Spitzelfunktionen und Sicherheitslücken in Microsoft Windows XP
Transcription
Spitzelfunktionen und Sicherheitslücken in Microsoft Windows XP
Spitzelfunktionen und Sicherheitslecks in Microsoft Windows XP Spitzelfunktionen und Sicherheitslücken in Microsoft Windows XP Service Pack 1: Spyware erkennen, abschalten und deinstallieren Veröffentlicht unter http://www.ppc.coolplatz.de (Stand: Juli 2004) Copyright © 2004 Marcus Gebler ([email protected]) Spitzelfunktionen und Sicherheitslecks in Microsoft Windows XP VORWORT Man möchte nicht meinen, auf wie vielfältige Weise Microsoft oder deren Partnerfirmen Zugriff auf Daten und Informationen des hauseigenen Windows-PCs zurückgreifen können. Ob es nun Spionage der lokalen Festplatte oder der Verlauf der besuchten Internetseiten ist, Windows XP hat zum Bedauern vieler Anwender die unangenehme Angewohnheit sehr Freizügig mit diesen Daten umzugehen und eigentlich bei jeder nur denkbaren Möglichkeit dies den Server seines Hersteller übermitteln zu wollen. Da viele Benutzer diese Spitzelfunktionen oder Sicherheitslücken im Betriebssystem gar nicht oder nur teilweise kennen und diese meist nicht direkt über die grafische Benutzeroberfläche deaktiviert werden können, soll hier ein kleiner Leitfaden gelegt werden, um den unbeliebten Mittelmann einen Maulkorb aufzusetzen. Viele dieser Funktionen lassen sich über die Windows Registrierung manuell an- oder ausschalten. Ich möchte nur noch einmal daran erinnern, dass die Bearbeitung der Windows Registry bei falscher Handhabung gravierende Fehler hervorrufen und dann oftmals nur noch eine komplette Neuinstallation des Computers helfen kann. Befolgt man aber Schritt für Schritt die Anweisungen hier, fährt man sicher. Dieses Dokument ist jederzeit online abrufbar unter http://www.ppc.coolplatz.de 2 Spitzelfunktionen und Sicherheitslecks in Microsoft Windows XP INHALTSVERZEICHNIS Vorwort Inhaltsverzeichnis I Die Windows Produktaktivierung Umgehen der Produktaktivierung auf legalen Weg … und auf illegalen Weg II Der Internet Explorer Überprüfung auf Updates deaktivieren Internet Explorer im eigenen Prozess starten Planung für Updates ausschalten Bandbreitenbeschränkung aufheben Den Alxea-Dienst deinstallieren Internetseiten Authentifizierung abschalten Anzahl der gleichzeitigen Downloads erhöhen Anzahl der gleichzeitigen Serverbindungen setzen Die Autovervollständigung bearbeiten III Windows Media Player Abruf von Metadaten sperren Codec-Download sperren Erwerbung einer Lizenz verbieten Die Medienbibliothek eingrenzen Keine Daten mehr zur Medienverwaltung senden Identifikation durch Webseiten verhindern URLs und Daten nicht mehr im Verlauf speichern IV Die Fehlerberichterstattung Die Fehlerberichterstattung eingrenzen Fehlerbericht für bestimmte Komponenten… …im Windows Kernel …für bestimmte Pr ogramme V Windows Dienste Fehlerbenachrichtigungsdienst beenden Unwichtige Dienste ausschalten bringt Performance Uhrsynchronisierung mit dem Internet deaktivieren Dienste für den Taskplaner UPNP-Dienst beenden Nachrichtendienst beenden MSN Messenger Windowsstart deaktivieren MSN Messenger deinstallieren VI Spyware direkt im System Onlineregistrierung deaktivieren Auslagerungsdatei beim Beenden löschen Temporäre Dateien löschen Schnelles Beenden aktivieren Den Autostart organisieren Autostart mit AUTOEXEC.BAT Integrierte ZIP-Funktion deaktivieren Automatische Windowsanmeldung managen Cookies löschen Zugriff auf Windows Registrierungseditor sperren Windows Registrierung vorschummeln Einzelne Dateien und Zeichenfolgen aus dem Verlauf löschen 3 2 3 4 4 4 5 5 5 5 5 6 6 6 6 7 8 8 8 8 8 9 9 9 10 10 10 10 10 12 12 12 12 12 12 12 12 13 14 14 14 14 14 14 15 15 15 15 15 15 15 Spitzelfunktionen und Sicherheitslecks in Microsoft Windows XP I DIE WINDOWS PRODUKTAKTIVIERUNG Umgehen der Produktaktivierung auf legalen Weg Die Produktaktivierung ist eine neue Technologie von Microsoft, die die Verbreitung ihrer Software durch Softwarepiraterie einschränken und nach Möglichkeit sogar ganz unterbinden soll. Verwendung hierfür findet sich in den Office-Produkten und in Windows selber. Klar kann man Herrn Gates verstehen, dass es Geschäftsschädigend ist, wenn ihre Software kostenlos zwischen potenziellen Käufern gehandelt wird. Prinzipiell ist die Produktaktivierung nichts anderes als eine spontan generierter Schlüssel, der mit seinem Gegenstück von Microsoft, das Produkt frei schaltet. Obwohl es ziemlich einfach klingt verbirgt sich hierhinter eine sehr komplexe Materie, die man ohne Mathematikstudium kaum verstehen kann. Und da ergibt sich auch schon das Problem mit der Umgehung. Es ist einfach viel zu kompliziert, an diesen Codierungsschlüssel zu kommen und eine Software zu finden, die ein exaktes Gegenstück erstellt. Da bleibt – in Sinne von Microsoft – nur eine Aktivierung direkt über die Softwareschmiede. Dabei hat der Endbenutzer die Wahl zwischen einer telefonischen oder einer online Aktivierung. Am Sichersten ist bei diesen beiden Varianten immer noch das Telefon, weil man nie sicher sein kann, was neben den eigentlichen Schlüsselinformationen noch alles so an Daten über das TCP/IP - Protokoll an die Microsoft-Server gesandt wird. Aber auf Dauer ist dieser Vorgang einfach nur lästig und man hat ja als Käufer auch so seinen Stolz und möchte sich nicht jedes Mal melden und Zwangsaktivieren, wenn man beispielsweise seine Grafikkarte ausgetauscht hat. Es gibt allerdings noch eine kleine Lücke in diesem System. Und die liegt darin begründet, dass Windows die Information, ob ein System online aktiviert ist oder nicht in einer lokalen Datei auf der Festplatte abspeichert. Windows Explorer Ordner: Datei: Übergehen: %Systemroot%\System32 wpa.dbl Backup erstellen und vor nächster A ktivierung wpa.dbl überschreiben Es handelt sich hierbei um die Datei wpa.dbl im Ordner %Systemroot%\System32. Kopiert man diese Datei nach erfolgreicher Aktivierung als Backup in einen anderen Ordner, braucht man bei späterer Aufforderung der Neuaktivierung bloß noch die neue Datei durch das Backup überschreiben und Windows ist aktiviert. Und das Beste daran ist, dass dies sogar legal ist. Es handelt sich ja schließlich nur um eine Sicherungskopie einer Systemdatei und diese wurde ordnungsgemäß bei Microsoft registriert. … und auf illegalen Weg Neben dieser rechtlich ordnungsmäßigen Sache kann man ebenfalls die Windows Produktaktivierung überbrücken, in dem man eine so genannte Corporate Edition von Windows XP verwendet. Als Normaluser kommt man da höchsten durch eine Raubkopie ran, da diese Aus gabe nur für Großkonzerne gedacht war und hier die Aktivierungskonsole einfach von Haus aus deaktiviert ist. Sicher, wer hat schon Lust in einem Rechenzentrum diesen umständlichen Vorgang zweihundertmal auszuführen? Die weit verbreites te Version hat den CD-Key FCKGW-RHQQ2-*****-*****-*****. Leider gibt’s das aber eben nicht bei der normalen Home bzw. Professional Edition von Windows XP. 4 Spitzelfunktionen und Sicherheitslecks in Microsoft Windows XP II DER INTERNET E XPLORER Dass ein Internet-Browser gleich im Betriebssystem integriert ist, ist schon eine praktische Sache, so mal der Internet Explorer einer der Besten. Wie könnte es anderes sein, hat Microsoft wieder einmal seine Marktstellung ausgenutzt hat, um nicht genormte Standards als zusätzliche Funktionen zu integrieren. Damit kann der Browser dann zwar mehr, aber so booten sie auch gleich mal im Handumdrehen ihre Konkurrenten wie Netscape aus. Der fähigste Browser ist halt für den Ottonormaluser die erste Wahl, er muss ihn nicht extra installieren und kann gleich ohne weitere Installationen in Web. Als kleines Dankeschöngeschenk wurde Microsoft dann auch verklagt – zu Recht. Der Internet-Explorer bietet neben den Standardfunktionen auch einige Extras, die nicht direkt von Microsoft kommen. Leider weiß man nie, in wie weit der Microsoft Browser Daten an Microsoft sendet, wenn man gemütlich durchs World Wide Web surft. Eins ist klar, deinstallieren kann man ihn auf keinen Fall. Er ist eine fest integrierte Anwendung, die zum Ausführen des Betriebssystems nötigt ist. Das kommt daher, dass der Internet Explorer, der Windows Explorer und viele Microsoft Software hand in hand gehen. Ein Versuch von Microsoft, den Browser erst nach Aufforderung des Benutzers verwenden zu können (seit Windows XP Service Pack 1), ist eine Maßnahme den Klagen entgegenzuwirken. Da den Internet Explorer nun nicht löschen und nicht deaktivieren kann, sollte man auf jeden Fall die Sicherheitslücken abdichten. Überprüfung auf Updates deaktivieren Sobald eine neue Version des Browser via Microsoft Windows Update verfügbar ist, versucht der Internet Explorer eine Verbindung zu den Microsoft Servern herzustellen und so ganz nebenbei sich auf die aktuellste Version aufzupumpen. Fakt ist, dass dabei ein (unumgänglich nötiger) Datenaustausch mit den Onlineserver nötigt ist. Leider weiß man nie genau, was Windows da alles wieder verrät. Am sichersten ist es das Autoupdate einfach über die Windows Registry auszuschalten. Windows Registrierungseditor Hauptschlüssel: Unterschlüssel: Element: Element Typ: Überprüfung aktiviert: Überprüfung deaktiviert: HKCU Software\Microsoft\Internet Explorer\Main NoUpdateCheck REG_DWORD 0 1 Internet Explorer im eigenen Prozess starten Wer kennt das nicht, man surft gemütlich durchs Web, hat ein Dutzend Internet Explorer Fenster offen und ein Fenster verursacht einen Fehler – und ach alle Internet Explorer tauchen in die Versenkung ab. Das liegt daran, dass der Internet Explorer für alle Fenster nur einen realen Prozess anlegt und im Falle eines Fehlers kurzum alle Fenster schließt. In Version 5.0 konnte man über eine Einstellung in den Internetoptionen noch entscheiden, ob der Internet Explorer für jedes Fenster einen eigenen Prozess starten sollte. Das belastet zwar den Arbeitsspeicher ein wenig mehr, aber der Vorteil liegt klar auf der Hand. Ab der Version 5.01 nimmt der Internet Explorer diese Entscheidung dem Benutzer ab. Im Einzelnen heißt das, dass ab einen Arbeitsspeicher von mehr als 32 MB für jedes Fenster ein neuer Prozess gestartet wird. Allerdings funktioniert das nicht immer und man sollte auf jeden Fall in der Registrierung nachschauen, ob die Funktion wirklich aktiviert ist. Windows Registrierungseditor Hauptschlüssel: Unterschlüssel: Element: Element Typ: Eigener Prozess: Multipler Prozess: HKLM SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer BrowseNewProcess REG_SZ yes no Planung für Updates ausschalten Wenn man schon dabei ist, die Automatischen Updates zu deaktivieren, kann man gleich in einem Zug die Überprüfung auf neue Version des Windows Updates abstellen. In der Registry macht man folgendes: Windows Registrierungseditor Hauptschlüssel: Unterschlüssel: Element: Element Typ: Updates aktiviert: Updates deaktiviert: HKCU Software\Microsoft\Windows\CurrentVersion\Webcheck NoScheduledUpdates REG_ DWORD 0 1 Bandbreitenbeschränkung aufheben Ein großes Defizit bei schnellen Internetverbindungen ist die voreingestellte Bandbreitenbeschränkung von Windows XP. Dabei behält sich das Betriebssystem vor, 20% (!) der maximalen Datenrate für sich zu beanspruchen, um Daten jeglicher Art zu empfangen oder zu versenden. Diese fünfundzwanzig Prozent sind in den meisten Fällen viel zu hoch gegriffen. Es wird nie vorkommen, dass das Betriebssystem Daten in dieser Größenordnung zu versenden hat. Bei einem analogen Modem fällt das nicht so auf. Ist man aber stolzer Besitzer einer DSL Verbindung fallen die Verfügbaren 80% reichlich auf. Dabei stört es Windows überhaupt nicht, ob es nun fünfundzwanzig, achtzig oder null Prozent zur Verfügung hat. Um die Datenübertragung zu tunen, schraubt man einfach die Bandbreitenbeschränkung auf 0. 5 Spitzelfunktionen und Sicherheitslecks in Microsoft Windows XP Windows Registrierungseditor Hauptschlüssel: Unterschlüssel: Element: Element Typ: Prozent leget: HKCU Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\ LocalMachine\Software\Policies\Microsoft\Windows\Psched NonBestEffortLimit REG_ DWORD 0 - 100 Legt man also den Wert auf 0 ist die Bandbreitenbeschränkung passé. Den Alxea-Dienst deinstallieren Der Internet Explorer hat ein interessantes Feature an Board. Es handelt sich hierbei um eine Erweiterung der Firma Alexa, mit dem der Internet Explorer für die aktuell angezeigte Internetseite eine Reihe von themenverwandten Sites vorschlägt. Aufrufen kann das der Benutzer durch den Menüpunkt „Verwandte Links z eigen“. So weit sieht das alles ganz toll aus – jetzt kommt das aber. Damit der Explorer das kann sammelt er fleißig viele Informationen über besuchte Internetseiten des Benutzers und übergibt diese an die Software von Alexa. Auch wenn man nie diesen Menüpunkt verwendet – oder erst gar nicht bemerkt – hat, geht das alles voll automatisch im Hintergrund während des Surfens. Windows Registrierungseditor Hauptschlüssel: Unterschlüssel: Alexa Schlüssel: Alexa deaktivieren: Alexa aktivieren: HKCU Software\Microsoft\Internet Explorer\Extensions {c95fe080-8f5d-11d2-a20b-00aa003c157a} Schlüssel löschen (löscht entgültig!) Backup wiederherstellen Wenn der Schlüssel einmal gelöscht ist, wandert der Alexa-Dient über den Jordan. Es treten dabei keine Einschränkungen beim Surfen oder im Internet Explorer auf. Eine Möglichkeit ihn nachzuinstallieren oder über die GUI des Explorers wieder zu aktivieren sucht man allerdings vergeblich. Man sollte sich also eine Sicherungskopie dieses Schlüssels machen, wenn man ihn irgendwann später wieder verwenden will. Für Leute, die meinen diesen Dienst eh nie wieder zu benutzen (er ist schließlich Spyware!), kann ich sagen, dass Alexa ruhigen Gewissens entfernt werden kann. Internetseiten Authentifizierung abschalten Es kann vorkommen, dass man während des Surfens auf einer Internetseite – aus welchen Gründen auch immer – identifiziert werden soll. Normalerweise versucht Windows XP diese Identifizierung automatisch durch die Windowskennung des aktuellen Benutzers zu regeln. Windows Registrierungseditor Hauptschlüssel: Unterschlüssel: Element: Element Typ: Authentifizierung aktiviert: Authentifizierung deaktiviert: HKCU Software\Microsoft\Windows\CurrentVersion\Internet Settings EnableNegotiate REG_ DWORD 0 1 Anzahl de r gleichzeitigen Downloads erhöhen Wenn stört es nicht, dass man mit dem Internet Explorer höchstens vier Downloadfenster zur gleichen Zeit öffnen kann? Gut, diese Sicherheitsmaßnahme ist für ein analoges Modem sicher angebracht. Der Explorer bricht nun mal automatisch die Downloads ab, wenn sie unter eine bestimmte Downloadgeschwindigkeitsgrenze fallen und da sich die zeitgleichen Downloads die Bandbreite teilen müssen, bleibt nicht mehr viel. Aber aus einer Hight-Speed Internetverbindung kann man da noch etliches mehr rausholen und 10 Downloads sind da schon angebracht. Im Schlüssel KEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Internet Settings legt man die Anzahl der gleichzeitigen Downloads fest, indem man die maximale Anzahl als DWORD-Wert für das Element MaxConnectionsPerServer setzt, also beispielsweise 10. Anzahl der gleichzeitigen Serverbindungen setzen Versucht man mit dem Internet Explorer eine Seite aus dem Internet zu öffnen, stellt der Explorer eine Verbindung zu dem Server her, um die Daten zu laden und darzustellen. Je mehr Verbindungen er zu dem Server öffnen kann, desto schneller kann die gewünschte Seite geladen werden. Theoretisch gibt’s da keine Grenzen und man könnte sich mit 8 Serverkanälen die Seite loaden. Microsoft und das http-Protokoll 1.1 haben den einen Riegel vorgeschoben, in dem sie die maximale Anzahl der gleichzeitigen Serververbindungen auf 2 gesetzt haben. Im http- Protokoll 1.0 waren noch 4 zeitgleiche Verbindungen zu einer Internet Seite erlaubt. 6 Spitzelfunktionen und Sicherheitslecks in Microsoft Windows XP Allerdings kann man diese Sperre wieder aufheben, in dem man in der Registrierung im Schlüssel HKEY_CURRENT_USER\Software\ Microsoft\Windows\CurrentVersion\Internet Settings die DWORD- Elemente MaxConnectionsPerServer und MaxConnectionsPer1_0Server auf die gewünschte Zahl der gleichzeitigen Verbindungen setzt. Am günstigsten ist es dem Element MaxConnectionsPer1_0Server den doppelten Wert des MaxConnectionsPerServer zuzuweisen, beide Werte können aber auch gleichgroß sein. Die normalen Verbindungen zu einem Server richten sich zum größten Teil nach dem MaxConnectionsPerServer Wert. Die Autovervollständigung bearbeiten Windows XP merkt sich die Eingaben des Benutzers und versucht ihn durch Ergänzung bei der nächsten Eingabe zu unterstützten. Das kann in vielerlei Hinsicht nützlich sein, kann aber leider Gottes auch ausgenutzt werden. Ein Beispiel dafür wäre die automatische Vervollständigung für Internetseiten in der Adressleiste des Internet Explorers. Besucht man mal während der Arbeit die ein oder andere Seite und der Chef bekommt das über diese Autovervollständigung mit, ist der meistens gar nicht so erfreut. In der Windows Registrierung wird geregelt, ob die Adresseingabe gespeichert werden soll oder nicht. Windows Registrierungseditor Hauptschlüssel: Unterschlüssel: Element: Element Typ: URL Vervollständigung aktiviert: URL Vervollständigung deaktiviert: HKCU Software\Microsoft\Windows\CurrentVersion\Explorer\AutoComplete AutoSuggest REG_SZ yes no Der Internet Explorer bietet weiter die Möglichkeit diese Vervollständigung auch bei Eingabe von Formularen auf Internetseiten anzuwenden. Ist das unangenehm, kann man das ebenfalls über die Registry deaktivieren. Windows Registrierungseditor Hauptschlüssel: Unterschlüssel: Element: Element Typ: Formular -Vervollständigung aktiviert: Formular -Vervollständigung deaktiviert: HKCU Softw are\Microsoft\Internet Explorer\Main Use FormSuggest REG_SZ yes no So weit diese Vervollständigungsfunktion bei Webadressen und Formularen doch ab und zu von Nutzen ist, hört die Freundschaft bei Passwörtern auf. Leider hat der Internet Explorer auch für diese ehr private Angelegenheit die Augen und Ohren auf. Windows Registrierungseditor Hauptschlüssel: Unterschlüssel: Element: Element Typ: Passwort -Vervollständigung aktiviert: Passwort-Vervollständigung deaktiviert: HKCU Softw are\Microsoft\Internet Explorer\Main FormSuggest Passwords REG_SZ yes no Wenn diese Autovervollständigung für Passwörter aktiviert ist, kann es vorkommen, dass der Internet Explorer ohne Aufforderung einfach jedes Kennwort speichert. Windows Registrierungseditor Hauptschlüssel: HKCU Unterschlüssel: Software\Microsoft\Internet Explorer\Main Element: FormSuggest PW Ask Element Typ: REG_SZ Passwort - Nachfrage aktiviert: yes Passwort-Nachfrage deaktiviert: no 7 Spitzelfunktionen und Sicherheitslecks in Microsoft Windows XP III WINDOWS MEDIA PLAYER Der Media Player ist – wer sollte es noch nicht wissen – ebenfalls ein fester Bestandteil des Betriebssystems. Er bietet zahlreiche Möglichkeiten digitale Medien wie Videos oder mp3s abzuspielen. Sollte er irgendwann mal nicht weiter kommen, versucht er sich gleich Erste Hilfe bei seinem Hersteller zu besorgen. Ob es nun automatische Codec-Downloads sind, Erwerbung von Lizenzen oder der altbekannte Feind Verlauf, die Medienwiedergabe aus dem Hause Microsoft scheint sehr oft und sehr gerne via Internet zu kommunizieren. Was aber der Inhalt dieser Gespräche ist, wird der Menschheit wohl ewig ein Rätsel bleiben… und darum sollte man es einfach unterbinden. Abruf von Metadaten sperren Sobald man mit dem Internet verbunden ist versucht der Media Player diverse Metainformationen einer eingelegten Musik-CD oder einer DVD zu aktualisieren oder zu ergänzen. Dabei herrscht reger Datenfluss in beide Richtungen der Internetverbindung. In der Windows Registrierung kann man diesen automatischen Metadatenaufruf sperren. Windows Registrierungseditor Hauptschlüssel: Unterschlüssel: Element: Element Typ: Abruf aktivieren: Abruf deaktivieren: HKCU Software\Microsoft\MediaPlayer\Preferences MetadataRetrieval REG_DWORD 1 0 Wenn man doch wieder den Metadatenabruf braucht, sollte man den diesen Wert wieder auf 1 setzen. Codec-Download sperren Ein Codec (Coder-Decoder) ist eine schöne Sache, wenn man z.B. eine mit DivX codierte Filmdatei in den Händen hält. Die Komprimierung dieser Datei auf Seiten des Players läuft dann tadellos. Sollte der Media Player mal einen bestimmten Datenstream nicht dekomprimieren können, sucht er automatisch im Internet nach passenden Codec. Die Idee ist ja nicht schlecht, aber leider weiß man auch hier nicht, was der Media Player alles übermittelt. Man kann den automatischen CodecDownload in der Registry sperren. Windows Registrierungseditor Hauptschlüssel: Unterschlüssel: Element: Element Typ: Download aktivieren: Download deaktivieren: HKCU Software\Microsoft\MediaPlayer\Preferences UpgradeCodecPrompt REG_BINARY Element erstellen (Wert 00) Element löschen Will man den Autodownload wieder aktivieren, erstellt man einfach das REG_BINARY -Element mit den Werten 00 neu. Erwerbung einer Lizenz verbieten Einige Metadaten benötigen Lizenzen, um ordnungsgemäß wiedergeben werden zu können. Normalerweise kümmert sich der Media Player von alleine um die Beschaffung dieser Lizenzen. Das läuft alles im Hintergrund ab, ohne den Benutzer. Aber auch hier kommt wieder die alte Leier mit der Datensicherheit… wer auf Nummer Sicher gehen will, sollte die Erwerbung der Lizenzen deaktivieren. Windows Registrierungseditor Hauptschlüssel: Unterschlüssel: Element: Element Typ: Download aktivieren: Download deaktivieren: HKCU Software\Microsoft\MediaPlayer\Preferences SilentAcquisition REG_BINARY Element löschen Element erstellen (Wert 00) Die Medienbibliothek eingrenzen Der Media Player hat die Angewohnheit abgespielte Musik- und Videodateien in der hauseignen Bibliothek abzuspeichern. Für oft verwaltete Daten macht da noch sinn, aber leider weiß man nie was mit dem Inhalt dieser Bibliothek passiert, wenn der Media Player die frische Luft der Freiheit über das Internet richt... Datenübertragung? Wie auch immer, diese Einstellung lässt sich über die Registrierung abschalten. Windows Registrierungseditor Hauptschlüssel: Unterschlüssel: Element: Element Typ: Archivierung aktivieren: Archivierung deaktivieren: HKCU Software\Microsoft\MediaPlayer\Preferences AutoAddMusicToLibrary REG_DWORD 1 0 8 Spitzelfunktionen und Sicherheitslecks in Microsoft Windows XP Keine Daten mehr zur Medienverwaltung senden Wenn man den Media Player benutzt, werden in regelmäßigen Abständen Daten zu den Microsoft Servern gesendet, dass der Media Player ausgeführt wird. Microsoft offizielles Statement dazu ist, das es weder vertrauenswürdige noch persönlich Daten sind und dies lediglich zur Verbesserung des Players dient. Aber wer weiß, was da noch so alles über die Leitung wandert? Am besten ist es, diese fragwürdige Funktion des Media Players zu deaktivieren. Windows Registrierungseditor Hauptschlüssel: Unterschlüssel: Element: Element Typ: Senden aktivieren: Senden deaktivieren: HKCU Software\Microsoft\MediaPlayer\Preferences UsageTracking REG_DWORD 1 0 Identifikation durch Webseiten verhindern Wenn man auf einer Webseite surft, kann es in vereinzelten Fällen vorkommen, dass die Seiten die GUID des Computer abfragt, um den aktuellen Benutzer eindeutig zu erkennen. GUID ist eine Abkürzung für Global Unique Identifier, zu Deutsch gobaler eindeutiger Bezeichner. Es handelt sich dabei um eine 128-Bit Ganzzahl. Die Wahrscheinlichkeit, dass eine solche Zahl (zufallsgeneriert) zweimal auf der Welt erstellt wird ist so unwahrscheinlich, dass die Zahl als einzigartig bezeichnet werden kann. Darum kann man an dieser Zahl eindeutig identifiziert werden. Die Identifikation durch Webseiten mittels dieses Bezeichners ist aber in den seltensten Fällen nicht dringend notwenig und auch nicht auf Seiten des Benutzers erwünscht. Aus Sicherheitstechnischen Gründen sollte man diese Funktion des Media Players einfach deaktivieren. Windows Registrierungseditor Hauptschlüssel: Unterschlüssel: Element: Element Typ: Identifikation aktivieren: Identifikation deaktivieren: HKCU Software\Microsoft\MediaPlayer\Preferences SendUserGUID REG_BINARY Element löschen Element erstellen (Wert 00) Löscht man das Element wieder, ist alles wie vorher. URLs und Daten nicht mehr im Verlauf speichern Öffnet man Dateien mit dem Media Player speichert dieser die Adresse der Dateien in der Registrierung, um sie später durch den Öffnen-Dialog für schnelleren Zugriff wieder bereitzustellen. Das erspart hier und da zwar etwas Schreibarbeit, aber jeder Benutzer, der über das lokale Benutzerkonto auf den Media Player zurückgreift kann ebenfalls die Liste dieser Dateien einsehen. Die Adressen werden zwar nicht über das Internet an irgendwelche Server weitergesendet, aber das Speichern dieses Verlaufs kann unter Umständen zu unerwünschten Nebeneffekten führen und sollte ebenfalls deaktiviert werden. Windows Registrierungseditor Hauptschlüssel: HKCU Unterschlüssel: Software\Microsoft\MediaPlayer\Preferences Element: DisableMRU Element Typ: REG_DWORD Verlauf aktivieren: 0 Verlauf deaktivieren: 1 Mit 0 ist die Funktion wieder aktiviert. 9 Spitzelfunktionen und Sicherheitslecks in Microsoft Windows XP IV DIE FEHLERBERICHTERSTATTUNG Obwohl immer arg behauptet wird, dass Windows XP das Beste Betriebssystem aus dem Hause Microsoft sei und seine Vorgänger um längen übertrifft, so kann man doch behaupten, dass es alles andere als Fehlerfrei ist und bis zum Super OS noch eine ganze Wegstrecke zurückgelegt werden muss. Auch Microsoft weiß das und deshalb hat man sich eine ganz flinke Problemlösung einfallen lassen. Sollte mal im Verlauf der Betriebszeit ein irreparabler Fehler auftreten oder ein Programm oder gar das ganze Betriebssystem in einem riesigen cholerischen Anfall in die Knie gehen, so fordert Windows einen auf , einen so genannten Fehlerbericht online zu senden. In diesem Bericht sind wichtige Anwendungs - und Speichersignaturen enthalten. Sie sollen helfen, die Ursache für den Fehlerfall ausfindig zu machen. So weit klingt das alles ganz gut, aber neben diesen besagten Signaturen kommt noch einiger Ballast hinzu. Unter anderem werden Microsoft eventuell ein Abbild des Arbeitsspeichers oder zu mindestens Ausschnitte zugesandt. Sollen sich zum Zeitpunkt des Absturzes private Dateien im RAM befinden, werde die natürlich mit verpackt. So erhält Microsoft nebenher auch noch die IP des lokalen Computers und die Windows Produkt ID zur eindeutigen Identifizierung der verwendeten Lizenz. Entgegen den Willen von Microsoft diese Fehlerreporte weiterzureichen ist es viel sicher die umstrittene Funktion endgültig zu unterbinden. Die Fehlerberichterstattung eingrenzen Am Anfang steht die Entscheidung, ob man überhaupt diese skurrile Funktion von Windows nutzen möchte. Windows Registrierungseditor Hauptschlüssel: Unterschlüssel: Element: Element Typ: Fehlerberichte aktivieren: Fehlerberichte deaktivieren: HKLM SOFTWARE/Microsoft/PCHealth/ErrorReporting DoReport REG_DWORD 1 0 Selbst wenn der allgemeine Fehlerbericht damit ausgeknipst ist, so kann es bei schwerwiegenden Fehlern dennoch dazu kommen, dass Windows mit einem Bericht drängt. Das liegt daran, dass man die Fehlerberichterstattung für kritische Fehler gesondert deaktivieren muss. Was auch immer Microsoft unter kritischen Fehler meint… Windows Registrierungseditor Hauptschlüssel: HKLM Unterschlüssel: SOFTWARE/Microsoft/PCHealth/ErrorReporting Element: ShowUI Element Typ: REG_DWORD Bei kritischen Fehler senden aktiviert: 1 (unabhängig von DoReport) Bei kritischen Fehler senden deaktiviert: 0 (unabhängig von DoReport) Bei kritischen Fehler senden deaktiviert: 3 (DoReport = 1) Fehlerbericht für bestimmte Komponenten… Wenn man dann doch für Microsoft als kostenloser Tester dienen möchte, kann man noch entscheiden, bei welchen Fehlern ein Bericht gesendet werden soll. Folgende Tweaks setzen DoReport = 1 voraus. … im Windows Kernel Allen voraus kann es zu einen Systemausfall oder Fehler direkt im Betriebssystem kommen. Windows Registrierungseditor Hauptschlüssel: Unterschlüssel: Element: Element Typ: Kernel Fehler senden aktiviert: Kernel Fehler senden deaktiviert: HKLM SOFTWARE/Microsoft/PCHealth/ErrorReporting IncludeKernelFaults REG_DWORD 1 0 … für bestimmte Programme Nun kann man sich entscheiden, ob man Fehler bei Programmen senden möchte. Daneben hat man noch die Möglichkeit Programme für die Berichterstattung auszuschließen oder die Fehlerberichterstattung nur für bestimmte Programme durchführen zu lassen. Windows Registrierungseditor Hauptschlüssel: HKLM Unterschlüssel: SOFTWARE/Microsoft/PCHealth/ErrorReporting Element: AllOrNone Element Typ: REG_DWORD Senden für alle Programme aktiviert: 1 Senden für alle Programme deaktiviert: 2 Senden nur für bestimmte Programme: 0 10 Spitzelfunktionen und Sicherheitslecks in Microsoft Windows XP Wenn man den Wert 0 setzt, kann man in den Unterschlüsseln InclusionList die Programme bestimmen, die als alleinige in die Fehlerberichterstattung eingebunden werden. Dafür erstellt man ein DWORD- Element mit dem Namen der Anwendung (Beispielsweise notepad.exe) und weist ihn den Wert 1 zu. Mit 0 ignoriert die Fehlerberichterstattung diesen Eintrag. Neben einem Unterschlüssel gibt es noch den ExclusionList Schlüssel. In ihm werden alle Programme aufgeführt, die nicht in die Fehlerberichterstattung eingebunden werden sollen. Um Programme auszuschließen, erstellt man ein DWORD- Element mit dem Namen der Anwendung und weist ihm den Wert 1 zu. Mit 0 ignoriert die Fehlerberichterstattung diesen Eintrag. Microsoft sieht ihre eigenen Produkte scheinbar nicht als normale Anwendungen, den man muss sie explizit aktivieren oder deaktivieren. Dafür gibt es im Schlüssel HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/PCHealth/ ErrorReporting zwei DWORD- Elemente, die jeweils mit 0 die Berichterstattung deaktivieren und mit 1 aktivieren. Diese Elemente sind IncludeMicrosoftApps für alle Microsoft Programme und IncludeWindowsApps für alle Windows Komponenten. 11 Spitzelfunktionen und Sicherheitslecks in Microsoft Windows XP V WINDOWS DIENSTE Ein Dienst ist eine Anwendung oder ein Prozess, der Aufgaben zur Unterstützung oder zur Umsetzungen von Problemlösungen innerhalb des Betriebssystems laufen. Microsoft Windows Dienste laufen meist vom User unbemerkt im Hintergrund und erledigen dort ihre (meist) sinnvollen Aufgaben. Leider hat nicht jeder Dienst der läuft eine wirklich annehmbare Lebensberechtigung. So verschwenden viele Dienste nur unnötig Rechenzeit und belasten die CPU ohne das sie jemals wirklich richtig benötigt werden und zeit ihres Lebens nur Ballast für den RAM darstellen. Und gerade dieser Ballast kann den Computer an vielen Stellen ausbremsen. Gerade was die Rechen- bzw. reale Arbeitsgeschwindigkeit des hauseigenen PCs angeht sind viele Benutzer sehr eigen. Da geht’s halt wie in der Formel1 – es zählt jeder Bruchteil einer Sekunde. Außerdem können manche Dienste sogar wirkliche Probleme und Sicherheitslücken darstellen. Man erinnert sich jetzt mit tiefen Denkerfalten an den Blaster Wurm. Im Grunde hat er auch nichts anderes gemacht, als einen fast schon (aus Microsoft’s sicht…) lebenswichtigen Dienst von Windows beendet und so schloss das Betriebssystem als Schutzmaßnahme die aktuelle Sitzung und fuhr sich runter. Die Microsoft Programmier hätten auch eine Routine schreiben können, dass dieser ach so wichtige Dienst einfach wieder startet, sollte er mal aus unerfindlichen Gründen beendet werden. Aber warum diese Mühe – Windows XP ist ja fehlerfrei ;) Fehlerbenachrichtigungsdienst beenden Unwichtige Dienste ausschalten bringt Performance Uhrsynchronisierung mit dem Internet deaktivieren Sobald man mit dem Internet verbunden ist verrät Microsoft immer wie spät es ist und was rät man selbst dabei? Da das eine doch berechtigte Frage ist – wir kennen ja mittlerweile ihre Unternehmensphilosophie – ist auf jeden Fall angebracht diesen gut gemeinten Freundschaftsdienst mit einen künstlich aufgelegten Grinsen auszuschlagen. Dabei ist die Idee an sich leicht fragwürdig. Ist die Computeruhr so ungenau, dass sie aller paar Tage neu gestellt werden muss?! Hier gibt es prinzipiell zwei Möglichkeiten dies zu umgehen. Entweder man deaktiviert den Dienst zu Uhrsynchronisierung (der sicherste Weg!) oder man wählt sich einen anderen Anbieter von dem man seine Atomuhrgenaue Systemzeit bezieht. Um den Dienst zu deaktivieren wechselt man in den Schlüssel >> und setzt für das DWORD- Element >> den Wert >>. Um den Dienst wieder zu aktivieren, setzt man ihn wieder auf den Standardwert von >>. Wer dann doch nicht völlig auf die Internetsynchro verzichten kann – die Systemuhr ist nun mal sooo ungenau ;) – gibt es da einen Weg über die Windows Registrierung. Im Schlüssel >> ändert man für das DWORD- Element >> den Wert von >> auf >>. Für diesen Wert kann eigentlich jeder beliebige Anbieter gewählt werden, der einen solchen Dienst über das Internet zur Verfügung stellt. Dienste für den Taskplaner UPNP-Dienst beenden Nachrichtendienst beenden Eigentlich ist der Nachrichtendienst nicht wirklich gefährlich, aber wer schon mal auf Arbeit in einem Rechenzentrum mit mehreren vernetzten Computern gearbeitet hat, der wird sicher den NET SEND befehl des Betriebssystems zu hassen gelernt haben. Und auch so trifft man während einer laufenden Internetverbindung ab und zu auf eine MessageBox mit bedeutungschwangerem Inhalt. Meist wird einen dort ein Verweis zu einer URL angegeben, auf der man gegen ein kostenloses Zugangstool Unmengen an Daten beziehen kann oder sich Sc hönheiten per WebCam betrachten kann. Zuständig hierfür ist der Nachrichtendienst. Um diesen Dienst zu deaktivieren, wechselt man in den Schlüssel >> und ändert für das DWORD- Element >> den Wert auf >>. Mit >> ist der Dienst wieder aktiv. MSN Messenger Windowsstart deaktivieren Und wieder versucht Microsoft sich einen neuen Absatzmarkt zu ergattern. Wo AOL AIM ist, soll seitens Microsoft MSN Messenger werden… Und auch hier ist die Idee im Ansatz gar nicht mal so verwerflich. Schließlich fordert Micros oft weder Grundgebühr noch andere Gelder für die Nutzung des Messengers. Aber nicht jeder möchte diese Software verwenden und umsteigen. Eine Überlegung wäre es wert, wenn der Messenger auch die Formate der anderen Instant Messenger lesen könnte. Wer eine Alternative zum Messenger oder AIM sucht, sollte mal einen Blick auf den Allrounder Trillian unter http://www.trillian.com werfen – denn der kann das alles, einen vorhandenen Account bei dem jeweiligen Anbieter vorausgesetzt. Zurück zum MSN Messenger. Damit das alles auch so klappt ist der Messenger eine feste Komponente von Windows XP, die auch immer brav mit dem Betriebssystem startet und sich in der TNA 1 einnistet. Wie gesagt, nicht jeder wünscht diesen Messenger und es zum Teil mit Umständen verbunden, diesen Autostart zu deaktivieren. Entgegen frühren Windows Versionen spielt der Systemordner Autostart keine besonderst große Rolle mehr, da die Windows Registrierung hier eine bessere Alternative bietet. Schließlich ist diese Datenbank und der in ihr versteckten Autostart für die 1 TNA steht für Task Notification Area und bezeichnet den Bereich links neben der Systemuhr. Im deutschen bekannt (wie sinnvoll?!) als Infobereich. 12 Spitzelfunktionen und Sicherheitslecks in Microsoft Windows XP meisten Benutzer nicht ohne weiteres einsehbar. Weiter unten werde ich speziell auf diese verschiedenen Schlüssel der Registry eingehen. In der Registrierung existiert im Schlüssel HKEY_CURRENT_USER\Software\ Microsoft\Windows\ CurrentVersion existiert ein Schlüssel namens Run. In ihm finden sich alle Pfade zu den einzelnen Anwendungen, die mit Windows starten sollen. Das RG_SZ-Element mit Namen MSMSGS repräsentiert den MSN Messenger. Löscht man dieses Element wird der Messenger nicht mehr automatisch mit dem Betriebssystem gestartet. Umbenennen dieses Elements bringt in diesem Fall keinen Effekt, auch unterscheidet die Windows Registrierung nicht zwischen Groß- und Kleinschreibung. Genau genommen ist der Name dieser Zeichenfolge egal, solange der Pfad zur Anwendung stimmt. Um den Messenger doch wieder mit dem System starten zu lassen, muss man einfach eine neue Zeichenfolge MSMSGS erstellen. Anschließend weist man ihr den Wert2 %PROGRAMFILES%\Messenger\msmsgs.exe zu. MSN Messenger deinstallieren Die Deinstallation des MSN Messengers war vor dem Service Pack 1 von Windows XP nicht über die grafische Benutzeroberfläche möglich. Durch die ganzen Kartellklagen gegen die Softwareschmiede hat sich Microsoft dann doch entschieden, sowohl für Microsoft Internet Explorer als auch für den MSN Messenger eine Deinstallationsroutine zu integrieren. Der Internet Explorer wird dabei zwar nicht entfernt, sondern nur seine Verknüpfungen im Startmenü, Schnellstart und Desktop – aber steht auf einem anderen Blatt. Um den MSN Messenger unter Windows XP SP1 aus dem Zug zu werfen, kann man sich das über die Windows Komponenten in den Softwareeigenschaften der Systemsteuerung vornehmen. Bei Windows XP ohne installierten Service Pack sieht das dann schon etwas düsterer aus. Es fehlt scheinbar jegliche Schnittstelle, um dem Messenger zu entsagen. Aber wie sagte Agent Smith in Matrix schon so schön – Wie wir ja wissen kann der Anschein oft trügen. Tatsächlich kann man ihn auch ohne jegliche Benutzeroberfläche deinstallieren (funktioniert auch bei Service Pack 1) Man öffnet den Ausführen-Dialog über Start | Ausführen und gibt RunDLL32 advpack.dll,LaunchINFSection %windir%\INF\msmsgs.inf,BLC.Remove in die Befehlszeile ein. Läuft der Messenger noch, kommt eine Abfrage zum Beenden. Quittiert man diese dann noch mit Ja, wird der Messenger gelöscht und aus der Windows Registrierung ausgetragen. 2 %PROGRAMFILES% ist eine Systemvariable und steht für den Programme-Ordner des Betriebssystems. Im Allgemeinen entspricht das C:\Programme. 13 Spitzelfunktionen und Sicherheitslecks in Microsoft Windows XP VI SPYWARE DIREKT IM SYSTEM Nicht nur durch irgendwelche externe oder fest verdrahtete Komponenten w eist Windows XP so manche Sicherheitslücke auf – oh nein. Es gibt da einige Spitzel- und PhoneHome-Funktionen tief im System Kern. Man muss hat bloß wissen, wo man suchen muss. So können diverse Softwareanbieter ihre Anwendungen direkt mit Windows starten lassen, ohne das der Benutzer sie im Autostart-Ordner löschen kann. Wenn dann diese Anwendung noch ohne Benutzerfläche daher kommt und nur als Prozess im Hintergrund läuft, kann das ganz schön ins Auge gehen. Lass das mal ein Dailer sein – dann wird’s böse. Onlineregistrierung deaktivieren Auslagerungsdatei beim Beenden löschen Temporäre Dateien löschen Bei jeder Installation, beim Bearbeiten von Dokumenten oder bei Updates lagert Windows Bruchstücke der jeweiligen Datei oder eine Kopie in einen speziellen Systemordner aus. Das ist durchaus Sinnvoll für den Zugriff auf diese Dateien. Eine Ausnahme hierbei stellt wieder einmal die Software von Microsoft dar (Man fragt sich, warum sie sich eigentlich nie an ihre eigenen Regeln halten?!). So speichert Microsoft Word beispielsweise seine temporären Dateien als versteckte Datei mit kryptischen Dateinamen direkt im gleichen Ordner der aktuellen Datei ab. Klar löscht Word diese Dateien wieder, nachdem das Dokument geschlossen wird. Kommt es aber nicht mehr dazu, weil Beispielsweise Windows abgestürzt ist, bleiben die Daten versteckt auf der Festplatte liegen und müssen vom Benutzer selbst gelöscht werden. Ein Hoch auf Microsoft! Zurück zu den Menschen, die sich daran halten, ihre Daten im extra dafür geschaffenen Systemordner speichern. Viele davon werden wieder durch die jeweilige Anwendung entfernt, aber leider nicht alle. So kann dieser Ordner nach einiger Zeit auf eine beachtliche Größe anschwellen (500 MB und mehr!) und unnütz Speicher belegen. In Windows werden die temporären Dateien an unterschiedlichen Ort abgelegt. Als Hauptsammelpunkt für normale Dateien hier gilt der Ordner TEMP direkt im %SYSTEMROOT% (meist C:\Windows) des Betreibssystems oder C:\Dokumente und Einstellungen\Benutzername\Temp. Für zwischengespeicherte Dateien aus dem Internet steht meist3 der Ordner C:\Dokumente und Einstellungen\Benutzername\Lokale Einstellungen\ Temporary Internet Files. Die Zeichenfolge Benutzername muss durch den Namen des gewünschten Benutzerkontos ersetzt werden. Zudem kommen dann noch ein paar Temp-Ordner von Drittanbietern hinzu. So erstellt Corel Draw beispielsweise einen solchen Ordner direkt auf jeder Festplatte, falls gewünscht. Um die temporären Dateien zu löschen muss man den gesamten Inhalt der folgenden Ordner löschen. Ein kleiner Tipp hierbei: man sollte die Option Versteckte Dateien und Ordner im Menü Extras | Ordneroptionen im Windows Explorer deaktivieren, um wirklich alle Dateien löschen zu können. Systemweit: %SYSTEMROOT%\Temp Benutzerkontospezifisch: C:\Dokumente und Einstellungen\Benutzername\Temp Internetdateien je Benutzer: C:\Dokumente und Einstellungen\Benutzername\Lokale Einstellungen\Temporary Internet Files Bei Corel Draw: C:\Temp (falls vorhanden) Die temporären Internetdateien sind meist Grafiken, die der Microsoft Internet Explorer zusätzlich auf der Festplatte abspeichert, um beim nächsten Aufruf der Seite den Seitenaufruf zu beschleunigen, da er auf die Daten der Festplatte zurückgreifen kann. Löscht man den Inhalt dieses Ordners legt der Browser nach und nach wieder Dateien von besuchten Webseiten darin ab. Durch das Löschen der Dateien aus den anderen Systemordner wird bloß zusätzlicher Festplattenspeicher freigeben, da diese Dateien meist nie wieder gebraucht werden. Das Entfernen dieser Dateien führt zu keinen Datenverlust von Dateien oder Programmen aus anderen Ordnern. Schnelles Beenden aktivieren Den Autostart organisieren Microsoft Windows XP kennt mehr als nur einen Ort, um Verknüpfungen von Programmen beim Systemstart auszuführen. Allerdings kann das manchmal zu unerwünschten Nebeneffekten führen oder eine Anwendung lässt sich von sich aus nicht mehr aus dem Autostart entfernen. Zu frühen Anfangszeiten von Windows 95, als gerade die DOS-User langsam mit zugekniffenen Augen ihre ersten Gehversuche in der neuen GUI des 32-Bit Betriebssystems machten, war auch flankenseitig der Softwareindustrie die Windows Registrierung als Organisationswerkzeug noch verkannt. Microsoft empfahl zwar, sämtliche Programmkonfigurationen zentral in dieser neuen Datenbank abzuspeichern (um das Chaos mit den individuellen INI- Dateien aus Windows 3.x Zeiten zu vermeiden), aber so richtig hielt sich niemand daran. Auch war der Systemordner Autostart für die Softwareschmieden ein ideales Instrument, um ihre Anwendungen beim Systemstart automatisch zusammen mit dem Betriebssystem auszuführen. Das waren noch Optimisten! Getrost konnte man damals einfach unliebsame Anwendungen manuell aus diesem Ordner löschen und konnte sich gewiss sein, bei der nächsten Windowssitzung nicht wieder behelligt zu 3 Ich sage hier bewusst meist, da man zwar nicht über die grafische Benutzeroberfläche des Betriebssystems, sehr wohl aber über die Windows Registrierung diese Systemordner an eine beliebige Stelle auf der Festplatte verschieben kann. 14 Spitzelfunktionen und Sicherheitslecks in Microsoft Windows XP werden. Man soll mich an dieser Stelle nicht falsch verstehen. Natürlich gab es schon damals die Möglichkeit seine Anwendungen über die Registrierung starten zu lassen und auch die nötigen APIs (Application Programming Interface) waren schon ins Betriebssystem integriert, bloß hat das niemand konsequent gemacht. Die Arbeiten mit dem Autostartordner waren einfach viel leichter zu managen und reichten 1995 einfach aus . In Windows XP gibt es prinzipiell 7 Orte, an den sich Anwendungen für den Systemstart einnisten können. Da wäre zum ersten der alt gediente Autostart-Systemordner. Als Einziger unter den Sieben wird er direkt manuell mit Verknüpfungen zu den jeweiligen Pfaden der Anwendungen gefüllt. Entgegen dem der Rest nur mit Zeiger in Formen von Zeichenfolgen in vordefinierten Registrierungsschlüsseln arbeitet. Das wären die Schlüssel Run (Äquivalent zum Autostartordner nur halt in der Registrierung), RunOnce (für einmalige Systemstarts. Dieser Schlüssel wird nach erfolgreichen Hochfahren automatisch geleert) und RunOnceEx . Diese Schlüssel sind einmal beschränkt auf das aktuelle Benutzerkonto und Computerweit verfügbar. Der Autostartordner und die zwei mal drei Schlüssel machen zusammen sechs Orte. Sechs Orte, an denen man unter Umständen suchen muss, um ein böswilliges Programm am Autostart zu hindern! Um unerwünschte Anwendungen den automatischen Systemstart zu untersagen, muss man lediglich die jeweiliges Verknüpfungen bzw. die jeweiliges REG_SZ-Elemente aus dem Ordner/Schlüssel entfernen und das Problem ist gelöst. Autostart pro Benutzerkonto: Autostartsystemordner: C:\Dokumente und Einstellungen\Benutzername\Startmenü\Programme\Autostart Run: HKCU\Software\Microsoft\Windows\CurrentVersion\Run RunOnce: HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce Autostart Computerweit: Autostartsystemordner: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart Run: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run RunOnce: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce RunOnceEx: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx Im Übrigen ist das bloße Umbenennen der Objekte zwecklos, da nicht der Datei- bzw. Elementname ausschlaggebend is t, sondern der Inhalt. Autostart mit AUTOEXEC.BAT Neben den Starts durch den Autostartordner und –schlüssel in der Registrierung gibt es da noch die altbekannte Autoexec (auto execute) Batchdatei. Entgegen den früheren Windowsversionen, wird sie zwar offiziell nicht mehr von Windows XP verwendet, kann allerdings über einen verstecken Registryeintrag wieder zur Knechtschaft gezwungen werden. Normalerweise existiert sie bei Windows XP überhaupt nicht im System und erstellt man diese Stapeldatei selbst, ignoriert das Betriebssystem sie großzügig. Nun kann es aber sein, dass man sich einen Virus eingefangen hat, der gerade diese vermeidliche Datei wieder reaktiviert und den DOS Befehl format c: hineinschreibt. Und schon hat man das Malheur. Windows wird starten, die Datei vorfinden, sie – man glaubt es kaum – doch wieder ausführen und schließlich zu einen großen Staunen seitens des Benutzers führen. Wie gesagt, im Regelfall ist Windows XP gegen solche Wagnisse gewappnet, aber durch die Windows Registrierung kann das Parsen der Autoexec.bat eben erzwungen werden. Am Sichersten ist es, wenn man auf Nummer sicher geht. Im Schlüssel HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\ CurrentVersion\Winlogon existiert eine REG_SZ-Zeichenfolge mit Namen ParseAutoexec. Setzt man den Wert auf 1 wird Windows die Datei ohne Nachfrage ausführen. Steht der Wert auf 0 wird die Stapeldatei ignoriert. Integrierte ZIP-Funktion deaktivieren Automatische Windowsanmeldung managen Cookies löschen Zugriff auf Windows Registrierungseditor sperren Windows Registrierung vorschummeln Einzelne Dateien und Zeichenfolgen aus dem Verlauf löschen 15 Spitzelfunktionen und Sicherheitslecks in Microsoft Windows XP 16 Spitzelfunktionen und Sicherheitslecks in Microsoft Windows XP Dieses Buch wird sich in 5 Sekunden selbst zerstören… 17