Zurück zur Hauptseite

Windows-Security




Auch wenn es unmöglich ist, unter Windows 98 die gleiche Qualität von Sicherheit herzustellen wie bei Unix- oder Linuxsystemen und Windows NT, gibt es doch einige Mittel und Regeln, die man einsetzen und beachten sollte um den Zeit- und Kostenaufwand des Angreifern zumindest maximal zu erhöhen.


Betriebssystem

Installation

• Bei der Installation von Windows sollte man einen anderen Verzeichnisnamen als "c:\windows" wählen
• Plazieren Sie Ihren PC so, dass keine Einsicht auf den Monitor von Fenstern oder von anwesenden Personen möglich ist
• Verwenden Sie ggf. zusätzliche Zugangschutzsysteme wie Chipkarten und Floppylaufwerkschlösser.
  Anmerkung: "Fingerprint" Sensoren, die an den PC angeschlossen werden oder in der Tastatur integriert, sind unsicheres Spielzeug.
  Auf dem letzten Hackercamp 1999 des Chaos Computer Club (WWW) wurden alle auf dem Camp verfügbaren Fingerprintsensoren durch Wachsabdrucke und Folien getäuscht.
  Der CCC geht davon aus, dass alle erhältlichen Sensoren durch entsprechende Methoden zu täuschen sind.
  Auch biometrische Gesichtserkennungsprogramme (Identifikationsüberprüfung über das Scannen der Gesichtsgeometrie) sind noch sehr fehleranfällig und garantieren in keinster Weise einen 100% Zugangsschutz.
• Schalten Sie die Auto-Start Funktionen für Ihr CD-ROM und/oder CD-Brenner unter Systemsteuerung/System/Geräte-Manager/CD-ROM "Automatische Benachrichtigung beim Wechsel" aus und folgen Sie den Anweisungen für Tweak UI, denn auch über eine CD können Programme automatisch gestartet werden.

Deinstallationen

• Deinstallieren Sie den Personal Web Server, solange Sie nicht vorhaben, anderen Benutzern einen Zugang zu Ihrem Rechner einrichten zu wollen: Start=>Einstellungen=>Software=>Windows Setup=>Internet Programme=>Personal Web Server
• Deinstallieren Sie den DFÜ-Server, solange Sie nicht vorhaben, anderen Benutzern einen Zugang zu Ihrem Rechner einrichten zu wollen:
  Start=>Einstellungen=>Software=>Windows Setup=>Verbindungen=>DFÜ-Server
• Deinstallieren Sie den Windows Scripting Host, der für die Ausführung von Visual Basic Scripts verantwortlich ist (und für VBS basierte Viren), solange sie nicht auf einem netzunabhängigen PC VBS für Automatisierungsaufgaben nutzen wollen:
  Start=>Einstellungen=>Software=>Windows Setup=>Zubehör=>Windows Scripting Host

Startverhalten

• im BIOS die Startreihenfolge so abändern, dass nur von C gebootet wird, die Einstellung "Wechseldatenträger,C" ist zu vermeiden
• sichern sie das BIOS mit einem Passwort (was nicht verhindert, dass man es nicht doch auslesen oder deaktivieren könnte)
• wenn der BIOS Baustein zum Updaten und Auslesen per Jumper mit einem Schreibschutz versehen werden kann, aktivieren Sie ihn
• Windows sollte direkt mit der Oberfläche (Desktop) starten, ohne einer verzögerten Anzeige des Auswahlmenüs oder der Funktionstasten.
  Am einfachsten erreicht man das mittels des Tweak UI Tools

Tweak UI Sicherheits-Optionen

IE 4
Clear document, run, typed-URL history on exit 

Boot
Function keys available abschalten
Start GUI automatically einschalten 

Paranoia
Clear Internet Explorer history at logon
Play Data-CD's automatically abschalten 

• Benutzen Sie einen Bildschirmschoner mit Passwortfunktion
• Installieren Sie ein Programm, das sofort nach dem Start der Oberfläche eine Passworteingabe verlangt, bevor der Desktop frei gegeben wird, bzw. ein Programm wie Steganos oder das Freewaretool DesktopShield (WWW), das eine automatische Passwortfunktion beinhaltet.
  Zusätzlich wird in der Systemsteuerung/Kennwörter die Option Für alle Benutzer dieses Computers gelten dieselben Vorgaben und Desktopeinstellungen eingeschaltet.

Mit diesen Einstellungen muss der Rechner geöffnet und entweder der BIOS Baustein oder die Festplatte ausgebaut oder das CMOS RAM durch Jumperumsetzung geleert werden, um ohne Passwort an Daten zu gelangen.
Letztendlich erreicht man unter Windows 95/98 einen wirksamen Schutz sensibler Daten aber nur durch kryptografisch verschlüsselte Daten oder Partitionen, da Windows 95/98 mit keinem kryptografischen Dateisystem ausgestattet ist.
Programme wie Blowfish Advanced (WWW), ScramDisk (WWW) oder E4M (WWW) bieten diese Möglichkeiten.
Ein Wort zu den vielen Pseudosicherheitstools, die eine Passwortabfrage vor den Startvorgang schalten: Ich habe noch kein Tool auf dem Shareware- und Freewaremarkt gefunden, dass sich nicht umgehen ließe.
Eine Ausnahme stellt Safe Guard (WWW) dar, das einen wirksamen Zugangsschutz für Windows 98 und NT Systeme bieten soll.


Browser

Die hier angesprochenen Hinweise wenden sich an Einzelplatzbenutzer und nicht an Benutzer, die sich innerhalb eines Netzwerkes befinden.
Dort wird der Systemadministrator geeignete Sicherheitsmassnahmen getroffen haben.
Die hierbei verwendeten Browser sind der Internetexplorer 5.0, Opera 3.62 (englisch) und der Netscape Communicator 4.7 (englisch)

Internet Explorer


Optionen

Sonstige Hinweise

• Besorgen Sie sich das 128-bit Update für IE 5.0 (WWW) für IE 5.01 (WWW) oder hier (WWW), damit der IE mit Servern, die 128-bit Verschlüsselung anbieten, eine 128-bit verschlüsselte Verbindung aufbauen kann
• Besuchen Sie regelmäßig die deutsche IE Security Seite (WWW) und ergänzen Ihren IE mit den aktuellen Securitypatches
• TecChannel Artikelserie: Internet-Explorer Sicherheitslücken (WWW)

Opera


Optionen

Netscape


Optionen

Mail-Reader


Outlook Express

• Im Menü Ansichten\Layout im Abschnitt Vorschau die Option "Vorschau anzeigen" komplett deaktivieren
• Bevor Sie Nachrichten öffnen, sollten Sie den Offline-Modus aktivieren (der Symbolleiste kann ein entsprechender Button hinzugefügt werden).
• mit den obigen Einstellungen kann man suspekte Nachrichten vor dem Öffnen inspizieren, indem man die Nachricht markiert und über das Kontextmenü die Option Eigenschaften aufruft. Unter Details wird dann der gesamte Header sichtbar und über den Button Quelltext können der Inhalt und Attachments angesehen werden, ohne das es zu einer Ausführung damit verknüpfter Programme kommt.

Menü Extras\Optionen

Outlook 2000

• Benutzen Sie für Posteingang und Gelöschte Objekte Ordner nicht die Ansichtsoptionen "Vorschaufenster", sondern nur die Funktion "Autovorschau" im Menü Ansichten.
  Bevor Sie Nachrichten öffnen, sollten Sie den Offline-Modus aktivieren (der Symbolleiste kann ein entsprechender Button hinzugefügt werden).
  Mit diesen Einstellungen kann über die Markierung der Nachricht und Aufruf der Optionen im Kontextmenü der gesamte Header angezeigt werden, der Inhalt kann vor dem Öffnen über die Seitenansicht eingesehen werden (der Symbolleiste kann ein entsprechender Button hinzugefügt werden)
• Installieren Sie für Outlook 2000 das 128-Bit Update (WWW)
• Installieren Sie das Outlook 2000 Sicherheitsupdate SR-1. Voraussetzung ist die Installation des Office 2000 Updates SR-1a. Beide sind unter Microsoft Office update (WWW) erhältlich.

Menü Extras\Optionen

Allgemeines:

• Schalten Sie generell Funktionen Ihres Mail-Readers ab, die dazu dienen, HTML formatierte E-Mails zu erzeugen. In HTML E-Mails können eingebettete Scriptviren enthalten sein, HTML E-Mails führen zu größeren E-Maildateigrößen und werden als Belästigung aufgefasst.
  
  Für Outlook Express:
  unter Extras/Optionen/Senden im Abschnitt Nachrichten Senden-Format "Nur-Text" aktivieren!
  
  Für Outlook 2000:
  unter Extras/Optionen/E-Mail-Format im Abschnitt Nachrichtenformat in der Liste "Nur-Text" aktivieren!
• wenn das E-Mailprogramm eine Verschlüsselungsfunktion für das Passwort anbietet und von Ihrem Provider das Verschlüsselungsprotokoll unterstützt wird (was die meisten Provider leider nicht tun), aktivieren Sie die Option.
  Die bekanntesten Methoden sind APOP (Authenticated POP) und SPA (Secure Password Authentication).
  Daneben gibt es noch SSL oder SSH getunnelte Zugänge, die jedoch noch seltener sein werden.
• Verschlüsseln Sie Ihre private E-Mailkorrespondenz mit dem Programm PGP (Pretty Good Privacy) (WWW) oder mittels X.509 Zertifikaten nach dem S/MIME Standard, die von den Trustcentern TC TrustCenter (WWW) und Web.De TrustCenter (WWW) für E-mailprogramme, die nach dem S/MIME Standard verschlüsseln, erhältlich sind.
  Bei S/MIME ist nur zu beachten, dass es zwei verschiedene Versionen gibt:
  Die "sichere" Version arbeitet mit 1024-bit RSA und 128-bit RC-2 Keys, findet sich aber nur in U.S.-Versionen.
  Die "unsichere" Version arbeitet nur mit 512-bit RSA und 40-bit RC-2 oder 64-bit DES Keys und findet sich in allen Export-Versionen der E-Mailprogramme, die in Europa eingesetzt werden, darunter auch im Microsoft Outlook (Express) oder Lotus Notes Mailclient.
  Wenn Sie also S/MIME einsetzen wollen, besorgen Sie sich eine U.S. Version Ihres E-Mail Programms, installieren ein sicheres, europäisches S/MIME Plug-In von CryptoEx (WWW), MailSecure (WWW) und TrustedMIME (WWW) oder setzen Sie statt S/MIME besser PGP ein.
  Setzen Sie keine E-mailprogramme ein, benutzen Sie einen webbasierten E-Maildienst mit Verschlüsselung wie HushMail (WWW)
• Öffnen Sie keine E-Mail im HTML-Format, da in der HTML-Datei gefährliche Skriptaufrufe enthalten sein können. Aktivieren Sie speziell keine eingebetteten Links, die auf Grafiken verweisen, da hierüber eine Technik (WWW) angewendet werden kann, über die zuvor beim Anwender gespeicherte Cookies an einen Server zurückübertragen und die E-Mailadresse den bereits gespeicherten Cookieinformationen auf dem Server hinzugefügt werden können.
• Vermeiden Sie die Versendung von virtuellen Visitenkarten (vCards) und automatischen Lesebestätigungen.
  Nicht nur, weil Sie dadurch eine Menge persönlicher Details preisgeben (z. B. kann es für bestimmte Personen durchaus interessant sein zu erfahren, dass Sie eine E-Mail nicht lesen können, weil sie von-bis im Urlaub sind.), sondern weil es in öffentlichen Bereichen als Belästigung aufgefasst wird - in geschlossenen oder geschäftlichen Benutzerkreisen mögen diese Funktionen angebracht sein.
  
  Für Outlook Express:
  unter Extras/Optionen/Erstellen => Visitenkarten
  unter Extras/Optionen/Bestätigungen => Keine Lesebestätigungen versenden
  
  Für Outlook 2000:
  unter Extras/Optionen/Einstellungen/E-Mail-Optionen/Verlaufoptionen (toll!) => Nie eine Antwort senden.
  Visitenkarten werden in Outlook 2000 nur an ausgewählte Empfänger versendet.
• Verwenden Sie Outlookprogramme zur Termin-, Aufgaben- und Projektplanung und benutzen Sie für E-Mail und News andere Programme

Internetzugang


Netzwerkeinrichtung in der Systemsteuerung

• maximal in der Netzwerkeinstellung den DFÜ-Adapter und das TCP/IP-Protokoll einrichten, alle weiteren Komponenten sollten entfernt werden
• den DFÜ-Adapter nur an das TCP/IP-Protokoll binden
• ist in den Eigenschaften/Erweitert die Option "Protokoll-Datei erstellen" aktiviert, sollte man sich darüber im klaren sein, dass in der Datei c:\windows\ppplog.txt das Einwahlpasswort im Klartext abgelegt wird
• in den Eigenschaften des TCP/IP-Protokolls die Option "NetBIOS über TCP/IP" deaktivieren
• Deaktivieren Sie die Datei- und Druckerfreigabe, sollte die Funktion aktiviert sein.

Konfiguration der Verbindung im DFÜ-Netzwerk

• Installieren Sie das Microsoft Windows 98 Dial-Up Networking Security Upgrade (WWW), das die Verschlüsselungsmöglichkeiten beim Verbindungsaufbau erweitert.
• Öffnen Sie das DFÜ-Netzwerk und rufen Sie die Eigenschaften Ihrer Verbindung auf
• unter Servertypen aktivieren Sie "Require encrypted password" und wenn möglich "Require data encryption"
• verzichten Sie auf die Bequemlichkeit, Ihr Einwahlpasswort im Verbindungsdialog dauerhaft zu speichern, sondern geben Sie es bei jeder Verbindung neu ein

Datenverkehr

• Browsen Sie nur über ein eigenes Proxyprogramm wie Junkbuster, Muffin oder ByProxy.
  Alternativ kann man auch webbasierte Anonymservices wie Anonymizer (ohne SSL) oder Rewebber (mit SSL/Javascript) benutzen, was eventuell mit Geschwindigkeitseinbussen verbunden ist.
  Meine Junkbuster-Anleitung mit deutschen Konfigurationsdateien (WWW) führt Sie in die Verwendung von Junkbuster ein
• Löschen Sie in regelmäßigen Abständen oder automatisch mit Hilfe eines Tools den Cache Ihres Browsers, da über Webseiten mit ActiveX und/oder Java(script) der Inhalt der Caches ausgelesen werden kann.
  Leerung des Browsercaches:
  - Internet Explorer: Menü Extras/Internetexplorer/Allgemein/Temporäre Internetdateien/Dateien löschen (manuell)
  Menü Extras/Internetexplorer/Erweitert/Sicherheit/Leeren des Ordners "Temporary Internet Files" beim Schließen des Browsers (automatisch)
  - Netscape: Menü Edit/Preferences/Advanced/Cache/Clear Disk Cache
• der gesamte Datenverkehr sollte über einen Hardware oder Softwarefirewall wie z. B. @Guard laufen.
  Weitere Programme dieser Art sind Wingate, ByProxy, HotLava, NetProxy, Spagetti Proxy usw.
  In dem Firewall werden dann die Dienste und Protokolle, die Browser, E-mail, News und FTP Clients benötigen, zugelassen, alle anderen werden gesperrt.
  Zusätzlich bietet sich die Installation von Intrusion Detection Programmen wie z. B. BlackICE Defender an, also Programmen, die auf die Entdeckung von Einbruchsversuchen im Anfangsstadium spezialisiert sind (z. B. kündigen sich manche Hackversuche durch intensives Testen der Ports - Port Probing & Port Scanning - an) und versuchen, die Herkunft eines Einbruchsversuches zurückzuverfolgen.
  Auch für diese Programme gilt: Regelmässige Updates sind Pflicht.
• eine Installation von Remote Control Programmen wie Netbus, Back Orifice oder Sub7 ist nicht ratsam, bzw. sollte versierten Anwendern vorbehalten sein.
  Ergänzend dazu sollten regelmässige Checks mit Virenscannern durchgeführt werden, die geeignet sind, Servereinträge dieser Remote Control Programme zu entdecken
• zur Kontrolle kann man das in Windows integrierte Protokollprogramm Netstatus mit "netstat -an 30" aufrufen
• bei Formularen im WWW geben Sie möglichst nicht Ihren Realnamen plus vollständiger Adresse an, benutzen Sie "gefälschte Angaben".
  Bei Formularen, die persönliche Angaben oder sensitive Daten (wie Konto- oder Kreditkartennummern) voraussetzen oder benötigen, muss eine SSL 128-bit Verschlüsselung vom Webserver angeboten werden.
  Das ist z. B. zutreffend bei Warenkauf- oder Onlinebankingtransaktionen (bei denen eigentlich zusätzlich HBCI (WWW) nach dem Home Banking Computer Interface Standard zum Einsatz kommen sollte - fordern Sie Ihre Online Bank auf, HBCI einzuführen)
• Verwenden Sie im Usenet, Chat oder WWW-Foren nicht Ihren richtigen Realnamen, sondern ein Pseudonym mit Vor- und Nachnamen, dass aber permanent gleichlautend bleibt, damit andere Usenetteilnehmer Ihre Postings trotzdem eindeutig identifizieren können. Fügen Sie auch keine sonstigen, persönlichen Identifikationsmerkmale wie Telefon-Nr. oder Adresse in Ihre Beiträge oder Signaturen ein.
  Hinweis: Der Gebrauch von Pseudonymen verstößt gegen die Netiquette, nach der Realnamen im Usenet verwendet werden sollen.
• schalten Sie in Ihrem Newsreaderprogramm die "X-No-Archive" Option ein, die verhindert, dass bei einigen Suchmaschinen und Newsgroupinhaltesammlern Ihre Postings nicht archiviert werden, sofern Sie nicht wünschen, dass Ihre Postings einfach und breit gestreut über Archivierungsdienste wieder abgerufen werden können.
• Verwenden Sie bei Postings, deren Inhalt Sie kompromittieren könnte, ein Remailerprogramm wie Private Idaho (WWW) oder Jack B. Nymble
• Überprüfen Sie Ihre Konfiguration, Firewall- und Filterprogramme auf Sicherheitslöcher und offene Ports über Checkservices, die im WWW angeboten werden, z. B. bei HackerWacker (WWW), dem Nessus Security Scanner (WWW)

Lokale Daten

• Verwenden Sie ein Dateilöschprogramm wie Kremlin, dass bei Beendigung Ihrer Windows-Sitzung die Inhalte der Auslagerungsdatei, ausgewählter Verzeichnisse und des freien Datenträgerplatzes löscht und überschreibt.
• Benutzen Sie zum sicheren Löschen von Dateien besondere Löschprogramme wie Eraser, die Dateien löschen und mehrmals überschreiben und überprüfen Sie bei erstmaligem Einsatz obiger Programme das Ergebnis mit einem Programm wie Directory Snoop.
• Verlassen Sie sich nicht auf die windowseigene Löschfunktion, da diese nur den Verzeichniseintrag der Datei löscht, nicht aber die Datei selbst und so schnell wieder hergestellt werden kann.
• Jedes Programm und jedes E-Mail Attachement aus dem Internet, einer Diskette oder einer CD ist einer genauen Überprüfung durch mindestens zwei Virenscanner zu unterziehen. In Daten unbekannter Herkunft können sich sowohl zerstörerische Skriptaufrufe, Virenprogramme als auch Trojaner (also Programme die verdeckt arbeiten) befinden.
  Suchen Sie VIRUS-ALARM auf.
• Installieren Sie alle Programme selbst, nach Fremdeinwirkung durch Drittpersonen sollten Sie den Rechner mit Virenscannern überprüfen.
• Speichern Sie sensible Daten in verschlüsselter Form auf Festplatten und Wechseldatenträgern.
  Das können Programme sein, welche die einzelne Dateien und ganze Verzeichnisse verschlüsseln oder verschlüsselte Partitionen und Containerdateien erzeugen.
• Passwörter, PINs, TANS u.a sollten nie in Klartext aufgeschrieben oder auf Datenträgern abgelegt werden.
  Benutzen Sie hierfür Datensafeprogramme wie Password Safe, so dass Sie sich für viele Passwörter nur ein Passwort merken müssen
• Cachingfunktionen (d. h. das Zwischenspeichern um eine erneute Eingabe zu verhindern) in Programmen, die Passwörter verwenden, sollten abgeschaltet werden, da ggf. die Passwörter in Klartext auf den Datenträger ausgelagert und damit ausgelesen werden können.
• Verwenden Sie Passwörter mit einer Mindestlänge von 20 Zeichen, deren Abfolge willkürlich aus alphanumerischen- und Sonder-Zeichen besteht wie z. B. "Haj//_90Zau$_o"

Links

• NT Security Net (WWW)
  aktuelle Bugs und Security Holes, Lösungen und Patches für Windows NT und Windows 95/98
• Microsoft IE Security (WWW)
  amerikanische Site mit aktuellen Patches und Securityfixes für den Internet Explorer
• Deutsche IE Sicherheits Page (WWW)
• Netscape Security Notes (WWW)
  Sicherheitsupdates für Netscape
• security focus (WWW)
  aktuelle Meldungen, Securitypatches und -bugfixes
• Internet explorer crashing and expoits (WWW)
  was passieren kann, wenn man den IE nicht absichert
• Accidental Trojan Horses (WWW)
  was passieren kann, wenn man den IE nicht absichert
• CompuServe Cookie FAQ (WWW)  
• Microsoft Security Advisor Program (WWW)
• Shields UP! (WWW)
  erste Tests, um zu kontrollieren, ob der Rechner abgesichert ist
• HackerWhacker Online-Test (WWW)

Zurück zur Hauptseite