dienste

Supportende: Windows 7 richtig absichern

Es ist soweit, am 14. Januar 2020 endet der offizielle Support für Windows 7 [1]. Das Betriebssystem ist 2009 erschienen. Vor 10 Jahren! Was ist 2009 passiert? In diesem Beitrag möchte ich Möglichkeiten aufzeigen, wie man einige Sicherheitsrisiken in Windows 7 minimiert, wenn man das bewährte Betriebssystem noch einige Zeit weiter nutzen möchte.

Ein Abschied auf Raten

Das ist zwar bereits in wenigen Tagen, aktuell besitzt Windows 7 allerdings noch einen weltweiten Marktanteil von 27% (Stand: Dezember 2019) [2]. Es sieht also eher nicht danach aus, als ob mit dem Ende der Updates gleich jeder auf die aktuelle Generation 10 umsteigen wird. Auf der anderen Seite bedeutet das meiner Meinung nach* aber auch nicht sofort, dass Windows 7 gefährlich ist und nicht mehr benutzt werden darf. Mit einigen Tricks lässt sich der Umstieg noch etwas hinauszögern!

Die aktuellen Windows-Installationen im Vergleich. Gelb ist Windows 7, das System wird noch aktiv genutzt. Quelle: gs.statcounter.com

Was also tun?

Wegducken und hoffen, dass es einen nicht erwischt? Keine Gute Idee. Oberstes Gebot sollte das Schließen von Sicherheitslücken sowie das Abschalten von Schwachstellen im Betriebssystem sein. Denn das sind die Haupt-Einfallstore von Malware, Spyware und alles was man sonst nicht haben möchte. Fünf Schritte für mehr Sicherheit!

1. Alle Windows Updates installieren

Ja, bei Windows 7 hat man tatsächlich noch die Freiheit! Stellt auf jeden Fall sicher, dass ihr alle Windows-Updates bis dato erwischt habt. Windows Update findet ihr unter Systemsteuerung / System und Sicherheit.

Ist euch das einzelne Installieren von Updates zu lästig, ihr habt eine langsame oder keine Internetanbindung oder habt Windows 7 frisch installiert, bieten sich sich die kostenlosen, gebündelten Update-Packs von winfuture.de an. Sie lassen sich auch prima auf einen Datenträger brennen und zusammen mit der Setup-DVD des Betriebssystems aufbewahren.

2. Anwendungen prüfen und aktualisieren

Das zweite Einfallstor für Malware neben Sicherheitslücken in Windows bildet veraltete und unsichere Software. Alle Installierten Programme findet ihr unter Systemsteuerung / Programme. Macht euch Gedanken darüber, welche Software ihr tatsächlich benutzt. Sicher sind einige Programme dabei, die vor Ewigkeiten mal installiert und dann nie wieder aufgerufen wurden. Dann solltet ihr im Internet prüfen, ob die installierte Programmversion aktuell ist. Meist wird die Version in der Liste der Software oder aber im Programm direkt angezeigt (vielleicht auch im Über das Programm/Hilfe-Bereich).

Ist euch das zu lästig, kann ich euch das Programm Sumo (5 Mb) empfehlen. Ein kostenloses Tool, welches für alle auf dem PC gefundenen Programme prüft, ob die Version aktuell ist. Die automatische Update-Funktion gibt’s zwar nur in der Pro-Version, das Prüfen der Programmversion reicht aber für unsere Zwecke vollkommen aus.

3. Sicherheitsrisiken abschalten

Anstatt mit dem Registry-Editor einzelne Lösungen zu basteln, nutzen wir das bekannte Tool XP-Antispy (funktioniert bis Windows 7). Damit lassen sich gezielt einige Windows-Funktionen und Dienste deaktivieren, die nur ein unnötiges Sicherheitsrisiko darstellen (mal angenommen, dass ihr das Feature nicht nutzt!). Das Programm als Administrator starten, Backup bestätigen und der Reihe nach folgende Optionen wählen:

Windows Media Player

  • Freigabe der Medienbibliothek verhindern

Diverse Einstellungen

  • Explorer: Remote-Desktop-Unterstützung ausschalten
  • Scripting-Host deaktivieren
  • Kein AutoPlay für Datenträger
  • Keine LAN Manager Hashes generieren

Internet Explorer

  • Integrierte Windows-Authentifizierung deaktivieren
  • ActiveX Steuerelemente deaktivieren
  • Integrierten Popupblocker einschalten
  • Phisingfilter aktivieren
  • Auf gesperrte Serverzertifikate prüfen
  • Auf gesperrte Zertifikate von Herausgebern prüfen
  • HTTPS Webseiten nicht zwischenspeichern

Dienste

  • Dienst für Fehlerberichterstattung deaktivieren
  • Universal Plug and Play (UPNP) Service deaktivieren
  • ctfmon.exe deaktivieren

hosts Datei als schreibgeschützt sperren

Über die hosts Datei löst Windows IP-Adressen in Hostnamen auf. Es ist theoretisch möglich, über eine Manipulation dieser Datei den nichts ahnenden Nutzer auf eine gefälschte oder andere Webseite umzuleiten. Deshalb sollte diese Datei am besten schreibgeschützt sein. Sie findet sich im Windows-Verzeichnis unter

C:\Windows\System32\drivers\etc

Rechtsklick auf die Datei, als schreibgeschützt markieren. Beim Klick auf <Übernehmen> Die Administratoraufforderung bestätigen.

Data Execution Prevention (DEP) maximieren

Die DEP ist ein Sicherheitsmechanismus, welcher bereits seit Windows XP ins System integriert ist. Er soll das Ausführen von schädlichem Code im Speicher verhindern. Mehr Details dazu erfahrt ihr in diesem Artikel von ipswitch (Englisch): Understanding Data Execution Prevention in Windows

Die „Datenausführungsverhinderung“ ist die kleine Schwester des Donauschifffahrtkapitäns

Standardmäßig ist diese Funktion nur für einige Programme aktiviert, mit wenigen Klicks lässt sich DEP für alle Anwendungen einschalten und so die Sicherheit erhöhen. Die Einstellung ist zu finden unter

Systemsteuerung -> System -> Erweitert -> Leistungsoptionen -> Datenausführungsverhinderung

hier kann DEP für alle Anwendungen aktiviert werden. Sollte es dadurch zu (eher seltenen) Anwendungsfehlern kommen, können dort auch Ausnahmen definiert werden.

Microsoft Enhanced Mitigation Experience Toolkit (EMET) installieren

EMET ist ein Sicherheitsprogramm von Microsoft, welches einen zusätzlichen Schutz vor Exploits einführt. Es „härtet“ Programme ab, indem es bekannte Sicherheitslücken schützt.** Das Programm wird installiert und einmalig für eine Auswahl von Programmen eingerichtet, danach läuft es unauffällig im Hintergrund. In der Regel ist davon nichts zu merken, in seltenen Fällen kann es zu Programmfehlern kommen, ist mir aber bisher nicht vorgekommen. Download bei heise.de (Download über heise-Server wählen)

Nach der Installation im Einrichtungs-Dialog die Recommended Settings wählen. Das Aktiviert den Schutz automatisch u.a. für den Internet-Explorer, Java und Adobe Reader (Programme, welche häufig Attacken ausgesetzt sind!). Anschließend könnt ihr noch manuell Programme über das Hauptfenster hinzufügen, welche bei euch in Kontakt mit dem Internet stehen bzw. Dateien daraus öffnen. Das heißt: Andere Browser, Dokumentreader oder Mediaplayer.

4. Malwareschutz und Firefall

Hier gibt es ein paar Dinge zu beachten. Zunächst sollte euch bewusst sein, dass mit dem Ende von Windows 7 ebenfalls die Sicherheitsprogramme Microsoft Security Essentials / Defender eingestellt werden [3], ihr müsst also auf den Virenschutz eines Drittanbieters ausweichen. Egal ob Avast, Avira oder Co., Auswahl gibt es genug! Kostenloser Virenschutz 2019 im Funktionsvergleich

Wenn der Rechner hinter einem aktuellen Router steckt, ist keine zusätzliche Firewall-Software erforderlich („Hardware-Firewall“). Wollt ihr etwas mehr Kontrolle über den Internetzugriff eurer Programme, schaut euch das noch eher unbekannte Tool Malwarebytes Firewall Control an.

Die meiste Schadsoftware landet über einen kompromittierten Browser auf dem Rechner. Es ist wichtig, dass der Browser (nicht Internet Explorer!) aktuell und am Besten ein Werbeblocker wie uBlock Origin installiert ist. Die Möglichkeit der Master-Passwort-Verschlüsselung für Formulardaten sollte genutzt werden.

5. Drittanbieter-Software nutzen

Wenn Windows 7 keine Updates mehr erhält, bedeutet das nicht nur, dass das Betriebssystem ad acta gelegt wird, sondern ebenfalls die damit ausgelieferten Microsoft-Programme! Ab jetzt solltet ihr also einen Bogen um den Internet Explorer sowie den Windows Media Player machen. Hier bieten sich Alternativen wie Firefox, Chrome oder Opera und der bekannte VLC Media Player an.

Die Unterstützung für Microsoft Office 2010 wird im Oktober 2020 eingestellt. [4]

Außerdem solltet ihr besonders anfällige Software, wie zum Beispiel das Java Browser Plugin sowie den Adobe Reader und Flash Player (wird ebenfalls 2020 eingestellt! [5]), sicherheitshalber nicht installieren. Die meisten Websites haben inzwischen schon auf HTML5 umgestellt, so dass der Flash Player nicht mehr benötigt wird und Firefox unterstützt nativ die Anzeige von PDF-Dokumenten, ansonsten gibt es noch kostenfreie Alternativen, wie SumatraPDF oder NitroPDF Reader.

Ihr seit noch unsicher, ob ihr auf Windows 10 aktualisieren wollt? In den kommenden Wochen werde ich noch Beiträge Zum Thema Update und Linux als Alternative veröffentlichen!

Info: Einige Screenshots stammen aus meinem Windows 10 System, da ich nicht zu jedem Zeitpunkt Windows 7 zur Verfügung hatte.

*Für die Sicherheit seiner Daten ist jeder selbst verantwortlich! Backup machen nicht vergessen!

**Der Support für EMET wurde 2018 eingestellt und unter Windows 10 wird es nicht mehr benötigt, für Windows 7 ist es aber geeignet!

Windows beschleunigen, schneller starten, optimieren (1/2)

Am 21.03.2021 habe ich diesen Beitrag überarbeitet und für Windows 10 optimiert.

Bei der Nutzung von Windows fallen über Zeit Datenspuren an. Programme kommen hinzu, Updates werden installiert und der PC wird träge, startet langsamer. Vor allem ältere Rechner mit wenig Arbeitsspeicher und konventionellen Festplatten werden dadurch ausgebremst.

power_arrow4

In diesem Beitrag möchte ich euch verständlich und kompakt zeigen, welche effektiven Möglichkeiten es gibt, eure Windows-Installation aktuell zu halten, Datenmüll aufzuräumen und die Geschwindigkeit zu verbessern. Der erste Teil befasst sich mit den „Basics“, dem aktualisieren der Software und dem Entfernen von Datenmüll, im zweiten Teil gehe ich auf weitere Tricks zur Optimierung der Geschwindigkeit ein. Gleich zu Teil 2…

1. Windows aktuell halten

Softwareupdates beheben Fehler, schließen Sicherheitslücken und enthalten Verbesserungen, welche der Geschwindigkeit des Betriebssystems und dem allgemeinen Nutzungserlebnis zugute kommen. Deshalb ist es ratsam, stets Windows und die installierten Treiber, Programme und Software aktuell zu halten.

Unter Windows 10 führt Windows Update aus, um sicherzustellen, dass Windows aktuell ist. Am komfortabelsten geht das über die Einstellungen – App Windows Update.

Für ältere Windows-Systeme: Bis einschließlich Windows 8 sind sogenannte Service Packs, gebündelte Softwareupdates verfügbar. Wenn man z.B. nach einer Neuinstallation viel Zeit sparen will, ist es ratsam, zunächst das aktuellste Service Pack zu installieren und dann mit den regulären Updates fortzufahren. Außerdem gibt es von Drittanbietern gebündelte Update-Packs, die viel Zeit sparen können. Das Internetportal Winfuture bietet kostenlos solche gebündelten Update Packs zum Download an.

2. Aktuelle Gerätetreiber-Software

Mit der  Zeit veröffentlichen Hardware-Hersteller (z.B. Nvidia oder Realtek) neue Treiber -Software für ihre Komponenten. Diese werden vom Windows-Betriebssystem zur optimalen Nutzung der verbauten Technik benötigt. Besonders Nutzer aktueller Hardware profitieren davon, da oft die Leistung noch nachträglich verbessert, oder eben Treiber für neue Spiele optimiert werden. Auch werden manchmal Sicherheitslücken gestopft, wie 2008 mit Meltdown/Spectre [1]. Die entsprechenden aktuellen Treiber findet ihr in der Regel immer auf der Webseite der Hersteller. Wenn ihr einen Laptop oder einen „Fertig-PC“ habt, bietet meist der Vertreiber auch eigene Treiber-Downloads für das Modell an. Links bekannter Hersteller:

Es gibt auch die Möglichkeit, Treiber über Windows Update zu beziehen. Allerdings sind diese nicht immer die aktuellsten und können unter Umständen bei speziell aufeinander abgestimmter Hardware zu Problemen führen. Ich würde daher grundsätzlich die Treiber vom Hersteller bevorzugen. Wenn ihr euch bei diesem Schritt aber unsicher fühlt, seit ihr unter Windows 10 mit dem Angebot aus den optionalen Windows Updates auf der sicheren Seite!

3. Programm-Updates

Nicht zuletzt sollte die auf eurem Rechner installierte Software aktuell sein, besonders die mit dem Internet in Verbindung stehenden Programme: Der Browser, Mail-Programme, Virenschutz, PDF-Reader etc.. Sicherheitslücken in diesen Programmen sind eine Einfallspforte für Schadsoftware auf dem eigenen System!

Unter Einstellungen / Apps und Features könnt ihr gegebenenfalls nachschauen, welche Version aktuell installiert ist und diese mit der vom Hersteller angebotenen vergleichen. Es gibt auch Programme, die euren PC auf veraltete Software untersuchen und automatisch Updates vorschlagen oder gleich installieren. Ein bekanntes Programm ist SUMo, welches in seiner kostenlosen Version zumindest über veraltete Software informiert. Aber Achtung: Von solchen „Update“-Programmen gibt es jede Menge Murks im Internet!

Windows 10-Apps aus dem Microsoft-Store werden in der Regel automatisch aktuell gehalten.

4. Datenmüll löschen

datentraegerber01

Generell empfiehlt es sich, gelegentlich nicht genutzte Software zu löschen, um Speicherplatz für andere Dinge freizugeben. Mit der Zeit entstehen am PC viele überflüssige Dateien, auch durch Programme. Diese können die Leistung von Windows bremsen und die Startzeit verlängern, besonders wenn der PC schon etwas in die Jahre gekommen und der Prozessor vielleicht nicht mehr so leistungsstark ist. Für konventionelle Festplatten gilt außerdem: Bei einer vollen, fragmentierten Festplatte erhöht sich die Zugriffszeit auf Dateien und auch die kontinuierliche Indizierung durch die Windows-Suche nimmt Rechenleistung in Anspruch, was den PC zusätzlich ausbremst!

Zunächst sollte man nicht länger benötigte Programme und Software über die Einstellungen / Apps und Features (bzw. Systemsteuerung/Software) löschen.

Tipp: Wer die neue, abgespeckte „App-Übersicht“ unter Windows 10 nicht mag, kann mit dem Befehl „control“ im Ausführen-Dialog (Win+R) das konventionelle Systemsteuerung-Fenster mit der Programmübersicht öffnen.

Habt ihr das erledigt, ruft ihr nun die in Windows integrierte Datenträgerbereinigung (genau so im Startmenü eingeben!) auf, alternativ gibt es noch das kostenlose Tool Cleanmgr+, welches noch etwas mehr Speicherplatz freigeben kann. Die Programme löschen keine persönlichen, eigenen Dateien (wie sie im Benutzerordner zu finden sind), sondern temporäre Dateien, wie Installationsreste oder Absturzberichte. Zunächst klickt ihr auf „Systemdateien bereinigen“, damit zusätzliche Einträge angezeigt werden. Hat das Programm erneut geladen, wechselt ihr in den Reiter „Weitere Optionen“ und klickt bei „Systemwiederherstellung und Schattenkopien“ auf „Bereinigen…“. Danach wechselt ihr ins Hauptfenster zurück, wählt dort alles außer Miniaturansichten aus (meine Empfehlung) und klickt auf OK. Je nach Geschwindigkeit des Computers und Zustand des Datenträgers kann der Löschvorgang einige Sekunden bis mehrere Minuten dauern.

Optional: Manchmal verbleiben von gelöschten Programmen, Spielen oder Testversionen noch „Dateileichen“ (Ordner, Einstellungen, Screenshots) übrig, die von keinem Reinigungsprogramm erkannt werden. Wer die Muse dazu hat, oder dringend Speicherplatz benötigt, kann diese per Hand aufspüren und entfernen. Typische Orte hierfür sind:

  • C:\Program Files (x86)\
  • C:\Program Files\
  • C:\ProgramData\
  • C:\Users\BENUTZERNAME\AppData\ (%appdata%)

Wichtig: Hier solltet ihr aber nur löschen, was ihr sicher nicht mehr braucht und bereits über die Systemsteuerung deinstalliert habt (kann sonst zu Fehlern führen!).

5. Festplatten und SSDs optimieren

Bei den Datenspeichern muss grundsätzlich zwischen einer Solid-State-Disk (SSD) und einer konventionellen Festplatte unterschieden werden. Erstere funktionieren ähnlich wie USB-Sticks und benötigen keine Defragmentierung (das zusammenführen von verstreuten Daten), da dies keine Auswirkung auf die Zugriffszeit auf der Dateien hat. SSDs werden von Windows 10 automatisch wöchentlich „optimiert“. Festplatten sollten regelmäßig defragmentiert werden. Windows 10 macht das zwar auch automatisch, gerade nach einer größeren „Aufräumaktion“ kann sich aber das gezielte Defragmentieren besonders lohnen. Das Windows-eigene Tool macht das sicherlich ausreichend, etwas effizienter können Drittanbieter-Programme sein. Ich benutze da gerne defraggler, von den Machern des CCleaners. (Achtung! Hier keine Werbung bei der Installation mitinstallieren!). Als Faustregel solltet ihr wissen: Eine Speicherbelegung von größer 60% (egal ob SSD oder Festplatte) wird euren PC zunehmend ausbremsen, da Windows u.a. auch für Updates noch zusätzlichen freien Speicherplatz benötigt. Das Defragmentieren lohnt sich ab ca. 5% Fragmentierungsgrad. Erwartet aber, besonders bei neueren PCs, keine großen Geschwindigkeitssprünge. Je nach Grad der Fragmentierung, Speichergröße und Computerleistung kann dieser Prozess einige Stunden in Anspruch nehmen.

Wer noch Windows 7 nutzt: Auch die bordeigene Software von Windows 7 kommt mit SSDs zurecht, ihr solltet aber prüfen, ob Windows den Datenträger korrekt als SSD erkannt hat (und dementsprechend nicht defragmentiert!). Wie ihr das prüft, habe ich in diesem Beitrag beschrieben…

Für die weitere Planung gilt übrigens: Täglich genutzte Programme, welche schnell starten sollen, gehören auf die SSD. Selten genutzte Anwendungen, Spiele und persönliche Dateien gehören auf die Festplatte (insofern beides vorhanden ist). Dadurch soll die SSD geschont werden, welcher eine etwas kürzere Lebenszeit gegenüber der Festplatte bei vielen Schreibvorgängen nachgesagt wird (auch wenn es weit weniger dramatisch zu sein scheint [1]).

6. Autostart aufräumen

Je nach Menge der auf dem PC installierten Programme können sich Dienste und Autostart-Einträge – also Software, die mit Windows startet – anhäufen. Dies kann langsameren Rechnern zu schaffen machen, die Startzeit verzögern und belegt Arbeitsspeicher. Ich rede von diesen Programmen, wie sie häufig im Tray zu finden sind:

Ab Windows 10 verfügt der klassische Task-Manager (Strg+Shift+Esc) über eine integrierte Autostart-Verwaltung, wo die Einträge bequem (de)aktiviert (2) werden können. Dabei misst der Task-Manager auch noch die zuletzt benötigte Boot-Zeit. Praktisch!

autorun2

Häufig handelt es sich um zusätzliche Hintergrund-Anwendungen, welche unten rechts in der Taskleiste (dem Tray-Bereich) mitlaufen, aber nie benutzt werden. Die Programme können ja bei Bedarf auch manuell gestartet werden. Seit ihr euch nicht sicher, was das gelistete Programm macht, hilft euch Google weiter! Hier einige Beispiele, welche in der Regel ohne Probleme deaktiviert werden können:

  • Den Dropbox-, OneDrive- oder GoogleDrive-Dienst
  • Der LibreOffice Schnelllader
  • Der Adobe Schnelllader
  • JuSched – Java Updater
  • Anzeigehilfsdienste (z.B. von Intel oder Nvidia, sind optional, nur wenn man schnell auf spezielle Einstellungen zurückgreifen will)
  • Realtek etc. AudioManager (Windows hat bereits eine eigene Lautstärke-Regelung)
  • Drucker-Hilfssoftware
  • Zoom, Skype, ICQ und andere Messenger-Dienste
  • Spiele-Services wie Launcher, Origin oder Steam

Für Fortgeschrittene: Gebt im Ausführen-Dialog (Win+R) „mconfig“ ein, um den Windows-Systemstart zu verwalten. Dort habt ihr ebenfalls die Möglichkeit, nicht benötigte Autostart-Einträge zu deaktivieren. Außerdem können nicht benötigte Dienste wie die Windows Suche (dazu später mehr) abgeschaltet werden. Hier solltet ihr aber vorsichtig sein.

7. Werbesoftware (PUP), Adware, Spam und Toolbars erkennen und löschen

Der Klassiker: Beim Bekannten den angeblich langsamen Rechner gestartet … der Browser hatte 3 installierte Toolbars.

Manchmal schleicht sich Werbesoftware (PUP – potentiell unerwünschte Programme) wie Toolbars mit auf den Rechner, ohne dass man es gleich bemerkt. Teilweise durch Installations-Software (der CCleaner hat dadurch negative Schlagzeilen gemacht), oft werden Software-Testversionen aber schon bei einem neu gekauften PC vorinstalliert mitgeliefert (sog. Bloatware). Diese Programme können den PC auch mutwillig ausbremsen, um eine „Besserung“ vorzuschlagen, oder durch aufdringliche Pop-Ups stören.

adwcleaner

Den Rechner gelegentlich auf solche Software zu untersuchen, kann also nicht schaden. Dazu empfehle ich das kostenlose Tool Adwcleaner, welches keine Installation benötigt und direkt gestartet werden kann.


Das war’s auch schon! Im zweiten Teil des Beitrags erfahrt ihr, welche weiteren Einstellungen und Tricks es gibt, um Windows noch etwas schneller zu machen und das Maximale aus eurer Hardware herauszuholen.