Folgend werden Möglichkeiten zur Absicherung von Windows XP und Windows 7 beschrieben.

Das ITMZ sowie die Stabsstelle Datenschutz und Informationssicherheit raten jedoch dringend davon ab, diese beiden Betriebssysteme weiter zu benutzen, da Microsoft für beide Betriebssysteme keine Updates mehr bereitstellt und weiterhin Sicherheitslücken bestehen.

Damit besteht eine höhere Gefahr dafür, dass das System von Kriminellen übernommen wird, als bei Systemen für die noch Updates vom Hersteller bereitgestellt werden:

a) Ihre Daten können durch eine Ransomware verschlüsselt werden, so dass Sie nur gegen eine Geldzahlung wieder Zugriff erlangen können. Die Daten können auch durch die Kriminellen unbemerkt ausgespäht (z.B. Ihre Passwortlisten) oder modifiziert werden.

b) Ihr Rechner kann für Angriffe auf andere IT-Systeme verwendet werden, z.B. durch DDOS Angriffe bei denen durch sehr hohen Netzwerktraffic Webdienste zur Abschaltung gezwungen werden.

Es ist grundsätzlich möglich, Produkte weiter zu nutzen, welche nicht mehr vom Hersteller gepflegt werden, wenn folgende Grundregeln beachtet werden:

1. Die alltägliche Arbeit am System erfolgt mit einem Normalnutzerkonto und NICHT mit einem administrativen Konto.
                            
2. Das Starten beliebiger Programme ist unterbunden.
                        
3. Beliebiger eingehender und ausgehender Netzwerkverkehr ist unterbunden.
                           
4. Für die Arbeit im Internet werden mit Updates versorgte Programme benutzt.

Dies verlangt jedoch umfangreiche Anpassungen der Systemkonfiguration, bei denen Aufwand und Nutzen in den meisten Fällen in keinem sinnvollen Verhältnis stehen.

Auf dieser Seite finden Sie Hinweise, wie Sie betroffene Betriebssysteme für den Weiterbetrieb nach deren Support-Ende konfigurieren können.

Voraussetzungen:

• Installation des jüngsten Service Packs:
   
  Download:
  http://www.microsoft.com/de-de/download/details.aspx?id=24
  ftp://ftp.uni-rostock.de/pub/uni-rostock/rz/NT-Kurs/ToolKit/NT51/x86/SP3/WindowsXP-KB936929-SP3-x86-DEU.exe
  ftp://ftp.uni-rostock.de/pub/uni-rostock/rz/NT-Kurs/ToolKit/NT51/x86/SP3/WindowsXP-KB936929-SP3-x86-ENU.exe
   
  Informationen:
  http://support.microsoft.com/kb/936929
   
• Absicherung des Systems per QuickWinSec.bat
  Schnellabsicherung von Windows - In drei Schritten zu einem sicheren Windows-System
     
• Kopieren der ipseccmd.exe nach %Systemroot%, z.B. C:\Windows:
   
  Download:
  http://support.microsoft.com/kb/838079
  ftp://ftp.uni-rostock.de/pub/uni-rostock/rz/NT-Kurs/ToolKit/NT51/x86/ipseccmd.exe
  
  Informationen:
  Ipseccmd-Syntax
  How to block specific network protocols and ports by using IPSec
   

Beispieleinsatz als Remotedesktop-Terminal

• Ausführen folgender administrativer Kommandozeilen zur Isolation vom Internet und Beschränken des Netzwerkverkehrs auf ausgehenden RDP-Protokollverkehr:
  
  REM Block all traffic
  ipseccmd.exe -f 0+*:: -n BLOCK -r Block -w REG -p IPFilter
  
  REM Allow DNS and RDP traffic only
  ipseccmd.exe -f 0:+*:53:UDP 0:+*:3389:TCP -n PASS -r Trusted -w REG -p IPFilter
  
  REM Activate Policy
  ipseccmd.exe -p IPFilter -w REG -x
  
  Anschließend kann per Remotedesktop-Programm mstsc.exe auf beliebige Remotedesktop-Server zugegriffen werden.

Beispieleinsatz als lokales vom Internet vollständig isoliertes Windows-System mit Zugriff auf privaten Subnetzbereich, z.B. 192.168.0.0/16

• Ausführen folgender administrativer Kommandozeilen zur Isolation vom Internet und Beschränken des Netzwerkverkehrs auf einen privaten Subnetzbereich, z.B. 192.168.0.0/16:
  
  REM Block all traffic
  ipseccmd.exe -f 0+*:: -n BLOCK -r Block -w REG -p IPFilter
  
  REM Allow 192.168.0.0 subnet traffic only
  ipseccmd.exe -f 0:+192.168.0.0/255.255.0.0:: -n PASS -r Trusted -w REG -p IPFilter
  
  REM Activate Policy
  ipseccmd.exe -p IPFilter -w REG -x
  
  Anschließend kann innerhalb des zugelassenen Subnetzbereiches ohne Einschränkungen gearbeitet werden.

Voraussetzungen:

• Installation der letzten Updates
• Absicherung des Systems per QuickWinSec.bat
  Schnellabsicherung von Windows - In drei Schritten zu einem sicheren Windows-System

Beispieleinsatz als Remotedesktop-Terminal

• Ausführen folgender administrativer Kommandozeilen zur Isolation vom Internet und Beschränken des Netzwerkverkehrs auf ausgehenden RDP-Protokollverkehr:
  
  REM Block all traffic
  netsh.exe advfirewall set allprofiles firewallpolicy blockinbound,blockoutbound 
  
  REM Allow DNS and RDP traffic only
  netsh.exe advfirewall firewall add rule name="ConfigFW(35) - DNS Traffic Port 53 (TCP-Out)" dir=out action=allow remoteip=ANY remoteport=53 protocol=TCP
  netsh.exe advfirewall firewall add rule name="ConfigFW(35) - DNS Traffic Port 53 (UDP-Out)" dir=out action=allow remoteip=ANY remoteport=53 protocol=UDP
  netsh.exe advfirewall firewall add rule name="ConfigFW(35) - RDP Traffic Port 3389 (TCP-Out)" dir=out action=allow remoteip=ANY remoteport=3389 protocol=TCP
  
  Anschließend kann per Remotedesktop-Programm mstsc.exe auf beliebige Remotedesktop-Server zugegriffen werden.

Beispieleinsatz als lokales vom Internet vollständig isoliertes Windows-System mit Zugriff auf privaten Subnetzbereich, z.B. 192.168.0.0/16

• Ausführen folgender administrativer Kommandozeilen zur Isolation vom Internet und Beschränken des Netzwerkverkehrs auf einen privaten Subnetzbereich, z.B. 192.168.0.0/16:
  
  netsh.exe advfirewall set allprofiles firewallpolicy blockinbound,blockoutbound 
  netsh.exe advfirewall firewall set rule name="all" new remoteip=192.168.0.0/16
  
  Anschließend kann innerhalb des zugelassenen Subnetzbereiches ohne Einschränkungen gearbeitet werden.