Windows XP Professional
Windows XP bietet nach wie vor die Möglichkeit, Laufwerke mit zwei Arten von Dateisystemen zu formatieren: FAT32 und NTFS.
Filesystem Sicherheit
Empfehlenswert: NTFS
Aus Sicht der Sicherheit sollte auf jeden Fall NTFS verwendet werden, da dieses massiv bessere Sicherheitsfunktionen bietet. Auch für Linux ist heute NTFS kein Problem mehr. Spätestens seit den neuen Kernel Treibern des Linux Kernels 2.6 kann man NTFS-Partitionen komfortabel lesen und schreiben.
Überprüfung des Filesystems
So prüfen Sie, welches Filesystem Sie verwenden:
- Einloggen mit administrativen Rechten
- Doppelklick auf "Mein Computer"
- Rechts-Klick auf das zu untersuchende Laufwerk
- Anwählen von "Eigenschaften"
- Die erste angezeigte Seite zeigt das Dateisystem an (zum Beispiel "Dateisystem: NTFS").
FAT oder FAT32 Partitionen
Falls Sie noch FAT oder FAT32 Partitionen verwenden, können Sie diese wie folgt konvertieren:
- Anwählen von "Start" und "Ausführen"
- Eingeben von "cmd" und OK klicken
- im Shell-Fenster folgendes eingeben: convert c: /FS:NTFS /V (als Beispiel für das c: Laufwerk)
- Enter-Taste drücken
- für alle zu konvertierenden Laufwerke wiederholen
- Reboot des Systems
ACHTUNG: Bei solchen Aktivitäten sollte immer zuerst ein Backup des Systems erstellt werden!
Automatische Logins
Abschalten von automatischen Logins
Kein System im Schulbetrieb sollte auf automatische Logins eingestellt sein. Einerseits aus Sicherheitsgründen und andererseits, um den Lernenden gleich die Nutzung von Sicherheitsmechanismen nahezulegen.
Automatische Logins
Falls automatische Logins verwendet werden, können diese wie folgt deaktiviert werden:
- In Windows: "Start > Settings > Control Panel > User Accounts"
- Nun ist sicher zu stellen das alle lokalen Benutzer mit einem Passwort ausgestattet sind
- Sobald ein Benutzerkonto ein Passwort gesetzt hat, ist ein automatischer Login damit nicht mehr möglich.
Lokale Security Policies
Mögliche Sicherheitseinstellungen
Dieser Abschnitt beschreibt die möglichen Sicherheitseinstellungen, die man in den lokalen Sicherheitsrichtlinien antrifft. Falls Ihr System in einer Windows-Domäne (mit Active Directory) integriert ist, können die gelisteten Einstellungen auch in einen "Group Policy Object" (GPO) gespeichert werden. Die Nutzung einer Domäne und deren Sicherheitsfunktionen ermöglicht eine zentrale Verwaltung von Sicherheitsrichtlinien für alle angeschlossenen Windows-Systeme. Die Handhabung der Sicherheitsrichtlinien lokal oder in einer Domäne sind sehr ähnlich.
Local Security Policy Editor Tool
Zugriff auf das "Local Security Policy Editor Tool" erhalten Sie wie folgt:
- Auswählen von "Start > Performance and Maintenance > Administrative Tools > Local Security Policy"
- oder für "Classic View": "Start à Settings > Control Panel > Administrative Tools > Local Security Policy"
Das Local Security Policy Editor-Tool erlaubt eine Vielzahl von Einstellungen in Bezug auf die Sicherheit des lokalen Systems. Es empfiehlt sich, die Möglichkeiten der Policy genau zu studieren. Mindestens die "Password Policy" und die "Account Lockout Policy" sollten entsprechend eingestellt werden.
Warnung!
Ein kleines Wort der Warnung: Es kann passieren, dass man sich - auch als Administrator - selbst komplett aus dem System aussperrt. Im Zweifelsfall also besser nachlesen oder -fragen.
Default Benutzerkonten
Im Standard wird ein Windows XP System mit einem Administrator und einem Gast-Konto ausgestattet. Da jeder weiß, wie diese Benutzerkonten heißen, ist es ratsam, diese umzubenennen. Noch wichtiger ist es allerdings, für das Administratoren-, wie auch für das Gast-Konto starke Passworte zu verwenden. Es wird empfohlen, ein starkes Passwort für das Gast-Konto zu setzen und dieses dann wieder zu deaktivieren. Leider lässt Windows XP nicht zu, dass man das Gast-Konto gleich ganz löscht. Auf jeden Fall sollte das Konto deaktiviert bleiben (siehe Abschnitt "Dateizugriff und Freigaben").
Dateizugriffe und Freigaben
Rechtevergabe
Wenn man die Rechtevergabe bei Freigaben betrachtet, leistet Windows XP keinen guten Job in puncto Sicherheit. Wird nämlich ein neuer Share (beispielsweise auf das Stammverzeichnis des C-Laufwerkes "C:\") erstellt, erhält die Gruppe "Everyone" vollen Zugriff darauf. Ist nun das Gast-Konto aktiviert, hat auch dieses (als Mitglied der Everyone-Gruppe) vollen Zugriff. Nicht sehr vorteilhaft aus Sicht der Sicherheit.
Zugriffsregelung
Bei der Verwendung von Freigaben muss unbedingt darauf geachtet werden, dass eine klare Zugriffsregelung besteht. In den seltensten Fällen sollte der Gruppe "Everyone" überhaupt Zugriff auf einen Share gegeben werden. Hier gilt wiederum der Grundsatz "So viel wie nötig - so wenig wie möglich".
System Shares
Eine Spezialität von Windows sind die so genannten "System Shares". Windows legt für jedes der im System vorhandenen Partitionen (zum Beispiel C:, D: oder E: für eine CD-ROM) einen "System Share" an. Diese Freigaben können aber auch von Benutzerinnen und Benutzern verwendet werden:
- Klick auf "Start > Ausführen"
- Eingeben von "cmd" und Enter-Taste drücken
- Geben Sie "\\Ihr_computername\c$" ein und drücken Sie die Eingabetaste
Dies funktioniert natürlich auch über das Netzwerk. Ersetzen Sie einfach "Ihr_computername" durch den Namen eines Rechners im Netzwerk und Sie können auf das Laufwerk zugreifen. Je nachdem wie die Rechte des Zielsystems eingestellt sind, erfolgt nicht einmal mehr eine Passwortabfrage.
Weiterlesen
- Basishärten von Macintosh Systemen
Eine einfache Art, wichtige Fehlerkorrekturen und Sicherheitspatches möglichst bald nach Erscheinen zu erhalten: Up-to-date bleiben!
- Sonstige Einstellungen Macintosh
Einige vorinstallierte Funktionen sind zwar bequem für den Benutzer, helfen aber auch dem Angreifer und sollten daher abgeschaltet werden.