Experten-Tricks für Windows 7
Sicherheit
von Oliver Ehm - 07.12.2011
Nach einer Standardinstallation ist Windows 7 alles andere als sicher konfiguriert. Diese acht Tipps erhöhen die Sicherheit.
1. Windows-Sicherheitsfenster
Konfigurieren Sie, wenn Sie einen PC mit Windows 7 neu einrichten, die Benutzerkonten der weniger erfahrenen Anwender individuell vor.
Mit dem folgenden Registry-Hack schränken Sie den Zugriff auf eine oder alle Funktionen des Windows-Sicherheitsfensters ein.
So geht’s: Starten Sie den Registrierungs-Editor. Wechseln Sie zum Schlüssel „HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies“. Klicken Sie mit der rechten Maustaste auf „Policies“, wählen Sie „Neu, Schlüssel“ und nennen Sie den Schlüssel System. Legen Sie einen weiteren Schlüssel mit der Bezeichnung Explorer an. Markieren Sie den Schlüssel „System“ und erstellen Sie in der rechten Fensterhälfte einen neuen „DWORD-Wert (32-Bit)“ mit der Bezeichnung DisableChangePassword. Klicken Sie doppelt auf den neuen Eintrag und geben Sie als „Wert“ 1 ein. Im Sicherheitsfenster ist der Button „Kennwort ändern…“ verschwunden.
Sicherheitsfenster von Windows 7: Ein paar einfache Registry-Hacks schränken die Rechte einzelner Benutzer gezielt ein. In diesem Beispiel darf der Anwender nur noch den Benutzer wechseln
Soll außerdem die Option „Abmelden“ im Sicherheitsfenster verschwinden, erstellen Sie im Schlüssel „Explorer“ den „DWORD-Wert“ NoLogoff und setzen den Wert auf 1.
Hinweis: Die Änderungen am Sicherheitsfenster müssen für jedes Konto individuell eingestellt werden.
2. Registry
Nutzen mehrere Anwender Ihren PC, sollten Sie die Registry vor Änderungen schützen.
So geht’s: Starten Sie den Registrierungs-Editor. Navigieren Sie zum Schlüssel „HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System“. Erstellen Sie in der rechten Hälfte des Fensters einen neuen „DWORD-Wert“ namens DisableRegistryTools. Schließen Sie den Editor.
Den Registry-Schutz aktivieren und deaktivieren Sie am schnellsten mit einem Skript: Öffnen Sie einen Texteditor und kopieren Sie die folgenden Zeilen in die Textdatei:
Set objWshShell = WScript.CreateObject("WScript.Shell")
' Aktuelle Einstellungen auslesen
intDisableRegistryTools = Int(objWshShell.RegRead("HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools"))
' Aktuelle Einstellung umschalten
If intDisableRegistryTools = 0 Then
objWshShell.RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools", 2, "REG_DWORD"
WScript.Echo "Der Registrierungs-Editor ist deaktiviert!"
Else
objWshShell.RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools", 0, "REG_DWORD"
WScript.Echo "Der Registrierungs-Editor ist aktiviert!."
End If
' Aktuelle Einstellungen auslesen
intDisableRegistryTools = Int(objWshShell.RegRead("HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools"))
' Aktuelle Einstellung umschalten
If intDisableRegistryTools = 0 Then
objWshShell.RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools", 2, "REG_DWORD"
WScript.Echo "Der Registrierungs-Editor ist deaktiviert!"
Else
objWshShell.RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools", 0, "REG_DWORD"
WScript.Echo "Der Registrierungs-Editor ist aktiviert!."
End If
Speichern Sie das Skript unter dem Namen Regschutz.vbs unter „C:\“ ab.
Registry mit Schreibschutz: Nach einer Registry-Manipulation können Mitbenutzer Ihres PCs die Registry nicht mehr verändern
3. Internet Explorer
Dieser Hack versteckt die Sicherheitseinstellungen im Internet Explorer.
So geht’s: Starten Sie den Registrierungs-Editor und navigieren Sie zum Schlüssel „HKEY_CURRENT_USER\Software\Policies\ Microsoft“. Erstellen Sie einen Schlüssel mit der Bezeichnung Internet Explorer und darunter einen weiteren Schlüssel namens Control Panel. Markieren Sie den Schlüssel „Control Panel“ und erstellen Sie in der rechten Fensterhälfte die zwei DWORD-Werte PrivacyTab und SecurityTab. Setzen Sie beide Werte auf 1. Beim nächsten Start sind in den „Internetoptionen“ die Reiter „Sicherheit“ und „Datenschutz“ verschwunden.
4. Systemsteuerung anpassen
Der Hack versteckt einzelne Elemente in der Systemsteuerung.
So geht’s: Navigieren Sie im RegistrierungsEditor zum Schlüssel „HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer“.
Erstellen Sie in der rechten Fensterhälfte den „DWORD-Wert“ DisallowCpl und setzen Sie ihn auf 1. Legen Sie einen Unterschlüssel mit der Bezeichnung DisallowCpl an und markieren Sie ihn. In der rechten Fensterhälfte erstellen Sie eine Zeichenfolge, die Sie 1 nennen. Als „Wert“ tragen Sie den Namen des Systemsteuerungselements ein, das Sie ausblenden wollen — etwa Windows-Firewall. Für jedes weitere Element erstellen Sie jeweils eine neue Zeichenfolge, die Sie durchnummerieren. So heißt die nächste Zeichenfolge 2 und die übernächste 3.
5. Systemsteuerung ausblenden
Geschützte Systemsteuerung: Erlauben Sie anderen Nutzern Ihres PCs keinen Vollzugriff auf die Systemsteuerung. In diesem Beispiel ist der Zugriff nur auf fünf Bereiche möglich
So geht’s: Navigieren Sie im Registrierungs-Editor zum Schlüssel „HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer“. Erstellen Sie in der rechten Fensterhälfte den „DWORD-Wert“ RestrictCpl und setzen Sie ihn auf 1. Legen Sie einen Unterschlüssel mit der Bezeichnung RestrictCpl an und markieren Sie ihn. In der rechten Fensterhälfte erstellen Sie dann eine Zeichenfolge, die Sie 1 nennen. Als „Wert“ tragen Sie den Namen des Systemsteuerungselements ein, das Sie einblenden wollen - etwa Anzeige. Für jedes weitere Element erstellen Sie jeweils eine neue Zeichenfolge, die Sie durchnummerieren. So heißt die nächste Zeichenfolge 2 und die übernächste 3.
6. Datei-Besitzer ändern
Damit sich Systemdateien manipulieren oder Dateien löschen lassen, muss man die Daten erst in Besitz nehmen. Dafür sind zahlreiche Klicks erforderlich. Integrieren Sie einen neuen Eintrag in das Kontextmenü. Dann reichen zwei Klicks und die Datei gehört Ihnen.
So geht’s: Ööffnen Sie einen Texteditor und tragen Sie folgende Parameter ein:
Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOT\*\shell\runas]
@="Besitzer wechseln"
"NoWorkingDirectory"=""
[HKEY_CLASSES_ROOT\*\shell\runas\command]
@="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
[HKEY_CLASSES_ROOT\Directory\shell\runas]
@="Besitzer wechseln"
"NoWorkingDirectory"=""
[HKEY_CLASSES_ROOT\Directory\shell\runas\command]
@="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant administrators:F /t"
"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant administrators:F /t"
[HKEY_CLASSES_ROOT\*\shell\runas]
@="Besitzer wechseln"
"NoWorkingDirectory"=""
[HKEY_CLASSES_ROOT\*\shell\runas\command]
@="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
[HKEY_CLASSES_ROOT\Directory\shell\runas]
@="Besitzer wechseln"
"NoWorkingDirectory"=""
[HKEY_CLASSES_ROOT\Directory\shell\runas\command]
@="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant administrators:F /t"
"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant administrators:F /t"
Speichern Sie die Datei unter dem Namen besitzer.reg. Fügen Sie die neuen Einträge mit einem Doppelklick in die Registry ein.
7. Dateien verschlüsseln
Um unter Windows 7 ab der Version Professional Dateien und Ordner zu verschlüsseln, benötigen Sie mindestens fünf Klicks. Ein neuer Kontextmenü-Eintrag bietet Direktzugriff.
Schreibschutz für USB-Sticks: Der Parameter „WriteProtect“ verhindert, dass Daten von Ihrem Rechner auf einen USB-Stick kopiert werden
So geht’s: Starten Sie den Registrierungs-Editor und navigieren Sie zu dem Schlüssel „HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced“. Erstellen Sie in der rechten Fensterhälfte einen neuen DWORD-Wert mit der Bezeichnung EncryptionContextMenu und setzen Sie ihn auf 1. Fortan lassen sich Objekte über das Kontextmenü verschlüsseln.
8. Schreibschutz für USB-Sticks
Ein Registry-Eintrag verhindert, dass Unbefugte Daten Ihres PCs auf USB-Sticks kopieren.
So geht’s: Starten Sie den Registrierungs-Editor und navigieren Sie zu dem Schlüssel „HKEY_LOCAL_MACHINE\SYSTEM\Current ControlSet\Control“. Erstellen Sie einen neuen Schlüssel namens StorageDevicePolicies. Legen Sie in der rechten Fensterhälfte den DWORD-Wert WriteProtect an und setzen Sie ihn auf 1. Jeder Stick, der fortan eingesteckt wird, ist schreibgeschützt.
