Windows sicherer machen - Einstellungen anpassen - Brain 0.1

#1 Nicht auf alles klicken, keine unbekannten Dateien öffnen, auf Software aus "Dubiosen Quellen" verzichten!

Alle verfügbaren Patches von MS installieren. Regelmäßig über neue Informieren!
Automatische Updates (Dienst) verwenden!

Virenscanner installieren und das Programm und die Definitionen/Signaturen immer aktuell halten.

NTFS Dateisystem verwenden.

Dienste richtig konfigurieren/Lücken schließen!-> Download

Zur Dateiübertragung im Netzwerk nur FTP nutzen.

Keine Desktop-Such-Tools (Google, Microsoft,Yahoo etc.) verwenden!

SUN Java verwenden

Alternativ WebBrowser verwenden!
Firefox
Opera
Mozilla

Alternativ Mail Client verwenden!
z.B. Mozilla Thunderbird

Benutzer mit Benutzerrechten (kein Hauptbenutzer!) ausstatten (nicht mit Administratorrechten!) und ein vernünftiges Passwort festlegen (länger als 8 Zeichen, Willkürlich gewählt (kein Wort):

Nachträglich:


Benutzer mit Benutzerrechten ausstatten (nicht mit Administratorrechten!):



Oder mittels Gruppenwechsel-Script*
*aus dem Script den Schalter /savecred entfernen (denn mit diesem Schalter hinterbleiben die "zeitweise" gegebenen Adminrechte als Regschlüssel in der Registry und es kann manipuliert werden)

Autostart - für User verhindern

Zitat

Es gibt unter Windows verschiedene möglichkeiten einen Autostart einer Software, um sie automatisch bei jedem Start zu laden, zu ermöglichen.

Dies kann gewünscht sein, oder im Fall von Schädlingen halt nicht. Die meisten Autostart Punkte in denen eingetragen wird was beim Systemstart gestartet wird sind nur als Administrator oder Hauptbenutzer zugänglich.

Es gibt jedoch auch Autostart Möglichkeiten als Benutzer, dieses könte natürlich ein Schädling ausnutzen und sich im System einnisten.

Um diese zu unterbinden sollte man den in den entsprechenden Bereichen dem Benutzer sein ursprüngliches Schreibrecht entziehen.

Dies wäre der Ordner

C:\Dokumente und Einstellungen\<Benutzername>\Startmenü\Programme\Autostart

Und im Registry-Bereich HKEY_CURRENT_USER\Software\Microsoft sind es die Unterschlüssel.

* Windows\CurrentVersion\Run
* Windows\CurrentVersion\RunOnce
* Windows NT\CurrentVersion\Windows

An diesen Stellen entzieht man nun dem Benutzer das Schreibrecht, jedoch ist bei diesen Stellen möglicherweise der Benutzer auch der Besitzer, als Besitzer kann er sich sich wieder Schreibrechte geben und somit wäre die Arbeit für die Katz. Also ist es notwendig bei dem Objekt die Gruppe Administratoren als Besitzer einzutragen.

Um dies zu Ermöglichen muss der aktuelle Benutzer jedoch vorrübergehend über Administrator-Rechte Verfügen. Dazu muss man sich selbst in die Administratorgruppe bringen, für den einfachen Wechsel hat die c't Gruppenwechsel-Script entwickelt. Für das einfachere setzen der Berechtigungen in an den o.g. hat die c't ein Tool Namens Kafu (Keine Autostarts für User) veröffentlicht.

Man sollte allerdings den Schalter savecred aus dem Skript entfernen, denn mit diesem Schalter hinterbleiben die "zeitweise" gegebenen Adminrechte als Regschlüssel in der Registry und der Schlüssel kann manipuliert werden.

Verhindern das Dateien "getarnt" ausgeführt werden (für alle Ordner übernehmen):



Erweiterte Dateifreigaben Windows XP Prof. (für alle Ordner übernehmen):



Internetexplorer "Entschärfen":

ActiveX/Scripting deaktivieren (InternetZone):

Start->Systemsteuerung->Internetoptionen->Sicherheit->Internet:Stufe anpassen

ActiveX Elemente deaktivieren:


Scripting deaktivieren:


ActiveX/Scripting deaktivieren (Lokales Intranet):

Start->Systemsteuerung->Internetoptionen->Sicherheit->Lokales Intranet->Stufe anpassen

ActiveX Elemente deaktivieren:

IPB Bild

Scripting Elemente deaktivieren:


Um Windows Update weiterhin zu nutzen zu können:

Start->Systemsteuerung->Internetoptionen->Sicherheit->Vertrauenswürdige Sites->Sites:

http://windowsupdate.microsoft.com und http://v5.windowsupdate.microsoft.com hinzufügen



Netzwerk (Protokollbindungen entfernen):

Start->Systemsteuerung->Netzwerkverbindungen->Netzwerkadapter/DFÜ->Rechtsklick Eigenschaften:
Client für Microsoft-Netzwerke-> Haken entfernen
Datei- und Druckerfreigabe für Microsoft-Netzwerke-> Haken entfernen



NetBiosüber TCP/IP deaktivieren:

Start->Systemsteuerung->System->Hardware->Gerätemanager->Ansicht->Ausgeblendete Geräte->Nicht-PnP-Treiber:Netbios über TCP/IP



DCOM "Ausschalten" (nicht XP SP2)-> DCOMbob


Verhindern das der RPC-Dienst anonyme Anfragen entgegennimmt:
(GPedit.msc bei XP-Home Edition nicht verfügbar)

Start->Ausführen->GPedit.msc

Alle Haken setzen bei:
Netzwerksicherheit: Minimale Sitzungssicherheit für NTLM-SSP-basierte Clients
Netzwerksicherheit: Minimale Sitzungssicherheit für NTLM-SSP-basierte Server



Freigaben auf die anonym zugegriffen werden kann deaktivieren:

Start->Ausführen->GPedit.msc



Administrative Freigaben deaktivieren:

Code

Windows Registry Editor Version 5.00

;Administrative Shares deaktivieren
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters]
"AutoShareServer"=dword:00000000
"AutoShareWks"=dword:00000000

In einen Text Editor einfügen, mit der Dateiendung .reg speichern und in die Registry Importieren.


Auslagerungsdatei löschen (Achtung! Windows beenden dauert durch diese Maßnahme länger!)

Start->Einstellungen->Systemsteuerung->Verwaltung->Lokale Sicherheitsrichtlinie->Lokale Richtlinien->Sicherheitsoptionen:

"Herunterfahren: Auslagerungsdatei des virtuellen Arbeitsspeichers löschen" aktivieren.

SpoofStick für IE und Firefox

Spoofstick ist eine einfache Browser Erweiterung die dazu beitragen kann s.g. Phishing zu erschweren. Ein Phisher versucht, Anwender durch gefälschte E-Mails oder ähnliches dazu zu bringen, gefälschte Webseiten zu besuchen und dort persönliche Informationen wie Bankzugangsdaten, Kreditkartennummern etc. einzugeben. Eine solche Fake-Webseite erscheint dem Benutzer als Bekannte/Vertrauenswürdige Seite, nur die Adresse der Seite variiert, bzw. verwirrt durch kleine, zum Teil unauffällige Unterschiede.

Spoofstick zeigt jederzeit die (echte) aufgerufene Seiten Adresse an (in Fenstern und Tabs).



Hersteller Seite: http://corestreet.com/spoofstick/index.html

Direkt Download FF Version 1.04 http://www.realtimecredentials.com/demos/s...ick-firefox.xpi

Direkt Download IE Version 1.02 http://www.realtimecredentials.com/demos/spoofstick-ie.exe

Internet Explorer nur für gewünschte Adressen nutzen

Code

[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\CurrentVersion]

[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings]

[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings]
; Suche in HKLM nach Proxy-Settings
"ProxySettingsPerUser"=dword:00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
; Proxy einschalten
"ProxyEnable"=dword:01
; Verwende HTTP 1.1
"ProxyHTTP1.1"=dword:01
; Ausnahmeliste - die Ausnahmeliste muss jeder unter Umständen selbst definieren.
; Erlaubt ist hier nur Windowsupdate.
; weitere mögliche Einträge
; ein LAN 192.168.240.0/24: 192.168.240.*
; Kaspersky: kaspersky-labs.com;*.kaspersky-labs.com
; MS Messenger: passport.com;*.passport.com
"ProxyOverride"="*.windowsupdate.com;windowsupdate.microsoft.com;*.windowsupdate.microsoft.com;wustat.microsoft.com;
*.microsoft.nsatc.com"
; Adresse des Proxys. Die Adress 127.0.0.1:9 bewirkt, dass Anfragen des IE nicht mehr beantwortet werden
; und somit der IE faktisch stillgelegt ist. Für lokale Anwendungen jedoch ist der
; IE weiter nutzbar, wie zum Beispiel die Windows-Hilfe.
"ProxyServer"="127.0.0.1:9"

[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings]
; Alle Sicherheitseinstellungen des IEs werden global vom Administrator festgelegt
"Security_HKLM_Only"=dword:01

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap]
"IntranetName"=dword:00
; Den Proxy für lokale Adressen nicht umgehen
"ProxyByPass"=dword:00
"UNCAsIntranet"=dword:01

Die Zoneneinstellungen sind nach Reg Import ggf. neu anzupassen!


Diese Anleitung entspannt aus dem Winfuture Forum - und ist wie ich finde sehr schön umfangreich.
Ich frage mich ob Interesse besteht das man für diese Anleitung ein Tool schreibt, da man viele Einstellungen hier in einem solchen Tool sicherlich automatisieren könnte!

#2 Guten Tag,

für wen ist die unten genannte Einstellung von Bedeutung ?


Alle Haken setzen bei:
Netzwerksicherheit: Minimale Sitzungssicherheit für NTLM-SSP-basierte Clients
Netzwerksicherheit: Minimale Sitzungssicherheit für NTLM-SSP-basierte Server



Quelle: http://board.protecus.de/t22969.htm#ixzz0fGJrhcJg
__________
Windows 7 Professional SP 1 -- FRITZ!Box Fon WLAN 7270

#3 warum wird das mailprogramm nicht konfiguriert, ich finde man kann auch outlook nutzen, wenn man die ansicht auf zb nur text einstellt dann ist doch schon mal ne menge entschärft. diese einstellung sollte man natürlich auch für jeden anderen mail client nutzen.

#4

Zitat

Geodät postete
Guten Tag,

für wen ist die unten genannte Einstellung von Bedeutung ?


Alle Haken setzen bei:
Netzwerksicherheit: Minimale Sitzungssicherheit für NTLM-SSP-basierte Clients
Netzwerksicherheit: Minimale Sitzungssicherheit für NTLM-SSP-basierte Server

Hallo Geodät,

der Beitrag ist ja auch schon ein wenig älter...
So, zum Thema NTLM-SSP...

Zitat

http://technet.microsoft.com/de-de/library/dd566199(WS.10).aspx
Wenn es erforderlich ist, für Client- oder Serveranwendungen mit einer 40-Bit- oder 56-Bit-Verschlüsselung mit NTLM eine schwächere Verschlüsselung zu verwenden, dann müssen Sie die entsprechenden Richtlinien festlegen, indem Sie das Kontrollkästchen 128-Bit-Verschlüsselung erfordern in den folgenden Richtlinieneinstellungen deaktivieren:
Netzwerksicherheit: Minimale Sitzungssicherheit für NTLM-SSP-basierte Clients (einschließlich sicherer RPC-Clients)

Netzwerksicherheit: Minimale Sitzungssicherheit für NTLM-SSP-basierte Server (einschließlich sicherer RPC-Server)

oder hier:

Zitat

http://technet.microsoft.com/de-de/library/dd443752.aspx
Netzwerksicherheit: Minimale Sitzungssicherheit für NTLM-SSP-basierte Clients (einschließlich sicherer RPC-Clients)

Diese Richtlinieneinstellung ermöglicht es einem Clientcomputer, die Aushandlung von Nachrichtenvertraulichkeit (Verschlüsselung), Nachrichtenintegrität, 128-Bit-Verschlüsselung und NTLMv2-Sitzungssicherheit zu verlangen. Diese Werte sind abhängig von dem Wert, der für die Richtlinieneinstellung Netzwerksicherheit: LAN Manager-Authentifizierungsebene festgelegt wurde.

Für die Einstellung Netzwerksicherheit: Minimale Sitzungssicherheit für NTLM-SSP-basierte Clients (einschließlich sicherer RPC-Clients) sind folgende Werte möglich:

Nachrichtenvertraulichkeit erfordern. Die Verbindung schlägt fehl, wenn keine Verschlüsselung ausgehandelt wird. Verschlüsselte Daten können erst gelesen werden, wenn sie entschlüsselt werden.

Nachrichtenintegrität erfordern. Die Verbindung schlägt fehl, wenn keine Nachrichtenintegrität ausgehandelt wird. Die Integrität einer Nachricht kann anhand einer Nachrichtensignatur ermittelt werden. Durch die Nachrichtensignatur wird bestätigt, dass eine Nachricht nicht geändert wurde. Zu diesem Zweck wird der Nachricht eine kryptografische Signatur angehängt, die den Absender identifiziert und den Nachrichteninhalt numerisch darstellt.

128-Bit-Verschlüsselung erfordern. Die Verbindung schlägt fehl, wenn keine 128-Bit-Verschlüsselung ausgehandelt wird.

NTLMv2-Sitzungssicherheit erfordern. Die Verbindung schlägt fehl, wenn kein NTLMv2-Protokoll ausgehandelt wird.

Nicht definiert.

@ virenfinder
Da o.g. ist ja nur eine Empfehlung und das sogar aus einem anderen Forum. Ich denke auch, dass man Outlook (Express) problemlos einsetzen kann.
Da Outlook sich an die Sicherheitszone des IE für eingeschränkte Sites einklinkt sehe ich persönlich auch kein größeres Risiko als mit Thunderbird etc.
__________
Woher soll ich wissen was ich denke, bevor ich höre was ich sage??
Sag NEIN zu HD+/CI+ - boykottiert die Etablierung von HD+/CI+!