Bereits seit Windows 10 haben Nutzer viele gute Sicherheitsfunktionen im Betriebssystem zur Verfügung. Allerdings sind diese nicht immer aktiv oder korrekt eingestellt. Wir haben für Sie zehn Sicherheitstipps für Windows 10/11 zusammengestellt, mit denen Sie Ihren Schutz verbessern.

Der Antivirus-Schutz Defender von Windows arbeitet sehr gut und effektiv gegen digitale Schädlinge. Daher sollten Sie sich überlegen, ob Sie auf eine alternative Schutzlösung setzen wollen oder ob Ihnen der Defender ausreicht. Mit im Paket ist die klassische Abwehr gegen Viren & Co., ein Ransomware-Schutz, eine Firewall und ein angekoppelter Browserschutz in Edge, Bild 1.

Alles in allem ist das ein starkes Paket, das auch in Labortests immer wieder gut abschneidet, etwa bei av-test.org.

Der Defender hat nur ein paar Nachteile in seiner Verwaltung. Während andere Schutzpakete für Windows alles unter einem Dach anbieten, gibt es keine wirkliche Schutzzentrale in Windows. Das meiste findet sich zwar unter Windows-Sicherheit, allerdings gibt es nicht wie bei anderer Software Unterpunkte und Ein- und Ausschalter.

Nutzen Sie deshalb die praktische Gratis-Software Defender UI (defenderui.com). Sie läuft unter Windows 10 und 11. Damit erweitern Sie zum Beispiel den Ransomware-Schutz der Systemordner um eigene Ordner. Im Tool können sie auch genau steuern, wann Windows Defender das System scannen soll.

Diese Tipps und noch viele mehr zur Steuerung von Defender UI und Windows Defender finden Sie auch im PCtipp 8/2024, S. 12, oder via Link go.pctipp.ch/3378.

Windows hat eine gut funktionierende Fernsteuerungsfunktion, den Remote-Desktop (kurz RDP). Diese ist in der Regel unter Windows aktiviert. Allerdings: Sehr viele Hacker-Angriffe nutzen diese Funktion, um in PCs und Netzwerke einzudringen. Wenn Sie RDP nicht brauchen, sollten Sie es zur Erhöhung der Windows-Sicherheit abschalten, Bild 2.

Das geht sehr einfach: In Windows 10 geben Sie im Start-Menü die Bezeichnung
Remotedesktopermittlung ein, unter Windows 11 heisst es Einstellungen für Remote Desktop. Öffnen Sie die Einträge. Die beiden Fenster sind sehr ähnlich. Sie bieten den Schalter Remote Desktop aktivieren. Schieben Sie diesen auf Aus und niemand hat mehr Zugriff per RDP.

Das Netzwerkprofil ist sehr mächtig und besonders für Notebook-Nutzer wichtig, die öfter unterwegs sind. In den Einstellungen verwalten Sie, wie sich ihr Netzwerkadapter in den Netzwerken Öffentlich und Privat verhalten soll. In der Regel passen die meisten dieser Einstellungen. Wenn Sie allerdings mit dem Rechner oder Notebook in ein anderes Netzwerk gehen, kann es sein, dass das Profil Privat aktiv ist. Damit ist ihr Rechner nicht nur sichtbar, sondern (zumindest der Tauschordner) erreichbar. Öffentliche Angriffe über WLANs haben so bereits stattgefunden.

Wenn Sie viel unterwegs sind und andere Netzwerke nutzen, können Sie mit wenigen Klicks ihr Netzwerk besser sichern: Schalten Sie beim Profil Privat die Netzwerkerkennung aus. Somit sind Sie zwar im Netzwerk, aber nicht ohne weiteres auffindbar. Dazu geben Sie in Windows 10 unter Start einfach Netzwerkstatus ein, klicken auf Netzwerk- und Freigabecenter und auf Erweiterte Freigabeeinstellungen. Dort im Profil Privat schalten Sie die Netzwerkerkennung aus.

Bei Windows 11 geht das fast genauso. Geben Sie bei Start den Begriff Einstellungen ein, klicken Sie im Statusfenster auf Ethernet und Eigenschaften Privates Netzwerk. Hier wechseln sie zu Öffentliches Netzwerk, Bild 3. Der Wechsel zurück ist genauso einfach.

Dank der Benutzerkontensteuerung von Windows (User Account Control, kurz UAC) gibt es seit Windows 10 eine besondere Schutzschicht. Sie erschwert Angreifern die Installation von Software oder die Veränderung von wichtigen Einstellungen. Sobald Sie etwa eine Anwendung installieren, verdunkelt sich der Bildschirm und eine Meldung wird eingeblendet, bei der Sie zustimmen müssen, da Sie der Administrator sind.

Die UAC-Steuerung bietet vier Einstellungen an, wobei in der Regel die dritte von vier Stufen aktiv ist. Bei Stufe 1 gibt es keinen Hinweis, wenn Software installiert oder eine Systemänderung vorgenommen wird. Diese Einstellung ist keinesfalls zu empfehlen.

Die voreingestellte dritte Stufe ist ein Kompromiss zwischen Sicherheit und Bequemlichkeit. So wird man als Nutzer immer informiert, wenn Apps Veränderungen am System vornehmen. Allerdings: Wenn ein Angreifer eine Windows-Anwendung übernimmt und etwas verändert, geschieht das im Namen des Administrators – also in Ihrem Namen – und es gibt keine Benachrichtigung im System, der Sie zustimmen müssen.

Unser Tipp: Lassen Sie sich immer informieren und schieben Sie den Einstellungs­regler auf die Stufe 4, also nach ganz oben, Bild 4. Ab sofort informiert Sie das System bei jeder Änderung.

Geben Sie dazu in Windows 10 und 11 bei Start einfach UAC ein und wählen Sie Einstellung der Benutzerkontensteuerung ändern. Jetzt schieben Sie den Regler ganz nach oben, klicken auf OK und bestätigen noch die weitere Abfrage mit OK.

Das Windows-Tool BitLocker ist ein sehr effektives Werkzeug, um Festplatten zu verschlüsseln. Allerdings: Es steht unter Windows erst ab der Version Pro zur Verfügung. Wenn Sie keine Pro-Version haben, aber die Funktion unbedingt nutzen wollen, können Sie den Windows-Key ändern. Das kostet Sie unter Windows 10 weniger als 10 Franken und beim Wechsel von Windows 11 Home auf Pro etwa 30 Franken.

Das Verschlüsseln eines Laufwerks ist sehr einfach: Geben Sie im Start-Menü den Begriff Bitlocker ein und starten Sie das Tool. In der Übersicht sehen Sie alle vorhandenen Laufwerke Ihres Windows-PCs. Suchen Sie das gewünschte Laufwerk aus und klicken Sie daneben auf den Eintrag BitLocker aktivieren. Das System verlangt nach einem neuen Passwort, das Sie auch bestätigen müssen. Das Passwort sollte recht stark sein, mit Grossbuchstaben, Zahlen und Sonderzeichen. Nach der Angabe des Passworts bietet Ihnen die weitere Abfrage das Sichern des Wiederherstellungsschlüssels an. Diesen sollten Sie als Datei aufbewahren und auch ausdrucken. Nur so können Sie das Laufwerk wieder entschlüsseln.

Wenn Sie das ganze Betriebssystem verschlüsseln, kommen Sie nach dem Booten nur noch mit dem Passwort in das System. Vielleicht sollten Sie daher nur ein Laufwerk mit persönlichen Daten verschlüsseln und nicht alle Windows-Daten.

Sehr interessant ist übrigens die Funktion BitLocker To Go. Damit können Sie einen USB-Stick oder einen anderen mobilen Speicher verschlüsseln. Ein mit BitLocker To Go verschlüsselter USB-Stick kann sogar auf
einem Windows-Home-System geöffnet werden. Obwohl die Windows-Home-Version keine BitLocker-Verschlüsselung unterstützt, kann sie BitLocker-verschlüsselte Laufwerke lesen und entsperren, sofern das richtige Passwort oder der Wiederherstellungsschlüssel vorhanden ist, Bild 5.

Es gibt unter Windows 10 und 11 viele mächtige Tools und Funktionen, die Sie vielleicht gar nicht nutzen. Schalten Sie daher Dienste und Funktionen aus, die Sie nicht verwenden, etwa den Remote-Desktop (siehe Tipp 2), die Dateifreigabe, Bluetooth oder veraltete Netzwerkprotokolle. So schmälern Sie die Möglichkeit für Angriffe auf Ihren PC.

Per Datei- und Druckfreigabe lassen sich Ordner und Laufwerke für andere Netzwerkpartner freigeben. Aber wenn Sie diese Funktion nicht benötigen, schalten Sie diese aus. Wie in Tipp 3 beschrieben, wechseln Sie in Ihr Netzwerkprofil Privat und deaktivieren dort die Datei- und Druckerfreigabe. Selbst bereits freigegebene Order oder Laufwerke sind nun für Dritte verschlossen.

Aber auch Bluetooth ist eine Tür in Ihr System. Viele Desktop-PCs bringen die Funktion mit und aktivieren sie automatisch mit dem oft kombinierten WLAN-Bluetooth-Modul. Unter Windows 11 reicht ein Klick auf das Netzwerksymbol in der Taskleiste und auf den Bluetooth-Button. Wenn er blau ist, ist er aktiviert, Bild 6. Unter Windows 10 geben Sie bei Start den Begriff Bluetooth ein und schieben im folgenden Fenster den Schalter auf Aus.

Eine weitere Altlast sind betagte SMB-Netzwerkprotokolle. Sie sorgen dafür, dass man auf ältere Geräte als Netzlaufwerke zugreifen kann. Die alten Versionen sind SMB 1.0 und 1.1. Die Versionen 2.0 und 3.0 sind aktuell. Die alten Protokolle sind anfällig für verschiedene Arten von Angriffen. Geben Sie unter Windows 10 oder 11 im Start-Menü den Begriff Windows Features ein und klicken Sie auf Windows-Features aktivieren oder deaktivieren. Suchen Sie dort den Eintrag Unterstützung für die SMB 1.0/CIFS-Dateifreigabe und entfernen Sie alle Häkchen – auch bei den Untereinträgen. Meistens möchte Windows danach einen Neustart, Bild 7.

Eines der grössten Sicherheitsprobleme unter Windows sind installierte Anwendungen. Es gibt zum Beispiel im Adobe Acrobat Reader extrem viele Sicherheitslücken und Malware, die das ausnutzt. Daher ist es sehr wichtig, alle installierten Anwendungen aktuell zu halten, da so Sicherheitslücken geschlossen werden. Bei Windows-Programmen oder Office passiert das automatisch per Windows-Update. Auch viele Treiber werden so gepatcht und aktuell gehalten. Aber was ist mit anderer Software? Die Antwort ist das kostenlose Tool Patch My PC. Sie erhalten die praktische Software unter der Internetadresse patchmypc.com/product/home-updater. Einmal installiert, aktualisiert das Tool für Sie die Programme automatisch im Hintergrund. Sie müssen nicht einmal Dialoge beantworten.

Installieren und starten Sie das Tool. Es dauert etwas, bis die vorhandene Software eingelesen und bewertet ist. Sofort werden Tools als Outdatet (also veraltet) markiert und zum Update angeboten, Bild 8. Stellen Sie zuerst
unter Settings den Regler bei Before installing applications or updates, create a system restore point auf Ein. Das ist der normale Wiederherstellungspunkt unter Windows, um das System im Notfall zurücksetzen zu können.

Danach aktualisieren Sie ihre Anwendungen einzeln oder alle nacheinander durch einen Klick auf Start Updater. Die Datenbank kennt über 500 Tools und hat passende Updates. Übrigens: Sie können die angebotenen Tools auch direkt installieren lassen. Oder mit dem integrierten Uninstaller sauber deinstallieren lassen.

Viele Anwender kennen diese Funktion eher von Android-Handys: Welche App hat welche Berechtigungen für den Zugriff auf Mikrofon, Kamera und mehr? Auch unter Windows 10 und 11 können Sie das prüfen und bei Bedarf ändern. Am schnellsten kommen Sie zur Übersicht mit den Tasten Windowstaste+I und Datenschutz respektive Datenschutz und Sicherheit. In der Leiste sehen Sie eine Übersicht aller Geräte. Unter Aktivitätsverlauf speichert Windows alles, was Sie am PC gemacht haben. Dort können Sie den Verlauf abschalten und löschen, wenn Sie möchten.

Bei den Einträgen Kamera, Mikrofon oder etwa Mails sehen sie, welche Programme darauf Zugriff haben, Bild 9. Sobald Sie ein Tool in der jeweiligen Liste finden, das keine Berechtigung haben sollte, deaktivieren Sie den Schieberegler – das war es schon. Die Berechtigung ist weg.

Wenn Sie Ihre Arbeit am PC unterbrechen und ihn kurz verlassen, können Sie dafür sorgen, dass der Zugriff gesperrt wird und niemand etwas nachschauen kann. Die Zeit dafür ist variabel. Entweder lassen Sie den Screen durch den Bildschirmschoner sperren, durch die Energiesparoption oder sofort durch eine Tastenkombination. Für die ersten beiden Varianten geben Sie unter Start den Begriff Sperr ein und wählen Einstellungen für Sperrbildschirm. Unter den Punkten Bildschirm-Zeitüberschreitung oder Bildschirmschoner legen Sie fest, nach welcher Zeit der Bildschirm ausgehen soll. Sofort klappt es mit Windowstaste+L.

Recht neu ist die dynamische Sperre. Damit lässt sich ein via Bluetooth-Funk gekoppeltes Handy als Schlüssel verwenden. Sobald sich der Anwender zu weit vom PC entfernt, verschliesst sich die PC-Oberfläche. Dazu müssen Sie zuerst via Windowstaste+I und Geräte das Bluetooth-Handy registrieren. Danach drücken Sie Windowstaste+I und gehen via Suchfunktion zu Dynamische Sperre. Im Dialog aktivieren Sie Zulassen, dass Windows Ihr Gerät in Ihrer Abwesenheit automatisch sperrt, Bild 10.

Der Zugang wird bei Windows 10 und 11 durch die Funktion Windows Hello geschützt. Die meisten Anwender nutzen dabei einen PIN-Code oder ein kurzes Passwort. Windows bietet aber viele weitere Optionen, die wesentlich sicherer sind. So lässt sich per Webcam die Freischaltung durch die Gesichtserkennung nutzen. Als andere biometrische Anmeldefunktion unterstützt Windows die Fingerabdruckerkennung. Dazu ist natürlich ein Fingerabdruckscanner nötig. Es gibt sogar die Möglichkeit, einen USB-Stick als Zugangsschlüssel zu registrieren.

Eine weitere Option mit etwas Charme: Ein Bildcode, der mit Gesten erstellt wird. Sie wählen dazu ein Bild aus und können mit Kreisen, Linien oder anderen Gesten auf dem Bild den Bildschirm freigeben. Die Einrichtung geht am besten mit Geräten, die eine Touchscreen-Bedienung unterstützen, etwa Notebooks oder Convertibles. Aber auch die Mausnutzung ist möglich. Das Ganze finden Sie per Eingabe von Hello unter Start. Damit kommen Sie zu den Anmeldeoptionen.