Das Betriebssystem sicher konfigurieren

Dieses Kapitel richtet sich hauptsächlich an Benutzer von Microsoft Windows. Das liegt daran, dass Windows im Zustand direkt nach der Installation zunächst komplett unsicher konfiguriert ist, während Linux-Distributionen und das Apple-Betriebssytem MAC OS im Ausgangszustand erst mal keine gravierend sicherheitskritischen Einstellungen aufweisen. Mit ein wenig Aufwand lässt sich aber auch Windows deutlich sicherer machen. Die folgenden Anleitungen beziehen sich, soweit nichts anderes angegeben alle auf Windows XP. Bei anderen Windows Versionen kann aber in ähnlicher Weise verfahren werden.

1. Dienste und Ports:

Ein frisch installiertes Windows hält leider eine große Menge sogenannter Ports offen. Als Port bezeichnet man einen bestimmten Teil der Adresse bei einer Netzwerkverbindung. Eine Verbindung mit einem Webserver benötigt zum Beispiel neben der IP-Adresse noch die Nummer des Ports, an den die Verbindungsanfrage erfolgen soll. Bei einem Webserver ist das für gewöhnlich Port 80/TCP.

Was bedeutet das?

Ein Port ist dann offen, wenn auf ihm ein Dienst lauscht. Lauschen heißt in dem Fall, dass der Computer auf dem Port einen Serverdienst anbietet. Der Dienst ist also da und wartet auf Verbindungsanfragen aus dem Netz. Das bedeutet, ein standardmäßig eingerichteter Windows PC wartet (lauscht) auf Anfragen aus dem Internet.

Was ist daran Schlimm?

Zum einen sind viele der standardmäßig aktiven Dienste absolut unnötig! Ein normaler Desktop PC muss in den meisten Fällen keine Serverdienste bereit stellen. Wie der Name Serverdienst schon sagt, muss das im Regelfall nur ein Server. Ein Desktop PC wartet im Normalfall nicht auf eingehende Verbindungen, sondern baut bei Bedarf selber eine auf (ausgehende Verbindung). Schlimmer aber noch als die Überflüssigkeit des Ganzen sind die damit verbundenen Sicherheitsrisiken. Sobald einer dieser Dienste fehlerhaft ist, kann ein Angreifer ihn missbrauchen, um ihn für seine eigenen Zwecke zu nutzen. Er kann also eine Verbindung nach seinen Wünschen aufbauen und über diese beispielsweise Viren, Trojaner oder Würmer einschleusen. Microsoft ist zwar wie jeder andere Betriebssytemhersteller stets bemüht Sicherheitslücken durch Updates zu schließen, jedoch sind die Entwickler von Schadsoftware oftmals schneller. Ausserdem muss der PC für das Einspielen dieser Updates erst mal mit dem Internet verbunden werden. Bis die Updates dann herunter geladen und installiert wurden, kann es aber oft schon zu spät sein.

Was kann man dagegen tun?

Man kann bzw. sollte dringend alle nicht benötigten Serverdienste deaktivieren! Nach einer (Neu)installation des Betriebssytems sollte dies geschehen bevor der Rechner mit dem Internet verbunden wird. Wenn der Computer sich dann ohne aktive Serverdienste das erste Mal mit dem Internet verbindet, kann er über diese auch nicht mehr angegriffen werden. Das macht einige (nicht alle) Sicherheitsupdates sogar überflüssig.

Wie lassen sich diese Dienste deaktivieren?

Wer sich damit überfordert sieht oder einfach keine Lust hat, jeden einzelnen Dienst von Hand zu konfigurieren kann diese Aufgabe auch von einem Programm übernehmen lassen. Volker Birk vom Chaos Computer Club Ulm bietet dazu ein Tool auf seiner Homepage an, dass das Abschalten der Dienste weitestgehend automatisiert.

2. Benutzerrechte:

Windows XP hat die unsinnige und gefährliche Eigenschaft, dem Benutzer nach der Installation nur ein Benutzerkonto mit vollen Administratorrechten anzubieten. Viele Leute arbeiten dann auch ausschließlich mit diesem Standard Benutzerkonto. Entweder aus Bequemlichkeit oder weil sie einfach nicht wissen, welche Risiken das mit sich bringt. Es ist äußerst fahrlässig bei der täglichen Arbeit am PC mit vollen Administratorrechten angemeldet zu sein! Andere Betriebssysteme richten das standardmäßig nicht so sein. Solange man als Administrator im System arbeitet, hat man selbst uneingeschränkten Zugriff auf alles was für das System wichtig ist. Man kann alleine dadurch schon eine Menge unbeabsichtigt kaputt machen. Viel schlimmer ist aber, dass jedes Programm, dass man ausführt, während man als Administrator angemeldet ist, uneingeschränkte Rechte besitzt. Jedes Programm darf also alles machen. Sprich jeder Virus (Viren sind auch nur kleine Programme) darf auch alles machen. Also beispielsweise als Erstes mal den Virenscanner ausschalten.

Es sei also dringend geraten, sich zum normalen Arbeiten am PC ein Benutzerkonto mit eingeschränkten Rechten anzulegen und dieses auch zu benutzen. Gehen Sie dazu auf Start>Systemsteuerung>Benutzerkonten und wählen Sie Neues Konto erstellen. Geben Sie jetzt Ihren Namen ein (oder was Sie wollen) und klicken auf weiter. Wählen Sie jetzt Eingeschränkt und bestätigen Sie, durch einen Klick auf Konto erstellen. Melden Sie sich jetzt auf dem neuen Konto an und benutzen Sie das alte Administratorkonto nur noch, um Konfigurationsänerungen durchzuführen, die als normaler Benutzer nicht möglich sind.

3. Updates:

Ein weiterer wichtiger Punkt sind Updates. Microsoft stellt regelmäßig Updates für Windows zur Verfügung. Ein großer Teil davon sind Sicherheitsupdates. Das ist nötig, da immer wieder neue Sicherheitslücken in Betriebssystemen entdeckt werden und nur die entsprechenden Sicherheitsupdates diese beseitigen. Ein noch so teures "Sicherheitspaket" mit dem "besten" Virenscanner und der "effektivsten" Firewall kann die Sicherheitsupdates nicht ersetzen. Die Notwendigkeit regelmäßiger Updates zum Schließen von Sicherheitslücken ist keine windowsspezifische Eigenart, sondern ein ganz normaler Vorgang bei allen aktuellen Betriebssystemen.

Auch die gelegentlich in Internet Foren auftauchende These, man solle von den Updates lieber die Finger lassen, da Microsoft einen damit ausspionieren könnte ist äußerst paradox. Entweder man vertraut Microsoft und nutzt Windows inklusive der Updates, oder man vertraut Microsoft eben nicht. Dann sollte man aber auch Windows nicht benutzen, den schließlich könnten die Spionagefunktionen ja eben so gut schon im ungepatchen Betriebssystem enthalten sein.

4. Dateiendungen anzeigen:

Standardmäßig werden bei Windows die Endungen bekannter Dateitypen nicht angezeigt. Erkennbar sind sie lediglich an ihrem Symbol (Icon). Bei dieser Einstellung wird die Datei "Virus.txt.exe" also nur als "Virus.txt" angezeigt. Um ausführbare Dateien (also potenzielle Viren) immer als solche erkennen zu können, sollte unter Arbeitsplatz>Extras>Ordneroptionen>Bekannte Dateiendungen ausblenden der Haken entfernt werden. Dadurch wissen Sie immer, mit was für einer Datei Sie es zu tun haben und es kann Ihnen niemand mehr eine ausführbare Datei als Text, Bild, PDF oder sonstwas andrehen.

5. Windows Firewall:

Die Windows Firewall sollte nicht deaktiviert werden. Die Installation einer anderen alternativen Firewall ist in den meisten Fällen nicht sinnvoll, da sich bei zahlreichen Tests renommierter Computermagazine in der Vergangenheit immer wieder herausgestellt, dass viele teure Firewalllösungen keinen besseren Schutz bieten, sondern häufig sogarn neue Sicherheitslücken aufreißen.

Anmerkungen:
  • Für die Windows Versionen 95 ,98 ,ME und NT werden von Microsoft keine Sicherheitspatches mehr bereit gestellt. Mit einem solch veralteten Betriebssystem ist keine sichere Internetnutzung mehr möglich.
  • Mit User Account Control (UAC) hat Microsoft bei Windows Vista eine Technik eingeführt, die dem Benutzer und bestimmten Prozessen keine vollen Adminrechte gewährt. Deshalb kann bei Windows Vista auf das Anlegen eines neuen Benutzerkontos verzichtet werden.
  • Wenn ein Router mit NAT eingesetzt wird, besteht durch die offenen Ports deutlich weniger Gefahr, da der Router sie nicht weiterleitet. D.h. die Serverdienste sind dann nur vom lokalen Netz aus erreichbar, nicht mehr aus dem Internet.
  • Anstatt Windows auf oben beschriebene Weise den geltenden Sicherheitsstandards ansatzweise anzupassen, kann es durchaus sinnvoller sein, ein anderes Betriebssystem zu verwenden.