Skip to main content

Schiff Ahoi.

In diesem, einem meiner ersten eigenen Howto-Beiträgen (weitere Security Howtos zu Linux Servern und WordPress folgen), gibt es, abgesehen von viel heißer Luft, fix ein paar zuckersüße Tipps, die, anstelle der vielen im Netz gezeigten Standard-Konfigurationen, eine etwas sicherere Einrichtung einer Windows-Workstation ermöglichen (als ob das mit MS möglich wäre :).

Zum Ablauf: Nach den 7 Klugscheißer-Voraussetzungen-Tipps gibt es einen Beispiel-Auszug aus einer von mir eingerichteten Windows Workstation Ordnerstruktur und zu guter Letzt stelle ich für dieses gefahrene Konzept meine schärfsten Windows-Programme vor.

PS: Die Liste wird stetig aktualisiert!

Und nun: Frisch an`s Werk!

Voraussetzungen, die beim Einrichten einer sicheren Workstation eingehalten werden sollten:

Mindestens zwei Partitionen/Platten

Einige Vorteile, die für eine gesplittete Partitionierung sprechen:

  • Die Windows Systemdaten werden, der Übersichtlichkeit wegen, von den Userdaten getrennt.
  • Die Systemplatte (C:) wird nicht unnötig zugemüllt und bleibt somit länger performant, sauber und geschmeidig
  • Einfacheres Backup & Recovery, da nur die betroffene Partition recovert/gebackupt werden muss
  • Oldschool Viren, die nur die Systempartition bespringen & durchnudeln, lassen andere Platten links liegen
  • Nur die zweite Partition kann verschlüsselt werden, dadurch bleibt die Systempartition schnell und leichtfüßig
  • Eine zwecks Performance-Optimierung, hin und wieder mal nötige Defragmentierung von HDD’s läuft durch die Splittung schneller von statten, da man, je nach Bedarf, die Laufwerke einzeln defragmentieren kann

Beispiel: Auf meinem Arbeitsrechner huren auf der ersten, aus performance-Gründen unverschlüsselten Partition (C:\) Windows 10 und ein paar andere essenzielle, nicht portable Programme, wie Photoshop herum. Auf der zweiten und verschlüsselten Partition (D:\) chillen alle wichtigen Daten, portable Programme und die aktuellsten lokalen Backups hart ab.

Verschlüsselung der Container/Datenpartition/Ordner

Ihr glaubt gar nicht, was mir schon an brisanten Daten, wie Passwörter oder Finanzdaten, beim Durchtesten, Reparieren oder Recovern von diversen Festplatten, durch die Finger geglitten ist. Essenziell ist es deshalb, Partitionen/Ordner, in dem alle wichtigen Daten, wie portable Programme, Beschreibungen und lokale Backups liegen, „Correcto-mundo-mässig“ zu verschlüsseln.

Vorteile:

  • Sollte der Rechner/Laptop mal entwendet werden, verloren gehen, oder die Platte muss einfach mal ausrangiert werden, dann sind eure Programme/Zugangsdaten/Beschreibungen und Backups vor fiesen Zugriffen sicher.
  • Programme, die keinen eigenen Passwortschutz innehaben, können durch den verschlüsselten Container trotzdem abgesichert werden.
  • Verschlüsselte Container/Ordner können über Public-Cloud-Dienste (Bsp. Nextcloud, Tresorit, SpiderOak usw. ) hinweggesichert werden.

Für die Verschlüsselung von Platten/Containern/Ordner empfehle ich diese äußerst sympathischen Jungs und Mädels:

Nicht mit Systemwiederherstellungspunkten sparen

Verhaut man mit Systemkonfigurationsänderungen mal das System (z.B Programm- oder Treiber-Updates), so helfen Wiederherstellungspunkte, um das System, nach dem Motto “Zack, Zurück und geil” auf einen früheren, funktionierenden Stand zurückzusetzen. 

Ich erstelle Wiederherstellungspunkte immer bei frischen Windows-Installationen, bei Programmupdates und bei diversen anderen System/Tuning-Einstellungen.

Alle möglichen, vollgekackten Windows Spionage-Funktionen eliminieren

Wer es noch nicht mitbekommen hat: Windows, sowie auch sehr sehr viele andere Produkte von Microsoft nuckeln unter dem Deckmantel der Systemverbesserung und bestimmt auch nur zum “Schutz des Regenwaldes”, katastrophal hart an all deinen Dateien und Aktivitäten herum. Aus diesem Anlass sollte man alle Möglichkeiten nutzen, um diese nett gemeinten und hilfreichen Features den Garaus zu machen.

Hierzu gibt es zwei Möglichkeiten:

1: Man kastriert die Spionage-Funktionen auf manuellem Weg, was auf jeden Fall scheiße ist, da es Microsoft anscheinend sehr sehr lustig findet, bei manch einem Windows-Update alle handgerollten und mundgelutschten Einstellungen wieder rückgängig zu machen.

2: Man nutzt einige dieser hier aufgeführten Anti-Spy-Tools:

Eine Kombination verschiedener Tools macht hier Sinn, da leider keines alles kann. Um nichts kaputt zu machen, sollte man sich am besten ein virtualisiertes Windows-Testsystem via VirtualBox aufsetzen und alle Programme in Ruhe durchprobieren.

Backups. Am besten von allem was wichtig ist. Und am besten oft.

Ich sichere mir alle zwei Monate meine Systempartition (C:\) per Image-Abzug, die Datenpartition (D:\) einmal die Woche ab und täglich löse ich einen Datensync der veränderten Daten aus. Die Backups landen einmal verschlüsselt auf mein Home-NAS-System und einmal verschlüsselt auf meinen externen Root-Backup-Servern.

Empfehlenswerte Backup-/Sync-/Recovery Tools:

Soweit es geht nur (portable) Open-Source Programme benutzen

Einige Beispiele, warum portable und warum Open-Source:

  • Weil portable Programme nicht die Systempartition (C:\) vollscheißen.
  • Weil portable Programme viel einfacher auf ein neues System umgezogen werden können.
  • Weil man mit portablen Tools einfacher gassi gehen kann (z.b USB-Stick, externe HD, usw. = Geil!).
  • Weil Open-Source-Tools auf Bugs, Hintertüren geprüft und gegebenenfalls selbst erweitert werden können.
  • Da die meisten Tools leider keinen Zugriffsschutz bieten, hilft hier das Auslagern der portablen Programme auf eine verschlüsselte Partition.

Bei mir werden, abgesehen von einem Arbeitsrechner, alle Systeme nur mit Open-Source Programmen gefüttert und wo immer nur möglich, als portable Versionen, auf die zweite, verschlüsselte Partition abgelegt. Mit der Taktik kommt auch der nette und hochgeskillte Onkel Admin nicht an euren heißen Stoff.

Programme & Ordner möglichst zwischen Arbeit & Privaten Angelegenheiten trennen

Das bedeutet, dass man z. B. einen Browser nur für die reine Arbeit und einen anderen für die privaten Schweinereien benutzen sollte. Fängt man sich beim privaten Surfen irgendeine Schadsoftware ein, bleibt der Arbeits-Browser davon unberührt. Das Gleiche gilt auch für den Passwortmanager. Hier sollten die Passwörter, je nach Kategorie (Arbeit, Privat, Finanzen) in verschiedene Passwort-Datenbanken abgespeichert werden. So kann man je nach Gegebenheit mit der entsprechenden Passwortdatenbank auch auf Smartphones/Tablets spazieren gehen.

Auszug der Ordnerstruktur anhand einer Arbeits-Workstation (verschlüsselte Partition D:\)

D:\Dokumente\

  • Arbeit
  • Privat
  • Sicherungen

D:\Media\

  • Bilder
    • Arbeit
    • Privat
  • Ebooks
  • Musik
  • Videos

D:\Programme\Browser\

  • Downloads – (Browser Download-Ordner)
  • Firefox Browser – Portable Firefox-Instanz zum Zurfen
  • Tor Browser – Portable Firefox-Instanz zum anonymen Zurfen
  • Firefox-Work – Portable Firefox-Instanz nur für die Arbeit (Web Logins, etc)
  • Firefox-Chill – Portable Firefox-Instanz nur zum frivolen Surfen (Web, Social, etc)
  • Firefox-Cash – Portable Firefox-Instanz nur für die Finanzen (Banking, Shopping, etc)

D:\Programme\Sicherheit\Keepass\DB\

  • kp-work.kdbx – Passwort-Datenbank mit allen Zugängen für die Arbeit
  • kp-mobil.kdbx – Passwort-Datenbank mit allen Zugängen für den rein mobilen Gebrauch
  • kp-all-in.kdbx – Passwort-Datenbank mit wirklich allen Zugängen. Sollte nur in sicherer Umgebung genutz werden!

D:\Programme\Systemtools\

D:\Programme\Kommunikation\

D:\Programme\Office\

Favorisierte, portable Programme auf meiner Workstation (verschlüsselte Partition D:\)

Firewall:
Als Firewall kommt bei mir die Open-Source Firewall SimpleWall zum Einsatz. Diese leichtfüßige, sehr übersichtliche Firewall vergreift sich an der eingebauten Windows Filter Plattform (WFP).

Virenscanner:
ClamWin – Flotter, sehr aktuell gehaltener Virenscanner mit vielen Einstellungsmöglichkeiten wie Custom Filter, automatischer Virensignatur-Update-Funktion, planbaren Scans, Email-Reports u.v.m.

Sollte mir eine Datei “vely extremly spanish” vorkommen, dann scheue ich mich auch nicht davor, den kostenlosen Online-Virenscan-Dienst Virustotal, vom fiesen Datenschutzvergewaltigungs-Monster Google zu benutzen. Dieser Dienst jagt hochgeladene Dateien durch ca. 70 verschiedene Antiviren-Scanner. (Bitte keine sensiblen Daten hochladen da „Google“)

Webbrowser:
Wie bereits erwähnt, fahre ich die Taktik, verschiedene Open-Source Browser für verschiedene Einsatzszenarien (Arbeit, Surfing, Testing, Privatsphäre, usw.) zu verwenden. Dabei kommen mir nur portable Versionen ins Haus. Da neben Chrome mittlerweile auch schon der Firefox Nutzerdaten sammelt, reite ich mit dem datenschutzfreundlicheren Ungoogled Chromium und dem Firefox-Fork LibreWolf durch die digitale Prärie.

Bevorzugte Browser:

Die Browser werden, je nach Einsatzszenario, mit folgenden Security-Plugins ausgestattet:

Skript/PopUp/Tracker-Blocker

URL-Tracking Cleaner

Weitere, sehr gute Browser Security Plugins

Die Browser werden nach dem einrichten auf folgenden Online-Seiten durchgetestet

Empfehlenswerte Suchmaschinen

Kommunikation:
Für die direkte Live-Kommunikation benutze ich momentan die quelloffenen Tox Instant Messenger und Element. Diese sind angetreten, um der Skype-Wanze in die Fresse zu hauen. Im Gegensatz zu anderen Open-Source Messengern wie Signal, braucht der Kommunikationspartner bei Tox/Element nicht die Mobile Rufnummer zu kennen, um mit einem per Chat, Video oder Anruf in Kontakt zu treten. Es wird eine Eindeutige ID generiert, welche dem Kommunikationspartner übertragen wird und schon kann es loslegen. Die portablen Versionen von Tox/Element sind ein weiterer Pluspunkt gegenüber vielen anderen (Open-Source) Messengern.

  • qTox – Portabler Tox Instant Messenger Client
  • Element – Portable Version des Messenger Client (Unoffiziell)

Beim Mailing kommt das 3er-Gespann Thunderbird inklusive GPG-Verschlüsselung und Enigmail zum Einsatz:

Texting/Editing:
Zum flotten Bearbeiten von kurzen, schmerzlosen Texten oder Konfigurationsfiles benutze ich den Notepad++ Texteditor. Geht es um das Coden von Skripten, schmeiße ich den Atom-Editor an. Zum Speichern von kleinen Programm/Code-Snippets oder zum Erstellen von Checklisten, greift mir Boostnote unter die Arme. Für alle anderen Office-Arbeiten kommt LibreOffice ins Spiel. PS: Alle Text/Konfigurationsfiles stehen bei mir unter Git- Versionsverwaltung.

Virtualisierung:
Für die Virtualisierung von verschiedenen Betriebssystemen benutze ich Virtualbox. Ich setze Virtualbox meist zur Security-Analyse von Programmen und Email-Anhängen ein. Wenn neue Programme zum Einsatz kommen sollen, werden diese immer zuerst in einer virtuellen Maschine ausgetestet. Das Gleiche gilt für das Austesten von verschiedenen Win-Konfigurationseinstellungen. Nebenbei benutze ich für meine Finanzangelegenheiten (Elster, Rechnungen, Überweisungen) eine isolierte Linux-Instanz.

File-Management:
Um möglichst geschmeidig und effektiv durch die unendlichen Weiten des Windows File-Systems zu wandern, benutze ich den Double-Commander als eine genialere und viel geilere Alternative zum schei… Windows-Explorer, der auch im 21 Jahrhundert noch immer kein Tabbing kennt. Der Dateibrowser kommt mit praktischer Zwei-Fenster-Ansicht, Drag-n-Drop-, Archiv-, Volltextsuch-, Multi-Rename- und Datei-Betrachter-Funktion daher.

Systemanalyse:
Für die System- und Programm-Analyse, das Monitoring oder zur Fehlersuche sind mir folgende Programme wohlgesonnen:

Einen nicht quelloffenen, aber umso kostenloseren und durchaus scharfen Info-/Analyse-Werkzeugkasten, bekommt man mit der Sysinternals Suite ausgehändigt.

Misc und Media:
Der Rest der Programmbande

So, Ende der Fahnenstange. Ich hoffe, dass dieses kleine Howto einigermaßen verständlich ist und dass es irgendeinem beim Einrichten eines etwas sichereren Windows Systems weiterhilft.

PS: Wer auf richtige fiese Sicherheit steht und wem es möglich ist, von Windows auf Linux zu wechseln, dem kann ich wärmstens das Qubes-OS Linux System empfehlen, welches sehr einfach ist und in verschieden starken Sicherheitsstufen, mehrere voneinander abgeschirmte virtuelle Umgebungen bereitstellt.

Bildnachweis