HardeningKitty Windows Hardening

[------]

Hallo,

ich möchte in diesem Post zum einen ein paar Fragen stellen, zum anderen aber auch ein Interessantes Skript teilen, welches ich gefunden habe.

Zunächst das Skript. Es geht um ein Hardening Skript, um Windows zu härten, welches zumindest auf den ersten Blick sehr ausgeprägt aussieht.

https://github.com/scipag/HardeningKitty/

Ich freue mich diesbezüglich über Meinungen dazu.

Ebenfalls um Meinungen zur HailMary Option und der Wirksamkeit.

 

Nun zu meiner Frage:

Ich würde gerne etwas darüber Erfahren wie man Windows Systeme am Besten absichert.

Von der Einfachen Frage "Welcher Virenschutz ist der Beste und wieso" hin bis "Wie schütze ich mich Softwareseitig effektiv gegen Rubberduckys und manipulierte Hardware". Ich bin um jeden Input dankbar und vor allem die erste Frage möchte ich hier als erstes in den Raum stellen.

Zu zweiter Frage besteht auch bereits ein entsprechender Thread.

Habt Ihr einen Virenscanner den ihr empfehlen könnte? Wieso gerade dieser?

Welche Software oder Konfigurationen empfehlt Ihr außerdem?

 

Danke vorab und viele Grüße

[------]

EDIT:

VORSICHT !

Das HailMary Skript hat meine Anmeldung so zerschossen das ich mich gar nicht mehr anmelden konnte nachdem ich meinen PC gesperrt habe. Die Anmeldung per PIN klappte aufgrund eines Fehlers mit Errorcode nicht mehr und die Anmeldung per normalem Passwort war deaktiviert.

Dieses Skript also nicht einfach so ausführen.

Ich habe zum Glück vorher einen Wiederherstellungspunkt erstellt.

Bearbeitet 14. Januar 2023 von ------

[alex123321]

Haaresträubende Threads... Du bist doch Sysadmin mit 6 Jahren Erfahrung?

 

Der Defender AV basiert seit 2017 auf einer ML-First Engine. Signaturen werden nur noch zu einem geringen Bruchteil aus Performancegründen eingesetzt. Damit ist der Defender aktuell state-of-the-art und es gibt keinen Grund ihn auszutauschen. Dazu ist er kostenlos und im OS integriert.
Vor 2017 sah das ganz anders aus. Testergebnisse gibt es von verschiedenen Anbietern Online.

 

Lass das System einfach in Ruhe. Du spielst irgendwelche Skripte ab die du irgendwo im Internet gefunden hast, möchtest Updates blockieren, etc. Bisher machst du nichts, außer dem Gegenteil des gewünschten.

Ich habs schonmal geschrieben, aber:
- MFA wo es geht
- Updates zeitnah aufspielen
- Gehirn einschalten. Insbesondere wenn es um E-Mails, Downloads (insb. ausführbare Dateien) und Logins geht.

Wo kaufst du deine Hardware bitte, dass manipulierte Hardware eine Gefahr für dich wäre?

[Dr. Octagon]

vor 11 Stunden schrieb ------:

Ich habe zum Glück vorher einen Wiederherstellungspunkt erstellt.

Hiermit hattest Du bereits die notwendigste Windows-Hardening-Maßnahme eingesetzt... bei dem anderen Zeug solltest Du Dir denken: Warum hat MS das nach all den Jahren nicht selbst umgesetzt, wenn es doch so wichtig wäre?

Viel wichtiger ist allerdings die Frage beim Einsatz von Windows 10/11, wie man Windows dazu bekommt, nicht mehr so viel "werkseitig auszuforschen/zu senden"... daher lautet meine Einschätzung zu beiden Themen: Nimm Linux.

P.S.

Hardening war vielleicht bei XP noch ne anzudenkende Maßnahme... heute haust Du Dir dabei nur immer wieder selber auf die Finger! Wenn überhaupt: Externe Tools würde ich bei sowas auch nie einsetzen... sondern schauen, was es machen würde und die Wege selber abgehen - dann lernt man auch etwas.

[Dr. Octagon]

Wenn ich das richtig verstehe, bist Du seit 6 Jahren Linux-Systemadministrator... von daher erschließt es sich mir auch nicht, wieso Du zuhause überhaupt Windows als Hauptsystem einsetzt?!

Zu Deiner "Böse-USB-Gadgets-Frage": Bei Linux (und sicher auch bei Windows von extern) gibt es gute Ansätze. Sei Dir aber bewußt, dass Du VORHER Deine Tastatur und ggf. Maus (via USB) aus der Regelung ausnimmst, sonst ist hier Dein nächstes Thema geschrieben auf einem anderen PC:

Wie meldet man sich ohne Tastatur an.

[------]

vor 3 Stunden schrieb alex123321:

Haaresträubende Threads... Du bist doch Sysadmin mit 6 Jahren Erfahrung?

 

Das bedeutet nicht gleichzeitig auch das ich im Fachgebiet Security ein Crack bin. Oder ist das unbedingt ein absolutes muss?

vor 3 Stunden schrieb alex123321:

möchtest Updates blockieren

Das habe ich nie so geschrieben oder gemeint. Ich schätze du beziehst dich auf meine Frage in einem anderen Thread wieso Updates installiert werden obwohl ich im Startmenü den Button "Herunterfahren" statt "Herunterfahren und Updates installieren" gedrückt habe. 

 

vor 3 Stunden schrieb alex123321:

Wo kaufst du deine Hardware bitte, dass manipulierte Hardware eine Gefahr für dich wäre?

Das Einkaufen ist nicht das Problem. Gemäß dem Motto "Vertraue niemandem außer dir selbst" ists aber nicht falsch eineige Szenarien in Betracht zu ziehen.

 

vor 3 Stunden schrieb alex123321:

Der Defender AV basiert seit 2017 auf einer ML-First Engine.

Was bedeutet ML-First-Engine? Machine Learning-First-Engine?

Was bedeutet das? Siganturen werden nicht mehr "von Hand" gepflegt, sondern AI übernimmt die Einschätzung und Erkennung von Risiken und Schadsoftware?

 

vor 3 Stunden schrieb alex123321:

Lass das System einfach in Ruhe. Du spielst irgendwelche Skripte ab die du irgendwo im Internet gefunden hast, möchtest Updates blockieren, etc. Bisher machst du nichts, außer dem Gegenteil des gewünschten.

 

Windows hat ziemlich viele Dienste welche aktiviert sind auch wenn ich Sie nicht benötige oder verwenden möchte.

Dies sind in meinen Augen potentielle SIcherheitsschwachstellen. 

 

vor 3 Stunden schrieb alex123321:

Testergebnisse gibt es von verschiedenen Anbietern Online.

Bisher finde ich leider überwiegend gekaufte Artikel welche dir in einem angeblichen Test nur ein Produkt schmackhaft machen möchten, daher vertraue ich gerne auf Persönliche Erfahrung.

 

vor 29 Minuten schrieb Dr. Octagon:

Warum hat MS das nach all den Jahren nicht selbst umgesetzt, wenn es doch so wichtig wäre?

Das Frage ich mich tatsächlich. Warum war die Kernisolierung, die laut darunter stehender Beschreibung das System schützt, Standartmäßig deaktiviert seit ich den Rechner gekauft und das erste mal in Betrieb genommen habe? 

 

[------]

vor 9 Minuten schrieb Dr. Octagon:

Wenn ich das richtig verstehe, bist Du seit 6 Jahren Linux-Systemadministrator... von daher erschließt es sich mir auch nicht, wieso Du zuhause überhaupt Windows als Hauptsystem einsetzt?!

Tatsächlich gibts da einen ganz stupiden Grund... Ich zocke gern ab und an mal und die Games gibts leider nicht für Linux. Und das gefrickel mit Wine und anderen Möglichkeiten ist mir dann doch zu viel ^^

 

vor 10 Minuten schrieb Dr. Octagon:

Zu Deiner "Böse-USB-Gadgets-Frage": Bei Linux (und sicher auch bei Windows von extern) gibt es gute Ansätze. Sei Dir aber bewußt, dass Du VORHER Deine Tastatur und ggf. Maus (via USB) aus der Regelung ausnimmst, sonst ist hier Dein nächstes Thema geschrieben auf einem anderen PC:

   Aktuell kenne ich nur zwei Ansätze. Ich habe von einer USB Firewall gelesen, aber keinerlei weiteres Wissen/Erfahrung dazu und ansonsten kenne ich noch seit kurzem den G DATA USB Keyboard Guard.

Kennst du weitere Möglichkeiten?

[Dr. Octagon]

vor 7 Minuten schrieb ------:

Das Frage ich mich tatsächlich. Warum war die Kernisolierung, die laut darunter stehender Beschreibung das System schützt, Standartmäßig deaktiviert seit ich den Rechner gekauft und das erste mal in Betrieb genommen habe?

Gründe sind:

• Alle Treiber müssen das neue Feature HVCI (Hypervisor-protected Code Integrity) unterstützen. Ansonsten kann es zu unerwarteten Problemen kommen.
• Im BIOS/UEFI muss unbedingt VT-d deaktiviert sein, ansonsten hängt Windows beim Booten nach Aktivierung der Kernelisolierung/Speicher-Integrität.
• Als Hinweis: Durch die Kernisolierung kann es dazu kommen, dass einige Programme nicht mehr korrekt ausgeführt werden. Hier muss man dann abwägen, ob man das Programm, oder doch die Kernisolierung nutzen möchte.

Und nun sind wir wieder beim Thema: "Warum nicht Linux?" Und zum "Zocken" ne "unsichere" Windows-Partition, falls es das ist...

Bearbeitet 14. Januar 2023 von Dr. Octagon

[------]

vor 2 Minuten schrieb Dr. Octagon:

Und nun sind wir wieder beim Thema: "Warum nicht Linux?"

Wie gesagt, zocken
 

Wo wir beim Thema sind: Welche Distro könntest du hinsichtlich Security denn empfehlen?

Ich hab die Tage zu Qubes gelesen das die aufgrund dessen das alle Anwendungen geSandboxed werden, gut sein soll.

[------]

vor 3 Stunden schrieb alex123321:

Wo kaufst du deine Hardware bitte, dass manipulierte Hardware eine Gefahr für dich wäre?

Um das nochmal kurz aufzugreifen:

Weist du wer die Hardware, die du als Refurbished kaufst, vorher in der Hand hatte?

Die kann vorher schon mehrere Besitzer gehabt haben, ohne das du es jemals erfährst.

Und fremden zu vertrauen... naja

[Dr. Octagon]

vor 9 Minuten schrieb ------:

Wo wir beim Thema sind: Welche Distro könntest du hinsichtlich Security denn empfehlen?

In Bezug auf Windows: Jede!

Zu Beginn und für Dich als "Home-Anfänger" würde ich zu Linux Mint raten... machen durchgängig gute Arbeit und läuft stabil.

Zu "Distro wegen Sandbox auswählen": Auf (fast) jeder Distro gibt es "Firejail"... schöner Ansatz!

Bearbeitet 14. Januar 2023 von Dr. Octagon

[------]

vor 5 Stunden schrieb Dr. Octagon:

Zu Beginn und für Dich als "Home-Anfänger" würde ich zu Linux Mint raten... machen durchgängig gute Arbeit und läuft stabil.

Na was heißt Home Anfänger. Ich hab schon einige Linux Distros durch und auch zuletzt lange Zeit eine nicht all so bekannte Distro genutzt.

Allerdings gehts mir ja ums Thema Sicherheit. Bei Qubes OS ist das Sandboxen Beispielsweise von Anfang an implementiert und es zeichnet sich wohl dadurch aus. Würde also eher dazu greifen und es entsprechend konfigurieren/härten.

Die Frage ist halt gibt es bessere Alternativen im Bezug auf Sicherheit oder bleibt es bei Qubes. UND was kann/sollte ich sonst noch so umkonfigurieren und beachten um potentielle Schwachstellen zu schließen/vermeiden.

 

[Dr. Octagon]

Was soll ich jetzt noch sagen? Also besser sagt Edward Snowden:

"If you're serious about security, @QubesOS is the best OS available today. It's what I use, and free."

 

[Dr. Octagon]

Ich schließe dieses Thema nun (für mich) mit "nutze diese Distro dennoch nicht" ab... muss jetzt die Schafe füttern. 

[Aeropsia]

Am 14.1.2023 um 13:28 schrieb ------:

Wie gesagt, zocken

Schon mal von Wine-GE, Proton, DXVK, futex2, Steam Play, Lutris etc. gehört?

 

Am 14.1.2023 um 19:51 schrieb Dr. Octagon:

Was soll ich jetzt noch sagen? Also besser sagt Edward Snowden:

"If you're serious about security, @QubesOS is the best OS available today. It's what I use, and free."

Qubes OS geht halt davon aus, dass das eigene System bereits gehackt ist und packt alles in eine VM.

Einen ausreichenden Schutz kann man aber auch mit AppArmor, SELinux und Firejail (Sandboxing) herstellen. Viel wichtiger ist das Patchmanagement. Deshalb würde ich vom x-ten Fork abraten und bei der "Elterndistro" bleiben, also Debian statt Mint, Arch statt Manjaro etc.  Das Ganze Konzept kann man dann noch mit einem Nitrokey ergänzen und man ist relativ safe.

 

Bearbeitet 26. Februar von Aeropsia

[------]

Am 26.2.2024 um 14:22 schrieb Aeropsia:

Qubes OS geht halt davon aus, dass das eigene System bereits gehackt ist und packt alles in eine VM.

 

Ich finde Qubes OS in der Theorie super.

Allerdings wars für mich aus Anwendersicht absolut unintuitiv und echt nicht schön.

Da ich durchgehend mit dem System arbeiten muss, sollte es optisch, ohne viel anpassung und nachinstallationen wenigstens "ok" aussehen.

Daher ist das leider raus 😕