Windows-Betriebssysteme waren immer für ihre einfache Bedienbarkeit bekannt, bei der angestrebt wurde, komplizierte Aufgaben mit einfachen Befehlen auszuführen. Aber manchmal steht die Bedienbarkeit im Gegensatz zur Sicherheit. Mit der weit verbreiteten Nutzung des Internets ist jeder PC im Netzwerk ein Knotenpunkt im Internet. Deshalb muss jeder Wert auf die eigene Sicherheit legen. Als neueste Version von Windows hat XP die beste Bedienbarkeit. Unglücklicherweise bringen viele Standardeinstellungen, die auf verbesserte Bedienbarkeit abzielen, Sicherheitsrisiken mit sich.
1. Einfache Datei-Freigabe
Um für Netzwerk-Benutzer eine einfache Datei-Freigabe durch einfache Mausklicks zu erreichen, hat XP viele Net-BIOS Sicherheitslücken geöffnet. Mit den folgenden Schritten lässt sich die "Einfache Datei-Freigabe" abschalten:
Das Symbol Arbeitsplatz doppelklicken und den Menüpunkt Extras auswählen. Dann Ordneroptionen auswählen und den Tab Ansicht auswählen. In der Liste erweiterte Einstellungen den vierten Eintrag von oben "einfache Dateifreigabe verwenden (empfohlen) " abwählen.
2. FAT32
Auf neuen Rechnern sind viele Festplatten mit dem Dateisystem FAT32 formatiert. Um die Sicherheit zu erhöhen, können wir FAT32 in NTFS umwandeln. NTFS erlaubt eine verbesserte und sicherere Kontrolle über die Zugriffsrechte auf Dateien und Verzeichnisse. Wir können auch das Dateisystem mit Verschlüsselung (EFS) verwenden, um zu verhindern, dass Dateien auf der Ebene von Dateiabschnitten gestohlen werden.
Innerhalb vom Arbeitsplatz können wir das Dateisystem überprüfen, indem wir mit der rechten Maustaste auf die Festplatte klicken (C: zum Beispiel) und Eigenschaften auswählen. Um das Dateisystem in NTFS umzuwandeln, müssen wir zuerst alle wichtigen Dateien sichern. Dann den Startknopf an der unteren linken Ecke des Desktop anklicken und auswählen. Dann "cmd" eintippen und die Eingabe-Taste drücken. Ein DOS Ausführen Fenster erscheint. Dort "convert x: /fs:ntfs" eintippen (wobei x der Laufwerksbuchstabe ist. z.B. convert c: /fs:ntfs).
Achtung: bei diesem Kommando bitte vorsichtig sein, da NTFS nicht mehr in FAT zurück umgewandelt werden kann.
3. Gast Konten
Über Gastkonten kann man sich am Computer anmelden, aber die Zugriffsrechte sind eingeschränkt. Unglücklicherweise bieten Gastkonten einen beliebten Zugang für Hacker, um auf den Computer zuzugreifen. Solange das Gastkonto nicht absolut notwendig ist, ist es besser, es zu deaktivieren. In Windows XP Professionell mit der rechten Maustaste auf Arbeitsplatz klicken und Verwalten auswählen. Das Verzeichnis "lokale Benutzer und Gruppen" anklicken und anschließend "Benutzer". Das Konto Gast Doppelklicken, um das Fenster "Eigenschaften von Gast" zu eröffnen und dann das Kästchen "Konto ist deaktiviert" ankreuzen. Bei WinXP Home ist die Deaktivierung des Gastkontos nicht erlaubt. Wir können aber ein Passwort für das Gastkonto erstellen. Um dies zu machen auf Start und Ausführen klicken und "cmd" eintippen, um ein DOS Fenster zu öffnen (wie oben). Dort "Net user guest password" eintippen und die Eingabetaste betätigen. Dann das DOS Fenster wieder schließen und Benutzerkonten in der Systemsteuerung öffnen. Dann ein Passwort für das Gastkonto einsetzen, indem man mit der rechten Maustaste auf Gastkonto klickt und Passwort setzen auswählt. Bei der Auswahl eines Passwortes darauf achten, dass auch Buchstaben und Zahlen verwendet werden und möglichst keine vollständigen Worte vorkommen. Wenn ihr zum Beispiel das Wort "Computer" verwenden wollt, dann das Wort mit einer Ziffer aufbrechen oder Buchstaben durch Ziffern ersetzen: "c0mputer" ist ein sehr viel sicheres Passwort, genauso wie "compu7ter". Dies kommt daher, weil Hacker Wörterbücher verwenden können, um alle möglichen Kombinationen der Wörter aus einem Wörterbuch auszuprobieren. Wenn ihr euer eigenes Wort, wie etwa "h0neym00n" erzeugt, kann man es mit dieser Art von Angriff nicht finden.
4. Das Administrator-Konto
Ein üblicher Weg der Hacker, um in den Rechner einzudringen, ist die Aneignung des Administrator -Kontos. Jeder Computer benötigt mindestens ein Konto mit Administrator-Rechten, aber der Benutzername muss nicht notwendigerweise "Administrator" lauten. Deshalb, ganz gleich ob ihr Windows XP Home oder Windows XP Pro. verwendet, ist es besser ein Konto mit den vollen Zugriffsrechten anzulegen und das Administrator-Konto zu deaktivieren. Darüber hinaus ist es bei WinXP Home besser, den Standard-Besitzernamen zu ändern. Abschließend denkt bitte daran, ausreichend sichere Passwörter für alle aktivierten Konten einzurichten.
5. Auslagerungsdatei
Selbst bei völlig normalen Vorgängen kann Windows immer noch wichtige Daten, einschließlich Passwörtern, auslagern. Normalerweise wird man niemals daran denken, ausgelagerte Dateien zu lesen, aber Hacker machen das ganz sicher. Deshalb ist das erste, was ihr machen solltet, die Auslagerungsdatei des Systems zu bereinigen.
Auf Start->Ausführen klicken, "regedit" eintippen und die Eingabe Taste betätigen. In dem linken Teil des Fensters den Eintrag HKEY_local_machine\system\currentcontrolset\control\sessionmanager\memory management suchen. Dann in den rechten Teil des Fensters den Eintrag von ClearPageFileAtShutdown doppelklicken und den Wert auf 1 setzen.
Achtung: bei der Benutzung von Regedit bitte sehr vorsichtig sein. Sicherheitshalber macht man vor den obigen Änderungen eine Sicherheitskopie die Registrierungsdatei. Dazu im Menü des „Regedit” Fensters Datei->Export auswählen und dann im unteren Teil des Export Dialoges "Alles" auswählen. Dann den Ort für die Sicherung und Datei wählen, einen Dateinamen eintippen und auf Speichern klicken. Wenn nach den obigen Änderungen Probleme auftauchen, weil man bei dem herumklicken in „Regedit” etwas Unbeabsichtigtes gemacht hat, kann man immer „Regedit” öffnen, Datei->Import auswählen und die Sicherungsdatei wieder importieren. Das setzt das System auf den Stand zurück, den es hatte, als die Datei exportiert wurde. Dann kann man das noch einmal versuchen.
6. Die Datei des Hauptspeicherauszuges
Wenn bei dem Betriebssystem ernsthafte Probleme auftauchen, sichert es die Daten im Speicher, in eine "Dump" Datei, die den Technikern helfen kann, eine Diagnose des Problems zu erstellen. Für den normalen Anwender ist diese Datei aber nutzlos. Darüber hinaus kann diese Datei genauso wie die Auslagerungsdatei empfindliche Informationen offen legen. Um das System daran zu hindern, einen Hauptspeicherauszug zu erzeugen, zunächst die Systemsteuerung öffnen. Dort auf System doppelklicken. Dann den Tab "Erweitert" auswählen und "Einstellungen" im Abschnitt "Starten und Wiederherstellen" drücken. Dann bei "Debuginformationen speichern" den Eintrag (keine) auswählen.
Ähnlich wie die Auslagerungsdateien sichert auch die Anwendung Dr. Watson Debug Informationen, wenn eine Anwendung abstürzt. Mit den folgenden Schritten kann Dr. Watson deaktiviert werden: zuerst Start->Ausführen klicken und dann "regedit" eintippen und OK klicken. Dann in der linken Fensterhälfte den Eintrag HKEY_local_machine\software\Microsoft\WindowsNT\ CurrentVersion\AeDebug suchen. Anschließend den Wert des Schlüssels "Auto" auf der rechten Seite auf den Wert "0" setzen. Dann den Ordner C:\Dokumente und Einstellungen\All Users\Gemeinsame Dokumente\DrWatson öffnen und die Dateien "User.dmp" und "Drwtsn32.log" löschen.
7. Unnötige Dienste
Für die Bequemlichkeit des Benutzers startet Windows XP viele unnötige Dienste und öffnet damit eine Hintertür für einen möglichen Hacker-Angriff. Wenn ihr Dienste wie NetMeeting, Remote Desktop Sharing, Remote Desktop Help Session Manager, Remote Registry, Routing und Remote Access (der einen Fernzugriff auf den Rechner ermöglicht ), SSDP Discovery Service, Telnet, Universal Plug und Play Device Host nicht benötigt, ist es besser sie zu schließen. Dazu den Dialog unter Einstellungen-> Systemsteuerung-> Verwaltung-> Dienste< öffnen. Hier findet sich eine Erklärung der Dienste und ihr Status. Um einen Dienst zu schließen, einen Rechts-Klick auf den Dienst machen und Eigenschaften auswählen. Dann bei "Starttyp" "manuell" auswählen und den Knopf "Stop" klicken.
8. Schutz gegen die IPC Hintertür
IPC ist ein Hilfsmittel für die gemeinsame Nutzung von "shared pipes" und ist für die Kommunikation zwischen den Prozessen sehr wichtig. Sie sind bei der Fernwartung eines Computers oder bei der Überprüfung der Ressourcen für die gemeinsame Nutzung eines Computers nützlich. Wir können eine einfache Verbindung mit Computer und IPC herstellen (der Benutzername und das Passwort sind nicht notwendig) und eine Liste der Benutzer erhalten. Jemand mit schlechten Absichten, kann diese Benutzerliste durchsuchen und mit Hilfe einiger Wörterbuch-Tools einen Angriff starten. Die Sicherheitsmaßnahmen sind:
a. Einfache Verbindungen verbieten
Dazu "regedit" starten, den Eintrag HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA suchen und den Wert von "RestrictAnonymous" auf 1 setzen.
b. Die gemeinsame Benutzung der Verwaltung verbieten
Den Eintrag HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters suchen und den Wert von "AutoShareServer" auf 0 setzen.