Windows gegen Angriffe absichern
Schon von Haus aus stecken einige interessante Abwehrfunktionen gegen Malware in Windows - aber einige wollen erst eingeschaltet werden. Wenn das nicht reicht, bietet eine Sandbox einen praktischen Extra-Schutzwall für Programme, denen Sie nicht ganz über den Weg trauen.
8 So wird Windows angegriffen
16 Mehr Sicherheit mit wenigen Handgriffen
22 Mehr Schutz dank Smart App Control
28 Mit Restric'tor Schädlinge stoppen
32 Sandkasten für Windows-Programme
Hilfe für Notfälle vorbereiten
Vorsorge macht das Leben leichter - das gilt auch in der IT. Dazu gehört nicht nur, stets ein aktuelles Backup zur Hand zu haben. Ein nach Ihren Bedürfnissen zusammengebautes c't-Notfall-Windows leistet erste Hilfe bei kleineren und auch größeren PC-Unfällen.
38 Das eigene Notfallsystem bauen
46 FAQ: c't-Notfall-Windows 2023
50 Keine Angst mehr vor Windows-Updates
58 Drive Snapshot oder c't-WIMage? Beide!
Windows-Probleme lösen
Im Falle eines Falles ist das vom USB-Stick startende c't-Notfall-Windows Ihr Universalwerkzeug - sei es bei Startproblemen, bei vergurkten Updates oder auch bei Virenbefall.
64 Probleme lösen mit dem Notfall-Windows
72 Virensuche mit dem Notfall-Windows
76 PowerShell fürs c't-Notfall-Windows
Zum Heft
3 Editorial
6 Aktion: heise-Academy-Kurs "Windows-Sicherheit - Der Praxiskurs: Schutzfunktionen richtig einsetzen"
71 Impressum
82 Vorschau: c't Solarstrom-Guide 2023
bleme, über E-Mail angelieferte Malware gehört aber nicht dazu. Unter Windows genügen in der Vorein-stellung oft ein, zwei unvorsichtige Klicks, damit die Malware aktiv wird, und das Unheil nimmt seinen Lauf. Und mit täuschend echt gestalteten E-Mails und einer überzeugenden Geschichte gelingt es immer wieder, vor allem unerfahrene Anwender davon zu überzeugen, die notwendigen Klicks tat-sächlich durchzuführen.
Doch Microsoft steuert endlich aktiv gegen. Immer mehr Office-Installationen blockieren Makros in Dokumenten, die aus dem Internet stammen, sodass sie unbefangene Nutzer nicht mehr ausfüh-ren können. Doch das dafür eingesetzte Mark of the Web ist längst nicht so zuverlässig, wie man sich das wünschen würde. Mehr dazu erklärt ein Artikel auf heise Security [1].
Das LNK-Revival
Als Alternative zu Makros experimentieren die IABs mit verschiedenen Tricks. Das führt zu einem Revival der LNK-Dateien: Das sind Verweise auf andere Pro-gramme, die beim Öffnen auszuführen sind; Win-dows verwendet sie zum Beispiel für Desktopsym-
bole und Startmenüeinträge. Eine einzelne LNK-Datei ist jedoch verdächtig und jedes bessere Mail-Gateway wird sie als potenzielles Schadprogramm blockieren. Stattdessen bekommt ein Anwender deshalb zum Beispiel ein ISO-Image via Mail - op-tional noch verpackt in ein Zip-Archiv. Diese Image-Datei bindet Windows beim Öffnen netterweise als Laufwerk ein und zeigt ein Fenster mit etwas wie "Umsatz_Report_2022" an; die verräterische En-dung ".lnk" versteckt der Explorer selbst dann, wenn Sie Windows anweisen, Erweiterungen bei bekann-ten Dateitypen anzuzeigen.
Beim Klick auf den angeblichen Report passieren je nach Inhalt der LNK-Datei verschiedene Dinge. In einem typischen Szenario startet Windows via rundll32.exe eine Bibliothek, die sich in einem ver-steckten Ordner des ISO-Image-Laufwerks befindet und den Schadcode der Kriminellen ausführt, also etwa ein Cobalt Strike Beacon nachlädt und instal-liert. Ein anderes Angriffsszenario lässt Windows den mächtigen Skript-Interpreter powershell.exe starten, der seine Anweisungen aus der Kommando-zeile entnimmt. Das Resultat ähnelt letztlich Sze-nario 1 - der Rechner ist infiziert.
Updates, Updates, Updates!
Vor allem für Firmen sind extern erreichbare Diens-te eine große Gefahr. An vorderster Front stehen VPN-Gateways oder fahrlässigerweise aus dem In-ternet erreichbare RDP-Zugänge. Oft finden Angreifer auch bei Suchmaschinen oder durch Scans ganzer IP- und Port-Bereiche längst vergessene FTP-Server oder ein nur mal testweise eingerichtetes Content Management System, das nicht mit allen Sicher-heitsupdates versehen wurde.
Dabei kommt erschwerend hinzu, dass die Lücken nicht nur in den Programmen stecken, die man ei-gentlich installiert hat. Software besteht heutzutage aus unzähligen fertigen Komponenten, die die Ent-wickler in ihre Projekte einbinden. Taucht in einer davon eine Lücke auf, sind all ihre Downstream-Apps anfällig. So traf eine Sicherheitslücke in der Java-Bibliothek Log4j Tausende Applikationen, die damit ihre Protokollierung in Log-Dateien erledigten [2].
Nur in seltenen Fällen kommen bei diesen An-griffen unbekannte Sicherheitslücken, auch Zero Days genannt, zum Einsatz. Die große Mehrzahl der Einbrüche erfolgt über bekannte Schwachstellen, gegen die es bereits Updates gäbe. Ein zu spät ein-gespieltes Sicherheitsupdate bedeutet fast zwangs-läufig, dass man ungebetenen Besuch...
