Was kann ich tun

Was kann ich tun, um schon mein Betriebssystem etwas besser abzusichern.

Wir zeigen was man bei Windows machen kann.

Installation des Betriebssystems kann schon was ändern !

bei der Installation von Windows sollte man einen anderen Verzeichnisnamen als "c:\windows" wählen(dies kann verhindern, das andere unbefugte Benutzer gleich das Stammverzeichnis von Windows kennen)

stellen Sie Ihren PC so, dass keiner Einsicht auf den Monitor von Fenstern hat oder einfach auf den Monitor schauen kann.

Zusätzlich können allgemein Schutzsysteme den Computer vor anderen Personen den Zugriff verwehren. (Chipkartenleser , Festplattenschloss)

Sie sollten die Auto-Start Funktionen für Ihr CD-ROM und/oder CD-Brenner unter Systemsteuerung/System/Geräte-Manager/CD-ROM "Automatsiche Benachrichtigung beim Wechsel" ausschalten. Denn auch einige Programm können direkt von der CD-Rom gestartet werden.

	bei der Installation von Windows sollte man einen anderen Verzeichnisnamen als "c:\windows" wählen(dies kann verhindern, das andere unbefugte Benutzer gleich das Stammverzeichnis von Windows kennen)
	stellen Sie Ihren PC so, dass keiner Einsicht auf den Monitor von Fenstern hat oder einfach auf den Monitor schauen kann.
	Zusätzlich können allgemein Schutzsysteme den Computer vor anderen Personen den Zugriff verwehren. (Chipkartenleser , Festplattenschloss)
	Sie sollten die Auto-Start Funktionen für Ihr CD-ROM und/oder CD-Brenner unter Systemsteuerung/System/Geräte-Manager/CD-ROM "Automatsiche Benachrichtigung beim Wechsel" ausschalten. Denn auch einige Programm können direkt von der CD-Rom gestartet werden.

Deinstallationen von Programmen die nicht benötigt werden !

Entfernen Sie den Personal Web Server von Ihrem System, solange Sie nicht vorhaben, anderen Benutzern einen Zugang zu Ihrem Rechner einrichten zu wollen: Start---> Einstellungen ---> Software ---> Windows Setup ---> Internet Programme ---> Personal Web Server

Entfernen Sie den DFÜ-Server, solange Sie nicht vorhaben, anderen Benutzern einen Zugang zu Ihrem Rechner einrichten zu wollen:
Start ---> Einstellungen ---> Software ---> Windows Setup ---> Verbindungen ---> DFÜ-Server

Entfernen Sie den Windows Scripting Host, der für die Ausführung von Visual Basic Scripts verantwortlich ist (und für VBS basierte Viren), solange sie nicht auf einem netzunabhängigen PC VBS für Automatisierungsaufgaben nutzen wollen:
Start ---> Einstellungen ---> Software ---> Windows Setup ---> Zubehör ---> Windows Scripting Host

	Entfernen Sie den Personal Web Server von Ihrem System, solange Sie nicht vorhaben, anderen Benutzern einen Zugang zu Ihrem Rechner einrichten zu wollen: Start---> Einstellungen ---> Software ---> Windows Setup ---> Internet Programme ---> Personal Web Server
	Entfernen Sie den DFÜ-Server, solange Sie nicht vorhaben, anderen Benutzern einen Zugang zu Ihrem Rechner einrichten zu wollen: Start ---> Einstellungen ---> Software ---> Windows Setup ---> Verbindungen ---> DFÜ-Server
	Entfernen Sie den Windows Scripting Host, der für die Ausführung von Visual Basic Scripts verantwortlich ist (und für VBS basierte Viren), solange sie nicht auf einem netzunabhängigen PC VBS für Automatisierungsaufgaben nutzen wollen: Start ---> Einstellungen ---> Software ---> Windows Setup ---> Zubehör ---> Windows Scripting Host

Das Startverhalten Ihres PCs bestimmen SIE !

im BIOS die Startreihenfolge so abändern, dass nur von C gebootet wird ( sollten Sie nicht viel von der Zusammensetzung des Computers verstehen, so lassen Sie dies bitte durch einen Fachmann einstellen)

sichern sie das BIOS mit einem Passwort (was nicht verhindert, dass man es nicht doch auslesen oder deaktivieren könnte)

wenn der BIOS Baustein zum Updaten und Auslesen per Jumper mit einem Schreibschutz versehen werden kann, aktivieren Sie ihn

	im BIOS die Startreihenfolge so abändern, dass nur von C gebootet wird ( sollten Sie nicht viel von der Zusammensetzung des Computers verstehen, so lassen Sie dies bitte durch einen Fachmann einstellen)
	sichern sie das BIOS mit einem Passwort (was nicht verhindert, dass man es nicht doch auslesen oder deaktivieren könnte)
	wenn der BIOS Baustein zum Updaten und Auslesen per Jumper mit einem Schreibschutz versehen werden kann, aktivieren Sie ihn

Der Browser in Ihrem Computer ! (InternetExplorer)

Internet Explorer

weitere Browser können Sie gerne bei uns anfragen. Gelten aber lediglich für Einzelplatzanwender und nicht für Netzwerkcomputer.

	weitere Browser können Sie gerne bei uns anfragen. Gelten aber lediglich für Einzelplatzanwender und nicht für Netzwerkcomputer.

Optionen

Menü Extras\Internetoptionen

unter Extras\Internetoptionen\Sicherheit\Zone "Internet"

Die hier vorgeschlagenen Einstellungen sollten erst einmal für alle Webseiten (Zone "Internet") gelten. Nur die URLs einzelner Websites, die Sie mit Überlegungals wirklichvertrauenswürdig einschätzen (wie z. B. der eigenen Onlinebank) und bestimmte Funktionen benötigen, können Sie in die Zone "Vertrauenswürdige Sites" eingeben. Dort können dann die meisten Funktionen weniger restriktiv eingestellt werden.
Und Sites, die nur einzelne Funktionen benötigen und bedingt als vertrauenswürdig eingestuft werden können (wie z. B. den deutschen Rewebber-Dienst), sortieren Sie in die Zone "Eingeschränkte Sites" ein.
Besondere Aufmerksamkeit sollte man den ActiveX, Java-Einstellungen und Scripting Optionen schenken. Die folgenden Einstellungen behandeln die Optionen so restriktiv wie möglich.

ActiveX-Steuerelemente und Plugins

ActiveX-Steuerelemente sicher

Deaktivieren

ActiveX-Steuerelemente unsicher

Deaktivieren

ActiveX-Steuerelemente und Plugins ausführen

Deaktivieren

Download signierte ActiveX-Steuerelemente

Deaktivieren

Download unsignierte ActiveX-Steuerelemente

Deaktivieren

Benutzerauthentifizierung

Anmeldung

Nach Benutzername und
Kennwort fragen

Cookies

gespeicherte Cookies

Deaktivieren

nichtgespeicherte Cookies

Deaktivieren

Download

Datei

Aktivieren

Schriftart

Aktivieren

Java

Java-Einstellungen
(für Zone: Internet)

Benutzerdefiniert unter Button Java Einstellungen
Signierter Inhalt & Nicht signierter Inhalt: Deaktivieren
oder mindestens unter Einstellungen
Java deaktivieren/Hohe Sicherheit

Für die Zone: Eingeschränkte Sites sollte für Java Hohe Sicherheit gelten, bzw. in den benutzer-

definierten Einstellungen die Option Bestätigung für die meisten Einstellungen gewählt werden. Abgestuft dazu können für die Zone: Vertrauenswürdige Sites Aktive Inhalte aktiviert und Java auf niedrige Sicherheit eingestellt werden, bzw. die meisten benutzerdefinierten Java-Einstellungen aktiviert werden
- Diese Einstellung sollte den wenigsten Websites zuteil werden!

Scripting

Active Scripting

Deaktivieren

Scripting von Java-Applets

Deaktivieren

Verschiedenes

Datenquellen über Domänengrenzen

Deaktivieren

Dauerhaftigkeit der Benutzerdaten

Deaktivieren

Installation von Desktopobjekten

Deaktivieren

Programme...IFRAME starten

Deaktivieren

Subframes zwischen verschiedenen Domänen...

Deaktivieren

Unverschlüsselte Formulardaten

Eingabeaufforderung

Ziehen, Ablegen, Kopieren, Einfügen von Dateien

Eingabeaufforderung

Zugriffsrechte für Softwarechannel

Hohe Sicherheit

unter Extras\Internetoptionen\Erweitert

Browsing

Automatische Überprüfung auf Aktualisierungen

Deaktivieren

Installation auf Anfrage aktivieren

Deaktivieren

Zählen der übertragenen Seiten

Deaktivieren

Java

Java-Protokollierung

Aktivieren

Sicherheit

Auf zurückgezogene Zertifikate überprüfen

Aktivieren

Bei ungültigen Site-Zertifikaten warnen

Aktivieren

Beim Wechsel...warnen

Aktivieren

PCT 1.0 verwenden

Deaktivieren

Profil-Assistent aktivieren

Deaktivieren

SSL 2.0 verwenden

Deaktivieren (muss bei Servern,
die nur mit SSL 2.0 arbeiten,
fallweise aktiviert werden)

SSL 3.0 verwenden

Aktivieren

TLS 1.0 verwenden

Aktivieren

Verschlüsselte Seiten nicht...

Aktivieren

Warnen, falls Formulardaten...

Aktivieren

unter Extras\Internetoptionen\Inhalt

Persönliche Informationen - AutoVervollständigen

Webadressen

kann aktiviert werden

Formulare

sollte deaktiert werden

Benutzernamen und Kennwörter

Deaktivieren

unter Extras\Internetoptionen\Verbindungen

Vor dem Wählen Systemsicherheit prüfen

Aktivieren

DFÜ-Einstellungen\Einstellungen

Automatische Suche der Einstellungen

Deaktivieren

Automatisches Konfigurationsskript

Deaktivieren

Proxyserver verwenden

Aktivieren

im Menü Erweitert nun die IP-Adresse und die Portnummer des favorisierten Proxyservers für HTTP und FTP eingeben. Bei Verwendung von Junkbuster als IP-Adresse 127.0.0.1 und als Portnummer 8000 für HTTP und FTP eingeben. ( gilt nur bei Anwendung eines LocalProxyservers und bei Kenntnissen hierüber )

Kennwort

nicht angeben

LAN-Einstellungen

hier die Einstellungen aus DFÜ-Einstellungen\Einstellungen wiederholen

Ihr Internetzugang sollte bedacht eingestellt werden.

Netzwerkeinrichtung in der Systemsteuerung Ihres Computers

maximal in der Netzwerkeinstellung den DFÜ-Adapter und das TCP/IP-Protokoll einrichten, alle weiteren Komponenten sollten entfernt werden

den DFÜ-Adapter nur an das TCP/IP-Protokoll binden

ist in den Eigenschaften/Erweitert die Option "Protokoll-Datei erstellen" aktiviert, sollte man sich darüber im klaren sein, dass in der Datei c:\windows\ppplog.txt das Einwahlpasswort im Klartext abgelegt wird

in den Eigenschaften des TCP/IP-Protokolls die Option "NetBIOS über TCP/IP" deaktivieren

Deaktivieren Sie die Datei- und Druckerfreigabe, sollte die Funktion aktiviert sein.

	maximal in der Netzwerkeinstellung den DFÜ-Adapter und das TCP/IP-Protokoll einrichten, alle weiteren Komponenten sollten entfernt werden
	den DFÜ-Adapter nur an das TCP/IP-Protokoll binden
	ist in den Eigenschaften/Erweitert die Option "Protokoll-Datei erstellen" aktiviert, sollte man sich darüber im klaren sein, dass in der Datei c:\windows\ppplog.txt das Einwahlpasswort im Klartext abgelegt wird
	in den Eigenschaften des TCP/IP-Protokolls die Option "NetBIOS über TCP/IP" deaktivieren
	Deaktivieren Sie die Datei- und Druckerfreigabe, sollte die Funktion aktiviert sein.

Ihr Datenverkehr im Internet und worauf man achten sollte.

Browsen Sie nur über ein eigenes Proxyprogramm wie Junkbuster, Muffin oder ByProxy.
Alternativ kann man auch webbasierte Anonymservices wie Anonymizer (ohne SSL) oder Rewebber (mit SSL/Javascript) benutzen, was eventuell mit Geschwindigkeitseinbussen verbunden ist.
Hierfür verwendet man Programme wie Junkbuster.

Löschen Sie in regelmässigen Abständen oder automatisch mit Hilfe eines Tools den Cache Ihres Browsers, da über Webseiten mit ActiveX und/oder Java(script) der Inhalt der Caches ausgelesen werden kann. (wie bereits berichtet)
führen)

Verwenden Sie im Usenet, Chat oder WWW-Foren nicht Ihren richtigen Realnamen, sondern ein Pseudonym mit Vor- und Nachnamen, dass aber permanent gleichlautend bleibt, damit andere Usenetteilnehmer Ihre Postings (Mail) trotzdem eindeutig identifizieren können. Fügen Sie auch keine sonstigen, persönlichen Identifikationsmerkmale wie Telefon-Nr. oder Adresse in Ihre Beiträge oder Signaturen ein. (wird oft verkannt und dennoch falsch gemacht)
Hinweis: Der Gebrauch von Pseudonymen verstösst gegen die Netiquette, nach der Realnamen im Usenet verwendet werden sollen.

schalten Sie in Ihrem Newsreaderprogramm die "X-No-Archive" Option ein, die verhindert, dass bei einigen Suchmaschinen und Newsgroupinhaltesammlern Ihre Postings nicht archiviert werden, sofern Sie nicht wünschen, dass Ihre Postings einfach und breit gestreut über Archivierungsdienste wieder abgerufen werden können.

Überprüfen Sie Ihre Konfiguration, Firewall- und Filterprogramme auf Sicherheitslöcher und offene Ports über Checkservices, die auch auf unserer Seite angeboten werden im Online-Check-Verfahren.

	Browsen Sie nur über ein eigenes Proxyprogramm wie Junkbuster, Muffin oder ByProxy. Alternativ kann man auch webbasierte Anonymservices wie Anonymizer (ohne SSL) oder Rewebber (mit SSL/Javascript) benutzen, was eventuell mit Geschwindigkeitseinbussen verbunden ist. Hierfür verwendet man Programme wie Junkbuster.
	Löschen Sie in regelmässigen Abständen oder automatisch mit Hilfe eines Tools den Cache Ihres Browsers, da über Webseiten mit ActiveX und/oder Java(script) der Inhalt der Caches ausgelesen werden kann. (wie bereits berichtet) führen)
	Verwenden Sie im Usenet, Chat oder WWW-Foren nicht Ihren richtigen Realnamen, sondern ein Pseudonym mit Vor- und Nachnamen, dass aber permanent gleichlautend bleibt, damit andere Usenetteilnehmer Ihre Postings (Mail) trotzdem eindeutig identifizieren können. Fügen Sie auch keine sonstigen, persönlichen Identifikationsmerkmale wie Telefon-Nr. oder Adresse in Ihre Beiträge oder Signaturen ein. (wird oft verkannt und dennoch falsch gemacht) Hinweis: Der Gebrauch von Pseudonymen verstösst gegen die Netiquette, nach der Realnamen im Usenet verwendet werden sollen.
	schalten Sie in Ihrem Newsreaderprogramm die "X-No-Archive" Option ein, die verhindert, dass bei einigen Suchmaschinen und Newsgroupinhaltesammlern Ihre Postings nicht archiviert werden, sofern Sie nicht wünschen, dass Ihre Postings einfach und breit gestreut über Archivierungsdienste wieder abgerufen werden können.
	Überprüfen Sie Ihre Konfiguration, Firewall- und Filterprogramme auf Sicherheitslöcher und offene Ports über Checkservices, die auch auf unserer Seite angeboten werden im Online-Check-Verfahren.

Achten Sie auf einige der Einstellungen, nicht alle hier genannten Möglichkeiten treffen auf jeden Benutzer zu aber können vielen das benutzen des Internet leichter und sicherer machen.

Unser Tip: Schauen Sie sich nach einer geeigneten Desktop-Firewall um und fragen Sie wenn Sie etwas nicht wissen.

Wir bieten gerne unsere Hilfe an bei der Einrichtung der ZoneAlarm Firewall und haben auch eine deutsche Anleitung von [Gotho] bei uns auf der Webseite zum downloaden.

webmaster@german-secure.de

Menü Extras\Internetoptionen
unter Extras\Internetoptionen\Sicherheit\Zone "Internet"
Die hier vorgeschlagenen Einstellungen sollten erst einmal für alle Webseiten (Zone "Internet") gelten. Nur die URLs einzelner Websites, die Sie mit Überlegungals wirklichvertrauenswürdig einschätzen (wie z. B. der eigenen Onlinebank) und bestimmte Funktionen benötigen, können Sie in die Zone "Vertrauenswürdige Sites" eingeben. Dort können dann die meisten Funktionen weniger restriktiv eingestellt werden. Und Sites, die nur einzelne Funktionen benötigen und bedingt als vertrauenswürdig eingestuft werden können (wie z. B. den deutschen Rewebber-Dienst), sortieren Sie in die Zone "Eingeschränkte Sites" ein. Besondere Aufmerksamkeit sollte man den ActiveX, Java-Einstellungen und Scripting Optionen schenken. Die folgenden Einstellungen behandeln die Optionen so restriktiv wie möglich.
ActiveX-Steuerelemente und Plugins
ActiveX-Steuerelemente sicher	Deaktivieren
ActiveX-Steuerelemente unsicher	Deaktivieren
ActiveX-Steuerelemente und Plugins ausführen	Deaktivieren
Download signierte ActiveX-Steuerelemente	Deaktivieren
Download unsignierte ActiveX-Steuerelemente	Deaktivieren
Benutzerauthentifizierung
Anmeldung	Nach Benutzername und Kennwort fragen
Cookies
gespeicherte Cookies	Deaktivieren
nichtgespeicherte Cookies	Deaktivieren
Download
Datei	Aktivieren
Schriftart	Aktivieren
Java
Java-Einstellungen (für Zone: Internet)	Benutzerdefiniert unter Button Java Einstellungen Signierter Inhalt & Nicht signierter Inhalt: Deaktivieren oder mindestens unter Einstellungen Java deaktivieren/Hohe Sicherheit
Für die Zone: Eingeschränkte Sites sollte für Java Hohe Sicherheit gelten, bzw. in den benutzer- definierten Einstellungen die Option Bestätigung für die meisten Einstellungen gewählt werden. Abgestuft dazu können für die Zone: Vertrauenswürdige Sites Aktive Inhalte aktiviert und Java auf niedrige Sicherheit eingestellt werden, bzw. die meisten benutzerdefinierten Java-Einstellungen aktiviert werden - Diese Einstellung sollte den wenigsten Websites zuteil werden!
Scripting
Active Scripting	Deaktivieren
Scripting von Java-Applets	Deaktivieren
Verschiedenes
Datenquellen über Domänengrenzen	Deaktivieren
Dauerhaftigkeit der Benutzerdaten	Deaktivieren
Installation von Desktopobjekten	Deaktivieren
Programme...IFRAME starten	Deaktivieren
Subframes zwischen verschiedenen Domänen...	Deaktivieren
Unverschlüsselte Formulardaten	Eingabeaufforderung
Ziehen, Ablegen, Kopieren, Einfügen von Dateien	Eingabeaufforderung
Zugriffsrechte für Softwarechannel	Hohe Sicherheit
unter Extras\Internetoptionen\Erweitert
Browsing
Automatische Überprüfung auf Aktualisierungen	Deaktivieren
Installation auf Anfrage aktivieren	Deaktivieren
Zählen der übertragenen Seiten	Deaktivieren
Java
Java-Protokollierung	Aktivieren
Sicherheit
Auf zurückgezogene Zertifikate überprüfen	Aktivieren
Bei ungültigen Site-Zertifikaten warnen	Aktivieren
Beim Wechsel...warnen	Aktivieren
PCT 1.0 verwenden	Deaktivieren
Profil-Assistent aktivieren	Deaktivieren
SSL 2.0 verwenden	Deaktivieren (muss bei Servern, die nur mit SSL 2.0 arbeiten, fallweise aktiviert werden)
SSL 3.0 verwenden	Aktivieren
TLS 1.0 verwenden	Aktivieren
Verschlüsselte Seiten nicht...	Aktivieren
Warnen, falls Formulardaten...	Aktivieren
unter Extras\Internetoptionen\Inhalt
Persönliche Informationen - AutoVervollständigen
Webadressen	kann aktiviert werden
Formulare	sollte deaktiert werden
Benutzernamen und Kennwörter	Deaktivieren
unter Extras\Internetoptionen\Verbindungen
Vor dem Wählen Systemsicherheit prüfen	Aktivieren
DFÜ-Einstellungen\Einstellungen
Automatische Suche der Einstellungen	Deaktivieren
Automatisches Konfigurationsskript	Deaktivieren
Proxyserver verwenden	Aktivieren
im Menü Erweitert nun die IP-Adresse und die Portnummer des favorisierten Proxyservers für HTTP und FTP eingeben. Bei Verwendung von Junkbuster als IP-Adresse 127.0.0.1 und als Portnummer 8000 für HTTP und FTP eingeben. ( gilt nur bei Anwendung eines LocalProxyservers und bei Kenntnissen hierüber )
Kennwort	nicht angeben
LAN-Einstellungen
hier die Einstellungen aus DFÜ-Einstellungen\Einstellungen wiederholen