Business-IT
So schützen Sie Windows 7
von
Mark
Lubkowitz - 08.07.2010
Einige wenige Handgriffe verhelfen Ihnen zu einem wirklich sicheren Betriebssystem Windows 7. Welche das sind, erfahren Sie in diesem Artikel.
So geht’s: Drücken Sie [Windows R], geben Sie wuapp.exe ein und klicken Sie auf „OK“. Falls Sie Windows 7 frisch installiert haben, dann klicken Sie auf „Automatische Updates aktivieren“. Windows Update sucht nach verfügbaren Aktualisierungen. Klicken Sie auf „Updates installieren“. Das Programm lädt die Updates und installiert sie.
Klicken Sie links auf „Einstellungen ändern“. Wählen Sie unter „Wichtige Updates“ die Option „Updates automatisch installieren (empfohlen)“ und bei „Neue Updates installieren“ die Option „Täglich“ aus. Wählen Sie bei „um“ eine Uhrzeit aus, zu der Sie in der Regel am Rechner sitzen, etwa „12:00“ Uhr. Setzen Sie vor allen anderen Optionen mit Ausnahme von „Allen Benutzern das Installieren von Updates auf diesem Computer ermöglichen“ ein Häkchen und klicken Sie auf „OK“.
2. Virenschutz
Die kostenlosen Microsoft Security Essentials arbeiten äußerst zuverlässig und erhalten täglich Signatur-Updates.
In allen Editionen von Windows 7 ist das Antispyware-Tool Windows Defender enthalten. Ein Virenschutz fehlt hingegen. Installieren Sie deshalb die Microsoft Security Essentials 1.0.
So geht’s: Die Ausgangskonfiguration der Security Essentials erfordert Fein-tuning. Klicken Sie im System-Tray doppelt auf das Programmsymbol und wechseln Sie zu „Einstellungen“.
Wählen Sie links den Punkt „Geplante Überprüfung“ aus. Laut der Voreinstellung soll die automatische Überprüfung des Systems um 2 Uhr nachts am Sonntag stattfinden. Es ist eher unwahrscheinlich, dass der Rechner zu diesem Zeitpunkt läuft.
Wählen Sie stattdessen einen anderen Zeitpunkt. Etwa mittwochs zur Mittagszeit um 14 Uhr oder freitags um 20 Uhr. Wählen Sie bei „Art der Überprüfung“ die Option „Schnelle Überprüfung“ aus. Setzen Sie ein Häkchen vor „Vor der geplanten Überprüfung nach neuen (…)“ und entfernen Sie das Häkchen vor „Geplante Überprüfung nur starten (…)“. Klicken Sie auf „Änderungen speichern, Ja“.
Wählen Sie links den Punkt „Erweitert“ aus. Setzen Sie Häkchen vor die Optionen „Archivdateien überprüfen“, „Wechseldatenträger überprüfen“ und „Wiederherstellungspunkt erstellen“. Klicken Sie auf „Änderungen speichern, Ja“.
3. Windows-Firewall
Die Windows-Firewall verhindert unerwünschte Zugriffe aufs Internet. Eine Router-Firewall schützt vor Angriffen.
Der Funktionsumfang der Windows-Firewall ist eher gering. Sinnvoll ist daher die Kombination mit einer Router-Firewall. Der Router schützt vor Angriffen aus dem Internet und die Windows-Firewall verhindert unerwünschte Zugriffe lokaler Programme.
So geht’s: Drücken Sie [Windows R], geben Sie firewall.cpl ein und kli-cken Sie auf „OK“. Falls die Windows-Firewall abgeschaltet ist, dann aktivieren Sie sie, indem Sie auf „Windows-Firewall ein- oder ausschalten“ klicken.
Aktivieren Sie unter „Standorteinstellungen für das Heim- oder Arbeitsplatznetzwerk (privat)“ die Option „Windows-Firewall aktivieren“. Entfernen Sie das Häkchen vor „Alle eingehenden Verbindungen(…)“, setzen Sie aber ein Häkchen vor „Benachrichtigen, wenn ein neues Programm blockiert wird“. Wiederholen Sie diese Schritte für „Standorteinstellungen für das öffentliche Netzwerk“. Klicken Sie abschließend auf „OK“.
Legen Sie dann fest, welche Anwendungen auf das Internet zugreifen dürfen. Wählen Sie dazu „Ein Programm oder Feature durch die Windows-Firewall zulassen“. Klicken Sie auf „Einstellungen ändern, Ja“. Wenn Sie einem Programm den Zugriff auf das Internet entziehen möchten, entfernen Sie das Häkchen vor dem Programmnamen in der ersten Spalte. Wenn Sie einem Programm den Zugriff gewähren möchten, dann setzen Sie jeweils ein Häkchen in die Spalten „Heim/Arbeit (Privat)“ und „Öffentlich“. Selten genutzten Programmen wie der „Remoteunterstützung“ sollten Sie den Zugriff entziehen. Klicken Sie abschließend auf „OK“.
Prüfen Sie regelmäßig, welche Programme von der Windows-Firewall durchgelassen werden. Denn einige Programme tragen sich bei der Installation in die White-List der Firewall ein.
4. Benutzerverwaltung
Alle Benutzerkonten sollten mit Kennwort geschützt und nicht benötigte Konten deaktiviert werden.
Windows 7 richtet bei der Installation zusätzlich zum Hauptbenutzerkonto auch ein Administrator- und ein Gastkonto ein. Versehen Sie alle Konten mit einem Kennwort und deaktivieren Sie nicht benötigte Konten.
So geht’s: Drücken Sie [Windows R], geben Sie lusrmgr.msc ein und klicken Sie auf „OK“. Die Benutzer- und Gruppenverwaltung startet.
Wählen Sie links den Punkt „Benutzer“ aus. Rechts daneben werden dann alle auf dem Rechner eingerichteten Benutzerkonten aufgelistet. Deaktivieren Sie generell die Konten „Adminis-trator“ und „Gast“. Klicken Sie den entsprechenden Eintrag mit der rechten Maustaste an und wählen Sie „Eigenschaften“ aus. Setzen Sie ein Häkchen vor „Konto ist deaktiviert“. Klicken Sie auf „OK“. Diese Benutzerkonten können nun nicht mehr zur Anmeldung am Computer verwendet werden. Deaktivieren Sie auch selten oder nie genutzte Benutzerkonten.
Geben Sie im folgenden Schritt für alle Benutzerkonten sichere Kennwörter ein. Sie sollten aus Buchstaben, Zahlen und Sonderzeichen bestehen. So vermeiden Sie, dass das verwendete Kennwort in Wörterbüchern vorkommt. Denn aus Wörterbüchern stellen sich Passwortknacker Listen zusammen, die sie beim Knackversuch abarbeiten.
Wenn Sie ein möglichst komplexes, aber leicht zu merkendes Kennwort erstellt haben, das mindestens zehn Zeichen lang ist, dann klicken Sie das entsprechende Benutzerkonto wieder mit der rechten Maustaste an und wählen „Kennwort festlegen…“ aus. Klicken Sie auf „Fortsetzen“. Geben Sie das Kennwort in das obere Feld ein und wiederholen Sie es darunter, um Tippfehler auszuschließen. Klicken Sie zweimal auf „OK“.
5. Benutzerkontensteuerung
Nur die höchste Stufe bietet auch Schutz vor versehentlichen Systemänderungen.
Die Benutzerkontensteuerung verweigert einem Programm so lange den Zugriff auf kritische Systemkomponenten, bis der Benutzer ausdrücklich seine Zustimmung erteilt. Erst dann darf ein Programm andere Programmdateien verändern oder Hardware-Informationen auslesen. Programme, die versuchen, im Verborgenen Systemdateien zu ändern, haben somit keine Chance.
So geht’s: Drücken Sie [Windows] und geben Sie Benutzerkontensteuerung ein. Wählen Sie aus dem Ergebnis unter „Systemsteuerung“ den Punkt „Einstellungen der Benutzerkontensteuerung ändern“ aus.
Die Benutzerkontensteuerung bietet vier Einstellungen zwischen „Immer benachrichtigen“ und „Nie benachrichtigen“ an. Die oberste Stufe erfragt bei jeder Änderung am System die Autorisierung des Anwenders. Wählen Sie die oberste Stufe aus (Bild D). Das ist eine Stufe höher, als von Windows 7 empfohlen, aber die sicherste Einstellung.
6. Internet Explorer
Wer auf den Internet Explorer nicht angewiesen ist, wechselt zum sicheren Firefox.
Wer hingegen nicht auf den Internet Explorer verzichten kann, sollte die folgenden Maßnahmen ergreifen.
So geht’s: Starten Sie den Internet Explorer über „Start, Alle Programme, Internet Explorer“. Öffnen Sie mit [Alt] das Hauptmenü und wählen Sie „Extras, Internetoptionen“ aus.
Wechseln Sie auf die Registerkarte „Sicherheit“. Wählen Sie oben die Zone „Internet“ aus und stellen Sie den Regler auf „Mittelhoch“.
Wechseln Sie zur Karte „Datenschutz“. Stellen Sie unter „Einstellungen“ den Regler auf „Mittelhoch“. Setzen Sie unter „Popupblocker“ ein Häkchen vor „Popupblocker einschalten“ (Bild E). Klicken Sie auf „OK“.
Drücken Sie erneut [Alt] und wählen Sie „Extras, SmartScreen-Filter, Smart-Screen-Filter einschalten…“ aus. Wählen Sie die Option „SmartScreen-Filter einschalten (empfohlen)“ aus und klicken Sie auf „OK“.
7. Firefox
Firefox ist der sicherste Browser. Mit zusätzlichen Add-ons blockieren Sie Werbung und bösartige Skripts.
Der derzeit sicherste Browser für Windows ist Mozilla Firefox 3.6 (kostenlos, www.mozilla.org/products/firefox). Add-ons rüsten zudem wichtige Sicherheits- und Datenschutzfunktionen nach. Sie entfernen zum Beispiel Werbebanner oder blockieren gefährliche Skripts.
So geht’s: Installieren Sie Firefox 3.6. Starten Sie Firefox nach der Installation über „Start, Alle Programme, Mozilla Firefox, Mozilla Firefox“.
Installieren Sie zunächst Adblock Plus 1.1.3. Dieses Add-on filtert Werbeeinblendungen auf Webseiten aus. Klicken Sie nach der Installation auf „Extras, Adblock Plus — Einstellungen…“. Wählen Sie dann „Fil-ter, Filter-Abonnement hinzufügen…“ aus. Aktivieren Sie „EasyList Germany (Deutschland) + EasyList“ und klicken Sie auf „Abonnieren, OK“.
Installieren Sie dann Noscript 1.9.9.50. Das Add-on blockiert Skripts. Nach dem Neustart von Firefox meldet Noscript in einer zusätzlichen Zeile am unteren Bildrand, ob Skripts auf einer Webseite blockiert wurden. Klicken Sie auf „Einstellungen…“, um für bestimmte Webseiten Skripts zu erlauben, etwa für Amazon.
Installieren Sie nun Cookie Culler 1.4. Das Add-on erweitert den Browser um einen Cookie-Manager, der Cookies selektiv löscht. Damit wichtige Cookies erhalten bleiben, klicken Sie auf „Extras, CookieCuller“. Wählen Sie das Cookie aus, das nicht gelöscht werden soll, und klicken Sie auf „Protect Cookie“. Dies ist insbesondere bei Webseiten hilfreich, die Sie häufiger nutzen, etwa Foren oder Ebay.
Klicken Sie links auf „Einstellungen ändern“. Wählen Sie unter „Wichtige Updates“ die Option „Updates automatisch installieren (empfohlen)“ und bei „Neue Updates installieren“ die Option „Täglich“ aus. Wählen Sie bei „um“ eine Uhrzeit aus, zu der Sie in der Regel am Rechner sitzen, etwa „12:00“ Uhr. Setzen Sie vor allen anderen Optionen mit Ausnahme von „Allen Benutzern das Installieren von Updates auf diesem Computer ermöglichen“ ein Häkchen und klicken Sie auf „OK“.
2. Virenschutz
Die kostenlosen Microsoft Security Essentials arbeiten äußerst zuverlässig und erhalten täglich Signatur-Updates.
In allen Editionen von Windows 7 ist das Antispyware-Tool Windows Defender enthalten. Ein Virenschutz fehlt hingegen. Installieren Sie deshalb die Microsoft Security Essentials 1.0.
So geht’s: Die Ausgangskonfiguration der Security Essentials erfordert Fein-tuning. Klicken Sie im System-Tray doppelt auf das Programmsymbol und wechseln Sie zu „Einstellungen“.
Wählen Sie links den Punkt „Geplante Überprüfung“ aus. Laut der Voreinstellung soll die automatische Überprüfung des Systems um 2 Uhr nachts am Sonntag stattfinden. Es ist eher unwahrscheinlich, dass der Rechner zu diesem Zeitpunkt läuft.
Wählen Sie stattdessen einen anderen Zeitpunkt. Etwa mittwochs zur Mittagszeit um 14 Uhr oder freitags um 20 Uhr. Wählen Sie bei „Art der Überprüfung“ die Option „Schnelle Überprüfung“ aus. Setzen Sie ein Häkchen vor „Vor der geplanten Überprüfung nach neuen (…)“ und entfernen Sie das Häkchen vor „Geplante Überprüfung nur starten (…)“. Klicken Sie auf „Änderungen speichern, Ja“.
Wählen Sie links den Punkt „Erweitert“ aus. Setzen Sie Häkchen vor die Optionen „Archivdateien überprüfen“, „Wechseldatenträger überprüfen“ und „Wiederherstellungspunkt erstellen“. Klicken Sie auf „Änderungen speichern, Ja“.
3. Windows-Firewall
Die Windows-Firewall verhindert unerwünschte Zugriffe aufs Internet. Eine Router-Firewall schützt vor Angriffen.
Der Funktionsumfang der Windows-Firewall ist eher gering. Sinnvoll ist daher die Kombination mit einer Router-Firewall. Der Router schützt vor Angriffen aus dem Internet und die Windows-Firewall verhindert unerwünschte Zugriffe lokaler Programme.
So geht’s: Drücken Sie [Windows R], geben Sie firewall.cpl ein und kli-cken Sie auf „OK“. Falls die Windows-Firewall abgeschaltet ist, dann aktivieren Sie sie, indem Sie auf „Windows-Firewall ein- oder ausschalten“ klicken.
Aktivieren Sie unter „Standorteinstellungen für das Heim- oder Arbeitsplatznetzwerk (privat)“ die Option „Windows-Firewall aktivieren“. Entfernen Sie das Häkchen vor „Alle eingehenden Verbindungen(…)“, setzen Sie aber ein Häkchen vor „Benachrichtigen, wenn ein neues Programm blockiert wird“. Wiederholen Sie diese Schritte für „Standorteinstellungen für das öffentliche Netzwerk“. Klicken Sie abschließend auf „OK“.
Legen Sie dann fest, welche Anwendungen auf das Internet zugreifen dürfen. Wählen Sie dazu „Ein Programm oder Feature durch die Windows-Firewall zulassen“. Klicken Sie auf „Einstellungen ändern, Ja“. Wenn Sie einem Programm den Zugriff auf das Internet entziehen möchten, entfernen Sie das Häkchen vor dem Programmnamen in der ersten Spalte. Wenn Sie einem Programm den Zugriff gewähren möchten, dann setzen Sie jeweils ein Häkchen in die Spalten „Heim/Arbeit (Privat)“ und „Öffentlich“. Selten genutzten Programmen wie der „Remoteunterstützung“ sollten Sie den Zugriff entziehen. Klicken Sie abschließend auf „OK“.
Prüfen Sie regelmäßig, welche Programme von der Windows-Firewall durchgelassen werden. Denn einige Programme tragen sich bei der Installation in die White-List der Firewall ein.
4. Benutzerverwaltung
Alle Benutzerkonten sollten mit Kennwort geschützt und nicht benötigte Konten deaktiviert werden.
Windows 7 richtet bei der Installation zusätzlich zum Hauptbenutzerkonto auch ein Administrator- und ein Gastkonto ein. Versehen Sie alle Konten mit einem Kennwort und deaktivieren Sie nicht benötigte Konten.
So geht’s: Drücken Sie [Windows R], geben Sie lusrmgr.msc ein und klicken Sie auf „OK“. Die Benutzer- und Gruppenverwaltung startet.
Wählen Sie links den Punkt „Benutzer“ aus. Rechts daneben werden dann alle auf dem Rechner eingerichteten Benutzerkonten aufgelistet. Deaktivieren Sie generell die Konten „Adminis-trator“ und „Gast“. Klicken Sie den entsprechenden Eintrag mit der rechten Maustaste an und wählen Sie „Eigenschaften“ aus. Setzen Sie ein Häkchen vor „Konto ist deaktiviert“. Klicken Sie auf „OK“. Diese Benutzerkonten können nun nicht mehr zur Anmeldung am Computer verwendet werden. Deaktivieren Sie auch selten oder nie genutzte Benutzerkonten.
Geben Sie im folgenden Schritt für alle Benutzerkonten sichere Kennwörter ein. Sie sollten aus Buchstaben, Zahlen und Sonderzeichen bestehen. So vermeiden Sie, dass das verwendete Kennwort in Wörterbüchern vorkommt. Denn aus Wörterbüchern stellen sich Passwortknacker Listen zusammen, die sie beim Knackversuch abarbeiten.
Wenn Sie ein möglichst komplexes, aber leicht zu merkendes Kennwort erstellt haben, das mindestens zehn Zeichen lang ist, dann klicken Sie das entsprechende Benutzerkonto wieder mit der rechten Maustaste an und wählen „Kennwort festlegen…“ aus. Klicken Sie auf „Fortsetzen“. Geben Sie das Kennwort in das obere Feld ein und wiederholen Sie es darunter, um Tippfehler auszuschließen. Klicken Sie zweimal auf „OK“.
5. Benutzerkontensteuerung
Nur die höchste Stufe bietet auch Schutz vor versehentlichen Systemänderungen.
Die Benutzerkontensteuerung verweigert einem Programm so lange den Zugriff auf kritische Systemkomponenten, bis der Benutzer ausdrücklich seine Zustimmung erteilt. Erst dann darf ein Programm andere Programmdateien verändern oder Hardware-Informationen auslesen. Programme, die versuchen, im Verborgenen Systemdateien zu ändern, haben somit keine Chance.
So geht’s: Drücken Sie [Windows] und geben Sie Benutzerkontensteuerung ein. Wählen Sie aus dem Ergebnis unter „Systemsteuerung“ den Punkt „Einstellungen der Benutzerkontensteuerung ändern“ aus.
Die Benutzerkontensteuerung bietet vier Einstellungen zwischen „Immer benachrichtigen“ und „Nie benachrichtigen“ an. Die oberste Stufe erfragt bei jeder Änderung am System die Autorisierung des Anwenders. Wählen Sie die oberste Stufe aus (Bild D). Das ist eine Stufe höher, als von Windows 7 empfohlen, aber die sicherste Einstellung.
6. Internet Explorer
Wer auf den Internet Explorer nicht angewiesen ist, wechselt zum sicheren Firefox.
Wer hingegen nicht auf den Internet Explorer verzichten kann, sollte die folgenden Maßnahmen ergreifen.
So geht’s: Starten Sie den Internet Explorer über „Start, Alle Programme, Internet Explorer“. Öffnen Sie mit [Alt] das Hauptmenü und wählen Sie „Extras, Internetoptionen“ aus.
Wechseln Sie auf die Registerkarte „Sicherheit“. Wählen Sie oben die Zone „Internet“ aus und stellen Sie den Regler auf „Mittelhoch“.
Wechseln Sie zur Karte „Datenschutz“. Stellen Sie unter „Einstellungen“ den Regler auf „Mittelhoch“. Setzen Sie unter „Popupblocker“ ein Häkchen vor „Popupblocker einschalten“ (Bild E). Klicken Sie auf „OK“.
Drücken Sie erneut [Alt] und wählen Sie „Extras, SmartScreen-Filter, Smart-Screen-Filter einschalten…“ aus. Wählen Sie die Option „SmartScreen-Filter einschalten (empfohlen)“ aus und klicken Sie auf „OK“.
7. Firefox
Firefox ist der sicherste Browser. Mit zusätzlichen Add-ons blockieren Sie Werbung und bösartige Skripts.
Der derzeit sicherste Browser für Windows ist Mozilla Firefox 3.6 (kostenlos, www.mozilla.org/products/firefox). Add-ons rüsten zudem wichtige Sicherheits- und Datenschutzfunktionen nach. Sie entfernen zum Beispiel Werbebanner oder blockieren gefährliche Skripts.
So geht’s: Installieren Sie Firefox 3.6. Starten Sie Firefox nach der Installation über „Start, Alle Programme, Mozilla Firefox, Mozilla Firefox“.
Installieren Sie zunächst Adblock Plus 1.1.3. Dieses Add-on filtert Werbeeinblendungen auf Webseiten aus. Klicken Sie nach der Installation auf „Extras, Adblock Plus — Einstellungen…“. Wählen Sie dann „Fil-ter, Filter-Abonnement hinzufügen…“ aus. Aktivieren Sie „EasyList Germany (Deutschland) + EasyList“ und klicken Sie auf „Abonnieren, OK“.
Installieren Sie dann Noscript 1.9.9.50. Das Add-on blockiert Skripts. Nach dem Neustart von Firefox meldet Noscript in einer zusätzlichen Zeile am unteren Bildrand, ob Skripts auf einer Webseite blockiert wurden. Klicken Sie auf „Einstellungen…“, um für bestimmte Webseiten Skripts zu erlauben, etwa für Amazon.
Installieren Sie nun Cookie Culler 1.4. Das Add-on erweitert den Browser um einen Cookie-Manager, der Cookies selektiv löscht. Damit wichtige Cookies erhalten bleiben, klicken Sie auf „Extras, CookieCuller“. Wählen Sie das Cookie aus, das nicht gelöscht werden soll, und klicken Sie auf „Protect Cookie“. Dies ist insbesondere bei Webseiten hilfreich, die Sie häufiger nutzen, etwa Foren oder Ebay.
