Dateinamenerweiterungen bei bekannten Dateitypen einblenden
Jede Datei hat unter Windows eine Dateiendung, die meist aus drei Zeichen besteht. Leider blendet der Windows Explorer diese Endungen standardmäßig aus. Windows lässt zudem mehrere Punkte im Dateinamen zu, sodass nur der letzte Punkt den Dateinamen von der Dateiendung trennt. Dies stellt dann ein großes Sicherheitsrisiko dar, wenn eine ausführbare Datei nicht mehr als solche erkannt wird. Um Dateiendungen immer angezeigt zu bekommen, kann entweder im Menüband des Explorers im Reiter "Ansicht" das Kontrollkästchen "Dateinamenerweiterungen" eingestellt oder folgender Registrierungseintrag gesetzt werden:
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced
Registry-Eintrag | Empfohlener Wert |
---|---|
HideFileExt | REG_DWORD 0x00000000 (0) |
Nutzerkonten trennen
Administrative Tätigkeiten sollten von alltäglichen Tätigkeiten durch unterschiedliche Konten voneinander getrennt werden: Ein Standard-Benutzerkonto pro Nutzer*in für alltägliche Arbeiten und ein Benutzerkonto, welches in die lokale Administrator*innengruppe gestellt wird, für administrative Aufgaben (wie Softwareinstallationen und Systempflege). Das gilt insbesondere für Systeme mit erhöhten Sicherheitsanforderungen.
Bei verwalteten Arbeitsplatzcomputern ist dies gängige Praxis. Aber auch auf Computern, die man selbst administriert, sollte diese Regel eingehalten werden. Fordert ein Änderung am System administrative Rechte, werden dieser zwar erst nach einer Zustimmungsabfrage (Benutzerkontensteuerung, UAC) gewährt. Aber eine echte Kontenseparierung schützt vor ggf. bisher noch unbekannten Schwachstellen in der Benutzerkontensteuerung, vor übereilten Zustimmungen sowie unter geschobenen programmierbaren USB-Eingabegeräten[1], wodurch ungewollte Änderungen am System wirkungsvoller verhindert werden.
Um diese Trennung zu forcieren, sollte eingestellt werden, dass sich ein Nutzer mit einem Konto, das zur Gruppe der Administratoren gehört, anmelden muss, um Programme auszuführen, für die eine Erhöhung der Berechtigungen erforderlich ist.[2] Die Erhöhung der Rechte sollte nur auf dem sicheren Desktop und nach Eingabe der Zugangsdaten gewährt werden. Das vordefinierte Administratorkonto sollte deaktiviert bleiben, da es ein beliebtes Ziel für Brute-Force-Angriffe darstellt.[3]
Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | Lokale Richtlinien | Sicherheitsoptionen
Gruppenrichtlinieneinstellung | Empfohlene Option |
---|---|
Benutzerkontensteuerung: Verhalten der Eingabeaufforderung für erhöhte Rechte für Standardbenutzer*innen | Anforderungen für erhöhte Rechte automatisch ablehnen |
Benutzerkontensteuerung: Verhalten der Eingabeaufforderung für erhöhte Rechte für Administrator*innen im Administratorgenehmigungsmodus | Eingabeaufforderung zu Anmeldeinformationen auf dem sicheren Desktop |
In den Einstellungen für Benutzerkontensteuerung sollte Windows zudem bei Änderungen "Immer benachrichten", damit keine Zustimmungsausnahmen für Systemeinstellungen und Dienstprogramme gelten:
Systemsteuerung -> Alle Systemsteuerungselemente -> Benutzerkonten -> Einstellungen der Benutzerkontensteuerung ändern
(Schalter ganz oben)
oder via Registry-Eintrag:
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System
Registry-Eintrag | Empfohlener Wert |
---|---|
ConsentPromptBehaviorAdmin | REG_DWORD 0x00000002 |
Application (Directory) Whitelisting
Die Benutzerkontensteuerung UAC unter Windows soll zwar u.a. verhindern, dass (auch unter Konten, die der Gruppe der Administratoren angehören) Änderungen am System nicht automatisch gewährt werden, sondern sich ein Zustimmungsdialog zur manuellen Rechteerhöhung öffnet. Dies bietet jedoch selbst keinen verlässlichen Schutz vor Infizierung mit Schadsoftware, welche gar nicht auf höhere Zugriffsrechte angewiesen ist.[4] Einmal ausgeführt, kann Schadsoftware unbemerkt Dateien im Nutzerverzeichnis des Betriebssystems und auf Netzlaufwerken verschlüsseln oder sich in den Autostart auf Dauer einnisten.
Application (Directory) Whitelisting begrenzt das Ausführen von Programmen aus zuvor festgelegten, schreibgeschützten Verzeichnissen. Ist das Ausführen von Programmen nur aus Verzeichnissen erlaubt, in welche lediglich ein administrative*r Nutzer*in schreiben darf, ist eine Infizierung des Systems über das unbemerkte oder gewollte Ausführen von Schadprogrammen durch nicht privilegierte Benutzer*innen deutlich unwahrscheinlicher.
Windows 10 (Enterprise und Education) bringt mit AppLocker, einer Weiterentwicklung der Richtlinien für Software-Einschränkung (SRP)[5], eine bereits integrierte Funktionalität mit. Voraussetzung ist der Dienst "Anwendungsidentität" (AppIDSvc), der also automatisch gestartet werden muss.
Die folgenden Regeln stammen aus der Veröffentlichung der NSA und wurden um Empfehlungen des NCSC (s. Literatur) ergänzt: applocker_starter_policy.xml
Das Starter-Regelwerk kann einfach in dem Gruppenrichtlinienbaum von AppLocker via Rechtsklick importiert werden.
Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | Anwendungssteuerungsrichtlinien | AppLocker
Gegebenenfalls muss das Regelwerk an die eigenen Bedürfnisse angepasst werden.
Sicherheitskritische Betriebssystemfunktionalitäten isolieren
Virtualization Based Security (VBS) bezeichnet in Windows 10 eine auf Microsofts Virtualisierungstechnologie Hyper-V basierende Technik für eine sichere, von der normalen Umgebung isolierten, in der weniger vertrauenswürdige oder exponiertere Komponenten im Betriebssystem, z.B. die Speicherung sensibler Daten und die Ausführung kryptografischer Operationen, ausgeführt werden.[6] Sind die System-Voraussetzungen[7] (SecureBoot, GPT-Partitionsstil, Hyper-V etc.) gegeben, sollte VBS aktiviert werden.
Computerkonfiguration | Administrative Vorlagen | System | Device Guard
Gruppenrichtlinieneinstellung | Empfohlene Option |
---|---|
Virtualisierungsbasierte Sicherheit aktivieren | Aktiviert
|
Windows Defender Antivirus und Exploit Guard
Das Bayerischen Landesamtes für Datenschutzaufsicht (BayLDA) empfiehlt, den Windows Defender Antivirus nicht zu verwenden, erklärt ihre Gründe dafür aber nicht. Die BPOL, das ACSC und das NCSC (s. Literatur) hingegen halten den eingebauten Antiviren-Schutz nicht grundsätzlich für ungeeignet. Auch in neueren unabhängigen Tests schneidet die Antiviren-Software sehr gut ab. Es scheinen derzeit keine belastbaren Gründe zu geben, die es zweifelsfrei rechtfertigen, von der Verwendung abzuraten und statt dessen eine Lösung eines Drittanbieters (z.B. Sophos) einzusetzen. Um nach Anwendung des gp-pack den Defender Antivirus wieder zu reaktivieren, müssen folgende Einstellungen gesetzt werden:
Computerkonfiguration | Administrative Vorlagen | Windows-Komponenten | Windows Defender Antivirus
Gruppenrichtlinieneinstellung | Empfohlene Option |
---|---|
Windows Defender Antivirus deaktivieren | Deaktiviert |
Computerkonfiguration | Administrative Vorlagen | Windows-Komponenten | Windows Defender Antivirus | Echtzeitschutz
Gruppenrichtlinieneinstellung | Empfohlene Option |
---|---|
Aktivieren der Verhaltensüberwachung | Aktiviert |
Deaktivieren von Echtzeitschutz | Deaktiviert |
Computerkonfiguration | Administrative Vorlagen | Windows-Komponenten | Windows Defender Antivirus | Signaturaktualisierungen
Gruppenrichtlinieneinstellung | Empfohlene Option |
---|---|
Definieren der Dateifreigaben für das Herunterladen von Definitionsupdates | Nicht konfiguriert |
Definieren der Reihenfolge der Quellen für das Herunterladen von Definitionsupdates | Nicht konfiguriert |
Bemerkung: Aus Datenschutzperspektive ist jedoch der Cloud-basierte Schutz des Defenders problematisch und im gp-pack auch explizit deaktiviert: Microsoft Antimalware Protection Service (MAPS) ist die Onlinecommunity, die die Verbreitung neuer Infektionen durch Schadsoftware zu verhindern versucht, in dem Informationen wie Speicherort zusammen getragen werden, falls Schadsoftware entfernt wurde. Diese zusätzlichen Informationen helfen Microsoft dann bei der Erstellung neuer Definitionen. In einigen Fällen könnten unbeabsichtigt vertrauliche Informationen gesendet werden, so dass Datenschützer*innen und die BPOL nicht zur Aktivierung raten.
Wenn Windows Defender Antivirus als primäre Echtzeit-Scan-Engine gegen Schadsoftware eingesetzt wird (vgl. Pro und Contra oben), sollten zudem folgende Einstellungen gesetzt werden:
Computerkonfiguration | Administrative Vorlagen | Windows-Komponenten | Windows Defender Antivirus | Scan
Gruppenrichtlinieneinstellung | Empfohlene Option |
---|---|
Überprüfung auf die aktuellen Viren- und Spywaredefinitionen vor Ausführung eines geplanten Scans | Aktiviert |
Scannen von Wechseldatenträgern | Aktiviert |
Aktivieren von E-Mail-Scans [nur bis einschl. 1809] | Aktiviert |
Es gab Fälle, in denen Schadsoftware über Installer kostenfreier Software verbreitet wurde, aber von Windows (lediglich) als potenziell unerwünschten Applikationen (PUA) eingestuft wurden. Der Windows Defender kann PUA zwar blockieren, tut es aber standardmäßig nicht. Mit der folgenden Richtlinie schalten Sie die PUA-Erkennung scharf:
Computerkonfiguration | Administrative Vorlagen | Windows-Komponenten | Windows Defender Antivirus
Gruppenrichtlinieneinstellung | Empfohlene Option |
---|---|
Konfigurieren der Erkennung für potenziell unerwünschte Anwendungen | Aktiviert
|
Attack Surface Reduction (ASR) und Controlled Folder Access (CFA)[8] sind recht neue Sicherheitsfunktionen im Windows Defender Exploit Guard, welche allerdings nicht ohne den Windows Defender Antivirus auskommen.[9]
Bei ASR versucht der Defender mittels der Überwachung der beliebtesten Infektionswege von Malware, eine Infektion zu verhindern. Die Funktion wird über die Richtlinieneinstellung aktiviert und unter der Angabe der GUIDs der gewünschten Regeln[10] als Wertenamen (mit jeweils dem Wert '1') konfiguriert. Das NCSC (s. Literatur) empfiehlt die folgenden Regel-GUIDs:
Computerkonfiguration | Administrative Vorlagen | Windows-Komponenten | Windows Defender Antivirus | Windows Defender Exploit Guard | Verringerung der Angriffsfläche
Gruppenrichtlinieneinstellung | Empfohlene Option |
---|---|
Regeln zur Verringerung der Angriffsfläche konfigurieren | Aktiviert
|
Bei CFA erlaubt Windows nur 'vertrauenswürdigen' Programmen, Änderungen an Daten in als wichtig deklarierten ('geschützten') Ordnern vornehmen zu können - wenn sich schon eine Schadsoftware auf dem System eingenistet hat, dann soll sie so wenig Schaden wie möglich anrichten können. Die Funktion wird ebenfalls über die Richtlinieneinstellung aktiviert und konfiguriert.
Computerkonfiguration | Administrative Vorlagen | Windows-Komponenten | Windows Defender Antivirus | Windows Defender Exploit Guard | Überwachter Ordnerzugriff
Gruppenrichtlinieneinstellung | Empfohlene Option |
---|---|
Überwachten Ordnerzugriff konfigurieren | Aktiviert
|
In den Standardeinstellungen hat Microsoft bereits vertrauenswürdige (zulässige) Anwendungen und zu schützende Ordner vorgegeben. Über die entsprechenden Richtlinieneinstellungen daneben ("Zulässige Anwendungen konfigurieren" sowie "Geschützte Ordner konfigurieren") können weitere hinzugefügt werden. Für einzelne Anpassungen dürfte der Weg über die GUI schneller und bequemer sein:
Einstellungen -> Update und Sicherheit -> Windows-Sicherheit -> Viren- & Bedrohungsschutz -> Einstellungen für Viren- & Bedrohungsschutz -> Einstellungen verwalten -> Überwachter Ordnerzugriff -> Überwachten Ordnerzugriff verwalten
Datenausführungsverhinderung für alle Programme und Dienste aktivieren
Software soll eigentlich nur in den dafür vorgesehenen Speicherbereichen ausgeführt werden. Durch Fehler im Algorithmus kann es möglich sein, dass Daten in andere, nicht dafür vorgesehene Speicherbereiche geschrieben werden. Data Execution Prevention (DEP) soll verhindern, dass dies nicht für Angriffe ausgenutzt (d.h. Programmcode aus nicht erlaubten Bereichen des Arbeitsspeichers ausgeführt) werden kann.
Standardmäßig ist dieser Schutz nur für Windows-Systemdateien eingesetzt, sollte aber grundsätzlich für alle Programme und Dienste (mit Ausnahme-Optionen) aktiviert werden:
Systemsteuerung -> System -> Erweiterte Systemeinstellungen -> Erweitert -> Leistung -> Einstellungen... -> Datenausführungsverhinderung
oder via Terminal (mit Administratorrechten)
> BCDEDIT /set {current} nx OptOut
Abgesicherter Modus (Safe-Mode) für Standardnutzer*innen verbieten
Das Booten in Windows im Safe-Mode birgt die Gefahr, Sicherheitsfunktionen wie Application (Directory) Whitelisting umgehen zu können.[9] Um dieses Risiko zu verringern, sollte dies nur Konten mit Administratorrechten erlaubt sein. Der folgende Registrierungseintrag kann implementiert werden, um zu verhindern, dass Nicht-Administrator*innen die Optionen des abgesicherten Modus verwenden:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System
Registry-Eintrag | Empfohlener Wert |
---|---|
SafeModeBlockNonAdmins | REG_DWORD 0x00000001 (1) |
Angriffe über die Überschreibenfunktion des Ausnahmehandlers SEH abwehren
Die Structured Exception Handling Overwrite Protection (SEHOP) ist ein bereits in Windows 7 integrierter Schutz gegen Angriffe über die Überschreibenfunktion des Ausnahmehandlers SEH[12].
Bei älteren Versionen von Anwendung kann SEHOP jedoch zu Fehlern führen (z.B. Cygwin, Skype). Um dieses Problem zu beheben, sollte es genügen, die neuste Version der betroffenen Anwendung einzuspielen.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\kernel\
Registry-Eintrag | Empfohlener Wert |
---|---|
DisableExceptionChainValidation | REG_DWORD 0x00000000 (0) |
Fußnoten
[1]
vgl. c't 05/2015, S. 170
[2]
[3]
[4]
Für weitere Informationen zu den Sicherheitseigenschaften von UAC s. www.itmz.uni-rostock.de/anwendungen/software/windows/sicherheit/grundlagen/wozu-dient-uac/
[5]
[6]
vgl. docs.microsoft.com/en-us/windows/desktop/procthread/isolated-user-mode--ium--processes; Das BSI zählt VMS in Verbindung mit dem darauf aufbauenden "Credential Guard" zum Schutz vor Angriffen auf die im System gespeicherten Authentisierungstoken und -hashes im Domain-Betrieb bereits zum Stand der Technik, vgl. www.bsi.bund.de/DE/Themen/Cyber-Sicherheit/Empfehlungen/SiSyPHuS_Win10/AP6/SiSyPHuS_AP6_node.html; IT-Grundschutz-Baustein SYS.2.2.3(A11)
[7]
vgl. docs.microsoft.com/en-us/windows-server/virtualization/hyper-v/system-requirements-for-hyper-v-on-windows; Microsoft stellt ein Tool bereit, um zu prüfen, ob das eigene Gerät fähig ist, Device Guard und Credential Guard auszuführen, vgl. www.microsoft.com/en-us/download/details.aspx
[8]
Beide Funktionen sind zu empfehlen, wenn auch im Fall CFA wohl nicht ganz makellos, vgl. www.heise.de/security/meldung/Der-Erpressungstrojaner-Schutz-von-Windows-10-hat-eine-riesige-Luecke-Office-Apps-3962158.html, www.bleepingcomputer.com/news/microsoft/windows-10s-controlled-folder-access-anti-ransomware-feature-is-now-live/
[9]
[10]
Tabelle der möglichen Regeln und der damit verbundenen möglichen Einschränkungen vgl. docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-exploit-guard/attack-surface-reduction-exploit-guard
[11]
Über Registryeinträge (HKLM\System\CurrentControlSet\Control\SafeBoot\Network) kann AppLocker auch im abgesicherten Modus (auch für Administratoren) erzwungen werden, vgl. NCSC.