Ich möchte in diesem Thread mal versuchen ein paar kleinere Sicherheitstipps für Windows 2000 / XP zu geben. Ich werde diesen Thread, wie auch die Virenscannerliste nicht auf einmal schreiben, sondern ihn Stück für Stück "vollenden".
Da ich mir extra Windows installieren musste
und ich leider nicht allzuviel Zeit dafür hab haut mich bitte nicht wenn ich fehler mach (ausser es sind grobe)...Inhalt oder: Wie fange ich an?
1. Installation
2. Admin? Wat, wer bist du denn?
3. Ich Admin, ich Chef!!!
4. Ich seh auf dein Share, sehe gute Warez, schlechte Warez....
1. Installation
Fast jeder der das liest wird das lästige Procedere kennen: Windows XP CD-Rom ins Laufwerk, booten und erstmal nen blauen Startbildschirm anschauen.
In der linken unteren Ecke kann man dann beobachten wie Windows die benötigten Treiber für Festplatten, CD-Roms, Graphikkarten etc. nachlädt, um ein graphisches System starten zu können.
Wenn man einfach die komplette Installation auf "Ja" oder "Weiter" klickt hat man ein voll funktionsfähiges System mit der (meiner Meinung nach äusserst hässlichen) Windows-XP Oberfläche Luna und 2 Benutzern mit folgenden Berechtigungen:
1. Administrator -> Gruppe Administratoren
2. Wieauchimmerdeinloginist -> Gruppe Administratoren (!!!!)
Bevor wir jetzt alle kollektiv den Kopf schütteln erklär ich am besten mal warum das ganze nicht so aussehen sollte (und warum wir dann alle kollektiv den Kopf schütteln
)2. Admin? Wat, wer bist du denn?
Das Prinzip eines "Administrators" oder "Admins" ist schnell erklärt: Unter Windows gibt es eine sogenannte Benutzerhirarchie, das heisst bestimmte User haben bestimmte Rechte. Das heisst ein User darf bestimmte Programme ausführen wenn seine Rechte zulässig sind.
Ein kurzes Beispiel verdeutlicht dies:
Wir haben 2 User, Admin und Doofie an einem PC eingerichtet.
Admin ist (wer hätte das gedacht?) Administrator, Doofie ist ein normaler User.
Auf der Festplatte C liegt eine Datei namens test.txt (jaja bin wieder erfinderisch
) mit folgenden Benutzerrechten:User Lesen Schreiben Ausführen
Admin ja ja ja
Doofie ja nein nein
Dies bedeutet im einzelnen:
Der Benutzer Admin darf c:\test.txt lesen, schreiben und, falls sie ein Programm wäre ausführen.
Der arme Doofie darf c:\test.txt nur lesen. Das bedeutet wenn er irgendetwas an dem Dokument ändern will kriegt er nur ne Fehlermeldung: Keine Ausreichende Genemigung!
Tja, armer Doofie werdet ihr jetzt sagen! Allerdings ist das ein durchaus gewollter Effekt. Stellt euch mal vor Doofie öffnet aus versehen die Datei c:\windows\system32\rundll32.dll und schreib einfach mal Hallo Welt rein. Was dann (theoretisch) passiert ist folgendes:
Lautes Fluchen, Neustart, geht net, Neuinstallation.
Man sieht also das es durchaus gut sein kann eingeschränkte Rechte zu haben...
Auch das Installieren von neuen Programmen und Treibern erfordert in der Regel Adminrechte. Selbst wenn Doofie seinen neuen nForce Treiber downloaden kann, wird er ihn nicht als Doofie installieren können. Er braucht Adminrechte um die Treiber des Systems upzudaten.
3. Ich Admin, ich Chef!!!
Also, werden sich jetzt natürlich einige Leute denken, warum arbeite ich nicht immer als Admin? Die Welt ist schön, ist darf Treiber installieren, keiner schränkt mich ein!!!
Viele Leute denken so, bis sie sich Ihren ersten Wurm einfangen. Würmer und Viren benötigten in der Vergangenheit sehr oft administrative Rechte, um z.B. Dateien im Windows-Verzeichniss gegen eigene Daten zu ersetzen oder komplett neue Dateien runterzuladen.
Auch Spyware installiert sich auf PCs mit Admin-Anwendern leichter als normale User.
4. Ich seh auf dein Share, sehe gute Warez, schlechte Warez....
Auch im lokalen Netzwerk oder im Internet sind Administratorrechte eher hinderlich als nütlich. Hier kommen wir wieder auf die User zurück die wir bei der Installation erstellt haben. Errinert ihr euch das die alle Adminrecht haben? Wie viele User stellen hier kein Passwort ein, um keine Abfrage beim Systemstart zu haben??
Meiner Meinung (und traurigen Erfahrung) waren das kurz nach dem Verkaufsstart von Windows XP nicht einmal 20% der Nutzer.
Schlimmer noch, bei knapp der hälfte der Benutzer konnte ich mich übers Internet mit Ihren Dateifreigaben verbinden. Das geht übrigens auch, wenn man meint keine Daten freigegeben zu haben. Es gibt nämlich eine Reihe versteckter Freigaben für (Überaschung!!!) Administratoren die auf dem PC Patches einspielen wollen und so weiter. Diese sogenannten IPC-Freigaben kann man, ein gültiges Administratorkonto vorausgesetzt, auch über das Internet benutzen.
Ohne Firewall sind diese Freigaben auf jedem Recher abrufbar!!! Deshalb sollte für den Adminstrator immer ein Kennwort eingegeben werden!