Wie wohl die meisten IT-Menschen bin ich irgendwie für die Windows-Rechner verschiedener Verwandter und Bekannter verantwortlich. Und so ist es dann doch irgendwo mein Interesse, dass diese sicher sind. Daher treffe ich folgende Maßnahmen zur Windows Security. Sie stellen für mich einen sinnvollen Kompromiss zwischen Aufwand und Nutzen zur Sicherheit dar:
((Work in progress – Kommentare erwünscht !))
Virenscanner von Windows 10
Ist – wie mal so liest – seit Windows 10 wohl nicht mehr gesondert nötig, weil 1. Windows 10 sowas schon drin hat und 2. aktuelle Bedrohungen von ihnen sowieso nicht mehr zeitnah erkannt werden (können).
Trotzdem ist natürlich wichtig, dass man einen aktiv und aktuell hat – wenigstens den in Windows 10 integrierten “Windows Defender”. Ich mag (naja das Wort passt nicht so ganz) aber auch den Avast – u.a. weil er nicht plötzlich während der Arbeit mit einem Popup nervt, das einem die Pro-Version anpreist (so wie es Avira macht).
Windows-eigene Sicherheits-Einstellungen
Window selber bietet einige Einstellungsmöglichkeiten. Ich mache Folgendes:
- In “Viren- und Bedrohungsschutz” (via Sicherheits-Center – z.B. Klick auf den “Schild” mit dem grünen Häkchen in der Taskleiste rechts unten):
Echtzeitschutz an
Cloudbasiert an
Übermittlung von Beispielen an -
App- und Browsersteuerung (ebenfall im Sicherheits-Center)
v.a. Apps und Dateien überprüfen: “Warnen”
-
Überwachter Ordnerzugriff: an (Sicherheits-Center -> Viren- und Bedrohungsschutz -> Ransomware-Schutz -> Ransomware-Schutz verwalten)
Geschützte Ordner: alle Laufwerke, Dokumente, Bilder, Nextcloud etc.
App durch überwachten Ordnerzugriff zulassen: Hier ggf. später Apps eintragen (System-Meldungen im Blick behalten):- z.B. Nextcloud, Anwendungen etc.
- In der Powershell mit Admin-Berechtigungen:
Set-MpPreference -PUAProtection 1 Set-MpPreference -EnableNetworkProtection Enabled
-
UAC (Einstellungen für Benutzerkontensteuerung): Regler ganz nach oben
Dateien in Nextcloud
Alle wichtigen, zu sichernden Dateien liegen auf Nextcloud.
Dies einzurichten geht recht “bequem”, in dem man zuerst Nextcloud einrichtet (Folder z.B. “nextcloud” im Benutzer-Verzeichnis). Dann kann man über die Windows “Bibliotheken” alles verschieben: Im Explorer unter “Dieser PC” -> Dokumente (danach Bilder etc.) -> rechte Maustaste + Eigenschaften -> Pfad -> Verschieben.
Passwort-Manager Bitwarden
Einen Passwort-Manger halte ich für wichtig. Mehr hier.
Browser-Plugins
Werbeblocker AdBlock Plus
Der AdBlocker verhindert zum Einen nervige Werbung – zum Anderen aber vor allem auch großen Schrecken in der Familie durch Werbungen, die sich als Verschlüsselungstrojaner “tarnen”. Details dazu in AdBlocker – jetzt auch bei mir akzeptiert.
Googles Password Checkup
https://chrome.google.com/webstore/detail/password-checkup/pncabnpcffmalkkjpajodfhijclecjno
Windows Defender Browser Protection
https://chrome.google.com/webstore/detail/windows-defender-browser/bkbeeeffjjeopflfhgeknacdieedcoml
Umfassender Request-Blocker “umatrix”
(für “Fortgeschrittene”)
https://chrome.google.com/webstore/detail/umatrix/ogfcmafjalglgifnmanfmnieipoejdcf
eMail-Sicherheit
Die vielleicht meisten Angriffe passieren über hereinkommene E-Mails. Daher ist ein gute Filter wichtig. Ich verwende und empfehle natürlich SecuMail.
ge-leak-te Passworte prüfen mit KeePass-Plugin
https://github.com/andrew-schofield/keepass2-haveibeenpwned … wird auch hier beschrieben.
Anhang: Nicht mehr in Benutzung
Secunia PSI – prüft Aktualität aller installierter Programme
(bis ca. März 2018 benutzt)
Secunia wurde leider vom Anbieter im April 2018 in dieser Form eingestellt und ist daher so nicht mehr benutzbar – schade. Secunia schaut sich alle Programme an, die man installiert hat und prüft online, ob man überall die aktuellste (und damit hoffentlich sicherste) Version auf dem Rechner hat. Wenn nicht, wird das Task-Leisten-Symbol rot.
Ich sag also den Rechner-Besitzern “achte bitte darauf, dass das Secunia-Icon immer grün ist!”
Download hier: Personal Software Inspector (PSI).
Routing über ein VPN
(bis ca. September 2018 benutzt)
Nicht mehr in Benutzung. Gründe dafür: EarthVPN war (ist) sichlich einer der Anbieter mit dem besten Preis-Leistungsverhältnis. Trotzdem steht für mich der Nutzen nicht mehr im Verhältnis zum Preis.
Mein im Heim-Netz zentraler vyos-Router baut außerdem ein VPN zu EarthVPN auf. Dieser Anbieter ist günstig, scheint mir hinreichend seriös und hat auch genug Access-Points in Deutschland. Klar ist dass hierdurch kaum (kein?) Sicherheitsgewinn zu erwarten ist, lediglich eine gewisse Verbesserung der Anonymität – und auch die nur wenn man richtig aufpasst…
Filternder Squid-Proxy im Heim-Netz
(bis ca. Januar 2019 benutzt)
Diesen habe ich auch – schweren Herzenz – abgeschaltet. Zum Einen hat er in den letzten Jahren immer wieder Probleme gemacht: Einzelne Anwendungen funktionierten nicht bzw. nicht korrekt (z.B. radio.de, Netflix, Windows-Updates u.a). Zum Anderen habe ich ja nun “Pi-Hole” (s.u.), welches einen ähnlichen Effekt hat. Außerdem wird durch die zunehmende Verbreitung von https (was ja gut und zu begrüßen ist), ein Proxy immer wenige effektiv.
Im Heim-Netz habe ich einen zentralen vyos-Router, auf dem ein transparenter Squid-Proxy läuft mit Squidguard läuft, welchen ich so eingestellt habe, dass er Seite bzgl. Gewalt, Drogen, Malware, Phishing u.a. filtert. Natürlich ist das bei weitem nicht 100%, aber ein weiterer Baustein zur Verbesserung.
Protec’tor von heise/ct – schaltet ungenutzte Windows-Funktionen ab
(bis ca. Mitte 2019 benutzt)
Benutze ich nicht mehr, weil mir die Benutzung zu wenig “Normal-Benutzer-Kompatibel” ist. Außerdem gibt es mit Windows-Ransomware-Protection etc. einen hinreichenden Ersatz.
Hier wird das Tool beschrieben, welches diverse Windows-Funktionen abschaltet oder verändert, die häufig von Schädlingen benutzt werden, obwohl (oder eher gerade weil) sie von Benutzern kaum gekannt und verwendet werden.
Download hier: Protec’tor – führt dann zu jamct/protector auf github.
Malwarebytes Anti-Ransomware
(Bis ca. Anfang 2019 benutzt.)
Installiere ich nicht mehr aktiv auf neuen Installationen.
Wie hier beschrieben, empfohlen und verlinkt:
Download hier: Malwarebytes Anti-Ransomware.
Restric’tor von heise/ct – schränkt Ausführungsberechtigungen auf der gesamten Platte ein
(Bis ca. 2018 benutzt.)
Nur für Fortgeschrittene:
c’t beschreibt in Schotten dicht! – Mit Restric’tor zum sicheren Windows eine in Windows enthaltene Funktion, die stark einschränkt, wo welche Dateien der Platte überhaupt ausgeführt werden dürfen (vereinfacht gesagt – mehr dazu im Artikel). Der “Restric’tor” ist dazu lediglich eine benutzbare Oberfläche. Aufgrund der Fehlalarme muss man schon wissen was man tut – daher habe ich das bisher nur auf “meiner” Windows-VM installiert.
Download hier: Restric’tor: Profi-Schutz für jedes Windows.
(Hier noch ein Tipp in den Kommentaren von mit zum einschränken der Rechte auch für Unterordner – ist aber nur nötig, wenn die Rechte-Vererbung nicht greift.)
Passwort-Manager KeePass
(Bis Juni 2019 benutzt – dann durch Bitwarden abgelöst.)
“Alle” verwenden den Passwort-Manager KeePassXC. Neuerdings (noch nicht bei allen) auch zusammen mit der Chome-Extension chromeIPass. Diese holt Benutzernamen und Passworte bei Bedarf automatisch aus KeePassXC und füllt sie in Anmeldeformulare. Das ergibt fast den gleichen Komfort wie “früher”, aber ohne die Passworte im Browser (oder gar bei Google) zu speichern.
Unter iOS verwenden wir übrigens MiniKeePass; die Passwort-Tresore (.kdbx-Dateien) liegen auf der heimischen Owncloud und gelangen so auf die Handys.