Wer einen PC oder Laptop gekauft hat, sollte vor lauter Freude nicht gleich loslegen. Vor dem Anschluss ans Internet sollten Sie einige wichtige Einstellungen vornehmen, um das System möglichst effizient vor Gefahren aus dem Internet abzusichern.

Dieser Workshop beschreibt eine Schritt-für-Schritt-Strategie, wie man nach einer Windows-XP-Installation das Betriebssystem weitgehend mit Bordmitteln absichern kann. Die meisten Maßnahmen lassen sich übrigens auch unter Windows 9x, Me oder 2000 vornehmen.

Schritt 1: Service Pack installieren

Ein frisch installiertes Windows ist verwundbar. Deshalb sollten Sie als erstes Ihren Internet-Zugang konfigurieren und die Windows-Update-Seite besuchen.
Noch bevor Sie auf Ihre Lieblings-Webseite gehen oder Ihren Freunden E-Mails schreiben, sollten Sie das Windows-Update über den "Start-Button" anwerfen. Alternativ finden Sie auch im Internet Explorer unter dem Menüpunkt "Extras" einen entsprechenden Eintrag. Für das Update ist der Internet Explorer zwingend nötig.

Mehr Sicherheit mit dem SP 2
Wichtig ist vor allem, dass Sie zuerst alle Sicherheits-Patches installieren. Alternative Updates, etwa neue Treiber oder Aktualisierungen von Applikationen sind nicht immer notwendig und können wahlweise eingespielt werden. Fast ein Muss ist das so genannte Service Pack 2. In ihm findet man gesammelt alle wichtigen Updates plus neue Windows-Funktionen.

Da das Service Pack über 250 MByte auf die Waage bringt, ist der Weg über einen Download nur ab einer DSL-Verbindung empfehlenswert. Alternativ können Sie sich das XP-Update auch von Microsoft zuschicken lassen, was aber zirka 4-6 Wochen dauert.

Schritt 2: XP-Firewall einstellen

Die auffälligste Neuheit im SP2 ist das Sicherheitscenter. Diese Zentrale fasst die wichtigsten Schutzprogramme einheitlich zusammen.
Über drei Ampeln wird der Sicherheitszustand des PCs angezeigt. Eine davon zeigt den Status der in XP integrierten Internet Connection Firewall (kurz ICF). Dabei handelt es sich um einen Port-Blocker, der bösartige Angriffe aus dem Internet abwehren soll und somit schon einen ersten, grundlegenden Schutz bietet. Nach der Installation des SP2 ist für jede Netzwerk-Verbindung die Windows Firewall automatisch eingeschaltet.

Seit Service Pack 2 kann die Windows Firewall auch auf Programm-Ebene gesteuert werden, mit früheren Versionen ging das nicht. Das heißt: Für ein bestimmtes Programm, etwa den Messenger-Client, kann die Internet-Verbindung gezielt erlaubt oder verboten werden.

Die Windows-Firewall verteilt die Einstellungen auf alle Netzwerk-Adapter. Einmal definierte Regeln sind also für alle Netzwerk-Verbindungen gültig.

Blaster-feindlich
Die Windows Firewall erlaubt mit den Standardeinstellungen keine Verbindungen über den Remote Procedure Call (RPC). Zwar benutzen diesen Mechanismus viele Anwendungen, aber auch der Blaster-Wurm hat diesen Dienst verwendet. Benutzerfreundlich ist die Möglichkeit, die Standardeinstellungen der Firewall mit nur einem Mausklick wiederherzustellen.
Eine nützliche Funktion für Fortgeschrittene ist die Zugriffsbeschränkung auf Subnetz-Ebene. Sie können über die erweiterten Einstellungen Netzwerkzugriffe für ein bestimmtes Programm auf das eigene Subnetz einschränken oder eine Kombination aus mehreren IP-Adressen und Subnetzmasken hinzufügen. Vorteile ergeben sich etwa bei der Datei- und Druckerfreigabe, die sich leicht auf das aktuelle Subnetz einschränken lässt. Wird sie aktiviert, sind die UDP-Ports 137 und 138 respektive die TCP-Ports 139 und 445 nur aus dem gleichen Subnetz erreichbar. Für das Universal Plug-and-Play öffnen sich UDP-Port 1900 und TCP-Port 2869 lokal.

Wer sich ganz abschotten will, für den bietet die Firewall die Option "Keine Ausnahmen zulassen". Dahinter verbirgt sich schlicht die Möglichkeit, alle für Programme geöffneten Horch-Verbindungen per Mausklick zu verbieten. Deaktiviert man diese Option wieder, sind alle Ausnahmen wieder erlaubt. Microsoft empfiehlt die restriktive Vorgehensweise, wenn Sie sich etwa an einem W-Lan-Hotspot anmelden.

Logging
Das Security Logging protokolliert die Tätigkeit der ICF in einer Textdatei. Sie wird standardmäßig unter C:\WINDOWS\pfirewall.log gespeichert. Zum Auswerten der Log-Datei gibt es ein pfiffiges Tool: FireLogXP

Schritt 3: Dienste abschalten

Windows hat die schlechte Angewohnheit, zu viele meistens nicht benötigte Dienste automatisch zu starten. Schalten Sie alles ab, was Sie nicht benutzen. So lässt sich Leistung sparen, die an anderer Stelle wertvoll ist.
Ein frisches Windows XP nervt seinen Benutzer durch aufspringende Sprechblasen. Außerdem gelten Zusatzprogramme wie der Media Player als Datenschleudern. Abhilfe schaffen Freeware-Programme, die das Mitteilungs-Bedürfnis des Systems einschränken, etwa XP AntiSpy.

Dienste erkennen
Ein einfacher Aufruf von "services.msc" zeigt System-Dienste mit Beschreibung, Status und Starttyp an. Zudem kann man auf den ersten Blick erkennen, ob es sich um einen Netzwerkdienst oder um einen lokalen Dienst handelt. Es ist gar nicht so einfach, zu erkennen, für was welcher Dienst zuständig ist und ob man ihn wirklich braucht. Ein paar Kandidaten kann man aber fast immer deaktivieren:

Dienste abschalten
Ein Kandidat zum Abschalten ist die Ablagemappe, in früheren Windows-Versionen auch als Aktenkoffer bekannt. Diesen Dienst brauchen Sie nicht, denn der Datenaustausch über Laufwerksfreigaben geht schneller. Wer Windows XP lieber im klassischen 2000-Look betreibt, kann auch den Dienst "Designs" abschalten.

Auch "Hilfe und Support" ist ein System-Dienst, der automatisch gestartet und oftmals nie benutzt wird. Auch nach seiner Deaktivierung lassen noch HLP- und CHM-Dateien anzeigen. Wer nicht mit dem Encrypting File System arbeitet, braucht die Kryptographie-Dienste nicht, also abschalten.
Je nach Einsatzgebiet lassen sich auch noch weitere Dienste abschalten. Wer zum Beispiel keinen Drucker angeschlossen hat, braucht die Drucker-Warteschlange nicht. Auch aus den Netzwerk-Diensten kann man einige Systembremsen herausfiltern: Der Anmeldedienst wird zum Beispiel nur bei der Verwendung einer Domäne benötigt. Aus Sicherheitsgründen sollten Sie auch die Remote-Registrierung abschalten.

Für weiteres Feintuning steht ihnen unsere Technik mit Rat und Tat beiseite.