Windows unzerstörbar machen: Windows 10 (und Windows 7, 8.1) härten

Download: Acronis True Image 2021 (merkt sich mit "Try & Device" Änderungen und verwirft sie per Klick)

Die gute Nachricht: Gegen die meisten Webbedrohungen gibt es Schutz. Ein Antivirenprogramm haben alle PCs seit Windows 8 an Bord. Ausgefeilte Schadprogramme können es umgehen, ebenso kann dies ein User, der Warnmeldungen bewusst in den Wind schlägt (vermuteter Fehlalarm oder Mut zum Risiko). In diesem Artikel stellen wir Ihnen Methoden vor, bei denen Ihr PC trotz unvorsichtigen Verhaltens sauber bleibt. Wenden Sie sie kombiniert oder einzelne davon an, eröffnen sich neue Nutzungsmöglichkeiten: Surfen auf schmutzigen Websites ohne Reue? Kein Ding. Hemmungslos experimentieren und Windows bleibt intakt? Dank Virtualisierung und unzerstörbarer Benutzerkonten kein Wunschdenken mehr.

» Acronis True Image – Backup-Suite mit "Try & Decide"
» Avira Free Security – kostenloses Antivirenprogramm
» Avast Free Antivirus – kostenloses Antivirenprogramm
» AVG Free AntiVirus – kostenloses Antivirenprogramm
» BitBox (Browser in the box, Firefox-Edition) – virtualisiert surfen
» BitBox (Browser in the box, Chrome-Edition) – virtualisiert surfen
» EMET – Programme mit Schutzfunktionen versehen
» Sandboxie – Programme abgeschottet ausführen
» VirtualBox – Betriebssysteme virtualisieren
» Adobe Acrobat Reader DC – Standard-PDF-Reader
» Foxit Reader – populärer alternativer PDF-Reader
» Sumatra PDF – schlanker PDF-Reader
» Google Chrome – moderner Browser
» NoScript für Chrome – deaktiviert JavaScript
» Browser Kiosk Mode Creator – Kindersicherung für Firefox, Chrome, IE
» VodooShield – Änderungen am System verwerfen
» Process Explorer – Programme auf ihre Sicherheit prüfen
» SUMo – Update-Manager
» Revo Uninstaller – unsichere (Beta-)Programme deinstallieren
» Windows-Update reparieren – System-Updates wieder ermöglichen
» Spybot – Search & Destroy – Anti-Spyware-Tool inklusive Immunisierung
» Windows 10 64 Bit – modernes Betriebssystem samt DEP
» ZoneAlarm Free Firewall – Personal-Firewall

Legen Sie ein zweites Windows-Benutzerkonto an und modifizieren es, gehen Änderungen daran verloren, sobald Sie sich abmelden. Ideal ist das für kleinere Experimente und für Gäste. Da Sie dabei mit einem eingeschränkten Benutzerkonto arbeiten, sind die Rechte beschränkt: Programminstallationen lassen sich nicht vornehmen; größere Änderungen an Windows sind unmöglich; einige Bordmittel bieten nur eingeschränkte Funktionalität. Wichtig: Versehen Sie Ihr Verwalterkonto (Administrator-Account) mit einem Passwort, damit Gäste sich die fehlenden Rechte bei UAC-Abfragen nicht einfach durch Drücken der Eingabetaste aneignen können.

Windows 7/8/10: So erstellen Sie unzerstörbare Benutzerkonten

Die Installation eines Antiviren-Tools ist zweitrangig, da Windows 8 und höher eines mitbringen. Laut jüngsten Tests unter Windows 10 schützt der Windows Defender hinreichend gut vor Schadprogrammen. Vertrauen Sie dem Defender nicht, etwa weil Sie Angriffe seitens Malware auf ihn befürchten? Schadcode nutzte bereits Lücken in Antiviren-Software. Dann installieren Sie eine Alternative, etwa Avira Free Security (ehemals Avira Free Antivirus und Avira AntiVir Personal). Alternativen sind Avast und AVG. Beide bringen einen Passivmodus mit, dank dem Sie sie zusätzlich (!) zu einem Konkurrenz-Antivirenprogramm nutzen können. Mehr zum Passivmodus lesen Sie im Artikel Windows: Mehrere Antivirenprogramme gleichzeitig – geht das gut?.

Eine Ergänzung zu Antiviren-Software ist SpyBot: Es eliminiert Spyware und bietet eine Immunisieren-Funktion. Mit ihr tragen Sie in die Windows-Hosts-Datei die Adressen einiger gefährlicher Websites ein. Diese sind anschließend browserweit blockiert.

Aktualisieren Sie Windows und Ihre Programme, um Sicherheitslücken zu schließen, dann müssen zusätzliche Schutzmaßnahmen nicht greifen, da Sie bereits abgesichert sind. Nutzen Sie noch Windows 7, sollten Sie kostenlos auf Windows 10 umsteigen. So umschiffen Sie das Problem, dass Ihren PC aufgrund von ausbleibendem Update-Support (seit 14. Januar 2020) keine neuen Updates mehr erreichen.

Bis einschließlich Windows 8.1 starten Sie die Update-Suche über Win-R und wuapp. Bei Windows 10 suchen Sie im Startmenü nach "nach updates suchen", öffnen den Treffer und klicken in der Einstellungen-App auf die Schaltfläche "Nach Updates suchen".

Installierte Programme prüfen Sie mit SUMo auf Aktualität. Aktualisieren Sie sie manuell. Mit Revo Uninstaller deinstallieren Sie überflüssige Programme, um die Angriffsfläche zu reduzieren – nehmen Sie sich etwa Anwendungen vor, die keine Updates mehr erhalten oder deren neueste Version kostenpflichtig ist. Revo Uninstaller deinstalliert gründlicher als Windows, da er Entfernungsreste im Dateisystem und in der Registry löscht. Sinnvoll ist der Einsatz eines 64-Bit-Windows, denn hier laufen 64-Bit-Programme mit der Schutzfunktion DEP. Mit dem Process Explorer kontrollieren Sie, ob laufende Prozesse DEP verwenden. Bei 32-Bit-Prozessen ist dies optional. Der Revo Uninstaller gibt indirekt einen Hinweis zu DEP. Er zeigt in der Tabelle Ihrer installierten Programme deren Bit-Architektur. 32-Bit-Software sollten Sie mit Process Explorer unter die Lupe nehmen, bei denen aktivieren die Programmierer DEP nur optional.

Mit Sandboxie führen Sie Programme isoliert ("im Sandkasten") aus: Ziehen Sie eine EXE- oder eine Verknüpfungsdatei in Sandboxie, startet die Anwendung abgeschottet. Sie kann keine Änderungen an Windows vornehmen. Das eignet sich zum sicheren Surfen, zum Ausprobieren neuer Anwendungen (wie unausgereiften Betas) und um Datenmüll zu vermeiden. Anhand eines gelben Rahmens um ein Fenster erkennen Sie, dass es unter dem Sandboxie-Schutzmantel läuft. Dass Sandboxie funktioniert, testen Sie, indem Sie darüber einen Browser starten und über ihn einen Datei-Download versuchen. Das File sollte nicht am angegebenen Ort im Dateisystem landen.

Download: Sandboxie herunterladen

Google Chrome eignet sich aufgrund seiner modernen Architektur zum sicheren Surfen. Es arbeitet mit Sandboxing. Dabei sind Tabs voneinander und vom Betriebssystem abgeschottet. Früher betraf das auch das Flash-Plug-in. Die Tabs haben eingeschränkte Rechte und laufen (erkennbar mit einem Klick in den Windows-Task-Manager) in eigenen Windows-Prozessen. Es ist in Websites eingebetteten Schadprogrammen (Exploits) erschwert, auf Windows zuzugreifen. Zur Sicherheit von Google Chrome trägt bei, dass der Anbieter in seinem Client mit Updates regelmäßig Lücken stopft.

Download: Google Chrome (64 Bit) herunterladen

» Der sicherste Browser: Test von Firefox & Co.

Mit NoScript für Chrome machen Sie den Google-Browser noch sicherer, denn damit blockieren Sie potenziell riskantes JavaScript. Weitere Infos finden Sie im Ratgeber JavaScript deaktivieren: So geht es in Firefox, Chrome, Opera, Edge und IE.

Download: NoScript für Chrome herunterladen

Heute dienen oft Browser als PDF-Reader – mit Updates halten Sie ihn sicher. Nutzen Sie hingegen einen dedizierten PDF-Anzeiger, sollten Sie auf die Einstellungen achten und eventuell zu einem Nischenprodukt greifen. Weit verbreitet und daher eine Zielscheibe für Angreifer ist Adobe Acrobat Reader DC. Verwenden Sie ihn, sollten Sie in ihm per Strg-K die Einstellungen und dort "Sicherheit (erweitert)" aufrufen. Vergewissern Sie sich, dass bei "Sandbox-Schutz" ein Haken vor "Geschützten Modus beim Start aktivieren" gesetzt ist. Ergänzen Sie ihn gegebenenfalls und wählen Sie "Ja > OK". Laut Adobe können so "schädliche PDF-Dokumente weder beliebige Anwendungsdateien ausführen noch in Systemverzeichnisse oder in die Windows-Registrierung schreiben".

Download: Adobe Acrobat Reader DC herunterladen

Weniger verbreitet als die Adobe-Lösung ist der Foxit Reader. Er ist für Angreifer aber mittlerweile interessanter als früher. Daher sollte auch er abgeschottet laufen: Unter "Datei > Einstellungen > Trust Manager" finden Sie die Option "Sicheren Lesemodus aktivieren". Dort sollte ein Häkchen gesetzt sein. "Foxit empfiehlt, diesen Modus zu aktivieren, um unbefugte Aktionen und Datenübertragungen … zu kontrollieren und Angriffe durch schädliche Dokumente gezielt zu verhindern."

Download: Foxit Reader herunterladen

Alternativ nutzen Sie ein anderes PDF-Programm. Weniger Speicherplatz und eine geringere Verbreitung hat Sumatra PDF. Die Funktionen beschränken sich auf das Wesentliche. Daher ist das Tool schlank und schnell. Sicherheitslücken finden sich vermutlich wenige; Angreifer dürften sich eher selten auf die Anwendung fokussieren.

Download: Sumatra PDF herunterladen

Die Windows-Registry erlaubt Ihnen, Programme zu blockieren: Möglich sind Black- und Whitelists. Bei einer Blacklist geben Sie an, welche Programme nicht mehr startfähig sein sollen – alle anderen bleiben intakt. Umgekehrt funktioniert die Whitelist, bei der Sie erlaubte Programme definieren und zugleich die anderen blockieren.

Programmstarts blockieren: So bauen Sie ein Hochsicherheits-Windows

Einige Schadprogramme blockieren den Task-Manager, um zu verhindern, dass Sie sie beenden. Machen Sie es wie die Malware: Blockieren Sie das Bordmittel über die Registry, treiben etwa Besucher damit kein Schindluder. Sie öffnen den Registry-Editor mit Win-R und regedit und navigieren zum folgenden Schlüssel:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies

Legen Sie mit "Bearbeiten > Neu > Schlüssel" den Key System an. Ebenfalls über die Menüleiste ("Bearbeiten > Neu") erstellen Sie den DWORD-Wert DisableTaskmgr und weisen ihm nach einem Doppelklick darauf den Wert 1 zu.

Gängige Browser versetzen Sie mit der F11-Taste in den Vollbildmodus. Überlassen Sie Ihren PC einem Anfänger, weiß er wohl nicht, dass er aus dem Modus mit [F11] ausbricht. So ist er im Browser "gefangen" und hat keinen Zugriff auf Windows. Besseren Schutz verschafft Ihnen der Kiosk-Modus von Firefox, Google Chrome und Internet Explorer: Rufen Sie sie mit einem Parameter auf, starten die Clients ebenfalls im Vollbildmodus – den User aber mit [F11] nicht wieder verlassen. Das geht nur etwa mit Alt-F4, der Windows-Taste oder dem Task-Manager. Wir haben ein Skript programmiert, das die installierten Browser erkennt und auf dem Desktop passende Kiosk-Modus-Aufrufverknüpfungen anlegt. Die Verknüpfungen erhalten passende Benennungen:

Download: Browser Kiosk-Mode-Creator herunterladen

Bei Windows 7/8 ging das noch nicht: Seit Windows 8.1 Pro versetzen Sie ein Benutzerkonto in den Kiosk-Modus. Der prädestiniert Windows-8.1- und Windows-10-PCs für den "Digital Signage"-Einsatz – also die Nutzung als elektronische Anzeige- oder Werbetafel. Normale Desktop-Programme lassen sich nicht verwenden, nur die funktional meist schwächeren Apps. Es funktionieren solche aus dem Bordmittel-Bestand und nachträglich installierte. Ein Vorschlag: Lassen Sie nur die Nutzung eines Browsers, einer Mal-App oder eines Taschenrechners zu.

» Windows-Kiosk-Modus: Geführter Zugriff sperrt alle Programme bis auf eines

Einst gab es eine Windows-10-S-Version, die nur Apps aus dem Store ausführte. Derweil ist Windows S zu einem Modus geworden, in dem einige Notebooks daherkommen; bei denen wechseln Nutzer kostenlos in den regulären Windows-10-Home- oder -Pro-Betrieb. Das ist nicht rückgängig zu machen. Jedoch ist es möglich, ein normales Windows 10 in einen S-ähnlichen Betrieb zu versetzen. Das geht seit Windows 10 1703 (Creators Update). Sie öffnen etwa bei Windows 10 20H2 (Oktober 2020 Update) mit Windows-i die Einstellungen-App und per Klick die Kachel "Apps". Oben bei "Quellen für das Abrufen von Apps auswählen" klappen Sie das Drop-down-Menü auf und wählen statt "Überall" (Standardeinstellung) "Nur Microsoft Store (empfohlen)". Versuchen Sie nun testweise, aus dem Downloads-Ordner eine EXE-Datei aufzurufen: Bei manchen Applikationen scheitert das jetzt. Dann erscheint eine Meldung, in der Sie per Klick auf "Apps aus dem Store beziehen" die App-Store-App aufrufen und darin nach Alternativen zur aufzurufenden Software suchen. Oder Sie gehen auf den Link "Meine Empfehlungseinstellungen für Apps ändern" und lockern die Richtlinie wieder.

Installieren Sie ein Programm, fragt die Benutzerkonten-Steuerung (UAC, User Account Control), ob Sie den Vorgang zulassen wollen. Das bejahen oder verneinen Sie. So halten Sie mitunter Schadcode-Installationen auf. Auch bei Systemänderungen schlägt UAC Alarm. Soll sie häufiger nachfragen, damit Sie gezielter Einfluss auf Hintergrundaktivitäten nehmen können? Dann erhöhen Sie die Schutzstufe von der zweitbesten (Standard) auf die höchste. Danach nervt Windows aber womöglich:

Windows 7/8/10: UAC-Stufen – welche Einstellung ist die richtige?

Legen Sie einen Wiederherstellungspunkt an, spielen Sie Windows im Schadensfall zurück. Das erfolgt etwa über Win-R und sysdm.cpl. Wechseln Sie auf die Registerkarte "Computerschutz". Dort schalten Sie die Systemwiederherstellung womöglich erst noch ein (nötig bei Windows 10). Mit "Erstellen" legen Sie einen Sicherungspunkt an. Per Klick auf "Systemwiederherstellung" oder mit Win-R und rstrui öffnen Sie einen Assistenten, über den Sie Ihr System auf einen früheren Stand zurücksetzen.

Die Systemwiederherstellung haben Sie mit einem Trick im Schnellzugriff: Erstellen Sie per Rechtsklick auf den Desktop mit "Neu" eine "Verknüpfung", als Dateinamen geben Sie rstrui ein. Das funktioniert bei Windows 7/8.1/10, das Folgende bietet sich als Ergänzung an – funktioniert aber bei Windows 10 nicht: Binden Sie die Systemwiederherstellung in das Kontextmenü des Startmenü-Eintrags "Computer" (Windows 7) respektive "Dieser PC" (Windows 8.1) ein. Hierfür öffnen Sie den Registry-Editor mit Win-R und regedit und drücken Strg-F. Suchen Sie nach dem folgenden Schlüssel:

{20D04FE0-3AEA-1069-A2D8-08002B30309D}

Klappen Sie den Fund aus und klicken Sie mit der rechten Maustaste auf den shell-Unterschlüssel. Wählen Sie "Neu > Schlüssel" und geben Sie als Namen etwa "Systemwiederherstellung" ein. Klicken Sie mit der rechten Maustaste auf den Key, wählen Sie "Neu > Schlüssel", geben Sie command ein und klicken Sie im rechten Fensterbereich doppelt auf den Eintrag "(Standard)". Geben Sie nun den Pfad C:\windows\system32\rstrui.exe ein. Bei Windows 10 scheitert dieser Tipp, da sich der erste Registry-Key (etwa "Systemwiederherstellung" genannt) nicht anlegen lässt.

Die wohl effektivste Schutzmethode für Windows: Installieren Sie es in VirtualBox, dann läuft das System innerhalb eines Fensters des Virtualisierers. So nutzen Sie auch ältere Betriebssysteme (Gäste) parallel zu Ihrem Haupt-Windows (Host). Die OS teilen sich die PC-Leistung. Praktisch sind die Sicherungspunkte: Legen Sie welche an, machen Sie Änderungen binnen Sekunden ungeschehen. Ein Tutorial finden Sie hier: VirtualBox-Snapshots: Wegwerf-Windows – experimentieren und hemmungslos surfen.

Download: VirtualBox herunterladen

Das kostenpflichtige Acronis True Image gilt als bestes Backup-Programm. Eine praktische Funktion ist "Try & Decide" (Ausprobieren und Entscheiden). Der Anbieter umschreibt das Feature in einem HTML-Hilfedokument treffend als Probiermodus. Einmal aktiviert, registriert die Anwendung Änderungen am PC-System; hierzu gehören Installationen, Treiber-Updates und Virusinfektionen. Glauben Sie, Ihr PC ist kompromittiert, rufen Sie das "Try & Decide"-Modul erneut auf. Sodann wählen Sie, ob Sie die Unterschiede seit dem Einschalten behalten oder verwerfen wollen.

Einige Tipps: Vermeiden Sie eine Laufwerksfehler-Überprüfung (chkdsk.exe) und eine Defragmentierung während der "Try & Decide"-Nutzung. Verzichten Sie außerdem auf BitLocker-verschlüsselte Laufwerke. "Try & Decide" ist auch nach einem Windows-Neustart noch aktiv. Nachteile: Die System-SSD füllt sich und der PC arbeitet etwas langsamer.

Download: Acronis True Image herunterladen

Einen UEFI-GPT-PC vorausgesetzt, machen Sie die Inhalte einer Partition unlöschbar. Ein Ratgeber erklärt, wie es funktioniert. Eine Alternative ist ein Datei-Schreibschutz: Damit verhindern Sie, dass sich Dateien durch gleichnamige Pendants ersetzen lassen. Dieser Schutz ist weniger effektiv, eine Anleitung haben wir hier veröffentlicht.

Mit dem bordeigenen Hacker-Schutz "Windows Defender Firewall" verhindern Sie, dass Programme auf das Internet zugreifen. Wie Sie das einrichten, lesen Sie hier: Windows-Firewall: Einstellungen aufrufen und Tipps zur Konfiguration. Die Installation einer Firewall-Alternative ist nicht mehr so wichtig, die Windows-Brandschutzmauer genügt meist. Vertrauen Sie ihr nicht, installieren Sie etwa ZoneAlarm Free Firewall. Misstrauen Sie Microsoft und Windows generell, sollten Sie sich mit Linux beschäftigen.