Windows 10 härten und sicherer machen

Was bedeutet härten genau?

Ein System zu härten bedeutet die Angriffsfläche und damit die Anzahl möglicher Einfallstore / Sicherheitslücken zu verringern.

Sichere Installation

Startet bei der Installation eures Systems immer von Grund auf frisch. Bedeutet: Formatiert die Festplatte vollständig und installiert Windows nur aus sicheren Quellen. Die ISO-Imagedatei für Windows 10 gibt es von Microsoft kostenlos zum downloaden.

BIOS – Sicherer Start

Navigiert euch bei eurem System in das BIOS. Schaltet dazu den Computer ein und drückt die entsprechende Taste, um in das BIOS zu gelangen. In den meisten Fällen F2, Entfernen oder ESC. Die Belegung kann bei jedem Hersteller abweichen, wird euch aber beim Start angezeigt.

Sucht unter dem Menüpunkt BOOT nach der Einstellung „Sicherer Start“ bzw. „Secure Boot“ und aktiviert diesen, falls er es noch nicht ist. Diese Option überprüft das Gerät und startet es ausschließlich mit Software, die vom Hersteller als vertrauenswürdig eingestuft wird. Dabei werden beim Start alle Signaturen von Firmware-Treibern und Systemrelevanten Softwarekomponenten überprüft.

Entfernen von unnötigen Programmen

Nach dem ersten Start von Windows navigiert ihr euch in der Systemsteuerung unter „Programme und Feature“ und deinstalliert unnötige Programme (z.B. von Drittherstellern). ASUS, Huawei und auch andere Hersteller laden ihre Computer und Laptops gerne voll mit Bloatware wie unnötigen „PC Health“ Apps. Ein Beispiel, dass Hersteller Apps auch ein Sicherheitsrisiko darstellen ist der Fall ShadowHammer. Hierbei wurde durch das ASUS Live Update Utility, welches auf den meisten ASUS Geräten vorinstalliert war und für Updates sorgen sollte, Schadsoftware verteilt.

Deaktivieren von überflüssigen Diensten

Drittanbieter Dienste

1. Drückt die Tastenkombination Windows + R.
2. Gebt msconfig ein und drückt Enter.
3. Klickt auf den Reiter Dienste.
4. Setzt unten links das Häkchen bei „Alle Microsoft-Dienste ausblenden“.
5. Alle aufgelisteten Dienste könnt ihr ohne Bedenken deaktivieren. Update Dienste überprüfen automatisch, ob für das jeweilige Programm eine neu Version vorhanden ist und installieren diese evtl. automatisch. Bsp. Adobe, Google Chrome…
   Diese Dienste können aktiviert bleiben.

Windows Dienste

1. Drückt die Tastenkombination Windows + R.
2. Gebt services.msc ein und drückt Enter.

Folgende Dienste können deaktiviert werden. Überprüft aber jeden Dienst bevor Ihr ihn deaktiviert. Sollte beim nächsten Neustart ein Programm nicht ordnungsgemäß funktionieren, müsst ihr ggf. den dazugehörigen Dienst wieder aktivieren.

• Adobe Acrobat Update Service
• Adobe Flash Player Update Service
• Amazon 1Button App Service
• Dienst Bonjour (Apple-Dienst)
• Google Update-Dienst (gupdate)
• Mozilla Maintenance Service (Updates für Firefox oder Thunderbird)
• Skype Updater
• Windows-Fehlerberichterstattungsdienst

Updates Updates Updates

Überprüft auch eigenständig, ob Windows auf dem aktuellsten Stand ist und alle Updates installiert sind.

Haltet ebenfalls alle eure installierten Programme auf dem aktuellen Stand. Hierbei kann ein Software Update wie SuMo helfen. Auch der bekannte CCleaner bringt einen Software-Updater mit, bei dem bekannte Programme auf Updates überprüft werden.

Windows Defender – Aktivieren von Schutzmechanismen

Wer nicht ungefragt Dateien an Microsoft zur Überprüfung senden möchte, der sollte die automatische Übermittlung von Beispielen aus Datenschutzgründen deaktivieren. Der Manipulationsschutz sollte immer aktiviert sein.

Der überwachte Ordnerzugriff ist eine wichtige Funktion des Windows Defenders, der Ihre Dokumente vor sogenannter Ransomware (Verschlüsselungstrojanern) schützt. Es ist empfehlenswert diesen Schutz „Überwachter Ordnerzugriff“ zu aktivieren. Im Einstellungsmenü könnt ihr dann unter „Geschützte Ordner“ all eure Ordner mit wichtigen Dokumenten hinzufügen, die der Windows Defender vor unberechtigen Zugriffen und Änderungen schützen soll. Zu Beginn werden mit dieser Einstellung jedoch alle Zugriffe blockiert – so auch von vertrauenswürdigen Programmen wie Office. Diese Programme müsst ihr dann in einer Whitelist erlauben unter dem Punkt „App durch überwachten Ordnerzugriff zulassen„. Dieses Feature erfordert zu Beginn ein bisschen Zeit zur Konfiguration, bis man alle zulässigen Apps hinzugefügt. Verschlüsselungstrojaner sind aber immer verbreitet und werden gerne in E-Mail anhängen verschickt. Ein falscher Klick kann einen enormen Schaden verursachen. Die Funktion ist damit Gold wert bzw. wohl eher Zeit, Geld und Nerven.

Verschlüsselung der Festplatte

Windows 10 Festplatten sollten mit der eingebauten Verschlüsselungslösung BitLocker verschlüsselt werden. BitLocker benötigt das  Trusted Platform Module (TPM), welches bei Windows 10 standardmäßig aktiviert sein sollte.

1. Rechtsklick auf das Laufwerk – Bitlocker aktivieren
2. Gewünschte Methode zum Entsperren wählen

Im folgenden Schritt den Wiederherstellungsschlüssel abspeichern oder ausdrucken und sicher aufbewahren.

Wichtig: Solltet ihr euer Passwort / Smartcard und ebenfalls euren Wiederherstellungsschlüssel verlieren, habt ihr KEINEN Zugriff mehr auf die Daten eures verschlüsselten Laufwerks.

Bei Verschlüsseln der Systemfestplatte wird die Festplatte je nach Methode automatisch mit dem Einloggen des Windows Users entsperrt.

Nur in Windows 10 Pro, Education oder Enterprise enthalten

Sandboxing von Anwendungen

• Eventuell schädliche Programme einfach in einer virtuellen, abgeschotteten Umgebung testen

Windows 10 Pro bietet seit dem Mai 2019 Update eine eigene Sandbox Funktion, mit der ihr ein zweites Windows System starten könnt, welches vollständig von eurem laufenden Windows System abgeschottet ist. Dabei wird eine virtuelle Maschine erstellt, welche immer den gleichen Funktions- und Versionsstand wie euer Hauptsystem besitzt. Bei jedem Start dieser Sandbox erhaltet ihr eine frische Windows Sitzung. Bei dem Verdacht auf verseuchte Programme bzw. ausführbaren Anwendungen könnt ihr diese per Drag & Drop in eure Sandbox kopieren und dort ohne Bedenken installieren und ausprobieren. Sollte es sich um eine Schadsoftware handeln, kommt diese nicht mit eurem Hauptsystem in Berührung. Sobald ihr die Sandbox schließt werden alle Daten gelöscht und beim nächsten Start der Sandbox fangt ihr wieder mit einem frisch aufgesetzten Rechner an. Ebenso sind alle angepassten Einstellungen, Programminstallationen oder sonstige Änderungen wieder zurückgesetzt.

So könnt ihr die Sandbox aktivieren:

Sicher surfen mit Microsoft Edge Browser Sandbox

Application Guard aktivieren

• Im Ausführungsfenster („Windows + R“) den Befehl „optionalfeatures“ eingeben und bestätigen.
  Alernativ: Unter der Windows Suche Windows-Features aktivieren oder deaktivieren eingeben und auswählen.

• Rechner neustarten.
• Microsoft Edge starten und rechts oben auf die 3 Punkte Neues Application Guard Fenster auswählen