NT-Dienste sicher konfigurieren - für Windows 2000 und XP

» Language: german version (current) / english version «



Mit freundlicher Unterstützung durch Frank Kaune.
Dienste unter Windows 2000

Beenden von Diensten unter Windows 2000

Beenden von Diensten

· Hinweis
· Aktive Dienste am Netz/DFÜ und offene Ports
· Entbinden der Netbiosdienste von dem DFÜ-Netzwerk
· Beenden von epmap, isakmp und microsoft-ds

Hinweis:

Folgende Anleitung bezieht sich auf eine Standardinstallation von Windows2000 Professional und dem Einsatz auf einem Einzelplatzrechner mit nur einem Benutzer und direktem Anschluß ans Internet (Modem/DSL). Beim Einsatz als Mehrbenutzersystem, mit einem Router, Client im LAN oder mit Serverdiensten für ein Netzwerk z.B. Proxy-, Web-, FTP-, Mail-Server, Router usw., müssen die dafür zuständigen Dienste und Konfigurationen, bestehen bleiben. Dieses gilt auch für zusätzliche Dienste die mit Anwendungen installiert werden und unter Umständen von MS-Systemdiensten abhängig sein können.

Desweiteren nimmt diese Anleitung einem nicht die Entscheidung ab, welche der hier vorgestellten Dienste tatsächlich in der gegebenen Rechnerkonfiguration, bezogen auf das jeweilige Einsatzgebiete des Systems, deaktiviert werden können oder ob sie für ein speziellen Anwendungsfall aktiv bleiben müssen!

Vor einer Änderung der Systemkonfiguration ist aus Sicherheitsgründen ein Backup bzw. Festplattenimage der Systempartition, mit entsprechender Software anzufertigen.


Aktive Dienste am Netz/DFÜ und offene Ports nach einer Standardinstallation von Windows2000 Professional

Wie die Ausgabe von TCPView zeigt, sind bei einer Standardinstallation von Windows2000 Professional einige Ports offen und Dienste aktiv, welche bei einem Einzelplatzsystem (s.o.) ohne Stabilitätsverlust geschlossen bzw. deaktiviert
werden können.



Diese Dienste sind:
epmap (Port TCP/UDP 135)
isakmp (Port UDP 500)
microsoft-ds (Port TCP/UDP 445)
netbios-ssn (Port TCP 139)
netbios-ns (Port UDP 137)
netbios-dgm (Port UDP 138)

Entbinden der Netbiosdienste (netbios-ssn, netbios-ns, netbios-dgm) von dem DFÜ-Netzwerk (Internetverbindung)

- Unter Systemsteuerung / Netzwerk- und DFÜ-Verbindungen
- Eigenschaften (Rechte Maustaste) von LAN-Verbindung (sofern vorhanden) aufrufen



- Eigenschaften von Internetprotokoll(TCP/IP) wählen



- Erweiterte Eigenschaften wählen
- unter Tabreiter 'WINS', "Netbios über TCP/IP deaktivieren" auswählen



- Dialog mit 'OK' bestätigen, anschließende Meldung ebenfalls mit 'Ja' bestätigen
- Unter Systemsteuerung / Netzwerk- und DFÜ-Verbindungen
- Eigenschaften (Rechte Maustaste) von DFÜ-Verbindung aufrufen
- unter Tabreiter 'Netzwerk', die Haken bei "Datei- und Druckerfreigabe für Microsoft-Netzwerke
- und "Client für Microsoft-Netzwerke entfernen



- Unter Systemsteuerung / Netzwerk- und DFÜ-Verbindungen
- Im Menu Erweitert / Erweiterte Einstellungen... wählen



- die Haken bei allen Bindungen in 'Bindungen für LAN-Verbindungen' entfernen



Die Ports 137, 138, 139 sind damit geschlossen und die Dienste
netbios-ssn, netbios-ns und netbios-dgm deaktiviert! Auch Port 445 ist für ein Portscan geschlossen, obwohl er noch als LISTENING angezeigt wird.



Beenden von epmap, isakmp und microsoft-ds

- Ausführen von DCOMCNFG.EXE

Anmerkung: Falls nicht alle Tabs sichtbar sind, liegt die Ursache meist darin, das der Dienst Distributed Transaction Coordinator deaktiviert wurde. Damit alle Tabs sichtbar sind, den genannten Dienst zwischenzeitlich auf manuell setzen, unter den nun sichtbaren Tabs alle notwendigen Einstellungen vornehmen und anschließend den Dienst wieder deaktivieren.


- unter Tabreiter 'Standardeigenschaften' den Haken bei 'DCOM (Distributed COM) auf diesem Computer aktivieren' entfernen



- unter Tabreiter 'Standardprotokolle' alle Protokollbindungen entfernen



- Einstellungen der Startart der Dienste unter Systemsteuerung / Verwaltung / Dienste, nach folgender Auflistung durchführen. Diese Einstellungen und ein anschließender Reboot sind nötig, da sonst ein deaktivieren des Treibers für microsoft-ds zu Schwierigkeiten und Instabilität des Betriebsystems führen kann.

Auf "manuell" setzen
- Ablagemappe
- Anmeldedienst
- Anwendungsverwaltung
- COM+-Ereignissystem
- Computerbrowser
- DHCP-Client
- Dienst "Ausführen als"
- Distributed Transaction Coordinator
- DNS-Client
- Faxdienst
- Gemeinsame Nutzung der Internetverbindung
- Hilfsprogramm-Manager
- IPSEC-Richtlinienagent
- Leistungsdatenprotokolle und Warnungen
- Nachrichtendienst
- NetMeeting-Remotedesktop-Freigabe
- Netzwerk-DDE-Dienst
- Netzwerk-DDE-Serverdienst
- Netzwerkverbindungen
- NT-LM-Sicherheitsdienst
- QoS RSVP
- RAS-Verbindungsverwaltung
- Remoteprozeduraufruf (RPC)
- Remote-Registrierungsdienst
- RPC-Locator
- Server
- Sicherheitskontenverwaltung
- Smartcard
- Smartcard-Hilfsprogramm
- Taskplaner
- TCP/IP-NetBIOS-Hilfsprogramm
- Telefonie
- Überwachung verteilter Verknüpfungen (Client)
- Unterbrechungsfreie Spannungsversorgung
- Verwaltung für automatische RAS-Verbindung
- Verwaltungsdienst für die Verwaltung logischer Datenträger
- Verwaltungsdienst für Datenträgerverwaltungsanforderungen
- Wechselmedien
- Windows Installer
- Windows-Verwaltungsinstrumentation
- Windows-Verwaltungsinstrumentations-Treibererweiterungen
- Windows-Zeitgeber

Auf "automatisch" setzen

- Arbeitsstationsdienst
- Druckwarteschlange
- Ereignisprotokoll
- Geschützter Speicher
- Plug & Play
- Systemereignisbenachrichtigung
- Verwaltung logischer Datenträger
- Überwachungsdienst für die Verwaltung logischer Datenträger
- Warndienst

Auf "deaktiviert" setzen

- Indexdienst
- Routing und RAS
- Telnet

Nach dem Reboot, sind die Dienste epmap und isakmp deaktiviert und die Ports 135, 500 geschlossen!
Was bleibt ist der microsoft-ds hinter Port 445. Um auch diesen zu deaktivieren ist folgendes zu machen:


6. microsoft-ds (Port 445)

(A) Empfohlene Variante zum Deaktivieren von microsoft-ds (von Torsten Mann)

Da eine Deaktivierung von microsoft-ds tief in das System eingreift und es wahrscheinlich ist, daß hierdurch Probleme entstehen können, verfolgt das Script einen anderen Weg. Es wird hierbei Direct-SMB mittels dem Registry-Eintrag

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters]
"SMBDeviceEnabled"=dword:00000000

deaktiviert. Dieser Schlüssel ist standardmäßig nicht vorhanden und muß daher angelegt werden. Hierbei bleibt Netbios-Funktionalität erhalten, Port 445 wird dennoch geschlossen. Diese Methode wird auch durch das Script "svc2kxp.cmd" angewendet.


(B) Alternativ: Beenden von microsoft-ds (nach Frank Kaune)

- unter Systemsteuerung / System
- unter Tabreiter 'Hardware' den Geräte-Manager... aufrufen
- Im Menü unter 'Ansicht' den Punkt 'Ausgeblendeten Geräte anzeigen' auswählen



- im Gerätebaum den jetzt sichtbaren Zweig 'Nicht-PnP-Treiber' expandieren
- den Treiber 'NetBios über TCP/IP' suchen
- die Eigenschaften des Treibers über Rechtsklick aufrufen
- unter Tabreiter 'Treiber', den Starttyp auf 'Deaktiviert' setzen



- über Rechtsklick, den Treiber abschließend deaktivieren
- Reboot des Rechners


Copyright 2001 by Frank Kaune - Kaune Softwaresysteme

Hier sei auch nochmals darauf hingewiesen, das dieses Webangebot keinerlei kommerzielle oder gewerbliche Interessen verfolgt, sondern ausschließlich als privates, freiwilliges Angebot zur privaten Nutzung, insbesondere für die Nutzer der NewsGroup de.comp.security.misc, dient. Alle in diesem Webangebot genannten Bezeichnungen von Produkten sind Marken und Produktnamen der jeweiligen Anbieter. Kommerzielle Nutzung ist ohne vorherige Einverständniserklärung des Autors dieser Seite nicht erlaubt. Alle Angaben nach bestem Wissen und Gewissen aber unter Ausschluß jeglicher Gewähr.

 Valid CSS!
www.ntsvcfg.de © 2003-05 Torsten Mann, Albert-Schweitzer-Str. 6, 01187 Dresden. Letzte Aktualisierung: 24. November 2007, 9.38am PT