So sichern Sie Windows Vista richtig ab
Sicherheit für Vista
Erzwingen Sie sichere Passwörter
Wenn es um Passwörter geht, nehmen viele Benutzer den bequemsten Weg: Sie wählen kurze, einfach zu merkende Kennwörter – am liebsten den Namen von Haustieren oder das eigene Geburtsdatum. Für Angreifer ist es eine Kleinigkeit, diese Passwörter zu erraten oder durch Ausprobieren herauszubekommen.
Administratoren sollten hier vorbeugen und den User dazu zwingen, ausreichend lange und komplexe Passwörter zu wählen sowie diese regelmäßig zu wechseln. Das können Sie über den Gruppenrichtlinien-Editor der Vista-Editionen Business, Enterprise und Ultimate erledigen. Starten Sie den Editor durch Eingabe von gpedit.msc in das Suchfeld des Startmenüs und navigieren Sie zum Ast Computerkonfiguration/Windows-Einstellungen/Sicherheitseinstellungen/Kontorichtlinien. Mit einem Doppelklick auf die einzelnen Richtlinien konfigurieren Sie diese. Zunächst sollten Sie die Richtlinie Kennwort muss Komplexitätsvoraussetzungen entsprechen aktivieren. Das verhindert, dass ein Benutzer ein Passwort wie etwa Hans wählt. Ein Kennwort wie Hans123$% würde die Vorgabe hingegen erfüllen und wäre erlaubt.
Zudem bestimmen Sie über Minimale Kennwortlänge, aus wie vielen Zeichen das Passwort mindestens bestehen muss. Ein guter Wert ist 8. Admins, die die Sicherheit noch höher schrauben wollen, regeln dies über die Richtlinien Maximales Kennwortalter sowie Kennwortchronik erzwingen. Damit bestimmen Sie, nach wie vielen Tagen der User ein neues Kennwort vergeben muss und dass dieses nicht zuvor schon benutzt worden sein darf.
Neben den Kennwortrichtlinien können Sie zusätzlich die Anmeldung am Rechner gegen Malware oder Hacker absichern. Standardmäßig zeigt Vista die auf dem PC vorhandenen Benutzerkonten an und der User muss nur noch das Passwort eingeben. 50 Prozent der Anmeldeinformationen werden damit schon verraten. Über das Snap-In Lokale Sicherheitsrichtlinien für die Microsoft Management Console, das Sie mit secpol.msc aufrufen, ändern Sie das. Aktivieren Sie hier die Richtlinie Interaktive Anmeldung: Letzten Benutzernamen nicht anzeigen, den Sie unter Lokale Richtlinien/Sicherheitsoptionen finden. Zudem deaktivieren Sie hier den Eintrag Interaktive Anmeldung: Kein STRG+ALT+ENTF erforderlich. So müssen Benutzer immer diese Tastenkombination drücken, bevor sie sich anmelden. Das erschwert es Trojanern, Ihnen eine gefälschte Anmeldeseite unterzuschieben.
Mit Richtlinien verhindern Sie, dass Benutzer simple, einfach zu knackende Kennwörter wählen und legen fest, dass Kennwörter regelmäßig geändert werden müssen.
Verschlüsseln Sie die Festplatte
Die Vista-Editionen Enterprise und Ultimate bieten dem User ein Tool, um die komplette Festplatte zu verschlüsseln. Wenn etwa das Firmen-Notebook abhanden kommt, ist das Gerät zwar weg, aber zumindest geraten die sensiblen Unternehmensdaten nicht in falsche Hände.
Das Tool nennt sich BitLocker und um es nutzen zu können, müssen Sie zunächst die Festplatte entsprechend vorbereiten. Sie brauchen mindestens zwei Partitionen: eine für Windows und eine mindestens 1,5 GByte große Startpartition. Darauf werden der Boot-Manager und alle Dateien abgelegt, die zum Start des Computers notwendig sind. Dieser Bereich ist der einzige, der nicht verschlüsselt wird. Entweder richten Sie die Festplatte schon bei der Installation von Windows ein oder nutzen nachträglich das so genannte BitLocker-Laufwerksvorbereitungstool, das Sie über ein Windows-Update erhalten und anschließend unter Alle Programme/Zubehör/Systemprogramme/BitLocker im Startmenü finden.
In der Voreinstellung können Sie die Laufwerksverschlüsselung nur auf Rechnern mit einem TPM-Chip nutzen, doch nicht jeder Computer hat so einen Baustein auf der Hauptplatine. Alternativ nutzen Sie einen USB-Stick, auf dem Vista den Startschlüssel speichert – das ist sicherer. Erst wenn Sie den Speicher-Stick einstecken, fährt das Betriebssystem hoch. Öffnen Sie dazu den Gruppenrichtlinien-Editor und navigieren Sie zum Ordner Computerkonfiguration/Administrative Vorlagen/Windows-Komponenten/BitLocker-Laufwerkverschlüsselung. In der Richtlinie Systemsteuerungssetup: Erweiterte Startoptionen aktivieren wählen Sie Aktiviert und setzen einen Haken vor BitLocker ohne kompatibles TPM zulassen.
In der Systemsteuerung finden Sie unter Sicherheit/BitLocker-Laufwerkverschlüsselung den Assistenten, der Sie durch die Konfiguration führt. Halten Sie einen formatierten USB-Stick bereit, auf dem Vista den Startschlüssel ablegen wird. Außerdem erstellt der Assistent ein Wiederherstellungs-Kennwort. Verlieren Sie den USB-Stick, können Sie damit die Festplatte temporär entschlüsseln, um den Startschlüssel auf einen zweiten Stick zu kopieren. Drucken Sie das Wiederherstellungs-Kennwort am besten aus und verstecken Sie es gut.
Mit Bitlocker verschlüsseln Sie Laufwerke und verbergen Ihre Daten vor neugierigen Blicken.
Passen Sie die Vista-Firewall an
Die Firewall in Vista erlaubt neben der Kontrolle eingehender nun auch die Überwachung ausgehender Verbindungen. Dazu nutzt die Zwei-Wege-Firewall eine Kombination aus White- und Blacklists: Alle ausgehenden Verbindung sind standardmäßig erlaubt, während alle Anfragen von Außen zunächst blockiert werden – es sei denn, sie sind eine direkte Antwort auf eine ausgehende Verbindung. Über Filter bestimmen Sie das genau Verhalten der Firewall.
Öffnen Sie die Windows-Firewall mit erweiterter Sicherheit mit dem Befehl wf.msc. Die Ordner Eingehende Regeln und Ausgehende Regeln beinhalten schon einige Dutzend Vorschriften. Eigene Regeln für ausgehende Verbindungen definieren Sie über die rechte Maustaste. Öffnen Sie so das Kontextmenü des Ordners und klicken Sie auf Neue Regel… . Hier haben Sie die Wahl, Regeln in Abhängigkeit von einem Programm oder einem bestimmten Port aufzustellen. Außerdem können Sie vordefinierte Regeln modifizieren oder über Benutzerdefiniert alle notwendigen Angaben manuell eintragen.
Wollen Sie etwa das Verhalten des Windows-Mail-Clients genau bestimmen, wählen Sie Benutzerdefiniert und nach einem Klick auf Weiter den Programmpfad Programme/Windows Mail/WinMail.exe. Im nächsten Fenster bestimmen Sie TCP als Protokolltyp, alle Ports als Lokale Ports und 25, 110, 465, 995 für die Protokolle SMTP, POP3, sSMTP und sPOP3 als Remoteports. Als lokale IP-Adresse geben Sie im nächsten Schritt die Adresse Ihres PCs ein. Die Remote-IP-Adressen entsprechen den IP-Adressen der Postausgang- und Posteingangs-Server. Anschließend wählen Sie Verbindung zulassen und entscheiden sich dann, für welche Profile die Regeln angewendet werden sollen.
In gleicher Weise verfahren Sie auch mit Regeln für eingehende Verbindungen. Allerdings werden Sie diese bei der Konfiguration eines Clients nicht allzu oft nutzen, wenn Sie keine Serverdienste anbieten. Das allgemeine Verhalten der Firewall für die drei Profile Domäne, Privat und Öffentlich konfigurieren Sie über das Eigenschaftenmenü, das Sie im Kontext von Windows-Firewall mit erweiterter Sicherheit finden. Domäne bezeichnet dabei das Verhalten der Firewall, we
nn der Computer sich in einem Netzwerk mit Domänencontroller befindet. Privat steht für ein privates, bekanntes Netzwerk und Öffentlich für die Verbindung zu einem unbekannten, potentiell gefährlichen Netzwerk. Diese Vorgaben entsprechen auch den Netzwerktypen, die Sie festlegen, wenn Sie sich das erste Mal mit einem Netzwerk verbinden. Hier stehen Ihnen Zu Hause und Arbeitsplatz (beide Privat) oder Öffentlicher Ort (Öffentlich) zur Verfügung.
Im Gegensatz zur Firewall in Windows XP kontrolliert die Vista-Firewall auch ausgehende Verbindungen.
Verbieten Sie den Start von Programmen
In vielen Firmen dürfen Angestellte den Computer nur zum Arbeiten benutzen – private Ausflüge ins Internet sind tabu und auch ein Spielchen zwischendurch sieht der Chef nicht so gerne. Administratoren können bestimmen, dass der Benutzer nur erlaubte Programm startet.
Im Gruppenrichtlinien-Editor finden Sie unterhalb von Computerkonfiguration/Windows-Einstellungen/Sicherheitseinstellungen den Eintrag Richtlinien für Softwareeinschränkungen. Nach einem Rechtsklick auf diesen Ordner wählen Sie aus dem Kontextmenü Neue Richtlinien für Softwareeinschränkungen erstellen. Daraufhin werden zwei Unterordner und drei vordefinierten Sicherheitsrichtlinien erzeugt. Um nun eine neue Softwareeinschränkung zu erstellen, öffnen Sie das Kontextmenü des Unterordners Zusätzliche Regeln. Zur Auswahl stehen Ihnen hier die vier Regeltypen Zertifikatsregel, Hashregel, Netzwerkzonenregel und Pfadregel. Mit der Zertifikatsregel bestimmen Sie, dass Software nur von einem speziellen Anbieter stammen darf. Dazu müssen Sie das Zertifikat des Herstellers (CER- oder CRT-Datei) einbinden. Die Hashregel erzeugt vom ausgewählten Programm eine Prüfsumme. Bei jedem Start der Software wird eine neue Prüfsumme erstellt und mit der hinterlegten verglichen. Nur bei Übereinstimmung startet Vista das Programm. Die Einstellungen unter Netzwerkzonen wirken sich nur auf MSI-Pakete aus und regeln, aus welcher Quelle diese stammen dürfen – für viele Admins uninteressant. Zuletzt erlauben oder verbieten Sie mit der Pfadregel den Start von Anwendungen, die in bestimmten Verzeichnissen liegen.
Um etwa eine Softwareeinschränkung anhand einer Pfadregel zu erstellen, wählen Sie die EXE-Datei der Anwendung aus. Bei Sicherheitsstufe definieren Sie mit dem Eintrag Nicht erlauben, damit das Programm nicht ausgeführt wird. Wollen Sie zunächst alle Programmausführungen beschränken, um dann einzelne Tools zu erlauben, öffnen Sie den Eintrag Nicht erlaubt im Ordner Sicherheitsstufen und machen diesen mit dem gleichnamigen Eintrag im Kontextmenü zum Standard. Daraufhin ist der Start sämtlicher Programme zunächst verboten, bis Sie einzelne – etwa über eine Pfadregel – wieder freigeben (Nicht eingeschränkt).
Damit Sie sich als Administrator nicht selbst ausschließen, stehen unter Zusätzliche Regeln schon zwei Einträge, die Ihnen generell erlauben, Programme im Windows- und Programm-Verzeichnis auszuführen.
Über eine Pfadregel verbieten Sie Usern, ein Programm auszuführen. So verhindern Sie etwa, das sich Ihre Mitarbeiter während der Arbeitszeit mit Spielen beschäftigen.
Verhindern Sie Datenspionage
USB-Stick anstecken, kopieren und schon sind die sensiblen Unterlagen und vertraulichen Akten nicht mehr geheim. Schnell verlassen solche Daten auf einem billigen Speicher-Stick den Computer – einfacher geht es nicht. Unterbinden Sie den Datenklau mit Richtlinien.
Über den Gruppenrichtlinien-Editor schränken Sie den Hardware-Zugriff auf Ihren PC ein. Unter Computerkonfiguration/Administrative Vorlagen/System/Wechselmedienzugriff verweigern Sie den Lese- oder Schreibzugriff auf verschiedene Speichermedien wie CD/DVD, Bandlaufwerk oder Wechseldatenträger wie USB-Sticks oder externe Festplatten.
Wollen Sie aber auch Geräte wie WLAN-Karten oder Bluetooth-Dongles verbieten, nutzten diese Richtlinien nichts. Wechseln Sie zum Pfad Computerkonfiguration/Administrative Vorlagen/System/Geräteinstallation/Einschränkungen bei der Geräteinstallation. Doppelklicken Sie den Eintrag Installation von Geräten mit Treibern verhindern, die diesen Gerätesetupklassen entsprechen. Wählen Sie hier Aktivieren und klicken Sie anschließend auf Anzeigen. Per Hinzufügen fügen Sie die ID der Geräteklasse ein, deren Installation Sie unterbinden wollen. Um diese mehrstellige Zahl zu ermitteln, öffnen Sie zunächst den Gerätemanager über die Systemsteuerung. Rufen Sie dort den Eigenschaften-Dialog des entsprechenden Gerätes auf. Im Register Details wählen Sie Geräteklasse-GUID aus dem Drop-Down-Menü und kopieren den Wert in die Zwischenablage. Nun wechseln Sie wieder ins Snap-In Gruppenrichtlinienobjekt-Editor und tragen dort die GUID ein. Von nun an ist die Installation neuer Geräte dieser Art verboten. War jedoch zum Beispiel ein USB-Stick schon vorher einmal am PC angeschlossen – Voraussetzung, um die ID zu ermitteln -, trifft das Verbot auf diese nicht zu. Um die Richtlinie trotzdem konsequent durchzuziehen, löschen Sie das Gerät im Gerätemanager von Hand. Ab sofort fällt dieser auch unter das Installationsverbot.
Unterbinden Sie die Installation bestimmter Geräte, um zu verhindern, dass Daten auf USB-Sticks entwendet werden oder WLANs ihr Netzwerk durcheinanderbringen.
Benutzerkontensteuerung nachjustieren
Die Benutzerkontensteuerung (User Account Control, kurz: UAC) ist eines der meist genannten und sicher wichtigsten Sicherheits-Features von Windows Vista. Die Idee dahinter: Alle User – auch Admins – sind mit eingeschränkte Rechten unterwegs. Nur wenn sie für eine administrative Aufgabe weitere Befugnisse benötigen, erhalten sie diese kurzzeitig. Das verhindert, dauerhaft und unnötig mit Administratoren unterwegs zu sein, was eine Gefahr für Windows darstellen würde.
Die Benutzerkontensteuerung ist standardmäßig schon sehr sicher konfiguriert. An einigen Stellen können Sie aber noch nachjustieren. Wechseln Sie im Gruppenrichtlinien-Editor zum Pfad Computerkonfiguration/Windows-Einstellungen/Sicherheitseinstellungen/Lokale Richtlinien/Sicherheitsoptionen. Hier finden Sie einige Einträge die mit Benutzerkontensteuerung beginnen. Interessant ist zum einen die Richtlinie Verhalten der Anhebungsaufforderung für Standardbenutzer. Stellen Sie hier Anforderung für erhöhte Rechte automatisch ablehnen ein, erhalten Standardbenutzer keine Möglichkeit, per UAC erhöhte Rechte zu erlangen. Hingegen zeigt Aufforderung zur Eingabe der Anmeldeinformationen einen entsprechenden Dialog an, wenn ein Standardbenutzer Admin-Rechte benötigt. Allerdings muss er dazu Benutzernamen und Kennwort eines Administratorkontos kennen.
Des Weiteren ist die Richtlinie Verhalten der Benutzeraufforderung mit erhöhten Rechten für Administratoren im Administratorbestätigungsmodus eine
n Blick wert. Hier bestimmen Sie, wie die UAC reagiert, wenn Sie von einem Admin in Anspruch genommen wird. Erhöhte Rechte ohne Eingabeaufforderung gesteht dem Benutzer ohne einen weiteren Hinweis die benötigten Rechte zu. Sicherer sind hingegen die Einstellungen Aufforderung zur Eingabe der Zustimmung« oder Aufforderung zur Eingabe der Anmeldeinformationen. Wählen Sie eine dieser Optionen müssen Sie jedes Mal per Klick beziehungsweise per Kennwort zustimmen.
Zudem finden Sie im Ast Computerkonfiguration/Administrative Vorlagen/Windows-Komponenten/Benutzerschnittstelle für Anmeldeinformationen den Eintrag Bei Ausführung mit erhöhten Rechten Administratorkonten auflisten. Deaktivieren Sie diese Richtlinie, um im UAC-Dialog nicht die Namen der Admin-Konten preiszugeben.
Die Benutzerkonten-Steuerung verhindert, dass Sie den ganzen Tag mit Admin-Rechten arbeiten. Benötigen Sie diese, bekommen Sie sie zugestanden – temporär und nur für eine bestimmte Aktion.