Windows 7 und 8 enthalten ein Arsenal von Sicherheitsfunktionen gegen Angriffe von außen und innen. Hier lesen Sie, was die wichtigsten Komponenten leisten und wie Sie diese kompetent nutzen.
Von Dr. Hermann Apfelböck, Redaktionsbüro MucTec
Windows hat Sicherheitsfunktionen bitter nötig: Es ist aufgrund seiner Verbreitung das bevorzugte Angriffsziel für Internetbanditen und Datenschnüffler. Mit gutem Grund baut Microsoft daher die Sicherheit von Version zu Version weiter aus. Dieser Beitrag zeigt den aktuellen Stand von Windows 7 und 8 mit den wichtigsten Regeln für den praktischen Einsatz. Nicht berücksichtigt sind hier die umfangreichen Wiederherstellungsoptionen für den Pannenfall.
Secure Boot mit UEFI-Firmware
Auf neueren PCs, Notebooks und Tablets mit Windows 8 und UEFI-Firmware greift ein neuer Schutzmechanismus: Voraussetzung ist neuere UEFI-Firmware (Unified Extensible Firmware Interface) mit TPM-Chip (Trusted Platform Module). Secure Boot sichert den Boot-Prozess ab und startet nur noch zertifizierte, im TPM-Chip hinterlegte Systeme.
Davor schützt Secure Boot: Die Funktion verhindert das Laden schädlicher Boot-Loader, die sich vor dem Windows-Start aktivieren, dann Windows starten und unter Windows unerkannt den Rechner kontrollieren. Solche elaborierte Schad-Software (Rootkits, Bootkits) zielt in der Regel nicht gegen den individuellen Rechner, sondern auf den Aufbau einer Bot-Armee. Ein Schutz gegen solche Malware ist eine dringende Aufgabe, allerdings verhindert Secure Boot auch normale Betriebssysteme.
Tipps für den Einsatz:Sie müssen nur aktiv eingreifen, wenn Secure Boot den Start eines Systems verhindert, das Sie laden wollen. Auf PCs und Notebooks lässt das Setup der UEFI-Firmware das Abschalten der Sicherheitsfunktion zu – meistens auf der Registerkarte „Security“. Auf Tablet-PCs mit Windows 8 ist das nicht möglich.
Gratis-Sicherheits-Tools für Windows
Laufwerke verschlüsseln mit Bitlocker
Der Bitlocker von Microsoft bietet sichere Verschlüsselung von Datenpartitionen, USB-Medien oder auch des Systemlaufwerks. Auf Windows-8-Tablets ist das Systemlaufwerk standardmäßig Bitlocker-verschlüsselt. Auf PC-Systemen ist Bitlocker nur in höherwertigen Editionen enthalten (Windows 7 Ultimate, Windows 8 Pro).
Davor schützt Bitlocker:Der Zugriff auf Bitlocker-Laufwerke erfolgt entweder automatisch bei der Windows-Anmeldung oder nach Eingabe des Kennworts. Damit schließt Bitlocker eine Sicherheitslücke, die beim Verlust des Gerätes (Notebook, Tablet) und beim Einbruch über ein Zweitsystem entsteht: Die Daten unverschlüsselter Laufwerke sind für jedes Windows- oder Linux-System ohne Kenntnis von Konten und Kennwörtern zugänglich. Bitlocker-Laufwerke kann das Zweitsystem nicht lesen.
Tipps für den Einsatz: Alle Funktionen der Laufwerksverschlüsselung sind über die Kontextmenüs der Laufwerke bequem erreichbar: „Bitlocker aktivieren“, „Laufwerk entsperren“, „Bitlocker verwalten“. Für das Verschlüsseln einer Datenpartition, die nicht das Betriebssystem enthält, gibt es keine Einschränkungen. Bitlocker verschlüsselt NTFS, FAT32, FAT16 oder exFAT. Für das Verschlüsseln der Systempartition ist hingegen ein TPM-Chip notwendig (Trusted Platform Module) und eine zweite Partition auf derselben Festplatte. Dies lässt sich über die Datenträgerverwaltung durch Verkleinern der Systempartition erreichen.
Bitlocker ist eine reine Partitionsverschlüsselung. Um kleine Datenmengen zu verschlüsseln, gibt es zwei Möglichkeiten: das angesprochene Verkleinern einer Festplatte und Verschlüsseln der entstandenen kleinen Partition oder der Weg über eine VHD-Datei (Virtual Hard Disk). Eine VHD der gewünschten Größe erstellen Sie in der Datenträgerverwaltung („Aktion, Virtuelle Festplatte erstellen“). Ist diese initialisiert, formatiert und als Laufwerk geladen, akzeptiert sie Bitlocker wie eine Partition.
Weitere Sicherheitsfunktionen im Telegramm
Windows Update: Sicherheits-Updates sind unentbehrlich. Unter „Systemsteuerung, Windows-Update“ muss die automatische Installation der Updates eingestellt sein.
Wartungscenter: Unter „Systemsteuerung, Wartungscenter“ finden Sie eine zentrale Anlaufstelle für wichtige Sicherheitskomponenten.
Family Safety:Mit dieser Funktion können Sie Zeitbeschränkungen, Software- und Webrichtlinien für Standardbenutzer vorgeben. Das Modul ist Standard in der Windows-8-Systemsteuerung, unter Windows 7 kann es als Bestandteil der Windows Live Essentials auf Wunsch nachinstalliert werden.
Policies (Verbote): Die Windows-Registry erlaubt Hunderte vordefinierter Richtlinien. Als dafür spezialisierte Zentralen stehen „Secpol.msc“ und in Pro-Editionen „Gpedit.msc“ zur Verfügung.
Unter Windows 7 ist der Defender noch als Antispyware spezialisiert, in Windows 8 arbeitet die Schutz-Software als vollwertiges Antiviren-Programm. Damit hat Microsoft die Security Essentials, die Sie für Windows 7 als kostenlosen Download erhalten, unverändert in Windows 8 eingebaut.
Davor schützen die Security Essentials: Die Anti-Malware bietet einen Echtzeitschutz gegen Viren, Trojaner und Spyware, der das Laden solcher Schädlinge blockiert. Sie können dann entscheiden, ob Sie das Programm zulassen, löschen oder in Quarantäne aufbewahren wollen. Neben dem Echtzeitschutz gibt es in regelmäßigen Abständen einen Scan der Systemdateien „(Schnell“), den Sie auch auf alle Dateien ausweiten können („Vollständig“). Die Security Essentials oder der Defender in Windows 8 erhalten regelmäßig neue Virensignaturen. Kostenpflichtige Antiviren-Programme bieten etwas bessere Aktualität und höhere Erkennungsraten, zeigen aber meist auch höheren Ressourcenverbrauch und aufdringlicheres Verhalten.
Tipps für den Einsatz:Der Echtzeit-Virenwächter kostet wie jede andere AV-Software Zeit und Ressourcen. Spürbar wird das, wenn er größere Programmsammlungen und ZIP-Archive durchsuchen muss. Manche Bremse können Fortgeschrittene nach Aufruf des „Windows Defender“ (MSASCui.exe) auf der Registerkarte „Einstellungen“ manuell lösen: Unter „Ausgeschlossene Dateien und Speicherorte“ definieren Sie Pfade, die der Defender ignorieren darf, und unter „Erweitert“ lassen sich Archivdateien von der Überwachung ausnehmen. Vergessen Sie nicht den abschließenden Klick auf „Änderungen speichern“.
Wenn Sie eine alternative AV-Software installieren, sollten Sie den Defender (oder die Security Essentials) abschalten. Nachhaltig erledigen Sie das unter Windows 8 nach Aufruf der Dienstekonsole „services.msc“, indem Sie den „Windows Defender-Dienst“ erst „Beenden“ und dann neben „Starttyp“ auf „Deaktiviert“ setzen. Unter Windows 7 mit installierten Security Essentials heißt der Dienst „Microsoft Antimalware Service“.
10 Tipps für mehr Windows-Sicherheit
Der eingebaute Smartscreen-Filter
Der Smartscreen-Schutz soll Surfen und Downloads sicherer machen. Windows-Systeme bieten Smartscreen schon länger, aber erst mit Windows 8 geht Microsoft dazu über, auch Browser jenseits des eigenen Internet Explorer zu unterstützen.
Davor schützt Smartscreen:Unter Windows 7 greift Smartscreen nur beim Internet Explorer. Sie erhalten eine Warnung, wenn Microsoft die besuchte Webseite als betrügerische Phishing-Seite bekannt ist („unsichere Webseite“). Sie erhalten ebenfalls eine Warnung, wenn ein Download keine Herstellersignatur besitzt und die automatische Abfrage beim Microsoft-Server einen Schädling vermuten lässt. Wenn Microsoft nichts über die Datei weiß, erscheint eine allgemeine Warnung, dass der Download unbekannt und theoretisch gefährlich sei. In Windows 8 funktioniert die Download-Kontrolle unabhängig vom Browser. Phishing-Seiten meldet Smartscreen aber auch hier nur beim Einsatz des Internet Explorer.
Tipps für den Einsatz: Smartscreen warnt, aber verbietet nicht: Sie können sich über die Warnung hinwegsetzen. Über „Weitere Informationen, Trotzdem ausführen“ starten Sie die Webseite oder den Download. Erfahrene Windows-Nutzer können Smartscreen entschärfen oder ganz abschalten. Die Optionen finden sich unter „Systemsteuerung, Wartungscenter, Windows SmartScreen-Einstellungen ändern“.
Das Systemsteuerungs-Applet „Internetoptionen“ enthält ein differenziertes Zonenmodell für den Zugang ins Internet. Die meisten PC-Benutzer dürfte die Registerkarte „Sicherheit“ deutlich überfordern. Noch entscheidender ist aber, dass dieser Dialog „Eigenschaften von Internet“ nicht ist, was er vorgibt: Alle Einstellungen gelten nämlich nur beim Einsatz des Internet Explorer.
Davor schützen die Internetoptionen: Die Registerkarte „Sicherheit“ erlaubt unterschiedliche Sicherheitsregeln für vier verschiedene Webzonen: für nicht näher definierte Webseiten („Internet“), für das lokale Intranet, für vertrauenswürdige und eingeschränkte Sites. Das Zonenmodell kann potenziell gefährliche Script- und ActiveX-Komponenten gezielt in jenen Internet-Zonen abschalten, wo sie zu erwarten sind, und dort erlauben, wo keine Gefahr droht.
Tipps für den Einsatz: Firefox- oder Chrome-Nutzer können die „Internetoptionen“ ignorieren. Als Benutzer des Internet Explorer 9 oder 10 sollten Sie sicherstellen, dass für die Zone „Internet“ die Standardstufe „Mittel bis hoch“ eingestellt ist. Alle anderen Stufen sind im privaten Umfeld meistens nicht definiert.
Wenn Sie auf einer wichtigen Internetseite mit der Sicherheitsstufe „Mittel bis hoch“ Probleme haben, gehen Sie im Internet Explorer auf „Internetoptionen, Sicherheit, Vertrauenswürdige Sites, Sites“. Die Adresse der aktuellen Seite steht bereits im Eingabefeld. Beginnt diese mit „https://“, klicken Sie auf „Hinzufügen“ und „Schließen“. Andernfalls deaktivieren Sie vorher die Option „Für Sites dieser Zone ist eine Serverüberprüfung (https:) erforderlich“. Für die Zone „Vertrauenswürdige Sites“ gibt es kaum Verbote; somit ist auszuschließen, dass Sicherheitseinstellungen die korrekte Darstellung behindern.
Wichtiges Grundwissen zu Firewalls
Die Windows-Firewall
Paketfilter wie die Windows-Firewall sind eine empfehlenswerte Ergänzung zum DSL-Router, der seinerseits einen Basisschutz bietet. Die Windows-Firewall wurde mit Windows XP eingeführt und gilt seit Windows 7 als ausgereift.
Davor schützt die Firewall: Die Firewall blockt standardmäßig alle Zugriffsversuche aus dem Internet und lässt nur Daten passieren, die der PC zuvor tatsächlich angefordert hat. Alles andere – und damit auch Angriffsversuche aus dem Web – weist die Firewall ab.
Tipps für den Einsatz: Eine Meldung „Die Windows-Firewall hat [...] blockiert“ sollten Sie immer ernst nehmen. Nur wenn Sie das im Meldungsfenster angezeigte Programm selbst aufgerufen haben, können Sie mit „Zugriff zulassen“ die Blockade aufheben. Damit nehmen Sie das Programm dauerhaft in die Liste der zugelassenen Programme auf. Genau diese Liste sollten Sie dann auch gelegentlich kontrollieren, um sicher zu sein, dass dort nur erwünschte Einträge stehen. Die Liste finden Sie unter, Systemsteuerung, Windows Firewall, Programm/App über die Windows-Firewall kommunizieren lassen“.
Windows fordert immer die Anmeldung an einem eingerichteten Konto. Ob Sie diese Anmeldung mit einem Online-Konto verbinden (Windows 8), ob Sie das Konto ungeschützt durch automatische Anmeldung betreten, ob Sie ein Konto mit Administratorrechten oder eingeschränkten Rechten nutzen – das ist sekundär. Entscheidend ist, dass Sie mit der Konto-Anmeldung immer eine definierte Rolle mit definierten Rechten einnehmen. Ein zweites Konto startet übrigens immer mit – das System selbst.
Davor schützen Benutzerkonten:Das sind die wichtigsten Schutzfunktionen und ihre Grenzen:
• Zugangsschutz:Personen ohne Konto und Kennwort können sich nicht anmelden und somit Windows nicht benutzen. Der Zugriff auf Festplatte und Dateien ist aber durch Zweitsysteme möglich.
• Datenschutz: Die Benutzerdaten der Konten sind automatisch durch NTFS-Rechte gegeneinander abgeschirmt. Dadurch können mehrere Personen mit einem System arbeiten, ohne Zugriff auf die Dateien der anderen Konten zu haben. Das gilt aber nur für „Standardbenutzer“. Der zweite Kontotyp „Administrator“ hat zwar zunächst auch keine Rechte auf Fremddateien, kann sich die Zugriffsrechte aber jederzeit verschaffen.
• Systemschutz: Die Benutzerrolle und der Kontotyp („Administrator“ oder „Standard“) schützen das System vor digitalen Schädlingen und vor Fehlbedienung. Selbst ein Administratorkonto hat unter Windows 7 und 8 aufgrund der Benutzerkontensteuerung zunächst nur eingeschränkte Rechte und damit automatisch auch alle aus dem Konto gestartete Programme.
Wenn Windows nervt, dann helfen diese exklusiven Tipps & Tools
Tipps für den Einsatz:Aufgrund der Benutzerkontensteuerung, die Administratorkonten automatisch herunterstuft, sind Konten dieses Typs unter Windows 7 und 8 relativ sicher. Daher genügt auf einem von einer Person genutzten Windows im Prinzip das bei der Installation erstellte Administratorkonto. Allerdings müssen Sie die Abfragen der Benutzerkontensteuerung („Möchten Sie zulassen…“) stets ernst nehmen: Diese sollten sich immer und eindeutig auf das Programm beziehen, das Sie selbst gerade zu starten versuchen. Ein „Ja“ bedeutet immer, dass Sie sich von einem sicheren Benutzerkontext in den Admin-Status hochstufen, der theoretisch alles darf.
Für andere PC-Benutzer oder für erhöhte Sicherheit für sich selbst, legen Sie unter „Systemsteuerung, Benutzerkonten“ neue Konten vom Typ „Standardbenutzer“ an. Wenn Sie als eingeschränkter Standardbenutzer Aktionen auslösen, die Administratorrechte erfordern, erscheint ebenfalls ein Dialog der Benutzerkontensteuerung: Hier ist es aber nicht mit einem „Ja“-Klick getan, sondern Sie müssen das Kennwort eines Administratorkontos eingeben. Standardbenutzer, die kein Admin-Kennwort kennen, kommen nicht über diese Hürde.
Der Systemsteuerungspunkt „Benutzerkonten“ genügt zum Einrichten und Entfernen von Konten. Für Aktionen wie das Deaktivieren von Konten oder für automatische Anmeldung ohne Kennwort verwenden Sie auf Pro-Versionen die Konsole „Lusrmgr.msc“ („Lokale Benutzer“) und den Dialog „control userpasswords2“.
NTFS-Rechte und EFS-Verschlüsselung
Windows fordert seit Version Vista auf seiner Systempartition das Dateisystem NTFS. Es ist Voraussetzung für die Dateirechte der Benutzerkonten und des Systems selbst.
Davor schützen NTFS-Rechte:Die Zugriffssteuerungsliste (ACL) des Dateisystems ist technische Basis dafür, dass (Standard-) Benutzer nicht auf die Dateien anderer Konten zugreifen können. Auch Konten vom Typ „Administrator“ dürfen längst nicht alles: So verbieten es die Standard-NTFS-Rechte auch einem Admin-Konto, in Systemordnern Dateien zu verändern. Ein zusätzliche Option ist die in NTFS eingebaute EFS-Verschlüsselung (Encrypting File System), die allerdings nur in Windows-Pro-Editionen freigeschaltet ist: Derart verschlüsselte Dateien und Ordner können im eigenen Konto normal genutzt werden, sind aber für andere Windows-Konten und auch beim „Einbruch“ über ein Zweitsystem unlesbar.
Tipps für den Einsatz: In einem Konto vom Typ „Administrator“ können Sie grundsätzlich alle NTFS-Rechte neu setzen. Das geschieht bei Ordnern wie Dateien nach Rechtsklick über „Eigenschaften, Sicherheit“. Notwendig ist die Aktion vor allem bei Multi-Boot-Systemen und auf externen USB-Festplatten, die auf mehreren PCs genutzt werden. Wenn Sie im genannten Dialog über „Bearbeiten“ keinen Vollzugriff für Ihr Konto einstellen können, hilft es, über „Erweitert“ den Besitzer zu „Ändern“ und die Vererbung der Rechte zu deaktivieren. Der komplizierte Unterdialog hat unter Windows 8 mit der Schaltfläche „Vererbung deaktivieren“ Klarheit gewonnen.
Die EFS-Dateiverschlüsselung nutzen Sie ebenfalls über die „Eigenschaften“ von Dateiobjekten: Hier finden Sie unter „Erweitert“ die Option „Inhalt verschlüsseln“.
Dieser Beitrag erschien bereits in unserer Schwesterpublikation PC-Welt