Windows 7 und Windows 10 ? rundum sicher

Der Mailtext tönt plausibel, die Nachricht sieht professionell gestaltet aus und Sie kennen vielleicht sogar die angebliche Absenderfirma. Der Inhalt spricht von einer Rechnung, die im Anhang stecke. Woher wissen Sie nun, ob der Anhang tatsächlich eine PDF-Datei ist? Und sogar wenn: Ist die Datei sicher? Es gibt zum Glück einige wirksame Möglichkeiten, Windows so einzustellen, dass Sie lauernden Gefahren ausweichen und Fallen besser erkennen können. Gleich nachfolgend finden Sie alle wichtigen Sicherheitseinstellungen zu Windows. Jede neue Windows-Version ist wieder ein wenig sicherer als die vorhergehende. Microsoft stopft immer mehr Sicherheitslücken. Zudem werden Standardeinstellungen zu heiklen Windows-Diensten verbessert und weitere Sicherheitsfunktionen eingeführt. Dass dies aber nach wie vor nicht reicht, zeigen die immer noch zahlreichen News-Meldungen über Schädlingsinfektionen. Folgende Sicherheitstipps zeigen wir am Beispiel von Windows 10. Sie gelten aber so oder sehr ähnlich auch für die älteren Systeme Windows 7 und Windows 8. In einigen Fällen beschreiben wir den Weg unter Windows 7 genauer, da hier teilweise Unterschiede zu Windows 10 bestehen. Versteckte Dateiendungen anzeigen Ein Dateiname umfasst unter Windows 10 nach wie vor den eigentlichen Namen, einen Punkt und die Dateiendung, zum Beispiel «Mein Brief.docx». Anhand der Endung weiss Windows, mit welchem Programm es die Datei öffnen soll, wenn Sie diese im Windows-Explorer oder in einer E-Mail doppelklicken. Das ist bei einer reinen Textdatei mit der Endung .txt nie eine Gefahr. Auch bei einem Bild (zum Beispiel mit Endung .jpg) passiert inzwischen kaum mehr etwas. Wenn es sich hingegen um eine Programm- oder eine Script-Datei handelt (beispielsweise .exe oder .vbs), führt Windows die darin enthaltenen Anweisungen aus, auch wenn diese potenziell schädlich sind. Darum sollten Sie stets im Bild darüber sein, was für Dateien Sie vor sich haben. Leider blendet Windows standardmässig die Dateiendungen aus und lässt Sie zu diesem Punkt im Dunkeln. Das Problem dabei: Mit Dateinamen mit doppelten Endungen wie «Rechnung.pdf.exe» versuchen Angreifer, den Nutzern eine relativ harmlose PDF-Datei vorzugaukeln, obwohl in Wahrheit eine ausführbare EXE-Datei drinsteckt, siehe obiges Bild. Blenden Sie darum die Dateiendungen ein. Öffnen Sie unter Windows 10 im Windows-Explorer den Befehl Ansicht/Optionen/Ordner- und Suchoptionen ändern. In Windows 7 finden Sie dasselbe unter Organisieren/Ordner- und Suchoptionen. Wechseln Sie zum Reiter Ansicht. Deaktivieren Sie den Eintrag Erweiterungen bei bekannten Datei­typen ausblenden. Fortgeschrittene möchten vielleicht auch über sämtliche System- und versteckten Dateien informiert sein. Achtung: Damit verunzieren einige unschöne temporäre Files à la «~$Mein Brief.docx» und Einstellungsdateien wie «desktop.ini» den Desktop. Wenn das nicht stört, schalten Sie Geschützte Systemdateien ausblenden aus und aktivieren dafür bei Versteckte Dateien den Befehl Ausgeblendete Dateien, Ordner und Laufwerke anzeigen. Für die obigen Screenshots haben wir einige Beispieldateien präpariert. Anhand der wahren Endung lässt sich jetzt immerhin der Dateityp eruieren. Darüber geben auch zwei weitere Explorer-Funktionen Auskunft: Ein Rechtsklick auf eine Datei, gefolgt von Eigenschaften, zeigt jeweils im Reiter Allgemein beim Dateityp die Kurzbeschreibung, zum Beispiel «Anwendung (.exe)». Dieselbe Information erscheint auch in der Spalte Typ, wenn Sie im Windows-Explorer via Ansicht/Layout auf Details wechseln. All diese Tipps klappen natürlich erst bei Dateien, die Sie bereits auf Ihrer Festplatte gespeichert haben. Solange eine Datei noch in einer E-Mail als Anhang steckt, kann der Windows-Explorer nicht weiterhelfen. Darum sollten Sie Dateien nie direkt in einer E-Mail öffnen, sondern immer zuerst per Rechtsklick auf die Festplatte sichern und danach die Dateieigenschaften prüfen. Nächste Seite: Gefährliche Dateiendungen Gefährliche Dateiendungen Sie haben nun die Endungen eingeblendet. Aber welche sind gefährlich? Leider sind die meisten Dateitypen potenzielle Schädlingsträger. Alles, was Programm- oder Script-Code (auch in Form von Makros oder JavaScript) enthalten kann, birgt eine theoretische Gefahr. Allen voran Script-Dateiformate wie .vbs, .cmd, .bat, .wsh, .js, Programmdateien mit Endungen wie .exe, .msi, .com, sogar Programmbibliotheken und Treiberdateien wie .dll oder .sys können Schaden anrichten. Office-Dateien aller Art, seien es Word-, Excel- oder PowerPoint-Files, können Makros beinhalten oder sonstigen Code, der Schwachstellen ausnutzt. Selbiges gilt für die häufig für den Dokumentenaustausch verwendeten PDFs: Besonders der beliebte Adobe Reader ist oft Ziel von Schädlingen. Bei Bild-, Video- oder Musikdateien (.mp3, .ogg, .wav, .mp4, .avi, .mpg, .bmp, .gif, .jpg, .png etc.) ist die Gefahr hingegen relativ klein, sofern es sich tatsächlich um Dateien in diesen Formaten handelt. Die Multimediaformate werden dennoch von Onlinegaunern rege als Vorwand genutzt, um Benutzer anzulocken: «Anbei findest du ein Nacktfoto von mir» oder «Klicke auf den Link zum Video» sind beliebte Phrasen. In beiden Fällen ist das Bild oder Video oft genug nur ein Lockmittel, weil sich in der Mailbeilage oder auf der vorgeschlagenen Videoseite ein Schädling versteckt – wieder in Form einer ausführbaren Script- oder Programmdatei. Reine Textdateien (.txt) sind sicher, solange sie die Endung .txt tragen, denn die werden beim Doppelklick einfach in einem Texteditor wie Notepad geöffnet. Der führt keine Scripte aus, sondern zeigt nur die Zeichen an, die in der Datei stecken. Windows-Update prüfen Software-Updates sind wichtig, weil sie neu entdeckte Sicherheitslücken stopfen. Das gilt besonders für das Betriebssystem. Öffnen Sie in Windows 10 die Option Start/Einstellungen (Zahnrad-Symbol)/Update und Sicherheit. Klicken Sie bei Windows Update auf Nutzungszeit ändern. Hier legen Sie fest, zu welchen Zeiten Windows Update den Computer nicht neu starten darf. Klicken Sie ausserdem auf Erweiterte Optionen. Aktivieren Sie gegebenenfalls Updates für andere Microsoft-Produkte bereitstellen, wenn ein Windows Update ausgeführt wird. Greifen Sie danach zu Übermittlung von Updates auswählen. Windows 10 möchte eine spezielle Funktion zur schnelleren Verteilung der Updates nutzen. Falls Sie dieser nicht trauen, kippen Sie den Schalter auf Aus oder wählen Nur PCs in meinem lokalen Netzwerk. Windows 7 bietet hierzu ebenfalls Hand: Unter dem Punkt Start/Systemsteuerung/System und Sicherheit/Windows Update finden Sie den Befehl Einstellungen ändern. Hier können Sie den bevorzugten Zeitpunkt der Installation von Updates festlegen. Geheimen Adware-Blocker einschalten Ein Virenscanner wehrt zwar nur einen Teil der Schädlinge ab. Dennoch sollte er erstens aktuell und zweitens aktiv sein. Sofern kein separates Antivirenprogramm etwa von Avira, F-Secure, Kaspersky etc. installiert ist, prüfen Sie den Status des Microsoft-eigenen Windows Defenders. In Windows 10 gehts zu Start/Einstellungen/Update und Sicherheit/Windows Defender. Hier sollten die Schutzfunktionen auf Ein stehen. Wenn Sie unter Windows 10 wirklich nur den Windows Defender nutzen, schalten Sie bei diesem am besten auch die Erkennung von «potentially unwanted software» ein, kurz «PUS». Solche «möglicherweise unerwünschte Software» bezeichnet die Adware-Werbezusätze in zahlreichen Gratisprogrammen. Starten Sie für die Aktivierung den Registry-Editor, indem Sie Windowstaste+R drücken, regedit eintippen und mit Enter bestätigen. Akzeptieren Sie allfällige Rückfragen der Benutzerkontensteuerung. Per Ausklappen der Zweige hangeln Sie sich zu Folgendem durch und klicken ihn an:HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender Wählen Sie mit rechts den Zweig Windows Defender und gehen zu Neu/Schlüssel. Tippen Sie den Namen MpEngine für den Schlüssel ein und drücken Sie Enter. Wechseln Sie zum rechten Teil des Fensters. Klicken Sie mit rechts hinein und wählen Sie Neu/DWORD-Wert. Tippen Sie MpEnablePus ein und drücken Sie Enter. Doppelklicken Sie den Eintrag und ändern Sie den Wert von 0 auf 1. Klicken Sie auf OK und starten Sie den PC neu. Nächste Seite: Gefährlichen «Windows Script Host» ausknipsen Firewall checken Falls Ihr Virenscanner auch eine Firewall enthält, erübrigen sich Einstellungen in der Windows-Firewall. Fehlt eine solche, öffnen Sie in der Systemsteuerung unter System und Sicherheit die Windows-Firewall. Bei Private Netzwerke können Sie etwas grosszügiger sein und die Standardeinstellungen belassen. Die Einstellung Gast oder öffentliche Netzwerke kommt hingegen bei Verwendung von weniger sicheren Netzen zum Zug. In diesen werden nämlich heikle Zugriffsdienste abgeschaltet. Passen Sie darum via Windows-Firewall ein- oder ausschalten die Einstellungen für das öffentliche Netzwerk an. Es kann sogar sinnvoll sein, hier standardmässig den Befehl Alle eingehenden Verbindungen blockieren zu verwenden. Was ist der SmartScreen-Filter? Diese Funktion gibt es in dieser Form erst ab Windows 10. Sie erkennt aus dem Web heruntergeladene Dateien und holt vor deren Ausführung eine Bewilligung ein. Öffnen Sie Systemsteuerung/System und Sicherheit/Sicherheit und Wartung. Klicken Sie auf Windows SmartScreen-Einstellungen ändern. Hier sollte die oberste Option aktiv sein: Vor dem Ausführen unbekannter Apps warnen. Gefährlichen «Windows Script Host» ausknipsen Schon vor einigen Jahren war der Windows Script Host (WSH) wegen Missbrauchs durch Schädlinge im Gespräch. Eigentlich böte er Administratoren die Möglichkeit, Vorgänge zu automatisieren. Man riet aber schon damals dazu, ihn abzuschalten. Später geriet die Funktion quasi in Vergessenheit. Die finnischen Sicherheitsexperten von F-Secure warnten diesen Frühling aber erneut vor Schädlingen, die sich den WSH zunutze machen. Dieses gefährliche Einfallstor können Sie bedenkenlos schliessen, denn Sie werden den WSH nicht vermissen. Drücken Sie hierfür Windowstaste+R, tippen Sie regedit ein und bestätigen Sie mit Enter. Navigieren Sie im Registry-Editor mittels Aufklappen der Zweige zu folgendem Zweig und klicken Sie ihn an: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows Script Host\Settings Im rechten Fensterteil klicken Sie mit der rechten Maustaste hinein und wählen Neu/DWORD-Wert. Benennen Sie den Eintrag Enabled und setzen Sie dessen Wert auf 0 (Ziffer Null). Das wars: Ab sofort weigert sich Windows, zweifelhafte Dateien mit Endungen wie .js oder .wsh auszuführen.