Die Windows-Festung

Bereits seit Windows 10 haben Nutzer viele gute Sicherheitsfunktionen im Betriebssystem zur Verfügung. Allerdings sind diese nicht immer aktiv oder korrekt eingestellt. Wir haben für Sie zehn Sicherheitstipps für Windows 10/11 zusammengestellt, mit denen Sie Ihren Schutz verbessern.

Der Antivirus-Schutz Defender von Windows arbeitet sehr gut und effektiv gegen digitale Schädlinge. Daher sollten Sie sich überlegen, ob Sie auf eine alternative Schutzlösung setzen wollen oder ob Ihnen der Defender ausreicht. Mit im Paket ist die klassische Abwehr gegen Viren & Co., ein Ransomware-Schutz, eine Firewall und ein angekoppelter Browserschutz in Edge, Bild 1.

Alles in allem ist das ein starkes Paket, das auch in Labortests immer wieder gut abschneidet, etwa bei av-test.org.

Der Defender hat nur ein paar Nachteile in seiner Verwaltung. Während andere Schutzpakete für Windows alles unter einem Dach anbieten, gibt es keine wirkliche Schutzzentrale in Windows. Das meiste findet sich zwar unter Windows-Sicherheit, allerdings gibt es nicht wie bei anderer Software Unterpunkte und Ein- und Ausschalter.

Nutzen Sie deshalb die praktische Gratis-Software Defender UI (defenderui.com). Sie läuft unter Windows 10 und 11. Damit erweitern Sie zum Beispiel den Ransomware-Schutz der Systemordner um eigene Ordner. Im Tool können sie auch genau steuern, wann Windows Defender das System scannen soll.

Diese Tipps und noch viele mehr zur Steuerung von Defender UI und Windows Defender finden Sie auch im PCtipp 8/2024, S. 12, oder via Link go.pctipp.ch/3378.

Windows hat eine gut funktionierende Fernsteuerungsfunktion, den Remote-Desktop (kurz RDP). Diese ist in der Regel unter Windows aktiviert. Allerdings: Sehr viele Hacker-Angriffe nutzen diese Funktion, um in PCs und Netzwerke einzudringen. Wenn Sie RDP nicht brauchen, sollten Sie es zur Erhöhung der Windows-Sicherheit abschalten, Bild 2.

Das geht sehr einfach: In Windows 10 geben Sie im Start-Menü die Bezeichnung
Remotedesktopermittlung ein, unter Windows 11 heisst es Einstellungen für Remote Desktop. Öffnen Sie die Einträge. Die beiden Fenster sind sehr ähnlich. Sie bieten den Schalter Remote Desktop aktivieren. Schieben Sie diesen auf Aus und niemand hat mehr Zugriff per RDP.

Das Netzwerkprofil ist sehr mächtig und besonders für Notebook-Nutzer wichtig, die öfter unterwegs sind. In den Einstellungen verwalten Sie, wie sich ihr Netzwerkadapter in den Netzwerken Öffentlich und Privat verhalten soll. In der Regel passen die meisten dieser Einstellungen. Wenn Sie allerdings mit dem Rechner oder Notebook in ein anderes Netzwerk gehen, kann es sein, dass das Profil Privat aktiv ist. Damit ist ihr Rechner nicht nur sichtbar, sondern (zumindest der Tauschordner) erreichbar. Öffentliche Angriffe über WLANs haben so bereits stattgefunden.

Wenn Sie viel unterwegs sind und andere Netzwerke nutzen, können Sie mit wenigen Klicks ihr Netzwerk besser sichern: Schalten Sie beim Profil Privat die Netzwerkerkennung aus. Somit sind Sie zwar im Netzwerk, aber nicht ohne weiteres auffindbar. Dazu geben Sie in Windows 10 unter Start einfach Netzwerkstatus ein, klicken auf Netzwerk- und Freigabecenter und auf Erweiterte Freigabeeinstellungen. Dort im Profil Privat schalten Sie die Netzwerkerkennung aus.

Bei Windows 11 geht das fast genauso. Geben Sie bei Start den Begriff Einstellungen ein, klicken Sie im Statusfenster auf Ethernet und Eigenschaften Privates Netzwerk. Hier wechseln sie zu Öffentliches Netzwerk, Bild 3. Der Wechsel zurück ist genauso einfach.

Dank der Benutzerkontensteuerung von Windows (User Account Control, kurz UAC) gibt es seit Windows 10 eine besondere Schutzschicht. Sie erschwert Angreifern die Installation von Software oder die Veränderung von wichtigen Einstellungen. Sobald Sie etwa eine Anwendung installieren, verdunkelt sich der Bildschirm und eine Meldung wird eingeblendet, bei der Sie zustimmen müssen, da Sie der Administrator sind.

Die UAC-Steuerung bietet vier Einstellungen an, wobei in der Regel die dritte von vier Stufen aktiv ist. Bei Stufe 1 gibt es keinen Hinweis, wenn Software installiert oder eine Systemänderung vorgenommen wird. Diese Einstellung ist keinesfalls zu empfehlen.

Die voreingestellte dritte Stufe ist ein Kompromiss zwischen Sicherheit und Bequemlichkeit. So wird man als Nutzer immer informiert, wenn Apps Veränderungen am System vornehmen. Allerdings: Wenn ein Angreifer eine Windows-Anwendung übernimmt und etwas verändert, geschieht das im Namen des Administrators – also in Ihrem Namen – und es gibt keine Benachrichtigung im System, der Sie zustimmen müssen.

Unser Tipp: Lassen Sie sich immer informieren und schieben Sie den Einstellungs­regler auf die Stufe 4, also nach ganz oben, Bild 4. Ab sofort informiert Sie das System bei jeder Änderung.

Geben Sie dazu in Windows 10 und 11 bei Start einfach UAC ein und wählen Sie Einstellung der Benutzerkontensteuerung ändern. Jetzt schieben Sie den Regler ganz nach oben, klicken auf OK und bestätigen noch die weitere Abfrage mit OK.

Das Windows-Tool BitLocker ist ein sehr effektives Werkzeug, um Festplatten zu verschlüsseln. Allerdings: Es steht unter Windows erst ab der Version Pro zur Verfügung. Wenn Sie keine Pro-Version haben, aber die Funktion unbedingt nutzen wollen, können Sie den Windows-Key ändern. Das kostet Sie unter Windows 10 weniger als 10 Franken und beim Wechsel von Windows 11 Home auf Pro etwa 30 Franken.

Das Verschlüsseln eines Laufwerks ist sehr einfach: Geben Sie im Start-Menü den Begriff Bitlocker ein und starten Sie das Tool. In der Übersicht sehen Sie alle vorhandenen Laufwerke Ihres Windows-PCs. Suchen Sie das gewünschte Laufwerk aus und klicken Sie daneben auf den Eintrag BitLocker aktivieren. Das System verlangt nach einem neuen Passwort, das Sie auch bestätigen müssen. Das Passwort sollte recht stark sein, mit Grossbuchstaben, Zahlen und Sonderzeichen. Nach der Angabe des Passworts bietet Ihnen die weitere Abfrage das Sichern des Wiederherstellungsschlüssels an. Diesen sollten Sie als Datei aufbewahren und auch ausdrucken. Nur so können Sie das Laufwerk wieder entschlüsseln.

Wenn Sie das ganze Betriebssystem verschlüsseln, kommen Sie nach dem Booten nur noch mit dem Passwort in das System. Vielleicht sollten Sie daher nur ein Laufwerk mit persönlichen Daten verschlüsseln und nicht alle Windows-Daten.

Sehr interessant ist übrigens die Funktion BitLocker To Go. Damit können Sie einen USB-Stick oder einen anderen mobilen Speicher verschlüsseln. Ein mit BitLocker To Go verschlüsselter USB-Stick kann sogar auf
einem Windows-Home-System geöffnet werden. Obwohl die Windows-Home-Version keine BitLocker-Verschlüsselung unterstützt, kann sie BitLocker-verschlüsselte Laufwerke lesen und entsperren, sofern das richtige Passwort oder der Wiederherstellungsschlüssel vorhanden ist, Bild 5.