Windows 2000 sicherer machen

Windows 2000 ist ein ziemlich sicheres Betriebssystem, wenn es richtig konfiguriert ist. Natürlich mußt du zwischen Sicherheit und Benutzbarkeit sorgsam abwägen. Die folgenden Tips haben sich in der Praxis bewährt.

Allgemeine Tips:

  • Tip 1: Arbeite nicht mit dem Admin-Account
    Das sollte sich eigentlich von selbst verstehen. Der Administrator-Account hat auf alle Dateien und Einstellungen Zugriff und ein bösartiges Programm kann das gnadenlos ausnutzen. Darum mußt du einen Extra-Account fürs normale Arbeiten anlegen. Klicke in der Systemsteuerung auf "Benutzer und Kennwörter". Mit dem Button "Hinzufügen" kannst du ein neues Benutzerkonto einrichten. Alternativ kannst du auch in der Shell lusrmgr.msc eingeben, vorausgesetzt du bist als Administrator eingeloggt (siehe hierzu auch Tip 8). Als Gruppe für deinen neuen Account "Standardbenutzer" auswählen. Und gib als Passwort bitte nicht deinen Namen, den deiner Freundin oder deines Hundes an. Eine Ziffer oder ein Großbuchstabe erhöht die Sicherheit des Passworts beträchtlich. Manchmal kann ein Passwort auch zu sicher sein - nämlich dann, wenn du dich selbst aus deinem System ausgeperrt hast!
    Diesen Account benutzt du jetzt für alle normalen Tätigkeiten. Falls am System etwas konfiguriert werden muß (das beinhaltet auch die Installation und Deinstallation von Software!), auf den Administrator-Account wechseln. Ja, das ist umständlich. Aber auch sicherer.

  • Tip 2: Deaktiviere das Ausblenden von Dateiendungen
    Vielleicht hast du schon davon gehört, daß manche Dateien so tun, als seien sie Bilder oder MP3s, und in Wirklichkeit handelt es sich um ausführbare Programme, z.B. Viren oder Trojaner. Das liegt an einer der idiotischsten Standardeinstellungen, die Microsoft je verbrochen hat. Sie sorgt dafür, daß bei bekannten Dateitypen (z.B. Word-Dokumenten) die Dateiendung (in diesem Fall "doc") nicht angezeigt wird. Dadurch wird bei Dokumenten mit zwei Endungen nur die erste, nicht aber die eigentliche Dateiendung angezeigt. Diese verknüpft die Datei aber mit dem zugehörigen Programm bzw. bestimmt, ob es sich um eine ausführbare Datei handelt. Genau dieses Trick nutzen beispielsweise fast alle bösartigen E-Mail-Viren.
    Welchen Sinn das Verstecken der Dateiendung überhaupt haben soll, ist mir bis heute nicht klar. Leider ist dies, wie gesagt, die Standardeinstellung. Ändern kannst (und solltest) du das in jedem beliebigen Ordner- oder Explorer-Fenster. Die Änderung gilt dann für alle Ordner. Klicke im Extras-Menü auf "Ordneroptionen". Im Reiter "Ansicht" mußt du nur "Dateinamenerweiterung bei bekannten Dateitypen ausblenden" deaktivieren und der Spuk hat ein Ende. Dann werden dir nämlich die vormals versteckten Dateiendungen mit angezeigt.

  • Tip 3: Deaktiviere den Gast-Account
    Dies ist standardmäßig schon der Fall. Um sicherzustellen, daß sich daran nichts geändert hat, klicke in der Systemsteuerung auf "Benutzer und Kennwörter", dann auf den "Erweitert"-Reiter. Der Button "Erweitert" führt dich zum Benutzerverwaltungs-SnapIn für die MMC. Hier befinden sich in der Baumansicht im Abschnitt "Benutzer" alle bekannten Accounts. Der Gast-Account sollte mit einem roten x markiert sein. Im Eigenschaftsdialog des Gast-Accounts ist die Checkbox "Konto ist deaktiviert" angekreuzt.

  • Tip 4: Benenne den Administrator-Account um
    Klare Sache, ein Hacker sucht immer zuerst nach dem Account mit dem Namen "Administrator". Die wahren Hacker argumentieren jetzt vielleicht, daß sie ohnehin nach der User-ID gehen. Fein! Aber warum soll man es auch den Script-Kiddies leicht machen? Also: Gehe wie im vorangegangenen Tip beschrieben in die Benutzerverwaltung und benenne den Administrator um, in irgend etwas unverfängliches.

  • Tip 5: Installiere regelmäßig die Windows Update-Hotfixes
    Jedes Betriebssystem hat Fehler. Dafür stellt der Hersteller Hotfixes bereit. Nachdem man früher Jahre auf einen Patch für ein bestimmtes Problem warten mußte, hat sich Microsoft inzwischen deutlich gebessert. Für viele Sicherheitslöcher gibt es Fixe, aber es gibt auch ein neues Problem: Sie werden schlichtweg nicht installiert. Dabei macht Microsoft das Herunterladen und Installieren dieser Hotfixes mit der Windows Update-Webseite besonders einfach. Eine Verknüpfung mit der Seite findest du auch im Startmenü. Ach so, zu einem aktuellen System gehört natürlich auch immer das jeweils aktuellste Service Pack.

  • Tip 6: Scanne dein System regelmäßig mit einem aktuellen Virenscanner
    z.B. mit AntiVir Personal Edition. Vor allem aus dem Internet heruntergesaugte Software sollte vor der Installation oder dem ersten Start durchgescannt werden. Denke insbesondere daran, die Virendatenbank regelmäßig upzudaten, am besten mehrmals pro Woche. Eine Virendatenbank von vor einem Monat nützt dir nichts!

  • Tip 7: Mache Backups!
    Eigentlich auch eine Selbstverständlichkeit, in Zeiten riesiger Festplatten aber immer schwieriger. Inzwischen reichen sogar DVDs nicht mehr für Backups aus. Also entweder gleich zwei (identische) Festplatten kaufen und auf die andere sichern (wer noch mehr Geld hat und Aufwand sparen will, kauft gleich noch einen RAID-Controller dazu), oder zumindest die wichtigsten Daten ein Mal pro Monat auf CD brennen. Zu diesen wichtigen Daten gehören alle selbsterstellten Dateien (Office-Dokumente, Quellcodes, Bilder, usw.) sowie alle Dateien, bei denen der Aufwand der Wiederbeschaffung zu hoch wäre.

  • Tip 8: Führe administrative Aufgaben in einer Root-Shell aus
    Wie? Ganz einfach. Kopiere folgende Zeile in eine Batch-Datei namens su.bat in dein Windows-Verzeichnis:
    @runas /profile /user:%computername%\<ADMIN> cmd
    Hier muß natürlich <ADMIN> durch den Namen deines Administrator-Accounts ersetzt werden. Durch Eingabe von su in einer normalen Shell startet dann nach Eingabe des richtigen Passworts eine root-Shell. Das lästige Wechseln in den Admin-Account entfällt. Programme, die hier gestartet werden, laufen mit Admin-Privilegien.

  • Tip 9: Deaktiviere das Booten von Floppy im BIOS
    Mittels Bootdisketten (und den entsprechenden Programmen darauf) lassen sich viele Sicherheitsmechanismen umgehen. Daher ist es ratsam, das Booten vom Diskettenlaufwerk im BIOS zu deaktivieren. Das Vorgehen hierfür hängt vom BIOS ab; am besten schaust du in deinem Motherboard-Handbuch nach.

  • Tip 10: Deaktiviere die AutoStart-Funktion für CD-ROMs
    Am einfachsten geht das in den Paranoia-Optionen von TweakUI, einem nützlichen Tool von Microsoft, mit dem man allerlei ansonsten nur über die Registry editierbare Systemeinstellungen ändern kann.


    • Zusätzliche Maßnahmen für Rechner in einem Netzwerk (LAN oder Internet):

  • Tip 11: Installiere eine Personal Firewall
    Hier hat sich Kerio Personal Firewall bewährt. Nach 30 Tagen deaktiviert sich in der kostenlosen Version zwar die Webfilter-Funktionalität, aber wer braucht die schon?

  • Tip 12: Öffne niemals irgendwelche Attachments in deinem Mail-Programm!
    Du bekommst regelmäßig E-Mails? Dann denke immer an diese Regel. Du solltest jede dir per E-Mail zugesandte Datei zuerst dem Virenscanner deines Vertrauens übergeben (siehe Tip 6). Wenn der nichts findest und du von dem Absender eine Datei erwartest, dann kannst du sie meinetwegen öffnen, sonst nicht! Lieber noch mal beim Absender nachfragen, was die Mail soll, als alles neuinstallieren (halb so wild, wenn du Tip 7 beachtet hast), oder schlimmer noch gleich den ganzen Rechner wegwerfen. Ja, manche Viren können dein BIOS flashen!
    Meiner Meinung nach gibt es überhaupt keinen Grund, ausführbare Attachments (also exe-Dateien, Screensaver o.ä.) zu verschicken. Daher solltest du solche "Anhängsel" mit besonderer Vorsicht genießen.
    Einer der Vorteile der bereits erwähnten Kerio-Firewall ist, daß sie in jedem Fall die direkte Ausführung solcher Attachments im Mail-Programm verhindert.

  • Tip 13: Deaktiviere unnötige Services
    Netmeeting-Remotedesktop-Freigabe, Netzwerk-DDE-Dienst, Netzwerk-DDE-Serverdienst, Remote-Registrierungsdienst und Telnet; all diese standardmäßig aktivierten Dienste haben eins gemeinsam: Sie sind nur sinnvoll, falls man Fernwartung betreiben möchte, nehmen ansonsten nur Resourcen weg und sind potentielle Sicherheitsrisiken. Also weg damit! Einfach in der Systemsteuerung auf "Verwaltung" klicken, "Dienste" auswählen und die oben aufgeführten Dienste ausschalten. Dafür im jeweiligen Eigenschaftsdialog (rechte Maustaste, Eigenschaften) den Starttyp auf "Deaktiviert" setzen.

  • Tip 14: Beschränke anonymen Zugang zu deinem Rechner
    Windows 2000 erlaubt standardmäßig den anonymen Zugriff auf bestimmte Resourcen. Dieses Verhalten ist ziemlich unsinnig. Besser ist es, den anonymen Zugriff nur dann zuzulassen, wenn dies explizit gewünscht ist.
    Das Verhalten von Windows bezüglich anonymer Zugriffe kann in den lokalen Sicherheitseinstellungen bestimmt werden. Klicke dazu als Administrator in der Systemsteuerung auf "Verwaltung", dann auf "Lokale Sicherheitsrichtlinie" oder führe in einer Root-Shell (Tip 8) das MMC-SnapIn secpol.msc aus. Unter "Lokale Richtlinien" finden sich die "Sicherheitsoptionen". Ziemlich weit unten findest du dann die Richtlinie "Weitere Einschränkungen für anonyme Verbindungen". Setze diese Richtlinie auf "Kein Zugriff ohne explizite anonyme Berechtigung".

  • Tip 15: Deaktiviere die unsichere Passwort-Verschlüsselung
    Windows 2000 speichert die Passwörter sämtlicher Benutzer nicht nur in einer sicher verschlüsselten Variante für den eigenen Bedarf, sondern für die Kompatibilität mit IBMs LAN-Manager auch in einem unsicheren Hashwert, der in unter zwei Stunden geknackt werden kann. Dieses Standardverhalten kann man getrost ausschalten, da Netzwerke mit IBM LAN-Manager heutzutage höchst selten anzutreffen sind. Dazu mußt du in die Registry. Füge unter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA einen neuen Schlüssel (nicht Wert) namens NoLMHash hinzu. Tatsächlich wird der unsichere Hashwert nicht entfernt, bevor du nicht dein Passwort änderst. Worauf wartest du noch?

    • Ursprüngliche Version: 22.06.2002 og
    Aktuelle Revision: 15.09.2005 og