sicherheitsrelevante Patches einspielen

Für Windows-Betriebssysteme gelten darüber hinaus folgende Empfehlungen:

- Das jeweils aktuelle Service Pack sollte eingespielt werden.

- Als einziges Netzprotokoll sollte TCP/IP installiert werden.

- An das TCP/IP-Protokoll für den Internet-Zugang sollten keine Dienste gebunden werden.

- Die Datei- und Druckerfreigabe sollte deaktiviert werden. Es sollten keine Shares zur Verfügung gestellt werden.

- Bei Verwendung des Internet Explorers sollte unter Extras | Internetoptionen | Verbindungen die Funktion Vor dem Wählen Systemsicherheit prüfen aktiviert werden, falls diese Option angeboten wird.

- Der Windows Scripting Host (WSH) sollte deinstalliert werden, wenn dies bei der verwendeten Konfiguration möglich ist. Anderenfalls sollten die dem WSH zugeordneten Dateitypen, beispielsweise .vbs und .js, einem Editor zugewiesen werden.

- Der Microsoft Personal Web Server sollte deaktiviert, möglichst sogar deinstalliert werden.

- Die automatische CD-ROM-Erkennung sollte deaktiviert werden (siehe auch M 4.57 Deaktivieren der automatischen CD-ROM-Erkennung).

- Falls die verwendete Windows-Version eine Benutzertrennung unterstützt, sollten alle nicht benötigten Benutzerkonten, z. B. Gast, deaktiviert oder gelöscht werden. Unter Windows NT kann dies über den Benutzer-Manager erfolgen. Das Administrator-Konto sollte umbenannt und mit einem starken Passwort geschützt werden.

- Beim Einsatz von Windows 9x/ME kann darüber nachgedacht werden, einen passwortgeschützten Bildschirmschoner zu verwenden. Dies bietet einen gewissen Schutz gegen unberechtigte Zugriffe.

- Als Standardvorgang beim Doppelklick auf eine Datei vom Typ .reg sollte Bearbeiten (mit Editor öffnen) und nicht Zusammenführen eingestellt werden. Unter Windows ME kann das entsprechende Dialogfeld über den Explorer via Extras | Ordneroptionen | Dateitypen erreicht werden.

- Es sollte geprüft werden, ob anstelle der Standardnamen für System- und Datenverzeichnisse bzw. -dateien abweichende Pfadnamen verwendet werden können. Schadprogramme suchen in vielen Fällen nach bestimmten Dateien in Standardverzeichnissen, so dass durch diese Änderung ggf. ein zusätzlicher Schutz erreicht werden kann. Es ist jedoch zu berücksichtigen, dass dies zu Inkompatibilitäten mit bestimmten Programmen führen kann.

Bei der Verwendung von Linux sollten folgende Empfehlungen berücksichtigt werden:

- Der Daemon inetd sollte nicht gestartet werden. Je nach Distribution wird dies über Änderungen an den rc-Startdateien oder über spezielle Administrationstools konfiguriert.

- Der Portmap Daemon und der Name Service Caching Daemon sollten nicht gestartet werden.

- Falls die verwendete Distribution spezielle Dienste zur Fernadministration installiert, z. B. linuxconf oder swat, so sollten diese deaktiviert werden.

- Apache oder andere WWW-Server-Software sollte deinstalliert werden.

- Das Programm sendmail sollte nicht im Server-Modus gestartet werden. Auch andere Daemons für den Empfang von E-Mail über das Protokoll SMTP sollten deinstalliert oder zumindest deaktiviert werden. Sofern benötigt, sollte E-Mail stattdessen via POP3 oder IMAP abgeholt werden.

- Als zusätzliche Sicherheitsmaßnahme gegen Angriffe aus dem Internet kann die Paketfilterfunktion ipchains bzw. iptables von Linux eingesetzt werden. Einige Distributionen enthalten hierfür vorkonfigurierte Pakete.

Als zusätzliche Sicherheitsmaßnahme kann eine so genannte Personal Firewall installiert werden. Damit diese auch wirksam ist, muss sie sorgfältig für den jeweiligen Einsatzzweck konfiguriert werden. Insbesondere muss das Programm so eingestellt werden, dass die Benutzer nicht mit einer Vielzahl von Warnmeldungen belästigt werden, die sie nicht interpretieren können. Weitere Empfehlungen finden sich in M 5.91 Einsatz von Personal Firewalls für Internet-PCs.