Windows Heim-PC absichern und schneller machen

GrandAdmiralThrawn

XP Nazi

Registered: Aug 2000
Location: BRUCK!
Posts: 3707

27.11.2013 - 18:21

Windows Security? Darf ich [hierauf] hinweisen, verlinkt von einer Person im Truecrypt Forum, und zwar [hier] mitsamt noch ein paar logischer Tipps? Sollte sich als nützlich erweisen können.

Valera

Here to stay

Registered: Dec 2005
Location: Mint
Posts: 683

27.11.2013 - 22:41

Ich sehe das nicht so easy. Die Entwicklung von Malware schreitet voran und die Sache mit den Admin/Userrechten war bis XP so - da waren User von Haus aus Administratoren also waren 95% der Windows Rechner so eingerichtet. Malware hatte dadurch ein leichtes Spiel. Seit Vista ist das nicht mehr so. Daher mußte sich auch die Malware weiterentwickeln.
Die Absicherung die sich auf Parental Control bzw Software Restriction Policy verläßt hat aber genau diesen einen Haken: Das ganze funktioniert nur so lange, so lange der Administratoraccount nicht kompromittiert wird bzw eine Malware sich keine Systemrechte verschaffen kann.
Wie ich oben aber geschildert habe ist seit Vista das Ziel der Malware sich durch irgendeine Hintertür, einen Exploit, .. sich Systemrechte zu verschaffen um sich am User vorbei im System zu verankern.
Dagegen helfen Parental Control und die Software Restriction Policy wenig bis garnix.
Weiters kommt dazu, dass selbst im Howto empfohlen wird die Software Restriction Policy für dll zu deaktivieren, damit Flash ausgeführt werden kann! Das bekannt schlecht gepatchte Adobe Flash ist eines der Einfallstore für Malware schlechthin! Das ist so wie wenn ich die Burgmauern um 10% erhöhe, aber die Einfahrtstore 2spurig auslege damit mehr Verkehr durch kann.

Auf der anderen Seite ist die Einrichtung und das Arbeiten auf einem solchen "abgesicherten" Windows aufwendig und immer mit Komforteinbußen verbunden.
Wenn ich Windows durch das gepostete Skript und diese weitere "Absicherung" kastriere dann habe ich wesentliche Teile wieso Windows überhaupt verwendet wird deaktiviert. Da frage ich doch: Da kann man sich gleich Free BSD oder dergleichen installieren, da benötige ich kein Windows.

Die Zielgruppe für ein derart kastriertes Windwos sind maximal Microsoft Office PCs und Workstations die Windows Programme verwenden müssen.

Das ist nur meine Meinung dazu, natürlich gibt es Leute die sich da wesentlich besser auskennen die vielleicht eine andere Meinung dazu haben.

Nico

former person of interest

Registered: Sep 2006
Location: -
Posts: 4082

27.11.2013 - 22:50

wenn man der sicherheit eines plugins oder app ned traut kann man ja virtualisieren. Wird aber nur wenige betreffen afaik.

GrandAdmiralThrawn

XP Nazi

Registered: Aug 2000
Location: BRUCK!
Posts: 3707

28.11.2013 - 09:12

Ich habe das anders gelöst. Ich habe die beiden Primäreinfallstore (Flash und Java) einfach komplett vom System gerissen. Wenn ich ein Flashvideo sehen will, saug ichs runter und öffne es mit MPC-HC. Das bedeutet natürlich auch Einbußen in der Convenience und manche Webseiten lassen sich ihre Flashvideos nicht so einfach entreißen wie YouTube, aber im Großen und Ganzen bin ich recht zufrieden mit der Lösung.

Aber zu deinen Bedenken, downhillschrott, da mußt du auch beachten, daß ein Flash Plugin eben auch nur mit eingeschränkten Benutzerrechten laufen würde. Das heißt, der angreifende Schadcode müßte eine Lücke im Betriebssystem (nach der im Flash) nutzen, um das System wirksam zu kompromittieren.

Bearbeitet von GrandAdmiralThrawn am 28.11.2013, 09:41

mr.nice.

differential image maker

Registered: Jun 2004
Location: Wien
Posts: 6552

28.11.2013 - 23:34

Regelmäßige Updates für OS, Java und Flash mache ich und dass man ohne Adminrechte im Netz unterwegs sein sollte ist ohnehin klar. Media Player und Internet Explorer brauche ich nicht auf meiner Festplatte, da habe ich bessere Alternativen.

Die Ausführung von Programmen zu unterbinden und per Whitelist freizuschalten ist etwas mühsam in der Praxis, besonders bei einer einzigen Workstation, aber sonst eine sehr gute Maßnahme.

Die Überlegung bei der Erstellung des Skripts war eher
"wie viel kann ich abschalten und es geht noch das was ich brauche.", das ist eben das (vorläufige) Ergebnis. Ich brauche von meinem Windows zu Hause nicht viel und wollte nur unnötigen Ballast über Bord werfen.

Am schönsten wäre es imho alle Dienste aufzulisten, was sie machen, gruppiert wofür man sie braucht, aber das wäre nochmal eine Menge Arbeit und übersteigt zum Teil auch mein Wissen.

Nico

former person of interest

Registered: Sep 2006
Location: -
Posts: 4082

28.11.2013 - 23:59

falls sie verwendet wird, könnte man per script noch die wf config restriktiver machen iirc.

Valera

Here to stay

Registered: Dec 2005
Location: Mint
Posts: 683

29.11.2013 - 00:01

Ich muß leider aus beruflichen Gründen Windows verwenden, ich mache das ein wenig anders: Fürs normale Surfen wie auch Flash habe ich eine VirtualBox mit Linux Mint. Sollte ich dort was downloaden, kann ich das über einen Netzwerk Share, schlimmstenfalls über einen USB Stick auf den Windows PC bringen.

Damit erspare ich mir das totale Zuriegeln des Systems und Grübeleien warum etwas nicht geht, ob meine Konfig schuld ist, oder die Anwendung ein Schei$. Das habe ich vorher gemeint: Ein (oder mehrere) virtualisiertes Linux/Unix System am Windows Host (das ich notfalls jederzeit oder auch regelmäßig tauschen kann) ist komfortabler als das Windows komplett abzuriegeln und imho mindestens ebenso sicher.

Email und Online Banking sowie online Shopping mache ich von meinem Netbook, mit Linux Mint. Der Windows PC wird meine Bankdaten, Kreditkarteninfos oder Paßwörter für email Accounts nie sehen.

Was dein Einwand bei Flash angeht, damit hast du natürlich recht, denn so wird es auch gemacht: Zuerst muß aus dem Browser ausgebrochen werden (die haben ja auch aufgerüstet) zB via Flash und dann in das System. Nur: Was würde das Zuriegeln via Parental Control bzw Software Restriction Policy dagegen helfen? Eben nix. Da hilft dann schon eher das Skript von mr.nice. denn dort werden unnötige Dienste die aber Fehler enthalten können, einfach beseitigt. Das ist natürlich nicht das Allheilmittel, aber reduziert das Risiko.
Bei mir zB bringt das aber nicht viel, weil ich bzw Anwendungen einige der Dienste benötige.

Es gibt viele Mittel und Wege das Risiko einzudämmen. Ob Virtualisierung, ob Speicherschutz via Datenausführungsverhinderung und Microsoft EMET, alles deaktivieren was nicht gebraucht wird und eben Parental Control bzw Software Restriction Policy - alles bringt etwas. Letzteres imho halt so wenig, dass ich meine der Aufwand lohnt nicht.

edith meint: Das ist mein 222ter Post.

Bearbeitet von Valera am 29.11.2013, 00:03

mr.nice.

differential image maker

Registered: Jun 2004
Location: Wien
Posts: 6552

29.11.2013 - 00:35

Eine schärfere Windows Firewall würde ich super finden

Mir geht es auch darum, die 'Windows telefoniern nach Haus'-Neigung auf Privatrechnern drastisch zu reduzieren und da hilft eben keine Virtuelle Maschine, wenn bereits das darunterliegende Betriebssystem ein ziemlicher Quatschkopf ist.

ISATAP, 6to4 und Teredo Interface sind mir nicht ganz geheuer. Das eine schleust den Datenverkehr am NAT vorbei in Form von IPv6 UDP-Segmenten, das andere kann automatisch Tunnel aufbauen, NetBios ist auch ein alter Bekannter. Dazu noch jede Menge standardmäßig aktvierte IPv6-Protokolle und Topologieerkennungsmöglichkeiten.

Das ist mir noch zu unbekannt und zu mächtig, das muss ich noch besser verstehen, deswegen ist es erstmal aus.

UPDATE 02.12.2013: drei weitere Services deaktiviert, externe Links hinzugefügt, siehe first Post.

Nico

former person of interest

Registered: Sep 2006
Location: -
Posts: 4082

29.01.2016 - 08:04

ist da noch jemand an weiteren abhärtungen interessiert? hab mich letztens damit beschäftigt verschiedens abzudrehen und hab auch aus anderen quellen was gefunden. google half natürlich.

vorallem die lokale security policy, die man von win pro aufwärts über den editor secpol.msc bearbeiten kann, ist imo interessant.

aus all den scriptbefehlen ein tool mit gui (auswahl per checkboxen) zu machen wäre eine alte aber nette idee.

mr.nice.

differential image maker

Registered: Jun 2004
Location: Wien
Posts: 6552

29.01.2016 - 09:02

Ja bitte Nico, her mit deinen Funden

Ich habe vor geraumer Zeit einmal ein Kiosk System gebaut, dort habe ich unter anderem folgende Gruppenrichtlinien Schalter aktiviert:

Benutzerkonfiguration\Administrative Vorlagen\Systemsteuerung\Zugriff auf die Systemsteuerung nicht zulassen

Benutzerkonfiguration\Administrative Vorlagen\System\STRG+ALT+ENTF(Optionen)
Abmeldung, Kennwortänderung, Task-Manager und PC Sperren entfernen.

Benutzerkonfiguration\Administrative Vorlagen\System\
Zugriff auf Eingabeaufforderung verhindern, Zugriff auf Programme zum Bearbeiten der Registrierung verhindern

Benutzerkonfiguration\Administrative Vorlagen\System\Wechselmedienzugriff
Alle Wechselmedienklassen: Jeglichen Zugriff verweigern

Bearbeitet von mr.nice. am 29.01.2016, 09:05

daisho

Vereinsmitglied
SHODAN

Registered: Nov 2002
Location: 4C4
Posts: 19786

29.01.2016 - 09:30

In Firmen macht man das normal über die Domänenrichtlinien dann muss man das nicht auf jedem Client selbst einstellen, privat braucht man die meisten Dinge eher nicht und für so spezielle Vorhaben wie ein Kiosk System wird die Zielgruppe nicht groß genug sein um dafür extra eine GUI zu programmieren.

Außerdem ... wozu, der gpedit.msc bzw. secpol.msc ist doch eh schon eine GUI :confused:

Nico

former person of interest

Registered: Sep 2006
Location: -
Posts: 4082

29.01.2016 - 09:35

ja, es gibt auch services.msc um die dienste einzeln abzudrehen. ein script oder gui tool ist viel schneller und du kriegst nur die relevanten optionen vor die nase anstatt alle

mr.nice.

differential image maker

Registered: Jun 2004
Location: Wien
Posts: 6552

02.02.2016 - 12:20

Übrigens, einen Easy Service Optimizer für WinXP - Win10 mit Klicki-Klicki GUI gibt es bereits:

http://www.sordum.org/8637/easy-service-optimizer-v1-2/

Bearbeitet von mr.nice. am 02.02.2016, 12:23

daisho

Vereinsmitglied
SHODAN

Registered: Nov 2002
Location: 4C4
Posts: 19786

02.02.2016 - 12:37

Ich hab aufgehört zu lesen bei:

Zitat
Here are some of the Windows services that you can safely disable:

– Print Spooler (if you don’t use a printer or print-to-PDF)
[...]

Dafug ... mal abgesehen das der nicht wirklich Systemressourcen verbraucht wenn er nicht benötigt wird - aber gleich umso mehr Probleme verursacht sollte das jemand auf "Disabled" setzen und irgendwann mal brauchen (und Programme/Treiber plötzlich Fehler auswerfen wie verrückt).

Soviel zu "Optimierungen".

ARM_User

Big d00d

Registered: Feb 2013
Location: Graz
Posts: 228

02.02.2016 - 13:02

Zitat
rem disable Universal Plug & Play
sc config "upnphost" start= disabled

Mutig

GrandAdmiralThrawn XP Nazi Registered: Aug 2000 Location: BRUCK! Posts: 3707	27.11.2013 - 18:21 Windows Security? Darf ich [hierauf] hinweisen, verlinkt von einer Person im Truecrypt Forum, und zwar [hier] mitsamt noch ein paar logischer Tipps? Sollte sich als nützlich erweisen können.
Valera Here to stay Registered: Dec 2005 Location: Mint Posts: 683	27.11.2013 - 22:41 Ich sehe das nicht so easy. Die Entwicklung von Malware schreitet voran und die Sache mit den Admin/Userrechten war bis XP so - da waren User von Haus aus Administratoren also waren 95% der Windows Rechner so eingerichtet. Malware hatte dadurch ein leichtes Spiel. Seit Vista ist das nicht mehr so. Daher mußte sich auch die Malware weiterentwickeln. Die Absicherung die sich auf Parental Control bzw Software Restriction Policy verläßt hat aber genau diesen einen Haken: Das ganze funktioniert nur so lange, so lange der Administratoraccount nicht kompromittiert wird bzw eine Malware sich keine Systemrechte verschaffen kann. Wie ich oben aber geschildert habe ist seit Vista das Ziel der Malware sich durch irgendeine Hintertür, einen Exploit, .. sich Systemrechte zu verschaffen um sich am User vorbei im System zu verankern. Dagegen helfen Parental Control und die Software Restriction Policy wenig bis garnix. Weiters kommt dazu, dass selbst im Howto empfohlen wird die Software Restriction Policy für dll zu deaktivieren, damit Flash ausgeführt werden kann! Das bekannt schlecht gepatchte Adobe Flash ist eines der Einfallstore für Malware schlechthin! Das ist so wie wenn ich die Burgmauern um 10% erhöhe, aber die Einfahrtstore 2spurig auslege damit mehr Verkehr durch kann. Auf der anderen Seite ist die Einrichtung und das Arbeiten auf einem solchen "abgesicherten" Windows aufwendig und immer mit Komforteinbußen verbunden. Wenn ich Windows durch das gepostete Skript und diese weitere "Absicherung" kastriere dann habe ich wesentliche Teile wieso Windows überhaupt verwendet wird deaktiviert. Da frage ich doch: Da kann man sich gleich Free BSD oder dergleichen installieren, da benötige ich kein Windows. Die Zielgruppe für ein derart kastriertes Windwos sind maximal Microsoft Office PCs und Workstations die Windows Programme verwenden müssen. Das ist nur meine Meinung dazu, natürlich gibt es Leute die sich da wesentlich besser auskennen die vielleicht eine andere Meinung dazu haben.
Nico former person of interest Registered: Sep 2006 Location: - Posts: 4082	27.11.2013 - 22:50 wenn man der sicherheit eines plugins oder app ned traut kann man ja virtualisieren. Wird aber nur wenige betreffen afaik.
GrandAdmiralThrawn XP Nazi Registered: Aug 2000 Location: BRUCK! Posts: 3707	28.11.2013 - 09:12 Ich habe das anders gelöst. Ich habe die beiden Primäreinfallstore (Flash und Java) einfach komplett vom System gerissen. Wenn ich ein Flashvideo sehen will, saug ichs runter und öffne es mit MPC-HC. Das bedeutet natürlich auch Einbußen in der Convenience und manche Webseiten lassen sich ihre Flashvideos nicht so einfach entreißen wie YouTube, aber im Großen und Ganzen bin ich recht zufrieden mit der Lösung. Aber zu deinen Bedenken, downhillschrott, da mußt du auch beachten, daß ein Flash Plugin eben auch nur mit eingeschränkten Benutzerrechten laufen würde. Das heißt, der angreifende Schadcode müßte eine Lücke im Betriebssystem (nach der im Flash) nutzen, um das System wirksam zu kompromittieren. Bearbeitet von GrandAdmiralThrawn am 28.11.2013, 09:41
mr.nice. differential image maker Registered: Jun 2004 Location: Wien Posts: 6552	28.11.2013 - 23:34 Regelmäßige Updates für OS, Java und Flash mache ich und dass man ohne Adminrechte im Netz unterwegs sein sollte ist ohnehin klar. Media Player und Internet Explorer brauche ich nicht auf meiner Festplatte, da habe ich bessere Alternativen. Die Ausführung von Programmen zu unterbinden und per Whitelist freizuschalten ist etwas mühsam in der Praxis, besonders bei einer einzigen Workstation, aber sonst eine sehr gute Maßnahme. Die Überlegung bei der Erstellung des Skripts war eher "wie viel kann ich abschalten und es geht noch das was ich brauche.", das ist eben das (vorläufige) Ergebnis. Ich brauche von meinem Windows zu Hause nicht viel und wollte nur unnötigen Ballast über Bord werfen. Am schönsten wäre es imho alle Dienste aufzulisten, was sie machen, gruppiert wofür man sie braucht, aber das wäre nochmal eine Menge Arbeit und übersteigt zum Teil auch mein Wissen.
Nico former person of interest Registered: Sep 2006 Location: - Posts: 4082	28.11.2013 - 23:59 falls sie verwendet wird, könnte man per script noch die wf config restriktiver machen iirc.
Valera Here to stay Registered: Dec 2005 Location: Mint Posts: 683	29.11.2013 - 00:01 Ich muß leider aus beruflichen Gründen Windows verwenden, ich mache das ein wenig anders: Fürs normale Surfen wie auch Flash habe ich eine VirtualBox mit Linux Mint. Sollte ich dort was downloaden, kann ich das über einen Netzwerk Share, schlimmstenfalls über einen USB Stick auf den Windows PC bringen. Damit erspare ich mir das totale Zuriegeln des Systems und Grübeleien warum etwas nicht geht, ob meine Konfig schuld ist, oder die Anwendung ein Schei$. Das habe ich vorher gemeint: Ein (oder mehrere) virtualisiertes Linux/Unix System am Windows Host (das ich notfalls jederzeit oder auch regelmäßig tauschen kann) ist komfortabler als das Windows komplett abzuriegeln und imho mindestens ebenso sicher. Email und Online Banking sowie online Shopping mache ich von meinem Netbook, mit Linux Mint. Der Windows PC wird meine Bankdaten, Kreditkarteninfos oder Paßwörter für email Accounts nie sehen. Was dein Einwand bei Flash angeht, damit hast du natürlich recht, denn so wird es auch gemacht: Zuerst muß aus dem Browser ausgebrochen werden (die haben ja auch aufgerüstet) zB via Flash und dann in das System. Nur: Was würde das Zuriegeln via Parental Control bzw Software Restriction Policy dagegen helfen? Eben nix. Da hilft dann schon eher das Skript von mr.nice. denn dort werden unnötige Dienste die aber Fehler enthalten können, einfach beseitigt. Das ist natürlich nicht das Allheilmittel, aber reduziert das Risiko. Bei mir zB bringt das aber nicht viel, weil ich bzw Anwendungen einige der Dienste benötige. Es gibt viele Mittel und Wege das Risiko einzudämmen. Ob Virtualisierung, ob Speicherschutz via Datenausführungsverhinderung und Microsoft EMET, alles deaktivieren was nicht gebraucht wird und eben Parental Control bzw Software Restriction Policy - alles bringt etwas. Letzteres imho halt so wenig, dass ich meine der Aufwand lohnt nicht. edith meint: Das ist mein 222ter Post. Bearbeitet von Valera am 29.11.2013, 00:03
mr.nice. differential image maker Registered: Jun 2004 Location: Wien Posts: 6552	29.11.2013 - 00:35 Eine schärfere Windows Firewall würde ich super finden Mir geht es auch darum, die 'Windows telefoniern nach Haus'-Neigung auf Privatrechnern drastisch zu reduzieren und da hilft eben keine Virtuelle Maschine, wenn bereits das darunterliegende Betriebssystem ein ziemlicher Quatschkopf ist. ISATAP, 6to4 und Teredo Interface sind mir nicht ganz geheuer. Das eine schleust den Datenverkehr am NAT vorbei in Form von IPv6 UDP-Segmenten, das andere kann automatisch Tunnel aufbauen, NetBios ist auch ein alter Bekannter. Dazu noch jede Menge standardmäßig aktvierte IPv6-Protokolle und Topologieerkennungsmöglichkeiten. Das ist mir noch zu unbekannt und zu mächtig, das muss ich noch besser verstehen, deswegen ist es erstmal aus. UPDATE 02.12.2013: drei weitere Services deaktiviert, externe Links hinzugefügt, siehe first Post.
Nico former person of interest Registered: Sep 2006 Location: - Posts: 4082	29.01.2016 - 08:04 ist da noch jemand an weiteren abhärtungen interessiert? hab mich letztens damit beschäftigt verschiedens abzudrehen und hab auch aus anderen quellen was gefunden. google half natürlich. vorallem die lokale security policy, die man von win pro aufwärts über den editor secpol.msc bearbeiten kann, ist imo interessant. aus all den scriptbefehlen ein tool mit gui (auswahl per checkboxen) zu machen wäre eine alte aber nette idee.
mr.nice. differential image maker Registered: Jun 2004 Location: Wien Posts: 6552	29.01.2016 - 09:02 Ja bitte Nico, her mit deinen Funden Ich habe vor geraumer Zeit einmal ein Kiosk System gebaut, dort habe ich unter anderem folgende Gruppenrichtlinien Schalter aktiviert: Benutzerkonfiguration\Administrative Vorlagen\Systemsteuerung\Zugriff auf die Systemsteuerung nicht zulassen Benutzerkonfiguration\Administrative Vorlagen\System\STRG+ALT+ENTF(Optionen) Abmeldung, Kennwortänderung, Task-Manager und PC Sperren entfernen. Benutzerkonfiguration\Administrative Vorlagen\System\ Zugriff auf Eingabeaufforderung verhindern, Zugriff auf Programme zum Bearbeiten der Registrierung verhindern Benutzerkonfiguration\Administrative Vorlagen\System\Wechselmedienzugriff Alle Wechselmedienklassen: Jeglichen Zugriff verweigern Bearbeitet von mr.nice. am 29.01.2016, 09:05
daisho Vereinsmitglied SHODAN Registered: Nov 2002 Location: 4C4 Posts: 19786	29.01.2016 - 09:30 In Firmen macht man das normal über die Domänenrichtlinien dann muss man das nicht auf jedem Client selbst einstellen, privat braucht man die meisten Dinge eher nicht und für so spezielle Vorhaben wie ein Kiosk System wird die Zielgruppe nicht groß genug sein um dafür extra eine GUI zu programmieren. Außerdem ... wozu, der gpedit.msc bzw. secpol.msc ist doch eh schon eine GUI
Nico former person of interest Registered: Sep 2006 Location: - Posts: 4082	29.01.2016 - 09:35 ja, es gibt auch services.msc um die dienste einzeln abzudrehen. ein script oder gui tool ist viel schneller und du kriegst nur die relevanten optionen vor die nase anstatt alle
mr.nice. differential image maker Registered: Jun 2004 Location: Wien Posts: 6552	02.02.2016 - 12:20 Übrigens, einen Easy Service Optimizer für WinXP - Win10 mit Klicki-Klicki GUI gibt es bereits: http://www.sordum.org/8637/easy-service-optimizer-v1-2/ Bearbeitet von mr.nice. am 02.02.2016, 12:23
daisho Vereinsmitglied SHODAN Registered: Nov 2002 Location: 4C4 Posts: 19786	02.02.2016 - 12:37 Ich hab aufgehört zu lesen bei: Zitat Here are some of the Windows services that you can safely disable: – Print Spooler (if you don’t use a printer or print-to-PDF) [...] Dafug ... mal abgesehen das der nicht wirklich Systemressourcen verbraucht wenn er nicht benötigt wird - aber gleich umso mehr Probleme verursacht sollte das jemand auf "Disabled" setzen und irgendwann mal brauchen (und Programme/Treiber plötzlich Fehler auswerfen wie verrückt). Soviel zu "Optimierungen".
ARM_User Big d00d Registered: Feb 2013 Location: Graz Posts: 228	02.02.2016 - 13:02 Zitat rem disable Universal Plug & Play sc config "upnphost" start= disabled Mutig

Windows Heim-PC absichern und schneller machen

Forum Index > Software > Windows

GrandAdmiralThrawn

Valera

Nico

GrandAdmiralThrawn

mr.nice.

Nico

Valera

mr.nice.

Nico

mr.nice.

daisho

Nico

mr.nice.

daisho

ARM_User