Sichern von Windows XP Professional in einer Peer-to-Peer-Netzwerkumgebung
Auf dieser Seite
Einführung
Peer-to-Peer-Netzwerke können die Produktivität erhöhen, denn sie vereinfachen die gemeinsame Verwendung von Informationen und Ressourcen im Netzwerk. Da die Computerbenutzer den Zugriff auf ihren Computer steuern können, sind sie jedoch unter Umständen anfällig für Datendiebstahl, Datenverluste oder eine unbeabsichtigte Freigabe von Informationen. Aus diesem Grund sollten Sie nicht nur eine Datenverarbeitungsrichtlinie für Ihr Unternehmen durchsetzen, sondern Sie und Ihre Mitarbeiter sollten sich auch unbedingt mit den Grundlagen von Peer-to-Peer-Netzwerken und Sicherheit unter Windows vertraut machen. Zu den grundlegenden Vorgehensweisen gehören:
| • | Ständige Aktualisierung durch Windows-Sicherheitsupdates |
| • | Verwenden von Antivirus-Software |
| • | Verwenden der Internetverbindungsfirewall |
| • | Verwenden sicherer Kennwörter |
| • | Keine gemeinsame Verwendung von Dateien und Ordnern mit Hosts im Internet |
| • | Einschränken von Berechtigungen für freigegebene Ordner auf das erforderliche Minimum |
| • | Nur der Mindestanzahl erforderlicher Ordner freigeben |
| • | Deaktivieren der Freigabe, wenn diese nicht benötigt wird |
Angesichts der zunehmenden Bedrohung durch bösartigen Code, zum Beispiel Würmer, Viren und Bedrohung durch Hacker, sollten alle Kunden unverzüglich ihre Desktop- und tragbaren Computer absichern. In diesem Dokument wird erläutert, wie die Sicherheitsmassnahmen für Umgebungen kleiner oder mittlerer Unternehmen umgesetzt werden, in denen Peer-to-Peer-Netzwerke verwendet werden. Diese Empfehlungen tragen dazu bei, dass Computer, auf denen Microsoft Windows XP Professional Service Pack 1 (SP1) ausgeführt wird, vor den meisten aktuellen Sicherheitsbedrohungen besser geschützt sind. Zusätzlich ist gewährleistet, dass die Benutzer weiterhin effizient und produktiv an ihren Computern arbeiten können.
In diesem Dokument werden die folgenden Aufgaben behandelt:
| • | Sichern des Dateisystems |
| • | Sichern der Benutzerkonten |
| • | Sichern des Zugriffs über das Netzwerk |
| • | Aktualisieren von Sicherheitspatches |
| • | Überprüfen der Sicherheit mit dem Microsoft Baseline Security Analyzer |
Neben der schrittweisen Anleitung finden Sie in diesem Dokument Informationen über die wichtigsten Sicherheitsempfehlungen, die Microsoft allen Kunden, vom Privatbenutzer bis zu Unternehmenskunden, anbietet.
WICHTIG: Alle Anweisungen in diesem Dokument wurden unter Verwendung des Startmenüs entwickelt, das in der Standardeinstellung nach Installation des Betriebssystems angezeigt wird. Wenn Sie das Startmenü geändert haben, können sich die Arbeitsschritte leicht unterscheiden.
Vorbereitung
Wie alle Sicherheitsempfehlungen strebt auch diese Anleitung die richtige Balance zwischen erhöhter Sicherheit und Benutzerfreundlichkeit an. Die hier gegebenen Empfehlungen eignen sich zuverlässig für Windows XP Professional-Bereitstellungen in einer Vielzahl von Umgebungen. Vor der Umsetzung dieser Empfehlungen sollten Sie jedoch beachten, dass das breite Spektrum an Anforderungen und Konfigurationen, die eventuell in grossen Unternehmen erforderlich sind, in diesem Dokument nicht berücksichtigt werden kann. Darüber hinaus werden in der Anleitung die spezifischen Sicherheitsbedürfnisse einiger Organisationen eventuell nicht vollständig behandelt.
Erforderliches Service Pack
Die Empfehlungen in diesem Dokument gelten nur für Computer, auf denen Windows XP Professional mit Service Pack 1 (SP1) oder SP1(a) ausgeführt wird und die einer ARBEITSGRUPPE angehören. Wenn Service Pack 1 auf einem bestimmten Computer nicht installiert ist oder Sie nicht wissen, ob es installiert ist, können Sie Ihren Computer auf der Seite Windows Update unter http://go.microsoft.com/fwlink/?LinkID=22630 auf verfügbare Updates überprüfen lassen. Wenn Service Pack 1 als verfügbares Update angezeigt wird, installieren Sie zunächst das erforderliche Service Pack, bevor Sie die in diesem Dokument beschriebenen Verfahren durchführen.
Administrative Anforderungen
Um die folgenden Schritte ausführen zu können müssen Sie als Administrator oder als Mitglied der Administratorengruppe angemeldet sein,. Wenn Ihr Computer mit einem Netzwerk verbunden ist, werden Sie möglicherweise auch durch bestimmte Netzwerkrichtlinien an der Durchführung dieser Schritte gehindert.
Sicherheit des Dateisystems
Als Dateisystem wird die Art und Weise bezeichnet, in der Verzeichnisse und Dateien auf einem Computer organisiert sind. Es gibt verschiedene Möglichkeiten, das Dateisystem vor unberechtigtem Zugriff, vor Änderungen oder Löschungen zu schützen. In diesem Abschnitt finden Sie ausführliche Anweisungen zum Sichern des Dateisystems:
| • | Konvertieren der Dateisysteme zu NTFS |
| • | Verwenden von Antivirus-Software |
| • | Schützen von Dateifreigaben |
| • | Sichern freigegebener Ordner |
| • | Deaktivieren oder Löschen nicht benötigter Konten |
Konvertieren der Dateisysteme zu NTFS
Bei der Installation von Windows XP wird der Computer entweder mit dem Dateisystem FAT32 oder NTFS konfiguriert. FAT32 ist eine ältere Technologie, die in früheren Windows-Versionen eingesetzt wurde. NTFS ist schneller und sicherer als FAT32. Um eine optimale Leistung und Sicherheit des Betriebssystems zu gewährleisten, verwenden Sie NTFS auf allen Partitionen des Computers.
Überprüfen des Dateisystemtyps auf dem Computer
Bevor Sie das Dateisystem auf Ihrem Computer konvertieren, müssen Sie prüfen, ob NTFS nicht bereits verwendet wird. Um den Dateisystemtyp auf Ihrem Computer zu überprüfen gehen Sie folgendermassen vor (Wenn Sie mithilfe dieser Schritte feststellen, dass Sie bereits mit NTFS arbeiten, können Sie den Schritt Konvertieren des Dateisystems in NTFS weiter unten überspringen).
| • | So prüfen Sie den Typ des Dateisystems auf Ihrem Computer
|
Überprüfen Sie den Dateisystemtyp für alle Datenträger des Computers. Auch wenn bei der Installation des Betriebssystems ein FAT32-Dateisystem verwendet wurde, können Sie dieses Dateisystem ohne weiteres in NTFS umwandeln, um die Sicherheit zu erhöhen.
Konvertieren der Dateisysteme zu NTFS
Wenn Sie das Dateisystem zu NTFS umwandeln, notieren Sie sich den Namen des Datenträgers (auch Datenträgerbezeichnung genannt– im vorherigen Beispiel Laufwerk C – und führen Sie die folgenden Schritte aus.
| • | So konvertieren Sie das Dateisystem zu NTFS
|
Hinweis: Wenn Sie versuchen, das Laufwerk zu konvertieren, auf dem das Betriebssystem installiert ist, werden Sie unter Umständen aufgefordert, einen Neustart durchzuführen. Geben Sie in diesem Fall J ein, und starten Sie den Computer neu.
Verwenden von Antivirus-Software
Computerviren sind Programme, die ohne Ihr Wissen oder Ihre Zustimmung auf Ihr System übertragen werden. Viren und andere Arten bösartiger Software gibt es schon seit einigen Jahren. Die aktuellen Viren können sich selbst replizieren und über das Internet und E-Mail-Anwendungen in wenigen Stunden über die ganze Welt verbreiten.
Antivirus-Software schützt Ihren Computer vor vielen bekannten Viren, Würmern, trojanischen Pferden und anderem bösartigen Code. Antivirusprogramme durchsuchen Ihren Computer ständig nach Viren und helfen, Viren zu erkennen und zu entfernen. Mit der Installation der Antivirus-Software ist das Problem jedoch nur teilweise gelöst. Ebenso wichtig ist es, die Signaturdateien der Antivirus-Software ständig zu aktualisieren, damit die Desktopcomputer und tragbaren Computer sicher bleiben.
Auf vielen neuen Computern ist bereits eine Antivirus-Software installiert. Die Aktualisierung der Antivirus-Software erfordert jedoch ein Abonnement. Wenn Sie kein Abonnement für diese Updates haben, besteht für Ihren Computer wahrscheinlich kein Schutz vor neueren Bedrohungen.
Ein weiterer entscheidender Schritt zur Verhinderung von Virenangriffen besteht darin, die Benutzer zu einem vorsichtigen Umgang mit E-Mails anzuhalten. Die Benutzer sollten E-Mails und deren Anhänge nur öffnen, wenn sie die Dateien erwarten. Alle E-Mail-Anhänge sollten mit Antivirus-Software gescannt werden, bevor die Anhänge ausgeführt werden.
Eine Liste von Softwareanbietern, die mit Windows XP kompatible Antivirus-Software anbieten, finden Sie unter http://go.microsoft.com/fwlink/?LinkId=22381 .
Schützen von Dateifreigaben
Computer, auf denen Windows XP Professional ausgeführt wird und die nicht mit einer Domäne verbunden sind, verwenden für den Netzwerkzugriff standardmässig die so genannte "einfache Dateifreigabe". Hierbei werden alle Benutzer, die sich auf dem Computer über das Netzwerk anzumelden versuchen, dazu gezwungen, das Gastkonto zu verwenden. Das bedeutet, dass ein Netzwerkzugriff über Server Message Block (SMB) – für den Datei- und Druckerzugriff – sowie über Remote Procedure Call (RPC oder Remoteprozeduraufruf) – von den meisten Remoteverwaltungstools und vom Remoteregistrierungszugriff verwendet – nur für das Gastkonto zur Verfügung steht.
Bei der einfachen Dateifreigabe können Sie Dateifreigaben so erstellen, dass die Netzwerkbenutzer entweder nur schreibgeschützten Zugriff haben oder Dateien lesen, erstellen, ändern und löschen können. Die einfache Dateifreigabe ist für den Einsatz in einem Heimnetzwerk und hinter einer Firewall vorgesehen, etwa für die Internetverbindungsfirewall von Windows XP. Wenn Sie mit dem Internet verbunden sind und nicht hinter einer Firewall arbeiten, denken Sie daran, dass alle Dateifreigaben, die Sie erstellen, unter Umständen allen Benutzern im Internet zugänglich sind.
Sichern freigegebener Ordner
In Peer-to-Peer-Netzwerken von Windows können Sie den Inhalt des Dateisystems für andere Computer im Netzwerk freigeben. Bei den folgenden Schritten wird vorausgesetzt, dass zuvor mindestens ein Ordner im Dateisystem freigegeben wurde. Durch Ändern der Standardeinstellungen für das Dateisystem können Sie den unberechtigten Zugriff auf die freigegebenen Ordner erschweren.
| • | So sichern Sie einen freigegebenen Ordner
|
Hinweise:
| • | Sie können Berechtigungen nur für Laufwerke festlegen, die mit NTFS formatiert sind. |
| • | Wenn die Kontrollkästchen im Dialogfeld Berechtigungen nicht verfügbar sind, werden die Berechtigungen vom übergeordneten Ordner übernommen. |
| • | Um die Berechtigungen ändern zu können, müssen Sie den freigegebenen Ordner selbst erstellt haben oder vom Ersteller des Ordners eine entsprechende Berechtigung erhalten haben. |
| • | Gruppen oder Benutzer mit Vollzugriff auf einen Ordner können Dateien und Unterordner dieses Ordners löschen, unabhängig davon, durch welche Berechtigungen die Dateien und Unterordner geschützt sind. |
Deaktivieren oder Löschen nicht benötigter Konten
Deaktivieren oder löschen Sie nach der Installation von Windows XP Professional alle Benutzerkonten, die Sie nicht benötigen.
| • | So deaktivieren Sie ein Konto
|
| • | So löschen Sie ein Konto
|
Sichern der Benutzerkonten
Mithilfe von Kennwörtern, durch die Deaktivierung oder das Löschen nicht benötigter Konten und durch Festlegen von Kontensperren können Sie die Möglichkeiten unberechtigten Zugriffs auf Ihren Computer einschränken.
Verwenden von Kennwörtern
Es gibt zwei wichtige Gründe, für alle auf einem Windows-basierten Computer erstellten Benutzerkonten Kennwörter festzulegen. Erstens kann jeder Benutzer über das betreffende Benutzerkonto auf den Computer zugreifen, wenn Sie kein Kennwort festlegen.
Zweitens können sich lokale Benutzerkonten ohne Kennwort über die Konsolenanmeldung standardmässig direkt bei einem Computer anmelden, sich jedoch nicht remote anmelden. Diese Einschränkung gilt nicht für Domänenkonten oder für das lokale Gastkonto. Wenn das Gastkonto aktiviert ist und ein leeres Kennwort hat, kann es für die Anmeldung und den Zugriff auf alle Ressourcen in einem Peer-to-Peer-Netzwerk verwendet werden, für die das Gastkonto zugriffsberechtigt ist.
| • | So legen Sie ein Kennwort für ein vorhandenes Benutzerkonto fest beziehungsweise setzen das Kennwort zurück
|
Deaktivieren des Gastkontos
Diese Empfehlung gilt nur für Computer, auf denen Windows XP Professional ausgeführt wird und die zu einer Domäne gehören, oder für Computer, auf denen die einfache Dateifreigabe nicht verwendet wird.
Auf Computern mit Windows XP Professional, die nicht mit einer Domäne verbunden sind, müssen Benutzer, die sich über das Netzwerk anzumelden versuchen, standardmässig das Gastkonto verwenden. Dadurch werden Hacker daran gehindert, sich über ein lokales Administratorkonto ohne Kennwort anzumelden.
Wenn Sie die Remoteanmeldung über ein Gastkonto zulassen möchten, stellen Sie sicher, dass das Gastkonto auf allen Computern mit Windows XP Professional die nicht zu einer Domäne gehören aktiviert ist. Das lokale Gastkonto ist standardmässig aktiviert.
| • | So deaktivieren Sie das Gastkonto
|
Hinweis: Benutzer, die sich über das Gastkonto bei einem Computer anmelden, haben keinen Zugriff auf geschützte Dateien, Ordner und Einstellungen.
Aktivieren der Internetverbindungsfirewall
Eine Firewall ist ein Sicherheitssystem, das als Schutz zwischen einem Netzwerk und der Aussenwelt fungiert. Windows XP Professional enthält die Internetverbindungsfirewall, mit der Sie die Art der zwischen dem Internet und dem Netzwerk übertragenen Daten einschränken können. Die Internetverbindungsfirewall schützt einen einzelnen Computer, der über ein Kabelmodem, ein DSL-Modem oder ein DFÜ-Modem mit dem Internet verbunden ist. Die Internetverbindungsfirewall wird jedoch nicht benötigt, wenn es in Ihrem Netzwerk bereits eine Firewall oder einen Proxyserver gibt.
Wenn Sie in Ihrem Netzwerk die gemeinsame Nutzung der Internetverbindung verwenden, um mehreren Computern Zugriff auf das Internet zu geben, verwenden Sie die Internetverbindungsfirewall für die gemeinsam genutzte Internetverbindung. Die gemeinsame Nutzung der Internetverbindung und die Internetverbindungsfirewall können separat aktiviert werden.
Wenn Sie eine Internetverbindung gemeinsam verwenden, aktivieren Sie die Internetverbindungsfirewall nur auf dem Hostcomputer, der mit dem Internet verbunden ist. Der Hostcomputer tritt gegenüber dem Internet als einziger Computer im Internet auf und verbirgt die Computer in Ihrem Netzwerk. Der Hostcomputer mit aktivierter Internetverbindungsfirewall stellt einen zentralen Sicherheitspunkt für Ihren Hostcomputer und die Netzwerkcomputer dar. Computer mit älteren Windows-Versionen werden geschützt, ohne dass zusätzliche Firewalls benötigt werden.
Um die Internetverbindungsfirewall aktivieren zu können, müssen Sie auf dem Computer mit einem lokalen Administratorkonto angemeldet sein,.
Aktivieren Sie die Internetverbindungsfirewall nicht für virtuelle private Netzwerkverbindungen (VPN), die normalerweise für die sichere Anmeldung bei Unternehmensnetzwerken verwendet werden. Aktivieren Sie die Internetverbindungsfirewall nicht auf Clientcomputern, die zu einem grossen Unternehmens- oder Schulnetzwerk mit Server-Client-Struktur gehören. Die Internetverbindungsfirewall stört in diesen Fällen die Datei- und Druckerfreigabe.
| • | So aktivieren Sie die Internetverbindungsfirewall
|
Aktualisieren von Sicherheitspatches
Eine gute Möglichkeit zu gewährleisten, dass stets die aktuellen Sicherheitspatches verwendet werden, ist das Abonnement von Microsoft Security Bulletins, die Sie per E-Mail etwa zu derselben Zeit erhalten, zu der Sie durch die Funktion Automatische Updates über verfügbare Updates benachrichtigt werden. Melden Sie sich unter https://profile.microsoft.com/RegSysSubscriptionCnt/ für den Empfang der Security Bulletins per E-Mail an. Neben der Information durch Bulletins gibt es verschiedene andere Verfahren, mit denen sich die Installation von Sicherheitspatches automatisieren lässt.
Automatische Updates
Mit der Funktion Automatische Updates von Windows XP können die neuesten Sicherheitskorrekturen von Microsoft automatisch erkannt und übertragen werden. Diese Funktion lässt sich so konfigurieren, dass die Korrekturen automatisch im Hintergrund übertragen werden. Nach dem Download wird der Benutzer aufgefordert, die Updates zu installieren.
| • | So konfigurieren Sie Ihren Computer für automatische Updates
|
Überprüfen der Sicherheit mit dem Microsoft Baseline Security Analyzer
Im Rahmen des Strategic Technology Protection Program und als Antwort auf den Bedarf der Kunden nach einem rationellen Verfahren zur Erkennung häufiger Fehler in Sicherheitskonfigurationen hat Microsoft den Microsoft Baseline Security Analyzer (MBSA) entwickelt.
Der Microsoft Baseline Security Analyzer meldet unsichere Konfigurationen für die Betriebssysteme Windows 2000, Windows XP und Windows Server 2003 und nennt Patches, mit denen sich das Problem beheben lässt. Die Tests können lokal oder auf Remotecomputern ausgeführt werden.
| • | So installieren Sie den Microsoft Baseline Security Analyzer
|
Suchen nach Updates und Patches
| • | So suchen Sie mit dem MBSA nach Updates und Patches
|
Überprüfen auf sichere Konfiguration
MBSA sucht nicht nur nach fehlenden Sicherheitsupdates, sondern auch nach unsicheren Computerkonfigurationen.
| • | So suchen Sie nach sicheren Konfigurationen
|
Weitere Informationen
Weitere Informationen zur Sicherung von Windows XP finden Sie hier:
| • | Das vollständige deutschsprachige Sicherheitshandbuch für Windows XP Security Guide auf der Microsoft-Website können Sie unter http://go.microsoft.com/fwlink/?LinkId=14840 herunterladen. |
| • | Guide to Securing Windows XP Professional in Small and Medium Businesses auf der Microsoft-Website zum Downloaden der vollständigen Anleitung unter http://go.microsoft.com/fwlink/?LinkId=19453. |
Weitere Informationen über verwandte Themen zur Sicherung von Windows XP finden Sie hier:
| • | Unter Bedrohungen und Gegenmassnahmen: Sicherheitseinstellungen unter Windows Server 2003 und Windows XP auf der Microsoft-Website unter http://go.microsoft.com/fwlink/?LinkID=15159 |
| • | Microsoft's HotFix & Security Bulletin -Dienst unter http://go.microsoft.com/fwlink/?LinkId=22690 |