Windows-Härten-Tools
Mit den richtigen Software-Werkzeugen verwandeln Sie Ihren Computer in eine Festung. In diesem Beitrag kommen ein paar hier unterstützend wirkende Utilitys zusammen.
Foto: iStock.com/JuSun
Uhr
Sebastian Kolar
Unter dem Härten eines Betriebssystems versteht man, diverse seiner Einstellungen so anzupassen, dass es Schädlinge und Hacker deutlich schwerer haben, einzudringen. Spezielle Programme erledigen das.
Das auf Desktop-PCs und Notebooks am weitesten verbreitete Betriebssystem ist Windows. Es steht aufgrund seiner Popularität besonders im Kreuzfeuer von Crackern (kriminellen Hackern) und Schädlingen, auch Malware genannt. Mit dem
Microsoft Defenderbringt Windows seit geraumer Zeit einen soliden Virenschutz mit, der Sie dagegen wappnet. Der alleine genügt aber nicht immer. Es ist sinnvoll, von den im Betriebssystem enthaltenen weiteren Schutzfunktionen Gebrauch zu machen, die diese Bord-Basisverteidigung ergänzen. Und auch das Deaktivieren von Systemfunktionen, die potenzielle Einfallstore darstellen, indem Sie Einstellungsänderungen vornehmen, empfiehlt sich. Das Problem der zugehörigen umlegbaren Hebel, die Ihnen eine in Summe zuweilen sehr viel bessere Abwehr verschaffen: Sie sind verstreut, es gibt nicht immer eine grafische Benutzeroberfläche, oder das Hantieren mit ihnen ist kompliziert.
Es braucht Expertenkenntnisse, um alle Funktionen respektive Einstellungen in Windows, die einem besseren Schutz dienen, zu finden, einzuschätzen und richtig zu setzen. An dieser Stelle helfen Ihnen Härtungs-Tools: Bei denen bekommen Sie unter einer Oberfläche alle möglichen entsprechenden Stellschrauben präsentiert, die Sie einfach per Mausklick für sich nutzen. Die bei diesem Härten geänderten Verhaltensweisen von Windows schränken für sich genommen den Komfort mehr oder weniger stark ein, in Summe deutlich – und sorgen auch schon mal dafür, dass am Rechner etwas nicht mehr so funktioniert, wie Sie es gewohnt waren. Die Nutzung erfolgt also auf eigenes Risiko und Sie sollten damit möglichst nur solche Dinge adjustieren, bei denen Sie mindestens grob – am besten in Gänze – eine Vorstellung davon haben, worum es dabei geht. Es ist nicht verkehrt, einen
Systemwiederherstellungspunktanzulegen, wenn Sie mit dem Härten Ihres Betriebssystems beginnen. Wer sich noch besser gegen Ungemach absichern will, erzeugt ein
Imagevon der Systempartition.
Windows-11-Lizenz für 14,90 Euro
Sichern Sie sich einen Lizenzschlüssel für Windows 11 bei Lizensio – für 14,90 statt 145 Euro (Home) oder statt 259 Euro (Pro). Sie sparen bis zu 94 Prozent gegenüber der UVP!
Nicht immer liefern Tools zum Verbarrikadieren alias Härten von Windows Erklärungen mit, sodass häufig ein gesundes Vorwissen nicht schadet. Jenseits der Namen von Tweaks (Einstellungsoptionen) zeigen sich solche Applikationen schon mal wortkarg. Im Zweifelsfall experimentieren Sie mit entsprechenden Lösungen samt einer gewissen Risikobereitschaft – mit dem richtigen Backup in der Hinterhand kann Ihnen nichts passieren.
Idealerweise finden Sie bei der Verwendung von Härtungs-Software für sich eine System-Konfiguration, die Ihren Komfort hinnehmbar (vielleicht sogar gar nicht wahrnehmbar) schmälert und zugleich das Security-Niveau nennenswert aufbohrt. Sollte das Härten nichts für Ihren PC sein, dann bietet es sich vielleicht für den Computer der Schwiegereltern oder anderer Personen an: Betreuen Sie deren Gerätschaft und sind Sie hier für die Sicherheit sowie die Zuverlässigkeit der Ansprechpartner, kommen die folgenden Utility-Empfehlungen dafür womöglich infrage.
Manche Programme zum Härten ändern Systemeinstellungen, andere bringen eigene Routinen mit und werfen mit denen samt eines Hintergrundwächters einen Blick auf Windows. Wir stellen im Folgenden Software-Helfer aus beiden Metiers vor.
OS Armor: NoVirusThanks-Software bietet Zusatzschutz für Windows
Das Tool "OS Armor" bietet einen "Configurator", in dem Sie Häkchen setzen, um in verschiedenen Windows-Bereichen die Schotten dicht zu machen. Einige Häkchen sollten schon ab Werk vorhanden sein. Wenn Sie weitere hinzufügen, verschanzen Sie Ihr OS noch weiter.
Ein paar Beispiele für Tweaks, die Programmausführungen blockieren: Es gibt welche für Remote-Access-Anwendungen wie
TeamViewerund
Anydesk, für NirSoft-Anwendungen (die häufig zu Unrecht
Virenalarmeprovozieren und zudem systemnah sowie daher potenziell heikel sind), für Python, für die PsTools aus der
Sysinternals Suite, für den Internet Explorer, für Microsoft Edge, für die
Windows-Store-App, für das
Windows-Terminal, für die Einstellungen-App von Windows, für dxdiag.exe, für den
Windows Media Player, für den
Registry-Editor(regedit.exe) und für
MSconfig.
Ein Suchfeld hilft dabei, die gewünschten englischsprachigen Tweaks zu finden, wenn Sie die Liste derer nicht durchscrollen wollen. Beim Versuch, ein Programm zu starten, das bei OSArmor sozusagen auf der schwarzen Liste steht, erfolgt eine Verhinderung des Ladevorgangs samt einer Pop-up-Benachrichtigung. Letztere kommt dadurch zustande, dass OS Armor in Form eines Hintergrundwächters im RAM (Arbeitsspeicher) mitläuft. Wie bei einem Antiviren-Programm ist es möglich, über ein Infobereich-/Tray-Icon respektive über dessen Kontextmenü das Wirken des Echtzeitschutzes zu deaktivieren und zu aktivieren, auf Wunsch gelingt zudem das temporäre Deaktivieren.
Es ergibt etwa Sinn, MSconfig zu blockieren, weil sich hierüber eine
Administrator-Kommandozeile(CMD) ohne eine
UAC-Warnmeldungaufrufen lässt; die UAC lässt sich im MSconfig-Kontext für den Erhalt einer hochgestuften CMD umgehen. PC-Anfänger richten weniger wahrscheinlich Schaden an, wenn aufseiten von OSArmor unterschiedliche mehr oder weniger tief in das System eingreifende Bord-Tools gesperrt sind. Ein geblockter TeamViewer gräbt indes
Telefon-Betrügern (Scammern)das Wasser ab.
In unserem Test ließ sich der Windows Media Player über diverse
Ausführen-Dialog-Befehle(Win-R-Fenster) nicht mehr aufrufen, als ihm das Laden erst einmal verboten war: Die Kommandos "wmplayer, "mplayer2" und "dvdplay" führten nicht zum Erfolg. Das Blockieren von
NTVDMerscheint heutzutage wiederum überflüssig: OSArmor bietet dies an, doch nur 32-Bit-Betriebssysteme führen hierüber noch 16-Bit-Software aus; 64-Bit-Systeme sind hierzu mangels dieses Subsystems nicht mehr in der Lage. Und Windows 11 gibt es nur noch mit der 64-Bit-Architektur; Windows 10 existiert zwar noch unter anderem als 32-Bit-OS,
es erhält aber nur noch bis 2025 Updates.
Nicht nur mit OSArmor verhindern Sie die Ausführung von Microsoft Edge, dies gelingt fernerhin mit dem Sordum-Tool "
Edge Blocker". Der Unterschied: OSArmor blockiert nur MS Edge. Der Edge Blocker legt
WebView2an die Leine – die Runtime von Microsoft Edge, aber auch von anderen Browsern. Infolge der Nutzung des Edge Blockers streichen neben Microsoft Edge einige weitere WebView2-basierte Programme die Segel, unter anderem der
DuckDuckGo Browser.
Riot Isolator: Screenshot-Schutz und mehr
Der Riot Isolator vereint ein Arsenal an Schutzmodulen, die sich gut als Bonus zu einem Antivirus machen: Anti-Bildschirmaufnahme,
Anti-Keylogger, Anti-Webkamera, Anti-Exploit und mehr. Windows-Einstellungen werden dabei keine verändert – sodass der Einsatz sicherlich glimpflich über die Bühne geht.
Hardentools: Windows Script Host, LibreOffice & Co. absichern
Die Hardentools setzen bei der Windows-Benutzerkonten-Steuerung (UAC) an, die Sie hierüber auf die höchste Schutzstufe stellen. Im Hinblick auf
LibreOfficeerzwingen Sie, dass in Dokumenten Hyperlinks nur dann Webseiten aufrufen, wenn Sie beim Anklicken derer die Strg-Taste gedrückt halten.
Die Software bietet noch weitere LibreOffice-Tweaks und auch welche hinsichtlich
Windows Script Host, Office-Makros, Office ActiveX und
Adobe Reader.
Dateiendungenin Windows blenden Sie ein, alternativ zur Nutzung der
Ordneroptionendes Explorers.
Am besten führen Sie die Hardentools mit Administrator-Rechten aus, also per Rechtsklick auf das EXE-File der portablen Applikation und durch die Wahl von "Als Administrator ausführen". So stehen darin mehr Einstellungsschalter zur Verfügung. Nach dem Start legen Sie los, indem Sie ein Häkchen vor "Show Expert Settings" setzen. So bekommen Sie die diversen unterstützten verstellbaren OS- und Drittanbieter-Software-Parameter angezeigt.
Ultra Virus Killer: System-Immunisierung ausführen
Der Ultra Virus Killer ist funktional reichhaltig. Es ist unter anderem ein Modul enthalten, das Windows und externe Programme vor Veränderungen bewahren soll. Diese Immunisierung umfasst den Windows-Autostart, die
Windows-Hosts-Datei, den Internet Explorer und den Windows Explorer, ferner Google Chrome, Mozilla Firefox und Microsoft Edge. Der Schreibschutz der Hosts-Datei arbeitete in unserem Test so, wie er sollte – ein administrativ ausgeführtes notepad.exe bekam keine Modifikation daran mehr hin.
Des Weiteren ist der Anti-Spyware-Klassiker "
Spybot" eine Erwähnung wert, mit dem es auf Knopfdruck gelingt, in die Hosts-Datei von Windows massenweise Domain-Adressen von fragwürdigem Web-Terrain einzutragen, um dessen Ansteuerung browserweit zu unterbinden. Dies firmiert hier unter Immunisierung.
Ashampoo WinOptimizer 26: Beliebige Programme am Starten hindern
Der Ashampoo WinOptimizer 26 greift in die Registry ein und bewirkt auf diese Weise, dass bestimmte unliebsame Programme startunfähig sind. Dieses Härten-Feature verbirgt sich in der Anwendungs-Oberfläche/-GUI unter "Alle Module > Benutzer-Rechte einschränken > Anwendungen". Dort steuern Sie den Button "Hinzufügen" an und klicken doppelt auf eine Software, deren EXE-Datei an ihrem Aufruf gehindert sein soll. Mit Klicks auf "Einschränkungen setzen > Ja" bestätigen Sie. Melden Sie sich bei Windows ab und wieder an, sollte der jeweilige Code nicht mehr ins RAM gelangen können.
Auf Wunsch setzen Sie im selben Dialog zudem ein Häkchen vor "Zugriff auf Anwendung 'Taskmanager' sperren", wenn Sie dieses durchaus systemkritische Verwaltungsinstrument für OS-interne Prozesse unter Verschluss halten möchten. Das geht überdies manuell, ist dann aber mit mehr Aufwand verbunden; siehe hierzu auch den Artikel "
Windows-Funktionen sperren: CMD, Task-Manager und Registry-Editor".
O&O ShutUp10++: Windows verschwiegener machen
Mit dem portablen O&O ShutUp10++, das früher O&O ShutUp 10 hieß, gewöhnen Sie Windows 10 und Windows 11 die Telemetrie ab. Das Privacy-Tool sorgt dafür, dass die Systeme weniger Daten sammeln und weniger Informationen ins Internet senden. Es existieren verschiedene Presets, derer Sie sich bedienen, wenn Sie nicht manuell im kleinsten Detail Hand bei der OS-Konfiguration anlegen wollen.
Eine Suchfunktion für die gewünschten Tweaks ist auch hier eingebettet. Seit dem letzten Programmstart geänderte Windows-Settings hebt die Software optisch hervor: So wissen Sie, dass zum Beispiel ein OS-Feature-Update oder eine Drittanbieter-Software seit der letzten Benutzung der Applikation eine Modifikation vorgenommen hat. Den bei Ihnen vorliegenden Satz an Systemeinstellungen sichern Sie auf Wunsch in eine CFG-Datei und stellen ihn hierüber mithilfe eines Import wieder her. Das funktioniert an demselben PC wie auch an einer anderen Maschine.
O&O ShutUp10++ herunterladen
ESET SysInspector und AVG Antivirus Free: DEP einschalten
Ein weiteres Tool, das sich eine Empfehlung verdient hat, stellt der
ESET SysInspectordar. Er aggregiert mithilfe eines Scans eine ganze Reihe von Informationen zu Windows-Internem. Die nötigen Kenntnisse vorausgesetzt, ziehen Sie aus dem erzeugten Report Ihre Schlüsse und haben die Möglichkeit, händisch einzugreifen. Mit der ESET-Freeware bewerten Fachkundige, ob eine vorliegende Windows-Installation in diversen Punkten sicher ist.
Das kostenfreie Antiviren-Tool "
AVG Antivirus Free", das die Technik von Avast Free nutzt, erkennt, ob die wichtige Windows-Schutzfunktion "Datenausführungsverhinderung" (
DEP) abgeschaltet ist. Falls ja, aktivieren Sie sie hier per Mausklick wieder.
Es lohnt sich, in der Oberfläche Ihres Antiviren-Tools (AVs) – unabhängig davon, ob es nun von AVG oder von einer anderen Marke stammt – zu schauen, ob sich darin Hinweise zu Einstellungen finden, die es im Sicherheits-Kontext anzupassen gilt. Mitunter spendieren die AV-Anbieter ihren Produkten neben der obligatorischen Malware-Abwehr-Engine einige Bonus-Features, zu denen gehört, die Fühler hinsichtlich der OS-Konfiguration auszustrecken.