Virenschutz

Linux-Tagebuch #12 – Sicherheit, Firewall und Virenscanner

In dieser mehrteiligen Beitragsreihe versuche ich mich aus Sicht eines Windows PC-Nutzers dem Linux-Desktop als Betriebssystem zu nähern. Dabei möchte ich dieses als Linux-Anfänger selbst besser kennen lernen und zu verstehen versuchen.  Zu Teil 1…

In diesem Beitrag möchte ich meine Gedanken festhalten, die ich mir zum Thema „Sicherheit“ bei der Benutzung von Ubuntu 20.04 LTS als Betriebssystem gemacht habe. Ich bin sicherlich kein Experte auf dem Fachgebiet, aber der ein oder andere Kniff lässt sich als Normal-Nutzer meiner Meinung nach dennoch leicht umsetzen.

Das Sicherheits-ABC

Wie auch bei Windows gelten unter Ubuntu die gleichen Grundregeln für die Sicherheit im Umgang mit dem Computer. Man sollte stehts…

  • das System aktuell halten,
  • sichere und unterschiedliche Passwörter wählen,
  • möglichst auf ungeprüfte Fremdquellen (wie PPAs) verzichten,
  • vorsichtig mit Mail-Anhängen sein,
  • Programme nicht mit mehr Rechten starten, als für en Anwendungszweck notwendig,
  • Downloads und Skripte nicht gedankenlos ausführen,
  • Sensible Daten getrennt speichern oder verschlüsseln

Die Liste ließe sich bestimmt beliebig ergänzen, das soll auch gar nicht der Schwerpunkt dieses Beitrags sein. Hier findet ihr übrigens eine interessante Sammlung aus dem ubuntuusers Wiki dazu. Ich möchte an dieser Stelle noch einmal anmerken, dass ihr während der Installation von Ubuntu die Möglichkeit habt, euren Datenträger zu verschlüsseln, dies kann insbesondere bei Notebooks, die häufig unterwegs sind, sinnvoll sein. An einfachsten ist es, diese Entscheidung bereits bei der Installation von Ubuntu / bei der Partitionierung der Festplatte zu treffen.

Ein für mich besonderes Risiko stellen die Programme dar, die eine Schnittstelle zum Internet sind, wie zum Beispiel der Browser. Da bietet es sich doch an, gleich ein paar sicherheitsrelevante Add-Ons zu installieren. Ich nutze dafür gerne uBlock Origin, Privacy Badger und HTTPS Everywhere. Die gibt es sowohl für Firefox als auch für Chrome(ium). Für Mails benutze ich unter Ubuntu Mozilla Thunderbird, hier habe ich den Junk-Filter entsprechend eingerichtet. Dieser kann auch „trainiert“ werden, in dem man selber Spam markiert. [2] Außerdem ist es empfehlenswert, HTML für Mails zu deaktivieren, wenn man nicht darauf angewiesen ist. Das erhöht den Datenschutz und die Sicherheit. [3]

Firewall einrichten

Euer Rechner befindet sich höchstwahrscheinlich hinter einem Router, der eingehende Verbindungen nicht ohne weiteres an euren PC durchlässt. Ihr habt also schon eine einfache Hardware-Firewall. [4] Welche Programme wie mit dem Internet kommunizieren dürfen und welche Ausnahmen gelten, lässt sich noch besser mit einer Software-Firewall regeln. Die kann außerdem von Vorteil sein, wenn man mal in einem fremden Netzwerk (wie einem öffentlichen Hotspot) unterwegs ist.

Unter Ubuntu 20.04 ist bereits die Software-Firewall ufw (uncomplicated firewall) vorinstalliert, aber standardmäßig nicht aktiv. Diese könnt ihr mit wenigen Schritten starten und einrichten.

sudo ufw enable (oder ... disable, um wieder auszuschalten!)
sudo ufw default deny incoming
sudo ufw default allow outgoing

Damit startet ihr ufw und die Vorgabe für unbekannte Verbindungen soll sein, diese nach außen (ins Internet) zuzulassen, aber eingehende Verbindungen erst einmal zu blockieren. Ufw startet damit auch automatisch beim nächsten Systemstart. Danach könnt ihr den Status der Firewall mit

sudo ufw status

überprüfen, bereits angelegte Ausnahmen (z.B. für P2P oder ssh) werden hier angezeigt. Wenn man keine besonderen Anforderungen hat, war’s das eigentlich schon. Ufw lässt sich über das Terminal umfangreich konfigurieren. Wie das geht und wie ihr anwendungs- oder portspezifische Ausnahmen hinzufügt, lest ihr hier bei heise.

Etwas praktischer und – naja – hübscher ist die grafische Frontend gufw für ufw. Damit lassen sich der Status und die Regeln wesentlich komfortabler verwalten. Der Funktionsumfang entspricht ungefähr dem, wie man es von der Windows-Firewall kennt.

Insofern ufw bereits installiert ist, holt ihr euch gufw einfach dazu

sudo apt install gufw

Virenscanner einrichten

Wenn man sich mit dem Thema auseinandersetzt, liest man früher oder später, das „Computerviren“ unter Linux keine große Rolle spielen. Das liegt unter anderem an der geringen Verbreitung [auf dem Desktop], aber bestimmt auch an der strengeren Benutzerrechte-Architektur. [1] Wahrscheinlich ist es eher meiner jahrelangen Windows-Nutzung geschuldet (Luke Filewalker hat mich damals unter Windows ME vor dem ein oder anderen Schädlich bewahrt), aber auch unter Linux wollte ich gerne einen Virenschutz parat haben, mit dem ich zumindest on demand die wichtigsten Daten (Home-Verzeichnis, Downloads etc.) scannen kann. Das populärste Beispiel dafür ist das quelloffene ClamAV. Vielleicht habt ihr schon einmal davon gehört, auch unter Windows ist der Virenscanner zu haben, wie ich 2014 schon einmal berichtete.

ClamAV lässt sich recht einfach installieren

sudo apt-get install clamav clamav-freshclam

und auch umfangreich konfigurieren, was beispielsweise das Updateverhalten, die Aktion bei Erkennung und das Logging angeht. Darauf möchte ich aber in diesem Beitrag nicht eingehen. Das könnt ihr z.B. hier nachlesen. Scans auf eine Datei oder ein Verzeichnis können im Terminal mit dem Befehl clamscan ausgeführt werden. Auch eine grafische Benutzeroberfläche gibt es (clamtk), die man sich dazuinstallieren kann, aber ich konnte damit nicht viel anfangen.

inoffizielle Signaturen

Ich möchte euch an dieser Stelle gerne noch etwas anderes zeigen: ClamAV kann um „inoffizielle“ Malware-Signaturen ergänzt werden, um die Erkennungsrate zu verbessern. Hier am Beispiel der SaneSecurity Signatures. [5] Das erhöht zwar potentiell die Chance für Falschmeldungen (false positives), das war bei mir aber bisher nur unter Windows der Fall.

Die Einrichtung dieser Signaturen besteht aus mehreren Installationsschritten, die ich hier aufgrund des Beitragsumfangs nicht einzeln durchgehen werden, aber auf der offiziellen github Seite ist eine ausführliche Schritt-für-Schritt Installationsanleitung für Ubuntu (auch für andere Distributionen).

Skript für manuelle Überprüfung

In meinem Anwendungsszenario, also einer Dual-Boot Installation mit Ubuntu als Produktivsystem und Windows 10 als Backup, wollte ich in unregelmäßigen Abständen Dateien überprüfen, die ich mit Windows-Rechnern gemeinsam bearbeite oder versende. Es ist bei mir also nicht notwendig, dass sich die Virensignaturen mehrmals am Tag selbstständig aktualisieren, das erhöht nur unnötig die Serverlast des Anbieters und verursacht Betriebskosten.

Um das Aktualisierungsintervall der Signaturen zu ändern, könnte ich die Konfigurationsdatei unter

/etc/clamav/freshclam.conf

anpassen (z.B. mit nano im Terminal!). Ich habe mich aber einfach dazu entschieden, den Dienst freshclam nicht beim Systemstart zu laden, weil er sowieso bei einem manuellen Aufruf zuerst beendet werden müsste. [6]

sudo update-rc.d clamav-freshclam disable

Die SaneSecurity Signaturen werden nicht automisch aktualisiert, sondern nur über den Aufruf des gerade installierten Skripts clamav-unofficial-sigs.sh.

Dann habe ich mir folgendes bash-Skript zusammenbastelt, das ich bei Bedarf ausführe. Ich möchte es hier mit euch teilen! 🙂 Es aktualisiert zunächst manuell und „still“ die Virendatenbank, führt dann einen Scan des Benutzerverzeichnisses durch und gibt ggf. Funde aus (es wird nichts unternommen!). Ihr könnt es euch als *.sh Skript speichern. Nach dem Anpassen eurer Dateipfade müsst ihr die Datei dann noch mit chmod als ausführbar markieren und ihr könnt die Datei wie eine Anwendung per Mausklick starten. Allerdings als root, da sonst das Aktualisieren der Signaturen nicht funktioniert.

#!/bin/bash
echo "Cedric's ClamAV Scanner-Skript 1.0"
if (( $EUID != 0 )); then
    echo "Bitte mit erhöhten Rechten starten!"
    exit
fi
echo -n "Aktualisiere ofizielle Signaturen... "
#sudo killall freshclam
freshclam --quiet --no-warnings
echo "OK"
echo -n "Aktualisiere inoffizielle SaneSec Signaturen... "
/usr/local/sbin/clamav-unofficial-sigs.sh -s
echo "OK"
#echo "EINGABE, um Scan zu starten"
#read
echo -n "Startzeit: "; date +"%T"
echo "Überprüfe /home ... "
clamscan --infected --recursive ~

Supportende: Windows 7 richtig absichern

Es ist soweit, am 14. Januar 2020 endet der offizielle Support für Windows 7 [1]. Das Betriebssystem ist 2009 erschienen. Vor 10 Jahren! Was ist 2009 passiert? In diesem Beitrag möchte ich Möglichkeiten aufzeigen, wie man einige Sicherheitsrisiken in Windows 7 minimiert, wenn man das bewährte Betriebssystem noch einige Zeit weiter nutzen möchte.

Ein Abschied auf Raten

Das ist zwar bereits in wenigen Tagen, aktuell besitzt Windows 7 allerdings noch einen weltweiten Marktanteil von 27% (Stand: Dezember 2019) [2]. Es sieht also eher nicht danach aus, als ob mit dem Ende der Updates gleich jeder auf die aktuelle Generation 10 umsteigen wird. Auf der anderen Seite bedeutet das meiner Meinung nach* aber auch nicht sofort, dass Windows 7 gefährlich ist und nicht mehr benutzt werden darf. Mit einigen Tricks lässt sich der Umstieg noch etwas hinauszögern!

Die aktuellen Windows-Installationen im Vergleich. Gelb ist Windows 7, das System wird noch aktiv genutzt. Quelle: gs.statcounter.com

Was also tun?

Wegducken und hoffen, dass es einen nicht erwischt? Keine Gute Idee. Oberstes Gebot sollte das Schließen von Sicherheitslücken sowie das Abschalten von Schwachstellen im Betriebssystem sein. Denn das sind die Haupt-Einfallstore von Malware, Spyware und alles was man sonst nicht haben möchte. Fünf Schritte für mehr Sicherheit!

1. Alle Windows Updates installieren

Ja, bei Windows 7 hat man tatsächlich noch die Freiheit! Stellt auf jeden Fall sicher, dass ihr alle Windows-Updates bis dato erwischt habt. Windows Update findet ihr unter Systemsteuerung / System und Sicherheit.

Ist euch das einzelne Installieren von Updates zu lästig, ihr habt eine langsame oder keine Internetanbindung oder habt Windows 7 frisch installiert, bieten sich sich die kostenlosen, gebündelten Update-Packs von winfuture.de an. Sie lassen sich auch prima auf einen Datenträger brennen und zusammen mit der Setup-DVD des Betriebssystems aufbewahren.

2. Anwendungen prüfen und aktualisieren

Das zweite Einfallstor für Malware neben Sicherheitslücken in Windows bildet veraltete und unsichere Software. Alle Installierten Programme findet ihr unter Systemsteuerung / Programme. Macht euch Gedanken darüber, welche Software ihr tatsächlich benutzt. Sicher sind einige Programme dabei, die vor Ewigkeiten mal installiert und dann nie wieder aufgerufen wurden. Dann solltet ihr im Internet prüfen, ob die installierte Programmversion aktuell ist. Meist wird die Version in der Liste der Software oder aber im Programm direkt angezeigt (vielleicht auch im Über das Programm/Hilfe-Bereich).

Ist euch das zu lästig, kann ich euch das Programm Sumo (5 Mb) empfehlen. Ein kostenloses Tool, welches für alle auf dem PC gefundenen Programme prüft, ob die Version aktuell ist. Die automatische Update-Funktion gibt’s zwar nur in der Pro-Version, das Prüfen der Programmversion reicht aber für unsere Zwecke vollkommen aus.

3. Sicherheitsrisiken abschalten

Anstatt mit dem Registry-Editor einzelne Lösungen zu basteln, nutzen wir das bekannte Tool XP-Antispy (funktioniert bis Windows 7). Damit lassen sich gezielt einige Windows-Funktionen und Dienste deaktivieren, die nur ein unnötiges Sicherheitsrisiko darstellen (mal angenommen, dass ihr das Feature nicht nutzt!). Das Programm als Administrator starten, Backup bestätigen und der Reihe nach folgende Optionen wählen:

Windows Media Player

  • Freigabe der Medienbibliothek verhindern

Diverse Einstellungen

  • Explorer: Remote-Desktop-Unterstützung ausschalten
  • Scripting-Host deaktivieren
  • Kein AutoPlay für Datenträger
  • Keine LAN Manager Hashes generieren

Internet Explorer

  • Integrierte Windows-Authentifizierung deaktivieren
  • ActiveX Steuerelemente deaktivieren
  • Integrierten Popupblocker einschalten
  • Phisingfilter aktivieren
  • Auf gesperrte Serverzertifikate prüfen
  • Auf gesperrte Zertifikate von Herausgebern prüfen
  • HTTPS Webseiten nicht zwischenspeichern

Dienste

  • Dienst für Fehlerberichterstattung deaktivieren
  • Universal Plug and Play (UPNP) Service deaktivieren
  • ctfmon.exe deaktivieren

hosts Datei als schreibgeschützt sperren

Über die hosts Datei löst Windows IP-Adressen in Hostnamen auf. Es ist theoretisch möglich, über eine Manipulation dieser Datei den nichts ahnenden Nutzer auf eine gefälschte oder andere Webseite umzuleiten. Deshalb sollte diese Datei am besten schreibgeschützt sein. Sie findet sich im Windows-Verzeichnis unter

C:\Windows\System32\drivers\etc

Rechtsklick auf die Datei, als schreibgeschützt markieren. Beim Klick auf <Übernehmen> Die Administratoraufforderung bestätigen.

Data Execution Prevention (DEP) maximieren

Die DEP ist ein Sicherheitsmechanismus, welcher bereits seit Windows XP ins System integriert ist. Er soll das Ausführen von schädlichem Code im Speicher verhindern. Mehr Details dazu erfahrt ihr in diesem Artikel von ipswitch (Englisch): Understanding Data Execution Prevention in Windows

Die „Datenausführungsverhinderung“ ist die kleine Schwester des Donauschifffahrtkapitäns

Standardmäßig ist diese Funktion nur für einige Programme aktiviert, mit wenigen Klicks lässt sich DEP für alle Anwendungen einschalten und so die Sicherheit erhöhen. Die Einstellung ist zu finden unter

Systemsteuerung -> System -> Erweitert -> Leistungsoptionen -> Datenausführungsverhinderung

hier kann DEP für alle Anwendungen aktiviert werden. Sollte es dadurch zu (eher seltenen) Anwendungsfehlern kommen, können dort auch Ausnahmen definiert werden.

Microsoft Enhanced Mitigation Experience Toolkit (EMET) installieren

EMET ist ein Sicherheitsprogramm von Microsoft, welches einen zusätzlichen Schutz vor Exploits einführt. Es „härtet“ Programme ab, indem es bekannte Sicherheitslücken schützt.** Das Programm wird installiert und einmalig für eine Auswahl von Programmen eingerichtet, danach läuft es unauffällig im Hintergrund. In der Regel ist davon nichts zu merken, in seltenen Fällen kann es zu Programmfehlern kommen, ist mir aber bisher nicht vorgekommen. Download bei heise.de (Download über heise-Server wählen)

Nach der Installation im Einrichtungs-Dialog die Recommended Settings wählen. Das Aktiviert den Schutz automatisch u.a. für den Internet-Explorer, Java und Adobe Reader (Programme, welche häufig Attacken ausgesetzt sind!). Anschließend könnt ihr noch manuell Programme über das Hauptfenster hinzufügen, welche bei euch in Kontakt mit dem Internet stehen bzw. Dateien daraus öffnen. Das heißt: Andere Browser, Dokumentreader oder Mediaplayer.

4. Malwareschutz und Firefall

Hier gibt es ein paar Dinge zu beachten. Zunächst sollte euch bewusst sein, dass mit dem Ende von Windows 7 ebenfalls die Sicherheitsprogramme Microsoft Security Essentials / Defender eingestellt werden [3], ihr müsst also auf den Virenschutz eines Drittanbieters ausweichen. Egal ob Avast, Avira oder Co., Auswahl gibt es genug! Kostenloser Virenschutz 2019 im Funktionsvergleich

Wenn der Rechner hinter einem aktuellen Router steckt, ist keine zusätzliche Firewall-Software erforderlich („Hardware-Firewall“). Wollt ihr etwas mehr Kontrolle über den Internetzugriff eurer Programme, schaut euch das noch eher unbekannte Tool Malwarebytes Firewall Control an.

Die meiste Schadsoftware landet über einen kompromittierten Browser auf dem Rechner. Es ist wichtig, dass der Browser (nicht Internet Explorer!) aktuell und am Besten ein Werbeblocker wie uBlock Origin installiert ist. Die Möglichkeit der Master-Passwort-Verschlüsselung für Formulardaten sollte genutzt werden.

5. Drittanbieter-Software nutzen

Wenn Windows 7 keine Updates mehr erhält, bedeutet das nicht nur, dass das Betriebssystem ad acta gelegt wird, sondern ebenfalls die damit ausgelieferten Microsoft-Programme! Ab jetzt solltet ihr also einen Bogen um den Internet Explorer sowie den Windows Media Player machen. Hier bieten sich Alternativen wie Firefox, Chrome oder Opera und der bekannte VLC Media Player an.

Die Unterstützung für Microsoft Office 2010 wird im Oktober 2020 eingestellt. [4]

Außerdem solltet ihr besonders anfällige Software, wie zum Beispiel das Java Browser Plugin sowie den Adobe Reader und Flash Player (wird ebenfalls 2020 eingestellt! [5]), sicherheitshalber nicht installieren. Die meisten Websites haben inzwischen schon auf HTML5 umgestellt, so dass der Flash Player nicht mehr benötigt wird und Firefox unterstützt nativ die Anzeige von PDF-Dokumenten, ansonsten gibt es noch kostenfreie Alternativen, wie SumatraPDF oder NitroPDF Reader.

Ihr seit noch unsicher, ob ihr auf Windows 10 aktualisieren wollt? In den kommenden Wochen werde ich noch Beiträge Zum Thema Update und Linux als Alternative veröffentlichen!

Info: Einige Screenshots stammen aus meinem Windows 10 System, da ich nicht zu jedem Zeitpunkt Windows 7 zur Verfügung hatte.

*Für die Sicherheit seiner Daten ist jeder selbst verantwortlich! Backup machen nicht vergessen!

**Der Support für EMET wurde 2018 eingestellt und unter Windows 10 wird es nicht mehr benötigt, für Windows 7 ist es aber geeignet!

Windows 10: Blockierten Download trotzdem ausführen

Gerade habe ich mir eine Software aus dem Internet geladen, aber die Windows Sicherheit (ehemals Defender SmartScreen) kennt die Datei nicht und blockiert mir die Ausführung. An für sich ist das ja kein Problem, den Download-Hinweis kennt man schon seit Windows Vista, aber im aktuellen Windows-Fenster ist die Möglichkeit, der Meinung des Betriebssystems zu widersprechen, besonders schlau versteckt.

Ja, ich bin mir sicher.

Der Schutz des unwissenden Nutzers mag zwar gut gemeint sein, aber die Art, wie der „Trotzdem ausführen“ Button versteckt ist, erweckt in mir das Gefühl, von Microsoft nicht für voll genommen zu werden. Klickt man auf „Weitere Informationen“, taucht der Button mit einem zusätzlichen Hinweis schließlich auf. Aber spätestens seit der Adclick-Ära hüte ich mich doppelt auf Links zu klicken, die mir nicht zielführend erscheinen. Die Art und Weise, wie dieses Menü konstruiert wurde, erscheint so schon fast vorsätzlich und der Nutzer, der weiß was er tut, fühlt sich unter Umständen vor den Kopf gestoßen. Wie deaktiviert man diese Meldung also?

Überprüfung deaktivieren

Die einfachste und schnellste Möglichkeit besteht darin, die automatische Windows Smartscreen-Überprüfung für Apps und Dateien zu deaktivieren. Dazu öffnet man die Einstellungen-App und navigiert zu Update & Sicherheit / Windows-Sicherheit / Schutzbereiche: App- & Browsersteuerung. Im sich darauf öffnenden Fenster kann nun unter Apps & Dateien überprüfen der Dienst deaktiviert werden.

Wer die zahlreichen auf dem PC installierten Programme kennt, kann das meiner Meinung nach auch getrost deaktiviert lassen.

Blockierung unterdrücken

Mit dieser Registry-Änderung wird Windows zukünftig heruntergeladene unsignierte Anwendungen nicht mehr als solche klassifizieren (und vor der Ausführung warnen).

Dazu den Registry-Editor öffnen (Win+R „regedit“) und zu folgendem Pfad navigieren:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Attachments

Wenn der Schlüssel wie im obigen Pfad beschrieben noch nicht existiert, müsst ihr ihn zunächst erstellen. Dann fügt ihr einen neuen DWORD 32-Bit Wert „SaveZoneInformation“ mit dem Wert 1 hinzu. Anschließend muss Windows neu gestartet werden.

Meldung „Unbekannter Herausgeber“ deaktivieren

Ist die Anwendung nicht digital signiert bzw. kein Publisher in den Dateiinformationen hinterlegt, wird vor der Ausführung darauf hingewiesen. Wird wie in Schritt eins die Überprüfung von Apps durch den Smartscreen deaktiviert, wird zwar ersterer Hinweis nicht mehr eingeblendet, aber dafür erscheint ein anderer Hinweis, den wir schon aus Windows 7 kennen:

Das ist oft bei kleinen, selbst kompilierten Programmen oder „Mods“ der Fall. Diese Meldung lässt sich ebenfalls deaktivieren.

Dazu öffnen wir wieder den Registry-Editor (s. oben) und begeben uns zu folgendem Pfad:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Associations

Dort wird ein neuer String-Wert (Zeichenfolge) erstellt mit den Namen „LowRiskFileTypes“, dieser enthält folgenden Wert (als sicher zu klassifizierende Dateiendungen):

.zip;.rar;.nfo;.txt;.exe;.bat;.vbs;.com;.cmd;.reg;.msi;.htm;.html;.gif;.bmp;.jpg;.avi;.mpg;.mpeg;.mov;.mp3;.m3u;.wav

Wenn der Eintrag bereits existiert, könnt ihr einfach die Liste hier übernehmen, oder lediglich die Dateiendung hinzufügen, welche in Zukunft als „kein Risiko“ klassifiziert werden soll. Anschließend muss Windows neu gestartet werden.

Die Einstellungen wurden unter Windows 10 Pro 1903 getestet. Grundsätzlich solltet ihr natürlich heruntergeladene Dateien immer mit einem Virenscanner auf Malware prüfen und nur ausführen, wenn ihr wisst, was sie tut.

Die Windows-Firewall unkompliziert erweitern, verbessern und kontrollieren

In diesem Beitrag beschäftigen wir uns damit, wie man die Windows-eigene Firewall mit praktischen Funktionen erweitert und so mehr Kontrolle über die Netzwerkkommunikation erhält. Dies gelingt im Beispiel mit einem von zwei schlanken Programmen, die sich der Windows-Firewall bedienen, anstatt sie zu ersetzen.

Vereinfacht gesagt unterscheidet die Firewall über ausgehende und eingehende Verbindungen. Während die meisten Programme zu den ausgehenden Verbindungen zählen (Browser), benötigen spezielle Anwendungen wie zum Beispiel Server, Torrent-Anwendungen auch die „eingehenden Verbindungen“. Die eingehenden Verbindungen stellen eine mögliche Gefahr für die Computer-Sicherheit dar, da dadurch Schädlinge auf den Computer geladen werden und fremde Zugriffe über das Internet zugelassen werden können. Deshalb blockiert die Windows-Firewall diese Verbindungen standardmäßig. Beim Ausführen einer solchen Anwendung wird die bekannte Firewall-Meldung angezeigt, bei der man die Verbindung erlauben kann. Dies erhöht die Sicherheit und die Privatsphäre. Im Gegensatz zu den eingehenden Verbindungen erlaubt die Windows-Firewall von Haus aus allerdings keine Kontrolle über die ausgehenden Verbindungen. Das ist insofern von großem Nachteil, da man erstens nichts bemerkt, wenn ein Programm versucht eine Verbindung zu Internet aufzubauen, als auch, dass man es nicht unterbinden kann. Viele Programme (oder Apps) funken also unbewusst großzügig Daten nach Hause. Außerdem zeigt die Windows-Firewall nicht die momentan aktiven Verbindungen und die genutzte Bandbreite an.

Warum die Windows-Firewall?

firewall_win

Die Windows-Firewall bietet einen grundlegenden Schutz vor Attacken aus dem Internet. Der ist in den meisten fällig völlig ausreichend, zumal bei vielen zwischen PC und Internet noch ein Router zwischengeschaltet ist, der als Hardware-Firewall fungiert.

Vorgestellt: TinyWall

firewall_tinywall

Mein persönlicher Favorit, da einfach und unkompliziert. Einmal installiert, findet sich das TinyWall Icon in der Taskleiste. Eine eigene Anwendungsoberfläche gibt es nicht. Ein Nachteil besteht darin, dass es nicht darüber informiert, wenn ein Zugriff auf das Internet oder eine eingehende Verbindung blockiert wurde. Im „Lernmodus“ lässt TW erst einmal alle Verbindungen zu, später kann man dann in der Konfiguration nachverfolgen, was alles mit dem Internet kommuniziert hat, und aussortieren. Laut Hersteller verfügt das Programm neben den Filterregeln auch über zusätzliche Schutzmechanismen.

Zum Download: https://tinywall.pados.hu/

Vorgestellt: Windows Firewall Notifier

firewall_wfn

Das ebenfalls bekannte WFN kommt da schon etwas eleganter daher. So wird man nach der Installation künftig bei jedem Zugriff mit einem Dialogfeld konfrontiert, dass an die bekannten namenhaften Firewalls wie Comodo oder ZoneAlarm erinnert. Das ist praktisch, aber vielleicht auch nicht jedermanns Sache. Ein Nachteil besteht bei diesem Programm, dass die Menüführung und Konfiguration etwas unübersichtlich und die Übersetzung unvollständig ist.

Zum Download: https://wfn.codeplex.com/

Aus meiner Erfahrung heraus kann ich bestätigen, dass die aktuelle Windows Firewall neben einem guten Virenschutz vollkommen ausreichend ist. Wenn ihr andere Erfahrungen gemacht habt, schreibt doch etwas in die Kommentare 🙂

Übrigens: Besitzt ihr über keinen (aktuelleren) Router und verbindet euch möglicherweise sogar direkt über ein Modem mit dem Internet, seit ihr nicht zusätzlich durch eine „Hardware-Firewall“ geschützt. In diesem Falle würde es sich tatsächlich lohnen, mal einen Blick auf kommerzielle Firewall-Lösungen zu werfen.

 

SaneSec Signaturen: Erkennungsrate von ClamWin verbessern

clamwin3In einem früheren Beitrag habe ich bereits beschrieben, wie man den ClamWin Virenschutz optimal konfiguriert. ClamWin bietet sich besonders gut als zweiter Virenscanner an, da es pragmatisch leicht, gut zu konfigurieren, effektiv und Open Source ist (mal abgesehen davon, dass von Hause aus kein Echtzeitschutz enthalten ist).

Vor einiger Zeit habe ich eine tolle Möglichkeit gefunden, die Erkennungsraten noch einmal erheblich zu verbessern: sanesecurity.com bietet zusätzliche Signaturdatenbanken kostenlos für ClamAV zum Download an. Laut Hersteller kann die Erkennungsrate dadurch um bis zu 90% gesteigert und eine Genauigkeit von 97.11% erreicht werden.

Download und Installation

Ich setze voraus, dass ClamWin auf Windows installiert ist. Unter

http://sanesecurity.com/usage/windows-scripts/

findet ihr ein fertiges Kommandozeilen-Skript zum automatischen Download der neuen Signaturen. Außerdem benötigt ihr das Tool RSYNC, damit das Script funktioniert. Dieses kann hier heruntergeladen werden. Verschiebt den entpackten Skript-Ordner an einen beliebigen Ort (zum Beispiel Homeordner, oder ClamWin Programmverzeichnis), aus RSYNC benötigt ihr die Dateien aus dem /bin Ordner, welche ihr in den Ordner /winrsync des Update-Scripts kopiert.

Update-Script einrichten

Möglicherweise stimmen die voreingestellten ClamWin Verzeichnisse nicht mit den euren überein, weshalb eine Fehlermeldung beim Ausführen des Scripts ausgegeben wird. Startet also den Editor (notepad) mit Admin-Rechten und öffnet die sigupdate.bat. Dort sucht ihr die Zeilen

set logloc=C:\ProgramData\.clamwin\log

und außerdem

set db=C:\ProgramData\.clamwin\db

Prüft, ob die Verzeichnissangaben korrekt sind. Standardmäßig ist der .clamwin Ordner unter %ALLUSERSPROFILE% zu finden (In Ausführen eingeben!). Jetzt noch speichern, fertig.

Wenn ihr jetzt sigupdate.bat ausführt, sollte der Download starten.

sanesec1

Je nach Windows-Version und Benutzerrechte scheint das Skript Probleme mit den Zugriffsrechten zu haben. Falls ein solcher Fehler ausgegeben wird (permission denied), startet das Skript als Admin. Wenn das nicht funktioniert, öffnet die Kommandozeile (cmd) als Administrator, wechselt (cd) zum Skriptverzeichnis und führt dort manuell die sigupdate.bat aus. Das Ergebnis könnt ihr in der Logdatei unter C:\ProgramData\.clamwin\log\sigupdate.txt prüfen.

Signaturen auswählen

Die Malware-Datenbank von SaneSecurity kann beliebig modular ergänzt werden. Welche Signaturen zusätzlich heruntergeladen werden, steht in der Datei signames.txt. Dies ist für’s erste ausreichend. Auf dieser Seite findet ihr eine komplette Liste der weiteren möglichen Signaturen, inklusive Beschreibung. Dazu muss lediglich der Name in die signames.txt übernommen und ein erneuter Download ausgeführt werden.

sanesec2Ich habe die drei gelb markierten Einträge nachträglich hinzugefügt, um die Erkennungsrate mit einigen Malware-Hashes noch weiter zu verfeinern. Manche bzw. zu viele Signaturdatenbanken erhöhen allerdings auch das Risiko von Falschmeldungen und verlängern die Ladezeit von ClamScan.

 

Automatische Updates

SaneSecurity veröffentlicht stündlich aktualisierte Signaturen. Wenn ihr ClamAV als Virenschutz benutzt (zum Beispiel mit ClamSentinel), solltet ihr eure Datenbank aktuell halten. Hierzu nutze ich die windowseigene Aufgabenplanung (Systemsteuerung/Verwaltung). Wenn geöffnet, dann wählt mit Rechtsklick „Neue Aufgabe erstellen“. Dann konfiguriert das gewünschte Aktualisierungsintervall und die Ausführungsbedingungen nach euren Wünschen. Bei Aktionen gebt nun wegen den oben erwähnten Rechte-Problemen nicht den direkten Pfad zum Update-Skript ein, sondern lasst es über cmd laufen:

C:\Windows\System32\cmd.exe /k cd „C:\Program Files (x86)\ClamWin\sigupdate\“ & sigupdate.bat

beziehungsweise

Programm/Skript: C:\Windows\System32\cmd.exe

Argumente: /k cd „C:\Program Files (x86)\ClamWin\sigupdate\“ & sigupdate.bat

Den Ordnerpfad entsprechend anpassen. Der Parameter /k bewirkt, dass das Kommandozeilen-Fenster offen bleibt, so dass ihr das Ergebnis kontrollieren könnt (kann später wieder entfernt werden). Wichtig ist jetzt noch dass ihr im Reiter „Allgemein“, den Haken vor „Mit höchsten Privilegien ausführen“ setzt, damit das Skript als Administrator ausgeführt wird. Ihr könnt nun die Aktionen testen, in dem ihr im rechten Fensterbereich der Aufgabenplanung die Aufgabe manuell startet, oder startet den Computer neu. Fertig!

Neun kostenlose Virenscanner im Funktions-Vergleich

Ein Virenschutz muss sein. Kostenlos, na klar! Aber welcher? Ich habe in den letzten Tage neun verschiedene, mehr oder weniger bekannte kostenlose Virenschutzprogramme getestet. Da man als Nutzer inzwischen (glücklicherweise) eine große Auswahl hat, dachte ich mir, dass eine kleine Übersicht über die einzelnen Programmfunktionen und ein Vergleich zwischen den verschiedenen Anbietern bei der Entscheidung helfen kann. Denn jeder hat letztendlich eine eigene Vorstellung davon, was das Programm bieten soll und nicht jeder möchte ein Programm nach dem anderen testen, bis er fündig wird.

Folgende Programme habe ich getestet (mit Link zur Website): Microsoft Security Essentials / Windows Defender (ab Windows 8), Ad-Aware Free Antivirus+, Panda Free Antivirus (ehem. Cloud Antivirus), Avast Free Antivirus, Bitdefender Free Antivirus, Avira Free Antivirus, AVG Antivirus Free 2015, Comodo Free Antivirus, ClamWin (+Sentinel Plugin)

Folgende Eigenschaften habe ich dabei berücksichtigt:

  • Malware Schutz vor Viren, Trojanern und anderer gängiger Malware
  • Spyware Schutz vor Spyware, Adware, Tracking-Software oder andere PUP
  • Browser Webschutz; Schutz beim Browsen und Downloaden
  • Email Schutz vor bösartigen Emails; Spamfilter
  • Heuristik Verhaltenserkennung, Heuristik oder andere erweiterte Erkennungsmechanismen
  • Benutzerdefinierte Scans Eigene Scans erstellbar (einzelne Dateien, Ordner oder Partitionen durchsuchen)
  • Aktualisierungen Virensignatur-Updateintervall <6h oder Streamupdates, Cloud
  • erweiterte Konfiguration Das Programm lässt sich in seinen einzelnen Komponenten ausreichend für die individuellen Bedürftnisse anpassen
  • Profile Verhaltensprofile, z. B. „Spielemodus“, in denen sich das Programm in den Hintergrund schaltet
  • Deutsch Vollständige Deutsche Lokalisierung vorhanden
  • Werbefrei Programm verzichtet auf großflächige oder aufdringliche Werbung, ständige Kauferinnerung

av_vergleich

Wie schaut’s aus? Den vollständigen Test seht ihr hier (PDF): neun_kostenlose_av_vergleich.pdf

Bitte beachtet: Die Tabelle sagt nichts über die Erkennungsrate und den tatsächlichen Schutz des Programmes aus, sondern soll lediglich ein Funktionsvergleich darstellen. Auch unterliegen die Programme einer ständigen Entwicklung, weshalb sich natürlich ständig etwas ändern kann (Stand: Januar 2015). Für die Korrektheit der Angaben gebe ich keine Garantie. Im Zweifelsfall: Selber informieren!

Folgendes habe ich beim Testen festgestellt (Achtung, jetzt wirds subjektiv!): Am besten aufgestellt ist man mit Avast Free Antivirus, dem bekannten und bewährten Virenscanner. Wer es minimalistisch mag und ein Programm mit geringem Ressourcenverbrauch bevorzugt, wird mit dem weitestgehend selbstständig arbeitenden Bitdefender Free AV glücklich. Wer eine mächtige Software-Suite, die sich bis ins Detail konfigurieren lässt, sucht, sollte sich Comodo Free AV anschauen.

Soviel dazu. Ich hoffe, dass ich euch mit Vergleich weiterhelfen konnte und freue mich auf Feedback!

Interessanter Beitrag? Email-Adresse eintragen und nichts verpassen! ->

ClamWin: Open-Source-Virenschutz einrichten

Nicht jeder Virenschutz muss gleich Geld kosten – und neben den großen Namen im Markt gibt es auch weniger bekannte Programme zum Schutz vor Malware: ClamWin ist ein bewährter, kostenloser Open-Source-Virenscanner für Microsoft Windows 8/7/Vista/XP/Me/2000/98, der auf dem ClamAV-Projekt beruht. In der Grundversion bietet der Virenschutz:

  • zeitgeplante Scans
  • automatische Defintionsupdates
  • Explorer- und Tray-Integration
  • Outlook- und Firefox-Plugin sowie POP3-Überprüfung
  • Quarantänefunktion

…und auch die Erkennungsraten können sich sehen lassen.

Download und Installation

ClamWin steht unter der GNU GPL kostenlos zur Verfügung und kann direkt von den Entwicklern bezogen werden: http://www.clamwin.com/content/view/18/46/

Das Setup ist ca. 100 Mb groß, zur Installation muss nur dem Installer gefolgt werden, Angst vor Toolbars muss man nicht haben. Anschließend wird die Virendatenbank aktualisiert, was einige Sekunden in Anspruch nimmt, anschließend ist das Programm verfügbar.clamwin3

Die Programmoberfläche präsentiert sich aufgeräumt und minimalistisch. Neben der Menüleiste mit den Einstellungsmöglichkeiten, Logs und der Hilfe bietet das GUI lediglich eine Funktion zum Update und Scan der Festplatte (oder einzelne Ordner und Dateien) und des Arbeitsspeichers (was braucht man mehr?).

Einstellungen optimieren

In den Einstellungen kann man noch nachhaken:

General: Per Default melden ClamWin nur einen Fund, tut dann aber erst einmal nichts. Ich empfehle, Dateien gleich in den Quarantäneordner verschieben zu lassen.

Internet Updates: Hier überprüfen, ob täglich oder gar stündlich die Virensignaturen aktualisiert werden sollen, je nach Gebrauch reicht es auch beim Systemstart.

Scheduled Scans: Geplante Scans müssen nicht automatisch aktiv sein, können aber als praktische Vorgabe-Scans („Quick-Scan“) genutzt werden. Häufige Pfade, die ihr setzten könnt, sind

  • euren Downloadordner, normalerweise C:\Users\BENUTZER\Downloads
  • Temporäre Dateien C:\Users\BENUTZER\AppData\Local\Temp oder einfach %temp%
  • Das Firefox-Profil und den FF-Internetcache: C:\Users\BENUTZER\AppData\Local\Mozilla\Firefox\Profiles\
  • …und des Internet Explorers C:\Users\BENUTZER\AppData\Local\Microsoft\Windows\Temporary Internet Files
  • das Windows-Verzeichnis C:\Windows

Nachtrag vom 20.06.2015: Inzwischen habe ich in der offiziellen Dokumentation von ClamWin einen Artikel gefunden, der beschreibt, wie man am besten einen „Quickscan“ definiert, d.h. welche Dateien in den Suchvorgang eingeschlossen werden. So kann man die Scanzeit um das bis zu 20-fache verkürzen.

Im Tray erscheint außerdem ein schickes ClamWin-Symbol, mit dem die wichtigsten Funktionen bedient werden und direkt geplante Scans ausgeführt werden können, was sich regelmäßig empfiehlt!

clamwin

Achtung: Kein Echtzeitschutz im Grundpaket

ClamWin hat bisher keinen Echtzeitschutz integriert und bietet sich daher nicht als vollwertiger Ersatz zu anderen Virenscannern an. Abhilfe schafft jedoch das kostenlose Plugin ClamSentinel, welches einen Echtzeitschutz hinzufügt. Nach der Installation bindet sich ClamSentinel nahtlos in den Betrieb ein, lediglich die zu überwachende Festplatte muss gewählt werden. Ein weiteres Symbol ist nun im Tray sichtbar. Fairerweise muss man sagen, dass es noch weitere Echtzeitscan-Plugins für ClamWin gibt, dies ist jedoch das bekannteste – und funktioniert.

Schutz prüfen

Habt ihr die Viren-Definitionen aktualisiert und ClamWin und ClamSentinel richtig konfiguriert, könnt ihr den Virenschutz mit dem EICAR Test Virus auf die Probe stellen (auf eigene Verantwortung!): http://www.eicar.org/86-0-Intended-use.html Das Programm sollte nun sofort beim Download oder spätestens beim Anklicken Meldung erstatten und ihr wisst, das alles funktioniert.

Fazit

ClamWin mit Echtzeitergänzung ist ein gutes Schutzpaket vor Malware, wenn das Programm davor richtig konfiguriert wird. Da es nur über rudimentäre Handlungsmechanismen (Quarantäne oder Löschen) verfügt, ist das Programm deshalb vielleicht auch nur für erfahrenere Nutzer zu empfehlen. Auf jedenfall bietet ClamWin auch ohne Echtzeitschutz eine gute, ressourcenschonende Ergänzung zum Virenscanner eurer Wahl. 🙂