Windows XP absichern

winXP01Inzwischen sind seit dem offiziellen Supportende von Windows XP SP3 im April 2014 schon über zwei Jahre vergangen. Im März 2016 hatte Windows XP in Deutschland noch einen Marktanteil von 3,4% (vgl. Windows 7: 38%, Windows 10: 21%, Linux: 2,6% | Quelle: de.statista.com), was zeigt, dass das inzwischen 15 Jahre (!) alte Betriebssystem noch auf einigen Rechnern anzutreffen ist, mal abgesehen von verschiedenen Großkunden (Geldautomaten, Behörden), welche für teures Geld noch bis 2019 mit Sicherheitsupdates versorgt werden. Da aber seit April 2014 für Privatanwender keine Sicherheitsupdates mehr verfügbar sind, bestehen mit danach entdeckten Sicherheitslücken für potentielle Angreifer und Schädlinge viele Eintrittsmöglichkeiten!

Sicher sind es nicht nur die „einsamen Wölfe“, die ein Update des Betriebssystems ablehnen, es kann auch andere Gründe haben. Ich habe hier zum Beispiel einen alten Acer Aspire 5315 Laptop (ca. 2008), da läuft XP einfach super drauf. Sicher, ursprünglich mit Windows Vista bzw. 7 im Handel, aber mit 2Gb RAM läuft Windows XP einfach viel schneller. Und dann wäre da noch das unglaubliche Nostalgiegefühl, das entsteht, wenn man nach Jahren mal wieder Windows XP startet und einen alten Spieleklassiker darauf installiert…

Hier nun einige Tipps, wie man sich mit Windows XP weitestgehend absichern kann (von der Verwendung mit sensiblen Passwörtern oder gar Online-Banking rate ich ab).

1. Aktuelle Software benutzen

Die in Windows XP enthaltene Onboardsoftware nicht benutzen oder am besten gleich über Bord werfen. Damit gemeint ist der Internet Explorer 8, Windows Media Player 11, Outlook Express, Office, Movie Maker, Remote Desktop, (…). All die Software wird in den vorliegenden Versionen nicht mehr aktualisiert und ist ein erhebliches Sicherheitsrisiko, da über infizierte Multimediadateien Schadcode eingeschleust werden kann. Als Alternative bieten sich Firefox (Chrome unterstützt 32Bit nicht mehr!), Thunderbird, LibreOffice, VLC Media Player und andere kostenlose Software an – Auswahl gibt es da genug.

2. Risiken abschalten

Unter diesen Punkt fallen verschiedene Aspekte. Zum einen sollte der Autostart von Datenträgern deaktiviert werden. Dazu

als Admin Ausführen (WinTaste+R) öffnen und gpedit.msc eingeben. Unter Computerkonfiguration -> Administrative-Vorlagen -> System kann der Autostart deaktiviert werden.

Weitere empfehlenswerte Systemeinstellungen wie das Deaktivieren des Scripting-Hosts sowie der uPnP-Untersützung und der Remote-Desktop-Funktion könnt ihr bequem mit dem altbekannten Tool XPAntiSpy durchführen.

Außerdem solltet ihr besonders anfällige Software, wie zum Beispiel das Java Browser Plugin sowie den Adobe Reader und Flash Player, sicherheitshalber nicht installieren. Die meisten Websites haben inzwischen schon auf HTML5 umgestellt, so dass der Flash Player nicht mehr benötigt wird und Firefox unterstützt nativ die Anzeige von PDF-Dokumenten, ansonsten gibt es noch kostenfreie Alternativen, wie SumatraPDF oder NitroPDF Reader.

Es ist empfehlenswert, die hosts Datei unter

C:\WINDOWS\system32\drivers\etc

mit Adminrechten als schreibgeschützt zu markieren. Dadurch verhindert ihr, dass Malware diese einfach manipulieren und möglicherweise DNS-Anfragen umleiten kann. Die hosts-Datei ist im Normalfall leer (außer dem Infotext).

3. Date Execution Prevention (DEP) maximieren

DEP ist ein nützliches Sicherheitsfeature, welches das Ausführen von Schadcode im Arbeitsspeicher verhindern soll. Standardmäßig ist diese Funktion nicht immer aktiviert. Unter

Systemsteuerung -> System -> Erweitert -> Leistungsoptionen -> Datenausführungsverhinderung

kann DEP für alle Anwendungen aktiviert werden. Dies erhöht die Sicherheit. Sollte es dadurch zu (eher seltenen) Anwendungsfehlern kommen, können dort auch Ausnahmen definiert werden.

4. zusätzlicher AV-Schutz, Firewall

Natürlich ist Prävention am besten, trotzdem sollte ein aktueller Virenscanner an Bord sein. Während Avira keinen Support mehr für Windows XP bietet, funktioniert die kostenlose Antivirensoftware von AVG, Avast und Bitdefender noch. Außerdem schadet es nie, noch eine Alternative wie das ressourcenschonende ClamWin an Board zu haben. In einem anderen Beitrag habe ich bereits beschrieben, wie man sich zusätzlich mit portablen Sicherheitstools schützen kann. Stellt außerdem sicher, dass die Windows Firewall aktiviert ist (Systemsteuerung). Die meisten aktuellen Firewalls unterstützen kein Windows XP mehr, aber es gibt eine kostenlos Alternative, um den Schutz zu verbessern:

button_2k button_xp Ghostwall Firewall ist kompakt, übersichtlich, ressourcensparend und rückwärtskompatibel mit Windows XP, 2000.

5. Eingeschränktes Benutzerkonto einrichten

Das User Account Control (UAC), welches seit Windows Vista an Bord ist, gibt es unter Windows XP nicht, standardmäßig ist ein Administratorkonto aktiv. Es ist sehr empfehlenswert, sich nach dem Einrichten von Windows und der Installation der ganzen Software ein Benutzerkonto mit eingeschränkten Benutzerrechten einzurichten. Unter diesem Konto hat man keinen Zugriff auf wichtige Systemeinstellungen und Windows-Systemdateien. Sollte sich der Rechner dann infizieren, fällt der Schaden geringer, bzw. nur auf das Konto bezogen aus, da durch die eingeschränkten Zugriffsrechte schlimmeres verhindert werden kann.

6. Alle Updates installieren, Windows Update Hack

button_download3 Nach der Installation von Windows XP solltet ihr sicherstellen, dass das Service Pack 3 sowie alle nachfolgenden Updates installiert sind. Am einfachsten geht es das mit einem Update-Pack z.B. von WinFuture. Besonders nach einer Neuinstallation kann man damit viel Zeit sparen! Beachtet außerdem, dass es z.B. für nachträglich installierte Laufzeitumgebungen wie das .NET Framework auch Sicherheitsaktualisierungen gibt, die ebenfalls über Windows Update bezogen werden sollten.

Und noch ein Trick: Es kursieren im Internet Anleitungen, wie man mit einem Registry-Hack weiterhin Windows Updates erhalten kann, obwohl diese nicht mehr für Endanwender gedacht sind (also auf eigenes Risiko!). Dabei wird die Bezugsquelle für Updates in der Registrierung geändert.

7. Verschlüsselung von wichtigen Daten und Backups

In Bezug auf die potentielle Anfälligkeit von Windows XP ist es empfehlenswert, sensible Daten zu verschlüsseln und sie so vor Diebstahl zu schützen. Sowohl Mozilla Firefox als auch Thunderbird bieten in den Einstellungen eine Verschlüsselung der gespeicherten Formulardaten mithilfe eines Masterpassworts an.

Mit dem kostenlosen Nachfolger von TrueCrypt, VeraCrypt können verschlüsselte Datenträger und Dateien erstellt und wichtige Daten so vor fremdem Zugriff geschützt werden.

Es sollten regelmäßig Datensicherungen gemacht werden. Windows bietet unter Zubehör -> Systemanwendungen bereits ein Sicherungsprogramm an, ansonsten gibt es genug Freeware-Angebote im Internet. Mit dem kostenlosen Tool Cryptomator können Backups verschlüsselt und in kleinere Dateihäppchen aufgeteilt werden, um sie bequem auf Onlinespeicher hochladen zu können.

8. EMET 4.1

In vielen Artikeln von 2014 wird Microsofts Tool EMET als Sicherheitsfeature empfohlen. Es „härtet“ viele Anwendungen gegen häufige Angriffsarten von Malware ab. Leider gibt es die letzte Version, welche Windows XP noch unterstützt, nämlich 4.1, nicht mehr offiziell als Download. Ich konnte an dieser Stelle keinen Link finden. Wenn ihr es dennoch auftreiben könnt, freue ich mich über einen Hinweis!

Alternativ zu Windows XP bieten sich übrigens auch leichte Linuxdistros wie Ubuntu MATE, Xubuntu oder Knoppix an, wenn man auf die Windows-Plattform verzichten kann.

Linux wieder von der Festplatte löschen (Dual Boot)

512px-TuxLinux ist schnell auf der Platte. Das ist in den meisten Fällen kein Problem. Nur was, wenn man Linux parallel neben Windows installiert hat, dies jetzt aber nicht mehr benötigt oder die Installation beschädigt ist? Wie entfernt man Linux wieder? Wie bekommt man den Speicherplatz für Windows zurück, ohne das System komplett neu aufzusetzen?

Dazu gibt es mehrere Lösungsansätze. Hier ist einer davon. (Bild: Pinguin Tux; by Larry Ewing, Simon Budig, Anja Gerwinski)

Was wird benötigt?

  • Eine funktionsfähige Linux-Live-CD (z.B. von Ubuntu, openSuSE, Fedora)
  • Die entsprechende Windows Setup-CD (ich habe es bisher nur unter XP, Vista und Windows 7 testen können!)
  • Einen externen Datenträger für das Backup eurer Daten

Schritt 1: Persönlichen Daten auf einem externen Datenträger sichern

  • USB-Sticks, externe Festplatten oder DVDs sind dazu gut geeignet

Vor dem Eingriff solltet ihr ein Backup aller eurer wichtigen Daten machen, da in der Partitionstabelle sowie im Bootsektor geschrieben wird und auch mal etwas schief gehen kann. Im schlimmsten Falle kann man nicht mehr auf die Daten zugreifen, wenn die Partitionstabelle beschädigt ist. Für direkte oder auch indirekte Schäden übernehme ich keine Haftung!

Schritt 2: Von der Linux Live-CD/DVD booten

  • Startet das Partitionierungstool gparted (ist bei der Ubuntu Live-CD schon vorinstalliert)
  • Die folgenden Schritte entfernt Linux von der Platte – beachtet, dass alle Änderung erst am Schluss geschrieben werden!
  • Dort löscht ihr nun die von Linux angelegten Partitionen (Swap-Partitionen müssen unter Umständen erst ausgehängt werden, was mit einem Rechtsklick erledigt werden kann!)gpart. Das Dateisystem von Windows ist fat32/ntfs, Linux benutzt andere.
  • Nun könnt ihr mit dem frei gewordenen Speicher eure Windows Partition vergrößern. Beachtet dabei, nicht die Auslagerungspartition (bei Windows 7), die wichtige Informationen zum Bootvorgang enthält, zu verändern (erkennbar an der geringen Größe)!
  • Zum Abschluss auf Übernehmen klicken, damit die Änderungen auch tatsächlich durchgeführt werden!
  • Startet nun den Computer neu und entfernt die Live-CD, wenn ihr dazu aufgefordert werdet.
  • Linux ist nun entfernt, Windows wird aber noch nicht starten, da Grub teilweise noch vorhanden ist und ein Start von Windows verhindert. Wir müssen also den Bootsektor neu schreiben.

Schritt 3: Von der Windows Setup-CD/DVD booten

  • Startet nun die Wiederherstellungskonsole (cmd). Diese erreicht ihr in Windows 7 durch einen Klick auf Reparaturoptionen gleich zu Beginn der Installation. Unter Windows XP verfolgt ihr die Installation einen Schritt, bis ihr gefragt werdet, ob ihr die bestehende Windows Installation reparieren wollt. Drückt „R“. Nun seid ihr in der Wiederherstellungskonsole.whsjk
  •  Bei Windows 7 gebt ihr nun folgende Befehle ein: bootrec.exe /fixmbr sowie bootrec.exe /fixboot und wartet jeweils auf eine Bestätigung.
  • Bei Windows XP gebt ihr fixmbr sowie fixboot c: ein (wobei c: hier eurer Windows Systempartition entspricht).
  • Startet den Computer neu und entfernt die Windows Setup-CD.

Windows sollte nun wie gewohnt starten. Wahrscheinlich werdet ihr anschließend von der Datenträgerüberprüfung chkdsk aufgefordert, die Partition auf Fehler zu überprüfen, was ihr aber ruhigen Gewissens geschehen lassen könnt. Das Überprüfen nimmt je nach Datenspeichergröße etwas Zeit in Anspruch.

Der Artikel erscheint in überarbeiteter Version, Original veröffentlicht von mir auf pchilfe.org am Dienstag, 16. August 2011.