Ein Betriebssystem (OS) ist die Softwareschicht zwischen Nutzer:innen/Anwendungen und der Hardware. Es teilt CPU-Zeit zu, verwaltet Speicher und Dateien, steuert Geräte und stellt über Systemaufrufe sowie Shell/GUI eine einheitliche Schnittstelle bereit, damit Programme effizient und sicher laufen.
- Prozess- & CPU-Management: Prozesse erstellen/beenden, Threads auf CPU-Kernen einplanen.
- Speicherverwaltung: RAM zuweisen, virtuellen Speicher umsetzen und Isolation durchsetzen.
- Geräte- & I/O-Verwaltung: Datenträger, Netzwerkkarten, Tastaturen über Treiber abstrahieren.
- Dateisystem-Verwaltung: Daten in Dateien/Verzeichnissen mit Berechtigungen organisieren.
- Security & Accounting: Authentifizierung, Autorisierung, Logging, Quoten.
- Schnittstelle für Benutzer & Programme: Shell/GUI und Systemcall-API.
- Kernel: privilegierter Kern im Kernel Mode; zuständig für Scheduling, Speicher, Treiber, Dateisysteme und IPC.
- Shell: Nutzeroberfläche (CLI oder GUI), interpretiert Befehle und startet Programme.
- Systemaufrufe (syscalls): kontrollierte Eintrittspunkte aus dem User Space in Kernel-Dienste (z. B.
open, read, execve, CreateProcessW).
Kernel-Stile im Cyber-Kontext:
- Monolithisch (z. B. Linux): die meisten Dienste im Kernel.
- Mikrokernel: verschiebt Dienste in den User Space für Modularität.
- Hybrid (z. B. Windows, XNU): Kombination aus beiden.
- Prozess: laufendes Programm mit eigenem virtuellem Adressraum.
- Thread: einplanbare Einheit innerhalb eines Prozesses, teilt sich dessen Speicher.
- Scheduler: entscheidet über die Ausführung (FCFS, SJF, Priorität, Round-Robin, MLFQ). Verständnis von Präemption vs. Nicht-Präemption, Kontextwechseln und Verhungern ist essenziell für Performance und Forensik.
- Virtueller Speicher: gibt jedem Prozess einen isolierten logischen Adressraum, gestützt von RAM und Disk (Paging).
- Seitenersetzungs-Algorithmen (z. B. FIFO, LRU, Optimal) balancieren Lokalität und Overhead.
- Schutzmechanismen (User/Kernel Mode, Seitenrechte) verhindern gegenseitige Beeinflussung von Prozessen.
- OS bieten Dateisysteme (z. B. ext4/XFS unter Linux, NTFS/ReFS unter Windows) mit Metadaten, Berechtigungen/ACLs und Journaling für Robustheit.
- Block-I/O (Disks/SSDs) nutzt Scheduler; Zeichen-I/O (Terminals) ist stromorientiert.
- Platten-Scheduling (z. B. SCAN/LOOK) sowie Buffering/Caching erhöhen den Durchsatz.
Typische Phasen:
- UEFI/BIOS initialisiert Hardware und findet den Bootloader.
- Bootloader lädt Kernel (und initramfs) in den Speicher.
- Kernel initialisiert Subsysteme, mountet Root-FS, startet ersten User-Space-Prozess (
init/systemd oder Windows Session Manager).
- Dienste und Anmelde-/Sitzungsmanager starten.
Nutzeraktionen laufen im User Mode; der OS-Kern im Kernel Mode.
Gemeinsame Primitive:
- Identitäten & Gruppen; Rechte (rwx, ACLs), Eigentümerschaft und Privilegien-Grenzen.
- Policy-Enforcement (Windows: UAC, Group Policy; Linux: DAC + MAC wie SELinux/AppArmor).
- Auditing & Logging (Windows-Ereignisprotokolle, syslog/journald unter Linux).
Hygiene: Least Privilege, regelmäßiges Patchen, starke Authentifizierung.
- Virtuelle Maschinen (VMs): emulieren vollständige Hardware, um mehrere OS parallel zu betreiben.
- Container: (Linux-Namespaces/cgroups) isolieren Prozesse auf gemeinsamem Kernel — schneller Start, hohe Dichte; geeignet für Produktion und Labs.
- Desktop: Windows, macOS, Linux-Distributionen — Produktivität, Entwicklung, Gaming.
- Server: Linux/Windows Server — headless Dienste, Performance- und Security-Tuning.
- Mobile: Android/iOS — App-Sandboxing und mobile Sicherheitsparadigmen.
- Linux:
useradd, groupadd, passwd -l, Dateien /etc/passwd, /etc/shadow.
- Windows:
net user, net localgroup, MMC „Local Users & Groups“.
- Linux:
apt, dnf, yum, apk.
- Windows: Winget/Chocolatey; Windows Update Dienst (
wuauserv).
- Linux:
systemctl enable|start <service> (systemd) oder service (SysV).
- Windows: Service Control Manager (
sc config/start/stop), Services.msc.
- Linux:
chmod, chown, umask; Dateisysteme ext4/XFS.
- Windows: NTFS-ACLs (GUI oder
icacls), Vererbung, Auditing.
- Linux:
/var/log/*, journalctl; logrotate für Rotation/Kompression.
- Windows: Ereignisanzeige → Application/Security/System; Aufbewahrungsrichtlinien via Group Policy oder Konsole.
- Linux:
journalctl -u <svc>, dmesg, top/htop, ss -tulpn, lsof, strace.
- Windows: Filter in der Ereignisanzeige, Resource Monitor, Process Explorer,
Get-WinEvent, Get-Process, netstat, Sysinternals-Tools.
- Logs rotieren, zentralisieren (syslog → SIEM) und Aufbewahrungs-/Zugriffsrichtlinien definieren. logrotate ist das Standard-Tool für automatische Rotation unter Linux.
Linux
- Root-SSH deaktivieren (
PermitRootLogin no), Schlüssel-Authentisierung erzwingen.
- Regelmäßig patchen; minimale Pakete; Firewall (
ufw/nftables).
- Sensible Dateirechte korrekt setzen (z. B.
/etc/shadow 640, Eigentümer root:shadow).
- logrotate und zentrales Logging konfigurieren; fehlgeschlagene Logins überwachen.
Windows
- NLA für RDP erzwingen; Gastkonto deaktivieren; starke Sperr-Policies.
- Windows Update aktiv halten; Defender + SmartScreen an.
- Lokale Admin-Nutzung begrenzen; Least Privilege; AppLocker/WDAC.
- Log-Aufbewahrung definieren und an SIEM weiterleiten.
- Was ist ein OS? Schnittstelle zwischen Nutzer/Anwendungen und Hardware; verwaltet Ressourcen und stellt Dienste bereit.
- Prozess vs. Thread? Prozess hat eigenen Adressraum; Threads teilen ihn und sind die Scheduling-Einheit.
- Was ist virtueller Speicher? Abstraktion, die Prozessen isolierte Adressräume via Paging und Sekundärspeicher gibt.
- Kernel vs. Shell? Kernel = privilegierter Kern; Shell = UI (CLI/GUI), kommuniziert über Syscalls mit dem Kernel.
- Monolithisch vs. Mikrokernel? Monolithisch: die meisten Dienste im Kernel; Mikrokernel: minimales Kernel, Dienste im User Space.
In einer Wegwerf-VM bzw. einem Container ausführen.
Linux
# 1) Benutzer & Gruppen
sudo groupadd secops && sudo useradd -m -g secops -s /usr/sbin/nologin secops && sudo passwd -l secops
# 2) Pakete (Debian/Ubuntu)
sudo apt-get update -y && sudo apt-get install -y htop && htop --version && sudo apt-get remove -y htop
# 3) Dienste (systemd)
sudo systemctl enable --now cron || echo "Not available here"
# 4) Logrotation
cat | sudo tee /etc/logrotate.d/custom <<'EOF'
/var/log/custom.log {
weekly
rotate 4
compress
missingok
notifempty
create 0640 root adm
}
EOF
sudo touch /var/log/custom.log && sudo chown root:adm /var/log/custom.log && sudo chmod 0640 /var/log/custom.log
# 5) SSH-Hardening
sudo sed -i 's/^#\?PermitRootLogin.*/PermitRootLogin no/' /etc/ssh/sshd_config && sudo systemctl restart ssh || true
Windows (PowerShell als Administrator)
# 1) Benutzer & Gruppen
net user secops /add /y
net localgroup "Users" secops /add
# 2) Pakete via winget (oder Chocolatey, falls vorhanden)
winget install --id=7zip.7zip -e; winget uninstall --id=7zip.7zip -e
# 3) Dienste
sc config wuauserv start= auto
sc start wuauserv
# 4) Log-Aufbewahrung (Beispiel: Application = 64MB)
wevtutil sl Application /ms:67108864
# 5) RDP + NLA empfohlen (Group Policy / System Properties > Remote)
- ACL: Access Control List — fein granulare Berechtigungen auf Objekten.
- Kontextwechsel (Context Switch): CPU-Zustand sichern/wiederherstellen, um Threads zu wechseln.
- Journaling-Dateisystem: protokolliert Änderungen für Crash-Resilienz.
- Kernel/User Mode: CPU-Privilegstufen, die erlaubte Operationen bestimmen.
- Paging: Verschieben von Seiten zwischen RAM und Datenträger.
- Präemption: Scheduler unterbricht laufenden Thread zugunsten eines anderen.
- Systemaufruf (syscall): API-Grenze vom User Space in Kernel-Dienste.
- Schlüsselwörter in H1/H2 einbauen: „Operating System Basics“, „OS for Cybersecurity“, „Linux vs Windows administration“.
- Interne Links zu Beiträgen über Linux CLI, Windows Registry, SIEM/Logging und Threat Hunting ergänzen.
- Cheat Sheet zum Download und Lab-Skripte anbieten, um Verweildauer und Backlinks zu erhöhen.
- FAQ mit JSON-LD (FAQPage) auszeichnen, um Rich Results zu erhalten.