Leitfaden sicheres Windows

Ein hohes Maß an Sicherheit lässt sich mit konfigurativen Maßnahmen erreichen, die jedoch häufig sehr zeitaufwändig umzusetzen sind und nicht selten dazu führen, dass auf bestimmte Systemdienste verzichtet werden muss oder Anwendungs- und Serverprogramme nicht mehr funktionieren.

Der Anwender und der Systemadministrator müssen im Einzelfall entscheiden, welches Maß an Sicherheit für ein System erforderlich ist und ob dieses zu erreichen ist, ohne auf wichtige Funktionen zu verzichten. Der Einzelfall stellt also immer einen Kompromiss aus miteinander konkurrierenden Anforderungen dar.

Im Folgenden geben wir Ihnen einen Leitfaden, welche Maßnahmen Sie prinzipiell ergreifen oder zumindest ernsthaft in Erwägung ziehen sollten. Um ein unter Windows betriebenes Einzelplatzsystem, einen "typischen" PC ausreichend sicher zu betreiben, sollten Sie die folgenden Hinweise beherzigen:

  • Arbeiten Sie im Normalfall nicht mit den Rechten eines Administrators. Aus Bequemlichkeitsgründen arbeiten viele Anwender ständig mit administrativen Rechten und werden von Windows bei der Einrichtung von Konten dabei auch noch kräftig unterstützt. Legen Sie stattdessen reine Benutzerkonten an, denen Sie höchstens Hauptbenutzerrechte zuweisen, falls Ihre Applikationen das erfordern. Melden Sie sich nur als Administrator an, wenn Sie auch wirklich administrative Arbeiten vornehmen wollen.
  • Deaktivieren Sie Benutzerkonten, die Sie nicht benötigen oder löschen Sie sie ganz.
  • Verwenden Sie keine trivialen Passworte. Benutzen Sie Passworte mit mindestens acht Zeichen. Verwenden Sie Groß- und Kleinschreibung sowie Ziffern und (von Ihrem System erlaubte) Sonderzeichen wie §$&-!? etc. Am besten orientieren Sie sich an den Passwortkriterien für den kiz-Account.
  • Halten Sie Ihr System stets aktuell!
    Nutzen Sie dafür das von Microsoft vorgesehene Windows-Update, das Teil des Funktionsumfangs jeder modernen Windows-Version ist. In diesem Fall wird dadurch eine Verbindung zum Update-Server von Microsoft hergestellt, und es werden automatisch die erforderlichen Updates in der richtigen Reihenfolge und Sprachversion heruntergeladen.
    Sie können den Update-Prozess vollständig automatisieren, so dass sich Ihr Windows selbst aktuell hält, oder Sie stellen es so ein, dass Sie über das Vorliegen von Updates zunächst nur informiert werden. Sie können dann selbst entscheiden, welche Patches Sie wann installieren wollen.
  • Befreien Sie Ihre Windows-Installation von Hintergrunddiensten und Anwendungen, die Sie nicht benötigen oder installieren Sie sie gar nicht erst. Brauchen Sie beispielsweise wirklich einen Webserver auf Ihrem PC, oder die Dienste Telnet, RAS oder Fax? Jeder Hintergrunddienst stellt ein potenzielles Einfallstor für Angreifer dar.
  • Nutzen Sie die Möglichkeit, Benutzerrechte auf Ihrem Rechner zu vergeben. Dazu sollten Sie auf Ihrer Festplatte das Filesystem NTFS verwenden. Sollten Sie Ihr System ursprünglich nur mit FAT oder FAT32 eingerichtet haben, so können Sie diese Dateisysteme ohne Neuformatierung in das viel mehr Sicherheit bietende NTFS konvertieren. Geben Sie dazu an der Eingabeaufforderung den Befehl "convert /?" ein. Sie erhalten dann eine Auflistung der Befehlsoptionen. Um convert anwenden zu können, müssen Sie administrative Rechte besitzen. Das Konvertieren verschafft Ihnen aber zunächst nur die Möglichkeit, Rechte an Dateiressourcen zu vergeben. Einstellen müssen Sie diese dann schon selber! Nur, falls Sie Ihr Windows bereits mit NTFS einstalliert haben, wurden die wichtigsten Systemdateien und -verzeichnisse bereits mit eingeschränkten Zugriffsrechten versehen.
  • Verwenden Sie einen Virenscanner wie den vom kiz zur Verfügung gestellten. Der Virenscanner muss ständig als Hintergrunddienst laufen und so konfiguriert sein, dass er automatisch alle Dateien scannt, auf die Sie zugreifen oder die über das Netzwerkinterface herein- oder herausgehen. Auch das Scannen von Wechselmedien wie USB-Sticks oder CD-ROM sollten Sie aktivieren. Am wichtigsten ist es jedoch, dass Sie den Virenscanner ständig aktuell halten. Ein nicht aktueller Virenscanner ist fast gleichzusetzen mit gar keinem Scanner. Die Virenscanner bieten eine Funktion zum automatischen Update. Stellen Sie diese so ein, dass der Rechner täglich nach neuen Updates Ausschau hält (z.B. nachts, falls Ihr PC immer eingeschaltet ist).

Kommunikations- und Informationszentrum (kiz)

  • Helpdesk

    Kontaktieren Sie uns bei Fragen und Problemen zu den Services des kiz:
    Mo - Fr  8 - 18 Uhr
    +49 (0)731/50-30000
    helpdesk(at)uni-ulm.de
    Kundenportal
    [mehr]

  • Service-Points

    An den Service-Points können Sie uns persönlich aufsuchen.
    [mehr]

  • Identitätsmanagement

    Self Service Funktionen des Identitätsmanagementsystems (IDM):

    • Berechtigungen verwalten
    • Dienste abonnieren
    • Passwörter ändern
    • ...

    IDM Self Services
    [mehr]

  • Literatursuche

  • kiz von A bis Z

    Etwa 400 Stichwörter führen Sie direkt zu einer einschlägigen Web-Seite des kiz.
    A-Z-Liste
    Wenn Sie ein Stichwort vermissen, geben Sie uns Nachricht: Redaktion