raus.
Zum Schluß noch ein Danke an Digitus, Pawlak und besonders Rex*Cramer für die konstruktive Kritik, die jetzt mittlerweile die 3. Version nötig gemacht hat
Sichere Konfiguration eines neu aufgesetzten Windows 2000/ Windows XP
Der wichtigste Punkt ist zunächst einmal das Beenden von nicht benötigten Diensten. Windows startet nach einer Standardinstallation etliche Dienste, die von den allermeisten Usern nicht oder selten benötigt werden. Nicht benötigte Dienste müssen beendet werden, da ein gestarteter Dienst sehr oft auch einen Port zum Internet öffnet. Hat dieser Dienst jetzt noch eine Schwachstelle (Sicherheitslücke), ist der Rechner von außen angreifbar. Also sollte man alles, was nicht benötigt wird, beenden. Am sinnvollsten macht man das gemäß dieser Anleitungen:
Windows 2000 manuell absichern
Windows XP manuell absichern
Ebenfalls möglich ist das Beenden der Dienste per Script, beispielsweise von ntsvcfg. Hierbei ist die manuelle Nacharbeit (beim Einzelplatzrechner) zur Entbindung der Netbios-Dienste zu beachten. Ohnehin sollte das Script erst angewendet werden, wenn man sich die Seite zu Gemüte geführt hat. Das Script lässt sich mit verschiedenen Optionen ausführen, so daß es dann auch keine Probleme mit einen eventuell vorhandenen Netzwerk geben sollte.
Nachdem man das erledigt hat, sollte man als nächstes
Windowsupdate ausführen
Am sinnvollsten ist es sicher, wenn man sein frisch aufgesetztes Windows vor der ersten Internetsitzung patcht. Hierzu hat man sich sinnigerweise die aktuellen Servicepacks auf CD gebrannt / besorgt.
SP 2 für WinXP
NEU: SP 3 für WinXP
SP 4 für Win2000
Achtung: Im SP4 für Windows 2000 ist der Patch gegen die Sicherheitslücke im LSASS-Dienst noch nicht enthalten.
Den Patch gibt es Hier.
Wichtig:
Ist es nicht möglich, Windows offline auf den aktuellen Patchstand zu bringen, so ist der erste Schritt (Beenden von Diensten) zwingend erforderlich. Ansonsten ist mit an Sicherheit grenzender Wahrscheinlichkeit der Rechner so schnell von Netzwerkwürmern befallen, daß nicht einmal die Zeit bleibt, die wichtigsten Patches runter zu laden (geschweige denn ein Service Pack).
Trotzdem ist bei der ersten Onlinesitzung ein Besuch von Windowsupdate Pflicht. An dieser Stelle kein Link (mehr), das Windowsupdate lässt sich am komfortabelsten über Start-->Windowsupdate ausführen. Dies ist gleichzeitig die einzige Aktion, für die man den Internet-Explorer benutzen sollte. Dazu später mehr.
Nachdem das Windowsupdate noch unter dem Standard-Administrator-Account erfolgt ist, wird es nun Zeit zum
Einrichten eines Users mit eingeschränkten Rechten
Sobald das System soweit sicher und aktualisiert ist und die ansonsten erforderliche Software aufgespielt ist, empfiehlt es sich, für die tägliche Arbeit einen User mit eingeschränkten Rechten einzurichten. Grund: arbeitet man mit eingeschränkten Rechten, so hat auch eine eventuell "eingefangene" Schadsoftware nicht gleich automatisch Administratorrechte. Mit dieser einfachen Maßname macht man den meisten Netzwerkwürmern das Leben schon recht schwer. In diesem Zusammenhang sei noch auf die Verwendung eines sicheren Kennwortes für den Admin-Account hingewiesen. Zahlreiche Würmer der Spybot/Rbot-Familie versuchen sich über "schwache" Passwörter Zugang zur Adminebene zu verschaffen. Beispiel für ein schwaches Passwort wäre etwa 12345 oder qwertz für den Administrator.
Besser ist natürlich, erst gar keine Schadsoftware auf den Rechner kommen zu lassen. Hierzu gehört neben den oben behandelten Punkten auch der vorsichtige Umgang mit P2P-Software. Genaugenommen widerspricht sich die Verwendung einer solchen Software und der Wunsch nach möglichst großer Sicherheit.
Als letzten wichtigen Punkt zur Sicherung des Systemes empfiehlt sich der
Verzicht auf Internet-Explorer und Outlook (Express)
Ohne jetzt näher auf ActiveX-Problematik, Javascript und ähnliches eingehen zu wollen (dazu gibts im Netz genug zum Nachlesen) ist schon die tiefe Einbindung von IE und damit auch Outlook ins Betriebssystem problematisch. Insbesonders, wenn dann auch noch immer mit Administratorrechten gearbeitet wird, ist es nur eine Frage der Zeit, bis sich die ersten ungebetenen Gäste einstellen. Aus diesem Grund sollte man alternative Browser und Mailprogramme benutzen:
Browser:
Opera
Firefox
Mozilla
Mailprogramme:
Thunderbird
Pegasus-Mail
Eudora
Natürlich haben auch diese Alternativen ihre Sicherheitsprobleme, aber erstens fehlt die tiefe Integration ins Betriebssystem, zweitens konzentrieren sich die Macher von Schadsoftware überwiegend auf die Anwendungen , die von den meisten Usern verwendet werden. Und da liegen Internet-Explorer und Outlook eben an der Spitze.
Nachdem wir nun auch hier einigermaßen sichere Software verwenden, ist nun die Überlegung
Braucht man eine PersonalFirewall wie Zonealarm oder Norton Internet Security?
Kurz und bündig: Nein. Wenn die Dienste wie im ersten Punkt beschrieben konfiguriert sind, so bietet der Recher keine Dienste (=Ports) nach aussen an, auf die ein Angreifer zugreifen kann. Wenn das System richtig konfiguriert ist, so ist auch die im SP2 von WindowsXP enthaltene Firewall überflüssig und kann abgeschaltet werden. Jede Menge Lesestoff dazu gibts im oft zitierten Linkblock von ntsvcfg.
Das Lesen lohnt sich !!!
Sinnvolle Zusatzsoftware
Besonders sinnvoll finde ich die kleinen Tools von Sysinternals. Diese Tools zeigen zwar nichts an, was man nicht auch mit Windows-Bordmitteln rausbekommen könnte, sind aber um einiges komfortabler. Ebenso lassen sich alle Funktionen, die man mit XP Antispy ausschalten kann, auch per Hand abwählen, das ist lediglich eine Frage der Bequemlichkeit. Weiterhin kann eine Antivirensoftware durchaus hilfreich sein, man sollte jedoch nicht vergessen, daß jede Antivirensoftware systembedingte Schwächen hat. Näheres dazu gibts ebenfalls im Linkblock.
Gängige kostenlose AV-Software:
Antivir PE
F-Prot
Kaspersky-Trial
Aus gegebenen Anlaß noch eine Warnung: Natürlich sollte man nur einen Virenscanner mit aktivem Wächter laufen lassen. Falls man vorhat, zu Testzwecken oder aus ähnlichem Grund einen weiteren Scanner zu installieren, so muß unbedingt der Wächer des ersten abgeschaltet werden. Es besteht nämlich durchaus die Gefahr, daß das eine Programm die Signaturen des anderen als Bedrohung erkennt.
Zudem sollte man bedenken, daß Sicherheit am PC in erster Linie eine Sache des Kopfes ist und nicht von einem mehr oder weniger an Software abhängt. Wer jeden Mailanhang öffnet, alle blinkenden Links anklickt und seine gesamte Festplatte zum Sharen freigibt, wird trotz der hier besprochenen Maßnahmen nicht lange Spass an seiner Installation haben.
Abschließend stellt sich noch die Frage:
Nützliche Links
Hier werde ich mal nützliche und informative Links, auf die ich so stoße, reineditieren. Falls jemand auch was interessantes hat, einfach in den Thread reinschreiben, ich füge es dann hier ein.
Hier gibts die sogenannte "einfache" Version von ntsvcfg mit dem Download des Scriptes von dingens.org.
Sicherheitscheck
Kompromittierung unvermeidbar ?
Dazu passend sagt Microsoft:
das hier
Und hier das Ganze
nochmal auf deutsch
und stellt die
10 Immutable Laws of Security
auf
Hier ein bischen was zu (Windows-)Prozessen:
Windowsprozesse 1
Windowsprozesse 2
Und hier gibts
Diverse Anleitungen für Windows XP
Ich hab mir nicht alle Anleitungen angeschaut, sollte irgendwo massiver Blödsinn stehen, dann meldet das bitte in dem Thread hier und ich schmeiss den Link wieder raus.
Zum Schluß noch ein Danke an Digitus, Pawlak und besonders Rex*Cramer für die konstruktive Kritik, die jetzt mittlerweile die 3. Version nötig gemacht hat