Spitzelfunktionen und Sicherheitslücken in Microsoft Windows XP

Transcription

Spitzelfunktionen und Sicherheitslücken in Microsoft Windows XP
Spitzelfunktionen und Sicherheitslecks in Microsoft Windows XP
Spitzelfunktionen und Sicherheitslücken
in Microsoft Windows XP Service Pack 1:
Spyware erkennen, abschalten und deinstallieren
Veröffentlicht unter http://www.ppc.coolplatz.de (Stand: Juli 2004)
Copyright © 2004 Marcus Gebler (chaoshammer@web.de)
Spitzelfunktionen und Sicherheitslecks in Microsoft Windows XP
VORWORT
Man möchte nicht meinen, auf wie vielfältige Weise Microsoft oder deren Partnerfirmen Zugriff auf Daten und Informationen des
hauseigenen Windows-PCs zurückgreifen können. Ob es nun Spionage der lokalen Festplatte oder der Verlauf der besuchten
Internetseiten ist, Windows XP hat zum Bedauern vieler Anwender die unangenehme Angewohnheit sehr Freizügig mit diesen
Daten umzugehen und eigentlich bei jeder nur denkbaren Möglichkeit dies den Server seines Hersteller übermitteln zu wollen.
Da viele Benutzer diese Spitzelfunktionen oder Sicherheitslücken im Betriebssystem gar nicht oder nur teilweise kennen und
diese meist nicht direkt über die grafische Benutzeroberfläche deaktiviert werden können, soll hier ein kleiner Leitfaden gelegt
werden, um den unbeliebten Mittelmann einen Maulkorb aufzusetzen. Viele dieser Funktionen lassen sich über die Windows
Registrierung manuell an- oder ausschalten. Ich möchte nur noch einmal daran erinnern, dass die Bearbeitung der Windows
Registry bei falscher Handhabung gravierende Fehler hervorrufen und dann oftmals nur noch eine komplette Neuinstallation des
Computers helfen kann. Befolgt man aber Schritt für Schritt die Anweisungen hier, fährt man sicher.
Dieses Dokument ist jederzeit online abrufbar unter http://www.ppc.coolplatz.de
2
Spitzelfunktionen und Sicherheitslecks in Microsoft Windows XP
INHALTSVERZEICHNIS
Vorwort
Inhaltsverzeichnis
I Die Windows Produktaktivierung
Umgehen der Produktaktivierung auf legalen Weg
… und auf illegalen Weg
II Der Internet Explorer
Überprüfung auf Updates deaktivieren
Internet Explorer im eigenen Prozess starten
Planung für Updates ausschalten
Bandbreitenbeschränkung aufheben
Den Alxea-Dienst deinstallieren
Internetseiten Authentifizierung abschalten
Anzahl der gleichzeitigen Downloads erhöhen
Anzahl der gleichzeitigen Serverbindungen setzen
Die Autovervollständigung bearbeiten
III Windows Media Player
Abruf von Metadaten sperren
Codec-Download sperren
Erwerbung einer Lizenz verbieten
Die Medienbibliothek eingrenzen
Keine Daten mehr zur Medienverwaltung senden
Identifikation durch Webseiten verhindern
URLs und Daten nicht mehr im Verlauf speichern
IV Die Fehlerberichterstattung
Die Fehlerberichterstattung eingrenzen
Fehlerbericht für bestimmte Komponenten…
…im Windows Kernel
…für bestimmte Pr ogramme
V Windows Dienste
Fehlerbenachrichtigungsdienst beenden
Unwichtige Dienste ausschalten bringt Performance
Uhrsynchronisierung mit dem Internet deaktivieren
Dienste für den Taskplaner
UPNP-Dienst beenden
Nachrichtendienst beenden
MSN Messenger Windowsstart deaktivieren
MSN Messenger deinstallieren
VI Spyware direkt im System
Onlineregistrierung deaktivieren
Auslagerungsdatei beim Beenden löschen
Temporäre Dateien löschen
Schnelles Beenden aktivieren
Den Autostart organisieren
Autostart mit AUTOEXEC.BAT
Integrierte ZIP-Funktion deaktivieren
Automatische Windowsanmeldung managen
Cookies löschen
Zugriff auf Windows Registrierungseditor sperren
Windows Registrierung vorschummeln
Einzelne Dateien und Zeichenfolgen aus dem Verlauf löschen
3
2
3
4
4
4
5
5
5
5
5
6
6
6
6
7
8
8
8
8
8
9
9
9
10
10
10
10
10
12
12
12
12
12
12
12
12
13
14
14
14
14
14
14
15
15
15
15
15
15
15
Spitzelfunktionen und Sicherheitslecks in Microsoft Windows XP
I DIE WINDOWS PRODUKTAKTIVIERUNG
Umgehen der Produktaktivierung auf legalen Weg
Die Produktaktivierung ist eine neue Technologie von Microsoft, die die Verbreitung ihrer Software durch Softwarepiraterie
einschränken und nach Möglichkeit sogar ganz unterbinden soll. Verwendung hierfür findet sich in den Office-Produkten und in
Windows selber. Klar kann man Herrn Gates verstehen, dass es Geschäftsschädigend ist, wenn ihre Software kostenlos
zwischen potenziellen Käufern gehandelt wird. Prinzipiell ist die Produktaktivierung nichts anderes als eine spontan generierter
Schlüssel, der mit seinem Gegenstück von Microsoft, das Produkt frei schaltet. Obwohl es ziemlich einfach klingt verbirgt sich
hierhinter eine sehr komplexe Materie, die man ohne Mathematikstudium kaum verstehen kann. Und da ergibt sich auch schon
das Problem mit der Umgehung. Es ist einfach viel zu kompliziert, an diesen Codierungsschlüssel zu kommen und eine
Software zu finden, die ein exaktes Gegenstück erstellt. Da bleibt – in Sinne von Microsoft – nur eine Aktivierung direkt über die
Softwareschmiede. Dabei hat der Endbenutzer die Wahl zwischen einer telefonischen oder einer online Aktivierung. Am
Sichersten ist bei diesen beiden Varianten immer noch das Telefon, weil man nie sicher sein kann, was neben den eigentlichen
Schlüsselinformationen noch alles so an Daten über das TCP/IP - Protokoll an die Microsoft-Server gesandt wird. Aber auf
Dauer ist dieser Vorgang einfach nur lästig und man hat ja als Käufer auch so seinen Stolz und möchte sich nicht jedes Mal
melden und Zwangsaktivieren, wenn man beispielsweise seine Grafikkarte ausgetauscht hat.
Es gibt allerdings noch eine kleine Lücke in diesem System. Und die liegt darin begründet, dass Windows die Information, ob
ein System online aktiviert ist oder nicht in einer lokalen Datei auf der Festplatte abspeichert.
Windows Explorer
Ordner:
Datei:
Übergehen:
%Systemroot%\System32
wpa.dbl
Backup erstellen und vor nächster A ktivierung wpa.dbl überschreiben
Es handelt sich hierbei um die Datei wpa.dbl im Ordner %Systemroot%\System32. Kopiert man diese Datei nach
erfolgreicher Aktivierung als Backup in einen anderen Ordner, braucht man bei späterer Aufforderung der Neuaktivierung bloß
noch die neue Datei durch das Backup überschreiben und Windows ist aktiviert. Und das Beste daran ist, dass dies sogar legal
ist. Es handelt sich ja schließlich nur um eine Sicherungskopie einer Systemdatei und diese wurde ordnungsgemäß bei
Microsoft registriert.
… und auf illegalen Weg
Neben dieser rechtlich ordnungsmäßigen Sache kann man ebenfalls die Windows Produktaktivierung überbrücken, in dem man
eine so genannte Corporate Edition von Windows XP verwendet. Als Normaluser kommt man da höchsten durch eine
Raubkopie ran, da diese Aus gabe nur für Großkonzerne gedacht war und hier die Aktivierungskonsole einfach von Haus aus
deaktiviert ist. Sicher, wer hat schon Lust in einem Rechenzentrum diesen umständlichen Vorgang zweihundertmal
auszuführen? Die weit verbreites te Version hat den CD-Key FCKGW-RHQQ2-*****-*****-*****. Leider gibt’s das aber eben nicht
bei der normalen Home bzw. Professional Edition von Windows XP.
4
Spitzelfunktionen und Sicherheitslecks in Microsoft Windows XP
II DER INTERNET E XPLORER
Dass ein Internet-Browser gleich im Betriebssystem integriert ist, ist schon eine praktische Sache, so mal der Internet Explorer
einer der Besten. Wie könnte es anderes sein, hat Microsoft wieder einmal seine Marktstellung ausgenutzt hat, um nicht
genormte Standards als zusätzliche Funktionen zu integrieren. Damit kann der Browser dann zwar mehr, aber so booten sie
auch gleich mal im Handumdrehen ihre Konkurrenten wie Netscape aus. Der fähigste Browser ist halt für den Ottonormaluser
die erste Wahl, er muss ihn nicht extra installieren und kann gleich ohne weitere Installationen in Web. Als kleines
Dankeschöngeschenk wurde Microsoft dann auch verklagt – zu Recht. Der Internet-Explorer bietet neben den
Standardfunktionen auch einige Extras, die nicht direkt von Microsoft kommen. Leider weiß man nie, in wie weit der Microsoft
Browser Daten an Microsoft sendet, wenn man gemütlich durchs World Wide Web surft. Eins ist klar, deinstallieren kann man
ihn auf keinen Fall. Er ist eine fest integrierte Anwendung, die zum Ausführen des Betriebssystems nötigt ist. Das kommt daher,
dass der Internet Explorer, der Windows Explorer und viele Microsoft Software hand in hand gehen. Ein Versuch von Microsoft,
den Browser erst nach Aufforderung des Benutzers verwenden zu können (seit Windows XP Service Pack 1), ist eine
Maßnahme den Klagen entgegenzuwirken. Da den Internet Explorer nun nicht löschen und nicht deaktivieren kann, sollte man
auf jeden Fall die Sicherheitslücken abdichten.
Überprüfung auf Updates deaktivieren
Sobald eine neue Version des Browser via Microsoft Windows Update verfügbar ist, versucht der Internet Explorer eine
Verbindung zu den Microsoft Servern herzustellen und so ganz nebenbei sich auf die aktuellste Version aufzupumpen. Fakt ist,
dass dabei ein (unumgänglich nötiger) Datenaustausch mit den Onlineserver nötigt ist. Leider weiß man nie genau, was
Windows da alles wieder verrät.
Am sichersten ist es das Autoupdate einfach über die Windows Registry auszuschalten.
Windows Registrierungseditor
Hauptschlüssel:
Unterschlüssel:
Element:
Element Typ:
Überprüfung aktiviert:
Überprüfung deaktiviert:
HKCU
Software\Microsoft\Internet Explorer\Main
NoUpdateCheck
REG_DWORD
0
1
Internet Explorer im eigenen Prozess starten
Wer kennt das nicht, man surft gemütlich durchs Web, hat ein Dutzend Internet Explorer Fenster offen und ein Fenster
verursacht einen Fehler – und ach alle Internet Explorer tauchen in die Versenkung ab. Das liegt daran, dass der Internet
Explorer für alle Fenster nur einen realen Prozess anlegt und im Falle eines Fehlers kurzum alle Fenster schließt. In Version 5.0
konnte man über eine Einstellung in den Internetoptionen noch entscheiden, ob der Internet Explorer für jedes Fenster einen
eigenen Prozess starten sollte. Das belastet zwar den Arbeitsspeicher ein wenig mehr, aber der Vorteil liegt klar auf der Hand.
Ab der Version 5.01 nimmt der Internet Explorer diese Entscheidung dem Benutzer ab. Im Einzelnen heißt das, dass ab einen
Arbeitsspeicher von mehr als 32 MB für jedes Fenster ein neuer Prozess gestartet wird. Allerdings funktioniert das nicht immer
und man sollte auf jeden Fall in der Registrierung nachschauen, ob die Funktion wirklich aktiviert ist.
Windows Registrierungseditor
Hauptschlüssel:
Unterschlüssel:
Element:
Element Typ:
Eigener Prozess:
Multipler Prozess:
HKLM
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
BrowseNewProcess
REG_SZ
yes
no
Planung für Updates ausschalten
Wenn man schon dabei ist, die Automatischen Updates zu deaktivieren, kann man gleich in einem Zug die Überprüfung auf
neue Version des Windows Updates abstellen. In der Registry macht man folgendes:
Windows Registrierungseditor
Hauptschlüssel:
Unterschlüssel:
Element:
Element Typ:
Updates aktiviert:
Updates deaktiviert:
HKCU
Software\Microsoft\Windows\CurrentVersion\Webcheck
NoScheduledUpdates
REG_ DWORD
0
1
Bandbreitenbeschränkung aufheben
Ein großes Defizit bei schnellen Internetverbindungen ist die voreingestellte Bandbreitenbeschränkung von Windows XP. Dabei
behält sich das Betriebssystem vor, 20% (!) der maximalen Datenrate für sich zu beanspruchen, um Daten jeglicher Art zu
empfangen oder zu versenden. Diese fünfundzwanzig Prozent sind in den meisten Fällen viel zu hoch gegriffen. Es wird nie
vorkommen, dass das Betriebssystem Daten in dieser Größenordnung zu versenden hat. Bei einem analogen Modem fällt das
nicht so auf. Ist man aber stolzer Besitzer einer DSL Verbindung fallen die Verfügbaren 80% reichlich auf. Dabei stört es
Windows überhaupt nicht, ob es nun fünfundzwanzig, achtzig oder null Prozent zur Verfügung hat. Um die Datenübertragung zu
tunen, schraubt man einfach die Bandbreitenbeschränkung auf 0.
5
Spitzelfunktionen und Sicherheitslecks in Microsoft Windows XP
Windows Registrierungseditor
Hauptschlüssel:
Unterschlüssel:
Element:
Element Typ:
Prozent leget:
HKCU
Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\
LocalMachine\Software\Policies\Microsoft\Windows\Psched
NonBestEffortLimit
REG_ DWORD
0 - 100
Legt man also den Wert auf 0 ist die Bandbreitenbeschränkung passé.
Den Alxea-Dienst deinstallieren
Der Internet Explorer hat ein interessantes Feature an Board. Es handelt sich hierbei um eine Erweiterung der Firma Alexa, mit
dem der Internet Explorer für die aktuell angezeigte Internetseite eine Reihe von themenverwandten Sites vorschlägt. Aufrufen
kann das der Benutzer durch den Menüpunkt „Verwandte Links z eigen“. So weit sieht das alles ganz toll aus – jetzt kommt das
aber. Damit der Explorer das kann sammelt er fleißig viele Informationen über besuchte Internetseiten des Benutzers und
übergibt diese an die Software von Alexa. Auch wenn man nie diesen Menüpunkt verwendet – oder erst gar nicht bemerkt –
hat, geht das alles voll automatisch im Hintergrund während des Surfens.
Windows Registrierungseditor
Hauptschlüssel:
Unterschlüssel:
Alexa Schlüssel:
Alexa deaktivieren:
Alexa aktivieren:
HKCU
Software\Microsoft\Internet Explorer\Extensions
{c95fe080-8f5d-11d2-a20b-00aa003c157a}
Schlüssel löschen (löscht entgültig!)
Backup wiederherstellen
Wenn der Schlüssel einmal gelöscht ist, wandert der Alexa-Dient über den Jordan. Es treten dabei keine Einschränkungen beim
Surfen oder im Internet Explorer auf. Eine Möglichkeit ihn nachzuinstallieren oder über die GUI des Explorers wieder zu
aktivieren sucht man allerdings vergeblich. Man sollte sich also eine Sicherungskopie dieses Schlüssels machen, wenn man ihn
irgendwann später wieder verwenden will. Für Leute, die meinen diesen Dienst eh nie wieder zu benutzen (er ist schließlich
Spyware!), kann ich sagen, dass Alexa ruhigen Gewissens entfernt werden kann.
Internetseiten Authentifizierung abschalten
Es kann vorkommen, dass man während des Surfens auf einer Internetseite – aus welchen Gründen auch immer – identifiziert
werden soll. Normalerweise versucht Windows XP diese Identifizierung automatisch durch die Windowskennung des aktuellen
Benutzers zu regeln.
Windows Registrierungseditor
Hauptschlüssel:
Unterschlüssel:
Element:
Element Typ:
Authentifizierung aktiviert:
Authentifizierung deaktiviert:
HKCU
Software\Microsoft\Windows\CurrentVersion\Internet Settings
EnableNegotiate
REG_ DWORD
0
1
Anzahl de r gleichzeitigen Downloads erhöhen
Wenn stört es nicht, dass man mit dem Internet Explorer höchstens vier Downloadfenster zur gleichen Zeit öffnen kann? Gut,
diese Sicherheitsmaßnahme ist für ein analoges Modem sicher angebracht. Der Explorer bricht nun mal automatisch die
Downloads ab, wenn sie unter eine bestimmte Downloadgeschwindigkeitsgrenze fallen und da sich die zeitgleichen Downloads
die Bandbreite teilen müssen, bleibt nicht mehr viel. Aber aus einer Hight-Speed Internetverbindung kann man da noch etliches
mehr rausholen und 10 Downloads sind da schon angebracht.
Im Schlüssel KEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings legt man die
Anzahl der gleichzeitigen Downloads fest, indem man die maximale
Anzahl als DWORD-Wert für das Element
MaxConnectionsPerServer setzt, also beispielsweise 10.
Anzahl der gleichzeitigen Serverbindungen setzen
Versucht man mit dem Internet Explorer eine Seite aus dem Internet zu öffnen, stellt der Explorer eine Verbindung zu dem
Server her, um die Daten zu laden und darzustellen. Je mehr Verbindungen er zu dem Server öffnen kann, desto schneller
kann die gewünschte Seite geladen werden. Theoretisch gibt’s da keine Grenzen und man könnte sich mit 8 Serverkanälen die
Seite loaden. Microsoft und das http-Protokoll 1.1 haben den einen Riegel vorgeschoben, in dem sie die maximale Anzahl der
gleichzeitigen Serververbindungen auf 2 gesetzt haben. Im http- Protokoll 1.0 waren noch 4 zeitgleiche Verbindungen zu einer
Internet Seite erlaubt.
6
Spitzelfunktionen und Sicherheitslecks in Microsoft Windows XP
Allerdings kann man diese Sperre wieder aufheben, in dem man in der
Registrierung im Schlüssel HKEY_CURRENT_USER\Software\
Microsoft\Windows\CurrentVersion\Internet Settings die
DWORD- Elemente MaxConnectionsPerServer und
MaxConnectionsPer1_0Server auf die gewünschte Zahl
der gleichzeitigen Verbindungen setzt.
Am günstigsten ist es dem Element MaxConnectionsPer1_0Server den doppelten Wert des MaxConnectionsPerServer
zuzuweisen, beide Werte können aber auch gleichgroß sein. Die normalen Verbindungen zu einem Server richten sich zum
größten Teil nach dem MaxConnectionsPerServer Wert.
Die Autovervollständigung bearbeiten
Windows XP merkt sich die Eingaben des Benutzers und versucht ihn durch Ergänzung bei der nächsten Eingabe zu
unterstützten. Das kann in vielerlei Hinsicht nützlich sein, kann aber leider Gottes auch ausgenutzt werden. Ein Beispiel dafür
wäre die automatische Vervollständigung für Internetseiten in der Adressleiste des Internet Explorers. Besucht man mal
während der Arbeit die ein oder andere Seite und der Chef bekommt das über diese Autovervollständigung mit, ist der meistens
gar nicht so erfreut. In der Windows Registrierung wird geregelt, ob die Adresseingabe gespeichert werden soll oder nicht.
Windows Registrierungseditor
Hauptschlüssel:
Unterschlüssel:
Element:
Element Typ:
URL Vervollständigung aktiviert:
URL Vervollständigung deaktiviert:
HKCU
Software\Microsoft\Windows\CurrentVersion\Explorer\AutoComplete
AutoSuggest
REG_SZ
yes
no
Der Internet Explorer bietet weiter die Möglichkeit diese Vervollständigung auch bei Eingabe von Formularen auf Internetseiten
anzuwenden. Ist das unangenehm, kann man das ebenfalls über die Registry deaktivieren.
Windows Registrierungseditor
Hauptschlüssel:
Unterschlüssel:
Element:
Element Typ:
Formular -Vervollständigung aktiviert:
Formular -Vervollständigung deaktiviert:
HKCU
Softw are\Microsoft\Internet Explorer\Main
Use FormSuggest
REG_SZ
yes
no
So weit diese Vervollständigungsfunktion bei Webadressen und Formularen doch ab und zu von Nutzen ist, hört die
Freundschaft bei Passwörtern auf. Leider hat der Internet Explorer auch für diese ehr private Angelegenheit die Augen und
Ohren auf.
Windows Registrierungseditor
Hauptschlüssel:
Unterschlüssel:
Element:
Element Typ:
Passwort -Vervollständigung aktiviert:
Passwort-Vervollständigung deaktiviert:
HKCU
Softw are\Microsoft\Internet Explorer\Main
FormSuggest Passwords
REG_SZ
yes
no
Wenn diese Autovervollständigung für Passwörter aktiviert ist, kann es vorkommen, dass der Internet Explorer ohne
Aufforderung einfach jedes Kennwort speichert.
Windows Registrierungseditor
Hauptschlüssel:
HKCU
Unterschlüssel:
Software\Microsoft\Internet Explorer\Main
Element:
FormSuggest PW Ask
Element Typ:
REG_SZ
Passwort - Nachfrage aktiviert: yes
Passwort-Nachfrage deaktiviert: no
7
Spitzelfunktionen und Sicherheitslecks in Microsoft Windows XP
III WINDOWS MEDIA PLAYER
Der Media Player ist – wer sollte es noch nicht wissen – ebenfalls ein fester Bestandteil des Betriebssystems. Er bietet
zahlreiche Möglichkeiten digitale Medien wie Videos oder mp3s abzuspielen. Sollte er irgendwann mal nicht weiter kommen,
versucht er sich gleich Erste Hilfe bei seinem Hersteller zu besorgen. Ob es nun automatische Codec-Downloads sind,
Erwerbung von Lizenzen oder der altbekannte Feind Verlauf, die Medienwiedergabe aus dem Hause Microsoft scheint sehr oft
und sehr gerne via Internet zu kommunizieren. Was aber der Inhalt dieser Gespräche ist, wird der Menschheit wohl ewig ein
Rätsel bleiben… und darum sollte man es einfach unterbinden.
Abruf von Metadaten sperren
Sobald man mit dem Internet verbunden ist versucht der Media Player diverse Metainformationen einer eingelegten Musik-CD
oder einer DVD zu aktualisieren oder zu ergänzen. Dabei herrscht reger Datenfluss in beide Richtungen der Internetverbindung.
In der Windows Registrierung kann man diesen automatischen Metadatenaufruf sperren.
Windows Registrierungseditor
Hauptschlüssel:
Unterschlüssel:
Element:
Element Typ:
Abruf aktivieren:
Abruf deaktivieren:
HKCU
Software\Microsoft\MediaPlayer\Preferences
MetadataRetrieval
REG_DWORD
1
0
Wenn man doch wieder den Metadatenabruf braucht, sollte man den diesen Wert wieder auf 1 setzen.
Codec-Download sperren
Ein Codec (Coder-Decoder) ist eine schöne Sache, wenn man z.B. eine mit DivX codierte Filmdatei in den Händen hält. Die
Komprimierung dieser Datei auf Seiten des Players läuft dann tadellos. Sollte der Media Player mal einen bestimmten
Datenstream nicht dekomprimieren können, sucht er automatisch im Internet nach passenden Codec. Die Idee ist ja nicht
schlecht, aber leider weiß man auch hier nicht, was der Media Player alles übermittelt. Man kann den automatischen CodecDownload in der Registry sperren.
Windows Registrierungseditor
Hauptschlüssel:
Unterschlüssel:
Element:
Element Typ:
Download aktivieren:
Download deaktivieren:
HKCU
Software\Microsoft\MediaPlayer\Preferences
UpgradeCodecPrompt
REG_BINARY
Element erstellen (Wert 00)
Element löschen
Will man den Autodownload wieder aktivieren, erstellt man einfach das REG_BINARY -Element mit den Werten 00 neu.
Erwerbung einer Lizenz verbieten
Einige Metadaten benötigen Lizenzen, um ordnungsgemäß wiedergeben werden zu können. Normalerweise kümmert sich der
Media Player von alleine um die Beschaffung dieser Lizenzen. Das läuft alles im Hintergrund ab, ohne den Benutzer. Aber auch
hier kommt wieder die alte Leier mit der Datensicherheit… wer auf Nummer Sicher gehen will, sollte die Erwerbung der
Lizenzen deaktivieren.
Windows Registrierungseditor
Hauptschlüssel:
Unterschlüssel:
Element:
Element Typ:
Download aktivieren:
Download deaktivieren:
HKCU
Software\Microsoft\MediaPlayer\Preferences
SilentAcquisition
REG_BINARY
Element löschen
Element erstellen (Wert 00)
Die Medienbibliothek eingrenzen
Der Media Player hat die Angewohnheit abgespielte Musik- und Videodateien in der hauseignen Bibliothek abzuspeichern. Für
oft verwaltete Daten macht da noch sinn, aber leider weiß man nie was mit dem Inhalt dieser Bibliothek passiert, wenn der
Media Player die frische Luft der Freiheit über das Internet richt... Datenübertragung? Wie auch immer, diese Einstellung lässt
sich über die Registrierung abschalten.
Windows Registrierungseditor
Hauptschlüssel:
Unterschlüssel:
Element:
Element Typ:
Archivierung aktivieren:
Archivierung deaktivieren:
HKCU
Software\Microsoft\MediaPlayer\Preferences
AutoAddMusicToLibrary
REG_DWORD
1
0
8
Spitzelfunktionen und Sicherheitslecks in Microsoft Windows XP
Keine Daten mehr zur Medienverwaltung senden
Wenn man den Media Player benutzt, werden in regelmäßigen Abständen Daten zu den Microsoft Servern gesendet, dass der
Media Player ausgeführt wird. Microsoft offizielles Statement dazu ist, das es weder vertrauenswürdige noch persönlich Daten
sind und dies lediglich zur Verbesserung des Players dient. Aber wer weiß, was da noch so alles über die Leitung wandert? Am
besten ist es, diese fragwürdige Funktion des Media Players zu deaktivieren.
Windows Registrierungseditor
Hauptschlüssel:
Unterschlüssel:
Element:
Element Typ:
Senden aktivieren:
Senden deaktivieren:
HKCU
Software\Microsoft\MediaPlayer\Preferences
UsageTracking
REG_DWORD
1
0
Identifikation durch Webseiten verhindern
Wenn man auf einer Webseite surft, kann es in vereinzelten Fällen vorkommen, dass die Seiten die GUID des Computer
abfragt, um den aktuellen Benutzer eindeutig zu erkennen. GUID ist eine Abkürzung für Global Unique Identifier, zu Deutsch
gobaler eindeutiger Bezeichner. Es handelt sich dabei um eine 128-Bit Ganzzahl. Die Wahrscheinlichkeit, dass eine solche Zahl
(zufallsgeneriert) zweimal auf der Welt erstellt wird ist so unwahrscheinlich, dass die Zahl als einzigartig bezeichnet werden
kann. Darum kann man an dieser Zahl eindeutig identifiziert werden. Die Identifikation durch Webseiten mittels dieses
Bezeichners ist aber in den seltensten Fällen nicht dringend notwenig und auch nicht auf Seiten des Benutzers erwünscht. Aus
Sicherheitstechnischen Gründen sollte man diese Funktion des Media Players einfach deaktivieren.
Windows Registrierungseditor
Hauptschlüssel:
Unterschlüssel:
Element:
Element Typ:
Identifikation aktivieren:
Identifikation deaktivieren:
HKCU
Software\Microsoft\MediaPlayer\Preferences
SendUserGUID
REG_BINARY
Element löschen
Element erstellen (Wert 00)
Löscht man das Element wieder, ist alles wie vorher.
URLs und Daten nicht mehr im Verlauf speichern
Öffnet man Dateien mit dem Media Player speichert dieser die Adresse der Dateien in der Registrierung, um sie später durch
den Öffnen-Dialog für schnelleren Zugriff wieder bereitzustellen. Das erspart hier und da zwar etwas Schreibarbeit, aber jeder
Benutzer, der über das lokale Benutzerkonto auf den Media Player zurückgreift kann ebenfalls die Liste dieser Dateien
einsehen. Die Adressen werden zwar nicht über das Internet an irgendwelche Server weitergesendet, aber das Speichern
dieses Verlaufs kann unter Umständen zu unerwünschten Nebeneffekten führen und sollte ebenfalls deaktiviert werden.
Windows Registrierungseditor
Hauptschlüssel:
HKCU
Unterschlüssel:
Software\Microsoft\MediaPlayer\Preferences
Element:
DisableMRU
Element Typ:
REG_DWORD
Verlauf aktivieren: 0
Verlauf deaktivieren: 1
Mit 0 ist die Funktion wieder aktiviert.
9
Spitzelfunktionen und Sicherheitslecks in Microsoft Windows XP
IV DIE FEHLERBERICHTERSTATTUNG
Obwohl immer arg behauptet wird, dass Windows XP das Beste Betriebssystem aus dem Hause Microsoft sei und seine
Vorgänger um längen übertrifft, so kann man doch behaupten, dass es alles andere als Fehlerfrei ist und bis zum Super OS
noch eine ganze Wegstrecke zurückgelegt werden muss. Auch Microsoft weiß das und deshalb hat man sich eine ganz flinke
Problemlösung einfallen lassen. Sollte mal im Verlauf der Betriebszeit ein irreparabler Fehler auftreten oder ein Programm oder
gar das ganze Betriebssystem in einem riesigen cholerischen Anfall in die Knie gehen, so fordert Windows einen auf , einen so
genannten Fehlerbericht online zu senden. In diesem Bericht sind wichtige Anwendungs - und Speichersignaturen enthalten. Sie
sollen helfen, die Ursache für den Fehlerfall ausfindig zu machen. So weit klingt das alles ganz gut, aber neben diesen
besagten Signaturen kommt noch einiger Ballast hinzu. Unter anderem werden Microsoft eventuell ein Abbild des
Arbeitsspeichers oder zu mindestens Ausschnitte zugesandt. Sollen sich zum Zeitpunkt des Absturzes private Dateien im RAM
befinden, werde die natürlich mit verpackt. So erhält Microsoft nebenher auch noch die IP des lokalen Computers und die
Windows Produkt ID zur eindeutigen Identifizierung der verwendeten Lizenz. Entgegen den Willen von Microsoft diese
Fehlerreporte weiterzureichen ist es viel sicher die umstrittene Funktion endgültig zu unterbinden.
Die Fehlerberichterstattung eingrenzen
Am Anfang steht die Entscheidung, ob man überhaupt diese skurrile Funktion von Windows nutzen möchte.
Windows Registrierungseditor
Hauptschlüssel:
Unterschlüssel:
Element:
Element Typ:
Fehlerberichte aktivieren:
Fehlerberichte deaktivieren:
HKLM
SOFTWARE/Microsoft/PCHealth/ErrorReporting
DoReport
REG_DWORD
1
0
Selbst wenn der allgemeine Fehlerbericht damit ausgeknipst ist, so kann es bei schwerwiegenden Fehlern dennoch dazu
kommen, dass Windows mit einem Bericht drängt. Das liegt daran, dass man die Fehlerberichterstattung für kritische Fehler
gesondert deaktivieren muss. Was auch immer Microsoft unter kritischen Fehler meint…
Windows Registrierungseditor
Hauptschlüssel:
HKLM
Unterschlüssel:
SOFTWARE/Microsoft/PCHealth/ErrorReporting
Element:
ShowUI
Element Typ:
REG_DWORD
Bei kritischen Fehler senden aktiviert: 1 (unabhängig von DoReport)
Bei kritischen Fehler senden deaktiviert: 0 (unabhängig von DoReport)
Bei kritischen Fehler senden deaktiviert: 3 (DoReport = 1)
Fehlerbericht für bestimmte Komponenten…
Wenn man dann doch für Microsoft als kostenloser Tester dienen möchte, kann man noch entscheiden, bei welchen Fehlern ein
Bericht gesendet werden soll. Folgende Tweaks setzen DoReport = 1 voraus.
… im Windows Kernel
Allen voraus kann es zu einen Systemausfall oder Fehler direkt im Betriebssystem kommen.
Windows Registrierungseditor
Hauptschlüssel:
Unterschlüssel:
Element:
Element Typ:
Kernel Fehler senden aktiviert:
Kernel Fehler senden deaktiviert:
HKLM
SOFTWARE/Microsoft/PCHealth/ErrorReporting
IncludeKernelFaults
REG_DWORD
1
0
… für bestimmte Programme
Nun kann man sich entscheiden, ob man Fehler bei Programmen senden möchte. Daneben hat man noch die Möglichkeit
Programme für die Berichterstattung auszuschließen oder die Fehlerberichterstattung nur für bestimmte Programme
durchführen zu lassen.
Windows Registrierungseditor
Hauptschlüssel:
HKLM
Unterschlüssel:
SOFTWARE/Microsoft/PCHealth/ErrorReporting
Element:
AllOrNone
Element Typ:
REG_DWORD
Senden für alle Programme aktiviert: 1
Senden für alle Programme deaktiviert: 2
Senden nur für bestimmte Programme: 0
10
Spitzelfunktionen und Sicherheitslecks in Microsoft Windows XP
Wenn man den Wert 0 setzt, kann man in den Unterschlüsseln InclusionList die Programme bestimmen, die als alleinige in
die Fehlerberichterstattung eingebunden werden.
Dafür erstellt man ein DWORD- Element mit dem Namen der
Anwendung (Beispielsweise notepad.exe) und weist ihn den Wert 1 zu.
Mit 0 ignoriert die Fehlerberichterstattung diesen Eintrag.
Neben einem Unterschlüssel gibt es noch den ExclusionList Schlüssel. In ihm werden alle Programme aufgeführt, die nicht
in die Fehlerberichterstattung eingebunden werden sollen.
Um Programme auszuschließen, erstellt man ein DWORD- Element mit
dem Namen der Anwendung und weist ihm den Wert 1 zu. Mit 0
ignoriert die Fehlerberichterstattung diesen Eintrag.
Microsoft sieht ihre eigenen Produkte scheinbar nicht als normale Anwendungen, den man muss sie explizit aktivieren oder
deaktivieren.
Dafür gibt es im Schlüssel
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/PCHealth/
ErrorReporting zwei DWORD- Elemente, die jeweils mit 0 die
Berichterstattung deaktivieren und mit 1 aktivieren. Diese Elemente
sind IncludeMicrosoftApps für alle Microsoft Programme und
IncludeWindowsApps für alle Windows Komponenten.
11
Spitzelfunktionen und Sicherheitslecks in Microsoft Windows XP
V WINDOWS DIENSTE
Ein Dienst ist eine Anwendung oder ein Prozess, der Aufgaben zur Unterstützung oder zur Umsetzungen von Problemlösungen
innerhalb des Betriebssystems laufen. Microsoft Windows Dienste laufen meist vom User unbemerkt im Hintergrund und erledigen
dort ihre (meist) sinnvollen Aufgaben. Leider hat nicht jeder Dienst der läuft eine wirklich annehmbare Lebensberechtigung. So
verschwenden viele Dienste nur unnötig Rechenzeit und belasten die CPU ohne das sie jemals wirklich richtig benötigt werden und
zeit ihres Lebens nur Ballast für den RAM darstellen. Und gerade dieser Ballast kann den Computer an vielen Stellen ausbremsen.
Gerade was die Rechen- bzw. reale Arbeitsgeschwindigkeit des hauseigenen PCs angeht sind viele Benutzer sehr eigen. Da geht’s
halt wie in der Formel1 – es zählt jeder Bruchteil einer Sekunde. Außerdem können manche Dienste sogar wirkliche Probleme und
Sicherheitslücken darstellen. Man erinnert sich jetzt mit tiefen Denkerfalten an den Blaster Wurm. Im Grunde hat er auch nichts
anderes gemacht, als einen fast schon (aus Microsoft’s sicht…) lebenswichtigen Dienst von Windows beendet und so schloss das
Betriebssystem als Schutzmaßnahme die aktuelle Sitzung und fuhr sich runter. Die Microsoft Programmier hätten auch eine Routine
schreiben können, dass dieser ach so wichtige Dienst einfach wieder startet, sollte er mal aus unerfindlichen Gründen beendet
werden. Aber warum diese Mühe – Windows XP ist ja fehlerfrei ;)
Fehlerbenachrichtigungsdienst beenden
Unwichtige Dienste ausschalten bringt Performance
Uhrsynchronisierung mit dem Internet deaktivieren
Sobald man mit dem Internet verbunden ist verrät Microsoft immer wie spät es ist und was rät man selbst dabei? Da das eine
doch berechtigte Frage ist – wir kennen ja mittlerweile ihre Unternehmensphilosophie – ist auf jeden Fall angebracht diesen gut
gemeinten Freundschaftsdienst mit einen künstlich aufgelegten Grinsen auszuschlagen. Dabei ist die Idee an sich leicht
fragwürdig. Ist die Computeruhr so ungenau, dass sie aller paar Tage neu gestellt werden muss?! Hier gibt es prinzipiell zwei
Möglichkeiten dies zu umgehen. Entweder man deaktiviert den Dienst zu Uhrsynchronisierung (der sicherste Weg!) oder man
wählt sich einen anderen Anbieter von dem man seine Atomuhrgenaue Systemzeit bezieht.
Um den Dienst zu deaktivieren wechselt man in den Schlüssel >> und setzt für das DWORD- Element >> den Wert >>. Um den
Dienst wieder zu aktivieren, setzt man ihn wieder auf den Standardwert von >>.
Wer dann doch nicht völlig auf die Internetsynchro verzichten kann – die Systemuhr ist nun mal sooo ungenau ;) – gibt es da
einen Weg über die Windows Registrierung.
Im Schlüssel >> ändert man für das DWORD- Element >> den Wert von >> auf >>.
Für diesen Wert kann eigentlich jeder beliebige Anbieter gewählt werden, der einen solchen Dienst über das Internet zur
Verfügung stellt.
Dienste für den Taskplaner
UPNP-Dienst beenden
Nachrichtendienst beenden
Eigentlich ist der Nachrichtendienst nicht wirklich gefährlich, aber wer schon mal auf Arbeit in einem Rechenzentrum mit
mehreren vernetzten Computern gearbeitet hat, der wird sicher den NET SEND befehl des Betriebssystems zu hassen gelernt
haben. Und auch so trifft man während einer laufenden Internetverbindung ab und zu auf eine MessageBox mit
bedeutungschwangerem Inhalt. Meist wird einen dort ein Verweis zu einer URL angegeben, auf der man gegen ein kostenloses
Zugangstool Unmengen an Daten beziehen kann oder sich Sc hönheiten per WebCam betrachten kann. Zuständig hierfür ist der
Nachrichtendienst.
Um diesen Dienst zu deaktivieren, wechselt man in den Schlüssel >> und ändert für das DWORD- Element >> den Wert auf >>.
Mit >> ist der Dienst wieder aktiv.
MSN Messenger Windowsstart deaktivieren
Und wieder versucht Microsoft sich einen neuen Absatzmarkt zu ergattern. Wo AOL AIM ist, soll seitens Microsoft MSN
Messenger werden… Und auch hier ist die Idee im Ansatz gar nicht mal so verwerflich. Schließlich fordert Micros oft weder
Grundgebühr noch andere Gelder für die Nutzung des Messengers. Aber nicht jeder möchte diese Software verwenden und
umsteigen. Eine Überlegung wäre es wert, wenn der Messenger auch die Formate der anderen Instant Messenger lesen
könnte. Wer eine Alternative zum Messenger oder AIM sucht, sollte mal einen Blick auf den Allrounder Trillian unter
http://www.trillian.com werfen – denn der kann das alles, einen vorhandenen Account bei dem jeweiligen Anbieter
vorausgesetzt. Zurück zum MSN Messenger. Damit das alles auch so klappt ist der Messenger eine feste Komponente von
Windows XP, die auch immer brav mit dem Betriebssystem startet und sich in der TNA 1 einnistet. Wie gesagt, nicht jeder
wünscht diesen Messenger und es zum Teil mit Umständen verbunden, diesen Autostart zu deaktivieren.
Entgegen frühren Windows Versionen spielt der Systemordner Autostart keine besonderst große Rolle mehr, da die Windows
Registrierung hier eine bessere Alternative bietet. Schließlich ist diese Datenbank und der in ihr versteckten Autostart für die
1
TNA steht für Task Notification Area und bezeichnet den Bereich links neben der Systemuhr. Im deutschen bekannt (wie sinnvoll?!) als Infobereich.
12
Spitzelfunktionen und Sicherheitslecks in Microsoft Windows XP
meisten Benutzer nicht ohne weiteres einsehbar. Weiter unten werde ich speziell auf diese verschiedenen Schlüssel der
Registry eingehen.
In der Registrierung existiert im Schlüssel HKEY_CURRENT_USER\Software\
Microsoft\Windows\ CurrentVersion existiert ein Schlüssel namens Run.
In ihm finden sich alle Pfade zu den einzelnen Anwendungen, die mit Windows
starten sollen. Das RG_SZ-Element mit Namen MSMSGS repräsentiert den
MSN Messenger. Löscht man dieses Element wird der Messenger nicht mehr automatisch mit dem Betriebssystem
gestartet.
Umbenennen dieses Elements bringt in diesem Fall keinen Effekt, auch unterscheidet die Windows Registrierung nicht
zwischen Groß- und Kleinschreibung. Genau genommen ist der Name dieser Zeichenfolge egal, solange der Pfad zur
Anwendung stimmt. Um den Messenger doch wieder mit dem System starten zu lassen, muss man einfach eine neue
Zeichenfolge MSMSGS erstellen. Anschließend weist man ihr den Wert2 %PROGRAMFILES%\Messenger\msmsgs.exe zu.
MSN Messenger deinstallieren
Die Deinstallation des MSN Messengers war vor dem Service Pack 1 von Windows XP nicht über die grafische
Benutzeroberfläche möglich. Durch die ganzen Kartellklagen gegen die Softwareschmiede hat sich Microsoft dann doch
entschieden, sowohl für Microsoft Internet Explorer als auch für den MSN Messenger eine Deinstallationsroutine zu integrieren.
Der Internet Explorer wird dabei zwar nicht entfernt, sondern nur seine Verknüpfungen im Startmenü, Schnellstart und Desktop
– aber steht auf einem anderen Blatt. Um den MSN Messenger unter Windows XP SP1 aus dem Zug zu werfen, kann man sich
das über die Windows Komponenten in den Softwareeigenschaften der Systemsteuerung vornehmen.
Bei Windows XP ohne installierten Service Pack sieht das dann schon etwas düsterer aus. Es fehlt scheinbar jegliche
Schnittstelle, um dem Messenger zu entsagen. Aber wie sagte Agent Smith in Matrix schon so schön – Wie wir ja wissen kann
der Anschein oft trügen. Tatsächlich kann man ihn auch ohne jegliche Benutzeroberfläche deinstallieren (funktioniert auch bei
Service Pack 1)
Man öffnet den Ausführen-Dialog über Start | Ausführen und gibt RunDLL32
advpack.dll,LaunchINFSection %windir%\INF\msmsgs.inf,BLC.Remove
in die Befehlszeile ein.
Läuft der Messenger noch, kommt eine Abfrage zum Beenden. Quittiert man diese dann noch mit Ja, wird der Messenger
gelöscht und aus der Windows Registrierung ausgetragen.
2
%PROGRAMFILES% ist eine Systemvariable und steht für den Programme-Ordner des Betriebssystems. Im Allgemeinen entspricht das C:\Programme.
13
Spitzelfunktionen und Sicherheitslecks in Microsoft Windows XP
VI SPYWARE DIREKT IM SYSTEM
Nicht nur durch irgendwelche externe oder fest verdrahtete Komponenten w eist Windows XP so manche Sicherheitslücke auf –
oh nein. Es gibt da einige Spitzel- und PhoneHome-Funktionen tief im System Kern. Man muss hat bloß wissen, wo man
suchen muss. So können diverse Softwareanbieter ihre Anwendungen direkt mit Windows starten lassen, ohne das der
Benutzer sie im Autostart-Ordner löschen kann. Wenn dann diese Anwendung noch ohne Benutzerfläche daher kommt und nur
als Prozess im Hintergrund läuft, kann das ganz schön ins Auge gehen. Lass das mal ein Dailer sein – dann wird’s böse.
Onlineregistrierung deaktivieren
Auslagerungsdatei beim Beenden löschen
Temporäre Dateien löschen
Bei jeder Installation, beim Bearbeiten von Dokumenten oder bei Updates lagert Windows Bruchstücke der jeweiligen Datei
oder eine Kopie in einen speziellen Systemordner aus. Das ist durchaus Sinnvoll für den Zugriff auf diese Dateien. Eine
Ausnahme hierbei stellt wieder einmal die Software von Microsoft dar (Man fragt sich, warum sie sich eigentlich nie an ihre
eigenen Regeln halten?!). So speichert Microsoft Word beispielsweise seine temporären Dateien als versteckte Datei mit
kryptischen Dateinamen direkt im gleichen Ordner der aktuellen Datei ab. Klar löscht Word diese Dateien wieder, nachdem das
Dokument geschlossen wird. Kommt es aber nicht mehr dazu, weil Beispielsweise Windows abgestürzt ist, bleiben die Daten
versteckt auf der Festplatte liegen und müssen vom Benutzer selbst gelöscht werden. Ein Hoch auf Microsoft!
Zurück zu den Menschen, die sich daran halten, ihre Daten im extra dafür geschaffenen Systemordner speichern. Viele davon
werden wieder durch die jeweilige Anwendung entfernt, aber leider nicht alle. So kann dieser Ordner nach einiger Zeit auf eine
beachtliche Größe anschwellen (500 MB und mehr!) und unnütz Speicher belegen. In Windows werden die temporären Dateien
an unterschiedlichen Ort abgelegt. Als Hauptsammelpunkt für normale Dateien hier gilt der Ordner TEMP direkt im
%SYSTEMROOT% (meist C:\Windows) des Betreibssystems oder C:\Dokumente und
Einstellungen\Benutzername\Temp. Für zwischengespeicherte Dateien aus dem Internet steht meist3 der Ordner
C:\Dokumente und Einstellungen\Benutzername\Lokale Einstellungen\ Temporary Internet Files.
Die Zeichenfolge Benutzername muss durch den Namen des gewünschten Benutzerkontos ersetzt werden. Zudem kommen
dann noch ein paar Temp-Ordner von Drittanbietern hinzu. So erstellt Corel Draw beispielsweise einen solchen Ordner direkt
auf jeder Festplatte, falls gewünscht.
Um die temporären Dateien zu löschen muss man den gesamten Inhalt der folgenden Ordner löschen. Ein kleiner Tipp hierbei:
man sollte die Option Versteckte Dateien und Ordner im Menü Extras | Ordneroptionen im Windows Explorer deaktivieren, um
wirklich alle Dateien löschen zu können.
Systemweit:
%SYSTEMROOT%\Temp
Benutzerkontospezifisch:
C:\Dokumente und Einstellungen\Benutzername\Temp
Internetdateien je Benutzer:
C:\Dokumente und Einstellungen\Benutzername\Lokale Einstellungen\Temporary Internet Files
Bei Corel Draw:
C:\Temp (falls vorhanden)
Die temporären Internetdateien sind meist Grafiken, die der Microsoft Internet Explorer zusätzlich auf der Festplatte
abspeichert, um beim nächsten Aufruf der Seite den Seitenaufruf zu beschleunigen, da er auf die Daten der Festplatte
zurückgreifen kann. Löscht man den Inhalt dieses Ordners legt der Browser nach und nach wieder Dateien von besuchten
Webseiten darin ab.
Durch das Löschen der Dateien aus den anderen Systemordner wird bloß zusätzlicher Festplattenspeicher freigeben, da diese
Dateien meist nie wieder gebraucht werden. Das Entfernen dieser Dateien führt zu keinen Datenverlust von Dateien oder
Programmen aus anderen Ordnern.
Schnelles Beenden aktivieren
Den Autostart organisieren
Microsoft Windows XP kennt mehr als nur einen Ort, um Verknüpfungen von Programmen beim Systemstart auszuführen.
Allerdings kann das manchmal zu unerwünschten Nebeneffekten führen oder eine Anwendung lässt sich von sich aus nicht
mehr aus dem Autostart entfernen. Zu frühen Anfangszeiten von Windows 95, als gerade die DOS-User langsam mit
zugekniffenen Augen ihre ersten Gehversuche in der neuen GUI des 32-Bit Betriebssystems machten, war auch flankenseitig
der Softwareindustrie die Windows Registrierung als Organisationswerkzeug noch verkannt. Microsoft empfahl zwar, sämtliche
Programmkonfigurationen zentral in dieser neuen Datenbank abzuspeichern (um das Chaos mit den individuellen INI- Dateien
aus Windows 3.x Zeiten zu vermeiden), aber so richtig hielt sich niemand daran. Auch war der Systemordner Autostart für die
Softwareschmieden ein ideales Instrument, um ihre Anwendungen beim Systemstart automatisch zusammen mit dem
Betriebssystem auszuführen. Das waren noch Optimisten! Getrost konnte man damals einfach unliebsame Anwendungen
manuell aus diesem Ordner löschen und konnte sich gewiss sein, bei der nächsten Windowssitzung nicht wieder behelligt zu
3
Ich sage hier bewusst meist, da man zwar nicht über die grafische Benutzeroberfläche des Betriebssystems, sehr wohl aber über die Windows Registrierung diese
Systemordner an eine beliebige Stelle auf der Festplatte verschieben kann.
14
Spitzelfunktionen und Sicherheitslecks in Microsoft Windows XP
werden. Man soll mich an dieser Stelle nicht falsch verstehen. Natürlich gab es schon damals die Möglichkeit seine
Anwendungen über die Registrierung starten zu lassen und auch die nötigen APIs (Application Programming Interface) waren
schon ins Betriebssystem integriert, bloß hat das niemand konsequent gemacht. Die Arbeiten mit dem Autostartordner waren
einfach viel leichter zu managen und reichten 1995 einfach aus .
In Windows XP gibt es prinzipiell 7 Orte, an den sich Anwendungen für den Systemstart einnisten können. Da wäre zum ersten
der alt gediente Autostart-Systemordner. Als Einziger unter den Sieben wird er direkt manuell mit Verknüpfungen zu den
jeweiligen Pfaden der Anwendungen gefüllt. Entgegen dem der Rest nur mit Zeiger in Formen von Zeichenfolgen in
vordefinierten Registrierungsschlüsseln arbeitet. Das wären die Schlüssel Run (Äquivalent zum Autostartordner nur halt in der
Registrierung), RunOnce (für einmalige Systemstarts. Dieser Schlüssel wird nach erfolgreichen Hochfahren automatisch
geleert) und RunOnceEx . Diese Schlüssel sind einmal beschränkt auf das aktuelle Benutzerkonto und Computerweit verfügbar.
Der Autostartordner und die zwei mal drei Schlüssel machen zusammen sechs Orte. Sechs Orte, an denen man unter
Umständen suchen muss, um ein böswilliges Programm am Autostart zu hindern!
Um unerwünschte Anwendungen den automatischen Systemstart zu untersagen, muss man lediglich die jeweiliges
Verknüpfungen bzw. die jeweiliges REG_SZ-Elemente aus dem Ordner/Schlüssel entfernen und das Problem ist gelöst.
Autostart pro Benutzerkonto:
Autostartsystemordner:
C:\Dokumente und
Einstellungen\Benutzername\Startmenü\Programme\Autostart
Run:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
RunOnce:
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
Autostart Computerweit:
Autostartsystemordner:
C:\Dokumente und Einstellungen\All
Users\Startmenü\Programme\Autostart
Run:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
RunOnce:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
RunOnceEx:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
Im Übrigen ist das bloße Umbenennen der Objekte zwecklos, da nicht der Datei- bzw. Elementname ausschlaggebend is t,
sondern der Inhalt.
Autostart mit AUTOEXEC.BAT
Neben den Starts durch den Autostartordner und –schlüssel in der Registrierung gibt es da noch die altbekannte Autoexec
(auto execute) Batchdatei. Entgegen den früheren Windowsversionen, wird sie zwar offiziell nicht mehr von Windows XP
verwendet, kann allerdings über einen verstecken Registryeintrag wieder zur Knechtschaft gezwungen werden. Normalerweise
existiert sie bei Windows XP überhaupt nicht im System und erstellt man diese Stapeldatei selbst, ignoriert das Betriebssystem
sie großzügig. Nun kann es aber sein, dass man sich einen Virus eingefangen hat, der gerade diese vermeidliche Datei wieder
reaktiviert und den DOS Befehl format c: hineinschreibt. Und schon hat man das Malheur. Windows wird starten, die Datei
vorfinden, sie – man glaubt es kaum – doch wieder ausführen und schließlich zu einen großen Staunen seitens des Benutzers
führen. Wie gesagt, im Regelfall ist Windows XP gegen solche Wagnisse gewappnet, aber durch die Windows Registrierung
kann das Parsen der Autoexec.bat eben erzwungen werden. Am Sichersten ist es, wenn man auf Nummer sicher geht.
Im Schlüssel HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\
CurrentVersion\Winlogon existiert eine REG_SZ-Zeichenfolge mit Namen
ParseAutoexec. Setzt man den Wert auf 1 wird Windows die Datei ohne
Nachfrage ausführen. Steht der Wert auf 0 wird die Stapeldatei ignoriert.
Integrierte ZIP-Funktion deaktivieren
Automatische Windowsanmeldung managen
Cookies löschen
Zugriff auf Windows Registrierungseditor sperren
Windows Registrierung vorschummeln
Einzelne Dateien und Zeichenfolgen aus dem Verlauf löschen
15
Spitzelfunktionen und Sicherheitslecks in Microsoft Windows XP
16
Spitzelfunktionen und Sicherheitslecks in Microsoft Windows XP
Dieses Buch wird sich in 5 Sekunden selbst zerstören…
17