Home-IT-Security – Was Sie zu Hause tun können, um Ihren Heim-PC zu härten

(Last Updated On: 13. Juli 2015)

Contents

Installieren Sie eine andere Personal Firewall als die integrierte windows Firewall

die integrierte windows-Firewall scheitert auch heute noch bei zahlreichen Firewall-Tests. Deswegen sollte man hier grundsätzlich alternative Produkte zulegen. Ein gutes Produkt ist beispielsweise Zone Alarm Free.

Verwenden Sie eine Verhaltenserkennung

Eine Verhaltenserkennung ergänzt (nicht ersetzt!) einen Virenscanner. Sie versucht, schädliche Software bereits an ihrem Verhalten und nicht anhand ihrer Dateisignatur zu erkennen. Eine solche lösung ist beispielsweise Threatfire

Verwenden Sie einen Virenscanner

Sehen Sie sich dazu meinen Post über Freeware-Antivirenscanner an.

Schützen Sie ihr System mit einer Anti-Spyware- und Anti-Malware Software

Antivirenprogramme haben oft den Nachteil, dass Sie nicht so gut im Schutz vor Spyware sind. Generell wird empfohlen, seine Antivirensoftware zusätzlich mit einer Antispywaresoftware zu schützen. eine gute lösung in diesem Bereich ist etwa das tool Spybot Search & Destroy, superAnitSpyware Free, ESET Online Scanner,   SecurityCheck, Rkill sowie MalwareBytes Anti-Malware.

Reinigen Sie ihr System regelmäßig mit Adware-Cleanern

Anti-Virensoftware hat oft das Problem, dass Sie nicht so gut in der Abwehr von Adware ist. Dazu gehören beispielsweise Browser-toolbars, automatisch angelegte Lesezeichen oder Ähnliches.

Gute software zum Bereinigen des PCs von Adware sind

Prüfen Sie Ihr System regelmäßig mit rootkit-Scan-Tools

Ein wichtiges tool in diesem Bereich ist beispielswiese die mbr.exe. Speichert die mbr.exe auf euren Desktop (wichtig!), doppekliock sie – es öffnet sich kurz ein Eingabeaufforderungfesnter, welches sich gleich wieder schließt – alles normal. Es wird eine Log Datei namens mbr.log auf eurem Desktop erstellt – auch das ist normal. Das log könnt ihr danach checken

Nun führt IHr noch eine Eingabeaufforderung als Administrator aus und gebt dort Folgende Befehle ein

net user HelpAssistant /active:no
net localgroup Administrators HelpAssistant /delte

wenn ihr dann exit eingebt und Enter drückt, wird der Rechner neu gestartet.

als nächstes wollen wir das Tool OTM by OldTimer nutzen. Startet das Programm und fügt folgendes in das Textfeld Paste insturctions for items to be Moved ein.

:Processes
explorer.exe

:Services

:Reg

:Files
C:\Documents and Settings\HelpAssistant

:Commands
[emptytemp]
[start explorer]
[reboot]

Die rEsulatet in der rechten Spalte unter REsults könnt ihr dann auswerten. Um die Ergebnisse nun aufzuräumen, brauchen wir das Tool OTC by oldTimer. Wir klicken in dem Programm dann auf den CleanUp! Button.

Weitere sinnvolle tools sind RogueKiller, ComboFix, TDSSkiller

Hinweis: Falls Virtuelle Laufwerke, also CD-Emulatoren, über Softwarelösungen wie beispielsweise AnyDVD, Alcohol120%, _DaemonTools oder VirtualCloneDRive installiert sind, können diese das Ergebnis von RootKit Scans ggf. verfälschen, da auch diese Rootkit-techniken zur Realisierung der Emulation verwenden. Mit dem tool Defogger können Sie diese vor einem Rootkit-Scan deaktiviern.

Kontrollieren Sie Ihr System regelmäßig auf unsichere Einstellungen

Es gibt Software, die speziell darauf abgerichtet ist, riskante Einstellungen in Ihrem System – die entweder Sie selbst, ein anderer Nutzer oder eine Schadsoftware – zu erkennen und evtl. sogar zu beheben.

Ein gutes Tool in diesem Bereich ist beispielsweise HijackThis. Das Tool führt zunächst ein Protokoll über Systemeinstellungen – ändert sich eine, wird dies protokolliert und dme nutzer angezeigt. Deshalb installiert man HijackThis am besten direkt in Verbindung mit einer Rechnerneuinstallation und lässt danach gleich einen ersten initialtest laufen.

Wenn Sie einen Trojaner, Spyware oder einen anderen sCähldinge auf dem PC hatten und diesen entfernt haben, können Sie mit solchen programmen außerdem überprüfen, ob noch schädliche Restbestände dieses tools irgendwo vorhanden sind.

Grundsätzlich sollte man eine Überprüfung mit HiJackThis immer dann durchführen, nachdem man zuvor mit einem Antivirenprogramm, einem Antispywareprogramm und einem Adware-Cleaner geprüft hat.

Wenn Sei HijackThis nutzen und überlegen, eine der angezeigten Systemeinstellungen reparieren zu lassen, seien Sie vorsichtig. Sie sollten wirklich genau wissen, dass diese Systemeinstellung nicht zufällig von einem anderen, seriösen Programm gesetzt wurde und dadurch verhindern, dass dann bestimmte Funktionalitäten auf Ihrem Rechner nicht mehr funktionieren.

es ist empfohlen, für HiJackThis die folgenden Basiskonfigurationseinstellungen festzulegen:

2014-11-23_23h06_16

 

HijackThis gehört ebenfalls zu den Programmen, die explizit mit Administratorrechten gestartet werden müssen.

Wenn Sie diese Einstellungen vorgenommen haben, sollten Sie einen ersten Scan durchführen. ist der Scan abgeschlossen, empfiehlt es sich, asl allerstes ein Log über den Save Log Button zu speichern.

Wenn Sie nun Hintergrundinfos zu einzelnen Listenpunkten haben wollen, weil Sie nicht wissen was er bedeuten soll, wählen Sie diesen und klicken auf Info on selected item. Das programm sagt ihnen dann normalerweise, warum dieser Listenpunkt existiert und was er an der einstellung kritisiert.

Berühmte konfuse Einträge sind beispielsweise der Eintrag F2 – REG:system.ini : UserInit=userinit.exe hierbie handelt es isch um einen Registrierugnsschlüssel der Programme und Konfigurationsdatieen beinahltet, die gelesen werden sollen, nachdme sich ein User eingeloggt hat. Hierhinter verstekcne sich oft bestimmte Trojaner oder Hijacker.

Gewöhnlciherweise ist ein Eintrag wie oben gelistet in Ordnung. einträge, bie denen man stutzig werden sollte sind beispielsweise Einträge wie

F2 – REG:system.ini: UserInit=userinit,nddeagnt.exe
F2 – REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,kill.exe
F2 – REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,userinit.exe
F2 – REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe

Erklärungen zu weiterne Sektionen bekommen sie hier.

Es ist weiterhin vielleichjt sinnvoll, dass Sie ab und an das integrierte ADS Spy Utility nutzen, um nach versteckten Alternate Data Stream Dateien zu suchen.

2014-11-23_23h39_05

 

Ein weiteres sinnvolles tool in dieser Richtung nennt sich WinPatrol. das tool macht einen Snapshot eines Systems und warnt bei SYstemänderungen.

Ein weiteres tool, welches Ihr System auf fehlende Sicherheitsupdates und kritische Konfigurationseinstellungen prüft, ist der microoft Baseline Security analyzer. Einen ähnlichen Check kriegen Sie mit dem F-Secure Health Check. Für Experten ist das tool Enhanced mitigation Experience Toolkit (EMET) nützlichl.

Blenden Sie Dateiendungen ein

Extras / Ordneroptionen / Ansicht / entfernen sie den Haken bei Dateierweiterungen bei bekannten Dateitypen ausblenden.

Dadurch schützen Sie sich davor, dass Sie eine beispielsweise als Bild getarnte .exe-Datei mit Schadware ausführen.

 

Reinigen Sie reglemäßig die temporären Dateien ihres Systems

Die temporären Dateien ihres Systems ssollten sie clean halten, um einfacher schädlinge identifizieren zu können. Ein sauberer temp-File-Storage verhindert außerdem eventuelle Fehldiagnosen der oben genannten Tools.

Gute Lösungen in diesem Bereich sind beispielsweise TFC Temp File Cleaner, CCleaner und TuneUp Utilities.

In der Regel sollten Sie Ihre temp Files vor dem Scannen mit den oben genannten Lösungen laufen lassen.

Führen sie ab und an einen Online Virusscan durch

Gute online-Virusscanner sind beispielsweise der Kaspersky Online Virus Scanner. Weitere Scanner in meinem post die besten Web-tools.

Kontrollieren sie hin und wieder die Programme, die automatisch gestartet werden.

eine gute Möglichkeit ist das Tool hijackThis. Dort können sie unter Misc tools eine StartupList erstellen, die alle automatisch gestarteten Programme enthält.

2014-11-23_23h34_32

 

Verwenden Sie alternative Mailprogramme

Ich empfehle Ihnen, ein Mailprogramm zu verwenden, welches nicht die Browserengine des Internet Explorers zur Darstellung von HTML-inhalten verwendet. Denn für diese Renderengine werden meines Wissens nach auch heute noch die meisten Lücken gefunden. Gute Alterantiven sind beispielsweise Mozilla Thunderbird, Pegasus Mail oder Eudora.

 

Sic hern Sie Ihren Browser ab

Browser gegen clevere Flash-Popups schützen.

Viele Browser haben zwar einen Schutz gegen gewöhnliche popups – jedoch nicht gegen Flash-Popups. Wird in einem Flash-Plugin auf einer Website ein window.open veranlasst, greift der Blocker des Browsers nicht

Im Firefox können Sie da im Konfigurationsmodus ändern – den Sie über about:config in der Adresszeile erreichen. Legen Sie dort einen neuen Integer-WErt mit dem Namen privacy.popups.disable_from_plugins an und geben Sie ihmd en integer-Wert 2.

Weiterhin sinnvolles Addon füpr Firefox: Flashblock

Browser gegen Flash-Cookies schützen

Ein solches Addon schützt Sie gegen Cookies, die nicht auf konventionelle Weise, sondern über die Funktionen von Adobe Flash erzeugt wurden. Für den Firefox gibt es hierzu beispielsweise das Addon Better Privacy.

Installieren Sie einen Werbeblocker

Ein Werbeblocker ist eine wirksame Maßnahme gegen jede Form von extern eingebundenen Werbeeinblendungen auf Websiten. Diese können auch das Ziel haben, Sie auf Lockangebote zu bringen, bei denen dann Ihre Daten an Fremde weitergegeben werden – oder schadhafte Skripts ausgeführt werden.

Unter Firefox und Google Chrome können Sie das Addon Adblock Plus installieren. Alternativen sind Adblock Edge oder µBlock Origin

Das Addon AdBlock plus erkennt selber schon automatisch sehr viele unerwünschte Werbeeinblendungen. Jedoch kann man nicht erwarten, dass das Addon von selber autmatisch wirklich Alle Einblendungen stoppen kann. Deshalb sammeln bestimmte communities Zusatzfilter, die man dem Addon mitgeben kann, damit noch mehr Einblendungen erkannt werden. Hier gibt es beispielswiese die Filterliste von EasyListGermany. Diese Liste können sie allerdings auch in den Optionen von Adblock Plus zu Ihren Filter-Abonnements hinzufügen.

Installieren Sie einen Cookieblocker

Ein solcher Blocker verhindert dass sogenannte Trakcing Cookies oder Web Bugs an ihren brwoser rankommen. Damit können einige Webseitenbetreiber ihr Surfverahtlen auf ihrer Seite uaspsionieren.

Wenn Sie bereits den Werbeblcoker Adblock plus installiert haben, können Sie dort unter Filter / filter-Abo hinzufpgen / Alle bekannten Abonnements anzeigen den Filter EasyPrivacy abonnieren.Weitere mpfehelnswerte Filter sind EasyList Germany + EAsyList sowie SocialMediablock

Für Firefox können Sie alterantiv auch das Plugin Ghostery installieren.

Installieren sie eine cookie-Restriktion

Mit so einem Addon können Sie einfacher festlegen, welche Websites von ihnen cookies speichern dürfen, und welche nicht. ein gutes Addon dafür ist beispielsweise das Addon CookieMonster. Mit diesem können sie Websiten, für die Sie cookies nutzen wollen, explizit festlegen. Alle anderen verbieten sie einfach.

Installieren Sie ein NoScript

Ein NoScript ist ein Addon, welches zunächst alle Skripts auf sämtlichen Websiten blockt. Erst, wenn Sie der Seite per Mausklick explizit der Erlaubnis geben, Skripts auszufürhen, darf Sie das. Der clou: sie können dabie nur bestimmte Skripts auf dieser Seite zulassen – die von einer bestimmten Domain kommen. Extern eingebundene Skripte von anderen Domains können Sie weiterhin blockieren.

Für Firefox installieren Sie hierzu das Plugin NoScript. für opera wird noScript mit Adblock im Addon NoAds kombiniert. Im Google Chrome können Sie das addon µMatrix benutzen.

Installieren Sie ein Addon zur einstufung der Vertrauenswürdigkeit von Websites

Ein solches Addon ist beispielsweise Web of Trust. Jedesmal, wenn Sie auf ihrem Browser ienen Link sehen, erscheint daneben von nun an ein kleiner Kreis, der die Vertrauenswürdigkeit dieser Website auf Basis von Bewertungen anderer nutzer anzeigt. Bei vielen negativen Bewertungen ist dieser rot – klicken Sie auf den Kreis, können Sie sich die bewertungen der anderen Benutzer durchlesen, bevor Sie auf den Link gehen. Für Firefox, Safari und Chrome gibt es kostenlos noch den norman Webadvisor, den McAfee SiteAdvisor und Webutation.

Ebenfalls ein sinnvolles Addon für internet Explorer und Firefox: Der Computerbild abzockschutz

installieren Sie addons zur Verschleierung von infomrationen

ihr Brwoser gibt nicht nur über cookies, ihre IP-.Adresse und ihren Standort, sondenr auch über den HTTP-header, über ETags aus dem Brwoser-Cache usw. Informationen über Sie preis. Sie können sich mit bestimmten Addons wie beispielswiese Torbutton oder JondonymFox dafür schützen.

Einen Filter für bekannte Phishing Seiten installieren

Es gibt Addons für Browser, die bekannte Phishing Seiten sammeln und verhindern, dass man diese besucht. ein solches Addon ist beispeilsweise die Netcraft Toolbar für den Firefox

Einen URL Blocker für den Webbrowser installieren

Neben den bisher gesprochenen automatisch funktionierenden Lösungne, finden Sie vielleicht selber während des Browsens desöfteren Seiten, die Sie in Zukunft blockieren wollen. Es gibt Addons, die es Ihnen ermöglichen, selbst die URLs von SEiten einzugeben, die Sie blockieren wollen. Für Firefox und Google Chrome gibt es hierfür beispielswiese das Addon Block Site. für opera können Sie die Urlfilter.ini runterladen

eine Blacklist in der hosts-Datei führen

Mit der Hosts-Datei können Sie bekannte domains und auch IP-Adressen von schädlichen Websiten auf die IP 0.0.0.0 oder 127.0.0.1 umleiten, so dass diese von keiner Software mehr aufgerufen werden kann. Dies ersetzt teilweise sehr einfache PC-Schutzprogramme vollwertig. Hier können sie sich eine aktuelle Liste downloaden, die sie einfach in Ihre hosts-Datei reinkopieren können, so dass Sie viele der heutzutage bekannten Schaddomains gar nicht mehr aufrufen können. die Liste wird ständig aktualisiert.

Es gibt noch eine Alternative von SomeOneWhoCares, eventuell enthält seine hosts-Datei einträge, die in der MVPPS nciht entahlten sind.

Führen sie einen seriösen Security-check durch

Neben den zahlreichen vorhanden unseriösen Sicherheitschecks im internet, die man durch Werbeeinblendungen aufgeschwatzt bekommt, gibt es tatsächlich auch seriöse Security Checks.

Ein solcher ist beispielswiese der Webscan von Security-Check.ch. Weitere Checks und Online-SCanner in meinem Post Die besten Web-Tools

Halten Sie ihre Anwendungssoftware auf einem aktuellen Stand

Es ist einem Home-Anwennder nicht zuzumuten, ständig selber auf den Websiten der von ihm installierten Software nach Updates zu suchen. Deswegen empfiehlt es sich, Software-Utilitys das Finden und ggf. auch installiern von Updates übernehmen zu lassen. Solche Tools sind beispielswiese der FileHippo Update Checker, UpdateStar, Secunia Personal Software Inspector sowie der CHIP Updater.

Verwenden Sie einen Passwortmanager

Warum und wie Sie einen Passwortmanager verwenden sollte, erkläre ich in meinem Post zu Keepass.

Desweiteren können Sie mit einem Tool wie Lazagne checken, ob andere anwendungsprogramme Passwörter von Ihnen derzeit unverschlüsselt auf dem System speichern.

Deaktivieren Sie unsichere Verschlüsselungsverfahren

Immer noch nutzen sehr viele wichtige Websiten als Standardverschlüsselungsverfahren unsichere Standards zum Verschlüsseln von Datenverkehr zwischen ihnen als Besucher und dem Webserver.

ein solches verbreitetes, unsicheres Vershclüsselungsverfahren ist RC4.

Unter Linux oder windows können Sie nmit dem Tool sslscan prüfen, welche Verschlüsselungsverfahren ihnen wichtige Websites wie beispielsweise online-Shops oder online-Banking portale anbieten, indem sie das Programm mit der URL als paramter aufrufen.

sslscan www.meinebank.de/onlinebanking | grep Accepted

Die Verschlüsselungen, die ganz oben stehen, werden als erstes angeboten. Die RC4-Verfahren sollten also nicht ganz oben stehen, sondern nur als Fallback die unteren Plätze belegen.

Nützlich ist natürlich, wenn Sie überhaupt verhindern, dass ihre Webbrowser diese verschlüsselungen nutzen kann.

Mozilla Firefox

about:config in die Adresszeile eingeben und dann nach APramtern mit rc4 im namen suchen. die ganzen Werte jeweils einfach immer auf false stellen. Nun nutzt der Brwoser keine RC4-Verfahren mehr.

Google Chrome

verhindern Sie das nutzen von Rc4 über Startparametereinstellungen des Browsers.

als erstes müssen Sie wissen, dass es mehrere Spezifikationen für verschiedene Verschlüsselungsverfahren gibt, die RC4 verwenden. welche Spezifikationen das sind, erfahren Sie über die Seite https://cc.dcsec.uni-hannnover.de, indem sie dort nach verschlüsselungen mit „RC4“ im Namen suchen. Die spezifikationen stehtn in Klmmaner in der ersten Spalte. sie brauchen die Spezifikationen aller verschlüsselungsverfahren mit RC4 im Namen. Solch sidn beispielsweise

  • (c0,07)
  • (c0,11)

Diese müssen Sie sich nun ohne Klammern und ohne Komma zwischen den Zahlen notieren, aus den beiden oberen Zaheln wird also

  • c007
  • c011

Bearbeiten sie dazu die verknüpfung, mit der Sie den Chrome öffnen wollen, und hängen sie an das Ziel hinten die Spezifikationen nun im foglenden Format hinten an:

--cipher-suite-blacklist=0x<spezifikation1>,0x<spezifikation2>, usw.

Theoretisch könnten Sie jetzt auch nch die Spezifikationen aller Schlüssel ergänzen, die mti weniger als 256 Bit verschlüsseln. Somit würden sie nämlich sicherstellen, dass ihr google Chrome mit einem Server immer Verschlüsselungsverfahren mit 256 bit aushandelt.

 

Als nächstes kümmern wir uns um Maßnahmen gegen eine mögliche Poodle-Lücke. scahuen Sie esrt unter https://poodletest.com, ob sie verweundbar sind, falls das der fall ist, schließen Sie die lücke durch folgende maßnahmen

Google Chrome

hängen Sie an die Verknüpfung zum Starten von chrome per chrome.exe hinten den Paramter –ssl-version-min=tls1 an.

Firefox

in die about:config gehen und dort  den Eintrag security.tls.version.min auf den Wert 1 stellen.

Windows-Benutzerkonto != Administratorkonto

Mit Windows Vista hat microsoft die User Access Control (UAC) eingeführt, welche die Sicherheit in Windows-Systemen ein wenig erhöht. Demnach müssen sie immer einen Ok-Button drücken, bevor irgendein programm eine Tätigkeit ausführt, die Administratorrechte benötigt – de fakto also immer dann, wenn irgendeine Datei / ein Programm verändert oder aufgerufen werden soll, die beispielsweise im Ordner C:\Program Files oder C:\Windows liegt.

Dies hat die Sicherheit ein wenig erhöht, grundsätzlich ist es aber möglich, dass Schadsoftware, die Sie sich einmal eingefangen haben, diese Sicherheitsmaßnahme umgeht. Damit Ihnen das nicht passiert, müssen Sie sichergehen, dass die entsprechende Software das Passwort des Administratorkontos wissen und mit diesem gestartet werden muss, bevor Sie etwas machen kann. Das können Sie mit der UAC alleine nicht bewerkstelligen. Grundsätzlich ist es daher angeraten, dass Sie sich im Windows mit einem Benutzerkonto bewegen, welches nicht zu den administratoren gehört. Der Nachteil der Geschichte ist, dass sie bei jeder administrativen Tätigkeit, wie beispielsweise der installation eines programmes, das Passwort des Adminkontos eingeben müssen (anstelle nur einen Ok-Button zu drücken). Dies erhöht jedoch die sicherheit enorm.

so richten Sie das Szenario ein:

Gehen Sie auf das Windows Startmenü  / Rechtsklick auf Computer / Verwalten / unter computerverwaltung (Lokal) auf Lokale Benutzer und Gruppen / Rechtsklick auf Benutzer / neuer Benutzer.

2015-05-12_11h45_25

Im Fenster geben Sie einen Benutzernamen für das Konto ein

2015-05-12_11h48_58

durch das Anwählen der Checkbox Benutzer muss Kennwort bei der nächsten Anmeldung ändern stellen Sie ein, dass Sie nach der ersten Anmeldung ein neues Kennwort vergeben können.

Nun taucht das Konto unter Benutzer auf. Rechtsklicken Sie auf das neue konto und wählen Sie Eigenschaften. In der Registerkarte Mitglied von stellen Sie sicher, dass das Konto nur mitglied der Benutzegruppe Benutzer ist.

Mit diesem Konto loggen Sie sich ab sofort ein. Mit diesem Konto können Sie in Ihrem persönlichen Ordner unter C:\users\<Kontoname> sowie auf Ihrem Desktop Dateien erstellen und bearbeiten sowie Programme unter C:\Program Files sowie C:\Program Files (x86) ausführen, aber nicht installieren oder löschen.

Bestimmte Programme soll Ihr Benutzerkonto gar nicht ausführen können. Diese sollen ausschließlich durch den Systembenutzer oder das Administratorkonto ausführbar sein. Deswegen solltenS ie auf diese programme mit ihrem konto sogar das Ausführ- und Leserecht verweigern. Ein Beispiel dafür ist etwa das Antivirenprogramm.

Dazu rechtsklicken Sie auf den entsprechenden Ordner, in welchem das Programm entsprechend liegt, und wählen Eigenschaften. in der Registerkarte Freigabe stellen Sie erstmal sicher, dass der Ordner im Netzwerk nicht freigegbeen ist (es sei denn, Sie wissen, was Sie da tun) und fügen dann in der registerkarte Sicherheit / Bearbeiten das Konto des Kindes hinzu (falls noch nicht vorhanden), und verweigern dort alle Rechte.

2015-05-12_11h56_19

sie sollten ihrem Konto desweiteren verweigern, in die Ordner anderer Benuzterkonten wie beispielsweise C:\Users\<administratorkonto> oder C:\Users\Public reinzusehen.

Desweiteren sollten Sie diesem Konto den Zugriff auf den Windows-Ordner verbieten.

Nun soll Sie einige Programme unter C:\Program Files starten und nutzen können, etwa den Webbrowser oder den E-Mail-Client oder beispielsweise auch ein Computerspiel. Dazu  müssen Sie lediglich sicherstellen, dass Ihr Konto dort die Rechte Lesen, Ordnerinhalt anzeigen sowie das Recht Lesen, Ausführen hat.

Backupnutzer != Benutzerkonto

In meinem post „dauer-Backup von bestimmten Windows-Ordnern“ habe ich Ihnen gezeigt, wie Sie von wichtigen Ordnern auf Ihrem Sytem, etwa dem Desktop, Ihrem Bilderordner, dem Dokumente-Ordner, dem Ordner Ihres E-Mail-Clients usw., dauerhaft Backups machen.

Es macht durchaus sicherheitstechnisch Sinn, dass Sie das Backup von einem anderen Benutzerkonto durchführen lassen. Ihr Windows-Benutzer hat dann keine Schreib- oder Leserechte auf diesen Backup-ordner. Dadurch verhindern Sie beispielsweise, dass eine malware, die Sie sich einfangen und die sich mit Ihrem Windows-Benutzerkonto startet (als Administrator kann Sie sich ja jetzt nicht mehr so einfach starten, da Sie nicht mehr als Administrator im Windows arbeiten), dass diese Schadware die gebackupten Daten beschädigt oder löscht. Selbst wenn die Malware, etwa ein Virus, Ihre Original-Daten in Ihren Windows-Ordnern beschädigt, haben Sie immer noch das Backup  – beispielsweise auf einer externen festplatte.

Richten Sie dazu beispielsweise ein, dass das Tool FreeFileSync, welches ich Ihnen in diesem windows-post gezeigt habe, nicht mit ihrem Windows-Benutzerkonto, sondern mit einem extra angelegten Backup-Benutzerkonto gestartet wird. Dazu bearbeiten Sie den Task, den sie in der Windows-Aufgabenplanung zu diesem Zweck erstellt haben, und gehen auf den Button Benutzer ändern.

2015-05-12_12h39_16

Wählen sie dort den Backup-Nutzer aus, den Sie abgelegt haben. Dieser nutzer muss ein Passwort ein, welches sich vom Passwort Ihres eigenen Windows-Benutzerkontos unterscheidet.

stellen sie nun ein, dass dieser backupnutzer alleine Schreibrechte auf den Backup-Ordner auf der externen festplatte hat und Ihr Windows-Benutzerkonto hingegen gar keine Rechte (also nicht mal Lesen) hat. Dafür stellen Sie ein, dass der backupnutzer nur Leserechte (also keine Schreib- oder Änderungsrechte) auf Ihre originaldaten in ihren Windows-Ordnern hat. Somit stellen Sie sicher, dass falls das Backup-Benutzerkonto mal gekapert wird, ugmekehrt zwar das Backup auf Ihrer externen Festplatte, aber nicht die Originale zerstört werden können.

Browsernutzer != Benutzerkonto

Zum Abrufen ihrer E-Mails über einen Mailclient wie beispielsweise Thunderbird als auch fürd as Browsen mit beispeislweise mit dem Mozilla Firefox sollten Sie extra nutzer einrichten. Diese Nutzer haben dann ausschließlich Vollzugriff auf die Ordner der beiden Programme unter C:\Program Files\Mozilla Thunderbird\ bzw. C:\Program files\Mozilla Firefox, und Ihr Windows-Benuzterkonto nicht. Desweiteren hat dieses Benuzterkonto noch  Vollzugriff auf Ihren downloads-Ordner unter C:\Users\<ihr Konto>\Downloads, aber auf die anderen Ordner unter C:\Users\<ihr konto> eben nicht!. Somit können Sie in den downloads-Ordner dateien herunterladen und Ihren Browser updaten und ausführen, verhindern aber, dass Ihr Browser, wenn er Opfer einer Attacke wird, beispielsweise ihre privaten Dateien durchforsten oder beschädigen kann.

Damit Ihr E-Mail-Programm und ihr browser nun in Zukunft mit diesem Benuzterkonto gestartet werden, rechtsklicken Sie auf die Verknüpfungen zu den Programmen und fügen als Zeil ein

runas /savecred /user:<username> „<pfad zum programm“

 

Wenn dir dieser Post gefallen hat, teile ihn doch auf Social Media, abonniere und verfolge mich per E-Mail, RSS-Feed, Social Media oder registriere dich auf meiner Seite. Wenn du registriert bist, like den Post bitte, wenn er dir gefallen hat!

Das könnte Dich auch interessieren...

3 Antworten

  1. 16. April 2015

    […] dem normalen Betriebssystem führen Sie zunächst die Schritte durch, die ich im ersten Beitrag zum härten eines PCs empfohlen […]

  2. 14. Juli 2015

    […] ist eine sinnvolle Ergänzung zu den restlichen Sicherheitsmaßnahmen, die ich in meinem Post Home IT Security Part 1 geschildert habe. Im Gegensatz zu meinem Post über Freeware-Antivirenlösungen brauchen Sie aber […]

  3. 6. September 2017

    […] beinhaltet, invalidiert werden. Es wird sogar mittlerweile nicht nur den Server-Administratoren, sondern auch den Benutzern von Webbrowsern empfohlen, diese Cipher Suiten manuell zu invalidieren, was jedoch dazu führen kann, dass Webserver, die nur auf Basis von RC4-Cipher arbeiten, nicht […]

Kommentar verfassen