Windows härten

Autor: Andre Adrian
Version 21.Dez.2010

Inhaltverzeichnis

MS-Windows 7 oder Vista härten
Weiteres MS-Windows härten
MS-Windows XP härten
MS-Windows Vista, 7 MTU setzen
Windows 7 Maus und Ruhezustand
Windows XP MTU setzen
Über den Autor

MS-Windows 7 oder Vista härten

Ein Betriebsystem härten bedeutet dieses Betriebssystem weniger angreifbar zu machen. Weniger angreifbar ist eine Burg, oder ein Betriebssystem, wenn es weniger Einfallstore gibt. Die Einfallstore für Attacken sind bei dem Betriebssystem die Netzwerkdienste, oder allgemeiner alle Programme die beim Booten automatisch gestartet wurden. Bei UNIX und Linux sind die meisten Dienste ab Werk nicht aktiviert. Bei MS-Windows sind wegen der Microsoft "user experience" Firmenstrategie die meisten Einfallstore offen. In vielen Fällen weiss der Benutzer von diesen Diensten gar nichts, weil er sie noch nie benutzt hat. Ein Dienst wie WebDAV (WebClient) wird erst dann bekannt, wenn Angreifer dieses Einfallstor für Schadsoftware benutzen. Das ist ein zweifelhafte "user experience" nach Meinung des Autors.

MS-Windows Grundschutz

Der minimale MS-Windows Schutz besteht aus drei Schritten bis vier Schritten

Eine originale MS-Windows Kopie verwenden.
Neben Administrator einen Standardbenutzer zum Arbeiten einrichten.
Die Microsoft Dienste MS-Firewall, automatischer MS-Update und Windows Defender aktivieren.
Microsoft Antivirus-Programm Security Essentials installieren

Wer eine Raubkopie von MS-Windows verwendet sollte entweder auf eine originale Kopie umsteigen, oder auf Linux umsteigen. Alle anderen Maßnahmen der Betriebssystem-Härtung sind nutzlos, wenn die Raubkopie "ab Fälscherwerkstatt" schon absichtliche Einfallstore im Bauch hat. Jeder Benutzer einer Raubkopie sollte überlegen warum er diese Kopie "umsonst" erhalten hat. Warez Dealer sind eigentlich nicht für ihre Menschenfreundlichkeit bekannt.
Wenn MS-Windows installiert wird, muß ein Benutzer angelegt werden. Dieser erste Benutzer sollte admin oder root genannt werden. Gleich nach Abschluss der Installation sollte ein zweiter Benutzer als Standardbenutzer (Nutzer mit eingeschränkten Rechten) angelegt werden. Unter diesem Standardbenutzer wird gearbeitet. Über Systemsteuerung, Benutzerkonten, Anderes Konto verwalten erreicht man Neues Konto erstellen.

Die Microsoft Firewall wird eingeschaltet über Systemsteuerung, Microsoft-Firewall und Windows Firewall ein- oder ausschalten. Für einen Einzelplatz PC der über DSL am Internet hängt kann die höchste Firewall-Stufe gewählt werden. Ein solcher PC hat kein Heim- oder Arbeitsplatznetzwerk (privates Netzwerk).

Der automatische Update wird über Systemsteuerung, Windows Updates und Einstellungen ändern erreicht.

Der Windows Defender ist ein Anti-Schadsoftware-Programm. In vielen Punkten arbeitet der Defender wie ein Antivirus-Programm. Gefunden wird Defender Optionen über Systemsteuerung, Windows-Defender, Extras und Optionen. Die Optionen E-Mail überprüfen und Wechseldatenträger überprüfen sind ab Werk nicht eingeschaltet. Der Umgang mit dem Computer wird ein bisschen unbequemer wenn diese Optionen eingeschaltet sind. Der Defender muß zuerst prüfen bevor der Benutzer an den USB-Stick oder an den E-Mail Anhang herankommt. Bequemlichkeit ist leider der Feind von Sicherheit. Das Aufschließen der Haustür kostet auch etwas Zeit, aber kaum jemand würde heute auf das Abschließen verzichten wollen.

Microsoft Security Essentials

Von Microsoft selbst gibt es ein Antivirus-Programm für Privatkunden und Unternehmen mit bis zu zehn PCs. Die Software wird von der Microsoft Security Essentials Webseite installiert. Das Antivirus-Programm hat seinen eigenen Eintrag im Start-Menü und wird nicht über die Systemsteuerung konfiguriert. Soweit dem Autor bekannt ist es normal das Microsoft Security Essentials den Windows Defender ausschaltet. Das zusätzliche Einschalten von Windows Defender über den "klicken Sie hier, um es zu aktivieren" Link ist nicht erfolgreich.

Windows DCOM deaktivieren

Um irgendwelche Dinge in Microsoft Office und ActiveX anzustellen benutzt Microsoft die Middleware DCOM. Der Name war zuerst "Network OLE", aber Object Link und Embed ist ein verbrannter Name bei den Microsoft Office Nutzern. Werden Nicht-Microsoft Applikationen wie Firefox, Adobe Flashplayer-Plugin, OpenOffice und Adobe Reader eingesetzt, sind diese Microsoft eigenen Middleware Funktionen nicht nötig. Um DCOM abzuschalten muss zuerst über Start-Icon, Alle Programme, Zubehör, Ausführen das Programm dcomcnfg gestartet werden.

Unter Kompomentendienste das Computer-Icon anklicken, dann ein Rechts-Klick auf das Arbeitsplatz-Icon und Menüpunkt Eigenschaften auswählen. Unter Standardeigenschaften finden sich das Ankreuzfeld zum Ausschalten von DCOM.

Damit DCOM ganz und gar ausgeschaltet wird, sind im Reiter Standardprotokolle alle Einträge in der Liste DCOM-Protokolle zu entfernen.

MS-Windows Dienste wie WebDAV, WDAP deaktivieren

Die Firewall blockiert die Einfallstore für die Angreifer, die Einfallstore bleiben aber weiterhin bestehen. Bei einer Burg bedeutet die Firewall eine zusätzliche Kette mit Schloß vor dem Burgtor. Wird ein Dienst im Computer deaktiviert entspricht dies dem Zumauern des Einfallstors. Auch wenn der Angreifer die Firewall umgehen konnte ist der Angriff erfolglos, weil der Schwachpunkt hinter der Firewall fehlt. Betriebssysteme härten erfolgt vor allem über das Deaktivieren der Dienste. Für harte Systeme werden die Netzwerkdienst-Programmen nicht nur deaktiviert sondern auch vom Computer gelöscht.
Auf einem MS-Windows PC gibt es einige Dienste die für eine Nutzung als Einzelplatz-PC mit Druckeranschluß über USB und Internetanschluß über DSL nicht nötig sind. Von Microsoft gibt es als KB832017 Artikel eine Übersicht der wichtigsten Netzwerkports, -protokolle und -dienste. Bei einem UNIX oder Linux System dürften diese Dienste ab Werk deaktiviert und nicht installiert sein. Bei MS-Windows sind solche Dienste der möglicherweise schöneren "user experience" wegen per Default eingeschaltet, bis die bösen Buben herausfinden das mit diesen obskuren Diensten der Computer kompromittiert werden kann. Bei MS-Windws 7 lassen sich unnötige Dienste abschalten mit Systemsteuerung, System und Sicherheit, Verwaltung, Dienste.

Folgende Dienste sollten deaktiviert werden. Sie sind nach Meinung des Autors nicht nötig für einen Einzelplatz-PC mit Firefox Browser, OpenOffice, Adobe Reader, Adobe Flashplayer-Plugin, USB Druckeranschluss und WLAN Internetanschluss:

Die MS-Windows Bezeichnungen sind für einen UNIX Systemadministrator schwer verständlich. Hier eine Übersetzungtabelle:

Arbeitsstationsdienst	SMB Protokoll, die MS-Windows Kopie von NFS (Network File System). Nicht nötig für normale Internetnutzung. Im Moment (10. September 2010) eine Schwachstelle in MS-Windows.
Funktionssuche-Ressourcenveröffentlichung	Dieser Dienst wird nicht für die Internet-Protokolle IPv4 usw. benötigt sondern nur für Netzwerke mit MS-Windows Servern.
hpqwmiex	Es gibt keinen Erklärungstext zu diesem Dienst. Irgendwas für den Compaq 610 oder für einen HP Drucker?
IP-Hilfsdienste	Nur nötig für IPv6 über IPv4 Tunneling.
Media Center Extender-Dienst	Zum Anhören von Audio-Streams über MS-Windows Media Player ist dieser Dienst nicht nötig.
Net.Tcp-Portfreigabedienst	Irgendein MS-Windows Protokoll welches TCP/IP benutzt. Auf jeden Fall nicht das normale TCP. Nicht nötig für normale Internetnutzung.
Routing und RAS	Um ins Internet zu gehen mit Computer und DSL ist kein Routing nötig (der Kutscher kennt den Weg auch so...)
TCP/IP-NetBIOS-Hilfsdienst	NetBIOS ist das veraltete Netzwerkprotokoll von IBM und MS-Windows aus dem letzten Jahrtausend.
WebClient	WebDAV. Nicht nötig für normale Internetnutzung. Im Moment (10. September 2010) eine Schwachstelle in MS-Windows.
WinHTTP-Web Proxy Auto-Discovery-Dienst	WPAD. Nicht nötig für normale Internetnutzung. Im Moment (10. September 2010) unter Verdacht eine Schwachstelle in MS-Windows zu sein.

Für die Internet-Protokolle TCP, DHCP und DNS benötigt MS-Windows folgende Dienste. Der DNS-Client stellt nur den DNS-Cache zur Verfügung.

Netzwerkspeicher-Schnittstellendienst
Netzwerklistendienst
NLA (Network Location Awareness)
Netzwerkverbindungen
DHCP-Client

Windows Programmstarts verhindern

Neben Netzwerkdiensten und Middleware gibt es noch "irgendwelche" Programme die beim Booten von Microsoft Windows gestartet werden. Ein - hoffentlich harmloses - Beispiel ist der Open.Office.org Schnellstarter. Diese Programmstarts beim Booten werden - wenigstens zum Teil - über das Programm msconfig gesteuert. Der Aufruf von msconfig erfolgt ähnlich wie bei dcomcnfg. Programm msconfig starten über Start-Icon, Alle Programme, Zubehör, Ausführen.
Über den Reiter Dienste wird ein Teil der Autostart-Programme gezeigt. Der Dienst mit dem Hersteller "Unbekannt" wird vorsoglich abgeschaltet. Wahrscheinlich ist die Ursache für "Unbekannt" harmlos. Das Programm füllt wahrscheinlich nicht das nötige Datenfeld. Richtig bösartige Dienste machen sich über ein Rootkit unsichtbar für msconfig.

Der Reiter Systemstart zeigt weitere Autostarts. Auch hier wurde ein Systemstart mit Hersteller "Unbekannt" deaktiviert.

Die dritte Stelle unter msconfig für Autostarts ist unter Reiter Tools und dann Autostartprogramme, Softwareumgebung und Autostartprogramme. Hier endlich findet sich der Open.Office.org Schnellstarter. Der Ort "Start" ist nicht anderes als der Autostart Ordner unter Start-Icon, Alle Programme und Autostart. Wird als Ort "HKLM\SOFTWARE.." angegeben ist das Programm regedit nötig um den Autostart aus der MS-Registry zu entfernen. Dieses Programm wird gestartet wie dcomcnfg.

NX Bit setzen

Das No Execute Bit kontrolliert des Arbeitsspeicherzugriff der CPU. Der beste Arbeitsspeicherschutz ergibt sich wenn der Programmspeicher read only (nur lesbar) ist und CPU Befehle ausführen kann, der Datenspeicher aber read write (lesen und schreiben) ist und keine CPU Befehle ausführen kann. Bei Microsoft Windows Server Betriebssystemen arbeiten alle Programme mit diesem Speicherschutz. Einzelne Programme können über OptOut auf den Schutz durch das NX Bit verzichten. Mal wieder wegen der schöneren User Experience arbeiten die Client Betriebssysteme wie Vista nicht mit der sicheren OptOut Einstellung, sondern mit der unsicheren OptIn Einstellung. Mit dem Programm bcdedit kann auch bei Client Betriebssystemen OptOut eingeschaltet werden. Dazu unter Start, Zubehör die Eingabeaufforderung suchen, dann mit Rechtsklick 'Als Administrator ausführen' starten. Ein Programm welches nicht mit gesetztem NX Bit arbeitet ist ein sehr, sehr schlechtes Programm. Ein solches Programm verdient es nicht benutzt zu werden.

Adobe Reader mit Microsoft EMET schützen

Laut Adobe Artikel APSA10-02 gibt es eine kritische Verletzbarkeit (vulnerability) in Adobe Reader. Von Microsoft gibt es mit EMET ein Software-Werkzeug zum Härten von closed source Software von der nur die Exe- und DLL-Dateien vorliegen. Nach der Installation von EMET muss der Festplatten-Wohnort der Adobe Reader Exe-Datei ermittelt werden. Für Adobe Reader Version 8 und 32bit MS-Windows ist dies üblicherweise
C:\Program Files\Adobe\Reader 8.0\Reader\AcroRd32.exe
Um mit EMET Adobe Reader zu schützen werden die folgenden Zeilen im Kasten in die Datei EMET-Adobe-Reader.bat kopiert:

rem EMET-Adobe-Reader.bat
rem Diese Batch Datei mit Rechts-Klick und "Als Adminstrator ausführen"
C:
cd \Program Files\EMET
EMET_Conf.exe --add "C:\Program Files\Adobe\Reader 8.0\Reader\AcroRd32.exe"
pause

Die Bat-Datei wird mit "Als Administrator ausführen" gestartet. Mit dem EMET Programm unter Start-Icon, Alle Programme, Enhanced Mitigation Experience Toolkit und EMET 2.0 kann der Schutz von Adobe Reader durch EMET überprüft werden. Damit EMET den Adobe Reader in der Prozessliste sieht muss Adobe Reader vor EMET gestartet werden.

Gehärtete Windows Konfiguration prüfen

Um nach allen Änderungen den Erfolg zu prüfen müssen Eingabeaufforderung Programme benutzt werden. Der MS-DOS Prompt wird gestartet mit Start-Icon, Alle Programme, Zubehör, Eingabeaufforderung.
Das UNIX Kommando ifconfig hat unter MS-Windows 7 den Namen ipconfig. Mit der Option /all erfolgt eine detaillierte Übersicht über den Netzwerkadapter. Der Computer hat über den WLAN Anschluss eine Verbindung zur FritzBox. Von dem FritzBox Router/DSL-Modem geht es ins weltweite Internet. Unter MS-Windows Dienste wie WebDAV, WDAP deaktivieren wurde eigentlich NetBIOS über TCP/IP deaktiviert. Die Ausgabe von ipconfig behauptet aber das Gegenteil. Hier ist wohl noch etwas Nachforschung nötig.

Das UNIX Kommando netstat hat unter MS-Windows auch den Namen netstat, welche Freude. Mit den Optionen -ano zeigt netstat alle UDP- und TCP-Ports an auf denen Netzwerkdienste-Programme (daemons) lauschen. Und jeder Lauscher im eigenen Computer ist ein Einfallstor für Angreifer. Von den Netzwerkdienste-Programme ist zuerst nur die PID (Prozessnummer) bekannt. Etliche TCP-Ports sind im Status "ABHÖREN". Dies sind alles Einfallstore. Die gemeldeten UDP-Ports sind ebenfalls Einfallstore. Eine einzige TCP Verbindung ist "HERGESTELLT" zwischen 192.168.178.26 und 85.17.201.194.

Die TCP-Verbindung im Status "HERGESTELLT" wird mit tracert untersucht. Unter UNIX oder Linux heisst dieses Kommando oft traceroute. Die TCP-Verbindung läuft über die FritzBox, einem Router mit DSL-Modem, über weitere Router bis zu einem Rechner xla090.cyberneticos.com. Etwas googeln nach "cyberneticos" führt auf die Internetseite von CyberNETicos. Diese Firma bietet Hosting und Streaming an. Da die TCP Verbindung zu einem Internet-Radio Audiostream gehört ist der Endpunkt bei einer Streaming Firma sinnvoll.
Um die PID in einen Programmnamen umzusetzen gibt es das MS-Windows Programm tasklist. Die TCP-Verbindung und die UDP-Verbindung auf UDP-Port 63753 gehören zu dem Programm mit PID 4528. Die PID 4528 gehört zu dem Programm wmplayer, dem Windows Media Player. Für Audio- und Videostreams ist eine TCP- und eine gleichzeitige UDP-Verbindung üblich. Über TCP werden Session-Informationen ausgetauscht, über die UDP Verbindung gelangt die Musik oder das Video auf den Computer.

Die Ports 135, 137 bis 139 gehören zu den "well known Ports". Über die IANA (Internet Assigned Numbers Authority) lässt sich die offizielle Nutzung dieser Ports nachfragen. Die Ports ab 49152 sind "private ports". Für Microsoft Betriebssysteme dürften die Ports 49152 bis 49156 eine feste Bedeutung haben. Durch das Verschieben dieser Ports auf den "private ports" Bereich hat Microsoft eine Registrierung bei IANA vermieden, nicht unbedingt ein nachahmenswertes Beispiel für andere Firmen.

epmap           135/tcp    DCE endpoint resolution
epmap           135/udp    DCE endpoint resolution
netbios-ns      137/tcp    NETBIOS Name Service    
netbios-ns      137/udp    NETBIOS Name Service    
netbios-dgm     138/tcp    NETBIOS Datagram Service
netbios-dgm     138/udp    NETBIOS Datagram Service
netbios-ssn     139/tcp    NETBIOS Session Service
netbios-ssn     139/udp    NETBIOS Session Service

Die Ports 137 bis 139 gehören zu NetBIOS welches für die Internet-Protokolle wie TCP, UDP, DHCP und DNS nicht benötigt wird. Der Port 135 hat eine weniger offensichtliche Bedeutung. Googlen mit dem Begriff "Port 135" führt bei www.digital-inn.de zu der Erklärung "PORT 135 Remote Procedure Call (RPC) ist ein Protokoll, das vom Betriebssystem Windows verwendet wird. RPC stellt einen Mechanismus für die Kommunikation zwischen Prozessen zur Verfügung, das Programmen, die auf einem Computer verwendet werden, erlaubt, Code nahtlos auf einem Remotesystem auszuführen." Im weiteren Text aus dem Jahr 2003 wird beschrieben das Port 135 eine Sicherheitslücke hat.
Der Port 135 gehört zu dem Programm mit PID 740. Die PID 740 gehört zu dem Abbildname (Prozess, Programm) svchost. Dieses Programm ist der super-daemon unter MS-Windows. Ein Grossteil der Netzwerkkommunikation geht durch diesen Tausendsassa. Die Ports 137 bis 139 werden von PID 4 verwaltet. Dieser Prozess heisst System, wahrscheinlich meint Microsoft damit den Betriebssystem-Kernel.

Die Ports 49152 bis 49156 werden von den Programmen wininit, svchost, services und lsass verwaltet. Wininit.exe führt die Anweisungen in der Steuerdatei Win.ini aus. Damit werden Updates durchgeführt bei denen Windows nicht laufen darf, laut Microsoft Artikel 299332. Services.exe startet und stoppt die Dienste, auch aus der Ferne (remote), siehe Microsoft Artikel 186401 welcher einen typischen Fehler mit RPC zeigt: Der Fernaufruf belegt Arbeitsspeicher im Prozess Services.exe des Empfänger-Computers, der Speicher wird aber niemals mehr freigegeben. Lsass.exe dürfte auch Nicht-Systemadministratoren bekannt sein. Eine Zeitlang war dieser Prozess das Lieblingsziel der Computer-Würmer wie Sasser. Lsass.exe überprüft ob die Benutzeranmeldung (Login) gültig ist. Interessanterweise gibt es keinen Microsoft Artikel zu den Suchbegriffen "Lsass.exe Sasser".

Die Suche nach RpcEptMapper und RpcSs unter Systemsteuerung, System und Sicherheit, Verwaltung, Dienste führt zu zwei Diensten. Diese Dienste starten svchost mit der Option RPCSS und rpcss. Beide Dienste lassen sich auch als Administrator nicht deaktivieren. MS-Windows benötigt NetBIOS wie ein Fisch das Wasser zum Leben und läßt sich in diesem Bereich nicht über das Aktivieren einer Firewall hinaus härten. Eine weitere Suche fand heraus das die Dienste auf den Ports 135, 137-139 und 49152-49156 nicht deaktiviert werden können. Dadurch bleiben die Programme svchost.exe, lsass.exe, services.exe und wininit.exe die Hauptangriffspunkte der Virus- und Würmer-Programmierer. Der MyDoom Wurm in Variante O hatte sich in services.exe eingenistet, sagt Microsoft Artikel 836528. Auch wenn es den Microsoft Fans nicht gefällt: UNIX und Linux Systeme lassen sich stärker härten als MS-Windows.

Dienst	Beschreibung	Prozess	Port
-	NetBIOS Name Service	System	UDP-137
-	NetBIOS Datagram Service	System	UDP-138
-	NetBIOS Session Service	System	TCP-139
-	Update von MS-Windows Dateien	wininit.exe	TCP-49152
-	Dienststeuerungs-Manager	services.exe	TCP-49155
SamSs	Sicherheitskonto-Manager	lsass.exe	TCP-49156
DcomLaunch	DCOM-Server Prozessstart	svchost.exe (1)	-
Power	Stromversorgung	svchost.exe (1)	-
PlugPlay	Plug & Play	svchost.exe (1)	-
RpcSs	Remoteprozeduraufruf (RPC)	svchost.exe (2)	TCP-135
RpcEptMapper	RPC-Endpunktzuordnung	svchost.exe (2)	TCP-135
eventlog	Windows-Ereignisprotokoll	svchost.exe (3)	TCP-49153
wudfsvc	Windows Driver Foundation	svchost.exe (4)	-
Schedule	Aufgabenplanung	svchost.exe (5)	-
gpsvc	Gruppenrichtlinienclient	svchost.exe (5)	TCP-49154

Die Funktion der Firewall wird mit einem port scan getestet. Unter www.virenschutz.info gibt es einen einfachen Portscanner in deutsch und unter www.grc.com gibt es einen umfangreicheren Portscanner in englisch. Das Ergebnis des Shields UP port scan bei Gibson Research ergab eine gute Note für die Firewall. Nach Meinung des Autors sollte ein Computer im Internet auf Ping (ICMP Request) eine Antwort geben. Es gibt Betriebssystem härten und es gibt Paranoia. Ein Systemadministrator sollte den Unterschied zwischen beiden kennen.

GRC Port Authority Report created on UTC: 2010-09-11 at 22:39:14

Results from scan of ports: 135, 137-139, 49152-49156

    0 Ports Open
    0 Ports Closed
    9 Ports Stealth
---------------------
    9 Ports Tested

ALL PORTS tested were found to be: STEALTH.

TruStealth: FAILED - ALL tested ports were STEALTH,
                   - NO unsolicited packets were received,
                   - A PING REPLY (ICMP Echo) WAS RECEIVED.

MS-Windows Dienststeuerungs-Manager services.exe

Der Service Control Manager (SCM) services.exe kann über das Programm sc.exe abgefragt und gesteuert werden. Zu diesem Zweck der Fernsteuerung hat services.exe wohl auch seinen TCP-Port. Das Programm sc.exe wird mit MS-Windows 7 ausgeliefert. Mit sc.exe ist ein Blick in das laufende MS-Windows hinein möglich. Interessanterweise sind einige Dienste die unter Systemverwaltung nicht zu beenden sind unter sc.exe auf einmal "STOPPABLE", wie die Dienste Schedule (Aufgabenplanung) und gpsvc (Gruppenrichtlinienclient). Ob Wurm-Programmierer diese Unterschiede für ihr schlechtes Werk ausnützen können wird die Zukunft zeigen. Jede Inkonsistenz kann eine Schwachstelle anzeigen, das wissen auch die bösen Buben.

Weiteres MS-Windows härten

Das Windows härten hatte bis jetzt als Ziel die Benutzerfreundlichkeit von MS-Windows für den privaten Nutzer nicht einzuschränken. Wenn mehr Sicherheit verlangt wird, geht dies nur mit weniger Bequemlichkeit. Wie bekannt hat der Stuxnet Wurm die MS-Windows Computer über den USB-Anschluß infiziert. Die USB-Anschlüsse können deaktiviert werden. Zwischen dem gehärteten Rechner und anderen Rechner können die Daten über Compact Disc (CD) ausgetauscht werden. Die Daten werden im gehärteten Computer auf einen Rohling gebrannt. Überhaupt keine Möglichkeit zum Datenaustausch vorzusehen ist kontraproduktiv. Die lokalen Kümmerer werden sonst aktiv und unterlaufen die Sicherheitseinstellungen indem sie mit ihrem Administrator-Passwort und gesundem Halbwissen die USB-Anschlüsse wieder freiklopfen.
Die U.S. Behörden halten viel und hoffentlich gute Dokumentation zum Thema "Windows hardening" bereit. Die NIST Seite ist ein guter Einstieg.

MS-Windows XP härten

MS-Windows XP ist der Vor-Vorgänger von MS-Windows 7. Die Gemeinsamkeiten sind grösser als die Unterschiede. Nach Ansicht des Autors gibt es bis heute keinen guten Grund bei einem vorhandenen XP auf eine andere Microsoft Windows Version zu wechseln.
Bei XP sind die Einstellungen für Firewall, automatische Update und Virenschutz im Sicherheitscenter vereinigt.

Unter XP wird DCOM genauso wie unter Windows 7 abgeschaltet. Folgende Dienste können unter XP für einen Einzelplatz-PC mit USB-Drucker und WLAN-Anschluss deaktiviert werden.

Das Microsoft EMET Programm und der Adobe Reader werden unter XP in anderen Verzeichnissen auf der Festplatte abgelegt. Um EMET für den Schutz von Adobe Reader zu konfigurieren ist diese Bat Datei nötig.

rem WindowsXP-EMET-Adobe-Reader.bat
rem Diese Batch Datei unter Benutzer admin ausführen
C:
cd \Programme\EMET\
EMET_Conf.exe --add "C:\Programme\Adobe\Reader 8.0\Reader\AcroRd32.exe"
pause

Werden alle Dienste deaktiviert, zeigt netstat -ano noch einige offene Ports.

Die TCP-Verbindung im Zustand "HERGESTELLT" ist wieder die Internet Radio Verbindung. MS-Windows XP lauscht auf weniger Ports als Windows 7. Die drei NetBIOS Ports 137-139 gibt es auch bei XP. Daneben werden die Ports 445, 500 und 4500 verwandt. Die Port-Benutzung nach IANA ist:

microsoft-ds    445/tcp    Microsoft-Directory Services
microsoft-ds    445/udp    Microsoft-Directory Services
isakmp          500/tcp    isakmp
isakmp          500/udp    isakmp
ipsec-nat-t     4500/tcp   IPsec NAT-Traversal
ipsec-nat-t     4500/udp   IPsec NAT-Traversal

MS-Windows Vista, 7 MTU setzen

Die maximum transfer unit (MTU) Größe oder die Größe des reassembly buffer ist nicht wichtig für das Thema Windows härten. Beide Werte bestimmen aber wie gut mehrere Computer sich die Bandbreite einer Internet-Anbindung teilen können, oder wie gut sich mehrere Programme auf einem Computer sich diese Bandbreite teilen können.
Die MTU Größe ist die maximale Größe eines Datenpaketes. In der DSL Leitung werden die Datenpakete der verschiedenen Programme nacheinander übertragen. Wenn ein Internet-Telefonie-Programm auf ein Datenpaket wartet, hängt die Wartezeit (latency) auch von der MTU ab. Oft wird ja noch ein Datenpaket von einem anderen Programm, wie einem Datei-Download, übertragen, bevor das Datenpaket für die Internet-Telefonie übertragen werden kann. Ein MTU Wert von 1492 Bytes blockiert eine Leitung für eine längere Zeit als ein MTU Wert von 576. Der Wert 1492 ergibt sich aus der maximalen Länge eines Ethernet Paketes und Einschränkungen durch den Internet-Service Provider (ISP). Der Wert 576 Bytes stammt aus dem IETF RFC 879.
Der reassembly buffer wird im IETF RFC 815 beschrieben. Die Aufgabe dieses Zwischenspeichers ist es Datenpaketfragmente zu ganzen Datenpaketen zusammenzusetzen. Ein TCP Datenpaket kann maximal 65536 Bytes enthalten, siehe IETF RFC 793. Im IETF RFC 1323 wird eine window scale option beschrieben die größere TCP Datenpakete erlaubt.
Für ein gutes Zusammenspiel mehrerer Computer die über WLAN und einem DSL-Router/Modem ins Internet "gehen" wird die MTU auf 576 Bytes und der reassembly buffer auf 100000 Bytes eingestellt. Der reassembly buffer ist bei MS-Windows 7 mindestens 100000 Bytes groß. Der Text im folgenden Kasten wird in eine Textdatei mit dem Namen MTUset.bat kopiert. Die Batch-Datei wird dann mit Rechts-Klick und "Als Administrator ausführen" gestartet.

rem MTUset.bat
rem MS-Windows Vista, 7 setze MTU auf 576, Reassembly Buffer auf 100000

netsh interface ipv4 set subinterface "Drahtlosnetzwerkverbindung" mtu=576 store=persistent
netsh interface ipv4 set global 128 256 128 100000 store=persistent

netsh interface ipv4 show interfaces
netsh interface ipv4 show global
pause

Die Batch-Datei MTUset.bat liefert die Ausgabe:

Windows 7 Maus und Ruhezustand

Der Autor betreibt den Laptop mit einer USB-Maus. Die üblichen Handgriffe beim Verstauen des Laptops sind Displaydeckel zuklappen und dann USB-Kabel abziehen. Als Reaktion auf das USB-Kabel abziehen schaltet sich Windows 7 wieder ein. Die Reihenfolge USB-Kabel abziehen und dann Displaydeckel schließen funktioniert wie erwartet. Über Systemsteuerung, Maus, Hardware, Energieverwaltung wird die Einstellmöglichkeit "Gerät kann Computer aus dem Ruhezustand aktivieren" erreicht. Diese Funktion wird abgeschaltet.

Windows XP MTU setzen

Die maximum transfer unit (MTU) Größe lässt sich bei Windows XP leicht mit einem Programm setzen. Die Einstellung der MTU auf 576 Bytes ist nicht Teil von Windows härten. Ein kleiner MTU Wert teilt eine DSL Leitung gerechter auf mehrere Computer oder auf mehrere Applikationen in einem Rechner auf.
Das Programm TCP Optimizer von SpeedGuide.net wird vom Autor auf MS-Windows XP benutzt. Das Programm Dr. TCP von DSLReports.com erfüllt die gleiche Aufgabe. Im Programm TCP Optimizer wird zuerst bei "Choose settings" die Auswahl "Custom" geklickt. Dann Netzwerkkarte auswählen, MTU Wert eingeben und "Apply changes" ausführen.

Mit dem Kommando ping kann die MTU Einstellung geprüft werden. Zuerst ist eine kleine Rechnung nötig. Das Ping Datenpaket ist 28 Bytes lang. Dieser Wert ist vom MTU Wert abzuziehen, der Ping wird mit dem Wert 548 ausgeführt. Dieser Ping sollte ohne Fragmentierung funktionieren. Ein Ping mit dem Wert 549 sollte Fragmentierung melden. Für das Kommando ping -f -l 548 t-online.de wird die Eingabeaufforderung gestartet.

Über den Autor

In unserer Familie hat jeder einen Computer. Für die vier Computer gibt es einen Diplom-Informatiker (den Autor) als Kümmerer. Trotz experimentierfreudiger Jugendlicher im Haus ist Stress mit Viren und Würmern bis jetzt ausgeblieben. Einen guten Anteil an diesem friedlichen Leben mit MS-Windows haben bestimmt die Grundschutz Regeln, an welche sich die ganze Familie seit Jahren hält.
Persönlich verwendet der Autor seit langer Zeit Dual-Boot. Auf dem Computer ist MS-Windows und Linux installiert. Bei seiner beruflichen Tätigkeit ist der Autor sehr froh seine redundanten Realzeit-Systeme mit Linux bauen zu dürfen. Wie vielleicht bekannt wird in englischen Atom U-Booten MS-Windows eingesetzt. Bis jetzt hat noch kein Manager vom Autor etwas ähnliches verlangt.