Alle verfügbaren Patches von MS installieren. Regelmäßig über neue Informieren!
Automatische Updates (Dienst) verwenden!
Virenscanner installieren und das Programm und die Definitionen/Signaturen immer aktuell halten.
NTFS Dateisystem verwenden.
Dienste richtig konfigurieren/Lücken schließen!-> Download
Zur Dateiübertragung im Netzwerk nur FTP nutzen.
Keine Desktop-Such-Tools (Google, Microsoft,Yahoo etc.) verwenden!
SUN Java verwenden
Alternativ WebBrowser verwenden!
Opera
Mozilla
Firefox
Alternativ Mail Client verwenden!
z.B. Mozilla Thunderbird
Benutzer mit Benutzerrechten (kein Hauptbenutzer!) ausstatten (nicht mit Administratorrechten!) und ein vernünftiges Passwort festlegen (länger als 8 Zeichen, Willkürlich gewählt (kein Wort):
Nachträglich:
Benutzer mit Benutzerrechten ausstatten (nicht mit Administratorrechten!):
Oder mittels Gruppenwechsel-Script*
*aus dem Script den Schalter /savecred entfernen (denn mit diesem Schalter hinterbleiben die "zeitweise" gegebenen Adminrechte als Regschlüssel in der Registry und es kann manipuliert werden)
Autostart - für User verhindern
Zitat
Es gibt unter Windows verschiedene möglichkeiten einen Autostart einer Software, um sie automatisch bei jedem Start zu laden, zu ermöglichen.
Dies kann gewünscht sein, oder im Fall von Schädlingen halt nicht. Die meisten Autostart Punkte in denen eingetragen wird was beim Systemstart gestartet wird sind nur als Administrator oder Hauptbenutzer zugänglich.
Es gibt jedoch auch Autostart Möglichkeiten als Benutzer, dieses könte natürlich ein Schädling ausnutzen und sich im System einnisten.
Um diese zu unterbinden sollte man den in den entsprechenden Bereichen dem Benutzer sein ursprüngliches Schreibrecht entziehen.
Dies wäre der Ordner
C:\Dokumente und Einstellungen\<Benutzername>\Startmenü\Programme\Autostart
Und im Registry-Bereich HKEY_CURRENT_USER\Software\Microsoft sind es die Unterschlüssel.
* Windows\CurrentVersion\Run
* Windows\CurrentVersion\RunOnce
* Windows NT\CurrentVersion\Windows
An diesen Stellen entzieht man nun dem Benutzer das Schreibrecht, jedoch ist bei diesen Stellen möglicherweise der Benutzer auch der Besitzer, als Besitzer kann er sich sich wieder Schreibrechte geben und somit wäre die Arbeit für die Katz. Also ist es notwendig bei dem Objekt die Gruppe Administratoren als Besitzer einzutragen.
Um dies zu Ermöglichen muss der aktuelle Benutzer jedoch vorrübergehend über Administrator-Rechte Verfügen. Dazu muss man sich selbst in die Administratorgruppe bringen, für den einfachen Wechsel hat die c't Gruppenwechsel-Script entwickelt. Für das einfachere setzen der Berechtigungen in an den o.g. hat die c't ein Tool Namens Kafu (Keine Autostarts für User) veröffentlicht.
Dies kann gewünscht sein, oder im Fall von Schädlingen halt nicht. Die meisten Autostart Punkte in denen eingetragen wird was beim Systemstart gestartet wird sind nur als Administrator oder Hauptbenutzer zugänglich.
Es gibt jedoch auch Autostart Möglichkeiten als Benutzer, dieses könte natürlich ein Schädling ausnutzen und sich im System einnisten.
Um diese zu unterbinden sollte man den in den entsprechenden Bereichen dem Benutzer sein ursprüngliches Schreibrecht entziehen.
Dies wäre der Ordner
C:\Dokumente und Einstellungen\<Benutzername>\Startmenü\Programme\Autostart
Und im Registry-Bereich HKEY_CURRENT_USER\Software\Microsoft sind es die Unterschlüssel.
* Windows\CurrentVersion\Run
* Windows\CurrentVersion\RunOnce
* Windows NT\CurrentVersion\Windows
An diesen Stellen entzieht man nun dem Benutzer das Schreibrecht, jedoch ist bei diesen Stellen möglicherweise der Benutzer auch der Besitzer, als Besitzer kann er sich sich wieder Schreibrechte geben und somit wäre die Arbeit für die Katz. Also ist es notwendig bei dem Objekt die Gruppe Administratoren als Besitzer einzutragen.
Um dies zu Ermöglichen muss der aktuelle Benutzer jedoch vorrübergehend über Administrator-Rechte Verfügen. Dazu muss man sich selbst in die Administratorgruppe bringen, für den einfachen Wechsel hat die c't Gruppenwechsel-Script entwickelt. Für das einfachere setzen der Berechtigungen in an den o.g. hat die c't ein Tool Namens Kafu (Keine Autostarts für User) veröffentlicht.
Verhindern das Dateien "getarnt" ausgeführt werden (für alle Ordner übernehmen):
Erweiterte Dateifreigaben Windows XP Prof. (für alle Ordner übernehmen):
Internetexplorer "Entschärfen":
ActiveX/Scripting deaktivieren (InternetZone):
Start->Systemsteuerung->Internetoptionen->Sicherheit->Internet:Stufe anpassen
ActiveX Elemente deaktivieren:
Scripting deaktivieren:
ActiveX/Scripting deaktivieren (Lokales Intranet):
Start->Systemsteuerung->Internetoptionen->Sicherheit->Lokales Intranet->Stufe anpassen
ActiveX Elemente deaktivieren:
Scripting Elemente deaktivieren:
Um Windows Update weiterhin zu nutzen zu können:
Start->Systemsteuerung->Internetoptionen->Sicherheit->Vertrauenswürdige Sites->Sites:
http://windowsupdate.microsoft.com und http://v5.windowsupdate.microsoft.com hinzufügen
Netzwerk (Protokollbindungen entfernen):
Start->Systemsteuerung->Netzwerkverbindungen->Netzwerkadapter/DFÜ->Rechtsklick Eigenschaften:
Client für Microsoft-Netzwerke-> Haken entfernen
Datei- und Druckerfreigabe für Microsoft-Netzwerke-> Haken entfernen
NetBiosüber TCP/IP deaktivieren:
Start->Systemsteuerung->System->Hardware->Gerätemanager->Ansicht->Ausgeblendete Geräte->Nicht-PnP-Treiber:Netbios über TCP/IP
DCOM "Ausschalten" (nicht XP SP2)-> DCOMbob
Verhindern das der RPC-Dienst anonyme Anfragen entgegennimmt:
(GPedit.msc bei XP-Home Edition nicht verfügbar)
Start->Ausführen->GPedit.msc
Alle Haken setzen bei:
Netzwerksicherheit: Minimale Sitzungssicherheit für NTLM-SSP-basierte Clients
Netzwerksicherheit: Minimale Sitzungssicherheit für NTLM-SSP-basierte Server
Freigaben auf die anonym zugegriffen werden kann deaktivieren:
Start->Ausführen->GPedit.msc
Administrative Freigaben deaktivieren
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\CurrentVersion] [HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings] [HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings] ; Suche in HKLM nach Proxy-Settings "ProxySettingsPerUser"=dword:00 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings] ; Proxy einschalten "ProxyEnable"=dword:01 ; Verwende HTTP 1.1 "ProxyHTTP1.1"=dword:01 ; Ausnahmeliste - die Ausnahmeliste muss jeder unter Umständen selbst definieren. ; Erlaubt ist hier nur Windowsupdate. ; weitere mögliche Einträge ; ein LAN 192.168.240.0/24: 192.168.240.* ; Kaspersky: kaspersky-labs.com;*.kaspersky-labs.com ; MS Messenger: passport.com;*.passport.com "ProxyOverride"="*.windowsupdate.com;windowsupdate.microsoft.c om;*.windowsupdate.microsoft.com;wustat.microsoft. com; *.microsoft.nsatc.com" ; Adresse des Proxys. Die Adress 127.0.0.1:9 bewirkt, dass Anfragen des IE nicht mehr beantwortet werden ; und somit der IE faktisch stillgelegt ist. Für lokale Anwendungen jedoch ist der ; IE weiter nutzbar, wie zum Beispiel die Windows-Hilfe. "ProxyServer"="127.0.0.1:9" [HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings] ; Alle Sicherheitseinstellungen des IEs werden global vom Administrator festgelegt "Security_HKLM_Only"=dword:01 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap] "IntranetName"=dword:00 ; Den Proxy für lokale Adressen nicht umgehen "ProxyByPass"=dword:00 "UNCAsIntranet"=dword:01
Die Zoneneinstellungen sind nach Reg Import ggf. neu anzupassen!
Dieser Beitrag wurde von stefanra bearbeitet: 31. Januar 2006 - 14:54