Wenn man Windows in seinen Standard-Einstellungen betreibt, poppt beim Anschließen eines neuen Laufwerks – egal ob per USB, FireWire oder eSATA immer ein Auswahlmenü auf, mittels welchem einem verschiedene Optionen für die auf dem Laufwerk gefundenen Dateien angeboten werden. So weit, so bekannt – weniger breit bekannt ist allerdings, daß Windows neben dem Durchsuchen des neuen Laufwerks für diese Funktionalität auch nach einer Datei namens "autorun.inf" im Hauptverzeichs des neuen Laufwerks sucht und diese dann blind ausführt.

Damit sollte schon klar sein, daß dies ein perfektes Einfallstor für Schadcode aller Art ist – dies war schon klar, als Microsoft diese "großartige" Idee hatte, schließlich ist die Verbreitung von Viren über Datenträger wesentlich älter als diejenige über das Internet. Microsoft hat hier vorsätzlich mit der Sicherheit der Windows-Nutzer gespielt und es ist eher verwunderlich, daß diesbezüglich bislang keine ganz großen Schäden herausgekommen sind. Aber die Fälle mehren sich – beispielsweise hat auch der derzeit grassierende Conficker-Wurm eine Verbreitungsroutine, welche ihn befähigt, externe Laufwerke und Datenträger zu infizieren.

Demzufolge soll in diesem kurzen Artikel gezeigt werden, wie man sich gegenüber dieser schweren Sicherheitslücke wappnet. Wir hatten diese Problematik schon einmal in unserem Blog angesprochen, dabei aber nur auf Microsofts eigene Ausführungen verlinkt – und da Microsoft diese inzwischen erneut verändert und verkompliziert hat, wollen wir es an dieser Stelle nun lieber einfach machen und selber die benötigten Informationen zum Schließen dieser Sicherheitslücke bereitsstellen.

Zuerst wäre zu sagen, daß es aufgrund der Natur der Sicherheitslücke (es ist ja eine Designentscheidung seitens Microsoft) keinen direkten Schutz mittels eines Patches gibt – der Windows-Nutzer kann sich in diesem Fall nur manuell schützen, indem er die Autorun-Funktionalität deaktiviert. Dafür gab es schon in der Vergangenheit diverse Anleitungen im Internet, welche aber durch einen Programmierfehler seitens Microsoft nicht perfekt waren, neuere Schadsoftware konnte sich trotzdem daran vorbeischummeln. Das Altwissen zu diesem Fall ist also bitte zu vergessen, die alten Anleitungen führen nicht mehr zum Ziel.

Auch die neue Anleitung setzt allerdings einen gewissen Patchstand voraus, bei welchem die manuelle Deaktivierung der Autorun-Funktionalität erst wirklich funktioniert. Leider gibt es hier einen gewissen Wirrwarr an Möglichkeiten: Unter Windows XP muß entweder das Update 953252 oder das Update 967715 installiert sein, unter Windows Vista das Update 950582 – wobei nur die beiden letztgenannten über die Auto-Update-Funktionalität von Windows verteilt werden. Wer diese nutzt (oder eines der beliebten Update-Packs) dürfte den essentiellen Patch für die Autorun-Funktion somit schon auf seinem System haben. Alternativ kann man sich auch in Microsofts Download-Center die vorgenannten Patch-Nummern heraussuchen und einen davon herunterladen.

Danach muß an der Windows-Registry eine manuelle Änderung vorgenommen werden. Unter den Pro-Versionen von Windows XP/Vista macht man dies einfach mit dem Gruppenrichtlinien-Editor, welche man unter Start/Ausführen nach Eingabe von "gpedit.msc" erreicht. In diesem Gruppenrichtlinien-Editor geht man dann in der Baumstruktur der linken Spalte über die Unterpunkte "Computerkonfiguration / Administrative Vorlagen / System" (bei Windows XP) bzw. "Computerkonfiguration / Administrative Vorlagen / Windows-Komponenten" (bei Windows Vista) vorwärts, bis in der rechten Spalte der Punkt "Autoplay deaktivieren" auftaucht:

Danach konfiguriert man diesen Eintrag "Autoplay deaktivieren", indem man sich durch einen Rechtsklick die näheren Eigenschaften dieser Funktion ansieht. Im Originalzustand steht diese Funktion auf "Nicht konfiguriert", geändert werden muß dies auf "Aktiviert" (was nicht bedeutet, daß der Autostart aktiviert wird, damit wird nur die Funktion zum Deaktivieren des Autostarts aktiviert – kompliziert gemacht, ist aber so). Zum anderen wird dann ein weiteres Menü freigelegt, wo man festlegen kann, auf welchen Laufwerken der Autostart deaktiviert werden soll. Per default steht dieses nur auf "CD-ROM-Laufwerke", dies muß auf "Alle Laufwerke" geändert werden. Nach dem Übernehmen der Änderungen sollte das Eigenschaften-Feld ergo folgendermaßen aussehen:

In der Ansicht des Gruppenrichtlinien-Editors steht denn auch beim Punkt "Autoplay deaktivieren" der neue Status "Aktiviert" als Kennzeichnung, daß hier eine manuelle Änderung gemacht wurde. Wie üblich wird diese Änderung aber erst nach einem Neustart des Systems aktiv, so daß man diesen danach durchführen sollte.

Da es den Gruppenlichtlinien-Editor bei den einfache Home-Editionen von Windows XP/Vista nicht gibt, ist hier eine direkte Änderung an der Windows-Registry notwendig, welche aber unseres Wissens nach auch nichts anderes macht als vornotierte Änderung mittels des Gruppenlichtlinien-Editor. Dazu ist der Registrierungs-Editor zu bemühen, welchen man unter Start/Ausführen nach Eingabe von "regedit" erreicht. In diesem hangelt man sich wiederum in der Baumstruktur der linken Spalte zum Unterpunkt "HKEY_LOCAL_MACHINE / Software / Microsoft / Windows / CurrentVersion / policies / Explorer" durch.

In der rechten Spalte sollte dann der Eintrag "NoDriveTrypeAutoRun" auftauchen. Wenn dieser den Wert "0x000000ff (255)" hat, ist alles in Ordnung – genau so sollte es sein. Wenn nicht, wäre der Eintrag entsprechend zu ändern. Mit einem rechten Mausklick auf den bewussten Eintrag erreicht man das Änderungsmenü, dort gibt man in das bereitstehende Feld schlicht "ff" (ohne weitere Nullen) ein. Danach sollte die Sache so aussehen:

Mit dem Wert "ff" wird wieder der Autostart für alle neu angeschlossenen Laufwerke verhindert – die Funktionalität ist die völlig gleiche wie bei der Methode über den Gruppenlichtlinien-Editor, welche aber wie gesagt nur unter den Pro-Versionen von Windows XP/Vista funktioniert. Der vorstehend ebenfalls zu sehende Eintrag "HonorAutoRunSetting" gibt im übrigen an, ob das System die manuellen Änderungen des Benutzers überhaupt beachtet. Dieser Wert wird mit den vorerwähnten Patches automatisch auf den Wert "1" geändert und sollte natürlich auch auf diesem Wert bleiben. Auch hier setzt natürlich erst ein Neustart die getätigten Änderungen in die Tat um.

Eigentlich ist es also eine kleine Änderung – allerdings wurde sie bisher eher nur von Paranoikern vorgenommen, welche der autostartende Dialog von Windows beim Anschluß eines neuen Datenträgers störte, weniger denn aus Sicherheitsbedenken heraus. Genau aus diesem Punkt sollte man aber besser auf den Komfort des autostartenden Dateidialogs verzichten, weil dieser leider eben auch jegliche Schadprogramme mit auslösen kann. Und neuere Schadprogramme nutzen nun einmal jeden Verbreitungsweg – auch den der doch sehr beliebten mobilen Datenträger. Schon das Stichwort "beliebt" sollte einen in Sicherheitsfragen aufhorchen lassen – alles, was irgendwie weit verbreitet ist, wird heutzutage automatisch zur Zielscheibe.

Demzufolge gehört vorstehende Anleitung unserer Meinung nach zum Grundrüstzeug jedes PCs und sollte bei eventuellen Neuinstallationen auch ganz automatisch mit abgespult werden. Erst nach Befolgen dieser neuen Anleitung kann garantiert werden, daß auf externen Datenträgern befindliche Schadprogramme nicht gleich schon beim Anschließen an den eigenen PC auf diesen überspringen.