Möchten Sie eine Seite auf Gaijin.at verlinken?
Auf der Seite für Webmaster finden Sie Banner, Buttons und Text-Links, die Sie in Ihre Seite einfügen können.

Windows XP: Sicherheitseinstellungen

Inhalt

Administrative Freigaben deaktivieren
Alexa - der Surfspion
Auslagerungsdatei löschen
Auto-Update des Internet Explorers
Dokumente vor Dritte verstecken
Eingabeaufforderung: Ausführen der CMD.EXE unterbinden
Fehlerbericht an Microsoft
Firewall von Microsoft
Gefährliche Webdateien festlegen und ausnehmen
Integrierte Windows-Authentifizierung deaktivieren
Internet-Connection-Sharing
Löschen der nicht zugeordneten Bereiche der Festplatte
Media Player 8 - Der Spion
NT-Login aktivieren
Schutz vor Smart Tags
Softwareupdate deaktivieren
Temporäre Internetdateien löschen
Volle Kontrolle mit GPEDIT
Wiederherstellungskonsole: Automatische Anmeldung als Administrator
Workstation sperren
Zeitsychronisierung deaktivieren

Relevante Programme

Administrative Freigaben deaktivieren

Um die administrative Freigabe zu deaktivieren, beenden Sie zuerst in der Computerverwaltung alle administrativen Freigaben (enden mit einem Dollar-Zeichen), außer IPC$, da diese Freigabe ohnehin nicht beendet werden kann.

Danach erstellen Sie in der Registry unter dem Schlüssel
HKLM \ System \ CurrentControlSet \ Services \ LanmanServer \ Parameters
die beiden DWord-Werte "AutoShareServer" und "AutoShareWks". Wenn diese Werte auf "0" gesetzt sind, legt Windows NT (XP) die administrativen Freigaben nicht mehr an.

Alexa - der Surfspion

"Alexa" ermittelt themenverwandte Links zur aktuellen Webseite. Damit wird aber auch ihr Surfverhalten aufgezeichnet.

Dieser Spion kann über die Registry entfernt werden. Im Schlüssel
HKLM \ Software \ Microsoft \ Internet Explorer \ Extentions
den Unterschlüssel "{c95fe080-8f5d-11d2-a20b-00aa003c157a}" suchen und den gesamten Schlüssel löschen. Danach schaut ihnen Alexa beim Surfen nicht mehr auf die Finger.

Auslagerungsdatei löschen

Die von Windows angelegte Auslagerungsdatei des virtuellen Arbeitsspeichers kann unter Umständen sensible Daten enthalten, die später von neugierigen Personen eingesehen werden können. Beim Herunterfahren kann die Auslagerungsdatei von Windows automatisch gelöscht werden.

Dazu führen Sie folgende Menübefehle aus: "Start / Einstellungen / Systemsteuerung / Verwaltung / Lokale Sicherheitsrichtlinie / Lokale Richtlinien / Sicherheitsoptionen"

Hier können Sie die Option "Herunterfahren: Auslagerungsdatei des virtuellen Arbeitsspeichers löschen" aktivieren.

Auto-Update des Internet Explorers

Der Microsoft Internet Explorer sucht permanent nach Updates. Dies kann man in den Internetoptionen unterbinden:

Im Register "Extras" die beiden Häkchen vor "Automatische Überprüfung auf Aktualisierungen" und "Zeitplan für Synchronisation von Offlineobjekten" entfernen.

Dokumente vor Dritte verstecken

Windows XP ist ein Multi-User-Betriebssystem und erlaubt es standardmäßig Ordner und Verzeichnisse anderer Benutzer einzusehen. Das funktioniert ganz simpel über den Explorer im Root-Verzeichnis unter Arbeitsplatz / Auf diesem Computer gespeicherte Dateien. Vor den Augen allzu neugieriger Dritter schützt der Unterschlüssel {59031a47-3f72-44a7-89c5-5595fe6b30ee} unter
HKLM \ Software \ Microsoft \ Windows \ Current Version \ Explorer \ My Computer \ Name Space\DelegateFolders
Nach dem Löschen des Unterschlüssels {59031a47-3f72-44a7-89c5-5595fe6b30ee} blendet Windows die Verzeichnisse der anderen, nicht angemeldeten Benutzer aus. Da dieser Vorgang auf Maschinenebene stattfindet, beeinträchtigt er die Ordner aller User und ist nicht benutzerspezifisch einzusetzen.

Eingabeaufforderung: Ausführen der CMD.EXE unterbinden

Ab Windows 2000 kann man für jeden Benutzer festlegen, ob er die Kommandozeile ausführen darf:

Unter
HKCU \ Software \ Policies \ Microsoft \ Windows \ System
legen Sie einen neuen Eintrag an mit den Namen "DisableCMD" als Datentyp REG_DWORD (ggf. Windows und System auch erstellen).

Sie können hier jetzt folgende Werte setzen:

0 (oder Schlüssel nicht Vorhanden)
Der Anwender kann die Eingabeaufforderung ("CMD.EXE") ausführen.
1
Es können weder die Eingabeaufforderung ("CMD.EXE"), noch Batch-Dateien ausgeführt werden.
2
Die Eingabeaufforderung ("CMD.EXE") kann nicht mehr verwendet werden. Batch-Dateien können aber noch ausgeführt werden.

Fehlerbericht an Microsoft

Nach Abstürzen will Windows XP einen Fehlerbericht an Microsoft senden. Die Absendung der Daten erfolgt zwar erst nach der Bestätigung durch den Benutzer, allerdings ist es lästig wenn man diese Dialogbox immer wegklicken muss.

Das Versenden des Fehlerberichtes kann in der Systemsteuerung unter "Leistung und Wartung / System" und anschließend im Register "Erweitert" die "Fehlerberichterstattung" auswählen. Dann muss nur noch die Checkbox vor "Fehlerberichterstattung deaktivieren" markiert werden.

Firewall von Microsoft

Windows XP wird mit einer deaktivierten und nicht konfigurierten Firewall installiert. Falls nicht eine Firewall von einem anderen Anbieter zur Verfügung steht, sollte wenigstens die Microsoft-Firewall aktiviert und konfiguriert werden.

Die geschieht über die "Netzwerkverbindungen" in der Systemsteuerung. Das Verbindungssymbol mit der rechten Maustaste anklicken, die Eigenschaften aufrufen und dann unter dem Register "Erweitert" die Option "Internetverbindungsfirewall" aktivieren.

Gefährliche Webdateien festlegen und ausnehmen

Der in Windows XP enthaltene Internet Explorer 6 legt im Verzeichnis c:\windows\system32\ eine Datei mit Namen shdocvw.dll an. In dieser ist eine Liste von als unsicher eingestuften Datei-Extensionen abgelegt, wie etwa ASP, BAT, CMD, COM, EXE, MDB, REG und VB. Damit soll ein automatisches Öffnen solcher Dateien durch den Browser verhindert und die Systemsicherheit erhöht werden. Doch Aktualität und kurze Reaktionszeit sind extrem wichtig für den Bereich der Internet-Sicherheit. Und da beispielsweise PDF-Dateien lange als sicher galten, sind sie in der Liste nicht aufgeführt. Inzwischen existieren jedoch auch PDF-Viren.

Dem entsprechend sollte die Liste um den Eintrag PDF erweitert werden. Hinzufügen lassen sich Einträge über einen neu anzulegenden Subkey in der Registry:
HKLM \ Software \ Microsoft \ InternetExplorer \ UnsafeFiles \ Include
Die in die Liste der unsicheren Dateiendungen aufzunehmenden Erweiterungen müssen wiederum als neuer Subkey definiert sein. In obigem Beispiel heißt der Subkey also:
HKLM \ Software \ Microsoft \ InternetExplorer \ UnsafeFiles \ Include \ .PDF

Für die Liste der als gefährlich eingestuften Dateiendungen lassen sich auf ähnlichem Weg auch Ausnahmen definieren. Dann blockiert der Internet Explorer 6 die Ausführung entsprechender Dateien nicht mehr. Ausnahmen sollten Anwender jedoch immer mit Vorsicht und nur kurzfristig festlegen, da sonst eine Sicherheitslücke offen bleibt. Aus Gründen der Sicherheit ist es aber hilfreich, hin und wieder zu überprüfen, ob etwa schädliche Programme solche Ausnahmen ohne Wissen des Computernutzers eingerichtet haben und so weitere Attacken ermöglichen.

Der erforderliche Registry-Schlüssel lautet
HKLM \ Software \ Microsoft \ InternetExplorer \ UnsafeFiles \ Exclude
Die ausgenommenen Dateiendungen sind als eigener Subkey, zum Beispiel:
HKLM \ Software \ Microsoft \ InternetExplorer \ UnsafeFiles \ Exclude \ .EXE
anzulegen.

Integrierte Windows-Authentifizierung deaktivieren

Der Internet Explorer versucht sich automatisch mit den Windows-Benutzerdaten bei Websites anzumelden. Um dieses Funktion zu deaktivieren, muss die Checkbox "Integrierte Windows-Authentifizierung aktivieren" in den erweiterten Browsereinstellungen deaktiviert werden.

Internet-Connection-Sharing

Dieser Bug betrifft alle Windows Versionen. Wer Windows mit installiertem Internet-Connection-Sharing betreibt, ist laut Aussage von Sicherheitsexperten nicht sicher vor Denial of Service Attacken. Der Universal Plug and Play (UPnP) Service gibt allen Computern die Möglichkeit, freigegebene Ressourcen zu finden bzw. zu nutzen. Dieser Service kann durch unzulässige Anfragen das ganze System lahm legen.

Abhilfe schafft das Blockieren der Ports 1900 und 5000 mit einer Firewall. Mittlerweile stehen auch Patches auf der Download-Sektion von Microsoft bereit.

Löschen der nicht zugeordneten Bereiche der Festplatte

Mit einem einfachen Befehl lassen sich alle nicht zugeordneten Bereich der Festplatte sicher überschreiben. Der Befehl "cipher /w:C:\" überschreibt alle gelöschten Daten drei mal und verhindert so deren Wiederherstellung. Die Angabe nach dem Parameter "/w:" gibt das Laufwerk an. Für das Laufwerk D würde der Befehl so aussehen: "cipher /w:D:\".

Media Player 8 - Der Spion

Der Microsoft Media Player 8 (WMP 8) versendet private Daten an Microsoft. Der Aufdecker dieses Sicherheits-Lecks ist Richard M. Smith, der in einem Posting auf http://www.computerbytesman.com/ auf diese Datenschutzprobleme hinwies. Und so spioniert Microsoft:

  • Der User legt einen DVD-Film oder eine Musik-CD in das Laufwerk. Der Windows Media Player wird gestartet, um die CD abzuspielen.
  • Der Media Player verbindet sich im Hintergrund zu www.windowsmedia.com und sendet eine Anfrage (Cookie) an den Microsoft-Server, um den Titel und weitere Infos zum Film bzw. der Musik abzufragen. Dabei schickt der Media Player seine ID-Nummer mit.
  • Diese Informationen bleiben lokal gespeichert. Wenn aber eine neue DVD oder Musik-CD eingelegt wird, versucht der Windows Media Player eine Verbindung zu Microsoft aufzubauen um die Informationen zur eingelegten CD abzufragen.
  • Microsoft kann so jederzeit nachvollziehen, wer (welcher Player - an Hand der ID-Nummer) welche DVDs bzw. welche CDs abgespielt hat.

Sollte der Microsoft Media Player zum Abspielen von DVDs und CDs verwendet werden, dann sollte man vorher die Internetverbindung beenden.

Weiters ist es ratsam, der Medienbibliothek den Internetzugriff zu verbieten. Dies erreicht man im Media Player unter "Extras / Optionen / Medienbibliothek". Die Optionsfelder Zugriffsrechte anderer Anwendungen und Internetsitezugriffsrechte sollten auf "Kein Zugriff" gestellt werden.

Um Microsoft-Cookies generell zu verbieten, geht man folgendermaßen vor: Im Menü des Internet Explorers klickt man unter "Extras / Internetoptionen / Datenschutz" auf Bearbeiten. Dann sperrt man die Adresse www.windowsmedia.com. Damit ist die Kommunikation zwischen dem Media Player und Microsoft mittels Cookies unterbunden.

NT-Login aktivieren

Windows XP benutzt die "Willkommenseite" statt dem NT-Login (Benutzernahme und Kennwort). Um dies wieder zu erreichen, geht man in die Systemsteuerung auf "Benutzerkonten / Art der Benutzeranmeldung", ändert und deaktiviert dort die Funktion "Willkommenseite verwenden".

XP Professional - Besitzer können zudem die Sicherheitsabfrage STRG+ALT+ENTF vor dem Login aktivieren, indem man in der Verwaltung in den "Lokalen Sicherheitsrichtlinien" auf den Punkt "Lokale Richtlinien / Sicherheitsoptionen" geht und bei "Interaktive Anmeldung: Kein Strg+Alt+Entf erforderlich" den Wert deaktiviert.

Einfacher geht es über die Registry: Im Schlüssel
HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ policies \ system \ DisableCAD
einen neuen DWORD-Eintrag mit dem Namen "disablecad" und dem Wert "0" anlegen.

Schutz vor Smart Tags

Smart Tags erlauben Web-Seiten automatisch nach bestimmten Begriffen zu durchsuchen und diese Begriffe mit neuen Links zu versehen, ohne dass der Anbieter der Webseite etwas davon weiß. Zwar ist die Smart-Tag-Funktion in der deutschen Version per Voreinstellung deaktiviert. Sie lässt sich jedoch mit wenigen Handgriffen nachträglich installieren. Obgleich die eigentliche Web-Seite in ihrer Code-Basis unverändert bleibt, ist es für jeden Anbieter von Web-Seiten ratsam, die eigenen Web-Dokumente gegen Smart Tags zu schützen. Hierfür existiert ein Meta-Tag, der in die eigene Web-Seite implementiert werden sollte:
<meta name= "MSSmartTagsPrevent Parsing" Content= "TRUE">

Softwareupdate deaktivieren

Das automatische Software-Update von Windows XP lässt sich in den Systemeigenschaften in der Registerkarte "Automatisches Update" deaktivieren. Für den Internet Explorer lässt sich die Überprüfung auf Updates in den Internetoptionen festlegen. Dazu muss die Checkbox "Automatische Überprüfung auf Aktualisierungen" deaktiviert werden. Es kann auch nicht schaden gleich auch die Checkbox vor "Zeitplan für Synchronisation von Offlineobjekten" zu deaktivieren.

Temporäre Internetdateien löschen

Der Internet Explorer 6 löscht beim Schließen des Browsers Ihre temporären Internetdateien, allerdings nur, wenn Sie die entsprechende Option im Browser aktivieren. Im Menü "Extras / Internetoptionen / Erweitert / Sicherheit" finden Sie den Eintrag "Leeren des Ordners Temporary Internet Files beim Schließen".

Des Weiteren sollten Sie den Eintrag "Verschlüsselte Seiten nicht auf der Festplatte speichern" aktivieren.

Volle Kontrolle mit GPEDIT

Hunderte von Systemeinstellungen erlaubt ein leistungsstarkes Tool, das Windows XP mit dem Befehl gpedit.msc über Start / Ausführen lädt. Administratoren können mit dem Group Policy Editor umfangreiche System- und Benutzerkonfigurationen vornehmen. Die wichtigsten Einstellungen finden sich in den Abschnitten, die mit Administrative Vorlagen überschrieben sind. Hier ist das Verhalten von Windows-Komponenten wie Messenger, Internet Explorer, Task-Planer und der Terminaldienste ebenso zu definieren wie Vorgaben zur Netzwerkanmeldung, Systemwiederherstellung, zu Nutzerprofilen und zum Dateischutz. Im Bereich Benutzerkonfiguration/Administrative Vorlagen lassen sich weitere Systemeinstellungen vornehmen. Dazu gehören etwa die Optionen für Startmenü, Task-Leiste, Desktop, Systemsteuerung und die Tastenkombination Strg+Alt+Entf.

Zahlreiche Programme greifen während ihrer Installation auf Systemdateien zu. Aus Gründen der Sicherheit sollte die Integrität zum Beispiel von Dateien des bei Windows XP neuen Typs .manifest zuweilen überprüft werden. Diese XML-basierten Dateien sind für die optische Gestaltung von Programmoberflächen unter Windows XP verantwortlich und werden beim Start des zugeordneten Programms wie etwa explorer.exe als explorer.exe.manifest automatisch ausgeführt. Durch Manipulation der .manifest-Dateien das ganze System lahm gelegt werden. Wer wichtige Dateitypen im Auge behalten will, muss unter Explorer / Extras / Ordneroptionen / Ansicht folgende Einstellungen vornehmen: "Erweiterungen bei bekannten Dateitypen ausblenden" und "Geschützte Systemdateien ausblenden" sollten deaktiviert werden. Zu aktivieren sind dagegen "Inhalte von Systemordnern anzeigen" und "Alle Dateien und Ordner anzeigen".

Wiederherstellungskonsole: Automatische Anmeldung als Admin

Wer alleine am System arbeitet und oft die Wiederherstellungskonsole benutzt, kann die erforderliche Anmeldung als Admin abschalten.

In der Systemsteuerung unter "Verwaltung / Lokale Sicherheitsrichtlinien / lokale Richtlinien / Sicherheitsoptionen" ändert man die Richtlinie "Wiederherstellungskonsole: Automatsiche administrative Anmeldung zulassen" auf "aktiviert".

Optional kann die Änderung auch über die Registry vorgenommen werden: Unter
HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Setup \ RecoveryConsole
in dem DWORD-Eintrag "SecurityLevel" und dem Wert "1" für "aktiviert".

ACHTUNG:
Damit hat jeder User über die Konsole ohne Anmeldung Zugriff auf das System!

Workstation sperren

Hin und wieder kann es praktisch sein, die Workstation auf Knopfdruck vor dem Zugriff durch andere Benutzer zu schützen. Am schnellsten ist dies durch eine Verknüpfung auf dem Desktop zu erreichen. Der Programmaufruf "rundll32.exe user32.dll,LockWorkStation" führt die Sperre der Arbeitsstation durch. Alternativ dazu steht natürlich auch der Shortcut Windows + L zur Verfügung.

Zeitsychronisierung deaktivieren

Windows XP stellt ungefragt eine Verbindung zu einem Internetserver her und versucht, die Uhrzeit mit diesem Computer zu synchronisieren. Per Default ist das "time.microsoft.com". Man kann diese Synchronisation unterbinden, indem man auf die Uhr in der Taskleiste doppelklickt und in der Registerkarte "Internetzeit" die Checkbox "Automatisch mit einem Internetzeitserver synchronisieren" deaktiviert. Allerdings kann auch ein anderer Zeitserver gewählt bzw. eingegeben werden.

Relevante Programme und Online-Tools

Die folgenden Programme von Gaijin.at haben einen Bezug zu diesem Thema.

XP-Config (Freeware, portabel)
XP-Config ist ein Konfigurationsprogramm für Windows XP, mit welchem Leistungs- und Sicherheitseinstellungen, sowie optische Einstellungen leicht geändert werden können.

Beta-Bereich | Webmaster | Sponsor / Werbung | Übersetzer | Unterstützung | Kontakt & Nutzungsbedingungen