Mehr Sicherheit für Windows 10

Microsoft EMET und Lokale Sicherheitsrichtlinien

28 02 16 - 12:40 Stichwörter: , , , , , ,

Aktuell sind Krypto-Trojaner die Hauptpestilenz der Zeit, aber unabhängig vom Schädlingstyp und vom eingesetzten Antivirusprogramm der Wahl hinterlässt die grundsätzliche Sicherheit von Windows bei Version 10 wie schon bei den Vorversionen einen suboptimalen Eindruck. Dabei kann man mit Microsoft EMET und den Lokalen Sicherheitsrichtlinien von Windows 10 sämtlichen Computerspitzbuben das Übernehmen des eigenen Rechners viel schwerer machen.


Drei grundsätzliche Gedanken vorab

1. Es gibt keine hundertprozentige Sicherheit, daher: Daten sichern, Daten sichern, Daten sichern!

Und nein, auch andere Betriebssysteme als Windows bieten keine hundertprozentige Sicherheit, sie sind aktuell nur unattraktiver für Angriffe. Gerade bezüglich Krypto-Trojanern ist wichtig, eine möglichst aktuelle Datensicherung aller wichtigen Daten zu haben, auf die der Krypto-Trojaner keinen Zugriff hatte.
Das heißt: Zum einen sollte man so oft wie nur irgendwie möglich seine Daten sichern, zum anderen sollte das Gerät, auf das man sichert, nur während des Sicherns mit dem Computer verbunden sein, sonst nicht.

Sollte dann trotz aller Vorsicht ein Krypto-Trojaner zuschlagen und alle Dateien verschlüsseln (um dann Lösegeld für die Entschlüsselung zu fordern), dann konnte er zumindest nicht die Datensicherung verschlüsseln, und man kann beruhigt das System plätten, neu aufsetzen und die Sicherung einspielen.

2. Man braucht Windows 10 Professional (oder Enterprise, aber das führt hier zu weit).

Windows 10 Home mag billiger sein, aber Windows 10 Professional bietet wirklich einige Einstellungsmöglichkeiten mehr, die das Leben angenehmer machen, und das nicht nur offensichtlich in den PC-Einstellungen (z.B. weniger Daten an Microsoft übertragen, Zeitpunkt für die Update-Installation selbst festlegen, Feature-Upgrades ein paar Monate zurückstellen), sondern eben auch bei nicht ganz so offensichtlichen Möglichkeiten wie den Lokalen Sicherheitsrichtlinien, die kann man in Windows 10 Home nämlich nicht einstellen.

Windows 10 Home lässt sich zu Windows 10 Professional upgraden entweder kostenpflichtig über den Windows Store oder ab Windows 10 Version 1511 (Update vom November 2015) mit einem schon vorhandenen Product Key von Windows 7 / 8 / 8.1 Professional.

3. Man braucht Zugriff auf den betreffenden PC.

Hier geht es grundsätzlich um die Verschärfung der Sicherheitsregeln von Windows. Das muss zwingend irgendwelche Auswirkungen haben, sonst hat es ja wenig Sinn. Normalerweise wird also das eine oder andere Programm sich zu sehr eingeschränkt fühlen und nicht richtig funktionieren, oder das betroffene Windows wird hier und da das Öffnen einer Datei oder den Start eines Programms mit einer Fehlermeldung unterbinden.

Wenn man diesen Weg einmal beschritten hat, wird man kaum darum herumkommen, hier des öfteren noch nachzujustieren.
Entweder befindet sich also der betroffene PC in der Nähe , so dass man sich ganz entspannt jederzeit damit befassen kann, oder man muss wenigstens Fernwartungszugriff haben. Es macht ganz bestimmt keinen Spaß, das ganze am Telefon erklären zu müssen.


Microsoft EMET

Das Microsoft Enhanced Mitigation Experience Toolkit (EMET) rüstet in Windows einige restriktivere Sicherheitsfeatures nach, um das Ausnutzen von Sicherheitslücken zu erschweren:

Download und Beschreibung - Microsoft Support: Enhanced Mitigation Experience Toolkit (EMET)

Benutzung - PC-WELT: Programme mit EMET absichern

Für Windows 10 ist EMET 5.5 aktuell, diese Version bietet einen Einstellungs-"Wizard" an.

Microsoft EMET Wizard

Im Normalfall sollte es ausreichen, hier die "Recommended Settings" auszuwählen.

Microsoft EMET Recommended Settings

Mögliche Nebenwirkungen

Natürlich bedeutet die nachträgliche Überwachung und mögliche Funktionseinschränkung für bereits installierte Programme durch EMET, dass Programme eventuell nicht mehr richtig funktionieren. Dann muss man natürlich in EMET die Einstellungen für das entsprechende Programm etwas lockern.

Benutzung - PC-WELT: Programme mit EMET absichern


Lokale Sicherheitsrichtlinien - Richtlinien für Softwareeinschränkung

Damit böse Buben böse Dinge auf fremder Leute PC tun können, müssen Sie im Regelfall irgendwie eine ausführbare Datei zur Ausführung bringen. Das normale Benutzerkonto in Windows darf dies normalerweise fast überall im Dateisystem tun, wenn man dem Benutzer also auf eine der 'zig möglichen Arten irgendeine böse Datei untergeschoben bekommt, hat man als böser Bube fast schon gewonnen.

Doch das muss nicht so sein. Die Bordmittel von Windows 10 Professional erlauben es, die Ausführung von ausführbaren Dateien nur in explizit dafür freigeschalteten Dateipfaden zuzulassen.

Alle Apps (bzw. Programme) - Windows-Verwaltungsprogramme - Lokale Sicherheitsrichtlinie

- Per Rechtsklick als Administrator starten

Richtlinien für Softwareeinschränkung

- Per Rechtsklick Neue Richtlinien für Softwareeinschränkung erstellen

Lokale Sicherheitsrichtlinie 1

Sicherheitsstufen - Standardbenutzer

- Per Rechtsklick Als Standard einstellen

Lokale Sicherheitsrichtlinie 2

- Die folgende Sicherheitsnachfrage lesen, verstehen und mit Ja bestätigen

Lokale Sicherheitsrichtlinie 3

Zusätzliche Regeln

- Per Rechtsklick Neue Pfadregel... hinzufügen

Lokale Sicherheitsrichtlinie 4

So, hier wird es jetzt spannend, hier müssen jetzt alle Dateipfade einzeln vorgegeben werden, in denen ausführbare Dateien auch wirklich ausgeführt werden dürfen.
Normalerweise sollte "C:\Programme" (bzw. "C:\Program Files") standardmäßig auch ohne Eintrag hier funktionieren, allerdings funktionierte bei mir das Antivirusprogramm nicht mehr, was sich dort startete, also kann man mit diesem Eintrag ja schon einmal beginnen.

Pfad eintragen oder per Durchsuchen... auswählen
Sicherheitsstufe: Nicht eingeschränkt

Lokale Sicherheitsrichtlinie 5

Auf 64-bit-Systemen kann man entsprechend auch gleich "C:\Programme (x86)" (bzw. "C:\Program Files (x86)") eintragen.

An der Stelle lohnt erst einmal ein Neustart.

Per Ereignisanzeige kann man ab jetzt nachkontrollieren, was alles geblockt wird und eventuell mit weiteren Pfadregeln freigeschaltet werden muss.

Alle Apps (bzw. Programme) - Windows-Verwaltungsprogramme - Ereignisanzeige

- Per Rechtsklick als Administrator starten

Windows-Protokolle - Anwendung

Ereignisanzeige 1

Interessant sind hier alle Ereignisse, die in der Spalte Ebene als Warnung gekennzeichnet sind und denen in der Spalte Quelle die SoftwareRestrictionPolicies zugeordnet wurden.
Wenn man ein solches Ereignis in der Liste auswählt, wird unter der Liste im Reiter Allgemein angezeigt, welche Datei die betreffende Warnung ausgelöst hat.

Dann kann man in den Lokalen Sicherheitsrichtlinien wie oben beschrieben festlegen, wie man dieser Datei zur Ausführung verhelfen kann.

Dazu muss man sich aber wirklich Gedanken machen!

Alles, was im eigenen Benutzerordner stattfindet (C:\Benutzer\... bzw. C:\Users\...) ist so einschränkend wie möglich zu regeln, da hier Programme sonst halbwegs problemlos machen können, was sie wollen, und damit hätte man nichts gewonnen, Beispiele:

Dateien im Autostart-Ordner (C:\Users\...\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\...) sind sinnvoll nur einzeln mit vollem Dateipfad und Dateinamen freizuschalten.
Dateien im Dokumente-Ordner eines Benutzers (C:\Users\...\Documents\...) sind möglichst nur in selbst neu angelegten Ordnern freizuschalten.

Dann gibt es eventuell noch Programminstallationen, die direkt auf C: eigene Ordner angelegt haben, oder die zum Teil einen versteckten Ordner wie C:\ProgramData verwenden, das muss man dann halt genau prüfen.

Beabsichtigte Wirkungen

Nicht erlaubte Ausführungen von Dateien werden jetzt mit Fehlermeldungen blockiert.
Entweder wird einfach auf fehlende Berechtigungen verwiesen,

Fehlermeldung 1

oder das Programm der Wahl "wurde vom Systemadministrator geblockt".

Fehlermeldung 2

Portable Anwendungen auf USB-Sticks und ähnlichem sollten jetzt nicht mehr funktionieren.
Beim Freischalten sollte man beachten, dass Windows erfahrungsgemäß immernoch ab und zu die Laufwerksbuchstaben für solche Geräte durcheinander würfelt, solange man sie nicht fest vergeben hat, und in diesem Fall würde natürlich eine Pfadregel nicht mehr greifen.
Bei Bedarf sollte man also zuerst in der Datenträgerverwaltung den Laufwerksbuchstaben festlegen.

Der Desktop ist ein Ordner wie Dokumente, befindet sich also auch mit seinem gesamten Inhalt im Benutzerordner. Die Verknüpfungen zu Programmen sollten normalerweise funktionieren, auch wenn sie in der Ereignisanzeige noch Warnungen hinterlassen. Es kann aber passieren, dass Doppelklicks auf hier abgelegte Dateien oder Verknüpfungen zu Dateien nicht mehr funktionieren. Natürlich sollte man auch hier nicht den ganzen Desktop freischalten, sondern einzelne selbst angelegte Ordner, Dateien bzw. Verknüpfungen. Alternativ kann man sich meist mit Rechtsklick und "Öffnen mit" behelfen.


Dank an RolfKopter für die Anregung und ursprüngliche Anleitung.


Kein Kommentar



(optionales Feld)
(optionales Feld)

Auf dieser Seite werden die Kommentare moderiert.
Das bedeutet, dass die Kommentare erst dann veröffentlicht werden, wenn sie freigeschaltet wurden.

Persönliche Informationen speichern?
Hinweis: Alle HTML-Tags außer <b> und <i> werden aus Deinem Kommentar entfernt. URLs oder Mailadressen werden automatisch umgewandelt.