Windows-Security
Auch wenn es unmöglich ist, unter Windows 98 die gleiche Qualität von Sicherheit herzustellen wie bei Unix- oder Linuxsystemen und Windows NT, gibt es doch einige Mittel und Regeln, die man einsetzen und beachten sollte um den Zeit- und Kostenaufwand des Angreifern zumindest maximal zu erhöhen.
Betriebssystem
Installation
- Bei der Installation von Windows sollte man einen anderen Verzeichnisnamen als "c:\windows" wählen
- Plazieren Sie Ihren PC so, dass keine Einsicht auf den Monitor von Fenstern oder von anwesenden Personen möglich ist
- Verwenden Sie ggf. zusätzliche Zugangschutzsysteme wie Chipkarten und Floppylaufwerkschlösser.
Anmerkung: "Fingerprint" Sensoren, die an den PC angeschlossen werden oder in der Tastatur integriert, sind unsicheres Spielzeug.
Auf dem letzten Hackercamp 1999 des Chaos Computer Club (WWW) wurden alle auf dem Camp verfügbaren Fingerprintsensoren durch Wachsabdrucke und Folien getäuscht.
Der CCC geht davon aus, dass alle erhältlichen Sensoren durch entsprechende Methoden zu täuschen sind.
Auch biometrische Gesichtserkennungsprogramme (Identifikationsüberprüfung über das Scannen der Gesichtsgeometrie) sind noch sehr fehleranfällig und garantieren in keinster Weise einen 100% Zugangsschutz. - Schalten Sie die Auto-Start Funktionen für Ihr CD-ROM und/oder CD-Brenner unter Systemsteuerung/System/Geräte-Manager/CD-ROM "Automatische Benachrichtigung beim Wechsel" aus und folgen Sie den Anweisungen für Tweak UI, denn auch über eine CD können Programme automatisch gestartet werden.
Deinstallationen
- Deinstallieren Sie den Personal Web Server, solange Sie nicht vorhaben, anderen Benutzern einen Zugang zu Ihrem Rechner einrichten zu wollen: Start=>Einstellungen=>Software=>Windows Setup=>Internet Programme=>Personal Web Server
- Deinstallieren Sie den DFÜ-Server, solange Sie nicht vorhaben, anderen Benutzern einen Zugang zu Ihrem Rechner einrichten zu wollen:
Start=>Einstellungen=>Software=>Windows Setup=>Verbindungen=>DFÜ-Server - Deinstallieren Sie den Windows Scripting Host, der für die Ausführung von Visual Basic Scripts verantwortlich ist (und für VBS basierte Viren), solange sie nicht auf einem netzunabhängigen PC VBS für Automatisierungsaufgaben nutzen wollen:
Start=>Einstellungen=>Software=>Windows Setup=>Zubehör=>Windows Scripting Host
Startverhalten
- im BIOS die Startreihenfolge so abändern, dass nur von C gebootet wird, die Einstellung "Wechseldatenträger,C" ist zu vermeiden
- sichern sie das BIOS mit einem Passwort (was nicht verhindert, dass man es nicht doch auslesen oder deaktivieren könnte)
- wenn der BIOS Baustein zum Updaten und Auslesen per Jumper mit einem Schreibschutz versehen werden kann, aktivieren Sie ihn
- Windows sollte direkt mit der Oberfläche (Desktop) starten, ohne einer verzögerten Anzeige des Auswahlmenüs oder der Funktionstasten.
Am einfachsten erreicht man das mittels des Tweak UI Tools
Tweak UI Sicherheits-Optionen
IE 4
Clear document, run, typed-URL history on exit
Boot
Function keys available abschalten
Start GUI automatically einschalten
Paranoia
Clear Internet Explorer history at logon
Play Data-CD's automatically abschalten
- Benutzen Sie einen Bildschirmschoner mit Passwortfunktion
- Installieren Sie ein Programm, das sofort nach dem Start der Oberfläche eine Passworteingabe verlangt, bevor der Desktop frei gegeben wird, bzw. ein Programm wie Steganos oder das Freewaretool DesktopShield (WWW), das eine automatische Passwortfunktion beinhaltet.
Zusätzlich wird in der Systemsteuerung/Kennwörter die Option Für alle Benutzer dieses Computers gelten dieselben Vorgaben und Desktopeinstellungen eingeschaltet.
Mit diesen Einstellungen muss der Rechner geöffnet und entweder der BIOS Baustein oder die Festplatte ausgebaut oder das CMOS RAM durch Jumperumsetzung geleert werden, um ohne Passwort an Daten zu gelangen.
Letztendlich erreicht man unter Windows 95/98 einen wirksamen Schutz sensibler Daten aber nur durch kryptografisch verschlüsselte Daten oder Partitionen, da Windows 95/98 mit keinem kryptografischen Dateisystem ausgestattet ist.
Programme wie Blowfish Advanced (WWW), ScramDisk (WWW) oder E4M (WWW) bieten diese Möglichkeiten.
Ein Wort zu den vielen Pseudosicherheitstools, die eine Passwortabfrage vor den Startvorgang schalten: Ich habe noch kein Tool auf dem Shareware- und Freewaremarkt gefunden, dass sich nicht umgehen ließe.
Eine Ausnahme stellt Safe Guard (WWW) dar, das einen wirksamen Zugangsschutz für Windows 98 und NT Systeme bieten soll.
Browser
Die hier angesprochenen Hinweise wenden sich an Einzelplatzbenutzer und nicht an Benutzer, die sich innerhalb eines Netzwerkes befinden.
Dort wird der Systemadministrator geeignete Sicherheitsmassnahmen getroffen haben.
Die hierbei verwendeten Browser sind der Internetexplorer 5.0, Opera 3.62 (englisch) und der Netscape Communicator 4.7 (englisch)
Internet Explorer
Optionen
Menü Extras\Internetoptionen | |
unter Extras\Internetoptionen\Sicherheit\Zone "Internet" | |
die hier vorgeschlagenen Einstellungen sollten erst einmal für alle Webseiten (Zone "Internet") gelten. Nur die URLs einzelner Websites, die Sie mit Überlegung wirklich als vertrauenswürdig einschätzen (wie z. B. der eigenen Onlinebank) und bestimmte Funktionen benötigen, können Sie in die Zone "Vertrauenswürdige Sites" eingeben. Dort können dann die meisten Funktionen weniger restriktiv eingestellt werden. | |
ActiveX-Steuerelemente und Plugins | |
ActiveX-Steuerelemente sicher | Deaktivieren |
ActiveX-Steuerelemente unsicher | Deaktivieren |
ActiveX-Steuerelemente und Plugins ausführen | Deaktivieren |
Download signierte ActiveX-Steuerelemente | Deaktivieren |
Download unsignierte ActiveX-Steuerelemente | Deaktivieren |
Benutzerauthentifizierung | |
Anmeldung | Nach Benutzername und |
Cookies | |
gespeicherte Cookies | Deaktivieren |
nichtgespeicherte Cookies | Deaktivieren |
Download | |
Datei | Aktivieren |
Schriftart | Aktivieren |
Java | |
Java-Einstellungen | Benutzerdefiniert unter Button Java Einstellungen |
Für die Zone: Eingeschränkte Sites sollte für Java Hohe Sicherheit gelten, bzw. in den benutzer-definierten Einstellungen die Option Bestätigung für die meisten Einstellungen gewählt werden. Abgestuft dazu können für die Zone: Vertrauenswürdige Sites Aktive Inhalte aktiviert und Java auf niedrige Sicherheit eingestellt werden, bzw. die meisten benutzerdefinierten Java-Einstellungen aktiviert werden
- Dieses Privileg sollte den wenigsten Websites zuteil werden! | |
Scripting | |
Active Scripting | Deaktivieren |
Scripting von Java-Applets | Deaktivieren |
Verschiedenes | |
Datenquellen über Domänengrenzen | Deaktivieren |
Dauerhaftigkeit der Benutzerdaten | Deaktivieren |
Installation von Desktopobjekten | Deaktivieren |
Programme...IFRAME starten | Deaktivieren |
Subframes zwischen verschiedenen Domänen... | Deaktivieren |
Unverschlüsselte Formulardaten | Eingabeaufforderung |
Ziehen, Ablegen, Kopieren, Einfügen von Dateien | Eingabeaufforderung |
Zugriffsrechte für Softwarechannel | Hohe Sicherheit |
unter Extras\Internetoptionen\Erweitert | |
Browsing | |
Automatische Überprüfung auf Aktualisierungen | Deaktivieren |
Installation auf Anfrage aktivieren | Deaktivieren |
Zählen der übertragenen Seiten | Deaktivieren |
Java | |
Java-Protokollierung | Aktivieren |
Sicherheit | |
Auf zurückgezogene Zertifikate überprüfen | Aktivieren |
Bei ungültigen Site-Zertifikaten warnen | Aktivieren |
Beim Wechsel...warnen | Aktivieren |
PCT 1.0 verwenden | Deaktivieren |
Profil-Assistent aktivieren | Deaktivieren |
SSL 2.0 verwenden | Deaktivieren (muss bei Servern, |
SSL 3.0 verwenden | Aktivieren |
TLS 1.0 verwenden | Aktivieren |
Verschlüsselte Seiten nicht... | Aktivieren |
Warnen, falls Formulardaten... | Aktivieren |
unter Extras\Internetoptionen\Inhalt | |
Persönliche Informationen - AutoVervollständigen | |
Webadressen | kann aktiviert werden |
Formulare | sollte deaktiviert werden |
Benutzernamen und Kennwörter | Deaktivieren |
unter Extras\Internetoptionen\Verbindungen | |
Vor dem Wählen Systemsicherheit prüfen | Aktivieren |
DFÜ-Einstellungen\Einstellungen | |
Automatische Suche der Einstellungen | Deaktivieren |
Automatisches Konfigurationsskript | Deaktivieren |
Proxyserver verwenden | Aktivieren |
im Menü Erweitert nun die IP-Adresse und die Portnummer des favorisierten Proxyservers für HTTP und FTP eingeben. Bei Verwendung von Junkbuster als IP-Adresse 127.0.0.1 und als Portnummer 8000 für HTTP und FTP eingeben. | |
Kennwort | nicht angeben |
LAN-Einstellungen | |
hier die Einstellungen aus DFÜ-Einstellungen\Einstellungen wiederholen |
Sonstige Hinweise
- Besorgen Sie sich das 128-bit Update für IE 5.0 (WWW) für IE 5.01 (WWW) oder hier (WWW), damit der IE mit Servern, die 128-bit Verschlüsselung anbieten, eine 128-bit verschlüsselte Verbindung aufbauen kann
- Besuchen Sie regelmäßig die deutsche IE Security Seite (WWW) und ergänzen Ihren IE mit den aktuellen Securitypatches
- TecChannel Artikelserie: Internet-Explorer Sicherheitslücken (WWW)
Opera
Optionen
Menü Preferences | |
unter Preferences\Generic | |
Personal Information | Nichts oder gefälschte Angaben eintragen |
Preferences\Advanced\Logging | |
Enable Cookies | Deaktivieren |
Enable Referrer | Deaktivieren |
Preferences\Multimedia | |
Enable Plugins | Deaktivieren |
Enable Scripting Languages | Deaktivieren |
Achtung: Einige Webpages können dann nicht mehr richtig dargestellt , bzw. für sie müssen die Optionen wieder freigeschaltet werden | |
Preferences\Proxy Servers | |
hier die IP-Adresse und die Portnummer des favorisierten Proxyservers für HTTP und FTP eingeben. Bei Verwendung von Junkbuster als IP-Adresse 127.0.0.1 und als Portnummer 8000 für HTTP und FTP eingeben. | |
Preferences\Security | |
Security Protocols | SSL v2, SSL v3 und TLS 1.0 aktivieren |
Configure v2... | |
128-bit C2 (RSA/MD5) | Aktivieren |
128-bit 3-DES (RSA/MD5) | Aktivieren |
128-bit C4 (RSA/MD5) | Aktivieren |
alle anderen ciphers sind als unsicher anzusehen und nur zu aktivieren, wenn ein Zugang sonst nicht möglich ist | |
Configure v3 and TLS... | |
128-bit 3-DES (RSA/MD5) | Aktivieren |
128-bit C4 (RSA/MD5) | Aktivieren |
128-bit C4 (RSA/SHA) | Aktivieren |
alle anderen ciphers sind als unsicher anzusehen und nur zu aktivieren, wenn ein Zugang sonst nicht möglich ist | |
Show an alert before | Submitting a form insecurely aktivieren |
Netscape
Optionen
Menü Edit\Preferences | |
unter Edit\Preferences\Navigator\Smart Browsing | |
What´s related | Deaktivieren |
Internet Keywords | Deaktivieren |
Edit\Preferences\Identity | |
Your name | keinen Realnamen angeben |
E-mail adress | keine Adresse angeben oder Adresse von |
Edit\Preferences\Advanced | |
Enable Java | Deaktivieren |
Enable Javascript | Deaktivieren |
Enable AuotInstall | Deaktivieren |
Disable Cookies | Aktivieren |
Warn me, before accepting... | Aktivieren |
Edit\Preferences\Advanced\Proxies | |
Manual proxy configuration | Aktivieren |
unter View nun die IP-Adresse und die Portnummer des favorisierten Proxyservers für HTTP und FTP eingeben. Bei Verwendung von Junkbuster als IP-Adresse 127.0.0.1 und als Portnummer 8000 für HTTP und FTP eingeben. | |
Menü Window\Security Info | |
Bevor Sie die hier vorgeschlagenen Einstellungen vornehmen sollten Sie sich das Security Programm Fortify (WWW) besorgen und installieren. Fortify ergänzt Netscape um Kryptoalgorithmen, welche die normalen Exportversionen von Netscape nicht enthalten | |
Security Info\Navigator | |
Show a warning before | |
Leaving an encrypted site | Aktivieren |
Sending unencrypted information | Aktivieren |
Advanced Security (SSL) Configuration | |
Enable SSL 2 | Aktivieren |
Enable SSL 3 | Aktivieren |
Configure SSL 2 | |
RC 4 with 128-bit key | Aktivieren |
RC 2 with 128-bit key | Deaktivieren |
Triple DES with 168-bit key | Aktivieren |
alle anderen ciphers sind als unsicher anzusehen und nur zu aktivieren, wenn ein Zugang sonst nicht möglich ist | |
Configure SSL 3 | |
RC4 128-bit key and MD 5 MAC | Aktivieren |
FIPS 140-1 triple DES and SHA-1 MAC | Aktivieren |
Triple DES 168-bit key and SHA-1 MAC | Aktivieren |
alle anderen ciphers sind als unsicher anzusehen und nur zu aktivieren, wenn ein Zugang sonst nicht möglich ist | |
Security Info\Cryptographic Modules | |
das Modul markieren, "View" anklicken, beide Module markieren und unter "Config" alle ciphers aktivieren |
- Im Menü Ansichten\Layout im Abschnitt Vorschau die Option "Vorschau anzeigen" komplett deaktivieren
- Bevor Sie Nachrichten öffnen, sollten Sie den Offline-Modus aktivieren (der Symbolleiste kann ein entsprechender Button hinzugefügt werden).
- mit den obigen Einstellungen kann man suspekte Nachrichten vor dem Öffnen inspizieren, indem man die Nachricht markiert und über das Kontextmenü die Option Eigenschaften aufruft. Unter Details wird dann der gesamte Header sichtbar und über den Button Quelltext können der Inhalt und Attachments angesehen werden, ohne das es zu einer Ausführung damit verknüpfter Programme kommt.
Menü Extras\Optionen
unter Extras\Optionen\Lesen | |
Nachrichten lesen | |
Nachrichten in der Vorschau automatisch downloaden | Deaktivieren |
unter Extras\Optionen\Sicherheit | |
Sicherheitszonen | |
Hier die Zone aktivieren, die Sie gemäss den Hinweisen für den Internet Explorer (siehe oben) am restriktivsten konfiguriert haben (nach dieser Anleitung wäre das die Zone "Internet") | |
Sichere E-Mails Diese Einstellungen beziehen sich auf die S/MIME - X.509 Verschlüsselung & Signierung, alternativ kann über ein PGP Plug-In auch per PGP verschlüsselt & signiert werden. | |
Weitere Einstellungen/ | Den "Hinweis bei Nachrichten m. e. |
Outlook 2000
- Benutzen Sie für Posteingang und Gelöschte Objekte Ordner nicht die Ansichtsoptionen "Vorschaufenster", sondern nur die Funktion "Autovorschau" im Menü Ansichten.
Bevor Sie Nachrichten öffnen, sollten Sie den Offline-Modus aktivieren (der Symbolleiste kann ein entsprechender Button hinzugefügt werden).
Mit diesen Einstellungen kann über die Markierung der Nachricht und Aufruf der Optionen im Kontextmenü der gesamte Header angezeigt werden, der Inhalt kann vor dem Öffnen über die Seitenansicht eingesehen werden (der Symbolleiste kann ein entsprechender Button hinzugefügt werden) - Installieren Sie für Outlook 2000 das 128-Bit Update (WWW)
- Installieren Sie das Outlook 2000 Sicherheitsupdate SR-1. Voraussetzung ist die Installation des Office 2000 Updates SR-1a. Beide sind unter Microsoft Office update (WWW) erhältlich.
Menü Extras\Optionen
unter Extras\Optionen\Sicherheit | |
Inhalt sichern | |
Hier die Zone aktivieren, die Sie gemäß den Hinweisen für den Internet Explorer (siehe oben) am restriktivsten konfiguriert haben (nach dieser Anleitung wäre das die Zone "Internet") | |
E-Mail sichern Diese Einstellungen beziehen sich auf die S/MIME - X.509 Verschlüsselung & Signierung, alternativ kann über ein PGP Plug-In auch per PGP verschlüsselt & signiert werden. | |
Standardeinstellungen/ | unter Sicherheitsformat für Nachrichten |
Allgemeines:
- Schalten Sie generell Funktionen Ihres Mail-Readers ab, die dazu dienen, HTML formatierte E-Mails zu erzeugen. In HTML E-Mails können eingebettete Scriptviren enthalten sein, HTML E-Mails führen zu größeren E-Maildateigrößen und werden als Belästigung aufgefasst.
Für Outlook Express:
unter Extras/Optionen/Senden im Abschnitt Nachrichten Senden-Format "Nur-Text" aktivieren!
Für Outlook 2000:
unter Extras/Optionen/E-Mail-Format im Abschnitt Nachrichtenformat in der Liste "Nur-Text" aktivieren! - wenn das E-Mailprogramm eine Verschlüsselungsfunktion für das Passwort anbietet und von Ihrem Provider das Verschlüsselungsprotokoll unterstützt wird (was die meisten Provider leider nicht tun), aktivieren Sie die Option.
Die bekanntesten Methoden sind APOP (Authenticated POP) und SPA (Secure Password Authentication).
Daneben gibt es noch SSL oder SSH getunnelte Zugänge, die jedoch noch seltener sein werden. - Verschlüsseln Sie Ihre private E-Mailkorrespondenz mit dem Programm PGP (Pretty Good Privacy) (WWW) oder mittels X.509 Zertifikaten nach dem S/MIME Standard, die von den Trustcentern TC TrustCenter (WWW) und Web.De TrustCenter (WWW) für E-mailprogramme, die nach dem S/MIME Standard verschlüsseln, erhältlich sind.
Bei S/MIME ist nur zu beachten, dass es zwei verschiedene Versionen gibt:
Die "sichere" Version arbeitet mit 1024-bit RSA und 128-bit RC-2 Keys, findet sich aber nur in U.S.-Versionen.
Die "unsichere" Version arbeitet nur mit 512-bit RSA und 40-bit RC-2 oder 64-bit DES Keys und findet sich in allen Export-Versionen der E-Mailprogramme, die in Europa eingesetzt werden, darunter auch im Microsoft Outlook (Express) oder Lotus Notes Mailclient.
Wenn Sie also S/MIME einsetzen wollen, besorgen Sie sich eine U.S. Version Ihres E-Mail Programms, installieren ein sicheres, europäisches S/MIME Plug-In von CryptoEx (WWW), MailSecure (WWW) und TrustedMIME (WWW) oder setzen Sie statt S/MIME besser PGP ein.
Setzen Sie keine E-mailprogramme ein, benutzen Sie einen webbasierten E-Maildienst mit Verschlüsselung wie HushMail (WWW) - Öffnen Sie keine E-Mail im HTML-Format, da in der HTML-Datei gefährliche Skriptaufrufe enthalten sein können. Aktivieren Sie speziell keine eingebetteten Links, die auf Grafiken verweisen, da hierüber eine Technik (WWW) angewendet werden kann, über die zuvor beim Anwender gespeicherte Cookies an einen Server zurückübertragen und die E-Mailadresse den bereits gespeicherten Cookieinformationen auf dem Server hinzugefügt werden können.
- Vermeiden Sie die Versendung von virtuellen Visitenkarten (vCards) und automatischen Lesebestätigungen.
Nicht nur, weil Sie dadurch eine Menge persönlicher Details preisgeben (z. B. kann es für bestimmte Personen durchaus interessant sein zu erfahren, dass Sie eine E-Mail nicht lesen können, weil sie von-bis im Urlaub sind.), sondern weil es in öffentlichen Bereichen als Belästigung aufgefasst wird - in geschlossenen oder geschäftlichen Benutzerkreisen mögen diese Funktionen angebracht sein.
Für Outlook Express:
unter Extras/Optionen/Erstellen => Visitenkarten
unter Extras/Optionen/Bestätigungen => Keine Lesebestätigungen versenden
Für Outlook 2000:
unter Extras/Optionen/Einstellungen/E-Mail-Optionen/Verlaufoptionen (toll!) => Nie eine Antwort senden.
Visitenkarten werden in Outlook 2000 nur an ausgewählte Empfänger versendet. - Verwenden Sie Outlookprogramme zur Termin-, Aufgaben- und Projektplanung und benutzen Sie für E-Mail und News andere Programme
Internetzugang
Netzwerkeinrichtung in der Systemsteuerung
- maximal in der Netzwerkeinstellung den DFÜ-Adapter und das TCP/IP-Protokoll einrichten, alle weiteren Komponenten sollten entfernt werden
- den DFÜ-Adapter nur an das TCP/IP-Protokoll binden
- ist in den Eigenschaften/Erweitert die Option "Protokoll-Datei erstellen" aktiviert, sollte man sich darüber im klaren sein, dass in der Datei c:\windows\ppplog.txt das Einwahlpasswort im Klartext abgelegt wird
- in den Eigenschaften des TCP/IP-Protokolls die Option "NetBIOS über TCP/IP" deaktivieren
- Deaktivieren Sie die Datei- und Druckerfreigabe, sollte die Funktion aktiviert sein.
Konfiguration der Verbindung im DFÜ-Netzwerk
- Installieren Sie das Microsoft Windows 98 Dial-Up Networking Security Upgrade (WWW), das die Verschlüsselungsmöglichkeiten beim Verbindungsaufbau erweitert.
- Öffnen Sie das DFÜ-Netzwerk und rufen Sie die Eigenschaften Ihrer Verbindung auf
- unter Servertypen aktivieren Sie "Require encrypted password" und wenn möglich "Require data encryption"
- verzichten Sie auf die Bequemlichkeit, Ihr Einwahlpasswort im Verbindungsdialog dauerhaft zu speichern, sondern geben Sie es bei jeder Verbindung neu ein
Datenverkehr
- Browsen Sie nur über ein eigenes Proxyprogramm wie Junkbuster, Muffin oder ByProxy.
Alternativ kann man auch webbasierte Anonymservices wie Anonymizer (ohne SSL) oder Rewebber (mit SSL/Javascript) benutzen, was eventuell mit Geschwindigkeitseinbussen verbunden ist.
Meine Junkbuster-Anleitung mit deutschen Konfigurationsdateien (WWW) führt Sie in die Verwendung von Junkbuster ein - Löschen Sie in regelmäßigen Abständen oder automatisch mit Hilfe eines Tools den Cache Ihres Browsers, da über Webseiten mit ActiveX und/oder Java(script) der Inhalt der Caches ausgelesen werden kann.
Leerung des Browsercaches:
- Internet Explorer: Menü Extras/Internetexplorer/Allgemein/Temporäre Internetdateien/Dateien löschen (manuell)
Menü Extras/Internetexplorer/Erweitert/Sicherheit/Leeren des Ordners "Temporary Internet Files" beim Schließen des Browsers (automatisch)
- Netscape: Menü Edit/Preferences/Advanced/Cache/Clear Disk Cache - der gesamte Datenverkehr sollte über einen Hardware oder Softwarefirewall wie z. B. @Guard laufen.
Weitere Programme dieser Art sind Wingate, ByProxy, HotLava, NetProxy, Spagetti Proxy usw.
In dem Firewall werden dann die Dienste und Protokolle, die Browser, E-mail, News und FTP Clients benötigen, zugelassen, alle anderen werden gesperrt.
Zusätzlich bietet sich die Installation von Intrusion Detection Programmen wie z. B. BlackICE Defender an, also Programmen, die auf die Entdeckung von Einbruchsversuchen im Anfangsstadium spezialisiert sind (z. B. kündigen sich manche Hackversuche durch intensives Testen der Ports - Port Probing & Port Scanning - an) und versuchen, die Herkunft eines Einbruchsversuches zurückzuverfolgen.
Auch für diese Programme gilt: Regelmässige Updates sind Pflicht. - eine Installation von Remote Control Programmen wie Netbus, Back Orifice oder Sub7 ist nicht ratsam, bzw. sollte versierten Anwendern vorbehalten sein.
Ergänzend dazu sollten regelmässige Checks mit Virenscannern durchgeführt werden, die geeignet sind, Servereinträge dieser Remote Control Programme zu entdecken - zur Kontrolle kann man das in Windows integrierte Protokollprogramm Netstatus mit "netstat -an 30" aufrufen
- bei Formularen im WWW geben Sie möglichst nicht Ihren Realnamen plus vollständiger Adresse an, benutzen Sie "gefälschte Angaben".
Bei Formularen, die persönliche Angaben oder sensitive Daten (wie Konto- oder Kreditkartennummern) voraussetzen oder benötigen, muss eine SSL 128-bit Verschlüsselung vom Webserver angeboten werden.
Das ist z. B. zutreffend bei Warenkauf- oder Onlinebankingtransaktionen (bei denen eigentlich zusätzlich HBCI (WWW) nach dem Home Banking Computer Interface Standard zum Einsatz kommen sollte - fordern Sie Ihre Online Bank auf, HBCI einzuführen) - Verwenden Sie im Usenet, Chat oder WWW-Foren nicht Ihren richtigen Realnamen, sondern ein Pseudonym mit Vor- und Nachnamen, dass aber permanent gleichlautend bleibt, damit andere Usenetteilnehmer Ihre Postings trotzdem eindeutig identifizieren können. Fügen Sie auch keine sonstigen, persönlichen Identifikationsmerkmale wie Telefon-Nr. oder Adresse in Ihre Beiträge oder Signaturen ein.
Hinweis: Der Gebrauch von Pseudonymen verstößt gegen die Netiquette, nach der Realnamen im Usenet verwendet werden sollen. - schalten Sie in Ihrem Newsreaderprogramm die "X-No-Archive" Option ein, die verhindert, dass bei einigen Suchmaschinen und Newsgroupinhaltesammlern Ihre Postings nicht archiviert werden, sofern Sie nicht wünschen, dass Ihre Postings einfach und breit gestreut über Archivierungsdienste wieder abgerufen werden können.
- Verwenden Sie bei Postings, deren Inhalt Sie kompromittieren könnte, ein Remailerprogramm wie Private Idaho (WWW) oder Jack B. Nymble
- Überprüfen Sie Ihre Konfiguration, Firewall- und Filterprogramme auf Sicherheitslöcher und offene Ports über Checkservices, die im WWW angeboten werden, z. B. bei HackerWacker (WWW), dem Nessus Security Scanner (WWW)
Lokale Daten
- Verwenden Sie ein Dateilöschprogramm wie Kremlin, dass bei Beendigung Ihrer Windows-Sitzung die Inhalte der Auslagerungsdatei, ausgewählter Verzeichnisse und des freien Datenträgerplatzes löscht und überschreibt.
- Benutzen Sie zum sicheren Löschen von Dateien besondere Löschprogramme wie Eraser, die Dateien löschen und mehrmals überschreiben und überprüfen Sie bei erstmaligem Einsatz obiger Programme das Ergebnis mit einem Programm wie Directory Snoop.
- Verlassen Sie sich nicht auf die windowseigene Löschfunktion, da diese nur den Verzeichniseintrag der Datei löscht, nicht aber die Datei selbst und so schnell wieder hergestellt werden kann.
- Jedes Programm und jedes E-Mail Attachement aus dem Internet, einer Diskette oder einer CD ist einer genauen Überprüfung durch mindestens zwei Virenscanner zu unterziehen. In Daten unbekannter Herkunft können sich sowohl zerstörerische Skriptaufrufe, Virenprogramme als auch Trojaner (also Programme die verdeckt arbeiten) befinden.
Suchen Sie VIRUS-ALARM auf. - Installieren Sie alle Programme selbst, nach Fremdeinwirkung durch Drittpersonen sollten Sie den Rechner mit Virenscannern überprüfen.
- Speichern Sie sensible Daten in verschlüsselter Form auf Festplatten und Wechseldatenträgern.
Das können Programme sein, welche die einzelne Dateien und ganze Verzeichnisse verschlüsseln oder verschlüsselte Partitionen und Containerdateien erzeugen. - Passwörter, PINs, TANS u.a sollten nie in Klartext aufgeschrieben oder auf Datenträgern abgelegt werden.
Benutzen Sie hierfür Datensafeprogramme wie Password Safe, so dass Sie sich für viele Passwörter nur ein Passwort merken müssen - Cachingfunktionen (d. h. das Zwischenspeichern um eine erneute Eingabe zu verhindern) in Programmen, die Passwörter verwenden, sollten abgeschaltet werden, da ggf. die Passwörter in Klartext auf den Datenträger ausgelagert und damit ausgelesen werden können.
- Verwenden Sie Passwörter mit einer Mindestlänge von 20 Zeichen, deren Abfolge willkürlich aus alphanumerischen- und Sonder-Zeichen besteht wie z. B. "Haj//_90Zau$_o"
Links
- NT Security Net (WWW)
aktuelle Bugs und Security Holes, Lösungen und Patches für Windows NT und Windows 95/98 - Microsoft IE Security (WWW)
amerikanische Site mit aktuellen Patches und Securityfixes für den Internet Explorer - Deutsche IE Sicherheits Page (WWW)
- Netscape Security Notes (WWW)
Sicherheitsupdates für Netscape - security focus (WWW)
aktuelle Meldungen, Securitypatches und -bugfixes - Internet explorer crashing and expoits (WWW)
was passieren kann, wenn man den IE nicht absichert - Accidental Trojan Horses (WWW)
was passieren kann, wenn man den IE nicht absichert - CompuServe Cookie FAQ (WWW)
- Microsoft Security Advisor Program (WWW)
- Shields UP! (WWW)
erste Tests, um zu kontrollieren, ob der Rechner abgesichert ist - HackerWhacker Online-Test (WWW)