Avira Support Forum

Vorwort
Die folgenden Postings dieses Threads dienen nur informativen Zwecken.
Konstruktive Kritik & Anregungen sind ausdrücklich erwünscht!
Kritik, Anregungen, Aktualisierungs-, Ergänzungs- & Änderungs-Vorschläge am Besten in Form von persönlichen Nachrichten (PN) od. per e-Mail!

Die folgende Postings dienen als Anregung bezüglich eines sinnvollen Sicherheitskonzepts & werden voraussichtlich in Zukunft immer wieder durch mich aktualsiert & überarbeitet werden.
Eine Verlinkung dieserThreads ist ausdrücklich erwünscht!


Die Links in diesem Thread führen idR zu weiteren Webseiten, die wiederum Links enthalten. Auch die dortigen Informationen & Ratschläge sollten meines Erachtens beachtet bzw. befolgt werden!
Alle Informationen, die in diesem Thread zusammengetragen worden sind, wurden nach Besten Wissen & Gewissen von mir aufgezählt. Ich übernehme dennoch keinerlei Haftung für eventuelle Schäden, die aufgrund der hier vorgestellten od. verlinkten Informationen zurückzuführen sind.
In einigen der Links werden teilweise Ansichten vertreteten, die ich nicht teilen kann & von denen ich mich hier in aller Deutlichkeit distanzieren möchte:
a) Ich distanziere mich von der Meinung, dass Virenschutzsoftware und/oder Firewalls überflüssig seien.
b) Ich distanziere mich von der Meinung, dass Firewalls das System grundsätzlich sogar noch unsicherer machen. Vor allem bei der XP-eigenen Firewall & beim Einsatz von Routern kann man nicht viel falsch konfigurieren. Die wenigen, wirklich kritischen Bereiche der Konfiguration, von denen Anfänger lieber die Finger lassen sollten, sind mE dort als solche ausgewiesen.
c) Ich distanziere mich von Empfehlungen, eine allgemeingültige Auswahl von Diensten, die als überflüssig bzw. als Sicherheitsrisiko gelten, blind zu deaktivieren. Ich distanziere mich insbesondere von der Empfehlung jener Tools, die automatisch eine vorgefertigte Auswahl von Diensten deaktivieren. Dienste sollten, wenn überhaupt, nur gezielt & einzeln deaktiviert werden.
d) Ich distanziere mich insbondere von der Ansicht, dass das Deaktvieren von Diensten Firewalls überflüssig macht od. einen nennenswerten Performance-Gewinn erzielt. Ich bin zwar überzeugt davon, dass man durch das gezielte Abschalten garantiert unbenötigter Dienste sowohl etwas die Sicherheit als auch etwas die Performance steigern kann & empfehle sogar ein Deaktivieren solcher Dienste.
Eine Firewall wird durch das Abschalten von Diensten mE jedoch nicht überflüssig. (Lovesan, Sasser & Conficker haben die von ihnen infizierten Systeme über Sicherheitslücken von Netzwerk-Diensten befallen, die bis zum Bekanntwerden der Sicherheitslücken lange Zeit ungeschützt offen standen. Sasser & Conficker zeigten, dass die nach Lovesan (bzw. nach Sasser) gepatchten & nun als sicher geglaubten Systeme in Wirklichkeit dennoch angreifbar waren. Ferner erwies sich mind. ein bekannter Workarround zur Konfiguration der Netzwerkeinstellungen in Nachhinein als unzuverlässig. Um diese Sicherheitslücken abzudichten, kommt man mE um Firewall/Router nicht herum.)
Man sollte sich ferner vor dem Deaktivieren von Diensten möglichst genau darüber informieren, welche Auswirkungen das Deaktivieren hat, & beim Deaktivieren der betreffenden Dienste entsprechende Vorsicht walten lassen. Ansonsten könnte man bei falscher Kofiguration der Dienste wichtige Funktionen des Systems od. sogar das gesamte System in einen funktionsuntüchtigen Zustand versetzen.
Ferner sollte man sicherheitshalber die Einstellung der Dienste, die man ändern will, vor dem Ändern notieren und/oder ein Registry-Backup bzw. ein Image anlegen!
Schließlich sollten nie mehr als 2-3 Dienste gleichzeitig deaktiviert werden!
Vor dem Deaktivieren weiterer Dienste sollte erst eine angemessene "Probezeit" (mind. 7 Tage) eingehalten werden!
e) Ich distanziere mich von der Meinung, dass Outlook Express ein unsicheres eMail-Programm & daher von OE abzuraten sei. Dies mag mE vielleicht für ältere Versionen von OE gelten. Heutzutage steht mE OE - zumindest bei entsprechenden Sicherheitseinstellungen - anderen Mailclients in Puncto Sicherheit in nichts nach (- außer, dass bei OE kein sichereres Protokoll als TLSv1:RC4-MD5:128 unterstützt wird & dass OE sich nicht mit einem Masterpasswort schützen lässt). (Siehe bzgl. der vorzunehmenden Einstellungen von OE hier!)
Sogar der vielgepriesene Mailclient Thunderbird birgt Sicherheitslücken & hat immer wieder mit jeder Menge Probleme zu kämpfen, die nicht nur kosmetischer Natur sind. Letztlich muss jeder für sich selbst entscheiden, welches Mailprogramm er einsetzt!
h) Ich distanziere mich von der blinden Empfehlung, von Windows auf Linux od. auf Mac-OS (od. andere UNIX-Systeme) zu wechseln. Diese Systeme können ihre Sicherheit nur bei entsprechender Konfiguration & Wartung völlig entfalten. Wer nicht über das dafür benötigte Know-How & die Bereitschaft verfügt, das System auch regelmäßig zu warten & sich mit seinem System & dem Thema Sicherheit auseinanderzusetzen, dem muss ich von einem Wechsel des Betriebssystems abraten! Siehe dazu auch u.a. hier, hier, hier od. hier!
i) Ich distanziere mich von der Meinung, dass Bild- bzw. Grafik-Dateien (- insbesondere Dateien mit den Endungen *.gif, *.jpeg, *.jpg, *.wmf, *.wma od. *.bmp -) & Sound-Dateien ungefährlich seien! Auch scheinbar reine Daten-Dokumente - insbesondere Bilddateien (& Office-Dokumente) - können tlw. ausführbaren Code enthalten & somit gefährlich sein.

Schließlich will ich noch darauf hinweisen, dass das von mir empfohlene Arbeiten & Surfen über ein Benutzerkonto mit eingeschränkten Benutzerrechten gewöhnungsbedürtfig ist. Am Anfang (& beim Installieren von Software) muss einiges (um)konfiguieriert werden, bis alle Software einwandfrei läuft. Dabei kommt man teilweise nicht ohne den Einsatz spezieller Tools aus. Man sollte sich also zunächst ausreichend über die Thematik (z.B. hier im Forum) informieren & ggf. seine ersten Versuche beim Arbeiten mit eingeschränkten Rechten zunächst von einem Testsystem aus starten. Beim Arbeiten mit eingeschränkten Rechten sollte ferner regelmäßig an Backups & Images gedacht werden.


Einführung
Hallo Anwender, Du hast möglicherweise hier in diesem Thread gefunden, weil Dein Betriebssystem infiziert (gewesen) ist, od. aber, weil Du Dich einfach nur über das Thema Computersicherheit informieren willst.

1.
Im Zusammenhang mit einer Infektion/Kompromittierung des Computers möchte ich darauf hinweisen, dass bei schwerem Malwarebefall (- also wenn Hintertüren (Backdoors/Bots) od. aus dem Internet nachgeladener Code (Trojan-Downloader) od. Rookits im Spiel sind od. wenn ein Schädling als extrem hartnäckig bekannt ist -) das Formatieren der Systempartition mit anschließendem Neuaufsetzen des Betriebssystems unumgänglich ist.
Evtl. kann man die Backdoor, den Downloader bzw. das Rootkit selbst ja noch relativ einfach entfernen.
Die Löcher, welche dieser Schädling ins System gerissen hat, sind aber nahezu unmöglich aufzuspüren & damit leider auch nicht zu entfernen!
Über diese Löcher kann dann jederzeit Dein System erneut infiziert werden, die Kontrolle über Dein System erneut übernommen werden & das System kann so weiterhin für illegale Ativitäten genutzt werden, für die Du am Ende sogar noch zu Verantwortung gezogen werden kannst!

Aufgrund der wahrscheinlich vorgenommen Manipulationen steht der Aufwand eines Versuchs der vollständigen Beseitung der ins System gerissenen Löcher in keinem Verhältnis zum Ergebnis, welches noch dazu immer mit der Unsicherheit, doch nicht alle Löcher geschlossen zu haben, behaftet bleiben würde. Das Betriebssystem neuaufzusetzen, ist in so einer Situation wesentlich sicherer & oft auch deutlich schneller & weniger aufwendig als ein Versuch der Bereinigung aller ins System gerissenen Löcher.

Siehe dazu auch:
Microsoft zum Thema Kompromittierung
Systembereinigung oder gleich formatieren? - Eine Grundsatzdiskussion...
Warum das System nach einer Backdoor-Infektion neu aufsetzen?
Kompromitierung Windows
Lassen sich kompromittierte Systeme durch Removaltools bereinigen?
Botnets – die finstere Seite des Internets
Wikipedia zum Thema Kompromittierung
Über den Sinn & Unsinn von Malware-Säuberung
Was Botwurm-/Backdoor-verseuchte Rechner alles so bewirken können - Ein Beispiel
Was kompromittierte Rechner alles so bewirken können - Ein weiteres Beispiel
Beispiel 3 (besonders erschreckendes Beispiel)
Beispiel 4 (ebenfalls ein eindrucksvolles Beispiel)
Beispiel 5
Beispiel 6
Beispiel 7
Beispiel 8
Beispiel 9
Beispiel 10


2.
Ein funktionierendes Sicherheitskonzept ist Voraussetzung dafür, dass der Computer sauber & unangreifbar bleibt. Ohne ein funktionierendes Sicherheitskonzept ist es nur ein Frage der Zeit, bis das System kompromittiert wird.

Bist Du dazu bereit, Dein bisheriges Sicherheitskonzept zu überdenken, so mache Dir Folgendes klar:

Zu einem solchen Konzept gehört nicht nur die Installation irgendwelcher Sicherheitssoftware, sondern auch ein restriktives eigenes Verhalten & die Bereitschaft, sich mit der Sicherheit des eigenen Betriebs-Systems auseinander zu setzen.
Wenn Du dazu nicht bereit sein solltest, so brauchst Du an dieser Stelle nicht mehr weiterlesen! Lies Dir stattdessen das hier durch!
Wenn Du dagegen dazu bereit sein solltest, so arbeite die folgende 3 Punkte ab:

• Basis eines Sicherheitskonzepts
  
  
• Kurz-Zusammenfassung der wichtigesten meiner Anregungen zu einem Sicherheitskonzept
  
  
• Ausführliche Anregungen zu einem Sicherheitskonzept - inkl. Anleitungen & Tipps zum Formatieren & Neuaufsetzen des Betriebs-Systems

Basis eines Sicherheitskonzepts:
Lies Dir bitte Kapitel 1 bis einschließlich 7 des folgenden Artikels durch (- Beachte jedoch, dass ich - unabhängig davon, welcher Eindruck beim Lesen des Artikels entsteht - davon überzeugt bin, dass Outlook Express bei richtiger Konfiguration & richtigem Umgang hinreichend sicher ist, dass Opera einer der sichersten & schnellsten Browser auf dem Webbrowser-Markt ist, Sicherheitsupdates bei Opera i.d.R. zeitnah nach dem Bekanntwerden von Schwachstellen herausgegeben werden & dass vom Webbrowser Safari (wie von fast allen Software-Produkten von Apple) aus Sicherheitsgründen abzuraten ist. Kapitel 8 des Artikels empfehle ich übrgens nicht. -):
Kompromittierung unvermeidbar?

Neugierig geworden? Interesse, mehr über mögliche Sicherheitsmaßnahmen zu erfahren? Dann solltest Du nun bereit für eine Zusammenfassung der wichtigsten meiner Anregungen zu einem Sicherheitskonzept sein:



Kurz-Zusammenfassung der wichtigsten meiner Anregungen zu einem Sicherheitskonzept
Erste Maßnahmen
1. Grundlage ist ein garantiert, sauberes Betriebssystem! Ggf. ist das System neu aufzusetzen od. ein garantiert sauberes Image, falls vorhanden, zurückspielen!
2. Gleich nach dem Aufsetzen - noch vor dem ersten Gang ins Internet & noch vor dem Installieren von Software - Image erstellen (1.d)) & dieses garantiert saubere Image gut aufbewahren!
3. Backups vor dem Zurückspielen gründlich untersuchen! (1.h)) Mach Dir klar, dass auch Backups & Images verseucht sein können - Ausnahme ist das saubere Image, das vom frisch aufgesetzten Rechner - noch bevor er im Internet war & noch bevor etwas anderes außer das System selbst installiert wurde, gezogen worden ist!
4. Sichere Webbrowser (Opera/Firefox) installieren & sicher konfigurieren! (2.)
5. Internetoptionen richtig konfigurieren!
6. Empfehlenswerte Sicherheits-Programme installieren (4.) (- z.B. ThreatFire, Spybot S&D (Resident-"SD-HELPER" & Immunisierung), SpywareBlaster, Avira AntiVir Premium/Secuity Suite, ggf. eine Sandbox, ggf. Harden-it, ggf. Secure-it, ggf. ATA-Security, ggf. Comodo-Firewall od. alternativ dazu Online Armor od. alternativ dazu Sunbelt Personal Firewall).
7. Alle Software des Rechners sicher konfigurieren!
8. Windows-Firewall aktiviert lassen, falls keine andere Firewall aktiviert ist! Windows NT/2000-Rechner sollten entweder über einen Router od. eine Personal-Firewall ins Internet gehen. Diese Systeme sollten auch innerhalb des eigenen Netzwerks mit jeweils einem eigenen Router od. einer Firewall abgesichert sein.
9. Ratschläge zur Passwortpolitik: Alle Standard-Passwörter ändern! Komplexe Passworte verwenden, Passworte nur in "KeePass Password Safe" speichern, sonst nirgends! Alle Benutzerkonten - auch das Administrator-Benutzerkonto - mit sicherem PW ausstatten!

Regeln:
1. Kritischer Umgang mit Mails!
2. Kritischer Umgang mit Datenträgern! (6.)
3. Kriticher Umgang mit allem, was aus dem Internet kommt! (6.)
4. Kritischer Umgang mit allem, was aus dem Netzwerk kommt! (6.)
5. Kritischer Umgang mit allem, was von "draußen" kommt! (6.)
6. KritischerUmgang mit allem, was auf dem Rechner unbekannt ist! (6.)
7. Regelmäßig Images & Backups erstellen! (9.)
8. Backups vor dem Zurückspielen gründlich untersuchen! (1.h)) Mach Dir klar, dass auch Backups & Images verseucht sein können - Ausnahme ist das erste Image, das vom frisch aufgesetzten Rechner - noch bevor er im Internet war und noch bevor etwas anderes außer dem System selbst installiert wurde, gezogen worden ist!
9. Regelmäßiges, zeitnahes Updaten aller Software auf dem System (14.) - auch das Betriebssystem selbst updaten (10.) und auch alle Services-Packs!
10. Alle Software des Rechners sicher konfigurieren!
11. Firewall, IDS, Virenwächter (- meine Empfehlung: AntiVir-Guard (12.) -) und Sandbox aktiviert lassen!!!!
12. Sicheren Webbrowser (Opera/Firefox) verwenden! (2.) Inline-Frames, sowie aktive Inhalte wie Java, JavaScript und Flash nur in Ausnahmefällen akzeptieren! (Flash lässt sich bei Opera über die Option "Plugins aktivieren" an- & abschalten. Siehe dazu auch hier! Beim Firefox-Webbrowser lässt sich Flash gezielt in den Optionen der Firefoxerweiterung "NoScript" bzw. in Kombination mit der Erweiterung "Flashblock" per default abschalten. IFrames lassen sich ebenfalls in Firefox mit "NoScript" per default abschalten.
Ggf. auch Popups, Cookies und Referer nur in Ausnahmefällen akzeptieren!)
Internet Explorer nur in Ausnahmefällen bei Beachtung des Umgangs mit den Zonen verwenden!
13. Regelmäßig Virenscans, Malware- und Spywarescans aller Dateien Deines gesamten Systems durchführen! (12.)
14. Ratschläge zur Passwortpolitik: Alle Standard-Passwörter ändern! Immer nur komplexe Passworte verwenden, Passworte regelmäßig ändern, Passworte nur in "KeePass Password Safe" speichern, sonst nirgends! Alle Benutzerkonten - auch das Administrator-Benutzerkonto - regelmäßig mit geänderten, sicheren Passwörtern ausstatten!
15. Kritischer Umgang mit Software! (9.) Leitfragen: Brauch ich das wirklich? Kann ich mit den Auswirkungen dieser Software auf die Sicheheit des Computers leben? Ggf. informieren! Setup-Dialoge kritisch lesen & Software schon beim Setup sicher konfigurieren!
16. Konzept für Schädlingsbefall bereithalten! (15.)
Beispiel für so ein Konzept:

Konzept für Schädlingsbefall:
1. Keine Panik!
2. Trenne alle Internet- und Netzwerk-Verbindungen!
3. Schreibe Dir exakt im Wortlaut die Meldung auf! Schreibe zusätzlich auf, in welcher Situation genau es zu der Meldung kam!
4. Mache (nach Möglichkeit) Backups aller für Dich unverzichtbaren Daten, die sich auf Deinem Rechner befinden!
5. Frage einen Fachmann oder in einem kompetenten Internet-Forum nach, indem Du genau das Problem beschreibst und die exakte Meldung des Sicherheitsprogramms nennst!




Neugierig geworden? Interesse, diese Informationen zu vertiefen? Du verstehst etwas nicht? Das Ganze war Dir zu knapp? Dann sollest Du jetzt bereit für ausführlichere Anregungen zu einem Sicherheitskonzept (- inkl. Anleitungen & Tipps zum Neuaufsetzen des Betriebs-Systems) sein:

Ausführliche Anregungen zu einem Sicherheitskonzept (- inkl. Anleitungen & Tipps zum Neuaufsetzen des Betriebs-Systems)

Grundsätzlich empfohlene Maßnahmen beim (Neu-)Aufsetzen des Betriebssystems und beim Errichten von Schutzmaßnahmen:

I. Grundlage: Richtig aufgesetztes Betriebssystem und erste Maßnahmen, die vor einem ersten Besuch im Internet notwendig sind:
1.a) Denk vor dem Neuaufsetzen an eventuell-notwendige Backups Deiner (Text-)Dokumente, Bilder, Musik, eMails, Mailkonten, Adressbücher, Lesezeichen des Webrowsers, an die Konfigurationseinstellungen Deiner Programme und ähnlichem! Erstelle nur Backups der Dateien & Dokumente, auf die Du weder verzichten kannst, noch die Du Dir von vertrauenswürdigen Webseiten (erneut) herunterladen kannst bzw. von denen Du keine Originale auf CD-ROM, DVD etc. hast! Auf alle anderen Daten muss unbedingt verzichtet werden! Verzichte also auf Backups aller Dateien & Dokumente, von denen Du ohnehin Originale auf CD-ROM, DVD etc. hast oder die man ohnehin im Internet erneut herunterladen kann oder die Du nicht unbedingt brauchst! Ferner solltest Du grundsätzlich nach Möglichkeit auf das Sichern von ausführbaren Dateien verzichten, also z.B. Dateien mit den Endungen .exe, .scr, .com, .bat, .vbs, .sys, .pif oder .dll.
Unverzichtbare Office-Dokumente sollten, wenn der damit verbundene Formatverlust verkraftet werden kann, per Copy & Paste in txt-Dokumente (- also Dokumente, die mit dem Editor erstellt werden -) übertragen werden, (um in den Office-Dokumenten evtl. enthaltene Makros auszuschalten,) damit dann anschließend statt des Office-Dokuments die txt-Datei gesichert werden kann! Das Originaldokument auf dem infizierten Datenträger ist daraufhin zu löschen!
Unverzichtbare Office-Dokumente, bei denen kein Formatverlust hingenommen werden kann, sollten (- um darin evtl. enthaltene Makros auszuschalten -) vor dem Backup mit OpenOffice geöffnet werden; das geöffnete Dokument sollte dann minimal verändert (- z.B. könnte am Schluss des Dokuments ein Leezeichen eingefügt werden -) und dann mit OpenOffice im Microsoft-Office-Format (- das kann man bei OpenOffice explizit beim Speichern einstellen -) auf dem Backupdatenträger gespeichert werden! Das Originaldokument auf dem infizierten Datenträger ist daraufhin zu löschen!
Vor dem Öffnen der Datei mit OpenOffice ist es wichtig, in der Konfiguration des Hauptprogramms von "OpenOffice.org" ( - also nicht in der Konfiguration von "OpenOffice.org Base", "OpenOffice.org Calc", "OpenOffice.org Draw", etc., sondern in "OpenOffice.org" selbst; dort erreichst Du die Konfiguration über "Extras" -> "Optionen..." -) zu kontrollieren, dass dort unter "OpenOffice.org" -> "Sicherheit" -> "Makrosicherheit..." die Sicherheitstufe "Sehr hoch" eingestellt ist und unter "Laden/Speichern" -> "VBA-Eigenschaften" lediglich Häkchen bei "Basic Code laden" sind (- es dürfen keine Häkchen bei "Original Basic Code wieder speichern" oder "Ausführbarer Code" sein)! Ggf. muss OpenOffice entsprechend konfiguriert werden!

Ggf. sollte bei Schädlingsinfektionen aus Gründen der Beweissicherung - etwa, wenn Dialer oder Backdoors im Spiel gewesen sind - vor dem Formatieren des Systems vor Zeugen ein Image des kompletten Systems gezogen werden!

Das Erstellen eines Images vom verseuchten System kann sich aber auch alleine für den Fall als sinnvoll erweisen, falls man später nach dem Neuaufsetzen bemerken sollte, dass man beim Erstellen der Backups etwas Wichtiges vergessen hat. So könnte man notfalls kurzfristig noch auf das alte, verseuchte System zurückgreifen, um dann die betreffenden Daten zu sichern.

Wichtig: Lade Dir alles, was Du vor dem ersten Besuch des Internets benötigst, von einem garantiert schädlings-freien Rechner herunter & speichere das auf einem externen, sauberen Datenträger wie z.B. einen USB-Stick oder CD-ROM, den Du nur für diesen Zweck benutzt!

Es ist empfehlenswert, die Datensicherung von einem Live-System wie Puppy-Linux, Knoppix, Ubuntu, BartPE oder Notfall-Windows durchzuführen. Siehe dazu auch hier!

Ein großes Sicherheitsproblem ist eine mögliche Infektion eines Backupdatenträgers durch eine schädliche autorun.inf-Datei. Einen vielversprechenden Schutz vor dieser Infektion bietet jedoch das Tool "Panda USB Vaccine", indem es eine geschützte autorun.inf-Datei auf dem betreffenden Datenträger anlegt. Alle Backupdatenträger sollten *imho* mittels dieses Tools mit einer "Schutzimpfung" versehen werden. (Das Tool versucht dabei mit relativ großer Erfolgsaussicht, eine evtl. bereits existierende autorun.inf-Datei zu überschreiben. Notfalls muss sie jedoch zunächst von Hand gelöscht werden.)




1.b) System formatieren & Windows richtig installieren
Die Systempartition (und am Besten alle weiteren infizierten Partitionen) ist zunächst zu formatieren!

Sicherheitshalber sollte m.E. bei der Gelegenheit, wenn Du eh schon formatierst, auch der MBR neu beschrieben werden!
Falls ein Bootmanager auf der Festplatte eingerichtet gewesen ist, so ist er nach dem Neubeschreiben des MBR wahrscheinlich neu einzurichten!
Falls auf der Systemfestplatte mehrere Partitionen eingerichtet waren und nicht alle vorhandenen Partitionen formatiert werden sollen, so sollten von allen unverzichtbaren Daten der anderern Partionen, um Datenverlust vorzubeugen, Backups angelegt werden, bevor man den MBR neu beschreibt (oder die Systempartition formatiert)! Am Besten macht man dies, indem man vor dem Neuschreiben des MBR (oder dem Formatieren der Systempartition) ein Image der betreffenden Partionen auf einen externen Datenträger erstellt.
Den MBR beschreibt man bei älteren Windows-Systemen mit dem DOS-Befehl FDISK/MBR und bei neueren Windows-Systemen (wie Win 2000 & XP) mit der Wiederherstellungskonsole der Windows-CD mit dem Befehl fixmbr neu! Die Wiederherstellungskonsole (- teilweise auch Reparaturkonsole genannt -) erreicht man über den "Willkommen"-Bildschirm, der sehr früh beim Installationsvorgang von Windows 2000/XP angezeigt wird, indem man bei diesem "Willkommen"-Bildschirm die Taste "R" wählt. Siehe dazu auch hier: Windows 2000-Wiederherstellungskonsole, Windows XP-Wiederherstellungskonsole und Windows XP-Wiederherstellungskonsole für Fortgeschrittene!
Warnung: Das Neubeschreiben des MBR kann bei bestimmten Bootsektorvirus-Infektionen zu einem kompletten Datenverlust aller Partionen der Festplatte führen! Daher ist vor dem Neubeschreiben des MBR ein Anlegen eines Backup's wichtiger Daten der vorhandenen Partionen bzw. eines Image's einer unverzichtbaren Partition dringend zu empfehlen!


Anleitungen zum Formatieren der Systempartition und zum Neuaufsetzen von Windows:

Windows XP-Installation: www.incosec.de (Klick dort auf den rapidshare-Link!
(Siehe auch hier, hier und hier!))

Windows Vista-Installation: www.windows-tweaks.info/?p=9

Win 2000-Installation: www.computerleben.net/artikel/Windows_20…lieren-259.html
www.windows-tweaks.info/html/windows-2000-installation.html

Win 98/98SE-Installation: www.computerleben.net/artikel/Windows_98…lieren-218.html
www.windows-tweaks.info/html/windows-98-installation.html

Win ME-Installation: www.computerleben.net/artikel/Windows_ME…lieren-219.html
www.windows-tweaks.info/html/windows-me-installation.html




1.c) Bei einer Neuinstallation von Windows noch vor dem ersten Gang ins Internet einen neuen Benutzernamen vergeben und das aktuellste Servicepack sowie das aktuellste Updatepack installieren!

Windows Server 2008/Windows Vista Servicepack 2: https://www.microsoft.com/downloads/deta…&displaylang=de

Windows Server 2008 x64/Windows Vista x64 Servicepack 2: https://www.microsoft.com/downloads/deta…&displaylang=de

Windows XP Service-Pack 3: https://www.microsoft.com/downloads/deta…08-1e1555d4f3d4
(Voraussetzung für Installation des Service-Pack 3 ist ein bereits installiertes Service-Pack. Alle Anwender, bei denen in der Windows-XP-Installation-CD kein Service-Pack integriert ist, müssen also zunächst ein älteres Service-Pack installieren, um im Anschluss das Service-Pack 3 installieren zu können . Ich empfehle dafür das Service-Pack 2, da dieses SP (SP=Service-Pack) im Unterschied zum SP1 noch offziell verfügbar ist.)

Windows 2000 Servicepack 4: https://www.microsoft.com/downloads/deta…&DisplayLang=de

Windows Server 2003 Service Pack 2: https://www.microsoft.com/downloads/deta…&displaylang=de
Windows Server 2003 Itanium Service Pack 2: https://www.microsoft.com/downloads/deta…&displaylang=de
Windows Server 2003 x64/Windows XP x64 Service Pack 2: https://www.microsoft.com/downloads/deta…14-646414D0A421



Es ist nicht zwingend notwendig, sich vor dem ersten Zugriff aufs Internet die neuste Version des Internet Explorers zu installieren; aber ich empfehle das Installieren des neusten Internet Explorers nach Installation des Service Packs.

Die neuste Version des Internet Explorers für Windows 98, 98 SE, ME, NT SP6a (oder höher), 2000 ist der Internet Explorer 6 Service Pack 1.

Für alle anderen Windows-Versionen ist der IE 8 (IE=Internet Explorer) zu empfehlen.
IE 8 für Windows XP: https://www.microsoft.com/downloads/deta…&displaylang=de
IE 8 für Windows Vista/Windows Server 2008: https://www.microsoft.com/downloads/deta…&displaylang=de
IE 8 für Windows Vista x64/Windows Server 2008 x64: https://www.microsoft.com/downloads/deta…&displaylang=de
IE 8 für Windows Server 2003: https://www.microsoft.com/downloads/deta…&displaylang=de
IE 8 für Windows Server 2003 x64/Windows XP x64: www.microsoft.com/downloads/details.aspx…&displaylang=de



Nach Installation des neusten Service Packs und der ggf. danach erfolgten Installation des neusten Internet Explorers sollte dingend das neuste Windows-Update-Pack installiert werden: heise.de/ct/projekte/133634
(Infos dazu hier.
Alternativen hier, hier bzw. hier.)




1.d) Nach dem Neuaufsetzen des Systems und der Installation des neusten ServicePacks sowie des aktuellsten Windows-UpdatePacks - aber noch vor dem ersten Besuch des Internets - empfiehlt es sich, ein Image des Systems (- z.B. mit Paragon Drive Backup Personal, Paragon Drive Backup-Express oder Acronis True Image -) anzufertigen. Dieses Image sollte auf einem anderen Datenträger als der Systempartition (- z.B. einer zweiten Festplatte oder DVD, notfalls auf einer anderen Partition der Systemfestplatte -) abgespeichert und gut aufbewahrt werden! (Das Image sollte z.B. vor Hitze, Licht, Staub und Feuchtigkeit geschützt aufbewahrt werden und nicht unbedingt am selben Ort wie der Rechner. Am Besten sollten mehrere Duplikate dieses Images auf unterschiedlichen Datenträgern erstellt werden.) Falls Du nämlich trotz überarbeitetem Sicherheitskonzepts wieder einmal in Situation kommen solltest, das System neu aufsetzen zu müssen, so kannst Du dann statt einer Neuinstallation einfach das Image zurückspielen!




1.e) Direkt im Anschluß an das Erstellen des Images (bzw. nach dem Wiederherstellen des allerersten, vor dem ersten Gang ins Internet erstellten Images) - aber noch vor dem ersten Gang ins Internet - sind neue, sichere Passwörter für alle Benutzeraccounts des Rechners - auch für den nur im abgesicherten Modus von Windows erreichbaren Benutzeraccount des Benutzers "Administrator" -, sowie neue Computer- & Arbeitsgruppe-Namen zu vergeben! (Falls Du statt einer Neuinstallation das allererste, vor dem ersten Gang ins Internet erstellte Image wiederhergestellt hast, so solltest Du unbedingt zusätzlich den Benutzernamen ändern!)

1.f) Es ist danach unbedingt eine Personal Firewall zu installieren & richtig zu konfigurieren! Benutzer von Windows XP und Windows Vista brauchen jedoch keine eigene Personal Firewall zu installieren. Die Windows-eigene Firewall reicht völlig aus! Die XP-Firewall sollte aber unbedingt - wie im Punkt VIII dieses Threads beschrieben - konfiguriert werden! Eine Anleitung zur Konfiguration der Vista-Firewall gibt es hier (- für Fortgeschrittene auch hier(, hier, hier und hier)).

Allen Anwendern von Windows 2000 rate ich zur Firewall Online Armor.

Allen Anwendern von Windows XP und Windows Vista, die bereit sind, sich mit ihrer Firewall ausreichend auseinanderzusetzen, empfehle ich die Comodo Firewall Pro oder alternativ dazu die bereits oben genannte Firewall Online Armor (bzw. die Sunbelt Personal Firewall (- siehe dazu Punkt IX dieses Threads!).)

(Anwendern der Betriebssysteme Windows 98, 98-SE, ME & NT rate ich zur etwas älteren Kerio-Version Kerio Personal Firewall 4.2.0 (Handbuch zur Version 4.2.0 hier). Alternativen sind aber auch die ebenfalls etwas angestaubten Personal Firewalls Sygate Personal Firewall, Jetico Personal Firewall oder Netvada Safety.net bzw. die in die Jahre gekommene Firewall Agnitum Outpost Firewall Free 1.0.
Da die Betriebssysteme Windows 98, 98-SE & ME aber nicht - anders als Windows NT, 2000, XP & 2003 - Netzwerkschädlingen wie den W32.Sasser-Wurm ausgesetzt sind, ist bei diesen Betriebssystemen eigentlich auch auf eine Personal Firewall verzichtbar. Allerdings sollten die Anwender dieser Betriebssysteme ohnehin aus Sicherheitsgründen den Wechsel zu Windows XP oder Windows Vista ins Auge fassen!
Anwendern von Windows NT rate ich (in Gegensatz zu Anwendern von Win 98/98SE/ME) dringend zu einer der oben empfohlenen Firewalls (oder aber noch besser zu einem Upgrade ihres Betriebssystems)!)



Ein richtig konfigurierter DSL-Router ist mE jedoch ein adäquater Ersatz der wichtigsten Schutzfunktionen einer Personal Firewall (bzw. der Windows-Firewall); bezogen auf diese Schutzfunktionen ist ein Router mE sogar einer Personal Firewall (bzw. der Windows-Firewall) vorzuziehen. Am sichersten fährt man natürlich, wenn man Router & Personal Firewall (bzw. Windows-Firewall) ergänzend einsetzt. Bei Netzwerk-PCs ist dies sogar dringend anzuraten, da der Router das Netzwerk nur gegen Angriffe von außerhalb des Netzwerks schützt. Gegen netzwerkfähige Schädlinge, die sich innerhalb des eigenen Netzwerks ausbreiten, (und gegen andere Angriffe aus dem eigenen Netzwerk) ist man also allein mit einem Router ungeschützt.
Da ein Router aber schwerer zu manipulieren ist, als eine Personal Firewall (bzw. die Windows-Firewall), sollte auf ihn nach Möglichkeit nicht verzichtet werden.

Siehe für weitere Hinweise zu Firewall & Router hier die Punkte VII. bis X.!



1.g) Ferner solltest Du in Zukunft alle jemals auf dem PC verwendeten Passwörter und Benutzerkonto-Namen nicht mehr verwenden, sondern durch neue, sichere Passwörter und neue Benutzerkonto-Namen ersetzen!



1.h) Für den Fall, dass Du Backups erstellt haben solltest, empfehle ich, den Autorun aller Laufwerke zu deaktivieren. Empfehlenswert ist hierfür das Tool AutoRunSettings. (Siehe dazu hier!)
(Man kann das aber auch manuell über die Registry (Hex-Wert "FF" [ohne Anführungszeichen]) einstellen, was aber Anfängern nicht zu empfehlen ist.)
Beachte im Zusammenhang mit dem Deaktivieren der Autoruns aller Laufwerke zusätzlich auch diese Hinweise sowie diese Empfehlungen!

Nach dem Neuaufsetzen des Systems & der Installation des neusten Windows-SevicePacks sowie des neusten Windows-Updatepacks - gefolgt vom Erstellen eines Images des bis zu dieser Stelle noch nicht mit dem Internet verbundenen Betriebssystems ( & der Installation einer Firewall) und nach Deaktivierung der Autoruns aller Laufwerke - empfehle ich eine Überpüfung der alten Backupdatenträger mit allen der folgenden Scanner:

• BitDefender-Onlinescan
  (Alternative: BitDefender Free -> Update zunächst BitDefender Free und scanne anschließend den betreffenden Datenträger!)
  
  
• Kaspersky-Online-Virenscan mit erweiterten Einstellungen! Der Onlinescanner setzt die Benutzung des Internet Explorer's und das Erteilen einer Erlaubnis des vom Kaspersky-Onlinescan verwendeten ActiveX-Elemente voraus!
  (Eine Alternative wäre der auf Java basierende Kaspersky-Online-Virenscan. Er lässt sich Betriebssystem- & Webbrowser-unabhängig einsetzen, setzt aber Java voraus und ist im Gegensatz zum erstgenannten Kaspersky-Online-Scanner englischsprachig.)
  Alternative für Vista (x64)-User: "Kaspersky-Internet-Security"-Testversion (ganz unten auf der Website) oder "Kaspersky Anti-Virus"-Testversion. Bitte direkt nach Installation den Guard (Wächter) deaktvieren, um Konflikte mit dem AntiVir-Guard zu verhindern! -> Update zunächst "Kaspersky-Internet-Security" bzw. "Kaspersky Anti-Virus" und scanne anschließend den betreffenden Datenträger!)
  
  
• a-squared-Onlinescan
  (Alternative: a-squared Free -> Update zunächst a-squared Free und scanne anschließend den betreffenden Datenträger!)
  
  
• Avira AntiVir Premium {Lizenz hier -
  Alternativen: Avira AntiVir Personal (- Free Antivirus) (- kostenlos, aber mit eingeschränkter Sypware-Suche! Nur für Privatanwender! -) bzw. Avira AntiVir Professional (Testlizenz hier, normale Lizenz hier) bzw. Avira Premium Security Suite (Lizenz hier)
  -> Update AntiVir zunächst und scanne anschließend den betreffenden Datenträger! Beachte, dass niemals zwei (oder gar mehr) Virenwächter parallel betrieben werden sollten!
  (Weitere Alternative: Avira AntiVir Rescue System (- muss nicht installiert werden & kostenlos! -> Siehe zum AntiVir Rescue System auch hier und hier!)}
  
  
• Ad-Aware -> Update zunächst Ad-Aware ("Web-Update") und scanne anschließend den betreffenden Datenträger! ("Einstellungen" -> Registerkarte "Scannen" -> ( Bei "Datei scannen":) Häkchen entfernen bei "Keine Dateien über" -> (Bei "Zu scannende":) "Ordner wählen" -> "Hinzufügen" -> das zu durchsuchende Laufwerk auswählen -> "OK" -> "OK" -> "OK" -> "System scannen" -> Registerkarte "Profilscan" -> "Jetzt scannen"!)
  
  
• Malwarebytes-AntiMalware-> Update zunächst Malwarebytes-AntiMalware und scanne mit dem "Vollständigen Suchlauf" anschließend den betreffenden Datenträger!

Alle Onlinescanner (und alle weiteren unbenötigten Scanner) nach dem Scan bitte über Systemsteuerung -> Software wieder deinstallieren!
(Falls einer der Onlinescanner über Systemsteuerung -> Software nicht aufgeführt sein sollte, dann bitte das zugehörige ActiveX-Element über 'Internetoptionen' -> 'Programme' -> 'Add-Ons verwalten' löschen!)

Darüber hinaus empfehle ich, jede einzelne Datei des Backupdatenträgers vor ihrer Verwendung bei https://www.virustotal.com/de/ sicherheitshalber noch einmal zu überprüfen!

Mach Dir bewusst, dass kein Malwarescanner alles findet und einige Schädlinge sogar von (fast) allen Malwarescannern übersehen werden. Du solltest Dich also keinesfalls ausschließlich auf Malwareschutzsoftware allein verlassen, sondern nach einer Malwareinfektion den Backupdateien mit gesundem Menschenverstand und einer großen Portion Misstrauen gegenübertreten!

Alle Dateien auf dem Backupdatenträger, die Dir immer noch suspekt erscheinen, kannst Du bei analysis.avira.com/samples/index.php hochladen! Füge unbedingt Deine Mailadresse hinzu!
Anschließend musst Du noch ein paar wenige Tage Geduld aufbringen, bis Du das Untersuchungsergebnis zugemailt bekommst!

(Dieser Aufwand ist mE nicht übertrieben. - Du willst ja schließlich nicht versehentlich durch das Wiederherstellen alter Backups Dein System erneut infizieren!
Selbst nach dieser Prozedur sollte man mE seine alten Backups mit einer gesunden Portion Misstrauen behandeln.
Für weitere Hinweise lies bitte hier weiter!)

II. Weitere, wichtige Schutzmaßnahmen:

2. Ein Wechsel des Standardbrowsers zu Opera (oder ggf. alternativ dazu zu Mozilla-Firefox) ist dringendst zu empfehlen! Ein Großteil möglicher Schädlings-Infektionen ist nämlich nur durch den Einsatz des Internetexplorers oder anderer unsicherer Webbrowser möglich.

Opera (& auch Firefox) gibt es übrigens (jeweils) auch als (- z.B. vom USB-Stick aus -) direkt-ausführbare Version: Opera@USB (und Firefox Portable)!

Beachte bitte bei Benutzung von Opera diese und auch diese Ratschläge! In den Einstellungen ("Strg" + "F12" -> "Erweitert" -> Registerkarte "Inhalte" -> "Darstellungsoptionen..". -> Registerkarte "Anzeige") die "Inline-Frames" deaktivieren! Nur wenige Seiten setzen IFrames voraus; sie sind aber grundsätzlich ein Sicherheitsrisiko und sollten, (so wie "JavaScript", "Java", "Plug-ins", "Cookies", "Referrer" und "Pop-ups") allenfalls temporär oder seitenspezifisch ("F12" -> "S" -> Registerkarte "Anzeige" - nur bei vertrauenswürdigen Seiten, die ohne Iframes nicht funktionieren [und bei denen Du mit der temporären Freischaltung nicht leben kannst] -) freigeschaltet werden!

Beachte jedoch, dass auch vertrauenswürdige Websites gehackt werden können. Selbst die Webauftritte von renommierten Sicherheitsunternehmen bzw. Sicherheitsexperten sind davor nicht gefeit. (Siehe dazu z.B. auch hier, hier und hier!) Das bedeutet, dass auch bei Downloads von vertrauenswürdigen Websites Vorsicht geboten ist und dass auch schon allein das Ansurfen einer vertrauenswürdigen Website, die gehackt worden ist, über Browserexploits den Rechner des Surfenden infizieren könnte. Es gilt also, auch bei vertrauenswürdigen Websites die Browser-Sicherheitseinstellungen so restriktiv wie möglich zu konfigurieren (und Dateien aus dem Internet grundsätzlich immer gegenüber vorsichtig zu sein).

Bei der Benutzung von Firefox bitte diese Ratschläge beachten! Ferner empfehle ich, Firefox mit folgenden Erweiterungen auszustatten, um ihn sicherer zu machen: NoScript (- hier bitte auch Iframes und Flash per default deaktiviereren - Siehe zu "NoScript" auch hier -), FlashBlock, SSL Blacklist (- siehe zu SSL Blacklist auch hier! -), QuickJava, Finjan SecureBrowsing und KeyScrambler Personal.
Darüber hinaus ist auch die Erweiterung Adblock Plus ratsam. (In Kombination mit Adblock Plus sind die folgenden, hier erhältlichen Filterlisten ("Filter-Abonnements") empfehlenswert: EasyList, EasyList Germany, Filter von Dr.Evil, AdblockRules.org, Cédrics Liste, Filter von MonztA, EasyPrivacy, Fanboy’s Tracking/Stats Blocking, Malware Domains, Myspace Junk Filters)
Auch die Erweiterung Mark Unsecured Password Elements kann ich trotz ihres Beta-Stadiums empfehlen.
Ferner sind aus Datenschutzgründen RefControl und CookieMonster, Secure Login empfehlenswert.
Hilfe zu all diesen Erweiterungen gibt es bei Bedarf hier im Forum.)

3. Die "Internetoptionen" sicherer einstellen!
Die Internetoptionen findest Du unter Start -> Einstellungen -> Systemsteuerung -> Internetoptionen.

Empfehlung zur Konfiguartion der "Internetoptionen":
Die Registerkarte "Allgemein" nach diesen (bzw. diesen) Empfehlungen konfigurieren!

Registerkarte Sicherheit:

Meine persönliche Empfehlungen:
Hinweis: Die in Klammern angegebenen Wertungen "(empfohlen)" und "(nicht sicher)" werden nur in der Internet-Zone angezeigt.

Spalte 1 = Eingeschränkte Sites (E); 2 = Internet (I); 3 = Vertrauenswürdige Sites (V); 4 = Lokales Intranet (L)

x = Empfohlene Einstellung
? = Kompromiss zwischen Sicherheit und Benutzbarkeit
Fehlt bei einer Option das "?", so ist das "x" m.E. bereits ein brauchbarer Kompromiss.




Hinweis: Diese Empfehlung setzt ein differenziertes Arbeiten mit dem Zonenmodell der Internetoptionen voraus.
D.h.:

• Nur vertrauenswürdige Websites, die sich weder mit dem Firefox noch mit Opera korrekt darstellen lassen (- i.d.R. sind das Seiten, die mit ActiveX arbeiten), dürfen mit dem Internet Explorer angesurft werden!
  
• Funktioniert eine solche Web-Seite auch mit dem Internet Explorer nicht korrekt, so wird die betreffende "Domain" der Website zunächst in die Zone "Vertrauenswürdige Sites" hinzugefügt - und zwar nur den Top Level-Domain-Namen (- also die Länderkürzel-Endung -) und den Second Level-Domain-Namen (- also den "Domain"-Namen, der direkt vor dem dem dem Länderkürzel vorangestellten Punkt liegt - alle Subdomain-Namen vor diesem Second Level Domain-Namen und auch der "http://"-, "https://"-, bzw. "ftp://"-Vorspann werden also nicht mit eingegeben, sondern nur durch ein Sternchensymbol (*) als Platzhalter ersetzt - also statt http://forum.avira.com/wbb/index.php?page=Thread&threadID=6123 würde nur nur *.avira.com, statt https://www.virustotal.com/de/ nur *.virustotal.com, statt ftp://ftp.bitdefender.com/pub/updates/bitdefender_v7/cumulative.zip nur *.bitdefender.com, statt http://c-ko.blogspot.com/ nur *.blogspot.com und statt https://secure.freenet.de/e-tools.freenet.de/login.php3 nur *.freenet.de eingegeben werden).
  Dazu wird in den Internetoptionen in der Registerkarte Sicherheit die betreffende Zone durch Anklicken markiert, dann die Schaltfläche Sites angeklickt, (danach die Schaltfläche Erweitert - soweit vorhanden - angeklickt,) dann das Häkchen bei "Für Sites dieser Zone ist eine Serverprüfung (https:) erforderlich" (dauerhaft) entfernt und schließlich die betreffende "Domain" inkl. des Platzhalter-Sternchensymbols also z.B. *.virustotal.com eingegeben!
  
• Funktioniert die betreffende Web-Seite auch dann nicht korrekt, so wird der betreffende Domain-Name wieder aus der Zone "Vertrauenswürdige Sites" entfernt und dafür (auf die Gleiche Art, wie für die Zone "Vertrauenswürdige Sites" beschrieben,) in die Zone "Lokales Intranet" hinzugefügt.
  
• Funktioniert die betreffende Website wider Erwarten auch dann nicht, so ist die Konfiguration der Internet-Zone temporär entsprechend der Empfehlung für vertrauenswürdige Sites einzustellen! (Nach dem Surfen auf dieser Site sind jedoch unbedingt die von mir empfohlenen Einstellungen für die Internet-Zone vorzunehmen!)
  
• Funktioniert die betreffende Website wider Erwarten auch dann nicht, so ist die Konfiguration der Internet-Zone entsprechend der Empfehlung für das Lokale Intranet einzustellen! Nach dem Surfen auf dieser Site sind jedoch unbedingt die von mir empfohlenen Einstellungen für die Internet-Zone vorzunehmen!

(Siehe dazu ggf. auch Sicherheitseinstellungen des Internet Explorer 7 - Die Registerkarte "Sicherheit", ("Sicherheitscheck beim Internet Explorer 6 - Benutzerdefinierte Sicherheit...",) "c't-Browsercheck - Sicherheitseinstellungen des IE 7 anpassen" (und "c't-Browsercheck - Sicherheitseinstellungen des IE 6.x anpassen")!
Achtung! Bitte beachten, dass meine Empfehlungen teilweise von den Empfehlungen, die in den Links gemacht werden, abweichen!)

Das Einfügen einer vertrauenswürdigen Website in die Zone der "vertrauenswürdigen Sites" kann mit dem Tool Enogh is enough! wesentlich erleichtert werden; Dazu muss das Tool nach dem Download entpackt werden und die entpackte Datei inst-but.bat ausgeführt werden. Im darauf erscheinenden Menü-Fenster muss dann die Option [1] INSTALL und danach entweder [2] Buttons only, falls PowerTweaks bereits installiert sein sollte, oder anderfalls [1] IE Power Tweaks WebZone Accessory and Buttons gewählt werden! Das Tool fügt dem Extras-Menü des Internetexplorers die beiden Schaltflächen Add to Trusted Zone ("Füge die Seite der Zone der vertrauenswürdigen Sites hinzu!") und Add to Restricted Zone ("Füge die Seite der Zone der eingeschränkten Sites hinzu!") hinzu. Per Klick auf die jeweilige Schaltfläche kann man die aktuelle Site der entsprechenden Zone hinzufügen.
ACHTUNG! Es wird die Subdomain der Seite inkl. das betreffende Protokoll der entsprechenden Zone hinzugefügt. Also für die Seite https://secure.freenet.de/e-tools.freenet.de/login.php3 würde https://secure.freenet.de/ in die Liste der betreffenden Zone eingetragen werden. Will man die gesamte Domain (- hier im Beispiel freenet.de -) in der Zone eingeben - und das auch noch unabhängig vom gewählten Protokoll (http, https, ftp, etc.) -, so muss man das nach wie vor manuell machen! Dennoch können diese Schaltflächen einem das Surfen mit dem Internet Explorer wesentlich erleichtern.



Zur Option "Vom Administrator genehmigt":
Man kann über die Registry (oder per Gruppenrichtlinie) eine Liste erlaubter ActiveX-Steuerelemente erstellen. Wenn in einer Zone bei "ActiveX-Steuerelemente und Plugins ausführen" die Option "Vom Administrator genehmigt" gewählt worden ist, sind alle ActiveX-Steuerelemente, die sich nicht in dieser Liste befinden, in der betreffnden Zone deaktiviert. In dem Fall müssen jene für die Ausführung im Internet Explorer freigegebenen ActiveX-Steuerelemente (bzw. deren CLSID) per Registryeintrag im Registry-Schlüssel HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\AllowedControls (oder per Gruppenrichtlinie) explizit erlaubt werden.

Unter bestimmten Voraussetzungen muss alternativ zum genannten Schlüssel der Key HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\AllowedControls verwendet werden. Am Besten, man erstellt einen Erlaubniseintrag für beide Schlüssel.

Die beiden Schlüssel existieren standardmäßig noch nicht. Sie müssen also ggf. erst noch manuell angelegt werden.

Für jedes zu erlaubende ActiveX-Steuerelement muss ein DWORD-Eintrag, der als Namen die zugehörige CLSID trägt, angelegt werden. Dabei ist die CLSID in geschweifte Klammern zu setzen. Also wäre z.B. bei der CLSID "D27CDB6E-AE6D-11CF-96B8-444553540000" als Name für den zugehörigen Registry-Eintrag "{D27CDB6E-AE6D-11CF-96B8-444553540000}" (ohne Gänsfüßchen, aber mit geschweifter Klammer) zu wählen.

Jedem dieser Registry-Einträge ist der Wert 0 (Null) zuzuweisen. (Wird ein anderer Wert als 0 gewählt, so bleibt das betreffende Steuerlement deaktiviert.)

Man kann mit dem Tool oleview die clsid bereits installierter ActiveX-Steuerelemente herausfinden. Auch mit StartupList (-> "ActiveX objects" und "Downloaded Programm Files"), WinPatrol und HijackFree kann man die clsid eines installierten ActiveX-Steuerlements herausfinden.
Mit HijackThis kann man, wenn es mit der Option /ihatewhitelists ausgeführt wird, zumindest die CLSID jener installierten ActiveX-Steuerlemente herausfinden, die vom Internet Explorer verwendet werden.

In den neueren Versionen des Internet Explorers kann man über die Funktion "Add-Ons verwalten"-> Auswahl zwischen "Alle Add-Ons" und "Ohne Berechtigung ausführen" -> Markieren des ActiveX-Steuererlements -> "Weitere Informationen" die CLSID eines installierten ActiveX-Steuerelements unter der Bezeichnung "Klassenkennung" herausfinden. (Siehe dazu den Screenshot im nächsten Posting!)


-----


Für die Cookiebehandlung der Internetoptionen empfehle ich den Import der Cookie-Konfigurations-Datei 4e-s.xml, die sich im set2 des gepackten xml-menu's befindet. Das xml-menu kann man hier herunterladen. Man importiert die Datei 4e-s.xml, indem man zunächst das xml-menu mit einem Pack-Programm (wie z.B. PeaZip, 7-Zip, WinRAR oder WinZIP) oder dem XP-eigenen Extrahierassistenten entpackt und dann in der Registerkarte Datenschutz der "Internetoptionen" die Schaltfläche Importieren auswählt und dann im entpackten xml-menu die Datei 4e-s.xml auswählt.

Der Import der Cookie-Konfigurations-Datei hat die Auswirkung, dass alle Cookies (auch Session-Cookies) von Drittanbietern, wenn sich die betreffende Website in den Zonen "Internet" oder "Vertrauenswürdige Sites" befindet, verweigert werden.
Session-Cokies von Erstanbietern werden bei dieser Konfiguration, wenn sich die betreffende Website in den Zonen "Internet" oder "Vertrauenswürdige Sites" befindet, grundsätzlich akzeptiert. Sie werden spätestens beim Schließen das Intenet Explorers automatisch gelöscht.
Persistenete Cookies von Erstanbietern werden bei dieser Konfiguration, wenn sich die betreffende Website in der Zone "Internet" befindet, beim Schließen des Internetexplorers automatisch gelöscht.
Persistente Cookies von Erstanbietern werden bei dieser Konfiguration, wenn sich die betreffende Website in der Zone "Vertrauenswürdige Sites" befindet und das Cookie keine akzetable Datenschutzrichtlinie vorweisen kann, nur für den Austeller des Cookies zugänglich gemacht. Falls ein persistentes Cookie eine akzetable Datenschutzrichtlinie vorweisen kann und sich die betreffende Website in der Zone "Vertrauenswürdige Sites" befindet, wird das Cookie bei dieser Konfiguartionseinstellung unverändert akzeptiert.
Alle Cookies von Websites, die sich in der Zone Intranet befinden, werden bei dieser Konfiguration grundsätzlich akzeptiert (- unabhängig davon, ob es persistente oder Session-Cookies sind).
Alle Cookies von Websites, die sich in der Zone Eingeschränkte Sites befinden, werden bei dieser Konfiguration grundsätzlich verweigert (- unabhängig davon, ob es Erstanbieter- oder Drittanbieter-Cookies sind, und unabhängig davon, ob es persistente oder Session-Cookies sind).
Das Hinzufügen von Domains über die Schaltfläche "Sites" der Registerkarte "Datenschutz" der Internetoptionen bewirkt, dass alle Cookies der entsprechenden Domain unabhängig von den Cookie-Einstellungen grundsätzlich in der Internet-Zone akzeptiert (und im Falle von persistenten Cookies gespeichert) werden, wenn man beim Hinzufügen der Domain "Zulassen" wählt., bzw. verweigert werden (- auch Erstanbieter-Session-Cookies), wenn man beim Hinzufügen der Domain "Blocken" wählt.

Diese Konfiguration hat den Vorteil, dass der Anwender niemals gefragt wird, ob er Cookies akzeptieren will, er aber dennoch bei Bedarf Domains dauerhaft das Speichern von Cookies erlauben kann.
Außerdem hat diese Konfiguration den Vorteil, dass nur persistente Erstanbieter-Cookies von Websites, die sich in der Zone "Vertrauenswürdige Sites" befinden, und persistente Cookies von Websites, die sich in der Zone "Intranet" befinden, sowie persistente Cookies von Domains, die über die Schaltfläche "Sites" der Registerkarte "Datenschutz" zugelassen worden sind, dauerhaft gespeichert werden.
Ferner hat diese Konfiguration den Vorteil, dass persistente Erstanbieter-Cookies, die keine akzetable Datenschutzrichtlinie vorweisen, nur dem Austeller des Cookies zugänglich gemacht werden, falls das Cookie von einer Websites kommt, die sich in der Zone "Vertrauenswürdigen Sites" befindet.
Ein weiterer Vorteil dieser Konfiguration ist es, dass alle Drittanbieter-Cookies (auch Drittanbieter-Session-Cookies) von Websites, die sich nicht in der Zone "Intranet" befinden, grundsätzlich verweigert werden.
Dann ist ein großer Vorteil, dass alle akzeptierten Cookies (auch persistente Cookies) von Websites, die sich nicht in den Zonen "Vertrauenswürdigen Sites" und "Intranet" befinden und die nicht über die Schaltfläche "Sites" der Registerkarte "Datenschutz" zugelassen worden sind, beim Schließen des Internet Explorers gelöscht werden.
Ferner ist ein Vorteil, dass in der Internet-Zone durch Blocken einer Domain über die Schaltfläche "Sites" der Registerkarte "Datenschutz" alle Cookies dieser Domain (- auch Erstanbieter-Session-Cookies -) verweigert werden.
Außerdem ist ein Vorteil, dass in der Internet-Zone durch Zulassen einer Domain über die Schaltfläche "Sites" der Registerkarte "Datenschutz" alle Cookies diese Domain akzeptiert (und im Falle von persistenten Cookies unverändert gespeichert) werden.
Schließlich bietet die Konfiguration den Vorteil, dass alle Cookies (- unabhängig davon, ob es Erstanbieter- oder Drittanbieter-Cookies sind, und unabhängig davon, ob es persistente oder Session-Cookies sind) von Websites, die sich in der Zone "Eingeschränkte Sites" befinden, grundsätzlich verweigert werden und dass alle Cookies von Websites, die sich in der Zone "Intranet" befinden, grundsätzlich akzeptiert werden und unverändert gespeichert bleiben, bis sie ungültig werden. Session-Cookies werden natürlich auch in der Zone "Intranet" beim Beenden des Internet Explorers gelöscht.
Man kann also bei dieser Konfiguration den Umgang des Internet Explorers mit Cookies sowohl durch Hinzufügen einer Domain zu einer bestimmten Zone als auch durch Hinzufügen einer Domain über die Schaltfläche "Sites" der Registerkarte "Datenschutz" der Internetoptionen beinflussen. Es ist ferner mit dieser Einstellung sowohl ein sinvoller Datenschutz als auch ein beschwerdefreies Surfen gewährleistet.

Diese Einstellungen bleiben solange erhalten, solange man keine Änderungen an der Konfiguration der Registerkarte Datenschutz vornimmt. Der Import der Cookie-Konfigurations-Datei kann aber jederzeit wiederholt werden, falls die Cookie-Einstellungen zwischenzeitlich geändert worden sind.
Änderungen an den Einstellungen des Popupblockers führen zu keinen Änderungen dieser Cookiekonfiguration.
Ebenso führt das Hinzufügen von Domains über der Schaltfläche Sites zu keiner Änderung der Cookie-Einstellungen. Das Hinzufügen von Domains über diese Schaltfläche bewirkt lediglich, dass Cookies der entsprechenden Domain unabhängig von den Cookie-Einstellungen grundsätzlich in der Internet-Zone akzeptiert bzw. verweigert werden - je nachdem, ob man beim Hinzufügen der Domain "Blocken" oder "Zulassen" wählt. Die Cookieeinstellungen selbst bleiben aber ansonsten durch das Hinzufügen einer Domain über diese Schaltfläche unberührt.



Alternativ zum Import der Cookie-Konfigurationsdatei kann man auch die Cookiebehandlung des Internet Explorers ensprechend dieser Hinweise (bzw. dieser) konfigurieren! Abweichend zu den Empfehlungen des c't-Browserchecks rate ich allerdings, bei "Sitzungscookies immer zulassen" ein Häkchen zu setzen (und den Rest so zu konfigurieren, wie beim c't-Browsercheck empfohlen). Auch hier würde es zu keinerlei Nachfragen des Internet Explorers kommen. Nur noch Session-Cookies würden per Voreinstellung akzeptiert und diese würden beim Schließen des IE automatisch wieder gelöscht werden. Man könnte aber dennoch bei Bedarf Web-Seiten durch Zulassen über die Schaltfläche "Sites" der Registerkarte "Datenschutz" für weitere Cookies freischalten.
Allerdings ist diese Cookie-Konfiguration spürbar unkomfortabler als bei der vorhergehenden Alternative, da bei dieser Konfiguration viele Websites, die bei der Konfiguration der vorhergehenden Alternative einwandfrei funtioniert hätten, nur noch eingeschränkt funktionieren; manche Websites verweigern bei dieser Konfiguration sogar ganz ihren Dienst. Es müssten also wesentlich mehr Domains auf die Ausnahmeliste gesetzt werden als bei der vorhergehenden Alternative, was den Aufwand beim Surfen spürbar erhöhen würde und außerdem zur Folge hätte, dass alle Cookies dieser freigeschalteten Domains akzeptiert und im Falle von persistenten Cookies sogar dauerhaft gespeichert werden würden (- sogar dann, wenn sich die Domain in der Internet-Zone befindet). Es käme auch zu keinerlei Einschränkungen darüber, wem diese Cookies zugänglich gemacht würden.
Zusammengefasst halte ich die vorhergehende Alternative der Cookie-Konfiguration der Internetoptionen ganz entschieden für die empfehlenswertere Alternative.

Den Popupblocker in der Registerkarte "Datenschutz" aktivieren, indem bei "Popups blocken" ein Häkchen gesetzt wird! In den "Einstellungen" des Popupblocker sollten bei "Sound wiedergeben, wenn ein Popup geblockt ist" und "Informationsleiste anzeigen, wenn ein Popup geblockt ist" ebenfalls Häkchen gesetzt sein und die Filterungsstufe sollte auf "Mittel" gesetzt sein!

------

Die Registerkarte "Erweitert" nach diesen Empfehlungen entsprechend der Kommentare und diesen Empfehlungen entsprechend der Kommentare und der Bilder konfigurieren!
Empfehlenswert ist über diese Ratschläge hinaus, bei "TLS 1.0" ein Häkchen hinzuzufügen! Das Häkchen bei "SSL 2.0" sollte man dagegen m.E. entfernen!
Falls Du trotz meiner anderslautenden Empfehlung den Internet Explorer weiterhin als Standardbrowser nutzten willst und mit dem von mir empfohlenen Resident "SD-HELPER" von Spybot Search & Destroy im Internetexplorer bösartige Downloads blocken willst, die auf der Blacklist Spybot's stehen, dann bei "Browsererweiterungen von Drittanbietern aktivieren" ein Häkchen setzen!
In allen anderen Fällen sollte die Option "Browsererweiterungen von Drittanbietern aktivieren" deaktiviert sein!

Die Registerkarte "Programme" nach diesen (bzw. diesen) Empfehlungen konfigurieren! (Siehe auch dazu hier (bzw. hier)!)
Wichtig! Wähle in der Registerkarte "Programme" die Schaltfläche "Add-Ons verwalten" und entferne sowohl bei "Alle Add-Ons", als auch bei "Ohne Berechtigung ausführen" bei allen ActiveX-Elementen bei "Weitere Informationen" das Sternchen mit die Schaltfläche"Alle Sites entfernen!

(Mache einen Doppelklick auf den Screenshot, um ihn zu vergrößern! Mit Doppelklick auf das vergrößerte Bild kannst Du es nochmal um eine Stufe vergrößern.)

------

Als abschließende Ratschläge zu den Internetoptionen bitte diese (, bzw. diese) und diese Hinweise beachten!

Achtung! Bitte beachten, dass meine Empfehlungen teilweise von den Empfehlungen, die in den Links gemacht werden, abweichen!





4. Allen Anwendern rate ich als weitere Schutzmaßnahme, den Spybot Search & Destroy-Resident "SD-HELPER" zu aktivieren und zusätzlich mt der Immunisierungsfunktion von Spybot Search & Destroy die eingesetzten Web-Browser zu "immunisieren"! Siehe dazu auch hier: 8. Schutzmöglichkeiten! Ausführlichere bebilderte deutschsprachige Anleitungen mit zahlreichen zusätzlichen Infos zu Spybot Search & Destroy gibt es hier und hier.
Ferner rate ich allen Anwendern als weitere Schutzmaßnahme, mit SpywareBlaster (- siehe dazu die Hinweise in diesem Posting unter Punkt VI. -) den Browser-Schutz zu erhöhen. SpywareBlaster richtet sich zwar auf dem ersten Blick "nur" an Benutzer des Internet Explorers und von Firefox, jedoch können ActiveX-Elemente & Internet Explorer-Cookies auch von vielen auf dem Internet Explorer basierenden Programmen und sogar vom System selbst verwendet werden. Daher betrifft der ActiveX-Schutz & der Internet Explorer-Cookie-Schutz, den SpywareBlaster bietet, letztlich alle Anwender. Der Cookie-Schutz für Firefox kommt da sogar noch hinzu.
Ein regelmäßges Updaten ist bei diesen beiden Sicherheitsprogrammen natürlich sehr wichtig!

Außerdem rate ich dringend zur Installation des IDS (IDS = Intrusion-Detection-System) ThreatFire, welches sich meines Erachtens problemlos mit anderer Sicherheitssoftware (und sogar mit dem IDS Mamutu bzw. dem in a-squared Anti-Malware integrierten IDS) kombinieren lässt. (Mamutu ist übrigens nichts anderes als das in a-squared Anti-Malware integrierte IDS; d.h., wer also a-squared Anti-Malware hat, braucht Mamutu nicht; a-squared Anti-Malware bietet über den Schutz seines IDS hinaus halt noch einen Malware-Wächter, den Mamutu nicht hat. {Siehe dazu hier!})

Ein großes Sicherheitsproblem ist eine mögliche Infektion eines externen Datenträgers durch eine schädliche autorun.inf-Datei. Einen vielversprechenden Schutz vor dieser Infektion bietet jedoch das Tool "Panda USB Vaccine", indem es eine geschützte autorun.inf-Datei auf dem betreffenden Datenträger anlegt. Alle beschreibbaren, externen Datenträger sollten *imho* mittels dieses Tools mit einer "Schutzimpfung" versehen werden. (Das Tool versucht dabei mit relativ großer Erfolgsaussicht, eine evtl. bereits existierende autorun.inf-Datei zu überschreiben. Notfalls muss sie jedoch zunächst von Hand gelöscht werden.)

Ferner empfehle ich ggf. einen Schutz der Festplatte vor Verschlüsselung (durch Malware oder Hacker) mit ATA-Security. Betroffen können hier prinzipiell alle Benutzer unabhängig vom Betriebssystem (- also auch bei Linux oder MacOS), die eine ATA- und/oder S-ATA-Festplatte haben, sein. (Siehe dazu auch diese FAQ, die sich einerseits mit der FAQ des ATA-Security-Links überschneidet, andererseits jedoch ein paar wenige weitere Fragen beantwortet!)
Windowsbenutzer können mit dem Tool WinAAM überprüfen, ob sie von dem Problem betroffen sind.

Allen Benutzern, die keine totalen Computeranfänger sind, empfehle ich die beiden Tools Harden-IT und Secure-IT. (Es ist ratsam, vor dem Einsatz der Tools Harden-IT und Secure-IT ein Image des Systems anzulegen.)

Ebenfalls kann ich allen Benutzern, die keine totalen Computeranfänger sind, auch den Einsatz einer der beiden kostenlosen Sandboxen "SafeSpace" oder "Sandboxie", die beide speziell für Webanwendungen konzipiert sind, sehr empfehlen.

Ggf. - je nach Sicherheitsbedarf (und je nach Performance des eingesetzten Computers) - sollten (auch von totalen Anfängern) zusätzlich Programme wie Windows-Defender und/oder a-squared Anti-Malware eingesetzt werden!
Ein regelmäßges Updaten ist bei diesen Sicherheitsprogrammen natürlich sehr wichtig!

Anwendern, die (- trotz meiner anderslautenden Empfehlung -) den "Internet Explorer" unbedingt weiterhin als Standard-Browser einsetzen wollen, empfehle ich ferner den Einsatz (mindestens) eines der (bereits weiter oben erwähnten) Programme Windows-Defender und/oder a-squared Anti-Malware. Bei beiden Programmen - vor allem a-squared Anti-Malware - habe ich ein Ausbremsen des Systems beobachtet; aber das ist halt der Mindest-Preis dafür, wenn man trotz anderweitiger Empfehlungen unbedingt weiterhin den Internet Explorer als Standard-Browser einsetzen will.
Es ist, wie gesagt, ohnehin empfehlenswerter, auf den Internet Explorer als Standard-Browser zu verzichten und stattdessen Opera (bzw. Firefox) als Standardbrowser zu verwenden.
Desweiteren empfehle ich Anwendern, die (- trotz meiner anderslautenden Empfehlung -) den "Internet Explorer" unbedingt weiterhin als Standard-Browser einsetzen wollen, Avira AntiVir Premium (Lizenz hier -
Alternativen: Avira AntiVir Professional (Testlizenz hier, normale Lizenz hier) bzw. Avira Premium Security Suite (Lizenz hier)), da diese Version(en) erweiterten Browserschutz bietet (bzw. bieten).
Ein regelmäßges Updaten ist bei allen diesen Sicherheitsprogrammen natürlich sehr wichtig!
Ich betone aber noch mal ausdrücklich, dass ich es für den sichereren Weg halte, den Standard-Browser zu einem der von mir empfohlenen Web-Browser zu wechseln.

Fortgeschrittene Benutzer der Systeme Windows 2000, XP, NT, Server 2003 (inkl. der 64-Bit-Versionen) und Vista sollten sich das Tool "IEController" mal ansehen.
Beschreibung, Download & weiterführende Links: Hier und hier
Online-Hilfe: Hier
Alternativer Download (inkl. Downloadlink zu "DebugView for Windows"): Hier

Darüber hinaus könnte für alle fortgeschrittene Benutzer der Systeme Windows 2000, XP, NT, Server 2003 und Vista ggf. "WinSecurityGate" ebenfalls interessant sein.
Beschreibung, Download & weiterführende Links: Hier und hier
Alternativer Download (inkl. Downloadlink zu "DebugView for Windows"): Hier

Schließlich kann für fortgeschrittene Anwender die Verwendung einer VM oder eines Systems im Kiosk-Modus (- siehe dazu auch hier und hier -) sowie eines Live-Systems wie Ubuntu Privacy Remix, Knoppix, Puppy-Linux, Ubuntu, BartPE, Bankix oder Notfall-Windows äußerst interessant sein.



5. Windows 2000/Xp/Vista-User (aber auch Mac-OS und Linux-User) sollten die tägliche Arbeit von administrativen Tätigkeiten trennen, auch wenn das mit gewissen Komforteinbußen einhergeht.
Es sollten neben dem Administrator-Konto keine weiteren Benutzer-Konten mit administrativen Rechten - sondern sonst nur Benutzer-Konten mit eingeschränkten Rechten - angelegt werden.
So kann nur der Administrator neue Programme installieren.
Aber auch der Administrator sollte seine tägliche Arbeit - zum Beispiel das Surfen - über ein Benutzerkonto mit eingeschränkten Rechten durchführen. Will er mal ein neues Programm installieren, so müsste er sich erst als Administrator anmelden.
(Siehe dazu auch die Artikel "Sicher durch Verzicht", "Administratorkonto: Windows-Anwenderfehler Nummer Eins" & Rechte und Rechtschaffenheit!) Weitere Hinweise & Tips gibt es hier im Forum auf Anfrage.



6. Aktiviere die automatische Windows-Update-Funktion!
(Alternativ dazu kannst Du auch das Auto-Update deaktivieren, dafür aber mindestens einmal im Monat - spätestens am Tag nach dem Patchday - das System manuell updaten und darüberhinaus am Besten täglich die Sicherheitsnews von bekannten Seiten wie Heise-Security oder Trojaner-Info.de, bzw. hier verfolgen und bei ensprechenden Update-Hinweisen ebenfalls das System updaten! Dies hätte den Vorteil, dass man so auch vor Schädlingen, die sich über die Autoupdate-Funktion zu verbreiten versuchen, geschützt wäre.)

7. Sorge dafür, dass eine aktive Firewall und/oder ein Router Dein System nach außen weitgehendst abriegelt!

Bei Windows XP mit SP3 (bzw. SP2) ist standardmäßig die XP-eigene Firewall aktiviert; bei Windows Vista ist standardmäßig die Vista-eigene Firewall aktiv. Diese Firewall sollte nicht deaktiviert werden, solange man keine Software-Firewall eines anderen Herstellers (wie die Comodo Firewall Pro) einsetzt.

Bei Windows 2000 (und auch bei Windows NT & 2003) sollte unbedingt eine Firewall - z.B. eine Router- oder Hardware-Firewall oder eine Software-Firewall - aktiviert werden, bevor der Rechner das erste Mal mit dem Internet verbunden wird!

Auch bei Systemen mit Windows 95, 98, 98SE und ME ist der Einsatz einer Firewall und/oder eines Routers empfehlenswert (- jedoch nicht zwingend notwendig. Allerdings sollte man sich im Klaren darüber sein, dass diese veralteten Betriebssysteme alles andere als sicher sind).

Der (zusätzliche) Einsatz eines Routers bzw. einer Hardware-Firewall ist (über den Einsatz einer Softwarefirewall hinaus) bei allen Betriebssystemen grundsätzlich immer empfehlenswert.

(Siehe weitere Hinweise zum Thema Firewall hier [Punkt I.1.f)] und hier [Punkte VII.-IX.] und zum Thema Router hier [Punkt X.]!)



8. Falls Dein PC - auch im Fall eines DSL-Anschlusses - über eine ISDN-Karte, ein DfÜ- oder ISDN-Modem mit einer Fax- oder Telefon-Buchse verbunden ist, rate ich zum empfehlenswerten Dialer-Schutz-Programm 0900-Warner. Eine Alternative dazu ist a-squared Anti-Dialer (, Mamutu oder a-squared AntiMalware), der sich auch ergänzend zum 0900-Warner einsetzen lässt. Ein regelmäßges Updaten ist bei diesen beiden Sicherheitsprogrammen natürlich sehr wichtig - vor allem bei a-squared Anti-Dialer (, Mamutu oder a-squared AntiMalware)!
Noch sicherer schützt man sich durch Hardwarelösungen gegen Dialer.
Ein Sperren bestimmter Rufnummergassen wie 0190er-Nummern oder 0900er-Nummern bei der Telekom bietet keinen ausreichenden Schutz, da Dialer sich auch über Sateliten- oder Auslands-Nummern oder frei tarierbare Nummern einwählen können. Als zusätzliche Schutzmaßnahme ist ein Sperren von Nummerngassen jedoch durchaus empfehlenswert.

Schließlich sei hier noch zur Vorsicht bei gebrauchten Telekommunikationsgeräten von Ebay wie NTBAs gewarnt. Es soll schon vorgekommen sein, dass so ein Gerät durch einen eingebauten Chip zu einem Hardwaredialer umfunktioniert worden ist.



9. Alle Benutzer-Konten des Betriebssytems (- auch das "Administrator"-Konto -) sollten auf jeden Fall jeweils mit einem eigenen sicheren Passwort versehen werden!
Überlege ferner, ob es sinnvoll bzw. nötig ist, das BIOS und/oder Deine Schutzprogramme jeweils mit Passwort zu schützen, sowie sensible Daten grundsätzlich nur in verschlüsselter Form (auf externen Datenträgern) zu speichern und beim Löschen dieser Daten grundsätzlich nur mit speziellen Tools (wie Eraser oder ArchiCrypt Shredder) zu löschen!
Zum Verschlüsseln von Dateien/Festplatten empfehle ich TrueCrypt (- bebilderte Anleitung für Truecrypt hier -) bzw. GPG for Win, für verschlüsselte Kommunikation GPG for Win und für das Erstellen & Aufbewahren von sicheren Passwörtern KeePass Password Safe.
Siehe für weitere Infos zur Passwortpolitik unter Punkt 13 dieses Postings!
Bei den gängigen Betriebssystemen gibt es darüber hinaus die Möglichkeit, Tastatur und Bildschirm nach einer gewissen Wartezeit zu sperren. Die Entsperrung erfolgt erst nach Eingabe eines korrekten Passwortes. Diese Möglichkeit gibt es nicht umsonst. Deshalb: Nutze sie! Ohne Passwortsicherung können unbefugte Dritte sonst bei vorübergehender Abwesenheit des rechtmäßigen Benutzers Zugang zum Rechner erlangen.
Zusätzlich gibt es die Möglichkeit, die Sperre im Bedarfsfall auch sofort zu aktivieren (z.B. bei einigen Windows-Betriebssystemen: Strg+Alt+Entf drücken).
Es ist unter Umständen sogar zu überlegen, spezielle Programm einzusetzen, die dieses Sperren des Benutzer-Accounts perfektionieren!

Mach Dir bewusst, dass es sich beim IP-Telefonie-Programm Skype um Closed Source-Software handelt und dass Skype daher sicherheitstechnisch als fragwürdig einzustufen ist. Mach Dir ferner bewusst, dass bei Skype der Session-Key der Verschlüsselung immer an den Skype-Server übertragen wird und dass deshalb prinzipell Gespräche über Skype trotz AES-Verschlüsselung abhörbar sind. Siehe dazu auch hier, hier, hier und hier: "Q: What if I use a Variable Bit Rate (VBR) codec?..."! Eine Alternative zu Sykpe könnte Zfone (- Siehe dazu auch hier, hier und hier! -) sein, welches sich gut mit vielen auf SIP-basis basierenden VoIP-Programmen wie X-Lite, Linphone und Gizmo kombinieren lässt. (Beachte in Zusammenhang mit Gizmo jedoch diesen Link!) Jedoch befindet sich Zfone z.Zt. noch im Beta-Stadium, verwendet Netzwerktreiber, die sich tief ins System eingraben und daher m.E. Probleme verursachen können, und ist m.E. daher noch nicht in jeder Betriebsumgebung empfehlenswert. Ohne Verschlüsselung wie Zfone kann aber auf SIP basierendes VoIP grundsätzlich abgehört werden.



10. Desweiteren solltest Du Dir mE überlegen, ob Du auf (sicherheits-technisch gesehen) bedenklichen Schnick Schnack - wie Media-Player, Download-Manager, Desktop-Suchprogramme, Online-Games bzw. Netzwerkspiele (und damit verbundene Zusatzsoftware wie Team-Speak), Messenger (egal welche) oder Filesharingsoftware, die mE auch noch dazu juristisch bedenklich ist, oder sogenannte "Toolbars" - verzichten kannst!
Vor allem durch Sicherheitslücken in Mediaplayern, durch Filesharing - aber auch durch die Sicherheitsrisiken von Messengern - werden Betriebssysteme immer wieder infiziert, da sie Schädlingen ein zusätzliches potentielles Einfallstor bieten (wie z.B. hier). Desweiteren unterwandern viele Toolbars, Download-Manager und Desktop-Suchprogrammen den Datenschutz, da sie nicht selten Informationen ins Internet versenden bzw. teilweise sogar Spywarekomponeneten mit sich bringen. Ferner ist eine weitere Gefahr bei Messengern (- aber auch bei VoIP-Programmen, die ebenfalls solche Messenger-Funktionen mit sich bringen, wie z.B. Skype -), dass mit ihrer Hilfe Betriebsgeheimnisse problemlos jede Firewall überwindend aus dem Unternehmen geschleust werden könnten. Außerdem reißen Online-Games bzw. Netzwerkspiele (und damit verbundene Zusatzsoftware wie Team-Speak), VoIP-Software, Messenger und Filesharingsoftware i.d.R. Löcher in die Firewall bzw. den Router, die sich *imho* wiederum für Angriffe ausnutzen lassen.
-
Wenn Du aber schon meinst, das Risiko, welches Messenger mit sich bringen, vertreten zu können, so nimm dann wenigstens nur einen Messenger! Schlanke, kostenlose, relativ sichere und resourcen-schonende Messenger, die gleich mehrere Messenger-Protokolle auf einmal beherrschen und so andere Messenger *imo* überflüsssig machen, wären die Messenger Pidgin und Miranda. Aber auch bei diesen Messengern macht man mE nichts falsch, wenn man auf sie verzichtet.
(Einen Einblick in mögliche Sicherheitsrisiken von Messengern verschafft evtl. folgender Link.)

Ein empfehlenswertere Alternative zu Media Player, RealPlayer, QuickTime & Co ist *imho* der VLC-Player. (Siehe zum VLC-Player auch hier!)

Ferner empfehle ich statt des Adobe-Readers/Acrobat-Readers den Foxit-Reader. Es sollte jedoch beim Installieren "Custom" und nicht "Default" gewählt werden! Beim Installieren sollte bei der Option "Add an Icon to Windows Quick Launch Toolbar" das Häckchen entfernt werden! Wenn Du darauf verzichten kannst, PDF-Dateien direkt im Firefox zu öffnen, statt die PDF-Dateien im Foxit-Reader zu öffnen, so empfehle ich auch, das Häckchen bei "Install Firefox plugin" ebenfalls zu entfernen! Ferner sollten auch die Häckchen bei "I accept the Licence Terms and want to install Foxit Toolbar", "Make Ask.com my default search", "Reset my homepage to Foxit Startpage" und am Schluss des Setups beim ebay-Sponsoren-Link entfernt werden!
Nach dem Installieren sollte im Foxit-Reader durch gleichzeitiges Drücken der "Strg"- und der "K"-Taste das Einstellungen-Fenster geöffnet und dort unter "JavaScript " JavaScript deaktiviert werden!
Selbstverständlich sollte immer nur die neuste Version des Foxit-Readers benutzt werden.


Versuche überhaupt darauf zu achten, dass so wenig wie möglich (aber so viel wie nötig) Software auf dem Computer installiert wird! Je mehr Software installiert wird, desto mehr vergrößert sich mE die potentielle Angriffsfläche, über die der PC angreifbar ist, und desto größer wird auch der administrative Aufwand. Deswegen überlege vor der Installation einer Software immer genau, ob Du sie überhaupt brauchst und ob die mit der Installation verbundenen Sicherheitsrisiken vertretbar sind!
Ich will damit aber nicht dazu auffordern, auf notwendige und sinnvolle Anwendungen zu verzichten; aber man sollte bei einer solchen Entscheidung, wie die Entscheidung darüber, welche Software installiert wird und welche nicht, auch den damit zukünftig verbundenen administrativen Aufwand und auch die Sicherheit des Rechners nicht aus dem Blickfeld verlieren.

Beim Installieren von Software solltest Du übrigens immer überprüfen, welche Prozesse beim Systemstart (etwa als Dienste oder über Autostarteinträge) mitgestartet werden, und alle überflüssigen Startaufrufe sollten von Dir deaktiviert werden. Eine Hilfe dabei können die Tools Startuplite, HijackThis und AutoRuns sein. Hilfe bei der Benutzung dieser Tools bekommst Du bei Bedarf hier in diesem Forum.
Ferner solltest Du regelmäßig alle inzwischen überflüssig gewordene Software deinstallieren.

Ferner solltest Du Dir angewöhnen, beim Installieren von Software Dir sämtliche Installationsdialoge (- am besten auch die EULA [Endbenutzer-Lizenzvereinbarung] -) genau durchzulesen, immer den erweiterten Installationsmodus ("Benutzerdefiniert" statt des "Standard"-Installationsmodus) zu wählen, genau darauf zu achten, welche Häkchen gesetzt bzw. nicht gesetzt sind, und "Toolbars" sowie sonstige "Sponsoren"-Software grundsätzlich nicht mitzuinstallieren (- also ggf. Häkchen entfernen)!

Die Entscheidung, welche Software auf einem PC (bzw. in einem Netzwerk) installiert werden darf und welche nicht, sollte möglichst nur von einer einzigen Person (z.B. vom System- bzw. Netzwerkadministrator), die sich ausreichend mit Computersicherheit auskennen und verantwortungsvoll denken sollte, getroffen werden.



11. Stelle die Ordneroptionen so ein, dass alle Dateiendungen angezeigt werden!
(Beliebigen Ordner öffnen! Über "Extras" -> "Ordneroptionen" -> "Ansicht" das Häkchen bei "Erweiterungen bei bekannten Dateitypen ausblenden" entfernen!)

Wenn Du auf Deinem Rechner keine Netzwerkfreigaben erteilen willst und auch keine Drucker für andere Rechner des eigenen Netzwerks freigeben willst, so deaktiviere in den Ordneroptionen die Option "Automatisch nach Netzwerkordnern und Druckern suchen"!

Deaktiviere in den Ordneroptionen die Option "Einfache Dateifreigabe verwenden (Empfohlen)", soweit diese Option vorhanden ist!

Ferner deaktiviere sowohl in der Registerkarte "Remote" (, die Du unter "Start" -> "Einstellungen" -> "Sytemsteuerung" -> "System" erreichst,) die "Remoteunterstützung" und den "Remotedesktop" als auch in der der Registerkarte "Erweitert" (, die Du ebenfalls unter "Start" -> "Einstellungen" -> "Sytemsteuerung" -> "System" erreichst,) nach Anklicken des Buttons "Fehlerberichtserstattung" die "Fehlerberichtserstattung"!

Sorge dafür, dass Dateien oder Ordner Deines Systems allenfalls in begründeten Ausnahmefällen Netzwerkfreigaben erhalten!

Allen fortgeschritteneren Anwendern empfehle ich ein Deaktivieren des Windows Scrpiting Hosts (WSH), welches u.a. mit XP-AntiSpy oder mit dem hier im Konzept (unter Punkt 4.) empfohlenen Tool "Secure-it" oder aber auch manuell über die Registry durchgeführt werden kann.

Ferner empfehle ich, (für alle Benutzer des PCs) den Autorun aller Laufwerke zu deaktivieren. Empfehlenswert ist hierfür das Tool AutoRunSettings. (Siehe dazu hier!)
(Man kann das aber auch manuell über die Registry (Hex-Wert "FF" [ohne Anführungszeichen]) einstellen, was aber Anfängern nicht zu empfehlen ist.)
Beachte im Zusammenhang mit dem Deaktivieren der Autoruns aller Laufwerke zusätzlich auch diese Hinweise sowie diese Empfehlungen!

Aktiviere die Datenausführungsverhinderung (, die Du unter "Start" -> "Einstellungen" -> "Sytemsteuerung" -> "System" -> "Erweitert" -> "Systemleistung" -> "Einstellungen" -> "Datenausführungsverhinderung" erreichst,) für alle Programme und Dienste!



12. Aktiviere einen Hintergrundwächter (- auch "On-Acces-Scanner" genannt -) eines Virenschutzprogramms! Neben AntiVir kann ich die (kostenpflichtigen) Virenschutzprogramme AntiVirenKit (AVK) von GData, Kaspersky AntiVirus (KAV) und bedingt NOD32 von eset, BitDefender von Softwin, eScan AntiVirus for Windows von Microworld und F-Secure empfehlen. (Bedingt ist m.E. auch neudings Norton von Symantec empfehlenswert.)
Siehe dazu auch hier!



13. Stell die Makrosicherheit Deiner Office-Programme auf hoch (i.d.R. über Extras -> Makros -> Sicherheit) und benutze für Office-Dokumente aus unsicherer Quelle statt der Microsoft-Office-Programme "Word", "Excel" & "Power-Point" besser OpenOffice.org!
Wichtig ist, in der Konfiguration des Hauptprogramms von "OpenOffice.org" ( - also nicht in der Konfiguration von "OpenOffice.org Base", "OpenOffice.org Calc", "OpenOffice.org Draw", etc., sondern in "OpenOffice.org" selbst; dort erreichst Du die Konfiguration über "Extras" -> "Optionen..." -) zu kontrollieren, dass dort unter "OpenOffice.org" -> "Sicherheit" -> "Makrosicherheit..." die Sicherheitstufe "Sehr hoch" eingestellt ist und unter "Laden/Speichern" -> "VBA-Eigenschaften" lediglich Häkchen bei "Basic Code laden" sind (- es dürfen keine Häkchen bei "Original Basic Code wieder speichern" oder "Ausführbarer Code" sein)! Ggf. muss OpenOffice entsprechend konfiguriert werden!



14. Installiere den c't SSL-Wächter! Siehe dazu auch hier und hier!



15. Stelle Deine Dienste sicherer ein!
Achtung!!! Alle folgenden Angaben zu den Diensten sind ohne Gewähr! Es handelt sich hierbei nur um eine Liste Microsoft-eignener Dienste (ohne Anspruch auf Vollständigkeit), wie sie bei einer Installation eines frisch aufgesetzten Windows XP SP3 üblich sind. Jedoch sollten diese Angaben sich theoretisch auch auf Vista übertragen lassen. Doch ich habe diese Dienste-Einstellungen zum Zeitpunkt der Erstellung dieser Empfehlung nicht auf Windows Vista ausprobiert. Eine Übertragung dieser Empfehlung auf Vista-Systeme geschieht deshalb auf eigene Verantwortung! (Jedoch auch für die Anwendung auf Windows XP übenehme ich keine Verantwortung!)
(Für Vista-Systeme empfehle ich, diese Links miteinander und mit meinen Empfehlungen zu vergleichen: Link 1, Link 2 und Link 3! In den Punkten, wo sich die Empfehlungen einander oder meinen Empfehlungen widersprechen, empfehle ich, im betreffenden Punkt zunächst die schärfste (- Deaktivert = am Schärfsten, Automatisch = am Lockersten -) Variante der jeweils empfohlenen Konfigurationen zu testen und bei Problemen die betreffende Konfiguration schrittweise zu lockern, bis das Problem behoben ist. Hier empfiehlt sich, wie sonst auch, nicht zu viel gleichzeitig am System zu ändern, um bei Problemen das jeweilige Problem besser eingrenzen zu können. Darüberhinaus sollten regelmäßg Images des Systems erstellt werden, um bei Problemen notfalls das System in einem vohergehenden Zustand versetzen zu können!



(Nachträglich installierte) Dienste anderer Hersteller sind in dieser Liste nicht berücksichtigt.

Mit folgende Dienste-Einstellungen habe ich bei Windows XP SP3 gute Erfahrungen gemacht:

.Net Runtime Optimization Service ---> Manuell

Ablagemappe ---> Deaktiviert (Im Netzwerk: Manuell)

Anmeldedienst ---> Deaktiviert (Im Netzwerk: Manuell)

Anwendungsverwaltung ---> Manuell

Arbeitsstationsdienst ---> Manuell (Bei Problemen im Netzwerk: Automatisch)

ASP.NET-Zustandsdienst ---> Manuell

Automatische Konfiguration (verkabelt) ---> Manuell

Automatische Updates ---> Automatisch (Bei manuell durchgeführtem Update: Manuell; Ggf. den Dienst zum Updaten manuell starten! Nicht vergessen, während des Updatens den intelligenten Hintergrundübertragungsdienst auf 'Manuell' zu setzen!)

COM+-Ereignissystem ---> Manuell

COM+-Systemanwendung ---> Manuell

Computerbrowser ---> Deaktiviert (Im Netzwerk: Manuell [- bei Problemen im Netzwerk: Automatisch])

DCOM-Server-Prozessstart ---> Automatisch

Designs ---> Deaktiviert (Wer mit dem klassischem Windows-Design nicht leben kann: Automatisch)

DHCP-Client ---> Deaktiviert (Bei einem Router mit aktiviertem DHCP-Server oder DSL-Modem, das mit einem Internet Service Provider mit dynamischer IP-Vergabe verbindet: Automatisch)

(Dienst für) Seriennummern der tragbaren Medien ---> Deaktiviert (Bei Problemen bei der Übertragung geschützter Medieninhalte an tragbare Audiogeräte: Manuell)

Distributed Transaction Coordinator ---> Manuell

DNS-Client ---> Manuell (Bei Problemen mit der DNS-Namensauflösung in IP-Adressen [bzw. daraus resultierenden Verbindungsproblemen einer Anwendung mit dem Internet, die sich durch manuelles Starten dieses Dienstes lösen lassen]: Automatisch)

Druckwarteschlange ---> Automatisch (Ohne Drucker: Deaktiviert. Bei selten benutztem Drucker: Manuell => Druckwarteschlange muss dann vor dem Einleiten des Druckauftrags manuell gestartet werden!)

Ereignisprotokoll ---> Automatisch

Fehlerberichterstattungsdienst ---> Deaktiviert

Gatewaydienst auf Anwendungsebene ---> Manuell

Geschützter Speicher ---> Automatisch

HID Input Service ---> Deaktiviert (Wer spezielle Tastaturen, Fernbedienungen oder ähnliche Multimedia-Eingabegeräte benutzt, bei denen nach Änderung dieses Diensts spezielle Tasten nicht mehr richtig funktionieren: Manuell)

Hilfe und Support ---> Manuell (Wer die Hilfe- & Supportfunktion nicht braucht: Deaktiviert)

HTTP-SSL ---> Manuell

IMAPI-CD-Brenn-COM-Dienste ---> Deaktiviert (Wenn keine Brennprogramme von Drittherstellern verwendet werden, sondern stattdessen mit der Windows-eigenen Brennfuktion gebrannt wird, oder bei Problemen mit der Brennfunktion: Manuell)

Indexdienst ---> Deaktiviert

Integritätsschlüssel- und Zertifikatverwaltungsdienst ---> Manuell

Intelligenter Hintergrundübertragungsdienst ---> Manuell (Bei manuell durchgeführtem Update: Standardeinstellung: Deaktiviert; kurz vor dem Update den Dienst auf 'Manuell' setzen! Ggf. Dienst manuell starten! Nach dem nächsten Neustart nach dem Update den Dienst wieder auf 'Deaktiviert' setzen!)

IPSEC-Dienste ---> Manuell (Bei Verwendung von IPSec bzw. auf IPSec basierenden Anwendungen & bei gleichzeitigen Problemen mit IPSec bzw. mit auf IPSec basierenden Anwendungen: Automatisch) (Standard: Manuell)

Kompatibilität für schnelle Benutzerumschaltung ---> Deaktiviert (Der Wechsel zwischen einzelnen Benutzern ist trotz Deaktivierung dieses Dienstes weiterhin über die Abmelden-Funktion möglich. Wer ohne die schnelle Benutzerumschaltung nicht leben kann: Manuell)

Konfigurationsfreie drahtlose Verbindung ---> Deaktiviert (Innerhalb eines WLAN-Netzes oder bei angeschlossenen Geräten, die auf WLAN basieren - wie z.B. PDA’s - und die sich mit dem Computer über „hot sync“ abgleichen: Manuell; Bei Problemen innerhalb eines WLAN-Netzes oder mit Geräten, die auf WLAN basieren - wie z.B. PDA’s - und die sich mit dem Computer über „hot sync“ abgleichen: Automatisch)

Kryptografiedienste ---> Automatisch

Leistungsdatenprotokolle und Warnungen ---> Deaktiviert (Bei Servern: Manuell)

MS Software Shadow Copy Provider ---> Deaktiviert (Falls mit dem Windows-eigenen Backup-Programm oder mit Datensicherungssoftware von Drittherstellern (wie z.B. Norton Ghost) oder einem vergleichbaren Imageprogramm während des laufenden Windows-Betriebs Daten gesichert werden: Manuell)

Nachrichtendienst ---> Deaktiviert

NAP-Agent (Network Access Protection) ---> Manuell

Net.Tcp Port Sharing Service ---> Deaktiviert

NetMeeting-Remotedesktop-Freigabe ---> Deaktiviert

Netzwerk-DDE-Dienst ---> Deaktiviert (Im Netzwerk: Manuell)

Netzwerk-DDE-Serverdienst ---> Deaktiviert (Im Netzwerk: Manuell)

Netzwerkverbindungen ---> Manuell

Netzwerkversorgungsdienst ---> Deaktiviert (Im Domänennetzwerk oder im WLAN: Manuell - Administratoren herkömmlicher Netzwerke können diesen Dienst getrost deaktivieren.)

NLA (Network Location Awareness)---> Deaktiviert

NT-LM-Sicherheitsdienst ---> Manuell

Plug & Play ---> Automatisch

QoS-RSVP ---> Manuell

RAS-Verbindungsverwaltung ---> Deaktiviert (Bei Problemen mit der Internet-/VPN-/Netzwerkverbindung oder mit der Anzeige der Internet-/VPN-/Netzwerkverbindungen unter 'Netzwerkverbindungen' [- Hinweis: Ggf. ist 'Aktualisieren' für Anzeige der Verbindung notwendig!], die sich durch das Auf-'Manuell'-Setzen des 'Telefonie'-Dienstes und anschließendem Neustart des Systems nicht lösen lassen: Manuell Achtung!!! Für das Auf-'Manuell'-Setzen des Dienstes muss der Dienst 'Telefonie' ebenfalls auf 'Manuell' gesetzt sein!)

Remoteprozeduraufruf (RPC) ---> Automatisch

Remote-Registrierung ---> Deaktiviert

Routing und RAS ---> Deaktiviert

RPC-Locator ---> Manuell

Sekundäre Anmeldung ---> Manuell

Server ---> Deaktiviert (Im Netzwerk: Manuell [- bei Problemen im Netzwerk: Automatisch])

Shellhardwareerkennung ---> Deaktiviert (Bei Problemen mit angeschlossenen Multi-Media-Laufwerken wie Mp3-Player oder Digi-Cam: Manuell)

Sicherheitscenter ---> Automatisch

Sicherheitskontenverwaltung ---> Automatisch

Sitzungs-Manager für Remotedesktophilfe ---> Deaktiviert

Smartcard ---> Deaktiviert (Bei angeschlossenem Smartcard-Lesegerät und eingelegter Smartcard: Manuell)

SSDP-Suchdienst ---> Deaktiviert

Systemereignisbenachrichtigung ---> Automatisch

Systemwiederherstellungsdienst ---> Deaktiviert (Anmerkung: Statt die Systemwiederherstellung zu verwenden, erstelle besser regelmäßig Festplatten-Images und Backups!)

Taskplaner ---> Deaktiviert (Falls die im Taskplaner eingetragenen Tasks es rechtfertigen: Automatisch)

TCP/IP-NetBIOS-Hilfsprogramm ---> Deaktiviert (Im Windows-Netzwerk und/oder bei Verwendung des WINS-Protokolls: Manuell)

Telefonie ---> Deaktiviert (Bei Problemen mit der Internet-/VPN-/Netzwerkverbindung oder bei Problemen mit der Anzeige der Internet-/VPN-/Netzwerkverbindungen unter 'Netzwerkverbindungen' [- Hinweis: Ggf. ist 'Aktualisieren' für Anzeige der Verbindung notwendig!]: Manuell)

Telnet ---> Deaktiviert

Terminaldienste ---> Deaktiviert (Der Wechsel zwischen einzelnen Benutzern ist trotz Deaktivierung dieses Diensts weiterhin über die Abmelden-Funktion möglich. Wer ohne die "schnelle Benutzerumschaltung" nicht leben kann: Manuell)

Treibererweiterungen für Windows-Verwaltungsinstrumentation ---> Manuell

Überwachung verteilter Verknüpfungen (Client) ---> Manuell

Universeller Plug & Play-Gerätehost ---> Deaktiviert

Unterbrechungsfreie Stromversorgung ---> Deaktiviert (Wer eine an den Computer angeschlossene unterbrechungsfreie Stromversorgung (USV) nutzt {Wer nutzt das schon?}: Manuell)

Verwaltung für automatische RAS-Verbindung ---> Manuell

Verwaltung logischer Datenträger ---> Manuell

Verwaltungsdienst für die Verwaltung logischer Datenträger ---> Manuell

Volumeschattenkopie ---> Manuell

Warndienst ---> Deaktiviert

Webclient ---> Deaktiviert (Falls Microsoft-Anwendungen wie MSN-Messenger oder NetMeeting nicht mehr ordnungsgemäß funktionieren sollten: Manuell)

Wechselmedien ---> Manuell

Windows Audio ---> Automatisch (Bei PCs ohne Soundkarte/Lausprecher, bzw. die keinen Sound benötigen: Deaktiviert)

Windows CardSpace ---> Manuell

Windows Installer ---> Manuell

Windows Media Player-Netzwerkfreigabedienst ---> Deaktiviert

Windows Presentation Foundation Font Cache ---> Manuell

Windows-Bilderfassung (WIA) ---> Deaktiviert (Bei Problemem mit Scannern, Digicams oder mit der Anzeige von Bildern/Videos: Manuell)

Windows-Firewall/Gemeinsame Nutzung der Internetverbindung ---> Automatisch (Wenn eine Personal-Firewall installiert ist und kein anderer Rechner des Netzwerks über diesen Rechner aufs Internet zugreifen muss: Deaktiviert)

Windows-Verwaltungsinstrumentation ---> Manuell

Windows-Zeitgeber ---> Deaktiviert

WMI-Leistungsadapter ---> Manuell



----------------------------

Beachte für die Einstellung der Dienste auch dieses Posting (Punkt d) und folgende Links:

Konfiguration von Diensten (Informationen für Fortgeschrittene und auf eigene Gefahr)
Beenden von Diensten unter Windows XP (Informationen für Fortgeschrittene und auf eigene Gefahr)
Beenden von Diensten unter Windows 2000 (Informationen für Fortgeschrittene und auf eigene Gefahr)

16. Konfiguriere Dein Mailprogramm möglichst sicher! Siehe dazu hier!



17. Arbeite bitte in Deinem eigenen Interesse - aber auch wegen deiner Verantwortung anderen gegenüber - diese Links durch bzw. ab & verhalte Dich nach Möglichkeit entsprechend der Tips bzw. konfiguriere nach Möglichkeit Dein System entsprechend - vor allem, wenn Du WLAN bzw. Onlinebanking nutzt.



18. Erstelle Sicherheitsregeln für die Benutzung des Rechners (bzw. der Rechner) und sorge dafür, dass jeder Benutzer sich an die Regeln hält! Diese Regeln könnten z.B. so aussehen:





III. Regeln für die Sicherheit des Computers:
1.Öffne niemals E-Mails unbekannter Absender!
Aber auch bei bekannten Absendern ist Vorsicht geboten:
Falls in einer eMail unerwartet Informationen wie Kontonnummern, eMail-Adressen, Web-Links oder Telefonnummern o.ä. sensible Informationen angegeben worden sind, so solltest Du grundsätzlich, bevor Du diese Informationen verwertest, beim Absender sicherheitshalber noch einmal telefonisch oder persönlich bzw. per Brief-Post nachfragen, ob diese Informationen beabsichtigt waren (bzw. stimmen)! In der eMail angegebene Telefonnummern oder Postanschriften sind allerdings für diese Nachfrage tabu!
Erst recht solltest Du misstrauisch werden, wenn derartige Informationen von Dir erbeten werden! Hier solltest Du auf jeden Fall mit dem Absender eine persönliche oder telefonische Rücksprache (oder eine Rücksprache per Briefpost) führen, bevor Du auf diese eMail reagierst! Auch hier sind in der eMail angegebene Telefonnummern oder Postanschriften tabu!

Öffne niemals E-Mail-Anhänge, die nicht mit Dir abgesprochen sind und/oder die Du nicht ausdrücklich erwartest! Notfalls halte noch einmal Rücksprache bezüglich des eMail-Anhangs!
Ab- bzw. Rücksprachen, die eMail-Anhänge betreffen, sollten niemals über eMail selbst sondern immer auf anderen Wegen - z.B. telefonisch - getroffen werden!
(Für das weitere Vorgehen bei abgesprochenen bzw. erwarteten eMail-Anhängen siehe die Punkte 5 & 6 !)

Sorge dafür, dass auch Dein Mailprogramm angehängte Dateien nicht automatisch öffnet und dass alle E-Mails im E-Mailprogramm immer nur text-basiert angezeigt werden!
Dann deaktiviere - soweit vorhanden - die Vorschaufunktion des Mailprogramms!



2. Ketten-Mails, Spam-Mails oder suspekte E-Mails sollten grundsätzlich umgehend gelöscht werden.

Für weitere Hinweise im Umgang mit Mails lies bitte hier! Achtung! In diesem Link wurden vom Autor der Webseite alle möglichen Grafik-/Bild-/Ton-/Dokument-Dateiformate als ungefährlich eingestuft! Dem will ich widersprechen: Auch Grafik- bzw. Bild- (wie .gif, jpg, jpeg oder .bmp) , Ton-Formate (wie .wav und .mp3) und Dokument-Formate (wie .pdf und .rtf) sind m.E. als potentiell ausführbar und somit als potentiell gefährlich einzustufen!



3. Verwende grundsätztlich nur Disketten mit aktiviertem mechanischen Schreibschutz!
Deaktiviere diesen Schreibschutz allenfalls kurzzeitig zum Schreiben von Daten auf Diskette und aktiviere sofort danach den Schreibschutz wieder!
Entferne USB-Sticks, CD-ROMs, DVDs und Disketten etc. grundsätzlich nach jeder Benutzung sofort wieder aus dem entsprechenden Laufwerk/Einschub!
Stell Dein BIOS bezüglich der Bootreihenfolge standardmäßig so ein, dass nur von der Standardpartition gebootet wird! Falls Du mal von Diskette/CD-ROM/etc. booten willst, so ändere das BIOS vorher kurzzeitig entsprechend ab! Der betreffende Datenträger sollte aber unbedingt vor dem Booten mit einem upgedateten Virenscanner - am Besten zusätzlich auch noch bei https://www.virustotal.com/de/ - überprüft werden!

Verwende nach Möglichkeit nur USB-Sticks mit mechanischen Schreibschutz und aktiviere diesen Schreibschutz standardmäßig! Deaktiviere den mechanischen Schreibschutz allenfalls temporär - und nur zum Speichern auf den USB-Stick!
USB-Sticks mit mechanischen Schreibschutz gibt es im Fachhandel zu kaufen.
(Eine Alternative zu USB-Sticks mit mechanischen Schreibschutz können U3-Sticks sein.)



4. Lade keine Dateien von Tauschbörsen bzw. unbekannten oder zweifelhaften Internetseiten runter!
Versuche, zweifelhafte Webseiten nach Möglichkeit grundsätzlich ganz zu meiden, da schon allein das Ansurfen solcher Web-Seiten den PC infizieren kann!
Benutze nur Original-Software!
Gerade sogenannte "gecrackte" Software und Dateien aus Tauschbörsen sind nämlich besonders häufig - meist sogar mit extrem gefährlichen Schädlingen - verseucht.
Daher gilt: Benutze niemals Software oder Dateien, die nicht aus vertrauenswürdigen Quellen stammen!

[Falls eine Software (bzw. Datei) nicht aus einer vertrauenswürdigen Quelle stammt und Du trotzdem nicht auf sie verzichten kannst, überprüfe die Dateien sofort nach dem Herunterladen (noch vor dem Ausführen) mit einem upgedateten Virenscanner oder besser bei VirusTotal! Das gilt eigentlich grundsätzlich bei zum ersten Mal von Dir verwendeten Dateien - auch dann, wenn es sich hierbei um reine Datendateien und/oder Dateien aus vertrauenswürdigen Quellen handelt.)
Doch auch nach der Überpüfung auf Viren muss Dir bewusst sein, dass sie dennoch schädlichen Code enthalten kann, der beim Ausführen (bzw. Öffnen) Dein System infiziert. Ich kann daher nur dringend davor abraten, solche nicht aus vertrauenswürdigen Quellen stammende Software/Dateien auszuführen/zu öffnen!]

Mach Dir bewusst: Kein Malwarescanner findet alles und einige Schädlinge werden sogar von (fast) allen Malwarescannern übersehen, solange die Schädlinge sich nicht über ein bestimmtes Maß hinaus verbreiten - bzw., falls sie sie sich nur gut genug verstecken.
Neue Schädlinge werden z.B. trotz heuristischer Verfahren der Scanner häufig (zunächst einmal) übersehen, da der Malwareschutzhersteller die Signaturen des Schädlings noch nicht in seine Signaturdatenbanken aufnehmen konnte und die Heuristik auf Grund der Mutationen des Schädlings nicht greifen konnte. Bis der Malwareschutzhersteller die Signaturen entsprechend aktualisiert hat, ist es dann schon zu spät. In vielen Fällen ist das betroffene Betriebs-System zu dem Zeitpunkt bereits hoffnungslos kompromitiert und der Malware-Wächter außer Gefecht gesetzt.
Andere Schädlinge (wie bestimmte Backdoors) existieren sogar schon lange, werden aber dennoch wegen ihrer geringer Verbreitung - diese Schädlinge haben nämlich idR überhaupt keine eigene Verbreitungsroutine - nicht in die Signaturdatenbanken aufgenommen, da sie so durch das Netz der Schädlingsbekämpfer schlüpfen.
Solche Dienste wie VirusTotal sind außerdem natürlich auch Schädlings-Schreibern bekannt und nicht selten testen diese Schädlingshersteller ihre Schädlinge solange bei VirusTotal & Co., bis ihre Malware von keinem Virenscanner mehr erkannt wird. Erst dann setzen sie die jeweilige neue Schädlings-Variante für ihre kriminellen Machenschaften ein.
Du solltest Dich also keinesfalls ausschließlich auf Malwareschutzsoftware allein verlassen, sondern unbekannten und/oder auf dem Betriebssystem neuen Dateien (bzw. Software) und/oder nicht-vertrauenswürdiger Software mit gesundem Menschenverstand und einer großen Portion Misstrauen gegenübertreten!

Noch einmal in aller Deutlichkeit: Ich kann nur dringend davor abraten, Software oder Dateien, die nicht aus vetrauenswürdigen Quellen stammen, auszuführen bzw. zu öffnen!



5. Öffne keine Dateien, die mehr als eine Erweiterung haben, z.B. Lies_mich.txt.exe!



6. Sei vorsichtig gegenüber allen Dateien von externen Medien (wie USB-Sticks, CD-ROMs, DVDs, externe Festplatten, Disketten, etc.) oder aus dem Internet (z.B. e-Mail-Anhänge bekannter Absender oder Downloads) bzw. von anderen Computern aus dem Netzwerk sowie gegenüber allen unbekannten Dateien!
Bei Anschluss/Einschub externer Medien an/in den PC immer die Shift-Taste drücken, bis der Datenträger erkannt wird!
Jede auf dem System neue oder unbekannte Datei und jeder Datenträger (wie Disketten, CD-ROMs, etc.) sollte grundsätzlich vor dem Ausführen (d.h. Doppelklicken bzw. Öffnen [bzw. Booten vom Datenträger]) mit dem Virenscanner und am Besten zusätzlich auch bei VirusTotal überprüft werden.
Achtung: Auch scheinbar reine Daten-Dateien wie Bilder, Sound-Dateien oder Dokumente (wie Office-Dokumente oder PDF-Dateien) können ausführbare Inhalte beinhalten und somit gefährlich sein! Benutze zum Betrachten eines Office-Dokuments, das von externen Medien oder aus dem Internet stammt, nachdem Du es bei VirusTotal auf Schädlinge untersucht hast, statt der Microsoft-Office-Programme "Word", "Excel" & "Power-Point" besser OpenOffice.org! (Beachte dazu auch folgende Links: Link1, Link2, Link3, Link4, Link5, Link6, Link7, Link8, Link9, Link10 & Link11!)
Sei Dir bewusst, dass Virenscanner nicht alle Schädlinge erkennen können! Daher ist auch dann noch Vorsicht geboten, wenn der Virenscanner nichts finden konnte! (Siehe dazu meine Ausführungen im Punkt 4!)



7. Sorge dafür, dass Dein Virenschutzprogramm & andere Schutzsoftware immer upgedatet sind!



8. Achte bitte grundsätzlich darauf, dass der Hintergrund-Wächter Deines Virenschutzprogramms und Deine Firewall sowie alle anderen eingesetzten Schutz-Programme immer aktiviert sind!



9. Erstelle regelmäßig Sicherungskopien Deiner Daten in Form von Backups und Images!
Sicherungskopien helfen im Problemfall, schnell die ursprünglichen Informationen wieder herzustellen. Diese Sicherungsskopien dürfen nicht auf der System-Partition (bzw. dem selben Datenträger, wie der Datenträger, auf dem die Originale sind,) gespeichert werden! Auch von anderen Partitionen der System-Festplatte ist als Ziel-Datenträger der Sicherungsskopien abzuraten! Stattdessen empfehlen sich als Zieldatenträger eine zweite Festplatte oder externe Datenträger wie Disketten, USB-Sticks, externe Festplatten, beschreibbare CD-ROMS bzw. DVDs.
Bewahre die Sicherungskopien gut auf! (Sie sollten z.B. vor Hitze, Licht, Staub und Feuchtigkeit geschützt aufbewahrt werden und nicht unbedingt am selben Ort wie der Rechner. Optimal eignet sich hierfür ein feuergeschützter Schrank/Tresor in einem anderen Gebäude.)
Erstelle bei Deiner Datensicherung, wenn möglich auf unterschiedlichen Datenträgern mehrere Duplikate Deiner Backups & Images!
Überschreib nicht einfach Deine alten Backups & Images durch eine aktuelle Datensicherung, sondern lege Dir stattdessen einen Vorrat an Backups (z.B. die wöchentlichen fünf letzten Backups) und Images (z.B. die monatlichen sechs letzten Images) an! Beim Speichern neuer Sicherungskopien lösch einfach die älteste Sicherungskopie! Lösch jedoch niemals das allererste - gleich nach der Intallation angelegte - Image!
Überprüfe außerdem regelmäßig die Funktionsfähigkeit Deiner Sicherungskopien! Funktionsuntüchtige Backups/Images helfen schließlich niemandem.

Vergiss niemals: (Funktionstüchtige) Sicherungskopien sind der Unterschied zwischen etwas Zeitaufwand und einer Katastrophe!



10. Nutze die kostenfreie Windows-Update-Funktion regelmäßig!
Ein regelmäßiges Updaten von Windows (inkl. aller Service Packs) ist unerlässlich!
Auch dann, wenn der Internetexplorer nicht Dein Standard-Browser ist, solltest Du regelmäßig alle auf der Microsoft-Updateseite unter "wichtige Updates und Servicepacks" aufgeführten Windowsupdates machen - auch die den Internet Explorer betreffenden Updates!
(Da Microsoft inzwischen i.d.R. jeden zweiten Dienstag im Monat neues Updates veröffentlicht, bietet sich ein monatlicher Updaterhythmus an. Jedoch ist darüber hinaus auf außerplanmäßig erscheinende Sicherheitsupdates zu achten! (Siehe dazu auch hier (Punkt 6.)!)
Sehr empfehlenswert ist in dem Zusammenhang eine Aktivierung der automatischen Windows-Update-Funktion.)



11. Nutz den Internet Explorer (IE) am Besten nur in Ausnahmefällen - also nur für Seiten, die mit anderen Web-Browsern nicht richtig angezeigt werden (- z.B., da sie mit ActiveX-Elementen arbeiten)!
Beim IE kann es immer wieder mal zu Nachfragen, ob diese oder jene Aktion erlaubt sei, kommen. Bei vertrauenswürdigen Webseiten kannst Du idR die Aktion erlauben (- trotzdem solltest Du Dir die Meldung immer genau durchlesen & Deinen gesunden Menschenverstand bei der Entscheidung, was zu tun ist, einsetzen).
Beachte jedoch, dass auch vertrauenswürdige Websites gehackt werden können. Selbst die Webauftritte von renommierten Sicherheitsunternehmen bzw. Sicherheitsexperten sind davor nicht gefeit. Das bedeutet, dass auch bei Downloads von vertrauenswürdigen Websites Vorsicht geboten ist und dass auch schon allein das Ansurfen einer vertrauenswürdigen Website, die gehackt worden ist, über Browserexploits den Rechner des Surfenden infizieren könnte. Es gilt also, auch bei vertrauenswürdigen Websites die Browser-Sicherheitseinstellungen so restriktiv wie möglich zu konfigurieren (und Dateien aus dem Internet grundsätzlich immer gegenüber vorsichtig zu sein).
Bei nicht-vertrauenswürdigen Seiten empfehle ich, die Aktion zu verbieten.
Wenn eine vertrauenswürdige Seite, die den IE voraussetzt, auch mit dem IE Probleme macht, setze die Seite in den Internet Optionen unter Sicherheit auf die Liste Vertrauenswürdige Sites bzw. lokales Intranet! (Siehe dazu auch hier und "Das Zonenmodell des Internet Explorer")!
In allen anderen Fällen nutzt Du besser einen der beiden Web-Browser Opera oder Firefox!



12. Denk regelmäßig an Virenscans, Malware- und Spywarescans aller Dateien Deines gesamten Systems! Diese Scanner müssen selbstverständlich regelmäßig upgedatet werden!!

13. Verwende nur sichere Passwörter!
Sichere Passwörter bestehen aus mindestens 12 Zeichen und bestehen aus einer Kombination von Großbuchstaben, Kleinbuchstaben und Ziffern - am Besten enthalten sie darüber hinaus auch noch Sonderzeichen. Desweiteren sollten sie keine (- erst recht keine leicht zu erratenden -) Begriffe, Namen und keine Worte, die in Wörterbüchern (- egal, welcher Sprache -) stehen, enthalten.
Sie sollten auch keine Kombinationen von Begriffen, Namen und/oder Worten enthalten! Großbuchstaben, Ziffern und Sonderzeichen sollten nach Möglichkeit nicht nur am Anfang oder am Ende des Passworts stehen, sondern sich über das ganze Passwort verstreuen!
(Beispiele für äußerst unsichere Passwörter: "surfen", "SUSANNE", "Passwort", "Oktober", "Frühling" "Admin2006" oder der eigene Benutzername.)
Am Besten besteht ein Passwort aus einer (zumindest scheinbar) zufälligen Folge von Zahlen, Klein- & Großbuchstaben und Sonderzeichenn wie z.B. kB0o.(uc;-4vP5_W##739

Aber wie merkt man sich solch ein sicheres Passwort? Eine beliebte Methode funktioniert so: Man denkt sich einen Satz aus und benutzt von jedem Wort nur den 1. Buchstaben (oder nur den 2. oder letzten, etc.). Anschließend verwandelt man bestimmte Buchstaben in Zahlen oder Sonderzeichen. Hier ein Beispiel: "Sicherungskopien helfen im Problemfall, schnell die ursprünglichen Informationen wieder herzustellen."
Nur die 1. Buchstaben: "ShiP,sduIwh.". "S" sieht aus wie "$", "I" sieht aus wie "1",: "$hiP,sdu1wh.".
Schließlich könnte man noch ein paar Sonderzeichen und/oder Zahlenziffern einstreuen: "$hiP,*387sdu1wh.#".
Auf diese Weise hat man sich eine gute "Eselsbrücke" gebaut.
Natürlich gibt es viele andere Tricks und Methoden, die genauso gut funktionieren.

Noch sicherer ist es, generierte Passwörter zu verwenden. Dabei unterstützen einem spezielle Passwortgeneratoren.
Beispiel für ein generiertes Passwort: n5u23h]i[Sci*I%AHy~sLm9eW;fQ3

(Alle von mir genannten Passwortbeispiele müssen natürlich ab sofort als unsicher angesehen werden!)

Wichtig: Je länger das Passwort, desto sicherer ist es.
(Sichere Passwörter bestehen aber aus mindestens 12 - besser aber um einiges mehr - Zeichen.)

Passwörter sollten niemals auf dem PC abgespeichert oder für andere Personen zugänglich aufbewahrt werden! (Falls man unbedingt Passwörter auf dem PC abspeichern will, wovon aber dringend abzuraten ist, so sollte das zumindest nur in verschlüsselter Form geschehen! Beim Verschlüsseln von Passwörtern können spezielle Passwortverwaltungsprogramme ein Hilfe sein. Aber auch beim Einsatz von Passwortverwaltungsprogrammen empfiehlt sich zum Aufbewahren verschlüsselter Passwörter statt des PCs ein externer, nicht ständig mit dem PC verbundener Datenträger.)

Es ist dringend zu empfehlen, Passwörter in regelmäßigen Abständen vorsichtshalber zu ändern!

Problematisch ist die Gewohnheit, einheitliche Passwörter für viele verschiedene Zwecke bzw. Zugänge (Accounts) zu verwenden. Denn gerät das Passwort einer einzelnen Anwendung einmal in falsche Hände, so hat in diesem Fall der Angreifer freie Bahn für alle Anwendungen und Zugänge! Daher sollten möglichst für jede einzelne Anwendung unterschiedliche, sichere Passworte verwendet werden!

Bei vielen Hardware- & Software-Produkten werden bei der Installation (bzw. im Auslieferungszustand) in den Accounts leere Passwörter oder allgemein bekannte Passwörter verwendet. Hacker wissen das: Bei einem Angriff probieren sie zunächst aus, ob vergessen wurde, diese Accounts mit neuen Passwörtern zu versehen. Deshalb ist es ratsam, sich darüber zu informieren, ob solche Accounts vorhanden sind und wenn ja, diese unbedingt mit individuellen Passwörtern abzusichern!

Bei vielen Foren oder Webseiten mit Benutzer-Accounts lässt sich als Login-Name ein anderer Name wählen als den Benutzernamen. Mache von dieser Option Gebrauch, so dass Eingabeversuche eines potentielles Passwortes möglichst schon am nicht bekannten Login-Namen scheitern! Wähle in dem Fall am Besten auch bei der Wahl des Login-Namens einen möglichst komplexen Login-Namen!

Siehe zur Passwortpolitik auch Punkt 9 dieses Postings!



14. Halte die von Dir verwendete Software immer auf dem neusten Sicherheitsstand, indem Du regelmäßig alle sicherheitsrelevanten Updates/Upgrades installierst (- siehe dazu auch hier -), und konfiguriere die von Dir verwendete Software möglichst sicher! Das gilt insbesonders für datenübertragende Software wie Web-Browser & Mailprogramme und für Sicherheitssoftware wie Firewalls & Virenschutzsoftware. Um Deine Software auf den neusten Sicherheitsstand zu halten, können Update-Check-Programme wie Filehippo.com-Update-Checker und/oder Secunia-Personal-Software-Inspector (PSI) (neben regelmäßiger Lektüre der Sicherheits-News von Heise und Trojaner-Info.de) eine große Hilfe sein. Man darf sich aber nicht allein darauf verlassen, sondern sollte dennoch regelmäßig auf den Webseiten der Software-Hersteller und über die Update-Funktion einer Software nachsehen, ob neue Updates verfügbar sind.



15. Halte ein Konzept für den Fall eines Viren-Alarms bereit!
Das Konzept könnte z.B. so aussehen:
Bei Viren-Alarm des Viren-Schutzprogramms keine Panik! Beherzige stattdesssen ruhigen Blutes folgende Ratschläge Schritt für Schritt nacheinander:
a) Trenne ggf. (nach Möglichkeit) alle Internet-/Netzwerk-Verbindungen!
b) Schreibe Dir exakt im Wortlaut die Meldung auf! Schreibe zusätzlich auf, in welcher Situation genau es zu der Meldung kam!
c) Mache (nach Möglichkeit) Backups aller für Dich unverzichtbaren Daten, die sich auf Deinem Rechner befinden!
d) Falls ein Trennen aller Internet-/Netzwerk-Verbindungen nicht möglich sein solte, so fahre nun den PC herunter! Falls jedoch alle Internet-/Netzwerk-Verbindungen erfolgreich getrennt und die entsprechenen Netzwerk-, DSL-, ISDN- bzw. Modem-Stecker gezogen worden sind, so fahre den PC nicht herunter!
e) Fahre den PC, falls er heruntergefahren (worden) ist, nicht wieder hoch!
f) Verständige einen Fachmann oder frage in einem kompetenten Internetforum nach!

IV. Sicherheit überprüfen

Die Sicherheit Deines Domain Name Servers (DNS) kannst Du hier überprüfen!

Die Sicherheit Deines Browsers kannst Du --> hier <--, hier, hier, hier, hier, hier hier, hier, hier und hier überprüfen!
Weiterer Test zur Überprüfung der Browser-Sicherheit: Browsercheck. Start des Tests mit Klick auf das Pfeil-Symbol! Um weitere Stufen ("Schritte") des mehrstufigen Tests zu durchlaufen, ist ggf. für jede neue Stufe erneut das Pfeil-Symbol anzuklicken!

Ob Dein Bowser bzw. Dein Betriebssystem unsichere SSL-/TLS-Zertifikate erkennt, kannst Du in diesem Test überprüfen: Wenn hier beim Ansurfen mit dem Internet Explorer und/oder beim Ansurfen mit einem Deiner verwendeten Webbroser keine Warnung erscheint, so hast Du ein Problem. Du solltest in dem Fall auch beim Zugriff auf ssl-geschützte Server davon ausgehen, dass alle übertragene Daten (wie z.B. Passwörter, Inhalte von Mails bzw. von Web-Seiten, sowie Cookies) von Dritten mitgelesen und missbraucht werden könnten. Wenn allerdings die betreffende ssl-geschützte Domain, mit der Du kommunizieren willst, hier nicht beanstandet wird, so ist es relativ unwahrscheinlich, dass sie ein unsicheres Zertifikat verwendet. Sensible Daten sollten jedoch aus Sicherheitsgründen nur über Webbrowser (- natürlich SSL-/TLS-geschützt -) übermittelt werden, die den diesen Sicherheitstest bestanden haben! Ferner sollte auch der Internet Explorer diesen Sicherheitstest bestehen, da viele Anwendungen auf ihm basieren. Desweiteren muss natürlich auch das Mailprogramm so konfiguriert werden, dass es mit dem Mailserver SSL-/TLS-geschützt kommuniziert, und der Mailserver muss dies natürlich auch unterstützen!

(Weitere, IE-spezifische Tests: hier, hier, hier und hier)

Die Sicherheit Deines Mailprogramms/Mail-Virenschutzes kannst Du --> hier <-- überprüfen!

Die Sicherheit Deines Intrusion Detection Systems (IDS) bzw. Malware- bzw. Viren-Wächters kannst Du mit dem Anti-Keylogger Tester und den weiter unten aufgeführten Leaktests (Schritt 13 & 14) überprüfen!

Die Sicherheit Deiner Firewall kannst Du so überprüfen:
Schritt 1 (Freigaben-Test)
Schritt 2 (Stealth-Test),
Schritt 3 (Exploits Test),
Schritt 4: c't-Router-Test
Schritt 5: c't-UNIX-Portscan und c't-Windows-Portscan
Schritt 6 "Quick-Scan" & dann "Full-Scan" durchführen! Start der Tests jeweils mit Klick auf den Pfeil!
(- Hinweis 1: Als Portbereich der zu testenden Ports im "Full-Scan" empfehle ich 1-1000.
Hinweis 2: Die Ergebnisse des UDP-Port-Scans beim "Quick-Scan" sind mit Vorsicht zu genießen, da es sich bei UDP um ein Netzwerk-Transportprotokoll ohne Verbindung handelt. Bei UDP-Portscans sind offene Ports nur indirekt zu erkennen - nämlich daran, dass sie keine Antwort vom Host-Computer erhalten. Wird dagegen eine "Port Unreachable" Fehlermeldung empfangen, ist der Port geschlossen. Aufgrund der Funktionsweise dieses Protokolls kann man aber nicht unterscheiden, ob ein Port offen ist oder ob ein Router bzw. eine Firewall die Pakete verworfen hat. Aus Sicht des UDP-Portscanners sieht beides gleich aus: Er erhält keine Antwort. Das heisst, dass es sein kann, dass bei diesem Test ein durch einen Router oder eine Firewall gefilterter UDP-Port als "offen" angezeigt wird. Ein als "offen" angezeigter UDP-Port kann aber auch tatsächlich offen sein. Ebenso kann ein als "gefiltert" angezeigter Port in Wirklichkeit offen sein, er könnte aber auch tatsächlich durch einen Router oder eine Firewall gefiltert sein.)
Schritt 7 (UDP-Test)
(- Hinweis: Beachte meine Ausführungen in Schritt 6 über "offene" UDP-Ports!
ACHTUNG!!! Beim Port-Scan von Schritt 6 werden insgesamt nur 15 spezielle UDP-Ports und beim "UDP-Test" von Schritt 7 insgesamt nur 20 spezielle UDP-Ports getestet. Über die nicht getesten Ports lässt sich so keine Aussage machen; daher ist mE ein UDP-Port-Scan (und am Besten auch ein direkter TCP-Portscan und ein TCP-SYN-Portscan) aller 65535 Ports (Port 1 bis Port 65535) mit dem Portscanner SuperScan ergänzend zum Port-Scan aus Schritt 6 und zum UDP-Test aus Schritt 7 zu empfehlen; es muss dazu die aktuelle IP-Adresse des eigenen Rechners (- nicht nur die IP-Adresse im eigenen Netzwerk, sondern auch die IP-Adresse im Internet {- die aktuelle IP-Adresse im Netzwerk erfährst Du so, die aktuelle IP-Adresse im Internet erfährst Du hier} -) und die zu scannenden Ports eingeben werden! Von der Option "Host Discovery" der Registerkarte "Host and Service Discovery" kann ich bei SuperScan nur abraten. Den Timeout-Wert des UDP-Port-Scans empfehle ich auf 4000 ms zu erhöhen! Desweiteren empfehle ich in der Registerkarte "Host and Service Discovery" zusätzlich zum UDP-Data-Scan auch den TCP-SYN-Scan aktiviert zu lassen. Es lassen sich mit SuperScan mehrere IP-Adressen/IP-Bereiche - z.B. alle Rechner in Deinem Netzwerk, alle Netzwerkkarten eines Rechners, den Router über seine IP-Adresse im Netzwerk und den Router bzw. Rechner über die IP-Adresse im Internet (, aber auch Loopbackadressen wie localhost 127.0.0.1) - gleichzeitig scannen. Nach dem Port-Scan empfiehlt es sich, einen weiteren PortScan der gleichen IP-Adressen mit einem UDP-Portscan mit der Option "Data + ICMP" in Kombination mit einem TCP-Portscan mit der Option "Connect" durchzuführen!
Schritt 8: Trojans Test
Schritt 9 (Fingerprint) (- Hinweis: Wird beim Fingerprint-Test das Betriebssystem nicht erkannt, so ist das gut),
Schritt 10 (PortScan TCP-Test) (- Hinweis: Dieser Test kann mehrere Stunden dauern & die Internet-Verbindung darf in der Zeit nicht unterbrochen werden),
Schritt 11 (Nessus) (- Hinweis: Infos zu Nessus hier und hier; dieser Test kann mehrere Stunden dauern & die Internet-Verbindung darf in der Zeit nicht unterbrochen werden! Die Antwort befindet sich im HTML-Anhang der Antwort-Mail),
Schritt 12 (- Hinweis: Zunächst "Scan typical vulnerable and Trojan ports" jeweils in beiden Modifikationen ("TCP connect scanning (standard)" und "TCP SYN scanning") mit dem "PC Flank-Advanced Port Scanner" durchführen! Dann mit dem "PC Flank-Advanced Port Scanner" abermals "TCP SYN scanning" wählen! Diesmal ist aber die Option "Scan desired ports and/or the range of ports" zu wählen und dort in das freie Feld "1-65535" (ohne Anführungzeichen) zu schreiben! Dieser Test mit der Option "Scan desired ports and/or the range of ports" kann viele Stunden dauern & die Internet-Verbindung darf in der Zeit nicht unterbrochen werden! Dieser Test kann entfallen, falls mit SuperScan aus Schritt 7 ein TCP-SYN-scan durchgeführt wird!)
Schritt 13 (Atelier Web Firewall Tester) (- Atelier Web Firewall Tester downloaden & auf allen Stufen ausführen!)
Schritt 14 (Alle Leak-Tests (- sowohl alle der linken Leiste als auch alle im großen, mittleren Feld -) einzeln nacheinander downloaden & jeweils ausführen!) ACHTUNG: Viele Virenscanner und Intrusion Detection Systeme (IDS) schlagen bei diesen Leaktests wegen ihrer Verwandschaft zu echten Trojanern & Backdoors an. Meines Erachtens handelt es sich bei diesen Tests jedoch um keine Schädlinge. Dass Schädlingswächter sie dennoch als Schädlinge brandmarken, ist aber andererseits verständlich, da die Leaktests ja genau derartige Malware simulieren sollen. Beim Einsatz dieser Leaktests (- auch beim Test aus Schritt 13 -) wird außerdem in Grunde genommen nicht nur die Firewall getestet, sondern das gesamte Sicherheitssystem. Hindert also ein Schutzprogramm wie z.B. der Virenwächter den Leaktest bei seiner Arbeit, so hat das Sicherheitssystem den Test bestanden. Dennoch ist es überlegenswert, dem Virenwächter bei einer Schädlingsmeldung mit "Ignorieren" zu antworten bzw. den Virenwächter für diesen Test zu deaktivieren, da Virenscanner i.d.R. nur signaturbedingt oder allenfalls auf Grund ihrer Heuristik den Leaktest melden. Im Falle eines echten Schädlings muss jedoch damit gerechnet werden, dass Signaturen und Heuristik hier versagen könnten. Daher gilt es auch zu prüfen, inwieweit das System aus Firewall und IDS hier den Leaktest besteht.
Schritt 15 (Die Security Software Testing Suite und die Leak-Tests herunterladen & auführen! Siehe dazu auch meinen Hinweis von Schritt 14!)

V. Konfigurationshinweise für TrojanCheck
Hinweis: Dieses Tool ist nur für fortgeschrittene Anwender geeignet!

Beim Tool TrojanCheck erklärt sich eigentlich alles von selbst!

Gib dort alle dort bei "Autostarts" aufgeführten Auto-Starteinträge, wenn Du sicher bist, dass sie ok sind, in die interne Datenbank ein ("Datenbank" -> "Alle")! (Falls Du unsicher bist, ob die Autostarteinträge ok sind, frag hier noch einmal nach bzw. poste hier notfalls das TrojanCheck-LogFile!)
ACHTUNG! Es gibt bei Startpunkte 9 Rubriken!!!
------------------
Bei "Prozesse und Überwachung" markiere durch einzelnes Anklicken nacheinander alle ständig laufenden Prozesse von Schutzprogrammen - wie z.B. die Prozesse Deines Virenwächters (- z.B. "C.\PROGRAMME\AVPERSONAL\AVGCTRL.EXE" -), Deiner Dialerschutzsoftware (- z.B. C:\PROGRAMME\WARN0190.EXE -) oder Deiner Personal Firewall - und ziehe jeden Eintrag einzeln nacheinander mit gedrückter linken Maustaste runter in das Feld "x überwachte Prozess(e)"!

Wenn unten rechts "Wächter aktiv" steht, ist alles ok und Du kannst TrojanCheck wieder schließen! (Wenn dort aber "Wächter NICHT aktiv" steht, so klicke einmal auf die Schaltfläche "TrojanCheck Wächter"!)
***********************************************
Falls TrojanCheck mal eine Warnung bezüglich Änderungen der Autostarteinträge ausspucken sollte, hast Du die Wahl zwischen "Akzeptieren" und "Rückgängig machen"! Entscheide dann sorgfältig, welche Wahl Du triffst!

(Wenn Du gerade neue Software, Patches oder Service Packs installierst bzw. installiert hast oder alte Software, Patches oder Service Packs deinstallierst bzw. deinstalliert hast oder ein Update machst bzw. gemacht hast oder Autostarteinträge (de)aktiviert hast, so kannst Du vermutlich unbesorgt "akzeptieren" wählen!
Wenn Du überhaupt nicht weißt, was Du wählen sollst, so wähle notfalls "akzeptieren" und poste bei nächster Gelegenheit hier im Forum das TrojanCheck-Logfile bzw. verständige einen Fachmann!)
~~~~~~~~~~~~
Falls mal eine Warnung über nicht laufende Prozesse auftauchen sollte, so starte einfach den betreffenden Prozess wieder von Hand! Falls sich einmal ein Prozess auch nach angemessener Wartezeit nicht mehr starten lassen sollte, so starte das System neu und schau, ob der Prozess wieder normal läuft! Falls auch das nicht helfen sollte, so solltest Du in einem kompetenten Internet-Forum nachfragen oder einen Fachmann verständigen!
------------------------
Ansonsten öffne regelmäßig "TrojanCheck" und kontrolliere, ob bei Autostarts bei allen 9 "Startpunkte"-Rubriken überall Smilies sind! Wenn nicht, frag notfalls hier im Forum nach, ob der betreffende Autostarteintrag ok ist! (Nochmals: ACHTUNG! Es gibt bei Startpunkte 9 Rubriken!!!)

Kontrolliere zusätzlich regelmäßig, ob alle zu überwachenden Schutzsoftware-Prozesse bei "Prozesse und Überwachung" -> "x überwachte Prozess(e)" weiterhin aufgeführt sind und unten rechts "Wächter aktiv steht"!
-------
Kontrolliere zusätzlich regelmäßig, indem Du per Doppel-Klick auf das blaue Schutzschild-Wappen von "Trojan Check" in der Taskleiste ein kleines Fensterchen öffnest, ob bei "Autostart-Überwachung...Aktiv", "Prozess-Überwachung...Aktiv" und bei "mit Windows starten" jeweils ein Häkchen gesetzt ist!




_____________________________________________________________


VI. Konfigurationshinweise für SpywareBlaster
Im SpywareBlaster sollte bei
"Protection Status" -> "SpywareBlaster Protection status": "Protection | Status"
"Internet Explorer: Protection enabled - 0 items have protection disabled...
Restricted Sites: Protection enabled - 0 items have protection disabled...
Mozilla/Firefox: Protection enabled - 0 items have protection disabled..."
stehen!


Wenn nicht, so klick darunter bei
"Quick Tasks - Shortcuts to frequently used functions":
"Enable All Protection" an!


-----------------
Vergiss nicht, SpywareBlaster regelmäßig upzudaten! ("Updates" (bzw. "Download Latest Protection Updates") -> "Check for Updates"


(-> ggf., falls Update verfügbar, "Enable All Protection"))
Auch ein regelmäßiger Einsatz der SpywareBlaster-Funtion "System Snapshot" ist sehr zu empfehlen! (Mit "Create New System Snapshot" erstellt man einen "Schnappschuss" bestimmter Systemeinstellungen und mit "Restore System to Saved Snapshot Point" kann man jederzeit aus einem in der Vergangenheit erstellten "Schnapschuss" jene Systemeinstellungen wiederherstellen, die man aus der angebotenen Auswahl selbst bestimmen kann, wenn man bei "Restore System to Saved Snapshot Point" einen Schnappschuss auswählt und dann "Next >" klickt.)
Die SpywareBlaster-Funktion "Tools" -> "Hosts Safe" ist ebenfalls empfehlenswert. Mit Create New Backup kann man Backups der "Hosts"-Datei erstellen und mit "Restore Saved Backup" kann man jederzeit eines der erstellten Backups wiederherstellen.
Sehr zu empfehlen ist die Funktion "Tools" -> "Flash Killer" -> "Disable and block Macromedia Flash in Internet Explorer", mit der sich beim Setzen des entsprechenden Häkchens der Adobe-Flashplayer im Internet Explorer deaktivieren bzw. eine Installation verhindern lassen sollte. Da der Adobe-Flashplayer immer wieder durch eigene Sicherheitslücken aufgefallen ist, empfiehlt es sich, ihn dauerhaft zu deaktivieren (bzw. ihn erst gar nicht erst zu installieren) und ihn allenfalls gezielt temporär bei einer vertrauenswürdigen Website einzuschalten (bzw. zu installieren). Dabei sollte das Setzen bzw. Entfernen des Häkchen bei "Disable and block Macromedia Flash in Internet Explorer" eine wertvolle Hilfe sein. Ich habe allerdings nicht überprüft, ob die Funktion "Disable and block Macromedia Flash in Internet Explorer" auch bei den neusten Versionen des Adobe-Flashplayers für den Internet Explorer greift. Der Einsatz dieser Funktion sollte also nicht als Ersatz für die Umsetzung der hier und hier gegebenen Empfehlungen bzw. als Ersatz für das Deaktivieren der Option "Browsererweiterungen von Drittanbietern aktivieren" der Registerkarte "Erweitert" in den "Internetoptionen" betrachtet werden! Ferner sei darauf hingewiesen, dass diese Funktion keine Auswirkung auf den Adobe-Flashplayer für andere Webbrowser als den Internet Explorer hat.
Fortgeschritten Anwendern sei schließlich auch die Funktion "Tools" -> "Custom Blocking" -> "Add Item" ans Herz gelegt. Mit dieser Funktion lassen sich gezielt eigene Killbits für ActiveX-Elemente setzen. Wenn man z.B. in den "heise Security"-News, die man ohnehin regelmäßig lesen sollte, erfährt, dass als Workarround zum Schließen einer bestimmten Sicherheitslücke das Setzen eines Killbits empfohlen wird, so kann man dieses Killbit mit dieser Funktion "Custom Blocking" setzen. Mit "Add Item" wird das Killbit definiert und mit "Protect Against Checked Items" wird das definierte Killbit gesetzt. Man kann das Setzen eines Killbits jederzeit wieder rückgängig machen, indem man das Häkchen des Killbits entfernt und dann "Remove Protection for Unchecked Items" wählt. Will man das Killbit später erneut setzen, so setzt man wieder das Häkchen und wählt danach erneut "Protect Against Checked Items".

VII. Hinweise zum Einsatz von Personal Firewalls:

Die XP-eigene Firewall ist nicht so schlecht, wie öfters gerne mal behauptet wird.

Ich persönlich bevorzuge zwar die Firewalls Comodo-Firewall und Online Armor (bzw. als weitere Alternative die Sunbelt Personal Firewall); damit diese von mir persönlich bevorzugten Firewalls aber ihre Stärken entfalten können, muss man sich mir ihnen, mit Firewalls im Allgemeinen und allgemein mit dem Thema PC-Sicherheit außeinandersetzen. Das fängt schon bereits damit an, dass man sich alles (ReadMe-Texte, Handbücher, Links etc.) genau durchliest.
Diese Firewalls haben einen erweiterten Paketfilter, mit dem man für jeden einzelnen Prozess genau bestimmen kann, welche lokalen Ports (also die Ports des eigenen Rechners) und welche Remote-Ports (also die Ports des Rechners, mit dem der eigene Rechner kommuniziert,) benutzt werden dürfen und mit welchen IP-Adresssen dieser Prozess kommunizieren darf.
Ferner haben die Firewalls weitere Funktionen, über die sich z.B. bestimmen lässt, welcher Prozess überhaupt starten darf, welcher Prozess verändert werden darf (- etwa, indem die zugehörige Datei bei einem Update durch eine andere Datei gleichen Namens ersetzt wird; denkbar ist aber auch, dass die betreffende Datei durch Manipulation eines Schädlings/Angreifer ersetzt wird -), welcher Prozess andere Prozesse starten darf, welche IP-Adressen (z.B. die IP-Adressen des eigenen Netzwerks) als vertauenswürdig gelten (- alle Regeln des Paketfilters lassen sich für vertrauenswürdige und nicht vertrauenswürdige-IP-Adressen sowie für eingehende & ausgehende Datenpakete getrennt regeln -) und vieles mehr.
Das hat zur Folge, dass gerade am Anfang jede Menge eingestellt werden muss und jede Menge Nachfragen der Personal Firewall kommen, bis durch das wiederholte Aufstellen immer neuer Regeln im Laufe der Zeit immer weniger Nachfragen kommen.
Ähnlich verhält es sich im Prinzip mit anderen "Personal Firewalls" wie ZoneAlarm.

ACHTUNG: Anwendern, die dazu neigen, in der Firewall alles zu erlauben, bieten Personal Firewalls wie Comodo Firewall, Sunbelt Personal Firewall, ZoneAlarm etc. keinen zusätzlichen Schutz - ganz im Gegenteil: Bei falscher Konfiguration können sie u.U. mehr schaden als nutzen! Wer also zu faul oder zu überfordert ist, sich mit den vielen Einstellungsmöglichkeiten und Nachfragen seiner Firewall ernsthaft außeinander zu setzen, der sollte stattdessen lieber die XP-eigene Firewall verwenden!




VIII. Hinweise zur Konfiguration der XP-eigenen Firewall
Die XP-eigene Firewall findet man unter Start > Einstellungen > Systemsteuerung > Windows-Firewall.
In der Registerkarte "Allgemein" sollte bei "Aktiv (empfohlen)" ein Punkt gesetzt sein.
(Falls Du garantiert keine eingehenden Datenpakete ohne irgendwelche Ausnahmen zulassen willst, dann kannst Du bei "keine Ausnahmen zulassen" theoretisch ein Häkchen setzen. Du kannst aber auch in der Situation darauf ruhigen Gewissens verzichten. Ich empfehle in dem Fall stattdessen, einfach keine Ausnahmen zuzulassen! Es gibt aber durchaus Sitationen, in denen es angebracht sein kann, Ausnahmen zuzulassen, wie z.B., wenn man seinen PC als Server einsetzt, bei VoIP, beim File-Sharing, etc.)

Von Haus aus sind in der Windows-Firewall die Ausnahmen "Datei- und Druckerfreigabe", "Remotedesktop", "Remoteunterstützung", "UPnP-Framework" eingetragen. Diese Ausnahmen lassen sich selbst nicht entfernen. Hier lässt sich nur das jeweilige Häkchen entfernen. In der Regel sollten bei diesen Ausnahmen alle Häkchen entfernt werden.
Folgende Ausnahmen, bei denen evtl. doch ein Häkchen für eine dieser Ausnahmen gerechtfertigt wäre, sind denkbar:

Wer ein Netzwerk betreibt und über einen PC dieses Netzwerks Dateien und/oder einen Drucker für die anderen PCs freigeben will, der sollte auf diesem PC ein Häkchen bei "Datei- und Druckerfreigabe" setzen.

Häkchen bei "Remotedesktop" bzw. "Remoteunterstützung" wären allenfalls bei einer Remote-Sitzung notwendig. Hier gibt es aber empfehlenswertere Lösungen als die hauseigene Lösung von Microsoft - z.B. Ultra-VNC.

Universal Plug and Play (UPnP) dient zur herstellerübergreifenden Ansteuerung von Geräten (Stereoanlagen, Router, Drucker, Haussteuerungen etc.).
Jedoch lassen sich Drucker und Router i.d.R. auch ohne UPnP steuern. Was diese beiden Gerätetypen betrifft, ist also der Einsatz von UPnP i.d.R. nicht notwendig. Da UPnP grundsätzlich ein hohes Sicherheitsrisiko darstellt, sollte nach Möglichkeit darauf grundsätzlich verzichtet werden. Alle anderen Gerätetypen, bei denen UPnP vorgesehen ist, werden üblicherweise relativ selten von PCs aus gesteuert und auch hier gibt es teilweise Alternativen zu UPnP. Es kann also i.d.R. auf UPnP verzichtet werden. Somit sollte der Haken bei UPnP grundsätzlich entfernt werden. Wer tatsächlich mit einem UPnP-Gerät von seinem PC aus über UPnP kommunizieren will, der sollte bei "UPnP-Framework" ein Häkchen setzen!

Sorge dafür, dass die in der Registerkarte "Ausnahmen" keine weiteren Ausnahmen als die oben genannten aufgeführt werden! Ggf. die jeweilige Ausnahme mit "Löschen" entfernen! Entferne nicht einfach nur das Häkchen (, statt die Ausnahme ganz zu löschen)!
Ein Entfernen des jeweiligen Hächens würde nämlich die betreffende Anwendung in Zukunft grundsätzlich blocken, ohne dass die Windows-Firewall zukünftig noch darauf hinweisen würde, wenn diese Anwendung geblockt würde. Die Windows-Firewall weist nur dann auf geblockte Anwendungen hin, wenn die jeweilige Anwendung nicht in der Liste der Ausnahmen aufgelistet ist.
Nur, wenn Du Dir ganz sicher bist, dass Du eine bestimmte Anwendung grundsätzlich immer blocken willst, so kannst Du bei dieser Anwendung das betreffende Häkchen entfernen (, statt die Anwendung aus der Liste der Ausnahmen zu entfernen)!
Nur, wenn Du Dir ganz sicher bist, dass Du einer bestimmte Anwendung grundsätzlich immer erlauben willst, aus dem Internet/Netzwerk ansprechbar zu sein, so kann diese Ausnahme (mit gesetztem Häkchen) in der Liste der Ausnahmen stehen bleiben! Achte aber dann darauf, dass beim betreffenden Eintrag in der Ausnahmeliste ein Häkchen gesetzt ist!

Achtung! Es gibt Schädlinge und legitime Programme, die ohne Nachfrage oder Hinweise Ausnahmen in der Registerkarte "Ausnahmen" eintragen! Daher ist diese Registerkarte unbedingt regelmäßig hinsichtlich der eingetragenen Ausnahmen zu überprüfen! Dabei müssen auch die Dateipfade der eingetragenen Ausnahmen überprüft werden, da dem angebene Namen einer Ausnahme in Wirklichkeit eine ganz anderen Datei, als vom Anwender vermutet, zugeordnet sein kann! Die Dateipfade werden überprüft, indem durch Anklicken des Namens der betreffenden Ausnahme die Ausnahme markiert wird und dann auf "Bearbeiten..." geklickt wird.

Wichtig! Setze ein Häkchen bei "Benachrichtigen, wenn Programm durch Windows-Firewall geblockt wird"!

Wenn eine Anwendung von der Windows-Firewall geblockt wird, so erscheint ein Antwort-Dialog mit drei Antwortmöglichkeiten:

"Weiterhin blocken": Die betreffende Anwendung wird mit dieser Antwort auch in Zukunft geblockt (- das heißt: Die Anwendung ist aus dem Internet/Netzwerk nicht mehr ansprechbar, kann aber von sich aus immer noch nach außen kommunizieren -) und es erfolgen auch keine weiteren Nachfragen der Firewall bzgl. dieser Anwendung. Diese Antwort wäre nur dann angebracht, wenn Du Dir ganz sicher wärst, dass Du die betreffende Anwedung grundsätzlich immer blocken willst. In allen anderen Fällen ist diese Antwort nicht zu empfehlen.

"Nicht mehr blocken": Die Anwendung ist in Zukunft aus dem Internet/Netzwerk grundsätzlich ansprechbar. Diese Antwort solltest Du immer wählen, wenn Du der betreffenden Anwenung grundsätzlich erlauben willst, aus dem Internet/Netzwerk ansprechbar zu sein. Wenn Du dies der betreffende Anwendung nur einmalig erlauben willst, so wähle auch in dem Fall die Antwort "Nicht mehr blocken"! Du musst dann nach dieser Antwort aber die betreffende Antwort aus der Liste der Ausnahmen löschen, ansonsten würde diese Anwendung nicht nur einmalig sondern grundsätzlich aus dem Internet/Netzwerk ansprechbar sein.
Falls Du den Zugriff auf eine Anwendung nur innerhalb des eigenen Netzwerks oder nur von bestimmten IP-Adressen/IP-Bereichen aus erlauben willst, so markiere die betreffenden Ausnahme durch Anklicken ihres Namens und klicke dann auf "Bearbeiten...", danach auf "Bereich ändern..." und wähle dann "Nur für eigenes Netzwerk (Subnetz)" oder "Benutzerdefinierte Liste"! Bei der "Benutzerdefinierten Liste" kannst Du durch Hinzufügen der Subnetzmaske zu einer IP-Adresse einen ganzen IP-Bereich definieren. Siehe dazu hier und hier!

"Erneut nachfragen": Die betreffende Anwenung bleibt aus dem Internet/Netzwerk weiterhin nicht ansprechbar. Beim nächsten Zugriffsversuch von außen fragt jedoch die Firewall erneut nach. Diese Antwort ist vor allem für diese Fälle sinnvoll, in denen man unsicher ist, ob man der Anwendung erlauben soll, von außen ansprechbar zu sein, oder nicht. Funktioniert nach dieser Antwort die Kommunikation zwischen der Anwendung und der Außenwelt nicht mehr ordnungsgemäß, so ist das ein Indiz dafür, dass die Anwedung als Ausnahme zugelassen werden muss. Funktioniert die Kommunikation nach dieser Antwort jedoch ordnungsgemäß, so deutet das daraufhin, dass die betreffende Anwendung von der Windows-Firewall grundsätzlich geblockt werden kann. Im Zweifelsfall bzw. bei Unsicherheit kannst Du hier im Forum nachfragen, ob man ggf. für das Programm eine Ausnahme setzen sollte bzw. ob man diese Anwendung grundsätzlich blocken kann.

Überprüfe bei der Registerkarte "Erweitert", dass bei den "Einstellungen..." des Punkts "ICMP" keine Ausnahmen mit Häkchen versehen sind!
Überprüfe ferner bei der Registerkarte "Erweitert" für jede in dem kleinen oberen Fenster aufgeführte Netzwerkarte, indem Du jede aufgeführte Netzwerkarte einzeln mit der linken Maustaste markierst und dann jeweils auf "Einstellungen..." klickst, dass weder unter "Dienste" noch bei "ICMP" Ausnahmen mit Häkchen versehen sind!

In der Regel ist es nicht nötig, irgendwelche Ausnahmen in der Windows-Firewall zuzulassen - egal ob in der Registerkarte "Ausnahmen" oder in der Registerkarte "Erweitert".
Zum Glück kommt es sehr selten zu Nachfragen der XP-eigene Firewall. Falls sie doch mal melden sollte, dass Programme geblockt worden sind, so kannst Du bei Unsicherheit hier im Forum nachfragen, ob man ggf. für das Programm eine Ausnahme setzen sollte bzw. ob man diese Anwendung grundsätzlich blocken kann.
Auch in Fällen der Unsicherheit, was Ausnahmen in der Registerkarte "Erweitert" betrifft, kannst Du Dich selbstverständlich an dieses Forum wenden.

IX. Anmerkungen zur Sunbelt Personal Firewall
Registerkarte "Übersicht" -> Registerkarte "Voreinstellungen":
Ein Setzen der Häkchen "Automatische Updateprüfung" und "Prüfung auf Betareleases" kann ich empfehlen. Auch mit den Betareleases habe ich bei Kerio noch nie schlechte Erfahrungen gemacht.
Um seine Einstellungen zu sichern oder um sie auf andere PCs zu übertragen, empfiehlt sich Import-/Export-Funktion.

Registerkarte "Netzwerksicherheit" -> Registerkarte "Erweitert":
Bei "Bootzeitschutz" & "Erweitertes Protokollieren" Häkchen setzen!
Registerkarte "Vertraut":
Beim Eintrag "Loopback" (IP-Adresse 127.0.0.1) sollte ein Häkchen gesetzt werden!
Alle IP-Adressen (z.B. die IP-Adressen Deines Netzwerks), denen Du 100%ig vertrauen kannst, können (& sollten) hier mit Häkchen versehen werden.
Auf keinem Fall sollten IP-Adressen - auch IP-Adressen des eigenen Netzwerks, bei denen eine Schädlingsinfektion nicht auszuschließen ist, als vertrauenswürdig eingestuft werden!
Registerkarte "Vordefiniert":
Achte darauf, dass oben bei "Vordefinierte Netzwerksicherheit aktivieren" ein Häkchen gesetzt ist!
Stelle zunächst mit dem "Als Standard"-Button die Standard-Einstellung dieser Funktion ein!
Wenn Du keinen Router mit aktiviertem DHCP-Server betreibst, so kannst Du die grünen Häkchen bei "Dynamic Host Configuration Protocol" in rote Kreuze ändern!
Falls Du unter "Vertraut" Deinen Router mit Häkchen versehen hast, so kannst Du bei "Dynamic Host Configuration Protocol" & bei "Domain Name System" die grünen Häkchen bei "Internet" in rote Kreuze umwandeln.
Sofern Du wissentlich kein VPN betreiben soltest, so entferne die Häkchen bei "Vitual Private Network"!
Wenn Du wissentlich kein Netzwerk betreiben solltest, so kannst Du mE das grüne Häkchen bei "Ping and Tracert in" (bei "Vertraut") ebenfalls in ein rotes Kreuz ändern.

Registerkarte "Anwendungen":
Hier solltest Du genau darauf achten, dass nur die Anwendungen, die Zugriff aufs Internet haben dürfen, ein grünes Häkchen bei "Internet" - "Abgehend" haben.
Im Zweifelsfall erkundige Dich lieber über eine Anwendung, bevor Du ihr den Zugriff erlaubst!
Unter "Ankommend" - egal ob bei "Vetraut oder bei "Internet" - sollte nur in begründeten Ausnahmefällen ein grünes Hächen gesetzt sein. In der Regel ist es nicht erforderlich, ankommende Datenpakete zuzulassen.

Häkchen oder Kreuze, die Du unter "Jede weitere Anwendung" setzt, wirken sich auf jede neue Anwendung aus, die noch nicht in der Liste der Anwedung aufgeführt ist. Diese Option ist jedoch mit Vorsicht zu genießen!

Achte darauf, dass oben bei "Netzwerk-Sicherheitsmodul aktivieren" ein Häkchen gesetzt ist!

Unter "Paketfilter..." findest Du einen erweiterten Paketfilter, der nur für fortgeschrittene Anwender interessant ist.
Du kannst dort für jede einzelne Anwendung - getrennt für eingehende und für ausgehende Pakete - genau bestimmen, welche lokalen Ports und welche Remoteports sie benutzen darf und mit mit welchen IP-Adressen sie kommunizieren darf.
Der Paketfilter dürfte aber letztlich nur für ausgehende Pakete interessant sein, da alle eingehenden Pakete in der Regel eh verworfen werden (sollten).
Bei ausgehenden Paketen ist wiederum der lokale Port uninteressant, so dass das entsprechende Feld bei "Lokal" einfach leer bleiben kann.
Statt einer IP-Adresse kannst Du auch ganze IP-Adressen-Bereiche unter "Remote" eintragen.
Zusätzlich sollte aber unter "Remote" unbedingt der Remoteport (- idR ist es der für HTTP zuständige Port 80 -) eingetragen werden!
Unter "Protokoll" sollte das verwendete Protokoll - idR. das Protokoll "[6] TCP" (manchmal auch UDP) - eingetragen werden! Beachte, dass bei anderen Protokollen als TCP oder UDP - auch, wenn unter "Protokoll" nichts eingetragen wird, keine Kontrolle der verwendeten Ports gewährleistet ist!
Anwendungen, die im erweiterten Paketfilter eingetragen sind, sollten nicht gleichzeitig im Hauptfenster "Anwendungen" eingetragen sein! Die "normalen" Regeln in der Registerkarte "Anwendungen" werden nämlich mE gegenüber den Regeln des erweiterten Paketfilters bevorzugt.



Registerkarte "Angriffe"
Die Funktionen NIPS, HIPS & "Verhaltensblockierungen von Anwendungen blockieren" sind sehr zu empfehlen. Achte also darauf, dass an den betreffenden Stellen Häkchen gesetzt sind! (Nach der Testphase von 30 Tagen ist die Funktion HIPS nicht mehr verfügbar. Ob diese Funktion es Wert ist, auf die kostenpflichtige Version von Kerio umzusteigen, muss jeder für sich entscheiden!)
Unter "Erweitert..." lassen sich diese Funkionen näher konfigurieren!
So lassen sich z.B. bei HIPS & "Verhaltensblockierungen von Anwendungen blockieren" für jede Anwendung Ausnahmen definieren und für die Funktion "Verhaltensblockierungen von Anwendungen blockieren" lässt sich bestimmen, in welchen Situationen (- beim Starten einer Anwendung, beim Starten einer Anwenung durch eine andere oder bei Veränderung einer Anwendung -) die Funktion überhaupt anschlagen soll!

In der Registerkarte "Logs & Warnungen" findest Du Logdateien der einzelnen Komponenten der Firewall, die aber idR uninteressant sein dürften!

Sunbelt Personal Firewall beherbergt in der Hilfe-Funktion ausführliche Informationen! Lies Dich dort mal ein!




X. Hinweise zur Konfiguration von DSL-Routern
Das Konfigurationsmenü eines Routers erreicht man üblicherweise über den Web-Browser. Üblicherweise muss man in das Adressfeld des Web-Bowsers die IP-Adresse des Routers eingeben, um die Benutzeroberfläche des Routers anzusprechen. Näheres erfährst Du über die Gebrauchsanleitung Deines Routers.

Im Konfiguartionsmenü Deines Routers solltest Du darauf achten, dass der DSL-Router auch wirklich als Router - und nicht etwa als DSL-Modem - konfiguriert ist. Dazu müssen die Verbindungsdaten des Internet-Service-Providers im Routerkonfigurationsmenü eingegeben werden.

Ferner sollte in idR bei der Konfiguartion des Routers darauf geachtet werden, dass angeschlossene Netzwerkgeräte keine eigene Internetverbindung aufbauen können - also kein PPPoE-Passthrough aktiviert ist. Durch das Deaktivieren von PPPoE-Pasthrough wird verhindert, dass mehrere Verbindungen zu verschiedenen Providern gleichzeitig aufgebaut werden.

Portfreigaben sollten im Router nur in begründeten Ausnahmefällen eingerichtet werden. IdR sind aber keine Portfreigaben notwendig.

Ferner sollte das Konfigurationsmenü mit einem sicheren Passwort geschützt werden! Im Router sollte auch der für die Passwortabfrage benötigte Standard-Benutzername, falls überhaupt ein solcher Benutzername für die Anmeldung abgefragt wird und dies im Konfigurationsmenü einstellbar ist, in einen sicheren Benutzernamen geändert werden!

Die Firewall des Routers sollte (bis auf wenige Ausnahmen in seltenen Fällen abgesehen) so eingestellt werden, falls es eine solche Option im Menü gibt, dass keine eingehenden Verbindungen zugelassen werden!

Falls im Router eine Fernkonfigurations-Option existiert, so sollte sie unbedingt abgeschaltet werden!

Vergewissere Dich regelmäßig, dass Du die aktuellste Firmware des Routers verwendest!

Deaktiviere Optionen im Routermenü, die über UPnP Programmen eine selbstständige Änderung der Router-Einstellungen ermöglichen! IdR ist jede UPnP-Unterstützung - auch die Unterstützung der Statusinformations-Übertragung - überflüssig.

Es ist außerdem überlegenswert, im Konfigurationsmenü des Routers die einzelnen LAN-Anschlüsse des Routers, soweit diese Einstellung möglich ist, jeweils mit eigenen IP-Adress-Bereichen zu versehen, so dass die an den verschiedenen LAN-Anschlüssen angeschlossenen Rechner sich jeweils in verschiedenen Subnetzen befinden, sich also nicht gegenseitig ansprechen und sich somit auch nicht gegenseitig über Netzwerk-Schädlinge infizieren können. Die PCs sind dann nicht miteinander vernetzt, können aber dennoch gleichzeitig das Internet nutzen.

Weblinks

Kompromittierung unvermeidbar?
Sicherheitsleitfaden
Vorbeugung gegen Backdoortrojaner (und andere Malware)
Sicher im Internet
Sicherheits-Tipps für den PC
Präventive Maßnahmen
Qualifizierter Selbstschutz : 10 Schritte zur Rechnersicherheit
c't-Emailcheck
BSI-Leitfaden für IT-Sicherheit
Leitfaden PC-Sicherheit
Paules 10 Empfehlungen zum sicheren Surfen im Internet
Dunkle Flecken
Hydra der Moderne
Scharlatane und Hochstapler
Hauptprobleme der Antivirus-Industrie ff.
Mit den Augen eines Phishers
Firefox und die Zertifikate

WLAN-Sicherheit
WLAN einrichten & erste Schritte zur Absicherung
Checkliste WLAN
So sichern Sie Ihr WLAN
Höchstmögliche Sicherheit für WLAN-Netze
So schützen Sie Ihr WLAN vor Online-Gangstern
Sicherheitstipps WLAN
So bekommen Sie Ihr WLAN sicher
So vermeiden Sie Sicherheitslücken im Wlan

Online-Banking
Zahl oder Karte
Online-Banking: Zahl oder Karte
Secoder
Chipkartenleser Secoder
Volksbanken führen Signaturkarte ein
Bankix
Sicheres Online-Banking mit Bankix
c't 19/09 nachbestellen

Informationen für Fortgeschrittene:
DFN-CERT-Infos zur ATL-Lücke
Schädlingen auf der Spur (Teil 1-5)
Der Storm-Worm (Informationen als PDF-Datei)
Firewall Ruleset (Informationen auf eigene Gefahr)
Wikipedia zum Thema Informationssicherheit
Sicherheit in Netzen (Informationen auf eigene Gefahr)
DNSChanger: One Infection, Lots Of Problems
Malware installiert böswilligen DHCP-Server im Netz
Bootkits – die Herausforderung des Jahres 2008
Clickjacking Details
Lifelock Protects You from Clickjacking
Infiltrating a Botnet
A Cybercrime Hub