Windows 7 und 8 enthalten ein Arsenal von Sicherheitsfunktionen gegen Angriffe von außen und innen. Hier lesen Sie, was die wichtigsten Komponenten leisten und wie Sie diese kompetent nutzen.
Von Dr. Hermann Apfelböck, Redaktionsbüro MucTec
Windows hat Sicherheitsfunktionen bitter nötig: Es ist aufgrund seiner Verbreitung das bevorzugte Angriffsziel für Internetbanditen und Datenschnüffler. Mit gutem Grund baut Microsoft daher die Sicherheit von Version zu Version weiter aus. Dieser Beitrag zeigt den aktuellen Stand von Windows 7 und 8 mit den wichtigsten Regeln für den praktischen Einsatz. Nicht berücksichtigt sind hier die umfangreichen Wiederherstellungsoptionen für den Pannenfall.
Secure Boot mit UEFI-Firmware
Auf neueren PCs, Notebooks und Tablets mit Windows 8 und UEFI-Firmware greift ein neuer Schutzmechanismus: Voraussetzung ist neuere UEFI-Firmware (Unified Extensible Firmware Interface) mit TPM-Chip (Trusted Platform Module). Secure Boot sichert den Boot-Prozess ab und startet nur noch zertifizierte, im TPM-Chip hinterlegte Systeme.
Davor schützt Secure Boot: Die Funktion verhindert das Laden schädlicher Boot-Loader, die sich vor dem Windows-Start aktivieren, dann Windows starten und unter Windows unerkannt den Rechner kontrollieren. Solche elaborierte Schad-Software (Rootkits, Bootkits) zielt in der Regel nicht gegen den individuellen Rechner, sondern auf den Aufbau einer Bot-Armee. Ein Schutz gegen solche Malware ist eine dringende Aufgabe, allerdings verhindert Secure Boot auch normale Betriebssysteme.
Tipps für den Einsatz:Sie müssen nur aktiv eingreifen, wenn Secure Boot den Start eines Systems verhindert, das Sie laden wollen. Auf PCs und Notebooks lässt das Setup der UEFI-Firmware das Abschalten der Sicherheitsfunktion zu – meistens auf der Registerkarte „Security“. Auf Tablet-PCs mit Windows 8 ist das nicht möglich.
Gratis-Sicherheits-Tools für Windows
Laufwerke verschlüsseln mit Bitlocker
Der Bitlocker von Microsoft bietet sichere Verschlüsselung von Datenpartitionen, USB-Medien oder auch des Systemlaufwerks. Auf Windows-8-Tablets ist das Systemlaufwerk standardmäßig Bitlocker-verschlüsselt. Auf PC-Systemen ist Bitlocker nur in höherwertigen Editionen enthalten (Windows 7 Ultimate, Windows 8 Pro).
Davor schützt Bitlocker:Der Zugriff auf Bitlocker-Laufwerke erfolgt entweder automatisch bei der Windows-Anmeldung oder nach Eingabe des Kennworts. Damit schließt Bitlocker eine Sicherheitslücke, die beim Verlust des Gerätes (Notebook, Tablet) und beim Einbruch über ein Zweitsystem entsteht: Die Daten unverschlüsselter Laufwerke sind für jedes Windows- oder Linux-System ohne Kenntnis von Konten und Kennwörtern zugänglich. Bitlocker-Laufwerke kann das Zweitsystem nicht lesen.
Tipps für den Einsatz: Alle Funktionen der Laufwerksverschlüsselung sind über die Kontextmenüs der Laufwerke bequem erreichbar: „Bitlocker aktivieren“, „Laufwerk entsperren“, „Bitlocker verwalten“. Für das Verschlüsseln einer Datenpartition, die nicht das Betriebssystem enthält, gibt es keine Einschränkungen. Bitlocker verschlüsselt NTFS, FAT32, FAT16 oder exFAT. Für das Verschlüsseln der Systempartition ist hingegen ein TPM-Chip notwendig (Trusted Platform Module) und eine zweite Partition auf derselben Festplatte. Dies lässt sich über die Datenträgerverwaltung durch Verkleinern der Systempartition erreichen.
Bitlocker ist eine reine Partitionsverschlüsselung. Um kleine Datenmengen zu verschlüsseln, gibt es zwei Möglichkeiten: das angesprochene Verkleinern einer Festplatte und Verschlüsseln der entstandenen kleinen Partition oder der Weg über eine VHD-Datei (Virtual Hard Disk). Eine VHD der gewünschten Größe erstellen Sie in der Datenträgerverwaltung („Aktion, Virtuelle Festplatte erstellen“). Ist diese initialisiert, formatiert und als Laufwerk geladen, akzeptiert sie Bitlocker wie eine Partition.
Weitere Sicherheitsfunktionen im Telegramm
Windows Update: Sicherheits-Updates sind unentbehrlich. Unter „Systemsteuerung, Windows-Update“ muss die automatische Installation der Updates eingestellt sein.
Wartungscenter: Unter „Systemsteuerung, Wartungscenter“ finden Sie eine zentrale Anlaufstelle für wichtige Sicherheitskomponenten.
Family Safety:Mit dieser Funktion können Sie Zeitbeschränkungen, Software- und Webrichtlinien für Standardbenutzer vorgeben. Das Modul ist Standard in der Windows-8-Systemsteuerung, unter Windows 7 kann es als Bestandteil der Windows Live Essentials auf Wunsch nachinstalliert werden.
Policies (Verbote): Die Windows-Registry erlaubt Hunderte vordefinierter Richtlinien. Als dafür spezialisierte Zentralen stehen „Secpol.msc“ und in Pro-Editionen „Gpedit.msc“ zur Verfügung.