1799107

Supersicheres Windows

31.07.2013 | 12:09 Uhr |

Sicherheitsbewusstsein ist Pflicht am PC, Paranoia nicht. Mit diesen Tools und Tricks gehen Sie ganz komfortabel auf Nummer sicher.

Aber auf einem modernen Windows lässt sich mit vertretbaren Aufwand Folgendes erreichen: Systemschutz im Web, Datenschutz am lokalen System, auf mobilen Geräten und in der Cloud sowie Systemwiederherstellung nach dem Ernstfall.

So gut wie eine Sandbox: Das Laden eines Browsers im „Gast“-Konto erhöht die Sicherheit, weil der „Gast“ keine Schreibrechte besitzt.
Vergrößern So gut wie eine Sandbox: Das Laden eines Browsers im „Gast“-Konto erhöht die Sicherheit, weil der „Gast“ keine Schreibrechte besitzt.

1. Freiwillig „Gast“ für hohe Sicherheit
Je mehr Rechte das Benutzerkonto besitzt, desto mehr Schaden kann der Benutzer oder ein eingeschleuster Schädling anrichten. Daher gibt es eine ganz einfache Methode, die Gefahren zu minimieren: Wählen Sie für risikobehaftete Aktionen das Konto mit den geringstmöglichen Rechten – den „Gast“. Das „Gast“-Konto bietet den größten Systemschutz, weil der „Gast“ nur unter \Benutzer\Gast Schreibrechte besitzt. Im Gast-Konto kann weder der Benutzer noch eine eingeschleuste Malware unter \Windows und \Programme Schaden anrichten. Mehr noch: Auch auf sonstige NTFS-Datenträger darf der „Gast“ nur lesend zugreifen.

Unter „Systemsteuerung ➞ Benutzerkonten ➞ Anderes Konto verwalten“ können Sie das Gastkonto einschalten. Danach haben Sie zwei Optionen, wie Sie das Gastkonto für riskante Aktionen (etwa im Browser) nutzen:
A. Sie wechseln über das Startmenü und „Benutzer wechseln“(Windows XP, Vista, 7) oder im Startbildschirm durch Klick auf das Profilbild rechts oben (Windows 8) komplett zum „Gast“.
B. Sie verwenden in Ihrem Administrator-Konto eine Verknüpfung mit folgendem Ziel:
runas.exe /user:gast [Pfad]firefox.exe
Diese Verknüpfung startet dann das angegebene Programm im sehr sicheren Gast-Kontext.

Die fünf größten Security-Sünden

Kennwort je nach Umfeld: Das aktivierte Gastkonto erscheint auch am Anmeldebildschirm. In einer Arbeitsumgebung sollten Sie daher für ein aktiviertes „Gast“-Konto ein Kennwort vergeben. Das ist zwar an der Windows-Oberfläche nicht vorgesehen, funktioniert aber mühelos mit folgendem Befehl
net user gast kennwort
in einer mit Admin-Rechten gestarteten Eingabeaufforderung (Win-R, „cmd“).

2. Datenschutz in der Cloud und lokal
Cloud-Anbieter wie Strato, Microsoft oder Google haben kein Motiv, aktiv in Ihren Daten zu schnüffeln. Aber es gibt technische Pannen und weiche Datenschutzgesetze, die sorgloses Lagern von vertraulichen Daten auf Hidrive, Skydrive, Google Drive, Dropbox, Ubuntu One und Co. verbieten.

Boxcryptor: Der Daten-Tresor eignet sich für Dropbox, Google Drive oder Skydrive. Diese Lösung ist zu empfehlen, wenn Sie Cloud-Daten grundsätzlich verschlüsseln und auch mit dem Smartphone zugreifen möchten. Boxcryptor bietet Apps für Android und iOS.

7z-Encryption: Für PC oder Notebook und einzelne vertrauliche Dateien oder Ordner reicht ein Packer mit einem sicheren Kennwort. Unsere komfortable und einfache Explorer-Erweiterung 7z-Encryption basiert auf dem Packer 7-Zip. Sie eignet sich auch für den Datenschutz auf USB und lokalen Datenträgern.
1. Entpacken Sie das Zip-Archiv 7zEnc.zip. Dann verschieben Sie den Ordner 7zEnc an einen Ort, wo er dauerhaft bleiben kann.
2. Starten Sie die Datei „7zEnc_Register_[Als_Administrator].cmd“ mit der Option „Als Administrator ausführen“.
3. Öffnen Sie die Datei 7zEnc.cmd mit Notepad, und ersetzen Sie das komplexe Standardpasswort (u R-2 w_6=.?)3-7!L*9#) an beiden Stellen. Das Passwort darf länger oder kürzer werden. Komplexität ist kein Problem, weil Sie das Kennwort nicht manuell eingeben müssen.
4. Der Explorer zeigt nun nach Rechtsklick auf Ordner und Dateien das zusätzliche Kontextmenü „7z-Encryption“. Verschlüsselte Dateien erhalten die künstliche Extension 7zEnc. Daran erkennt die Shell-Erweiterung, wenn es Daten auspacken soll.

Oft übersehene Lücke: Nach dem Aufwachen aus dem Stromsparbetrieb sollte Windows immer das Kennwort abfragen – sonst ist der PC nach Tastendruck für jeden zugänglich.
Vergrößern Oft übersehene Lücke: Nach dem Aufwachen aus dem Stromsparbetrieb sollte Windows immer das Kennwort abfragen – sonst ist der PC nach Tastendruck für jeden zugänglich.

3. Sicheres Windows im Büro
Damit Ihr PC nicht versehentlich zugänglich ist, sollten Sie Windows vor jedem Verlassen des Arbeitsplatzes mit der Tastenkombination Win-L sperren. Dies führt zum Willkommen-Bildschirm und erfordert die Eingabe des Benutzerkennworts.

Automatisch sperren: Mit einem kurzen Timeout des Bildschirmschoners richten Sie Windows so ein, dass sich die Sitzung automatisch sperrt, wenn das Gerät nicht genutzt wird. Nach Rechtsklick auf den Desktop und „Anpassen“ finden Sie den Link „Bildschirmschoner“. Die Wartezeit des Bildschirmschoners stellen Sie relativ kurz etwa auf fünf Minuten ein und setzen die Option „Anmeldeseite bei Reaktivierung“. Dann sperrt sich Windows nach fünf Minuten automatisch, wenn Sie den Platz verlassen und manuelles Win-L vergessen.

Sicherheit für Windows - so geht's

Kennwort nach Energiesparmodus: Das System ist offen wie ein Scheunentor, wenn Windows-Benutzer den stromsparenden Ruhezustand verwenden und beim Aufwachen kein Windows-Kennwort verlangen. Die Einstellung finden Sie in der Systemsteuerung unter „Energieoptionen ➞ Energiesparmodus ➞ Kennwort bei Reaktivierung anfordern“. Stellen Sie sicher, dass hier die Option „Kennwort ist erforderlich“ aktiviert ist.

Schreibverbot auf USB: Windows kann alle USB-Geräte schreibschützen und damit das Ausspionieren per USB-Stick verhindern. Der Registry-Schlüssel lautet Hkey_Local_Machine\System\CurrentControlSet\Control\StorageDevicePolicies, der dort notwendige DWord-Eintrag „WriteProtect“ mit Wert „1“. Damit Sie das nicht manuell eintragen müssen, gibt es das Archiv USB_Schreibschutz.zip zwei Registry-Importdateien zum Aktivieren und Deaktivieren des Schreibschutzes. Die Änderungen werden nach einem Neustart wirksam.

Neue USB-Geräte verbieten: Eine Alternative zum Schreibverbot ist es, die eigenen USB-Geräte uneingeschränkt zu nutzen, aber alle fremden (also bisher nicht angeschlossenen) abzulehnen. Das geht über die gewaltsame Methode, die Datei Usbstor.inf unter \Windows\Inf umzubenennen. Danach scheitert Plug & Play, und neu angeschlossene USB-Geräte können nicht eingebunden werden. Wenn Sie selbst ein neues USB-Gerät anschließen wollen, müssen Sie der INF-Datei wieder ihren Originalnamen geben.

4. Schutz für mobile Daten
Notebooks werden vergessen, USB-Sticks gehen verloren: Benutzerkonten und Zugriffsrechte helfen dann wenig. Die Daten sind spätestens nach dem Start eines Live-Systems lesbar. Deshalb empfiehlt es sich, sensible Daten auf mobilen Datenträgern zusätzlich zu verschlüsseln.

Truecrypt-Hauptfenster: Über „Datei“ suchen Sie den verschlüsselten Container, um ihn dann mit „Einbinden“ zu laden. Er erscheint sofort als neues Laufwerk im Explorer.
Vergrößern Truecrypt-Hauptfenster: Über „Datei“ suchen Sie den verschlüsselten Container, um ihn dann mit „Einbinden“ zu laden. Er erscheint sofort als neues Laufwerk im Explorer.

EFS-Verschlüsselung: Das Encrypting File System in Windows setzt NTFS-formatierte Laufwerke voraus. Nach Rechtsklick auf ein Dateiobjekt wählen Sie „Eigenschaften ➞ Allgemein ➞ Erweitert ➞ Inhalt verschlüsseln“. Danach sind die Ordner oder Dateien nur noch für diesen einen Windows-Benutzer lesbar. Benutzer mit Administrator-Recht haben ebenso wenig eine Zugriffschance wie andere Betriebssysteme. Die Nachteile von EFS: Es ist nur in höherwertigen Windows-Pro-Editionen enthalten, und es eignet sich weder für Cloud-Daten (ausgeschlossen) noch für mobile USB-Daten (umständlich wegen Zertifikatsexport).

Bitlocker und Truecrypt: Für die Verschlüsselung ganzer Partitionen und großer Datenmengen sind Microsofts Bitlocker und Truecrypt erste Wahl. Bitlocker ist besonders komfortabel in der Bedienung, aber Luxus einer Minderheit, weil die Komponente nur in Windows-Pro-Editionen enthalten ist. Truecrypt hat den Ruf, eine tolle Verschlüsselung zu sein – mit mäßigem Bedienkomfort. Die einfachste Nutzungsvariante von Truecrypt ist aber durchaus komfortabel. Entpacken Sie die handliche Software einfach überall dort, wo Sie sie benötigen (PC, USB-Stick). Dazu verwenden Sie nach Aufruf des „TrueCrypt Setup 7.1“ die Option „Extract“. Schon kann’s losgehen:

Ausgesperrt - Was tun bei Passwort-Pannen?

Truecrypt-Container einrichten: Sie starten die Programmdatei „Truecrypt Format“, klicken auf „Volumen, Neues Volumen erstellen“ und übernehmen im nächsten Dialog die voreingestellte Option „Eine verschlüsselte Containerdatei erstellen“. Nach „Weiter“ akzeptieren Sie im nächsten Dialog „Standard TrueCrypt-Volumen“ mit „Weiter“ und wählen danach den Speicherordner und einen frei gewählten Namen für die Containerdatei. Gut zu überlegen ist die „Volumen-Größe“ der Datei, weil sich diese nachträglich nicht mehr ändern lässt. Danach geben Sie ein sicheres Kennwort ein und klicken im Abschlussdialog auf „Formatieren“ (des Truecrypt-Containers).

Truecrypt-Container nutzen: Zum Laden von Containern starten Sie das Hauptprogramm Truecrypt. Dort klicken Sie auf „Datei“ und navigieren zum gewünschten Container. Nach der Schaltfläche „Einbinden“ fordert Truecrypt das Kennwort und lädt dann den Inhalt als neues Laufwerk unter Windows. Das Laufwerk öffnet sich im Explorer. Um Container später zu entladen, nutzen Sie im Truecrypt-Dialog die Schaltfläche „Trennen“.

5. Systemabbild als Rückversicherung
Virenbefall, Konfigurationsfehlern oder Festplattenpanne: Ein komplettes Abbild der Windows-Partition ist die beste Rückversicherung. Es erspart Stunden der Neuinstallation und der Neukonfiguration.

Windows-Funktionen: Windows Vista, 7 und 8 können ein „Systemabbild“ sichern. Unter Windows 8 finden Sie die Option unter „Systemsteuerung ➞ Windows-7-Dateiwiederherstellung ➞ Systemabbild erstellen“ und bei den Vorgängern unter „Systemsteuerung ➞ Sichern und Wiederherstellen ➞ Systemabbild erstellen“. Sehr viel mehr als dort das Ziellaufwerk auszuwählen – am besten eine externe USB-Festplatte –, ist dort nicht zu tun. Das Wiederherstellen des gesicherten Systemabbilds erfolgt zwingend über das Notfallsystem Windows PE. Sie müssen also den PC mit der Taste F8 und „Computer reparieren“ nach WinPE starten oder mit einem Setup- oder einem Systemreparaturdatenträger booten.

Das große Kompendium zur Netzwerksicherheit

Systemabbild: Diese Rückversicherung kann im Falle eines Schädlingsbefalls oder eines Festplattendefekts mit dem Zweitsystem WinPE zurückgespielt werden.
Vergrößern Systemabbild: Diese Rückversicherung kann im Falle eines Schädlingsbefalls oder eines Festplattendefekts mit dem Zweitsystem WinPE zurückgespielt werden.

Das Zweitsystem zeigt die Option „Systemabbild-Wiederherstellung“ („Systemimage-Wiederherstellung“ unter Windows 8). Hier wählen Sie dann das Abbild auf dem externen Datenträger. Die richtige Auswahl ist entscheidend: Wenn Sie das Image eines falschen Rechners wählen, wird die Partitionierung des anderen Rechners geklont – mit fatalen Folgen. Generell sollten Sie ein Systemabbild auf demselben Rechner mit derselben Festplatte anwenden. Beim Austausch der Festplatte muss diese mindestens die Größe der Vorgängerin besitzen.

Windows 8 und Recimg: Unter Windows 8 gibt es die Reparaturoption „System Refresh“ und das undokumentierte Tool Recimg.exe. Dessen Nutzung ist einfach: In einer Eingabeaufforderung (Win-R, „cmd“) mit Administrator-Rechten geben Sie
recimg /createImage x:\
ein. Dadurch entsteht am angegebenen Pfad das Image CustomRefresh.wim, auf das Windows 8 automatisch und ohne jede weitere Rückfrage zurückgreift, wenn Sie in den PC-Einstellungen (unter „Allgemein ➞ PC ohne Auswirkungen auf die Dateien auffrischen“) einen System-Refresh auslösen. Transparenter wird die neue Windows-8-Funktion durch Slimware Recimg . Es handelt sich um ein grafisches Front-End zu Recimg. Der Funktionsumfang ist gegenüber dem Windows-Tool insofern erweitert, als Sie hier auch mehrere Win-Snapshots ablegen können.

0 Kommentare zu diesem Artikel
1799107