Zu beginn möchte ich gerne zwei allgemeine Dinge zum Thema IT-Sicherheit sagen.

---

Nach diesen Vorbemerkungen wenden wir uns nun dem eigentlichen Thema zu. Viele denken bei diesem Thema nur an einen guten Virenscanner. Doch dieser Ansatz greift heutzutage viel zu kurz, wie die immer wiederkehrenden Wellen von Ransomware Angriffen eindrucksvoll zeigen.

Es gibt auch viele die meinen, dass sich hohe Sicherheit in Windows 10 nur durch teure Security Suiten oder eine ganze Phalanx von unterschiedlichen Sicherheitstools bewerkstelligen lässt. Doch häufig sind es die Sicherheitsprogramme selbst die neue Lücke im System öffnen. Viele kostenlose AV Lösungen sind in den letzten Jahren damit aufgefallen dass sie das Nutzer- insbesondere das Surfverhalten analysieren und diese Daten verkaufen. Viele Sicherheitsexperten bezeichnen Anti-Virus Software daher als “Schlangenöl”. Ein Produkt das als Heilsbringer vermarktet wird doch kaum das Versprochene halten kann. Wer sich damit näher beschäftigen möchte der verwende eine Suchmaschine seines Vertrauens oder aber schaue sich z.B. den unten verlinkten Artikel an (1).

Ich möchte natürlich niemandem seine Konfiguration madig machen. Doch wenn man Windows 10 richtig konfiguriert und die vorhandenen Sicherheitsmechanismen konsequent ausschöpft, kann man das System weitaus besser absichern als es ein drittanbieter AV alleine je könnte.

Standard User Account (SUA)

Der erste Benutzer der bei einer Windows 10 Installation erstellt wird hat administrative Rechte. Grundsätzlich hat jede Software die unter diesem Benutzer ausgeführt wird ebenso weitreichende Rechte. Theoretisch soll das zwar durch ein System namens User Access Control (UAC) verhindert werden doch in der Praxis tauchen immer wieder Wege auf das UAC zu umgehen. Ein Schädling hat damit leichtes spiel. Er kann sich tief im System einnisten und so ziemlich alles tun was er will.

In vielen Fällen kann größerer Schaden verhindert werden, wenn man einen weiteren Benutzer - einen "Standardbenutzer" (SUA) - anlegt und dieses zum Arbeiten und Surfen verwendet. Versucht ein Schädling jetzt tief ins System einzugreifen, dann fragt Windows zunächst nach dem Admin Passwort. Taucht solch eine Frage unerwartet auf, kann man mit einem klick schlimmeres verhindern.

Praxistipp: In den Windows Einstellungen unter "Konten" ein standard Benutzerkonto einrichten und dieses zum produktiven Arbeiten nutzen. Wer etwas Sicherheit gegen Komfort tauschen möchte, stellt für den Admin Account einen PIN Code ein. Dies beschleunigt die Eingabe falls erforderlich.

User Access Controll (UAC)

Durch die Benutzerkontensteuerung (UAC) kann man festlegen für welche Aktionen eines Benutzers eine gesonderte Sicherheitsfreigabe erfolgen muss. Man kann es in den Windows Einstellungen auf verschiedene Stufen stellen. Je höher desto desto kleinteiliger meldet Windows Aktionen, die Änderungen am System vornehmen wollen. Allerdings wird man dann ggf. auch häufiger unterbrochen. Auch hier muss man zwischen Sicherheit und Komfort abwägen. Und wieder gilt: wird ohne erkennbaren Grund nach einer Freigabe für eine Änderung gefragt, sollte man sie nicht erteilen. Im zweifel wird eine zuvor angestoßene Aktion dadurch einfach abgebrochen und man muss sie noch einmal starten.

Praxistipp: In den Windows Einstellungen nach "Benutzerkontensteuerung" suchen und diese mindestens auf die Standardeinstellung setzen. Wer mehr Sicherheit möchte setzt UAC auf Maximum. Dies verhindert, dass Programme ungefragt Windows Einstellungen verändern können.

Smartscreen

Der Smartscreen Filter ist Teil des MS Edge Browsers. Er warnt vor bekannten Phishing Seiten oder Webseiten die sich verdächtig verhalten. Außerdem warnt er bei Downloads vor bekannter Schadware oder vor neuen, unbekannten Dateien. Eine Smartscreen Warnung vor einer unbekannten Datei bedeutet mitunter nur, dass sie noch nicht häufig von anderen Windows Nutzern geladen wurde. Sie ist nicht zwangsläufig gefährlich. Allerdings bietet die Warnung Gelegenheit sich noch einmal zu hinterfragen, ob man der Quelle der Datei wirklich vertraut.

Praxistipp: Wer sich mit dem Edge Browser anfreunden kann, nutzt den Smartscreen Filter automatisch. Wer noch den alten Internetexplorer kennt sollte Egde eine Chance geben. Es ist ein neuer Browser der nichts mit den IE gemeinsam hat. Außerdem wird er in einem AppContainer (einer Art Sandbox) ausgeführt was für zusätzliche Sicherheit sorgt.

Der kontrollierte Ordnerzugriff

Seit Windows 10 Version 1709 (Fall Creators Update) gibt es dieses feature. Wenn man es aktiviert, werden bestimmte Ordner für den generellen Zugriff durch andere Programme gesperrt. So kann eine eingeschleppte Ransomeware nicht einfach auf die eigenen Dateien zugreifen um sie zu verschlüsseln. In den Windows 10 Einstellungen kann man ausnahmen z.B. für das eigene Office Programm hinzufügen. So ist ein normales arbeiten weiter möglich. ACHTUNG: Dieses Feature kann man nur nutzen, wenn man sich auch für den Windows Defender als Virenschutz entscheidet.

Praxistipp: Den Kontrollierten Ordnerzugriff kann man in den Windows Einstellungen im "Windows Defender Security Center" aktivieren. Ich habe den Desktop aus den zu schützenden Ordnern wieder entfernt. Zum einen, da dort bei mir sowie keine Dateien im Original liegen, zum Anderen, weil sonst jede Software die ich installiere daran gehindert wird eine Desktopverknüpfung anzulegen. Hier hat sich bei mir der Komfort durchgesetzt :-)

Software Restriction Policies (SRP)

Diese Technologie ist die Kernkomponente eines abgesicherten Windows Systems. Es ist die wahrscheinlich mächtigste Waffe von Windows gegen unbekannte Malware.

Eine Antivirus Software (AV) arbeitet mit einer sogenannten Blacklist - einer Liste bekannter Schädlinge - und versucht, diese zu blockieren / zu entfernen. Manche Security Suiten versuchen auch das Risiko einer Datei aufgrund ihres Verhaltens einzuschätzen. Diese Ansätze führen in der Praxis dazu, dass neue Malware häufig nicht erkannt wird. Erst nach einigen Tagen und entsprechender Updates wird die Bedrohung gefunden und bekämpft.

Die SRP von Windows verfolgen den umgekehrte Ansatz. Anstelle einer Blacklist auf der bösartige Software steht, wird ein Whitelistansatz verfolgt. Man legt also fest welche Programme und Dateien ausgeführt werden dürfen. Durch diesen Ansatz können sogar Bedrohungen blockiert werden die bisher unbekannt sind und vom AV übersehen werden. Diese Techologie ist bereits seit langem Bestandteil des Windows Betriebssystems. Man kann es beispielsweise auch schon problemlos unter Windows 7 verwenden.

Leider ist das aktivieren und konfigurieren der SRP unter Windows nicht so einfach möglich. Wer Windows 10 in der Professional variante einsetzt kann SRP durch den Editor für die "Locale Sicherheitsrichtlinie" (einfach in die Windows-Suche eingeben) aktivieren und steuern. Auch in Windows 10 Home ist diese Technologie implementiert. Hier kann man sie aber nur durch das Setzen entsprechender Registry Keys aktivieren und konfigurieren. Beides überfordert den normalen Benutzer. Im Ergebnis kennen und nutzen viele diese Technik nicht obwohl sie einen erheblichen Sicherheitsgewinn bietet.

Zum Glück gibt es mittlerweile kleine Tools, die einen beim setzen und konfigurieren der SRP helfen. Im deutschsprachigen Raum ist beispielsweise der "Restric'tor" der C't Redaktion sehr bekannt (2).

Praxistipp: Mein persönlicher Favorit ist der “Hard Configurator” (3). Damit kann man mit wenigen Klicks eine empfohlene SRP Basiskonfiguration erstellen ("Recommended SRP") die für die meisten Anwender problemlos funktioniert. Außerdem bietet er neben den SRP noch weitere Konfigurationsmöglichkeiten, die die Sicherheit eines Windows 10 Rechners erhöhen ("Recommendet Restrictions"). Aber dazu vielleicht in einem späteren Post mehr von mir.

Windows Defender (WD)

In einem durch SRP abgesicherten System bildet das Antivirenprogramm nur noch die zweite Verteidigungslinie. Welches man da einsetzt ist natürlich Geschmackssache. Doch anders als unter Windows 7 ist der Windows Defender unter Windows 10 ein vollwertiger Virenscanner der mittlerweile mit guten Testergebnissen aufwarten kann (4). Er ist außerdem gut im System integriert und sehr wartungsarm, da er durch die Windows Updates auf dem laufenden gehalten wird.

Praxistipp: In den Windows Defender Einstellungen den Echtzeitschutz, den cloudbasierten Schutz und den kontrollierten Ordnerzugriff aktivieren. Dies sollte man allerdings nur tun, solange man keine anderen Virenscanner mit Echtzeitschutz laufen lassen möchte.

Übersicht der verschiedenen Schutzmechanismen

Technologie	Bemerkungen
SUA - Standardbenutzer	Verhindert, dass Malware administrative Rechte erlangt und sich tief im System einnisten kann. Funktioniert nur zusammen mit Brain.exe (5).
UAC - Benutzerkontensteuerung	Verhindert, dass ungefragt Änderungen an installierten Programmen oder Windowseinstellungen vorgenommen werden können. Funktioniert nur zusammen mit Brain.exe (5).
SmartScreen Filter	Warnt vor bösartigen Websites und verdächtigen / unbekannten Downloads.
Kontrollierter Ordnerzugriff	Ein feature des Windows Defender. Es erlaubt den Zugriff auf festgelegte Ordner nur durch zuvor ausgewählte Programme. Ransomeware hat es dadurch schwerer einfach mal eben alle eigenen Dateien zu verschlüsseln.
SRP - Locale Sicherheitsrichtlinien für Software	Windows erlaubt nur das Ausführen von Programmen aus bestimmten Ordnern oder mit bestimmten Hashwerten. Auch bestimmte Dateitypen wie Scripte können pauschal geblockt werden. SRP verhindert die Ausführung von Malware die durch Sicherheitslücken im Hintergrund heruntergeladen wird und ausgeführt werden soll.
Windows Defender	Das kostenlose Anti Viren Programm von Microsoft. Wichtig, aber eben nur ein kleiner Teil einer umfassenden Sicherheitsstrategie.

Diese Aufstellung ist nicht abschließend. Aber ich hoffe es ist deutlich geworden, dass Windows 10 "out of the box" viele Technologien beinhaltet, die - in ihrer Gesamtheit genutzt - ein solides Sicherheitspaket bilden. Nutzt man sie konsequent kann man, auch ohne einen cent auszugeben oder eine Vielzahl von Drittanbieterprogrammen zu installieren, entspannt bleiben...

---

(1) https://www.golem.de/news/antivirensoftware-die-schlangenoel-branche-1612-125148.html
(2) https://www.heise.de/download/product/restrictor
(3) https://github.com/AndyFul/Hard_Configurator
(4) http://winfuture.de/news,101748.html
(5) https://brain.yubb.de