Zentralinstitut für Angewandte
Mathematik
D-52425
Jülich, Tel.(02461) 61-6402
Informationszentrum, Tel. (02461) 61-6400
Technische Kurzinformation
FZJ-ZAM-TKI-0390
J.Meißburger
11.01.2006
|
|
Zentralinstitut für Angewandte
Mathematik
Technische Kurzinformation
FZJ-ZAM-TKI-0390 |
Wer mit einem frisch installierten Windows-System ohne die wichtigsten Sicherheitspatches ins Internet geht - etwa, um sich die Sicherheit-Updates aus dem Netz zu laden - hat eine gute Chance, sich innerhalb weniger Minuten und vermutlich bereits vor Installation der Patches unbemerkt einen Virus oder Trojaner einzufangen. Nur Russisch-Roulette ist spannender ....... ;-)
Deshalb vor Anschluß ans Netzwerk die wichtigsten Updates und Patches einspielen ! Hierzu dient die JuNet Security-CD, die beim ZAM-Dispach (Tel. 5642) kostenlos und tagesaktuell bestellt oder von \\pcsrv\public\JuNetSecCD (für JuNet-Teilnehmer) heruntergeladen werden kann. Eine typische Installation sollte also etwa wie folgt aussehen:
Windows-XP - SP2 installieren (verfügbar auf \\zelcds\), automatische Updates aktivieren
Office-XP - SP3 oder Office 2003 - SP2 (falls Office benutzt wird) installieren
IE-Sammelpatch KB905915 oder neuer installieren
Eventuell weitere Patches von JuNetSecCD installieren. Siehe etwa \JuNetSecCD\win-xp-sp2.de\index.html
Antiviren-Software (nai-virusscan) installieren und durch Ausführen von SETUP.EXE auf Verzeichnis "superdat" auf neuesten Stand bringen bzw. F-Prot für Windows installieren und die aktuellen Virensignaturen ins Installationsverzeichnis kopieren. Automatische Updates aktivieren.
Microsoft AntiSpyware (Beta) installieren (mit automatischem Update)
Gegebenenfalls einen etwas sichereren Browser wie etwa "Firefox" ( http://www.mozilla.com/firefox/ ) installieren
Alle weiteren, besonders aber die für die Sicherheit wichtigen Microsoft-Patches und Informationen zur Sicherheit findet man unter
http://www.microsoft.com/germany/sicherheit/default.mspx
Anschließend System konfigurieren:
Eigene Dateien - auf separate Partition (z.B. auf D:\{Benutzername} ohne Umlaute) auslagern
Systemwiederherstellung - andere Partitionen als die Systempartition C: deaktivieren
Bildschirmschoner aktivieren - (am besten schwarzer Bildschirm) mit Passwortschutz
Automatische Updates - aktivieren
Ordneroptionen - Einfache Dateifreigabe abschalten
Ordneroptionen - Alle Dateien und mit vollständigem Pfad anzeigen
Administrator, Benutzer - Konten durch (gute) Passwörter schützen
Internetverbindungsfirewall (falls kein anderes Firewall installiert) - aktivieren, Ausnahmen (etwa Datei- und Druckerfreigabe) deaktivieren
Internet-Explorer
microsoft.com in die Liste der vertrauenswürdigen Sites eintragen
keine Verbindung automatisch wählen
aktive Inhalte nur nach Eingabeaufforderung
Zeitplan zur Synchronisierung von Offlineobjekten abschalten
Systemwiederherstellung - Wiederherstellungspunkt erstellen
Bitte beachten: Alle
sicherheitsrelevanten Software-Komponenten wie Windows, Office, Antiviren-Software, Firewall und
AntiSpyware müssen mindestens einmal täglich auf Updates überprüft und diese
unverzüglich - zweckmäßigerweise vor Arbeitsbeginn - installiert werden.
1. Einleitung
2. Partitionierung
3. Systemkonfiguration
4. Zusatzsoftware installieren
Es gibt viele gute, wenn nicht zwingende Gründe, sich von Systemen wie Windows3.x, Windows 95/98/ME/NT zu verabschieden. Wie die Erfahrung der letzten Jahre zeigt, führt ein Umstieg auf Windows-XP auch mit älterer Software kaum zu Problemen, bringt aber viele wesentliche Vorteile im Hinblick auf Sicherheit und Komfort. Grundsätzlich sollte Windows-XP (wie auch NT und 2000) mit dem Dateisystem NTFS installiert werden!
Windows-XP, vor allem in der Version mit ServicePack 2 (SP2) bringt von Hause aus viele Verbesserungen mit, was die Sicherheit im Internet und die Gefährdung des Betriebssystems und der Nutzerdaten durch Viren und Hacker angeht. Allerdings sind auch bei XP noch nicht alle Default-Einstellungen optimal. Die folgenden Konfigurationsempfehlungen sollten daher nach einer Neuinstallation von Windows-XP im Sinne einer Prüfliste Punkt für Punkt durchgegangen und, soweit keine besonderen Gründe dies verhindern, angewendet werden. Hierin sind auch Hinweise enthalten, die nicht unbedingt sicherheits-relevant sind, die aber nach Ansicht des Autors die Arbeit erleichtern und Fehler vermeiden helfen. Die Hinweise beziehen sich vor allem auf Rechner im Internet (etwa im JuNet), die nicht in einer Windows-Domäne zentral verwaltet werden, und ihre Anwendung unterliegt in manchen Details dem jeweiligen Geschmack und Arbeitsprofil des Systemadministrators. Vor allem aber sind die Empfehlungen auch für Laptops und solche Systeme wichtig, die sowohl im JuNet als auch in fremden Netzen betrieben werden.
Wichtig ist, daß nach Installation des Betriebssystems zuallererst die
für die Sicherheit wichtigen Service-Packs für Windows und Office
installiert werden, daß das eingebaute Firewall aktiviert ist und daß ein
aktualisierter Virenscanner läuft. Auch die aktive Real-Time-Protection von
Microsoft-AnstiSpyware schützt vor unliebsamen Änderungen am System durch
bösartige Software.
Die Service Packs und alle sicherheitsrelevanten Updates werden für Rechner im JuNet auch unter \\zelcds\public lokal angeboten (Siehe Hinweise unter \\zelcds\public\Windows Update\ ).
Daran denken: Erst die wichtigsten Service Packs und Updates installieren, dann mit dem Rechner ans Netz !
Um beim Restaurieren eines beschädigten Betriebssystems nicht
auch alle seit dem letzten Backup erstellten Anwenderdaten (Dokumente,
Persönliche Ordner, Software-Kits etc.) zu verlieren, sollten diese
Anwenderdaten ebenso wie Backup-Images des Betriebssystems selbst auf einer separaten
Partition, etwa auf dem logischen Laufwerk D: abgelegt werden. Der
Windows-Ordner "Eigene Dateien" kann dann wie unten gezeigt auf das neue
Verzeichnis auf der D-Partition umgelegt werden. Die Daten dieser
Benutzerpartition sollten regelmäßig durch ein inkrementelles Backup
gesichert werden (siehe beispielsweise 
ZAM-TKI-0261). Optimal ist eine Konfiguration, bei der die D-Partition auf
einer zweiten physikalischen Festplatte angelegt wird, so daß bei Verlust
der C-Partition durch Soft- oder Hardwarefehler das Betriebssystem in kürzester
Zeit von dort restauriert werden kann (siehe
ZAM-TKI-0389). Auch ein modernes, externes USB-Laufwerk ist für die Daten-
und Systemsicherung gut geeignet.
Will man außer von Windows auch von einem Linux-System aus schreibend auf Daten zugreifen, so empfiehlt sich die Einrichtung einer weiteren Partition E: als FAT32-Partition (eventuell auch auf einem USB-Stick), da Linux bisher auf NTFS-Partitionen nur lesend zugreifen kann. Hier können auch noch zusätzliche Sicherungskopien besonders wichtiger Daten der Benutzerpartition D: etwa als verschlüsseltes Archiv abgelegt werden. Mit einer 60 GB Festplatte für das System und einer getrennten > 60 GB Festplatte für die Daten würde sich dann etwa folgender Partitionslayout anbieten:
Datenträger 1, Laufwerk C: 15 GB NTFS Betriebssystem Windows-XP mit Office und vielen Anwendungen
Datenträger 1, Laufwerk E: 5 GB Fat32 Temporärer Bereich für Datenaustausch zwischen Windows und Linux
Datenträger 1, Linux Swap 2 GB Linux Swap-Partition
Datenträger 1, Linux Root 38 GB Linux Betriebssystem und Daten
Datenträger 2, Laufwerk D: > 60 GB Benutzerdaten und Backup-Images von C:
Maus auf dem Desktop - RM (= rechte Maustaste) -
Eigenschaften
(oder: Start - Systemsteuerung - Anzeige)
Desktop - Desktop anpassen
Desktopsymbole: Eigene Dateien, Arbeitsplatz,
Netzwerkumgebung, Internet Explorer auswählen
Desktopbereinigungs-Assistent abwählen
Bildschirmschoner:
Schwarzer Bildschirm, Wartezeit 5 Min., Kennworteingabe bei
Reaktivierung
Achtung: Der Bildschirmschoner "Diashow eigener Bilder" zeigt in zufälliger
Reihenfolge alle (!) Bilder im Ordner
"Eigene Bilder" und dessen Unterordner (Datenschutz
?!).
Arbeitsplatzsymbol - RM - Eigenschaften
(oder: Start - Systemsteuerung - System)
Allgemein
Überprüfen, ob Service Pack 2 schon installiert ist, sonst
Service Pack 2 (\\zelcds\ oder
JuNetSecCD) nachinstallieren !
Computername
Computername und Domäne bzw. Arbeitsgruppe überprüfen oder
eintragen. Am besten als Computernamen den JuNet-Hostnamen eintragen.
Hardware - Geräte-Manager
Überprüfen, ob alle Geräte ordnungsgemäß installiert sind
(keine Fragezeichen), ggf.
Treiber nachinstallieren
Erweitert
Systemleistung - Einstellungen - Visuelle Effekte: Für
optimale Leistung anpassen.
Anschließend Benutzerdefiniert:
Allgemeine Aufgaben in Ordnern
verwenden
Durchsichtigen Hintergrund für
Symbolunterschriften
Optimierten Bildlauf für Listenfelder
verwenden
Visuelle Stile für Fenster und
Schaltflächen verwenden
Fehlerberichterstattung (an Microsoft): Deaktivieren (nur falls
wirklich gewünscht aktivieren für
Windows-Betriebssysteme und "Alle Programme in dieser Liste" von Microsoft)
Systemwiederherstellung
Laufwerk D: (Benutzerdaten) - Einstellungen -
Systemwiederherstellung auf diesem Laufwerk deaktivieren (Wichtig !)
Automatische Updates
Den Computer auf dem neuesten Stand halten - aktivieren
Updates Automatisch (wie empfohlen) oder
mindestens automatisch downloaden, aber Installationszeitpunkt manuell
festlegen und baldmöglichst installieren
Remote
Remoteunterstützung abschalten
Remotedesktop nur bei Bedarf einschalten - Remotebenutzer auswählen und nur
eigenes Benutzerkonto eintragen bzw. eingetragen lassen.
Desktopsymbol "Eigene Dateien" - RM - Eigenschaften
Ziel
Verschieben - Neuen Pfad für Benutzerdaten, beispielsweise
D:\{Benutzername}
(ohne Umlaute),
auswählen
Alle Dateien in den neuen Pfad kopieren
Anmerkung: Windows selbst hat zwar keine Probleme mit Umlauten, aber manche
Anwendungen aus der DOS- oder Unix-Welt können unter Windows wegen der
unterschiedlichen internen Zeichendarstellung möglicherweise Schwierigkeiten
machen!
Arbeitsplatz öffnen - Extras - Ordneroptionen
(oder: Start - Systemsteuerung - Ordneroptionen)
Allgemein
Aufgaben - Allgemeine Aufgaben in Ordnern anzeigen
Ordner durchsuchen - Jeden Ordner im selben Fenster öffnen
Markieren von Elementen - Öffnen durch Doppelklick
Ansicht - Wiederherstellen: Danach
Automatisch nach Netzwerkordnern und Druckern suchen -
abschalten
Einfache Dateifreigabe verwenden (empfohlen) -
abschalten !!!
Erweiterungen bei bekannten Dateitypen ausblenden -
abschalten
Geschützte Systemdateien ausblenden (empfohlen) - abschalten
Inhalte von Systemordnern anzeigen - aktivieren
Systemsteuerung unter Arbeitsplatz einblenden - aktivieren
Alle Dateien und Ordner anzeigen - aktivieren
Vollständigen Pfad in der Titelleiste anzeigen - aktivieren
Vorherige Ordnerfenster bei der Anmeldung wiederherstellen -
aktivieren
Zum Schluss Für alle übernehmen
Offlinedateien nicht aktivieren !
Start - Systemsteuerung - Benutzerkonten
Art der Benutzeranmeldung ändern:
Willkommenseite verwenden
Schnelle Benutzerumschaltung verwenden deaktivieren
Konto ändern oder Neues Konto erstellen
Für alle Benutzerkonten ein (gutes) Passwort (>14 Zeichen mit
Sonderzeichen und Leerzeichen. Am besten ein längerer Satz mit bis zu 127 Zeichen)
Bild für jeden Benutzer auswählen
Kontotyp für alle Benutzer außer dem Administrator (Erstbenutzer) auf
"Eingeschränkt"
Passwort für Benutzer "Administrator", falls bei
der Erstinstallation nicht gesetzt, unbedingt nachträglich setzen.
Der zuerst eingerichtete Benutzer hat automatisch Administratorrechte,
das Konto "Administrator" wird im Anmeldedialog nicht mehr angezeigt.
Deshalb:
1. Methode 1: Start - Systemsteuerung - Verwaltung - Computerverwaltung - Lokale
Benutzer und Gruppen
Benutzer - Administrator - RM - Kennwort festlegen -
Fortsetzen - Kennwort eingeben
2. Methode 2: System im abgesicherten Modus starten (F8-Taste beim
Booten im BIOS-Mode drücken)
Das Konto des Systemadministrators wird hier mit demjenigen
Benutzernamen angezeigt, der bei der Ersteinrichtung des Systems vergeben wurde.
Mit Start - Systemsteuerung - Benutzerkonten diesem Benutzer
(in Wirklichkeit Administrator) ein Passwort einrichten
Gastkonto deaktivieren
Achtung: Die Deaktivierung verhindert nicht den lesenden Zugriff auf
einfache Freigaben über das Gastkonto!
Netzwerkumgebung - RM - Eigenschaften
(oder: Start - Systemsteuerung -
Netzwerkverbindungen)
LAN-Verbindung - RM - Eigenschaften - Erweitert
Diesen Computer und das Netzwerk schützen..... -
aktivieren
Bei Bedarf (temporär) mit Einstellungen - RemoteDesktop -
aktivieren den Fernzugriff zulassen
Beim Einrichten einer neuen Verbindung über die DFÜ (Modem/ISDN) stets die Option "Internetverbindungsfirewall für diese Verbindung aktivieren" auswählen (aktivieren). Mit SP2 erfolgt diese Einstellung für alle Netzwerkverbindungen per Default automatisch.
Internet-Explorer - RM - Eigenschaften
(oder: Start - Systemsteuerung -
Internetoptionen)
Allgemein:
Adresse: Eigene Homepage (lokal) oder about:blank eintragen
Sicherheit - Internet
Standardstufe (Schieberegler "Mittel") auswählen
Übernehmen
Stufe anpassen, folgende Einstellungen ändern:
ActiveX-Steuerelemente ausführen, die
für Scripting sicher sind - Eingabeaufforderung
ActiveX-Steuerelemente und Plugins
ausführen - Eingabeaufforderung (z.B. für PDF-Reader)
Binär- und Skriptverhalten -
Deaktivieren
Download von signierten
ActiveX-Steuerelementen - Eingabeaufforderung
Ausführen von Komponenten, die mit
Authenticode signiert sind - Eingabeaufforderung
Ausführen von Komponenten, die nicht
mit Authenticode signiert sind - Eingabeaufforderung
Active Scripting -
Eingabeaufforderung
Einfügeoperationen über ein Script
zulassen - Eingabeaufforderung
Scripting von Java-Applets -
Eingebeaufforderung
Dateien basierend auf dem Inhalt und
nicht der Dateierweiterung öffnen - Deaktivieren
Dauerhaftigkeit der Benutzerdaten -
Deaktivieren
Gemischte Inhalte anzeigen -
Eingabeaufforderung
META REFRESH zulassen - Deaktivieren
Popupblocker verwenden
Subframes zwischen verschiedenen
Domänen bewegen - Eingabeaufforderung
Unverschlüsselte Formulardaten
übermittlen - Eingabeaufforderung
Verwendung eingeschränkter Protokolle
mit aktiven Inhalten für Webseiten zulassen - Eingabeaufforderung
Zugriffsrechte für Softwarehandel -
Hohe Sicherheit
OK
Sollen die Sicherheitseinstellungen für diese Zone wirklich geändert werden
? - JA
OK
Dauerhaftigkeit der Benutzerdaten (d.h. Abspeichern eingetippter
Daten)
nur aktivieren, wenn Sie alleiniger Benutzer des Computers sind (Privacy !)
Inhalte - AutoVervollständigen
Bei hohem Datenschutz-Bedarf (kein Einzelbenutzer) alle Felder abwählen
Verbindungen
Keine Verbindung wählen
Erweitert
Verwenden von Autovervollständigen gegebenenfalls deaktivieren
Zeitplan zur Synchronisierung von Offlineobjekten aktivieren - abschalten
(verhindert lästige und unerwartete Werbe-Popups durch Offline-Webseiten)
Hinweis: Grundsätzlich solle im Internet mit diesen sicheren Einstellungen "gesurft" werden. Klappt mal die Anzeige einer Webseite überhaupt nicht, so kann man diese bei entsprechendem Vertrauen in die Zone "Lokales Intranet" eintragen:
Internet Explorer - Extras - Internetoptionen - Sicherheit - Lokales Intranet - Sites - Erweitert - Diese Website zur Zone hinzufügen
Gewünschte Internet-Domäne ( auch mit wildcard, etwa *.web.de ) eintragen - OK
Start - Systemsteuerung - Verwaltung - Dienste
Hinweis: Starttyp "manuell" erlaubt im Gegensatz zu "deaktiviert" einer Anwendung immer noch, den Dienst falls nötig zu starten. Bereits gestartete Dienste müssen nach Umstellung des Starttyps beendet oder der Rechner muss neu gestartet werden. Die Angabe des Starttyps "(deaktiviert)" bedeutet, daß bei hohem Sicherheitsbedarf auf diesen Dienst je nach Arbeitsumgebung meist verzichtet und er deshalb völlig deaktiviert werden kann (ausprobieren!). Die folgende Liste enthält auch einige typische Dienste von Fremdanbietern wie etwa PowerQuest (Backup-Software) oder Symantec (Norton Personal Firewall).
Vor Änderungen an der Einstellung der Dienste sollte man immer einen Wiederherstellungspunkt erstellen. Zum einfachen und sicheren Testen verschiedener Konfigurationen (nur Windows 2000 und XP) kann auch das Skript "ServiceView" (ZAM-TKI-0391) benutzt werden. Es enthält u.a. ein Template für eine sichere Konfiguration mit Netzanschluss.
.NET Runtime - manuell
Ablagemappe - manuell (deaktiviert)
Anmeldedienst - manuell (deaktiviert, falls nicht Domänen-Client)
Anwendungsverwaltung - manuell
Arbeitsstationsdienst - gestartet - automatisch
ASP.NET State Service - manuell
Automatische Updates - gestartet - automatisch
AVSync Manager - gestartet - automatisch (falls NAI Antivirus genutzt wird)
Cisco Systems, Inc. VPN Service - gestartet - automatisch (nur wenn Cisco-VPN benutzt wird)
COM+ Ereignissystem - manuell
COM+ Systemanwendung - manuell
Computerbrowser - manuell (deaktiviert, da nicht wirklich benötigt. In Arbeitsgruppe ggf. automatisch)
DCOM-Server-Prozessstart - gestartet - automatisch
Designs - gestartet - automatisch
DHCP-Client - gestartet - automatisch (disabled, falls IP statisch konfiguriert ist)
Dienst für Seriennummern der tragbaren Medien - manuell
Distributed Transaction Coordinator - manuell
DNS-Client - gestartet - automatisch (manuell, falls nicht permanent im Netz)
Druckwarteschlange - gestartet - automatisch
Einfache TCP/IP-Dienste - deaktiviert (nur falls für Testzwecke installiert)
Eingabegerätezugang - disabled (nur für spezielle Eingabegeräte benötigt)
Ereignisprotokoll - gestartet - automatisch
Fax - manuell (deaktiviert, falls kein Faxmodem benutzt wird. Automatisch für Faxempfang)
Fehlerberichterstattungsdienst - automatisch (deaktiviert, falls keine Berichte an MS geschickt werden)
F-Prot Antivirus Update Monitor - gestaret - automatisch (falls F-Prot-Antivirenscanner benutzt wird)
FTP-Publishing - deaktiviert (nur falls installiert. Sollte möglichst nicht benutzt werden!)
Gatewaydienst auf Anwendungsebene - manuell (evtl. in Verbindung mit Firewalls erforderlich)
GEARSecurity - manuell (automatisch, falls PowerQuest Drive Image Probleme verursacht)
Geschützter Speicher - gestartet - automatisch (Schutz für Schlüsselverwaltung !)
HID Input Service - deaktiviert (nur für spezielle Eingabegeräte erforderlich)
Hilfe und Support - manuell
HTTP-SSL - manuell (falls IIS mit SSL benutzt wird)
IIS Admin - gestartet - automatisch (deaktiviert, falls IIS-Dienste wie etwa der Webserver nicht angeboten werden)
IMAPI-CD-Brenn-COM-Dienste - manuell (nur für das Microsoft CD-Brennsystem benötigt)
Indexdienst - manuell (deaktiviert, wer keine besonders schnelle Dateisuche benötigt)
InstallDriver Table Manager - manuell
Intelligenter Hintergrundübertragungsdienst - manuell
iPod Service - deaktiviert (fall kein iPod benutzt wird)
Internetverbindungsfirewall/Gemeinsame Nutzung der Internetverbindung - manuell
IPSEC-Dienste - manuell (deaktiviert bei Verwendung von Cisco-VPN)
ISSVC - gestartet - automatisch (falls Norton Personal Firewall benutzt wird)
Kompatibilität für schnelle Benutzerumschaltung - manuell
IPv6-Internetverbindungsfirewall - manuell
Kompatibilität für schnelle Benutzerumschaltung - manuell (deaktiviert, falls nicht benötigt)
Konfigurationsfreie drahtlose Verbindung - deaktiviert (automatisch nur im Funk-LAN)
Kryptografiedienste - gestartet - automatisch
Leistungsdatenprotokolle und Warnungen - manuell
Machine Debug Manager - manuell (deaktiviert, nur für Visual Studio Debugging)
McAfee Framework-Dienst - gestartet - automatisch (falls Viruscan 7.x installiert)
McShield - gestartet - automatisch (für NAI-Virenschutz)
MS Software Shadow Copy Provider - manuell (deaktiviert, nur für Diskvolume-Shadowing erforderlich)
Nachrichtendienst - deaktiviert (automatisch, falls in der Arbeitsgruppe/Domäne benötigt)
NetMeeting Remotedesktop-Freigabe - manuell (besser deaktiviert, falls nicht benutzt)
Network Associates McShield - gestartet - automatisch (falls Viruscan 7.x installiert)
Network Associates Task Manager - gestartet - automatisch (falls Viruscan 7.x installiert)
Netzwerk-DDE-Dienst - deaktiviert
Netzwerk-DDE-Serverdienst - deaktiviert
Netzwerkverbindungen - manuell
Netzwerkversorgungsdienst - deaktiviert (außer in einer Windows-Domäne)
NLA (Network Location Awareness) - manuell
Norton Personal Firewall Account Manager - manuell (nur falls Firewall installiert und aktiv)
Norton Personal Firewall Proxy Service - gestartet - automatisch (nur falls Firewall installiert und aktiv)
Norton Person Firewall Service - gestartet - automatisch (nur falls Firewall installiert und aktiv)
NT-LM-sicherheitsdienst - manuell
Office Source Engine - manuell
Plug&Play - gestartet - automatisch (deaktiviert, falls Hardwaretreiber nur manuell konfiguriert werden)
QoS-RSVP - manuell
RAS-Verbindungsverwaltung - manuell
Remoteprozeduraufruf (RPC) - gestartet - automatisch
Remote-Registrierung - deaktiviert (automatisch in Domäne)
Routing und RAS - deaktiviert
RPC-Locator - manuell
Sekundäre Anmeldung - manuell (deaktiviert, falls "runas"/Schnelle Benutzerumschaltung nicht benötigt werden)
Seriennummer der tragbaren Medien - deaktiviert
Server - gestartet - automatisch (deaktiviert, wenn keinerlei Netzwerk-Freigaben angeboten werden sollen)
Shellhardwareerkennung - gestartet - automatisch (deaktiviert, falls Plug&Play deaktiviert)
Sicherheitskontenverwaltung - gestartet - automatisch
Sitzungs-Manager für Remotedesktophilfe - deaktiviert
Smartcard - manuell (deaktiviert, falls keine Smartcards gelesen werden müssen)
Smartcard-Hilfsprogramm - manuell (deaktiviert, falls keine Smartcards gelesen werden müssen)
SSDP-Suchdienst - deaktiviert
Samantec ..... - alle gestartet - automatisch (für Norton Personal Firewall)
Systemereignisbenachrichtigung - gestartet - automatisch
Systemwiederherstellungsdienst - gestartet - automatisch
Taskplaner - manuell (automatisch, falls Aktionen nach Zeitplan ausgeführt werden sollen)
TCP/IP-Druckserver - manuell (deaktiviert, falls keine Druckerdienste angeboten werden sollen)
TCP/IP-NetBIOS-Hilfsprogramm - gestartet - automatisch (deaktiviert, falls keine Freigaben über IP benutzt werden)
Telefonie - manuell (wird auch für ISDN/Modemverbindungen und Video-Konferenz benötigt)
Telnet - deaktiviert (Statt dessen "ssh" benutzen !)
Terminaldienste - manuell
Treibererweiterungen für Windows-Verwaltungsinstrumentation - manuell
Überwachung verteilter Verknüpfungen (Client) - gestartet - automatisch
Universeller Plug&Play Gerätehost - deaktiviert
Unterbrechungsfreie Stromversorgung - manuell (deaktiviert, falls USV nicht vorhanden)
Upload-Manager - deaktiviert
V2i Protector - gestartet - automatisch (falls PowerQuest-Software installiert)
Verwaltung für automatische RAS-Verbindung - manuell (deaktiviert, falls keine automatische Verbindung erwünscht)
Verwaltung logischer Datenträger - gestartet - automatisch
Verwaltungsdienst für die Verwaltung logischer Datenträger - manuell (Für Festplattenrekonfiguration benötigt)
Volumeschattenkopie - manuell (deaktiviert, nur für Disk-Shadowing benötigt)
Warndienst - deaktiviert
Webclient - deaktiviert (nur für Web-Coauthoring benötigt)
Wechselmedien - manuell
Windows Audio - gestartet - automatisch (deaktiviert, falls keine Audiogeräte installiert)
Windows Installer - manuell
Windows Media Connect-Dienst - manuell
Windows User Mode Driver Framework - gestartet - automatisch (Treiber-Unterstützung im User-Mode)
Windows Bilderfassung (WIA) - manuell (deaktiviert, falls keine Scanner/Kameras angeschlossen werden)
Windows-Firewall/Gemeinsame Nutzung der Internetvberbindung - gestartet - automatisch
Windows-Verwaltungsinstrumentation - gestartet automatisch
Windows-Zeitgeber - gestartet - automatisch (als Internet-Zeitserver lmöglichst okalen Zeitserver eintragen!)
WMI-Leistungsadapter - manuell
WWW-Publishing - gestartet - automatisch (deaktiviert, falls kein IIS-Webserver betrieben wird)
Uhrzeit in Taskleiste - RM - Datum/Uhrzeit
ändern
(oder: Start - Systemsteuerung - Datum und Uhrzeit)
Internetzeit - automatisch mit einem Internetzeitserver synchronisieren - Server: 134.94.80.84 (im JuNet) oder ntp.web.de
Start - Systemsteuerung - Verwaltung - Lokale Sicherheitsrichtlinie
Kontorichtlinien - Kennwortrichtlinien
Kennwort muss Komplexitätsvoraussetzungen entsprechen - RM - Eigenschaften -
aktiviert
Maximales Kennwortalter - RM - Eigenschaften - 365 (0 = Kennwort läuft nie
ab)
MinimaleKennwortlänge - RM - Eigenschaften - 8 (absolutes, nicht sehr sicheres Minimum !)
Kontorichtlinien - Kontosperrungsrichtlinien
Kontensperrungsschwelle - 10
Kontensperrdauer - 15 Minuten
Zurücksetzungsdauer des Kontosperrungszählers - 15 Minuten
Lokale Richtlinien - Sicherheitsoptionen
Netzwerkzugriff: Die Verwendung von 'Jeder'-Berechtigungen für anonyme Benutzer
ermöglichen - Deaktiviert
Netzwerkzugriff: Anonyme Aufzählung von SAM-Konten und Freigaben nicht erlauben
- Aktiviert
Anonyme Aufzählung von SAM-Konten nicht erlauben - Aktiviert
Start - Alle Programme - Microsoft Outlook
Ansicht
Vorschaufenster abwählen
Autovorschau abwählen
Extras - Optionen - Mail-Setup
Vor dem Wechsel der DFÜ-Verbindung warnen
E-Mail-Konten - Vorhandenes E-Mail-Konto anzeigen oder
bearbeiten (bzw. FZJ-IMAP hinzufügen)
Ändern - Weitere Einstellungen
E-Mail-Konten -
Posteingangsserver (IMAP):
imapsrv.fz-juelich.de
Postausgangsserver (SMTP):
mailrelay.fz-juelich.de
Benutzername: Offizielle
FZJ-Mailadresse
Kennwort: Speichern (nur für
Einzelbenutzersysteme, sonst nicht speichern)
Weitere Einstellungen - Erweitert - Dieser Server verwendet
eine sichere Verbindung (SSL) aktivieren
E-Mail-Format - Verfassen im Nachrichtenformat: Nur-Text
Sicherheit - Zoneneinstellung "Eingeschränkte Sites"
Extras - Makro - Sicherheit - Mittel auswählen
Start - Alle Programme - Microsoft Word, Excel
Extras - Makro - Sicherheit - Mittel auswählen, so daß man vor der Ausführung von Makros gewarnt wird
Systemsicherheit mit MBSA überprüfen
Zum Schluss empfiehlt sich noch eine Überprüfung des Systems mit
Hilfe des Microsoft Baseline Security Analyzers MBSA (Siehe
http://www.fz-juelich.de/zam/sicherheit/docs/win/notiz-mbsa/notiz-msba.htm
).
Dieses Sicherheitswerkzeug ist zu finden unter:
http://www.microsoft.com/technet/security/tools/mbsahome.mspx
Gegen Sicherheitsprobleme mit JPG-Bildern sollte noch GDISCAN.EXE ( http://images.dshield.org/images/gdiscan.exe )
ausgeführt, verwundbare DLL's anderer Softwareanbieter umbenannt und durch sichere DLL's z.B. von Microsoft ersetzt werden. Anschließend testen, ob die zugehörige Applikation (meist ein Bildbearbeitungsprogramm) noch mit JPG-Bildern funktioniert (Umbenannte Original-DLL nicht löschen!).
Start - Alle Programme - Zubehör - Systemprogramme - Datenträgerbereinigung
Laufwerk C: auswählen - OK
Datenträger bereinigen - Alle Dateien (evtl. bis aus "Alte Dateien komprimieren")
auswählen - OK - JA
Arbeitsplatz öffnen - Systemplatte C: - RM - Eigenschaften
Extras - Jetzt prüfen -
Dateisystemfehler automatisch korrigieren - aktivieren
Fehlerhafte Sektoren suchen/wiederherstellen - aktivieren
Starten - JA
Die eigentliche Überprüfung wird im Konsolmode nach einem Neustart des Rechners durchgeführt
Start - Alle Programme - Zubehör - Systemprogramme -
Systemwiederherstellung
(oder: Start - Hilfe und Support - Computeränderungen mit der
Systemwiederherstellung rückgängig machen)
Einen Wiederherstellungspunkt erstellen
Aussagekräftige Beschreibung (etwa "Basisinstallation konfiguriert, incl.
Office") eingeben - Erstellen
Nachdem das Basissystem installiert, konfiguriert und als
Wiederherstellungspunkt gesichert ist, sollte man als nächstes die für
Rechner im JuNet empfohlenen Backup-Software DriveImage von Symantec (siehe
ZAM-TKI-0389 ) oder Acronis "True Image" installieren und mit ihrer Hilfe eine erste Sicherungskopie
des Betriebssystems (etwa auf D:\Backup) erstellen.
Anschließend muss die für Rechner im JuNet verbindlich
vorgeschriebene Antivirensoftware (siehe
IT-Sicherheitsrichtlinie
(IR-119-1) und die
IT-Sicherheitsregeln für
den Grundschutz unter
http://www.fz-juelich.de/zam/sicherheit/grundlagen ) installiert,
konfiguriert und aktualisiert werden. Für JuNet wird hierfür die Software von
NAI und F-Prot angeboten und unterstützt (siehe
ZAM-TKI-0355)
Zum Schutz vor Hacker-Angriffen von außen, vor allem aber zum
verbesserten Schutz vor Trojanern und Würmern empfiehlt sich unbedingt die
Installation eines zusätzlichen persönlichen Firewalls wie etwa des Norton
Personal Firewall (siehe
http://www.fz-juelich.de/zam/sicherheit/docs/win/2003/pc-pfw2003.pdf
), der weitere Sicherheitsfunktionen wie die Kontrolle ausgehender Verbindungen,
Intrusion Detection und Schutz vor versehentlicher Weitergabe persönlicher Daten enthält. In diesem Fall
sollte das eingebaute XP-Firewall deaktiviert werden.
Zum Schluss noch die dringende Empfehlung, trotz automatischer Updates für Betriebssystem und Sicherheitssoftware in regelmäßigen Abständen die Webseiten
zu besuchen und sich über die aktuelle Sicherheitslage sowie zusätzliche Updates und Downloads zu informieren.
 |
Forschungszentrum
Jülich D-52425 Jülich |
Zentralinstitut
für Angewandte Mathematik (ZAM) |
Information |
11.01.2006
ZAM Dokumentation |