Windows Vista™ Best Practices for Home Users – Teil 3

Diese Berichte wurden mir freundlicherweise von „Devilfrank“ aus unserem securITy-dome.eu Forum zur Verfügung gestellt. Vielen Dank an „Devilfrank“ für diese hervorragende und umfassende Ausarbeitung!

In diesem dritten Teil werden die Installation von weiteren Programmen und die Sicherheitseinstellungen unter Microsoft Windows Vista behandelt.

Themen dieses Berichts (was Sie erwartet):

Teil 1:

1. Einleitung

• 1.1 Windows Vista™ oder doch lieber Windows XP™ ?

• 1.2 Wenn Windows Vista™, welches?

• 1.3 32Bit oder 64Bit?

2. Installation

• 2.1 Kurzer Abriss

• 2.2 Erste Stolperfallen – fehlende Treiber

• 2.3 Abschluss der Installation

3. Anpassung des Systems

• 3.1 Updates

• 3.2 Desktop einrichten (Hintergrund, Dreamscene, Sidebar, Aero)

Teil 2:

4. Netzwerk einrichten

• 4.1 Netzwerk- und Freigabecenter

• 4.2 Netzwerktyp

• 4.3 Arbeitsgruppe

• 4.4 Dateifreigabe

• 4.5 Druckerfreigabe

• 4.6 W-LAN

Teil 3:

5. Weitere Installationen

• 5.1 Office, PDF-Treiber, etc.

6. Sicherheit herstellen

• 6.1 Grundeinstellungen

• 6.2 Windows Vista Firewall

• 6.3 Virenschutz

• 6.4 Windows Defender

• 6.5 Dateiausführungsverhinderung (DEP)

• 6.6 Internet Explorer

• 6.7 Backup & Systemwiederherstellung

7. Schlussbemerkungen

8. Danksagung

Interne Links

Externe Links

6. Sicherheit herstellen:

6.1. Grundeinstellungen:

Ist der Kaffee in der Tasse noch frisch? Da kann es ja weitergehen…

Das Wichtigste nach der Beendigung der Installation von Windows Vista™ ist die Sicherung des Systems. Es wurde zwar jede Menge unternommen, um Windows Vista™ in der Grundkonfiguration sicherer zu machen (s. Kapitel 1.1), aber es ist dringend zu empfehlen, weitere Schritte zu unternehmen.

Hierzu schon die erste grundlegende Überlegung: eingeschränktes Benutzerkonto ja oder nein. Nun – darüber kann man trefflich streiten. Wo es bei Windows XP™ keine Alternative zum Konto mit eingeschränkten Rechten gibt, liegt die Sache bei Windows Vista™ schon anders. Selbst der Computernutzer mit Adminrechten (Standardkonto) wird bei Windows Vista™ durch die UAC geschützt. Weitere Sicherheitsbarrieren sind schon aktiv (wir kommen gleich dazu), so dass es zumindest im Home- Bereich nicht notwendig ist ein Benutzerkonto mit eingeschränkten Rechten einzurichten. Vor allem nicht, wenn nachfolgende Regeln eingehalten werden. Wem das zu wenig Sicherheit ist, kann natürlich jederzeit über Systemsteuerung\Benutzerkonten ein eingeschränktes Konto einrichten.

6.2. Windows Vista Firewall:

Die Firewall – heutzutage in aller Munde. Ohne geht gar nicht, hört man so. Warum? Nun hier sind die Grundlagen sehr gut dargestellt, siehe --> „Externe Links“.

Wenn hier nachfolgend von der Firewall gesprochen wird, ist immer die Personal-Firewall gemeint. Eine Firewall ist vor allem dann sinnvoll, wenn der Rechner sich nicht hinter einem Router mit so genannter NAT-Firewall befindet. Ist sie zwingend notwendig? Ja, der Datenverkehr sollte schon gefiltert werden, um spezifizierte Angriffe auf das System erkennen und verhindern zu können. Windows Vista™ bringt anders als Windows XP™ eine eigene bi-direktionale Firewall mit, die sowohl eingehenden als auch ausgehenden Datenverkehr überwacht. Allerdings ist die Windows Vista™ Firewall nicht leicht zu bedienen. Das Konfigurationscenter der Windows Vista™ Firewall ist etwas versteckt. Unter Systemsteuerung\Verwaltung ist die Verknüpfung „Windows-Firewall mit erweiterter Sicherheit“ zu finden. Die Windows Vista™ Firewall ist ein äußerst mächtiges Tool und alle Einstellungen, die hier vorgenommen werden, haben direkte, systemweite Auswirkungen.

Es wird dringend empfohlen, nur dann Veränderungen an diesen Einstellungen vorzunehmen, wenn die Auswirkungen absolut klar sind.

Die Windows Vista™ Firewall hat in der Grundkonfiguration voreingestellte Regeln, die das System ausreichend schützen. Wer jetzt an das „Fine-Tuning“ gehen will und eigene Regeln erstellen möchte, findet vielfältige Einstellungsmöglichkeiten. So könnte beispielsweise für das betreffende Profil (hier das private Profil, in dem wir uns ja auch bewegen) der Datenverkehr komplett geblockt werden, um dann anschließend jede einzelne Applikation zu spezifizieren.

Mithilfe des Regelassistenten lassen sich für jedes Programm entsprechend Regeln definieren. Als Beispiel soll hier dem Internet Explorer der ausgehende Datenverkehr im privaten Netz total verboten werden.

Wählt man bei diesem Assistenten „Benutzedefiniert“ können eigene, individuelle Regeln erstellt werden. Mit einem Rechtsklick auf die erstellte Regel, kann diese dann über die Eigenschaften im Kontextmenu nochmals angepasst werden.

Die Anpassungen für jede Applikation sind recht mühsam und aufwändig. Diese intensive Konfigurierbarkeit ist jedoch einmalig im Bereich der Personal Firewalls. Aber Achtung – tritt eine Veränderung in den Konditionen der Verbindung ein, wird die Windows Vista™ Firewall keine selbständige Anpassung vornehmen. Das muss der User schon selbst machen.

Ein weiteres Sicherheitsfeature der Windows Vista™ Firewall ist die Endpunkt zu Endpunkt Sicherung. Das ist keine Selbstverständlichkeit bei Personal Firewalls – eher die Ausnahme und selbst namhafte Hersteller haben hierfür gesonderte Produkte für die Endpoint-Security entwickelt.

Zusammenfassend ist zur Windows Vista™ Firewall festzustellen, dass sie in Bezug auf die Konfigurierbarkeit ganz weit vorn ist. Was die Nutzerfreundlichkeit betrifft ist sie eher am Ende der Liste zu suchen. Man wird zwar von nervigen Warnungen á la Comodo Firewall verschont, die Konfiguration ist jedoch nur was für Hardcore- Firewallfans. Der Normaluser wird wohl eher zu einer einfacher zu handhabenden Lösung greifen und schnell bei den so genannten Sicherheits-Suiten landen, die neben dem Virenscanner zunehmend mit einer Firewall versehen sind.

6.3. Virenschutz:

Also wenn das keine elegante Überleitung zum Thema Virenschutz ist… Mittlerweile haben alle Hersteller der gängigen Antivirensoftware Windows Vista™ kompatible Lösungen auf dem Markt, so dass für den Anwender nach wie vor die Qual der Wahl gilt. Einzige Ausnahme ist wieder das Windows Vista™ 64. Aktuell gibt es lediglich einen nativen 64-Bit AV-Scanner. Dieser wird von Microsoft selbst bereitgestellt. Weitere Informationen finden Sie im Bereich --> „Externe Links“. Einen Testbericht finden Sie im Bereich --> „Interne Links“.

Alle anderen bekannten Scanner emulieren WOW64, um mit Windows Vista™ 64 korrekt zusammenzuarbeiten. Hier am Beispiel der NIS2008 unter Windows Vista™ Ultimate64 an der Erweiterung „*32“ zu sehen.

Normalerweise bedeutet das kein Abbruch der Sicherheitsleistung dieser Scanner, stellt aber doch eine „Aufweichung“ des Sicherheitskonzepts des 64-Bit Systems dar. Welcher AV-Scanner oder welche Internet-Suite zu installieren ist, bleibt dem User überlassen. Hier hilft nur eins: Lesen und informieren, um den Richtigen zu erwischen. Jede Menge gute Informationen werden im securITy-dome.eu Forum zusammengefasst --> http://www.security-dome.eu/forum/pA/index.php

6.4. Windows Defender:

Integraler Bestandteil von Windows Vista™ ist eine weitere Sicherheitskomponente – der Windows-Defender. Dieses Tool hatte schon bei Windows XP™ Einzug gehalten und ist für Windows Vista™ weiterentwickelt und fest integriert worden. Mit dem Windows- Defender steht eine effektive Echtzeitüberwachung zur Verfügung. Darüber hinaus überwacht der Windows Defender Systemkomponenten und Browsereinstellungen, so dass die Installation von unerwünschter Malware effektiv verhindert werden kann. Mithilfe des integrierten Software-Explorers können die aktuell verwendeten Dateien inklusive der Dateieigenschaften bequem eingesehen werden. Der Windows-Defender ist somit eine ideale Ergänzung zu der installierten Antiviren- oder Internetschutzlösung.

6.5. Dateiausführungsverhinderung (DEP):

Kommen wir nun zu dem Sicherheitsfeature, bei dem das Windows Vista™ 64 seine Stärken voll ausspielen kann. Die Dateiausführungsverhinderung (DEP - Data Execution Prevention). Dieses Feature setzt auf die 64-Bit Architektur auf und verhindert, dass schadhafter oder Schädlingscode Adressbereiche reservieren kann, die für das System bestimmt sind. Somit ist das so genannte Buffer Overflowing unterbunden und das Betriebssystem kann nicht zum Absturz gebracht werden, um Schadcode zu injizieren. DEP kann auch auf 32-Bit Systemen ausgeführt werden, stellt dort allerdings nur eine Emulation dar. Immerhin trotzdem ein Sicherheitsgewinn.

Weitere Erläuterungen zu der DEP-Technik finden Sie im Bereich --> „Externe Links“.

6.6. Internet Explorer:

Bevor es nun endgültig online geht, ist noch der Browser zu sichern. Mit Windows Vista™ wird generell der IE7 installiert. Dieser Browser hat sich bisher als robust und wenn richtig konfiguriert als sicher gezeigt. Auch hier wird das schon bekannte Zonenmodell verwendet.

Das Zonenmodell hat sich in der Praxis bewährt und stellt sicheres Browsen im Internet sicher. Unter Extras\Optionen können die Sicherheitsstufen für die einzelnen Zonen eingestellt werden. In der Praxis hat es sich bewährt, für das Internet die Stufe „Hoch“ zu wählen. Diese Einstellung stellt sicher, dass aktive Inhalte aus dem Netz nicht ausgeführt werden, ActiveX und Javascript als die Hauptverursacher für Attacken aus dem Internet werden blockiert. Praktischerweise empfiehlt es sich dann doch, an einer Stelle diese Einstellung „aufzuweichen“. Dateidownloads sollten dann doch zusammen mit der dazu gehörigen automatischen Aufforderung aktiviert werden, da es sonst unmöglich ist, selbst manuell eine Datei zu downloaden.

Seiten, die diese abgewählten Inhalte benötigen, werden sehr wahrscheinlich nicht oder nicht richtig geladen. Ein schöner Nebeneffekt dieser Einstellungen: Nervige PopUp-Fenster, Werbeeinblendungen finden schon mal auch nicht statt. J Allerdings werden auch viele Web-Shops oder Java-basierende Anwendungen wie bspw. Onlinespiele ebenfalls auf diesen Seiten nicht funktionieren.

Wenn diese Seiten bekannt sind und ihnen vertraut werden kann, können sie problemlos in die „vertrauenswürdigen Seiten“ eingetragen werden. Dort können die Sicherheitseinstellungen auf niedrig gestellt werden, was die Ausführung aktiver Inhalte für diese Seiten ermöglicht.

Standardmäßig sind Cookies im IE erlaubt. Sicher sind Cookies auch sinnvoll, aber es muss andererseits auch nicht jeder alles über das Surfverhalten wissen. Es hat sich bewährt die automatische Cookiebehandlung aufzuheben und wie nachfolgend zu sehen, zu konkretisieren.

Tipp: Mit einem derart gesicherten IE kann es jetzt natürlich auch sein, dass das Routermenu nicht mehr erreichbar ist. Hier ist einfach die Gateway-Adresse des Routers (Bsp.: 192.168.1.1) in die vertrauenswürdigen Seiten des IE einzutragen.

Die hier vorgestellten Sicherheitseinstellungen sind vollkommen hinreichend, um sich sicher im Internet bewegen zu können. Das Einfallstor Nr. 1 für Attacken auf das System ist somit gesichert, so dass der Einsatz eines alternativen Browsers, wie häufig von selbst ernannten „Experten“ empfohlen, nicht notwendig ist. Der ambitionierte User kann darüber hinaus die benutzerdefinierten Einstellungen natürlich manuell anpassen. Weiterführende Informationen zum IE7 finden Sie im Bereich --> „Externe Links“.

Tipp: Bei allen Einstellungen des Zonenmodells sollte auf keinen Fall (in keiner Zone) auf den geschützten Modus verzichtet werden. Dieser geschützte Modus stellt eine Art Sandbox dar. Der IE7 in Windows Vista™ wird isoliert von anderen Anwendungen im Betriebssystem ausgeführt. Angriffe und bösartige Software können ohne explizite Zustimmung des Benutzers keine Schreibvorgänge in anderen Bereichen als dem Ordner „Temporäre Internetdateien“ vornehmen.

Jetzt ist das System soweit abgesichert, dass der Gang ins Internet gefahrlos stattfinden kann. Bevor es jedoch losgehen kann empfiehlt sich eine Sicherung des installierten Systems. Wäre doch schade um die ganze Arbeit.

6.7. Backup & Systemwiederherstellung:

Windows Vista™ bringt entsprechende Sicherungsprogramme mit, die das Sichern und Wiederherstellen des System recht einfach machen, so dass auch hier zusätzliche Software nicht notwendig ist. In der Systemsteuerung findet sich hierzu der Menupunkt Sichern und Wieder-herstellen. Je nach Windows Vista™ Version können hier Dateien oder auch der komplette Computerinhalt gesichert werden (Ultimate). Die Menuführung ist intuitiv und selbsterklärend, so dass hier nicht weiter darauf eingegangen wird. Ebenfalls in diesem Sicherungscenter können die Wiederherstellungspunkte von Windows Vista™ verwaltet werden. In der Regel erstellt Windows Vista™ permanent Wiederherstellungspunkte. Es hat sich jedoch in der Praxis bewährt vor Softwareinstallationen vorsichtshalber einen Wiederherstellungspunkt zu setzen, um ggf. die Veränderungen der Systemeinstellungen wieder rückgängig machen zu können.

7. Schlussbemerkungen:

Um es mit Trappatoni zu sagen: Ich habe fertig.

Unter dem Strich erweist sich Windows Vista™ als ein sehr stabiles, performantes Betriebssystem, wenn die erforderlichen Hardwarevoraus-setzungen erfüllt sind. Das Arbeiten in Office (vornehmlich Office 2007) ist flüssig wie noch nie und selbst aktuelle Spiele laufen hoch performant.

Die generelle Empfehlung lautet: Lass Windows Vista™ machen. Es wird sich kümmern. Und wenn es Probleme geben sollte, sucht Windows Vista™ selbständig im Netz nach einer Lösung. Siehe Systemsteuerung\Problemberichte und –lösungen.

Während diese Zeilen hier geschrieben wurden, hatte der Windows Media Player eine DVD abzuspielen, so zur parallelen Unterhaltung und die CPU war bis auf Spitzen mit rund 9% beschäftigt und das bei 59 laufenden Prozessen. Unter Windows XP™ kaum vorstellbar.

Love it

or

Leave it

8. Danksagung:

Ich möchte mich bei „Devilfrank“ recht herzlich für diese Arbeit bedanken! Er hat uns einen fundierten und sehr umfangreichen Bericht zu den verschiedenen Funktionen unter dem Sicherheitsaspekt von Microsoft Windows Vista zur Verfügung gestellt. Eine wirklich tolle Arbeit!

Interne Links:

Installationsanleitung für Windows Vista: http://www.security-dome.eu/Vista_Installationsprozess_2.html

Windows Vista™ Best Practices for Home Users – Teil 1: http://www.security-dome.eu/Vista_Best_Practices_for_home_Users-1.html

Windows Vista™ Best Practices for Home Users – Teil 2: http://www.security-dome.eu/Vista_Best_Practices_for_home_Users-2.html

Windows Vista™ Best Practices for Home Users – Teil 3: dieser Bericht

Best Practices Windows Live OneCare: folgt in Kürze

Externe Links:

Microsoft Upgrade Advisor: http://www.microsoft.com/windows/products/windowsvista/buyorupgrade/upgradeadvisor.mspx

PDF AddIn für Office 2007: http://www.microsoft.com/downloads/details.aspx?displaylang=de&FamilyID=4d951911-3e7e-4ae6-b059-a2e79ed87041

Grundlagen Firewall: http://de.wikipedia.org/wiki/Firewall

Grundlagen Personal Firewall: http://de.wikipedia.org/wiki/Personal_Firewall

Windows Live OneCare: http://onecare.live.com/standard/de-at/default.htm?mkt=de-at

Erläuterungen zur DEP-Technik: http://www.wintotal.de/Tipps/Eintrag.php?RBID=2&TID=1042&URBID=7

Weiterführende Informationen zum Internet Explorer 7.0: http://www.microsoft.com/switzerland/windows/de/ie/ie7/about/features/default.mspx#ie7featuresAnchor2

Weitere Informationen bzw. zur Diskussion dieses Beitrags besuchen Sie unser Forum unter -->

http://www.security-dome.eu/forum/pA/index.php

Autor: Frank Richter

Co-Autor: Devilfrank

Copyright: Frank Richter – securITy-dome.eu / Devilfrank – securITy-dome.eu

Erstellungsdatum: 01.04.08

Letzte Aktualisierung: 01.04.08

<-- Zurück zu den News