|
Sie sind Hier:
Startseite
Service
Viren und Sicherheit
Dienste unter Windows
Dienste
unter Windows 2000 und XP deaktivieren:
Die Betriebssysteme
Windows2000 und XP starten beim Systemstart
viele Dienste, die nicht unbedingt notwendig
sind und als Eintrittspforte für Angreifer benutzt
werden können. Die Anleitungen helfen dabei,
diese nicht benötigten Dienste zu deaktivieren.
- Windows
2000 Dienste deaktivieren:
Vor dem Einsatz
eines Firewallsystems sollten zunächst sämtliche
Dienste überprüft und gegebenenfalls die nicht
notwendigen Dienste deaktiviert werden. Ein
deaktivierter Dienst kann nicht über eine Verbindung
angesprochen und muss demnach auch nicht durch
ein Firewall blockiert werden.
Die nachfolgende Anleitung bezieht sich auf
eine Standardinstallation des Betriebssystems
Windows 2000 Professional und dem Einsatz auf
einem Einzelplatzrechner. Wird der Rechner innerhalb
eines LANs oder mit Serverdiensten für ein Netzwerk
mit beispielsweise Proxy-, Web-, FTP-, Mailserver
oder Router eingesetzt, müssen die Dienste weitgehend
bestehen bleiben, da die Netzfunktionalität
ansonsten nicht mehr gegeben ist.
Vor der Änderung der Dienste ist eine Sicherung
der Systemkonfiguration in Form eines Backups
der Systempartition empfehlenswert, um nicht
funktionierende Änderungen zeitnah restaurieren
zu können.
Als Hilfsmittel zur Bewertung der Konfiguration
und der Änderungen sind nachfolgende Netz-Werkzeuge
empfehlenswert:
TCPView zur Kontrolle offener Ports
Bei der Standardinstallation des Systems sind
verschiedene Dienste und somit Ports offen,
die auf einem Einzelplatzrechner nicht notwendig
sind:
- epmap
(Port TCP/UDP 135)
- isakmp
(Port UDP 500)
- microsoft-ds
(Port TCP/UDP 445)
- netbios-ssn
(Port TCP 139)
- netbios-ns
(Port UDP 137)
- netbios-dgm
(Port UDP 138)
So werden die
Dienste netbios-ssn, netbios-ns und netbios-dgm
deaktiviert:
- Aufruf
der Systemsteuerung
- Auswahl
von Netzwerk- und DFÜ Verbindungen
- Eigenschaften
auswählen
- TCP/IP
Protokoll markieren
- Eigenschaften
auswählen
- Erweiterte
Eigenschaften auswählen
- Tabellenreiter
WINS auswählen
- NetBIOS
über TCP/IP deaktivieren
- Dialog
mit OK bestätigen und Meldung mit Ja bestätigen
- Im Hauptdialog
DFÜ-Verbindung markieren
- Eigenschaften
auswählen
- Tabellenreiter
Netzwerk auswählen
- Häkchen
an "Datei- und Druckerfreigabe für Microsoft
Netzwerke" entfernen
- Client
für Microsoft Netzwerke entfernen
- Im Hauptdialog
Netzwerk- und DFÜ Verbindungen auswählen
- Erweiterte
Einstellungen auswählen
- Häkchen
entfernen an "Bindung für LAN-Verbindungen"
Die Ports 137,
138 und 139 sind damit geschlossen und die Dienste
netbios-ssn, netbios-ns und netbios-dgm deaktiviert.
Port 445 ist ebenfalls geschlossen, obwohl er
bei der Kontrolle noch als "Listening" also
als horchend anzeigt wird.
Als nächstes gilt es, epmap, isakmp und microsoft-ds
zu deaktivieren, was auf folgende Weise ausgeführt
werden kann:
- Auf "Start"
und "Ausführen" klicken
- Eingabe
von dcomcnfg.exe und mit der Eingabetaste
bestätigen
- Tabellenreiter
Standardeigenschaften auswählen
- Häkchen
entfernen an "DCOM (Distributed COM) auf
diesem Computer aktivieren"
- Tabellenreiter
"Standardprotokolle" auswählen
- Alle Protokoll-Bindungen
entfernen
- Alles
mit OK bestätigen und den Dialog beenden
Anschließend
werden die Dienste neu konfiguriert. Die Konfiguration
wird über die Verwaltung der Dienste durchgeführt,
die wie folgt aufgerufen wird:
-
Systemsteuerung/Verwaltung/Dienste
Es wird ein
Fenster mit einer tabellenartigen Struktur und
einer Auflistung der Dienste angezeigt. Die
Einstellungen der Dienste können mit einem Doppelklick
auf den Dienst geöffnet werden. Eingestellt
wird der Starttyp, der sich mittig des Eigenschaftenfensters
befindet. Hier stehen verschiedene Starttypen
zur Verfügung. Der erforderliche Starttyp wird
immer an erster Stelle genannt, dann die nachfolgend
so einzurichteten Dienste:
Vor dem Einsatz
eines Firewallsystems sollten zunächst sämtliche
Dienste überprüft und gegebenenfalls die nicht
notwendigen Dienste deaktiviert werden. Ein
deaktivierter Dienst kann nicht über eine Verbindung
angesprochen und muss demnach auch nicht durch
ein Firewall blockiert werden.
Die nachfolgende Anleitung bezieht sich auf
eine Standardinstallation des Betriebssystems
WindowsXP Professional und dem Einsatz auf einem
Einzelplatzrechner. Wird der Rechner innerhalb
eines LANs oder mit Serverdiensten für ein Netzwerk
mit beispielsweise Proxy-, Web-, FTP-, Mailserver
oder Router eingesetzt, müssen die Dienste weitgehend
bestehen bleiben, da die Netzfunktionalität
ansonsten nicht mehr gegeben ist.
Vor der Änderung der Dienste ist eine Sicherung
der Systemkonfiguration in Form eines Backups
der Systempartition empfehlenswert, um nicht
funktionierende Änderungen zeitnah restaurieren
zu können.
Als Hilfsmittel zur Bewertung der Konfiguration
und der Änderungen sind nachfolgende Netz-Werkzeuge
empfehlenswert:
TCPView zur Kontrolle offener Ports
So werden die
Dienste netbios-ssn, netbios-ns und netbios-dgm
deaktiviert:
- Aufruf
der Systemsteuerung und dort Netzwerkverbindungen
- Eintrag
unter DFÜ auswählen und mit der rechten
Maustaste markieren
- Eigenschaften
auswählen
- Tabellenreiter
Netzwerk auswählen
- Häkchen
entfernen an "Datei- und Druckerfreigabe
für Microsoft Netzwerke
- Client
für Microsoft Netzwerke entfernen
- Internet-Protokoll
TCP/IP auswählen
- Eigenschaften
auswählen
- Tabellenreiter
WINS auswählen
- Auswählen
von "NetBIOS über TCP/IP deaktivieren"
- Dialoge
mit OK bestätigen
- Rechner
neu starten
Falls eine Netzwerkkarte
installiert ist:
- Aufruf
der Systemsteuerung und dort Netzverbindungen
- LAN oder
Hochgeschwindigkeitsinternet auswählen
- Eigenschaften
auswählen
- Tabellenreiter
WINS auswählen
- Auswählen
von "NetBIOS über TCP/IP deaktivieren"
- Dialoge
mit OK bestätigen
- Rechner
neu starten
Erweiterte Einstellungen:
- Arbeitsplatz
aufrufen
- Unter
"Netzwerkaufgaben" die Netzverbindungen
auswählen
- LAN Verbindung
markieren
- Menü "Erweitert"
auswählen
- Dort "Erweiterte
Einstellungen" auswählen
- Alle vorhandenen
Bindungen zu "LAN Verbindung" und "RAS Verbindungen"
entfernen
Die Ports 137,
138 und 139 sind damit geschlossen und die Dienste
netbios-ssn, netbios-ns und netbios-dgm deaktiviert.
Beenden von epmap
(Port 135):
- Klicken
auf "Start" und "Ausführen"
- Eingabe
von scomcnfg.exe
- Auswahl
von "Konsolenstamm/Komponentendienste/Computer/Arbeitsplatz"
- Eigenschaften
auswählen über Menüpunkt "Aktion"
- Tabellenreiter
"Standardeigenschaften" auswählen
- Häkchen
entfernen an "DCOM (Distributed COM) auf
diesem Computer aktivieren"
- Tabellenreiter
Standardprotokolle auswählen
- Alle Protokollbindungen
entfernen
- Neustart
des Rechners
Anschließend
werden die Dienste neu konfiguriert. Die Konfiguration
wird über die Verwaltung der Dienste durchgeführt,
die wie folgt aufgerufen wird:
- Systemsteuerung/Verwaltung/Dienste
Es wird ein
Fenster mit einer tabellenartigen Struktur und
einer Auflistung der Dienste angezeigt. Die
Einstellungen der Dienste können mit einem Doppelklick
auf den Dienst geöffnet werden. Eingestellt
wird der Starttyp, der sich mittig des Eigenschaftenfensters
befindet. Hier stehen verschiedene Starttypen
zur Verfügung. Der erforderliche Starttyp wird
immer an erster Stelle genannt, dann die nachfolgend
so einzurichteten Dienste:
-
Manuell
- Ablagemappe
- Anwendungsverwaltung
- COM+
Ereignissystem
- COM+
Systemanwendung
- Computerbrowser
- Designs
- DHCP
Client
- Distributed
Transaction Coordinator
- DNS
Client
- Gatewaydienst
für Anwendungsebene
- Hilfe
und Support
- IMAPI
CD- Brenn- COM Dienste
- Intelligenter
Hintergrundübertragunsdienst
- Internetverbindungsfirewall
- Gemeinsame
Nutzung der Internetverbindung
- IPSEC
Richtlinienagent
- Leistungsdatenprotokolle
und Warnunen
- Kompatibilität
für schnelle Benutzerumschaltung
- Konfigurationsfreie
drahtlose Verbindung
- MS
Software Shadow Copy Provider
- NetMeeting
Remotedesktop Freigabe
- Netzwerk
DDE Dienst
- Netzwerk
DDE Serverdienst
- Netzwerkverbindungen
- NLA
- NT
LM Sicherheitsdienst
- QoS
RSVP
- RAS
Verbindungsverwaltung
- Remote-Registrierung
- Sekundäre
Anmeldung
- Seriennummern
der tragbaren Medien
- Sicherheitskontenverwaltung
- Sitzungsmanager
für Remotedesktophilfe
- Smartcard
- Smartcard
Hilfsprogramm
- Taskplaner
- TCP/IP
NetBIOS Hilfsprogramm
- Telefonie
- Terminaldienste
- Treiberverwaltung
für Windows Verwaltungsinstrumentation
- Überwachung
verteilter Verknüpfungen (Client)
- Universeller
Plug & Play Gerätehost
- Unterbrechungsfreie
Spannungsversorgung
- Verwaltung
für automatische RAS Verbindungen
- Verwaltungsdienst
für die Verwaltung logischer Datenträger
- Columenschattenkopie
- Wechselmedien
- Windows
Installer
- Windows
Bilderfassung (WIA)
- Windows
Verwaltungsinstrumentation
- Windows
Zeitgeber
- WMI
Leistungsadapter
-
Automatisch
- Druckerwarteschlange
- Ereignisprotokoll
- Geschützter
Speicher
- InteractiveLogon
- Kryptographiedienste
- Plug
& Play
- Remoteprozeduraufruf
(RPC)
- Shellhardwareerkennung
- Systemereignisbenachrichtigung
- Systemwiederherstellungsdienst
- Upload-Manager
- Verwaltung
für automatische RAS Verbindungen
- Verwaltung
logischer Datenträger
- Web-Client
- Windows
Audio
-
Deaktiviert
- Automatische
Updates
- Eingabegerätezugang
- Fehlerbenachrichtigungsdienst
- Indexdienst
- Routing
und RAS
- SSDP
Suchdienst
- Telnet
|
