windows 10
windows 10

Windows 10 hart wie Kruppstahl: Wie halte ich mir Hacker vom Hals? Teil 1

In diesem Teil des Guides erläutern wir sehr ausführlich, wie Windows 10 abgehärtet werden kann für mehr Sicherheit und Privatsphäre.

In den vorherigen Teilen des Tarnkappe Guides wurden Netzwerkverbindungen und deren Anonymisierung via VPN bzw. Proxy behandelt. In diesem Teil erläutern wir, wie man Windows 10 abhärten kann, um für mehr Sicherheit und Privatsphäre zu sorgen.

Windows 10 Hardening: allgemeine Einführung

Was bedeutet eigentlich Hardening?

Unter dem Begriff Härten (englisch Hardening) fasst man in der Informatik das Erreichen gleich mehrerer Ziele zusammen. Allem voran möchte man sein Gerät vor der Ausnutzung von Verwundbarkeiten (Sicherheitslücken, offene Ports etc.) schützen und dem Hacker so wenig Einfallstore (Angriffsmethoden) wie möglich zur Verfügung stellen. Sollte es dem Cyberkriminellen dennoch gelingen, virtuell bei uns in den Desktop-PC oder ins Windows-Notebook einzubrechen, dann soll er dort kein leichtes Spiel haben. Natürlich schätzt man dabei gleichzeitig die eigene Privatsphäre nebst seinen Daten. Doch bei der IT-Security gehören zum Hardening noch weitaus mehr Ziele dazu, die beispielsweise hier erläutert werden.

Windows 10 – alles beinhaltet seine Vor- und Nachteile

Windows 10 ist die aktuelle Windows-Version von Microsoft, die als ein Rolling Release veröffentlicht wird. Rolling Release bedeutet, dass Microsoft sein Betriebssystem ständig aktualisiert.

Der Redmonder Softwarekonzern hat Windows im Vergleich zur vorherigen Versionen modernisiert. Die Entwickler haben zahlreiche überflüssige Funktionen entfernt und auch die Anzahl der Schwachstellen deutlich reduziert. Auch wenn Windows 10 eine merkliche Verbesserung darstellt, was den Sicherheitsaspekt betrifft, so sollte man dennoch seinem Windows Betriebssystem immer einem „Hardening“ unterziehen.

Folgende Komponenten können unter Windows 10 gehärtet werden:

 

Komponente: Grund bzw. Zweck:
Benutzer Stack Schutz der Anmeldedaten
Netzwerk Stack Netzwerkkommunikation
Funktionen und Rollen Deaktivieren von nicht benötigten Features
Updateablauf Schwachstellen patchen
Zeitsynchronisation Verhindern von Zeitverschiebungen
Firewall Schutz vor ungewollten Netzwerkverbindungen
Remotezugriff Verhindern von fremdem Zugriff
Dienste Angriffsflächen minimieren
Allgemeine Konfigurations Härtung Schutz von OS und Applikationen
Logging und Monitoring Analyse der Systemabläufe

 

Vor der Installation

prüfsumme, Windows 10

Aus eigenem Interesse sollte man auf die Verwendung von Windows 10 ISO Images aus unbekannter Quelle unbedingt verzichten. Es besteht die Möglichkeit, dass in die Images von Warez-Plattformen durch Tools wie NTlite bereits in das Installationsimage Schad- und/oder Spyware integriert wurde.

Grundsätzlich sollte man nur ISO Images und Datenträger aus offizieller Quelle von Microsoft verwenden. Außerdem sollte man die Prüfsumme der heruntergeladenen Installationsimages prüfen, um sicherzustellen, dass keine Manipulation während des Transportweges (Downloads) erfolgt ist.

 

Erste Schritte nach der Installation von Windows 10

Nach der Installation vom Windows 10 Image muss man einen Benutzer-Account erstellen. Es versteht sich von selbst, dass man hier ein lokales Konto dem Microsoft-Konto vorziehen sollte. Ein Microsoft-Konto enthält diverse Komponenten und Dienste, die direkt auf eine Verbindung zu Microsoft Servern angewiesen sind. So werden auch außerhalb von OneDrive sensible Daten und Informationen an die Server von Microsoft übertragen.

Mit der Verwendung eines lokalen Kontos, ohne die Verknüpfung eines Microsoft-Kontos, kann man Funktionen wie Cortana oder die automatische Synchronisation von Inhalten und Einstellungen nicht verfügbar. Microsoft hat diese Einschränkung der lokalen Nutzung nicht zufällig eingerichtet. Trotzdem sollte man unbedingt auf diese Komfort-Funktionen zur Maximierung der Privatsphäre verzichten.

domäne, windows 10

 

Für Computer in einer Domäne (Erklärung im Kasten rechts) muss man dann ein Domänen-Konto verwenden.

 

Anmeldung und Passwörter

Microsoft bietet seit Windows 10 neue und alt bekannte Möglichkeiten zur Anmeldung und Authentifizierung an.

Folgende Möglichkeiten stehen je nach verwendeter Hardware zur Verfügung:

  1. Passwort.
  2. PIN.
  3. Bild Code.
  4. Windows Hello mit biometrischer Gesichtserkennung.
  5. Windows Hello mit biometrischer Fingerabdruckerkennung.
  6. Sicherheitsschlüssel.

Nicht alle dieser Authentifizierungsarten eigenen sich für ein gehärtetes System. Nachfolgend erläutere ich jede der verfügbaren Anmeldemöglichkeiten.

passwörter

Passwort

Die Standard Lösung seit jeher: Passwörter sind, richtig zusammengesetzt und in regelmäßigen Abständen geändert, eine sichere Lösung zur Authentifizierung (Nachweis der Identität).

Ein Passwort sollte folgende Punkte erfüllen, um als sicher zu gelten:

  • mindestens 12 Zeichen lang (besser mehr!).
  • Sonderzeichen, Zahlen und Buchstaben sollten enthalten sein.
  • keine Wortkombinationen oder logische Zahlen und Buchstaben-Reihen.
  • rein zufällige Kombinationen.
  • Verzicht auf Online-Passwort-Generatoren. Dabei besteht stets die Gefahr, dass das Passwort später in den falschen Händen landet.

PIN mit Windows 10 verwalten

Microsoft Windows 10 empfiehlt beim ersten Anmelden mit einem neu eingerichteten Konto, statt eines Passwortes, doch eine PIN zu vergeben. Microsoft gibt an, dass dies sicherer als ein Passwort sein soll.

bruteforce

Diese Aussage ist völlig irritierend und entspricht nicht den allgemeinen Standpunkten der Sicherheit zu Passwörtern und PIN-Nummern. Eine kurze Zahlenfolge ist wesentlich einfacherer zu bruteforcen und zu merken, als ein Passwort nach den oben genannten Standards

Man kann nur dringend davon abraten, eine nummerische PIN anstatt eines Passwortes zu verwenden.

Bild-Code

Bei einem Bild-Code handelt es sich um ein Muster. Dieses Muster muss man mit der Maus oder auf einem Touchscreen mit dem Finger malen, um den Computer zu entsperren. Auf die Verwendung eines Bild-Codes sollte man aus den gleichen Gründen wie bei der PIN verzichten.

Windows Hello mit biometrischer Gesichtserkennung

Bei der Verwendung von Windows Hello mit biometrischer Gesichtserkennung, werden markante, einzigartige biometrische Punkte des Gesichtes erfasst. Damit stellt man sicher, dass es sich um die autorisierte Person zur Anmeldung handelt. Bei der Verwendung muss man zusätzlich ein Passwort für den Fall der Unerkennbarkeit oder eines Fehlers als sekundäre Anmeldemethode einrichten. Diese Methode ist allgemein als sicher anzusehen. Es gab aber bereits erfolgte Angriffe durch 3D-Nachbildungen des Gesichtes. Windows Hello setzt für seinen Betrieb entsprechende Hardware zur Gesichtserkennung voraus, die damit kompatibel sein muss.

Windows Hello mit biometrischer Fingerabdruckerkennung

Dies ist die gleiche Methode der Anmeldung wie bei der Gesichtserkennung, nur wird hier als biometrischer Faktor ein Fingerabdruck verwendet. Dies kann nicht unbedingt als sicher angesehen werden. Je nach Modell des Fingerabdruck-Scanners, reicht bereits eine auf den Finger aufgelegte Sekundenkleber-Kopie des Original-Fingerabdrucks aus, um das System zu überlisten. Moderne Scanner erkennen hingegen Manipulationsversuche dieser Art. Für den Einsatz benötigt man ebenfalls einen Fingerabdrucksensor, der mit Windows Hello kompatibel ist.

Sicherheitsschlüssel

Ein Sicherheitsschlüssel, auch Hardware Key genannt, ist ein digitaler Schlüssel, z.B. in Form eines USB-Sticks, welcher seine einzigartige manipulationssichere Hardware-Signatur nutzt, um eine Authentifizierung zu ermöglichen. Um sich unter Windows 10 mit einem Sicherheitsschlüssel anzumelden, muss dieser den Standard FIDO2 unterstützen. Diese Anmeldemethode ist absolut sicher.

Ein Sicherheitsschlüssel ist ab ca. 25 Euro erhältlich. Es ist sehr wichtig, unbedingt einen Schlüssel von namenhaften Herstellern aus seriösen Quellen zu verwenden (z.B. Yubikey)

Merke:  Die schlussendliche Wahl der passenden Methode ist Geschmackssache, generell sind aber Passwörter und Sicherheitsschlüssel als sehr sicher anzusehen!

VyprVPN private

Nach der Installation – Verschlüsseln der Festplatte mit Windows 10

Nach einer Standard Installation von Windows 10 ist das Dateisystem NTFS in einem unverschlüsselten Zustand. Das bedeutet, dass zum Beispiel jeder die Daten von dem Datenträger nach dem Ausbau und Anschluss an einen Computer oder mit einem Live-System auslesen kann. Die Daten in dem Dateisystem sind somit nicht sicher vor den Zugriff von Unbefugten. Damit wir einen solchen Zugriff verhindern können, muss man die Datenträger verschlüsseln. Dazu gibt es unter Microsoft Windows zwei weit verbreitete Möglichkeiten.

  1. Microsoft Windows Bitlocker
  2. Veracrypt

Bitlocker ist die von Microsoft entwickelte Lösung, diese ist nur in Windows Editionen ab Windows 10 Pro enthalten. Sie kann verschiedene Methoden der Sicherung nutzen und z.B. eine Authentifizierung über einen TPM-Chip ausführen. Ich persönlich rate von der Verwendung von Bitlocker ab, da es sich bei dieser Lösung um eine Closed Source Lösung handelt und damit etwaige Integrationen von Hintertüren nicht nachprüfbar sind. Kurz gesagt: Es kann nicht sichergestellt werden, dass keine Backdoors für US-Organe darin enthalten sind.

Die zweite Lösung ist Veracrypt.

Veracrypt ist das Nachfolgeprojekt von Truecrypt, welches unter fadenscheinigen Gründen eingestellt wurde. Die Open-Source-Lösung Veracrypt bietet man für fast alle Betriebssysteme an.

veracryptVeraCrypt installieren und einrichten

Für die Installation sollte Veracrypt unbedingt aus den offiziellen Quellen heruntergeladen werden. Der Installationsprozess ist selbsterklärend.

Festplatte verschlüsseln

Neben dem Erstellen von Containern (mehr dazu später), kann Veracrypt auch die gesamte Windows Installation verschlüsseln. Für die Verschlüsselung klickt man zunächst auf den Button „Volume erstellen“.

Nun kann man auswählen, ob ein Container erstellt werden soll. Mit der Option „Verschlüsselt eine Partition/ ein Laufwerk“ lassen sich Laufwerke verschlüsseln. Um die Festplatte zu verschlüsseln, auf der Windows installiert ist, wählt man „System-Partition oder System-Laufwerk verschlüsseln“ aus. Danach wählt man die Art der System-Verschlüsselung aus. Hier wird „Normal“ ausgewählt. Jetzt wählt man aus, ob die Windows-Partition verschlüsselt werden soll oder die komplette Festplatte. Nach der Auswahl des Betriebssystems wird noch die Verschlüsselungsart ausgewählt. Der nächste Schritt besteht darin, ein Kennwort für die Verschlüsselung einzugeben. Danach muss man den Mauszeiger im Fenster bewegen, bis der Balken grün wird. Dadurch wird der Schlüssel (Key) für die Verschlüsselung erstellt. Im Anschluss erscheint die Information, dass man den Schlüssel erstellt hat.

Rettungsdatenträger erstellen

Mit dem Rettungsdatenträger kann man ein System starten, wenn der Bootloader oder andere Dateien auf der Festplatte beschädigt sind. Der Rettungsdatenträger wird als ZIP-Datei gespeichert und muss danach auf einem USB-Stick entpackt werden. Danach kann man die Verschlüsselung ausführen.

windows 10

Verschlüsselung und Passwort-Länge.

Das Passwort sollte immer mindestens 15 Stellen lang sein. Umso mehr, umso besser. Als Verschlüsselungsmethode reicht für den „Normalsterblichen“ AES256 aus. Wer noch mehr Sicherheit wünscht, sollte auf AES-TWOFISH-SERPENT mit mindestens 25 Zeichen Passwortlänge setzen. Hier gilt aber zu beachten, dass damit die Entschlüsselung erheblich länger dauert.

 

So weit, so gut. Weiter geht es nächste Woche mit dem zweiten Teil. Dabei beschäftigen wir uns mit dem Datenschutz im Allgemeinen und Firewalls im Besonderen. Update: Der Redakteur ist für uns leider nicht mehr tätig, es wird folglich keine Fortsetzung geben.

Alle Fotos stehen unter der Pixabay Lizenz, thx!

Tarnkappe.info