[Mini-Howto] Wie halte ich meinen Windows-PC schädlingsfrei?

[Nimrod]

Hallo liebe Virenfreunde!

Da oft User Probleme mit Schädlingen auf ihrem Windows-PC haben, möchte ich hier ein paar einfach Regeln geben um seine Kiste mit minimalen Aufwand maximal zu schützen.

(Ich geh hier einfach mal davon aus, dass ihr Windows XP benutzt. Die Punkte gelten im allgemeinen allerdings auch für die restlichen Windows Versionen.)

Die Pflicht:

Windows Updates

Der wichtigste Punkt überhaupt ist, immer die neuesten Sicherheits-Updates zu installieren.

Dies könnt ihr manuell über Start->Programme->Windows-Update (steht in der Regel ganz oben im Menü) tun oder einfach die "automatischen Updates" aktivieren. Eine bebilderte "Schritt für Schritt"-Anleitung findet ihr z.B. hier: http://www.rz.uni-osnabrueck.de/Dienste/Sicherheit/WindowsUpdate/

Virenscanner

Eine Virenscanner ist Pflicht. Wer keinen benutzt, der sollte auch kein Windows benutzen.

Immer wieder kommt die Diskussion auf, welcher der Scanner denn nun der beste sei. Meiner Erfahrung nach geben und nehmen sich die etablierten Systeme nichts. Manchmal ist der eine Scanner eine Nasenspitze voraus, manchmal der andere.

Weiterhin ist ein Scanner ein prinzipiell recht simples Programm und Anbieter, die allumfassende Sicherheit noch dazu in reißerischer Verpackung versprechen, lügen einfach.

Deshalb kann ich hier den Scanner von antivir empfehlen. Dieser ist für Privatnutzer kostenlos und tritt in einem schlichten, funktionellen Gewand auf: http://www.free-av.de/antivirus/allinoned.html

Und nicht vergessen: Ohne regelmäßige Updates ist der Scanner völlig nutzlos!

Firewall mit SP2

Wenn ihr das "Windows Update" korrekt ausgeführt habt, sollte euer Windows auf "Service Pack 2" aktualisiert worden sein. Hier wird eine sog. Firewall mitgeliefert, die für den Wald und Wiesen Windows Nutzer völlig ausreichend ist. Die Firewall ist standardmäßig aktiviert und ihr solltet nicht viel davon merken.

Eine Firewall macht bildlich gesprochen einfach alle Türen zu über die ein Programm von außen auf euren Computer Zugriff haben kann. Für einen Webserver sind solche offenen Türen wichtig, sonst könnte man z.B. nicht mit einem Webbrowser Seiten auf dem Server öffnen. Bei Heimandwendern ist das in der Regel nicht erforderlich. Deshalb her mit der Firewall!

Die Kür:

Eine zusätzliche Firewall

Wenn euch die in SP2 integrierte Firewall nicht ausreicht und ihr mehr Kontrolle haben wollt, installiert euch eine zusätzliche Firewall. Mit Zonealarm hab ich dabei immer recht gute Erfahrungen gemacht: http://download.zonelabs.com/bin/free/4901_de/zlsSetup_60_667_000.exe

Einen Spyware-Scanner

Im Gegensatz zu Viren sind Spyware keine eigenständigen Programme. Spyware dient dazu, persönliche Daten über euch zu sammeln oder euch mit Werbung zu torpedieren. Spyware wird entweder als "Zusatzfunktion" in bestehende Programme integriert (z.B. hat das Tauschbörsenprogramm Kazaa solche netten Zusatzfunktionen, weswegen findige Hacker bald Kazaa lite ohne die Funktionen online stellten) oder sie verändert die Einstellungen von Programmen wie z.B. euren Browser um euch z.B. bei jedem Start auf eine nicht gewünschte Startseite weiterzuleiten.

Meine Empfehlung ist hier Ad-Aware: http://www.lavasoftusa.com/support/download/#free

Es gibt wie bei den Virenscanner auch noch andere gute Programme wie Spybot-Search-and-Destory, die ihr auch gern mal ausprobieren könnt.

Mehr ist nicht nötig um euren Computer sicher zu halten. Ihr braucht keine teure "Security-Lösung" und müsst auch nicht jede Sekunde paranoid vor der Kiste sitzen. Befolgt einfach die obigen Tipps und schaltet euer Hirn ein, sprich, nicht einfach auf alles klicken was sich bewegt! Dann kann nichts schief gehen.

[Gast Crotaphytus]

Ich hoff, es ist mir erlaubt, da auch noch was anzufügen...

Ein Tipp, der einem eigentlich an jeder Ecke nachgeworfen wird, den man aber trotzdem nicht oft genug wiederholen kann:

Nicht die ganze Zeit als Administrator arbeiten

Es gibt einige wiederliche Viren, die sich an irgendwelchen fiesen Stellen einnisten wollen oder versuchen, wichtige Systemdateien zu beschädigen. Wenn der Benutzer darauf aber überhaupt keinen Zugriff hat tun sich die Dinger auch n gutes Stück schwerer...

Dementsprechend bringt es tatsächlich was, sich selbst die Administratorrechte zu entziehen und einen zweiten Benutzer mit Adminrechten anzulegen, der nur dann zum Zuge kommt, wenn man irgendwas am System machen will.

Das einzige Problem dabei ist, dass es leider immer noch n paar Programme gibt, die einfach nur mit Adminrechten laufen wollen. Das sollte dann jedoch mit Hilfe von "Ausführen als" hinzukriegen sein, sprich man startet dieses eine Programm unter der Kennung des Administrators. Bei den Programmen, die man öfter braucht, kann man das Kommandozeilentool "runas" benutzen. Damit kann man sich dann sogar ne nette kleine Verknüpfung basteln, die ein Programm mit Adminrechten startet und hat somit (fast) keine Unannehmlichkeiten mehr.

Ok, zugegeben, das ist jetzt natürlich nix, das so angenehm und einfach ist wie Nimrods Tipps, aber man sollte sich das zumindest mal überlegen. Wenigstens bei der nächsten Neuinstallation könnte man ja dran denken, wenn mans von Anfang an macht ist der Umstieg auch nicht ganz so krass...

[Boras]

... und noch ne Anmerkung:

FIREWALL:

Es wird grade in der Anfangszeit vorkommen, dass die Firewall nachfragt, ob sie Zugriffe zulassen oder blockieren soll. (Sie merkt sich dann eure Antwort und belästigt euch später nicht mehr)

Beantwortet diese Fragen sorgfältig. Macht euch also Gedanken, was ihr so zulasst...

Beispiel: Wenn Mozilla sich mit dem Internet verbinden will, dann sollte man das logischer Weise zulassen.

Aber was zur Hölle will Word im Internet? Blockieren!

Wenn ich also einem Programm namens "expolrer.exe" (Ja, dies ist KEIN Tippfehler) den Zugriff gewähre, dann brauch ich mich nicht zu wundern, wenn mir meine Firewall keine unberechtigten Zugriffe mehr meldet. Dann hab ich dem Trojaner schließlich mein OK gegeben...

PASSWÖRTER:

Nutzt diese!

Aber mit Sorgfalt.

Wenn ich Martin Meier hieße, und mein Passwort "martin" wäre, dann kann das jeder Depp mit einfachem Rumprobieren auf das Passwort kommen.

Auch "martin1" ist keine wirkliche Verbesserung. Jeder Passwortknacker kommt binnen Sekunden darauf.

Wenn ich also schon meinen Namen als Passwort nehmen möchte, dann kann ich den aber mit ganz billigen Tricks "verschlüsseln".

Beispiel: martin meier mal anders: /v\art1n /v\313r (oha, 3er als "E"....)

Und wenn ich nun noch ein paar * und $ einfüge, mit dem Geburtsjahr meiner Freundin mixe, dann kommt das raus: */v\art1n$/v\313r#1915

Tataaaa, schon hab ich nen Passwort, bei dem ein Bruteforce-Angriff mehrere Jahre dran rechnet

Grüße

[Christoph]

Nicht das man für reinen Datenzugriff unter Windows erst angemeldet sein muss(wieviele verschlüsseln schon ihre Laufwerke...)

Aber Passwortkodierung mit leetspeak ist echt nicht so der bringer, da kann man auch wirklich Zufällige Zeichenkombinationen verwenden.

Natürlich auch hier Sonderzeichen, Zahlen und Variation von Klein und Großbuchstaben.

Zudem sollte es mindestens 5 Stellen haben, 7 ist besser und alles darüber hinaus ist unnötig solange es auf eurem Rechner nicht irgendetwas seeeeehr intressantes gibt.

Vorallem ist ein solche Passwort auch nicht mehr schwerer zu merken als "*/v\art1n$/v\313r#1915"

[Boras]

Es war ja auch nur ein Beispiel...

[Christoph]

So, ich greife das Thema Passwort nochmal auf.

Bekanntermaßen haben Menschen ja doch eher Probleme damit wirklich zufällige Dinge zu produzieren (ob nun Muster oder Zeichenketten)

Von daher habe ich eben ein kleines Script geschrieben was nach Angabe der Länge(kann auch zufällig sein) eine zufällige Zeichenfolge ausspuckt.

In der aktuellen Version allerdings noch auf reine Buchstaben beschränkt, aber ich versuche es konstant weiter zu entwickeln bis man am Ende jede Form von Zeichenkette generieren lassen kann, die der ASCII-Berreich hergibt.

www.christoph-bluoss.de/key-gen/generator.php

[Gruftwöchter]

Mehr als 7 Zeichen macht auch bei Windows durchaus Sinn, solang der NT-Lanmanager (NTLM-Service) gestartet ist, der verschlüsselt nämlich im Gegensatz zum LM der nur 7 Zeichen verschlüsselt auch den oberen PW-Speicherbereich, d.h. bis zu 14 Zeichen. Mehr ist nur bei diversen spezialtools drinnen.

[Christoph]

Ja das ist die technische Begrenzung.

Aber ich rede vom Aufwand/Nutzen Verhältnis und das ist schon ziemlich mies wenn man ein 7Stelliges PW erraten möchte um irgendein peinliches Foto oder so zu finden

[Gruftwöchter]

Oh, ja, Missverständnis meinerseits.

Ist halt die Frage wie sicher man sein will, ein 7-stelliges Passwort (0-9,a-Z) hält Produkten wie SAMInside nicht sehr lange stand, besonders da der LM Groß- und Kleinschreibung nicht wirklich unterscheidet.

Ein Punkt den ich für besonders wichtig halte (ich surfe, egal wo ich bin, ohne Firewall oder Virenscanner (nimmt einfach zuviel Speicher), virenfrei) ist die Verwendung von Webmail interfaces statt Outlook und Konsorten. (Bei Outlook wird einfach der gesamte Postfachinhalt heruntergeladen, sei es der größte Schwachfug, was einerseits eure Onlinekostenerheblich steigern kann (z.B. weil euch irgendjemand klugerweise 30 Photos à 3 MB schickt, die ihr gar nicht sehen wollt) andererseits Viren Tür und Tor öffnet (sie sind dann ja schonmal auf eurem PC, vorerst zwar nur in einer .pst aber nicht mehr lange).), bei einem Webmail Interface hingegen kommt nur das auf den PC/in den Browsercache was man sehen will.

Und wer aus wie auch immer gearteten Gründen dennoch Outlook verwenden möchte, sollte zumindest die Möglichkeit in Betracht ziehen über das Web-Interface auszusortieren.

[Christoph]

So, ich hab den Key-Generator soeben auf Version 1.1 geupdated

Man kann nun Keys aus Buchstaben, Zahlen, Zahlen & Buchstaben sowie aus Zahlen,Buchstaben und Sonderzeichen generieren.

Key-Generator

[Boras]

Die aktuelle C't (vom 31.10.05) enthält einen Beitrag zum Thema "Sicherer PC" (mit diversen Programmen auf der Heft-CD).

[Agent]

Noch was zu Outlook, wen man dieses Programm benutzt sollte man es so einstellen das Anhänge nicht automatisch geöffnet werden.

Außerdem sollte man einen anderen Browser als den Internet Explorer benutzen

[Corvus-Corax]

Als kleine Ergänzung:

Das wichtigste ist meiner Meinung nach (wie oben schon erwähnt) nicht als Administrator zu surfen. Weiters sollte man Regelmässig Images von der Systempartition ziehen um nicht vor dem nichts zu stehen falls man sich einen Rootkit eingefangen hat. Auch regelmässige Updates von Windows, der Sicherheitssoftware (Virenscanner, Anti Ad/Spyware) und der restlichen Software die man auf dem Pc hat ist zu empfehlen. Speziell nicht mehr unterstützte und weiterentwickelte Programme sollte man von seinem PC entfernen, da diese ein Einfallstor für diverse Schädlinge sein könnten.

Adobe Reader: Update auf die neueste Version dringend erforderlich. Es wurden gravierende Sicherheitsmängel behoben.

Antivir Avira Personal [Version 9]: Mit Sicherheit einer der besten gratis Virenscanner für den privaten Gebrauch. Version 9 beinhaltet auch einen Spyware und Adware Scanner.

NoScript und Adblock Plus: Wichtige Addons für den Firefox 3. Noscript blockiert Scripte, durch die u.a. auch Malware auf den Computer geladen werden kann. (Siehe Drive-by-Download). Adblock Plus stoppt das laden nervtötender Werbung.

Firewall: Ich persönlich empfehle die Sunbelt Personal Firewall. Die Windows interne Firewall ist jedoch auch in Ordnung.

Internet Browser: Wichtig ist ein Update des Internet Explorers auf Version 8 (obwohl man aus Sicherheitsgründen keinen IE verwenden sollte).

Eine weitaus sicherere Variante des Surfens ist (richtige Einstellungen und Addons und eine portion gesunden Menschenverstand vorausesetzt ) der Browser Firefox.

[Nightmarus]

Zum Thema Passwörter:

 

Das Programm KeePass ist wunderbar. Es speichert alle Kennwörter verschlüsselt in einer Datei und man muss sich nur noch das Kennwort zum entschlüsseln merken. Kennwörter können zufällig generiert werden. Die Software ist Open-Source und sehr komfortabel. Mittels Doppelklick auf das Kennwort kann man es sich in die Zwischenablage für 10 Sek. kopieren lassen, um damit Logins zu füttern.

 

http://keepass.info/

[Bodkin]

Aber ist das nicht so, daß Passwörter einfach nur lang sein müssen?

Ein Informatiker sagte mir  'gT5R1S#g sei unsicherer als planetensuppewohnungensprengt. Die lassen doch eh ein Suchprogramm mit allen Zeichen und Sonderzeichen durchlaufen.

 

Es gibt irgendwo im Netz ein witzigen Comic-strip in dem es irgendwie so heißt: In a few years mankind will have passwords that are difficult to remember and easy to crack.

[Bretonii]

Am Besten kombinierts Du beides, lang und Sonderzeichen. Siehe hier :

https://www.bsi-fuer-buerger.de/BSIFB/DE/MeinPC/Passwoerter/passwoerter_node.html