[Celion]

Warnung

Dieses Tutorials enthält einige Stellen die bei falscher Benutzung gefährlich für den Computer sein könnten. Der Autor entzieht sich jeglicher Verantwortung von Schaden an dem betreffenden Computer, Straf- bzw. Zivilanzeige und der nicht professionelle Benutzung. Weiterhin rät der Autor diese Art von Absicherung erst an einem zweit Computer auszuprobieren.

Secure Enhancing - oder - Nun mache ich mein Windows sicher

Nun hocke ich hier um 01:00 am Morgen mit einem heißen Zitronentee und schreibe eine zweites Tutorial über ein ernsthaftes Thema, worüber es eigentlich schon etliche Tutorials und Abhandlungen gibt. Dieses Thema ist ein Thema über was sich die Medien streiten, die USA hat Millionen ausgeben um ihre Netzwerke sicherzumachen, und Deutschland unter der Führung der CDU probiert alles um dieses Thema zu umgehen.

Das Thema lautet Sicherheit. Sicherheit in einer Form das es der Polizei schwer fällt Zugang zu deinem Rechner zu bekommen, Sicherheit in einer Form das du völlige Kontrolle über jegliches kleine ICMP-Packet hast was ankommt oder ausgeht.

Und diese Sicherheit wird dich nach diesem Tutorial nur ein paar Stunden kosten und dein Konto bleibt unberührt.

Anmerkung:
Die folgende Hinweise sollten am Besten auf einem Computer mit ausreichend Leistung funktionieren. Der Autor empfiehlt daher:

Dual Core mit 1,5GhZ
2GB DDR Ram

Man kann auch dieses Tutorial auf einen schwächeren Computer nachvollziehen, die Leistungseinbußen können aber bei der Arbeit hinderlich sein.

Benötigt:
Windows XP Professional mit Service Pack 3
Analyse Programm (HijackThis ,RegAnalyzer, FileAnalyzer und RunAnalyzer)
AntiSpybot (Spybot Search & Destroy)
RegistrySchutz (Spybot's TeaTime)
AntiVirus (AVG, AntiVir oder Bitdefender)
Firewall (ZoneAlarm)
Verschlüsselungssoftware (TrueCrypt)
Sicherheits Updates für Windows (WinFuture)
Passwortspeicher (KeePass)

Als ersten solltet ihr euch die benötigte Software von einem anderen System, welches sauber sein muss, auf einen frisch formatieren USB Stick downloaden, so lauft ihr nicht Gefahr irgentwelche Viren oder Trojaner auf eure SE System zu installieren.

Formatiert jetzt alles auf eurem Computer, und installiert Windows XP Professional mit Service Pack 3 neu drauf. Eine Internetverbindung solltet ihr vorher noch nicht haben, wir wohlen ja keine Flecken bekommen

Sobald das System installiert ist, solltet ihr zuerst die Automatischen Updates ausschalten
(Start > Systemsteuerung > Automatische Updates > Deaktivieren)

Und nach dem Einspielen der Sicherheitsupdates auch den Dienst deaktivieren
(Start > Systemsteuerung > Verwaltung > Dienste > Automatische Updates > Eigenschaften, Beenden & Deaktivieren)

Nun solltet ihr euer AntiVirus, dann eure Firewall und zuletzt euer AntiSpybot installieren. Sollte das alles Installiert sein, könnt ihr euch die Analyseprogramme installieren. Wichtig ist das ihr einen Registryschutz installiert habt.

Die Einstellungen solltet ihr überall auf hoch, kritisch oder experten/profi modus einstellen um einfach sicher zugehen. Im Notfall könnt ihr ja ein Thema auf [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ] erstellen oder Google benutzen.

Ihr seit, wenn eure Konfiguration fein genug ist, erstmal gegen die meisten Angriffe von außen geschützt und merkt auch wenn ein Programm probiert was zu installieren oder eine Verbindung zum Internet aufbaut. Das würde vorerst reichen, aber unser Ziel ist ja ein sicheres System. Und dafür sollten wir unsere Festplatten verschlüsseln. Der Schlüssel sollte eine Länge von 128bit haben und zufällig generiert. Nur zur Information, ein MD5 Hash von einem Text hat immer eine Länge von 128bit und ist somit als Verschlüsselungsphrase geignet. Am besten solltet ihr eure gesammtes System verschlüsseln.

Solltet ihr mit der Verschlüsselung fertig sein, wird es die Polizei ziemlich schwierig haben an eure Daten heran zu kommen. Bei 26 Zeichen, wobei jedes Zeichen ein kleiner Buchstaben von a-z sein kann oder eine Zahl von 0-9, ergeben sich 36^26 Kombinationsmöglichkeiten. In Zahlen wären das 2.9098126 × 10^40. Würde ein Rechner 1000000000000000000000000 Kombinationen pro Sekunde errechnen können, würde selbst das 922695522 Jahre dauern. Achja die Zahl ist 1 Septillion

Euer SE System ist in der Basis komplett, jetzt fehlen eigentlich nur ein paar Feinheiten:

Überschreibt die Auslagerungsdatei automatisch beim Herunterfahren:
HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Control\ Session Manager\ Memory Management\
Den DWORD-Wert ClearPageFileAtShutdown auf 1 setzen

Es gibt nur ein Administratoraccount (Installtionsadministrator), euer normaler Account ist ein Benutzer oder Hauptbenutzer.

Benutzt niemals das gleiche Passwort mehrmals. Wenn ihr z.B auf [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ] registriert seit, OGame spielt und neben bei noch auf einem Entwicklerforum was schreibt solltet ihr für jeden Account eine enzigartige EMail-Adresse haben, und zwar nicht eure Haupt EMail-Adresse und jeder dieser EMail Adressen hat auch nochmal ein einzigartiges Passwort. Euer Account ansich enthält keine private Informationen, und hat auch nochmal ein einzigartiges Passwort.

Eure Passwörter sollten so zwischen 6 und 12 Zeichen lang sein und Groß-, Kleinbuchstaben, Zahlen und Sonderzeichen enthalten. Natürlich das ist einfach zu viel zum merken. Deswegen verschlüsseln wir jegliches Passwort in unserem Passwortspeicher mit einem Hauptpasswort das eine Länge von 128bit hat.

Somit habt ihr insgesamt 4 Passwörter die ihr wissen müsst.
1x User Account
1x Admin Account
1x Festplatten Passwort
1x Master Passwort für eurer Passwortspeicher

Verschlüsselt eure E-Mails und Passwörter im Firefox, bzw Thunderbird mit einem 128bit Schlüssel.
Holt euch regelmäßig Sicherheitupdates rein.
Probiert so wenig Multiuser/Remote Dienste wie möglich zu besitzen
Deaktiviert Alexa und meidet Microsoft Produke (wie die Media Player)
Benutzt Freeware bzw OpenSource Programme
Scannt regelmäßig euer System
Meidet Programme die eine Endung wie *.bat, *.cmd, *.vbs, *.ink, *.scf haben
Downloaded und installiert nicht gleich alles was ihr sieht
Surft vorsichtig auf eure Seite
Stellt eure Hashes von LM auf NTLM um
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\Lsa
DWORD: NoLMHash, mit dem Wert 1

Dadurch seit ihr eigentlich gegen das meiste gesichert
So das war das zweite Tutorial von mir, hat mich jetzt eine Stunde zum Schreiben gekostet. Also probiert es aus und bedankt euch ordentlich

-Celion-

[Hardbasevol1]

Für Leute die sich verfolgt fühlen,sehr Gutes Tut =)

[Celion]

Es ist immer gut eine gesunde Paranoia zu haben :P

[Hardbasevol1]

Ja find ich auch^^

[Celion]

Man kann es auch übertreiben, also ich kenn eine Haeckse die hat ihr System mit einem 512bit Schlüssel komplett verschlüsselt

Naja ich finde das ganze etwas schwierig zu lesen. Weil Du echt soviel geschrieben hast.

Mir persönlich bringt es nichts, da ich es Quatsch finde. Bin da nicht so paranoid dass ich alles verschlüsseln muss.

Denn ich sage mir, je auffälliger, desto unauffälliger.


Aber für Leute die da echt Schiss haben sicherlich brauchbar.

[Neocon]

Der Ansatz ist schon mal gut. Vorallen gibt es ja Leute die nicht mal Schädlingsbekämpfung haben. Sowas wie Antivir und Spybot sind schon gute Lösungen.
Firewalls auf privaten Rechner zu nutzen ist eher sinnlos. Schau mal bei google nach, da gibt es jede Menge "Threads" wie Sinn und Unsinn von Firewalls.

Und der Rest - Naja. Irgendwie finde ich keine Programmempfehlung zur Festplattenverschlüsselung. Was den Nutzen betrifft, schließe ich mich der Meinung von PrincePorn an.
Dann noch der Passwortspeicher - den finde ich sinnlos, da er ein Sicherheitsrisiko darstellt.
Passwörter sollte man sich schon merken.
Ich z.B. muss mir auch wegen meines Berufes über gut 50 Passwörter merken. Passwörter kann man sinngemäß verknüpfen - auch so das ein Ausenstehender den Zusammenhang nicht erkennen kann und sie auch sicher sind.

Dann verstehe ich nicht warum man die automatischen Updates ausstellen soll.
Winfuture braucht ein normaler Benutzer doch nicht. In reicht es doch zu die Updates automatisch zu installieren.
Außerdem ist das Programm ziemlich Lückenhaft.
In den Administratorenkreisen ist eher das Offline-Update-Tool von Heise zu empfehlen:
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

Der Rest - Naja.
Kriegst aber trotzdem ein Thx für deine Mühen.

[mayz]

wer sich näher mit dem Thema beschäftigen will und auch für Einsteigere gedacht ist: [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

@Neocon
Viele können sich nicht so viele Pws merken und keypass ist wirklich hervoragend dafür geeignet. Hab noch nie von einem Fall gehört, dass keypass ein sicherheitsproblem darstellt.
Kann man also guten Gewissens installieren.

EDIT:
In den meisten Fällen sollte aber schon Brain.exe reichen.

[Celion]

@Porn
Tja Es kommt immer daruaf an was du machst ...

@NeoCon
TrueCrypt wurde als Festplatteverschlüsselung empfohlen

Eine Firewall ist eigentlich für einen Optimalen Schutz notwendig, und es auch interessant zu sehen wie viele Programme von Micorsoft eine Internetverbindung plötzlich aufbauen...

Normaler Weise sollte man sich die Passwörtermerken, aber du kannst von keinem Anfänger verlangen sich etliche Hashes zu merken

Bei den Progrmme zum Speichern der Passwörter kommt es immer darauf an, was für Programme du benutzt, wenn es eine wirkliche Verschlüsselung gibt, und die Verschlüsselung zb. ein AES mit 128bit ist, könntest du die Keyfile auch zur NSA schicken und sagen dort drin stecken die Pläne von einer Verschwörung. Selbst die würden es nicht so schnell rausfinden.

Information:
AES ist eine relativ neue Verschlüsselung die von Geheimdiensten, dem Pentagon und dem Weißen Haus zur Verschlüsselung von Informationen auf höchster Geheimstufe stehen.

Die automatischen Updates auszuschalten ist sinnvoll, da Microsoft auch nur eine Firma ist. Was würde passieren wenn jetzt z.B ein Geheimdienstverlangt einen Backdoorcode via Update einzuschleußen Würde das jemand merken?

Zum Schluss kann man sagen das es eigentlich relativ egal ist :P
Wenn du Illegale Downloads machst, und dein Computer wird beschlagnahmt, können sie dich nicht anzeigen solange sie nicht einen konkreten Beweis auf deiner Festplatte finden. Der einzige Beweis wäre die IP aber das ist vor Gericht nicht genug.

[Neocon]

Zitat:

Zitat von Celion

Bei den Progrmme zum Speichern der Passwörter kommt es immer darauf an, was für Programme du benutzt, wenn es eine wirkliche Verschlüsselung gibt, und die Verschlüsselung zb. ein AES mit 128bit ist, könntest du die Keyfile auch zur NSA schicken und sagen dort drin stecken die Pläne von einer Verschwörung. Selbst die würden es nicht so schnell rausfinden.

Es gibt da denoch Möglichkeiten Verschlüsselungen diverse Festplatten seitens der Hardware zu umgehen. Solange noch alte Sektoren vorhanden sind. Bei anderen Datenspeichermedien kannst du teilweise auch durch Erkennungen alter Speichermuster alte Daten wiederherstellen.
Wer sich da dämlich anstellt, den nützen Verschlüsselungen nichts. Zumal wenn er das Passwort auf den Rechner durch diverse Programme abspeichert.
Da spielt Verschlüsselung kaum eine Rolle, denn schnell ist mal ein Keylogger installiert. Oder durch die neue Technologie - vom Bildschirm ausgehen Refelktionen etc. die Daten man so direkt vom Bildschirm auslesen kann.

Zitat:

Zitat von Celion

Die automatischen Updates auszuschalten ist sinnvoll, da Microsoft auch nur eine Firma ist. Was würde passieren wenn jetzt z.B ein Geheimdienstverlangt einen Backdoorcode via Update einzuschleußen Würde das jemand merken?

Sehr unwahrscheinlich. Zumal da viele IT-Experten sich das Windows anschauen und meckern wenn es mal zu viel Daten versenden.
Ein eingeschleustes Backdoor wäre da schnell erkannt und der gute Ruf von Microsoft zerstört.

Zitat:

Zitat von Celion

Zum Schluss kann man sagen das es eigentlich relativ egal ist :P
Wenn du Illegale Downloads machst, und dein Computer wird beschlagnahmt, können sie dich nicht anzeigen solange sie nicht einen konkreten Beweis auf deiner Festplatte finden. Der einzige Beweis wäre die IP aber das ist vor Gericht nicht genug.

Nicht unbedingt gesagt. IP und Zeit würde ausreichen.
Dort kann dann Polizei beim Provider vorbeischauen.
Rein technisch ist es dann auch möglich durch das Providernetz zu sehen was du im Internet gemacht hast. Denn das ist das Netzwerk in das du dich verbindest um ins Internet zu gehen und dich sozusagen weiterleitet.

Da kommen wir dann auch zum nächsten Unsinn. Proxys. Vielleicht ganz gut um bei einen Webseitenbesuch eher etwas unerkannt zu bleiben. Bringt aber nichts, wenn es die Polizei schon auf dich abgesehen hat. Protokollieren einfach deine Daten im Providernetzwerk und können sehen was du dir heruntergeladen hast, wie lange du auf einer Seite warst usw.
Da kannst du dann Proxys vergessen, denn erstmal sendet dein Rechner Daten zum Providernetzwerk, dann zum Proxy. Dank Schäuble mit seiner Terroristenjagd ist soetwas ja gesetzlich erlaubt.
Da haben die vielleicht noch eine Suchmaschine (so wie in den USA), geben dort mygulli.com ein und sehen alle Leute die auf der Seite mygulli waren und was sie dort gespostet haben. Auch welche Dateien du auf Rapidshare heruntergeladen hast - Kein Problem. Alternativ könnte auch Rapidshare das ganze noch zusätzlich protokollieren. IP und Zeitpunkt und das wars.

[Celion]

Zitat:

Es gibt da denoch Möglichkeiten Verschlüsselungen diverse Festplatten seitens der Hardware zu umgehen. Solange noch alte Sektoren vorhanden sind. Bei anderen Datenspeichermedien kannst du teilweise auch durch Erkennungen alter Speichermuster alte Daten wiederherstellen.
Wer sich da dämlich anstellt, den nützen Verschlüsselungen nichts. Zumal wenn er das Passwort auf den Rechner durch diverse Programme abspeichert.
Da spielt Verschlüsselung kaum eine Rolle, denn schnell ist mal ein Keylogger installiert. Oder durch die neue Technologie - vom Bildschirm ausgehen Refelktionen etc. die Daten man so direkt vom Bildschirm auslesen kann.

Bei einer völligen Formatierung und Komplettverschlüsselng kannst du sowas vergessen, Ich habe gesagt das man andere Passwörter wie von Accounts auf Foren abspeichert, die 2 Accountpasswörter, dein Masterpasswort und dein Festplattenpasswort musst du wissen.

Zitat:

Sehr unwahrscheinlich. Zumal da viele IT-Experten sich das Windows anschauen und meckern wenn es mal zu viel Daten versenden.
Ein eingeschleustes Backdoor wäre da schnell erkannt und der gute Ruf von Microsoft zerstört.

Was wäre wenn das Backdoor ein simpler SYSTEM Prozess ist? z.B wenn die Backdoor NT System / Authority aka SYSTEM ist :P

Zitat:

Nicht unbedingt gesagt. IP und Zeit würde ausreichen.
Dort kann dann Polizei beim Provider vorbeischauen.
Rein technisch ist es dann auch möglich durch das Providernetz zu sehen was du im Internet gemacht hast. Denn das ist das Netzwerk in das du dich verbindest um ins Internet zu gehen und dich sozusagen weiterleitet.

Da kommen wir dann auch zum nächsten Unsinn. Proxys. Vielleicht ganz gut um bei einen Webseitenbesuch eher etwas unerkannt zu bleiben. Bringt aber nichts, wenn es die Polizei schon auf dich abgesehen hat. Protokollieren einfach deine Daten im Providernetzwerk und können sehen was du dir heruntergeladen hast, wie lange du auf einer Seite warst usw.
Da kannst du dann Proxys vergessen, denn erstmal sendet dein Rechner Daten zum Providernetzwerk, dann zum Proxy. Dank Schäuble mit seiner Terroristenjagd ist soetwas ja gesetzlich erlaubt.
Da haben die vielleicht noch eine Suchmaschine (so wie in den USA), geben dort mygulli.com ein und sehen alle Leute die auf der Seite mygulli waren und was sie dort gespostet haben. Auch welche Dateien du auf Rapidshare heruntergeladen hast - Kein Problem. Alternativ könnte auch Rapidshare das ganze noch zusätzlich protokollieren. IP und Zeitpunkt und das wars.

Okay, das mit der IP und den Proxys ist so eine Sache, natürlich können sie rausfinden wo du warst. Sie können aber nicht anhand der Daten auf deinem Computer beweisen das da was illegales ist. Und vor dem Gericht sind diese Unterlagen relativ schwach

[Neocon]

Zitat:

Zitat von Celion

Bei einer völligen Formatierung und Komplettverschlüsselng kannst du sowas vergessen, Ich habe gesagt das man andere Passwörter wie von Accounts auf Foren abspeichert, die 2 Accountpasswörter, dein Masterpasswort und dein Festplattenpasswort musst du wissen.

Du musst ja irgendwann mit den Daten arbeiten und dann beißt der Wurm den Faden ab und es hilft dir keine Verschlüsselung.

Zitat:

Zitat von Celion

Was wäre wenn das Backdoor ein simpler SYSTEM Prozess ist? z.B wenn die Backdoor NT System / Authority aka SYSTEM ist :P

Tja, da muss man schon aufpassen was man da alles installiert. Virenscanner können da Abhilfe schaffen und entdecken in der Regel solche unberechtigten Programme.
Dann sind die meisten Netzwerke durch Router abgesichert und der routet nicht einfach Daten ins private Netzwerk.

Zitat:

Zitat von Celion

Okay, das mit der IP und den Proxys ist so eine Sache, natürlich können sie rausfinden wo du warst. Sie können aber nicht anhand der Daten auf deinem Computer beweisen das da was illegales ist. Und vor dem Gericht sind diese Unterlagen relativ schwach

Wieso sollen die das nicht können? Die sehen doch alles was du dir heruntergeladen hast und was du installiert hast/hattest.