1. A) Nutzen Sie für alltägliche Arbeiten, wie z.B. "Surfen" im Internet oder Schreibarbeiten, ein nicht-administratives Benutzerkonto und B) erlauben Sie das Ausführen von Programmen nur aus zugelassenen Verzeichnissen - Software Whitelisting
a) Nicht administratives Benutzerkonto anlegen
Dazu legen Sie sich ein zusätzliches Benutzerkonto mit einem mindestens 15 Zeichen langen Passwort an, welches sich in keiner administrativen Gruppe befindet und melden sich zukünftig für alltägliche Arbeiten mit diesem Konto an.
Das Administratorkonto verwenden Sie ab jetzt ausschließlich für administrative IT-Aufgaben, wie z.B. Softwareinstallationen und Systempflege.
Informationen zum Anlegen eines nicht administrativen Benutzers finden Sie unter Einrichten eines nicht administrativen Benutzers
Weitere Informationen zu Benutzern und Gruppen unter Benutzerverwaltung - Administrative und nicht administrative Benutzer.
Informationen zu Passwörtern unter Passwörter - Einfache Regeln zur Bildung eines sicheren Passwortes.
b) Software Whitelisting konfigurieren
Software Whitelisting lässt sich unter Windows seit Windows XP, also seit 2001, mittels Software Restrictions nutzen. Grob unterschieden, gibt es zwei Formen des Software Whitelistings mittels Software Restrictions:
- Software Whitelisting per Pfadregeln
- Software Whitelisting per Hash- und/oder Zertifikatsregeln
Weitere Informationen zum Software Whitelisting unter Windows finden Sie im Dokument "Software Whitelisting - der bessere Virenschutz".
Software Whitelisting per Pfadregeln
Ab Windows XP ist es möglich mittels Softwareeinschränkungen das Ausführen von Programmen nur auf vorher festgelegte Verzeichnisse einzuschränken, durch Software Whitelisting. Software Whitelisting ist, neben der Arbeit unter einem nicht privilegiertem Benutzerkonto, der wirksamste Schutz vor Viren und Malware.
Das Prinzip ist einfach: Das Starten von Programmen ist grundsätzlich nicht erlaubt, außer von bestimmten Programmen oder aus festgelegten Verzeichnissen. Das Starten von beliebigen Programmen wird unterbunden, so dass eventuelle Schadprogramme nicht starten können.
Kurz gefasst: Arbeite als Normalnutzer und erlaube das Starten von Programmen nur aus schreibgeschützten Pfaden.
Ist das Starten von Programmen nur aus Verzeichnissen erlaubt, in welche lediglich ein administrativer Nutzer schreiben darf, dann ist eine Infizierung des Systems nur über Fehler (Bugs) im Betriebssystem möglich. Nicht jedoch über das unbemerkte oder gewollte Ausführen von Schadprogrammen als nicht privilegierter Benutzer.
Weitere Informationen zu Softwareeinschränkungen und wie man Software Whitelisting mittels Pfadregeln nutzen kann, finden Sie im Dokument "Softwareeinschränkungen - Software Whitelisting und Nicht privilegierte Anwendungen - "Application Sandboxing".
Software Whitelisting per Hash- und/oder Zertifikatsregeln
Das Absichern von Systemen per Hash- und/oder Zertifikatsregeln ist besonders für die Arbeit unter administrativen Konten geeignet und daher ideal zur Absicherung von kritischen System wie Servern geeignet. Anders als das Software Whitelisting per Pfadregeln ist hierbei auch der Schutz von Administratoren vor unerwünschter Software gewährleistet. Das System wird sozusagen "versiegelt".
Weitere Informationen zum Einrichten von Software Whitelisting per Hash- und/oder Zertifikatsregeln finden Sie im Dokument "Versiegeln von Windows-Systemen mittels Applocker"
Lösung des "Administrator Problems"
Für die Installation von Software oder die Durchführung administrativer IT-Aufgaben wechseln Sie mit dem Runas (Ausführen als) -Befehl, s. Runas-Befehl - Starten von Anwendungen mit einem anderen Benutzerkonto, zu einem administrativen Konto oder mithilfe der Benutzerumschaltung (Fast User Switching), welches kein Abmelden erfordert, sondern lediglich ein erneutes Anmelden mit einem administrativen Benutzerkonto.
Für Umgebungen in denen das Mitteilen administrativer Zugangsdaten keine Option ist, z.B. gemeinsam benutzte PCs, eignet sich sudo (substitue user do). Sudo ermöglicht die Installation von Software oder die Durchführung administrativer IT-Aufgaben mithilfe der vorübergehenden Erhöhung der Rechte eines Standardbenutzers. Der Nutzer kann dafür sein eigenes Passwort benutzen.
Eine weitaus modernere Möglichkeit bietet die Software Privilege Manager von Beyond Trust, da diese Software die Gruppenrichtlinienfunktionalität von Windows um die Fähigkeit erweitert, die Gruppenzugehörigkeit und Benutzerrechte (Privilegien) pro Anwendung maschinenweit oder nutzerweit zu steuern. Da hier Gruppenrichtlinien verwendet werden, eignet sich diese Software auch für die zentralisierte Administration größerer Netzwerke.
Weitere Informationen zum Privilege Manager und zu sudo finden Sie im Dokument Administrative Rechte ohne Administrator Passwort.
Falls eine ständige Arbeit unter einem nicht privilegiertem Konto unpraktikabel ist, z.B. an einer Server-Konsole, dann nutzen Sie für möglichst viele Programme die Möglichkeit der nicht privilegierten Programmausführung mittels der Softwareeinschränkungen der Gruppenrichtlinien, s. Softwareeinschränkungen - Software Whitelisting und nicht privilegierte Anwendungen - "Application Sandboxing".