Schiff Ahoi.
In diesem, einem meiner ersten eigenen Howto-Beiträgen (weitere Security Howtos zu Linux Servern und Wordpress folgen), gibt es, abgesehen von viel heißer Luft, fix ein paar zuckersüße Tipps, die, anstelle der vielen im Netz gezeigten Standard-Konfigurationen, eine etwas sicherere Einrichtung einer Windows-Workstation ermöglichen (als ob das mit MS möglich wäre :).
Zum Ablauf: Nach den 7 Klugscheißer-Voraussetzungen-Tipps gibt es einen Beispiel-Auszug aus einer von mir eingerichteten Windows Workstation Ordnerstruktur und zu guter Letzt stelle ich für dieses gefahrene Konzept meine schärfsten Windows-Programme vor.
Und nun: Frisch an`s Werk!
Voraussetzungen, die beim Einrichten einer sicheren Workstation eingehalten werden sollten:
(1.) Mindestens zwei Partitionen/Platten.
Einige Vorteile, die für eine gesplittete Partitionierung sprechen:
- Die Systemplatte (C:) wird nicht unnötig zugemüllt und bleibt somit länger performant, sauber und geschmeidig
- Die Windows Systemdaten werden der Übersichtlichkeit her von den Userdaten getrennt.
- Eine zwecks Performance-Optimierung, hin und wieder mal nötige Defragmentierung von HDD’s läuft durch die Splittung schneller von statten, da man, je nach bedarf, die Laufwerke einzeln defragmentieren kann
- Einfacheres Backup & Recovery, da nur die betroffene Partiton recovert/gebackupt werden muss
- Oldschool Viren, die nur die Systempartition bespringen & durchnudeln, lassen andere Platten links liegen
- Nur die zweite Partition kann verschlüsselt werden, dadurch bleibt die Systempartition schnell und leichtfüßig
Beispiel: Auf meinem Arbeitsrechner huren auf der ersten, aus performance Gründen unverschlüsselten Partition (C:\) Windows 10 und ein paar andere essenzielle, nicht portablen Programme wie Photoshop herum. Auf der zweiten und verschlüsselten Partition (D:\) chillen alle wichtigen Daten, portablen Programme und die aktuellsten lokalen Backups hart ab.
(2.) Verschlüsselung der Datenpartition
Ihr glaubt gar nicht, was mir schon an brisanten Daten, wie Passwörter oder Finanzdaten, beim Durchtesten, Reparieren oder Recovern von diversen Festplatten, durch die Finger geglitten ist. Essenziell ist es deshalb, die Partition, in dem alle wichtigen Daten, wie portable Programme, Beschreibungen und lokale Backups liegen, "Correcto-mundo-mässig" zu verschlüsseln.
Vorteile:
- Sollte der Rechner/Laptop mal entwendet werden, verloren gehen, oder die Platte muss einfach mal ausrangiert werden, dann sind eure Programme/Zugangsdaten/Beschreibungen und Backups vor fiesen Zugriffen save.
- Programme, die keinen eigenen Passwortschutz innehaben, können durch den verschlüsselten Container trotzdem abgesichert werden.
Für die Verschlüsselung von Platten/Containern empfehle ich diese äusserst sympathischen Jungs und Mädels:
- Veracrypt (Open-Source)
- Cryptomator (Open-Source)
(3.) Nicht mit Systemwiederherstellungspunkten sparen
Verhaut man mit Systemkonfigurationsänderungen mal das System (z.B Programm- oder Treiber-Updates), so helfen Wiederherstellungspunkte, um das System, nach dem Motto “Zack, Zurück und geil” auf einen früheren, funktionierenden Stand zurücksetzen.
Ich erstelle Wiederherstellungspunkte immer bei frischen Windows-Installationen, bei Programmupdates und bei diversen anderen System/Tuning-Einstellungen.
(4.) Alle möglichen, vollgekackten Windows Spionage-Funktionen eliminieren
Wer es noch nicht mitbekommen hat: Windows, sowie auch sehr sehr viele andere Produkte von Microsoft nuckeln unter dem Deckmantel der Systemverbesserung und bestimmt auch nur zum “Schutz des Regenwaldes”, katastrophal hart an all deinen Dateien und Aktivitäten herum. Aus diesem Anlass sollte man alle Möglichkeiten nutzen, um diese nett gemeinten und hilfreichen Features den Garaus zu machen.
Hierzu gibt es zwei Möglichkeiten:
Erstens: Man kastriert die Spionage-Funktionen auf manuellem Weg, was auf jeden Fall scheiße ist, da es Microsoft anscheinend sehr sehr lustig findet, bei manch einem Windows-Update alle handgerollten und mundgelutschten Einstellungen wieder rückgängig zu machen.
Zweitens: Man nutzt einige dieser hier aufgeführten Anti-Spy-Tools:
- Optimizer (Open-Source)
- Winprivacy (Creative Commons)
- DisableWinTracking (Open-Source)
- WindowsSpyBlocker (Open-Source)
- O&O ShutUp10 (Free und sehr Anfängerfreundlich)
- Distrowatch (Anlaufstelle für die besten Open-Source Antispy Tools 🙂
- NTLite (Free/Paid. Erstellung eigener Spionagefreier Windows ISO für Fortgeschrittene)
Eine Kombination verschiedener Tools macht hier Sinn, da leider keines alles kann. Um nichts kaputt zu machen, sollte man sich am besten ein virtualisiertes Windows-Testsystem aufsetzen und alle Programme in Ruhe durchprobieren.
(5.) Backups. Am besten von allem was wichtig ist. Und am besten oft.
Ich sichere mir alle zwei Monate meine Systempartition (C:\) per Image-Abzug, die Datenpartition (D:\) einmal die Woche ab und täglich löse ich einen Datensync der veränderten Daten aus. Die Backups landen einmal verschlüsselt auf mein Home-NAS-System und einmal verschlüsselt auf meinen externen Root-Backup-Server.
Empfehlenswerte Backup/Sync Tools:
- Kopia (Backup – Open-Source)
- Duplicati (Backup – Open-Source)
- Rclone (Sync – Open-Source)
- Syncthing (Sync – Open-Source)
- Clonezilla (Disk-Cloning – Open-Source)
- Fog (Network Disk-Cloning – Open-Source)
- TestDisk (Data Recovery – Open-Source)
(6.) Soweit es geht nur (portable) Open-Source Programme benutzen
Einige Beispiele, warum portabel und warum Open-Source:
- Weil portable Tools nicht die Systempartition (C:\) vollscheißen
- Weil man mit portablen Tools einfacher gassi gehen kann (z.b USB-Stick, externe HD, usw.)
- Weil Open-Source-Tools auf Bugs, Hintertüren geprüft und gegebenenfalls selber erweitert werden können
- Da die meisten Tools leider keinen Zugriffsschutz bieten, hilft hier das Auslagern der portablen Programme auf eine verschlüsselte Partition
Bei mir werden, abgesehen von einem Arbeitsrechner, alle Systeme nur mit Open-Source Programmen gefüttert und wo immer nur möglich, als portable Versionen, auf die zweite, verschlüsselte Partition abgelegt. Mit der Taktik kommt auch der nette und hochgeskillte Onkel Admin nicht an euren heißen Stoff.
(7.) Programme & Ordner möglichst zwischen Arbeit & Privaten Angelegenheiten trennen
Das bedeutet, dass man z. B. den einen Browser nur für die reine Arbeit und einen anderen für die privaten Schweinereien benutzen sollte. Fängt man sich beim privaten Surfen irgendeine Schadsoftware ein, bleibt der Arbeits-Browser davon unberührt. Das Gleiche gilt auch für den Passwortmanager. Hier sollten die Passwörter, je nach Kategorie (Arbeit, Privat, Finanzen) in verschiedene Passwort-Datenbanken abgespeichert werden. So kann man je nach Gegebenheit mit der entsprechenden Passwortdatenbank spazieren gehen.
Auszug der Ordnerstruktur anhand einer Arbeits-Workstation (verschlüsselte Partition D:\)
D:\
- Arbeit
- Privat
D:\Media\
- Bilder
- Arbeit
- Privat
- Ebooks
- Musik
- Videos
D:\Programme\Browser\
- Tor Browser - Portable Firefox-Instanz zum Zurfen
- Chromium-Work - Portable Chromium-Instanz nur für die Arbeit (Web Logins, etc)
- Chromium-Cash - Portable Chromium-Instanz nur für die Finanzen (Banking, etc)
- Chromium-Chill - Portable Chromium-Instanz nur zum frivolen Surfen (Web, Social, etc)
D:\Programme\Rambo\Keepass\DB\
- work.kdbx - Keepass DB mit allen Kunden-Zugängen
- cash.kdbx - Keepass DB mit allen Banking/Money-Zugängen
- social.kdbx - Keepass DB mit allen Social-Media-Zugängen
D:\Programme\Systemtools\
- x96dbg (Programm-Debugger)
- BleachBit (Systembereinigung)
- WinDirStat (Plattenplatz-Anzeiger)
- ProcessHacker (Prozess-Monitor, Debugger)
D:\Programme\Kommunikation\
- Element - Matrix Chat-, Audio-/Video-Messenger
- Thunderbird - Email-Client
D:\Programme\Office\
- Laverna (Todo-Liste)
- LibreOffice (Office-Suite)
D:\Temp\
- Alles was temporär noch nicht eingeordnet ist
Favorisierte, portable Programme auf meiner Workstation (verschlüsselte Partition D:\)
Firewall:
Als Firewall kommt bei mir die Open-Source Firewall SimpleWall zum Einsatz. Diese leichtfüßige, sehr übersichtliche Firewall vergreift sich an der eingebauten Windows Filter Plattform (WFP).
Virenscanner:
ClamWin - Flotter, sehr aktuell gehaltener Virenscanner mit vielen Einstellungsmöglichkeiten wie Custom Filter, automatischer Virensignatur-Update-Funktion, planbaren Scans, Email-Reports u.v.m.
Sollte mir eine Datei “vely extremly spanish” vorkommen, dann scheue ich mich auch nicht davor, den kostenlosen Online-Virenscan-Dienst Virustotal, vom fiesen Datenschutzvergewaltigungs-Monster Google zu benutzen. Dieser Dienst jagt hochgeladene Dateien durch ca. 70 verschiedene Antiviren-Scanner.
Webbrowser:
Wie bereits erwähnt, fahre ich die Taktik, verschiedene Open-Source Browser für verschiedene Einsatzszenarien (Arbeit, Surfing, Testing, Privatsphäre, usw.) zu verwenden. Dabei kommen mir nur portable Versionen ins Haus. Da neben Chrome mittlerweile auch schon der Firefox Nutzerdaten sammelt, reite ich mit dem datenschutzfreundlicheren Chromium und dem Firefox-Fork Waterfox durch die digitale Prärie.
Bevorzugte Browser:
Die Browser werden, je nach Einsatzszenario, mit folgenden Security-Plugins ausgestattet:
Skript/PopUp/Tracker-Blocker
- uMatrix (Firewall)
- Privacy Badger (Blocker)
- Decentraleyes (Lokaler CDN Emulator)
- Cookie-AutoDelete (Cookie-Manager)
- Canvas Blocker (Canvas Killer - Firefox)
- Canvas Defender (Canvas Killer - Chrome)
URL-Tracking Cleaner
- Neat-URL (Firefox)
- URL-Tracking-Stripper (Chromium)
Weitere, sehr gute Browser Security Plugins
Die Browser werden nach dem einrichten auf folgenden Online-Seiten durchgetestet
Empfehlenswerte Suchmaschinen
Kommunikation:
Für die direkte Live-Kommunikation benutze ich momentan den quelloffenen Tox Instant Messenger. Dieser ist angetreten, um der Skype-Wanze in die Fresse zu hauen. Im Gegensatz zu anderen Open-Source Messengern wie Signal, braucht der Kommunikationspartner bei Tox nicht die Mobile Rufnummer zu kennen, um mit einem per Chat, Video oder Anruf in Kontakt zu treten. Es wird eine Tox-ID generiert, welche dem Kommunikationspartner übertragen wird und schon kann es loslegen. Die portable Version von Tox ist ein weiterer Pluspunkt gegenüber vielen anderen (Open-Source) Messengern.
- qTox - Portabler Tox Instant Messenger Client
Beim Mailing kommt das 3er-Gespann Thunderbird inklusive GPG-Verschlüsselung und Enigmail zum Einsatz
Texting/Editing:
Zum flotten Bearbeiten von kurzen, schmerzlosen Texten oder Konfigurationsfiles benutze ich den Notepad++ Texteditor. Geht es um das Coden von Skripten, schmeiße ich den Atom-Editor an. Zum Speichern von kleinen Programm/Code-Snippets oder zum Erstellen von Checklisten, greift mir Laverna unter die Arme. Für alle anderen Office-Arbeiten kommt LibreOffice ins Spiel. PS: Alle Text/Konfigurationsfiles stehen bei mir unter Git- Versionsverwaltung.
Virtualisierung:
Für die Virtualisierung von verschiedenen Betriebssystemen benutze ich Virtualbox. Ich setze Virtualbox meist zur Security-Analyse von Programmen und Email-Anhängen ein. Wenn neue Programme zum Einsatz kommen sollen, werden diese immer zuerst in einer virtuellen Maschine ausgetestet. Das Gleiche gilt für das Austesten von verschiedenen Win-Konfigurationseinstellungen. Nebenbei benutze ich für meine Finanzangelegenheiten (Elster, Rechnungen, Überweisungen) eine isolierte Linux-Instanz.
File-Management:
Um möglichst geschmeidig und effektiv durch die unendlichen Weiten des Windows File-Systems zu wandern, benutze ich den Double-Commander als eine genialere und viel geilere Alternative zum schei… Windows-Explorer, der auch im 21 Jahrhundert noch immer kein Tabbing kennt. Der Dateibrowser kommt mit praktischer Zwei-Fenster-Ansicht, Drag-n-Drop-, Archiv-, Volltextsuch-, Multi-Rename- und Datei-Betrachter-Funktion daher.
Systemanalyse:
Für die System- und Programm-Analyse, das Monitoring oder zur Fehlersuche sind mir folgende Programme wohlgesonnen:
- x96dbg (Programm Debugger)
- Process Hacker (Info/Analyse)
- Nmap (Security Scanner)
- Wireshark (Packet Sniffer)
- Quick Hash GUI (Datei-Hashing Tool)
Einen nicht quelloffenen, aber umso kostenloseren und durchaus scharfen Info-/Analyse-Werkzeugkasten, bekommt man mit der Sysinternals Suite ausgehändigt.
Misc und Media:
Der Rest der Programmbande
- PeaZip (Entpacker)
- Git for Windows (Git)
- MPC-HC (Media-Player)
- cmder (Konsolen-Emulator)
- WinSCP (Remote Datenübertragung)
- mRemoteNG (Remote-Connection-Manager)
So, ende der Fahnenstange. Ich hoffe, dass dieses kleine Howto einigermaßen verständlich ist und das es irgendeinem beim Einrichten eines etwas sichereren Windows Systems weiterhilft. Wer Fragen oder Anregungen dazu hat, immer gerne in den Kommentaren reinhauen.
PS: Wer auf richtige Sicherheit steht und wem es möglich ist, von Windows auf Linux zu wechseln, dem kann ich wärmstens das Qubes-OS Linux System empfehlen, welches sehr einfach und in verschieden starken Sicherheitsstufen, mehrere voneinander abgeschirmte virtuelle Umgebungen bereitstellt.
Epic!!!
Senk u muchos