Sicherheitshandbuch - Windows NT - Sicherheitseinstellungen
(Autor: G.Hoffmann)
Sicherheitseinstellungen
Im Folgenden werden Sicherheitseinstellungen für Windows vorgestellt.
Dazu werden Registry-Einstellungen erläutert, die
per Link zum Download (Registry-Datei) zur Verfügung stehen.
Die Einstellungen können dann per Doppelklick
auf die gespeicherte Registry-Datei (Symbol: 
, Dateiendung: .reg) aktiviert werden.
Am Ende dieser Seite steht eine vorgefertigte Konfigurationsdatei (Registry-Datei) für die dringend empfohlenen Maßnahmen zum Download zur Verfügung.
Themenüberblick
- Login und Passwörter
- Datei- und Druckerfreigaben im Windows-Netzwerk
- Internet Explorer
- Download und Aktivierung der dringend empfohlenen Registry-Einstellungen
Login und Passwörter
Keine Programme beim Login aus der Registry (Run-Key) aufrufen
Beim Login werden Programme aufgerufen, die in der Registry unter dem sogenannten Run-Key eingetragen sind. Die Ausführung dieser Programme kann aber auch abgestellt werden (ohne die Einträge zu löschen). Falls nun zum Beispiel ein Trojaner diesen Weg verwendet, hat er nun keine Chance mehr, sich automatisch beim Login aktivieren zu lassen und weiter auszubreiten. Trotzdem bedeutet das Abstellen des Run-Key auch, dass Programme, die eigentlich wichtig sind und benötigt werden, nun unter Umständen auch nicht mehr gestartet werden.
| Version | Windows 98/Me/2000/XP |
|---|---|
| Registry-Schlüssel | HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer |
| Registry-Wert | DisableLocalMachineRun (Ausfürung bei jedem Login) |
| Registry-Wert | DisableLocalMachineRunOnce (Einmalige Ausfürung beim Login) |
| Registry-Wert | DisableCurrentUserRun (Ausfürung bei jedem Login) |
| Registry-Wert | DisableCurrentUserRunOnce(Einmalige Ausfürung beim Login) |
| Typ | REG_DWORD (32bit Zahl) |
| Wert (Standard) | (nicht gesetzt) |
| Download |
runkeys_off.reg (setzt alle Werte auf 1)runkeys_on.reg (setzt alle Werte auf 0)
|
Mindestlänge von Passwörtern
Passwörter müssen immer gesetzt sein und sollten mindestens 8 Zeichen lang sein.
Windows akzeptiert aber auch kürzere Passwörter und erleichtert damit mögliche Brute-Force Angriffe.
Für Windows 2000 und XP kann die Mindestlänge von Passwörtern mit Policies eingestellt werden:
Policy: Password Policy (unterhalb von Account Policies)
Minimum password length
In der folgenden Abbildung sind die Standardpolicy Einstellungen für Passwörter zu sehen.
Der Wert für die Mindestlänge sollte hier min. auf 8 gesetzt werden.
Keine Anzeige der Kennung des letzten Logins
Ist niemand am PC angemeldet, wird die zuletzt benutzte Kennung an der Loginmaske angezeigt.
Ist dies nicht erwünscht, kann die Anzeige abgestellt werden.
| Registry-Schlüssel | HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System |
|---|---|
| Registry-Wert | DontDisplayLastUserName |
| Typ | REG_DWORD (32bit Zahl) |
| Wert (Standard) | |
| Download |
dispusername_off.reg (setzt den Wert auf 1)dispusername_std.reg (setzt den Standard-Wert 0) |
Datei- und Druckerfreigaben im Windows-Netzwerk
Auto-Admin-Shares deaktivieren ($-Freigaben)
Für administrative Zwecke kann mit Hilfe der sogenannten Admin-Shares (IPC$; ADMIN$, C$, ...) auf einen PC oder dessen Laufwerke unter Verwendung der Administrator-Kennung zugegriffen werden. Mit Kenntnis des Administrator-Passwortes ist es damit jedermann möglich, Daten auf dem Rechner zu lesen, verändern oder zu löschen.
| Registry-Schlüssel | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters |
|---|---|
| Registry-Wert | AutoShareWks |
| Typ | REG_DWORD (32bit Zahl) |
| Wert (Standard) | (nicht gesetzt) |
| Download |
adminshares_off.reg (setzt den Wert auf 0)adminshares_on.reg (setzt den Standard-Wert 1) |
NullSession Zugriffe
NullSessions sind Verbindungen mit anonymer Authentifizierung. Bei Windows2000 und XP ist die Einschränkung Standard, auch wenn der Wert nicht in der Registry eingetragen ist.
| Registry-Schlüssel | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters |
|---|---|
| Registry-Wert | RestrictNullSessionAccess |
| Typ | REG_DWORD (32bit Zahl) |
| Wert (Standard) | (nicht gesetzt) |
| Download |
restrictnullsessionaccess_off.reg (setzt den Wert auf 0)restrictnullsessionaccess_on.reg (setzt den Standard-Wert 1) |
Anonymes Auflisten von Kennungen und Freigaben unterbinden
| Registry-Schlüssel | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA |
|---|---|
| Registry-Wert | RestrictAnonymous |
| Typ | REG_DWORD (32bit Zahl) |
| Wert (Standard) | (nicht gesetzt) |
| Download |
restrictanonymous_off.reg (setzt den Wert auf 0)restrictanonymous_on.reg (setzt den Wert 1) |
Kein Dateizugriff von aussen
Windows-Freigaben von Laufwerken und Verzeichnissen sind ein häufiger Angriffspunkt z.B. für Viren und Fremdzugriffe. Deshalb sollten Datei-Freigaben, wenn sie nicht wirklich zwingend erforderlich sind, an Windows-PCs abgestellt werden. Vorzugsweise sollten Daten auf einem zugangsbeschränkten temporäreren Server-Verzeichnis ausgetauscht werden. Der Zugriff auf das lokale Dateisystem kann dann abgestellt werden.
| Registry-Schlüssel | HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Network |
|---|---|
| Registry-Wert | NoFileSharing |
| Typ | REG_DWORD (32bit Zahl) |
| Wert (Standard) | (nicht gesetzt) |
| Download |
fileshares_off.reg (setzt den Wert auf 1)fileshares_on.reg (setzt den Standard-Wert 0) |
Kein Druckerzugriff von aussen
Windows-Freigaben von Druckern können genau wie Datei-Freigaben abgestellt werden.
| Registry-Schlüssel | HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Network |
|---|---|
| Registry-Wert | NoPrintSharing |
| Typ | REG_DWORD (32bit Zahl) |
| Wert (Standard) | (nicht gesetzt) |
| Download |
printshares_off.reg (setzt den Wert auf 1)printshares_on.reg (setzt den Standard-Wert 0) |
Internet Explorer
Kein Speichern von Passwörtern
| Registry-Schlüssel | HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings |
|---|---|
| Registry-Wert | DisablePasswordCaching |
| Typ | REG_DWORD (32bit Zahl) |
| Wert (Standard) | (nicht gesetzt) |
| Download |
iepwdcache_off.reg (setzt den Wert auf 1)
|
Download und Aktivierung der dringend empfohlenen Registry-Einstellungen
Die dringend empfohlenen Maßnahmen stehen in der Registry-Datei
critical.reg zum Download zur Verfügung. Die Einstellungen können
im Windows-Explorer einfach mit einem Doppelklick in die Registry geschrieben
werden. Dabei erscheint zunächst eine Dialogbox mit der Frage, ob die
Einstellungen tatsächlich geschrieben werden sollen.
Diese Frage mit Yes / Ja beantworten. Nach einem Neustart werden die Einstellungen wirksam.
critical.reg im Detail
REGEDIT4 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Browser] "Start"=dword:00000004 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver] "Start"=dword:00000004 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters] "AutoShareWks"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters] "RestrictNullSessionAccess"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA] "RestrictAnonymous"=dword:00000001 "RestrictAnonymousSAM"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Network] "MinPwdLen"=dword:00000008 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule] "Start"=dword:00000004 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteRegistry] "Start"=dword:00000004 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\upnphost] "Start"=dword:00000004 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TlntSvr] "Start"=dword:00000004 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService] "Start"=dword:00000004
zum Seitenanfang
Navigation ausblenden
